सोशल इंजीनियरिंग से अवगत होना और लुकआउट पर होना महत्वपूर्ण है। सुरक्षा कार्यक्रम आपको अधिकांश सामाजिक इंजीनियरिंग खतरों से नहीं बचाएंगे, इसलिए आपको स्वयं को सुरक्षित रखना होगा।
सोशल इंजीनियरिंग समझाया
पारंपरिक कंप्यूटर-आधारित हमले अक्सर कंप्यूटर के कोड में भेद्यता को खोजने पर निर्भर करते हैं। उदाहरण के लिए, यदि आप एडोब फ्लैश के पुराने संस्करण का उपयोग कर रहे हैं - या, भगवान forbid, जावा, जो सिस्को के अनुसार 2013 में 91% हमलों का कारण था - आप एक दुर्भावनापूर्ण वेबसाइट और उस वेबसाइट पर जा सकते हैं आपके कंप्यूटर में पहुंच प्राप्त करने के लिए आपके सॉफ़्टवेयर में भेद्यता का फायदा उठाएगा। हमलावर सॉफ्टवेयर प्राप्त करने और निजी जानकारी इकट्ठा करने के लिए सॉफ़्टवेयर में बग को जोड़ रहा है, शायद वे इंस्टॉल किए गए एक कीलॉगर के साथ।
सोशल इंजीनियरिंग चाल अलग-अलग हैं क्योंकि इसमें इसके बजाय मनोवैज्ञानिक हेरफेर शामिल है। दूसरे शब्दों में, वे लोगों का शोषण करते हैं, न कि उनके सॉफ़्टवेयर।
आपने शायद पहले ही फ़िशिंग के बारे में सुना है, जो कि सामाजिक इंजीनियरिंग का एक रूप है। आपको अपने बैंक, क्रेडिट कार्ड कंपनी या किसी अन्य विश्वसनीय व्यवसाय से होने का दावा करने वाला ईमेल प्राप्त हो सकता है। वे आपको वास्तविक नकली दिखने के लिए छिपी हुई नकली वेबसाइट पर भेज सकते हैं या आपको एक दुर्भावनापूर्ण प्रोग्राम डाउनलोड और इंस्टॉल करने के लिए कह सकते हैं। लेकिन ऐसी सामाजिक इंजीनियरिंग चालों में नकली वेबसाइट या मैलवेयर शामिल नहीं है। फ़िशिंग ईमेल आपको निजी जानकारी के साथ एक ईमेल जवाब भेजने के लिए कह सकता है। एक सॉफ्टवेयर में एक बग का फायदा उठाने की कोशिश करने के बजाय, वे सामान्य मानव बातचीत का फायदा उठाने का प्रयास करते हैं। स्पीयर फ़िशिंग और भी खतरनाक हो सकती है, क्योंकि यह विशिष्ट व्यक्तियों को लक्षित करने के लिए डिज़ाइन की गई फ़िशिंग का एक रूप है।
सोशल इंजीनियरिंग के उदाहरण
चैट सेवाओं और ऑनलाइन गेम में एक लोकप्रिय चाल "प्रशासक" जैसे नाम के साथ एक खाता पंजीकृत करने और लोगों को डरावनी संदेश जैसे "चेतावनी: हमें पता चला है कि कोई आपके खाते को हैक कर रहा है, अपने पासवर्ड को स्वयं प्रमाणित करने के लिए जवाब दे सकता है।" यदि कोई लक्ष्य उनके पासवर्ड से प्रतिक्रिया देता है, तो वे चाल के लिए गिर गए हैं और हमलावर के पास अब उनका खाता पासवर्ड है।
अगर किसी के पास आपकी व्यक्तिगत जानकारी है, तो वे इसका उपयोग आपके खातों तक पहुंच प्राप्त करने के लिए कर सकते हैं। उदाहरण के लिए, आपकी जन्मतिथि, सोशल सिक्योरिटी नंबर और क्रेडिट कार्ड नंबर जैसी जानकारी अक्सर आपको पहचानने के लिए उपयोग की जाती है। अगर किसी के पास यह जानकारी है, तो वे एक व्यवसाय से संपर्क कर सकते हैं और आपको होने का नाटक कर सकते हैं। सारा पॉलिन के याहू तक पहुंच प्राप्त करने के लिए इस चाल का इस्तेमाल हमलावर द्वारा किया जाता था! 2008 में मेल खाता, याहू! के पासवर्ड रिकवरी फॉर्म के माध्यम से खाते तक पहुंच प्राप्त करने के लिए पर्याप्त व्यक्तिगत विवरण जमा करना। यदि आपके पास व्यक्तिगत जानकारी है जिसे व्यवसाय को प्रमाणित करने की आवश्यकता है, तो उसी विधि का उपयोग फ़ोन पर किया जा सकता है। किसी लक्ष्य पर कुछ जानकारी वाले हमलावर उन्हें होने का नाटक कर सकते हैं और अधिक चीजों तक पहुंच प्राप्त कर सकते हैं।
सामाजिक इंजीनियरिंग भी व्यक्तिगत रूप से इस्तेमाल किया जा सकता है। एक हमलावर एक व्यवसाय में जा सकता है, सचिव को सूचित करता है कि वे एक आधिकारिक और दृढ़ स्वर में एक मरम्मत व्यक्ति, नया कर्मचारी, या अग्नि निरीक्षक हैं, और फिर हॉल घूमते हैं और कॉर्पोरेट जासूसी करने के लिए संभावित रूप से गोपनीय डेटा या पौधे कीड़े चोरी करते हैं। यह चाल हमलावर पर निर्भर करती है जो स्वयं को किसी ऐसे व्यक्ति के रूप में पेश करती है जो वे नहीं हैं। यदि एक सचिव, डोरमैन, या जो कोई भी प्रभारी है, वह बहुत सारे प्रश्न नहीं पूछता है या बहुत बारीकी से नहीं देखता है, तो चाल सफल होगी।
सोशल-इंजीनियरिंग हमलों ने नकली वेबसाइटों, धोखाधड़ी वाले ईमेल, और फोन पर या व्यक्तिगत रूप से किसी का प्रतिरूपण करने के लिए सभी तरह से घृणित चैट संदेशों की सीमा फैली है। ये हमले विभिन्न प्रकार के रूपों में आते हैं, लेकिन उनमें सभी की एक बात आम है - वे मनोवैज्ञानिक चाल पर निर्भर करते हैं। सोशल इंजीनियरिंग को मनोवैज्ञानिक हेरफेर की कला कहा जाता है। यह "हैकर्स" वास्तव में "हैक" खातों के मुख्य तरीकों में से एक है।
सोशल इंजीनियरिंग से कैसे बचें
सोशल इंजीनियरिंग को जानना आपके लिए लड़ाई में मदद कर सकता है। अनचाहे ईमेल, चैट संदेश, और फोन कॉल जो निजी जानकारी मांगते हैं, के बारे में संदिग्ध रहें। ईमेल पर वित्तीय जानकारी या महत्वपूर्ण व्यक्तिगत जानकारी कभी प्रकट न करें। संभावित रूप से खतरनाक ईमेल अनुलग्नक डाउनलोड न करें और उन्हें चलाएं, भले ही कोई ईमेल दावा करता हो कि वे महत्वपूर्ण हैं।
आपको संवेदनशील वेबसाइटों पर किसी ईमेल में लिंक का भी पालन नहीं करना चाहिए। उदाहरण के लिए, अपने बैंक से होने वाले ईमेल में किसी लिंक पर क्लिक न करें और लॉग इन करें। यह आपको एक नकली फ़िशिंग साइट पर ले जा सकता है जो आपके बैंक की साइट के रूप में देखने के लिए छिपा हुआ है, लेकिन एक संक्षिप्त रूप से अलग यूआरएल के साथ। इसके बजाय सीधे वेबसाइट पर जाएं।
अगर आपको एक संदिग्ध अनुरोध मिलता है - उदाहरण के लिए, आपके बैंक से एक फोन कॉल व्यक्तिगत जानकारी मांगता है - सीधे अनुरोध के स्रोत से संपर्क करें और पुष्टि के लिए पूछें। इस उदाहरण में, आप अपने बैंक को कॉल करेंगे और पूछेंगे कि वे आपके बैंक होने का दावा करने वाले किसी व्यक्ति को जानकारी देने के बजाय क्या चाहते हैं।
ईमेल प्रोग्राम, वेब ब्राउज़र और सुरक्षा सूट में आमतौर पर फ़िशिंग फ़िल्टर होते हैं जो आपको ज्ञात फ़िशिंग साइट पर जाने पर चेतावनी देंगे।जब भी आप किसी ज्ञात फ़िशिंग साइट पर जाते हैं या ज्ञात फ़िशिंग ईमेल प्राप्त करते हैं, तो वे आपको चेतावनी दे सकते हैं, और वे वहां मौजूद सभी फ़िशिंग साइट्स या ईमेल के बारे में नहीं जानते हैं। अधिकांश भाग के लिए, यह आपके ऊपर सुरक्षा के लिए निर्भर है - सुरक्षा कार्यक्रम केवल थोड़ी मदद कर सकते हैं।
निजी डेटा के अनुरोधों के साथ निपटने के दौरान स्वस्थ संदेह का अभ्यास करना एक अच्छा विचार है और कुछ भी जो सामाजिक-इंजीनियरिंग हमला हो सकता है। संदेह और सावधानी आपको ऑनलाइन और ऑफलाइन दोनों की सुरक्षा में मदद करेगी।
