फ़िशिंग – वे यहाँ भी पकड़ते हैं, लेकिन मछली नहीं

— अद्यतन:
फ़िशिंग – वे यहाँ भी पकड़ते हैं, लेकिन मछली नहीं
चित्र: Pressureua | Dreamstime
साझा करना

Google का अनुमान है कि हर साल 12.3 मिलियन से अधिक लोग फ़िशिंग के शिकार होते हैं। इस तथ्य के बावजूद कि पिछली शताब्दी के अंत में पहले फ़िशिंग हमले दर्ज किए गए थे और पारंपरिक तरीके धीरे-धीरे पृष्ठभूमि में आ रहे हैं, इस प्रकार की साइबर धोखाधड़ी व्यक्तियों और कंपनियों दोनों के लिए एक गंभीर खतरा बनी हुई है।

फ़िशिंग का शिकार होने के जोखिम को कम करने के लिए, आपको इस प्रकार की साइबर धोखाधड़ी से विस्तार से परिचित होना चाहिए।

फ़िशिंग क्या है?

फ़िशिंग एक प्रकार का घोटाला है, जिसका मुख्य उद्देश्य किसी संभावित शिकार से पहचान डेटा चुराना है, जैसे लॉगिन और पासवर्ड, साथ ही बैंक कार्ड की जानकारी।

अधिकांश मामलों में, फ़िशिंग काफी प्रसिद्ध कंपनियों की ओर से पत्रों का वितरण है जो एक सामूहिक प्रकृति की हैं। ऐसे संदेशों में आमतौर पर एक लिंक होता है जो एक साइट पर ले जाता है, जो प्रारंभिक सरसरी निरीक्षण पर, वास्तविक से अलग नहीं होता है। उपयुक्त क्षेत्रों में गोपनीय जानकारी दर्ज करके, जिसे स्कैमर विभिन्न प्रकार की चालों का उपयोग करके प्राप्त करते हैं, उपयोगकर्ता साइबर अपराधियों को उनके खातों तक पहुंच प्रदान करता है।

यह सब कैसे शुरू हुआ

AOL से संबंधित फ़िशिंग का पहला उल्लेख 1996 में सामने आया।

जालसाजों ने, एक मीडिया कंपनी के कर्मचारी के रूप में खुद को प्रस्तुत करते हुए, उपयोगकर्ताओं से अपने खातों के लिए पासवर्ड प्रदान करने के लिए कहा, और पहुंच प्राप्त करने के बाद, उन्होंने उनका उपयोग स्पैम भेजने के लिए किया। भुगतान प्रणालियों का वितरण 2000 के दशक की शुरुआत में शुरू हुआ, और 2006 में साइबर स्कैमर्स माईस्पेस पर पहुंच गए, उपयोगकर्ता पंजीकरण डेटा चोरी कर लिया।

फ़िशिंग लक्ष्य

इस तथ्य को ध्यान में रखते हुए कि फ़िशिंग हमले व्यक्तियों और कंपनियों दोनों पर किए जा सकते हैं, स्कैमर द्वारा पीछा किए गए लक्ष्य भी भिन्न होते हैं।

Phishing
चित्र: Weerapat Kiatdumrong | Dreamstime

तो, पहले मामले में, लक्ष्य लॉगिन और पासवर्ड, साथ ही साथ बैंकिंग सेवाओं के उपयोगकर्ताओं के खाता संख्या, साथ ही भुगतान प्रणाली और सामाजिक नेटवर्क तक पहुंच प्राप्त करना है। इसके अलावा, संभावित शिकार के कंप्यूटर पर दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करने के लिए अक्सर फ़िशिंग हमले किए जाते हैं।

तकनीकी दृष्टिकोण से, स्कैमर्स ने जिन खातों तक पहुंच प्राप्त की है, उन्हें भुनाना एक जटिल प्रक्रिया है, और इस तरह के संचालन में शामिल व्यक्ति को पकड़ना बहुत आसान है।

डार्कनेट – इंटरनेट के अंधेरे पक्ष पर
डार्कनेट – इंटरनेट के अंधेरे पक्ष पर

इस प्रकार, गोपनीय जानकारी प्राप्त करने के बाद, जालसाज, अधिकांश मामलों में, खातों से धन निकालने के सिद्ध तरीकों का उपयोग करके उन्हें अन्य व्यक्तियों को बेच देता है। इस घटना में कि किसी कंपनी पर फ़िशिंग हमला किया जाता है, प्राथमिकता लक्ष्य कर्मचारियों में से एक के खाते तक पहुंचना है ताकि बाद में कंपनी पर पूरी तरह से हमला किया जा सके।

फ़िशिंग तरीके और योजनाएँ

सामाजिक इंजीनियरिंग पद्धति

इस मामले में, प्रसिद्ध कंपनियों के कर्मचारियों के रूप में प्रस्तुत करने वाले स्कैमर संभावित शिकार को सूचित करते हैं कि व्यक्तिगत डेटा को अपडेट करना या उन्हें प्रदान करना आवश्यक है, जिसे आमतौर पर सिस्टम की विफलता या हानि द्वारा समझाया जाता है।

यह योजना इस तथ्य का उपयोग करती है कि लोग आमतौर पर महत्वपूर्ण घटनाओं पर प्रतिक्रिया करते हैं, जिसके संबंध में फ़िशिंग हमले के आयोजक उपयोगकर्ता को जितना संभव हो उतना उत्तेजित करने का प्रयास करते हैं, जिससे उसे तुरंत कार्रवाई करने की आवश्यकता होती है। यह आम तौर पर स्वीकार किया जाता है कि शीर्षक में “खाते तक पहुंच बहाल करने के लिए, लिंक का पालन करें …” वाक्यांश के साथ एक पत्र उपयोगकर्ता का ध्यान आकर्षित करता है, उसे क्लिक करने के लिए मजबूर करता है।

साधारण धोखा

यह योजना, जिसमें स्कैमर एक प्रसिद्ध कंपनी की ओर से एक ईमेल भेजते हैं, जिसमें एक लिंक का अनुसरण करने का अनुरोध भी शामिल है, सबसे आम है, जिससे एक घंटे के भीतर लाखों स्पैम ईमेल भेजे जा सकते हैं। व्यक्तिगत डेटा चोरी करने के लिए, फ़िशिंग साइटें बनाई जाती हैं, जो पहली नज़र में, बाहरी रूप से वास्तविक से भिन्न नहीं होती हैं। अधिकांश मामलों में, डोमेन का उपयोग किया जाता है जो वास्तविक लोगों से सचमुच एक वर्ण से भिन्न होता है।

बड़ा डेटा – इसके साथ सब कुछ पहले से ही व्याप्त है
बड़ा डेटा – इसके साथ सब कुछ पहले से ही व्याप्त है

हार्पून फ़िशिंग

इस मामले में, हमला बड़े पैमाने पर नहीं होता है, बल्कि एक विशिष्ट व्यक्ति पर किया जाता है। आमतौर पर, ऐसी योजना का उपयोग कंपनी की सुरक्षा को दरकिनार करने और लक्षित हमले का संचालन करने के लिए किया जाता है। साइबर स्कैमर सामाजिक नेटवर्क के साथ-साथ अन्य सेवाओं का उपयोग करके संभावित पीड़ितों का प्रारंभिक अध्ययन करते हैं, जिससे संदेशों को अनुकूलित किया जाता है, जिससे वे अधिक आश्वस्त होते हैं।

“व्हेलिंग”

शीर्ष प्रबंधकों और कंपनी के अधिकारियों पर फ़िशिंग हमले में एक समान विधि का उपयोग किया जाता है, और संभावित शिकार के व्यक्तिगत गुणों का अधिकतम विचार प्राप्त करने के लिए, स्कैमर चोरी करने का सबसे उपयुक्त तरीका खोजने की कोशिश में बहुत समय व्यतीत करते हैं। गोपनीय जानकारी।

वायरस वितरण

अक्सर, फ़िशिंग हमलों का उपयोग व्यक्तिगत डेटा चोरी करने के लिए नहीं, बल्कि लोगों के एक विशेष समूह को नुकसान पहुँचाने के लिए किया जाता है। ऐसा करने के लिए, एक फ़िशिंग संदेश में एक लिंक डाला जाता है, जिस पर क्लिक करने से पीड़ित के कंप्यूटर पर एक दुर्भावनापूर्ण प्रोग्राम डाउनलोड हो जाता है, जिसके साथ आप उपयोगकर्ता के कंप्यूटर पर पूर्ण नियंत्रण ले सकते हैं।

खेती

इस पद्धति का उपयोग करना, जो बिल्कुल नया है, स्कैमर्स आधिकारिक वेबसाइटों का उपयोग करके व्यक्तिगत डेटा प्राप्त करते हैं। ऐसी फ़िशिंग, जब DNS सर्वर पर कंपनी की आधिकारिक वेबसाइट का डिजिटल पता धोखा दिया जाता है, और उपयोगकर्ता स्वचालित रूप से एक नकली साइट पर पुनर्निर्देशित हो जाता है, पारंपरिक तरीकों की तुलना में बहुत अधिक खतरनाक होता है, क्योंकि इस मामले में स्पूफिंग को देखना असंभव है। ईबे और पेपाल इस तरह की फ़िशिंग योजना से पहले ही पीड़ित हो चुके हैं।

आईटी सुरक्षा के पहरे पर सीज़र का सिफर
आईटी सुरक्षा के पहरे पर सीज़र का सिफर

विशिंग

इस मामले में, टेलीफोन संचार का उपयोग किया जाता है, और फोन नंबर, जिसे “समस्या” को खत्म करने के लिए कॉल किया जाना चाहिए, एक अधिसूचना प्रकृति के एक पत्र में इंगित किया गया है। इसके अलावा, पहले से ही सीधे टेलीफोन पर बातचीत के दौरान, स्कैमर्स समस्या को जल्द से जल्द हल करने के लिए उपयोगकर्ता से पहचान डेटा प्रदान करने के लिए कहते हैं।

फ़िशिंग से अपनी सुरक्षा कैसे करें

सबसे पहले, आपको स्वयं फ़िशिंग की गणना करना सीखना चाहिए, और जब आपको ऐसे पत्र मिलते हैं जो आपसे अपने खाते को “सत्यापित” करने के लिए कहते हैं, तो संदेश को प्रमाणित करने के लिए तुरंत कंपनी से संपर्क करें।

Phishing
चित्र: Mauriceschuckart | Dreamstime

हाइपरलिंक का उपयोग करने के बजाय, आपको अपने ब्राउज़र में कंपनी का URL मैन्युअल रूप से दर्ज करना चाहिए। वास्तविक सेवाओं से आने वाले अधिकांश संदेशों में कुछ ऐसी जानकारी होती है जो शुरुआती फ़िशर के लिए उपलब्ध नहीं होती है, जैसे किसी खाते का नाम या अंतिम अंक, हालांकि यह केवल जोखिमों को थोड़ा कम करता है। यह ध्यान देने योग्य है कि फ़िशिंग साइट का लिंक उन मित्रों के संदेशों में भी हो सकता है जिनके खाते हैक कर लिए गए हैं।

जोखिम कम करने के तकनीकी तरीके

कई ब्राउज़र पहले से ही इंटरनेट उपयोगकर्ताओं को फ़िशिंग खतरों के बारे में चेतावनी देते हैं, जिसके लिए वे ऐसी साइटों की अपनी सूची बनाए रखते हैं। मेल सेवाएं भी लड़ रही हैं, स्पैम फ़िल्टर में सुधार कर रही हैं और फ़िशिंग ईमेल का विश्लेषण कर रही हैं। बड़ी कंपनियां, जोखिमों को कम करने के लिए, प्राधिकरण प्रक्रियाओं को जटिल बनाती हैं और व्यक्तिगत डेटा की सुरक्षा में सुधार करती हैं।

वीपीएन – हैकर्स द्वारा आविष्कार किया गया नेटवर्क
वीपीएन – हैकर्स द्वारा आविष्कार किया गया नेटवर्क

जेएससी ईआर-टेलीकॉम होल्डिंग का प्रतिनिधित्व करने वाले सूचना सुरक्षा विशेषज्ञ मिखाइल टेरेशकोव फ़िशिंग से सुरक्षा के कई सरल लेकिन प्रभावी तरीके बताते हैं। आपको इस बात पर विशेष ध्यान देने की आवश्यकता है कि साइट में https जैसा दिखने वाला सुरक्षा प्रमाणपत्र है या नहीं, और राउटर के डिफ़ॉल्ट पासवर्ड भी बदलें। खरीदारी करते समय, सार्वजनिक वाई-फाई का उपयोग न करना बेहतर है, और किसी अपरिचित ऑनलाइन स्टोर में भुगतान करते समय, आपको इसके बारे में अधिक जानकारी एकत्र करनी चाहिए।

आउटपुट

इस तथ्य को ध्यान में रखते हुए कि साइबर हमले लंबे समय से हमारे जीवन में प्रवेश कर चुके हैं, साइबर अपराधियों के खिलाफ योग्य सुरक्षा ई-कॉमर्स सेवाओं को विकसित करने वाले निगमों के मुख्य कार्यों में से एक बन गई है, हालांकि, आम उपयोगकर्ताओं को उन उपायों के बारे में नहीं भूलना चाहिए जो गिरने के जोखिम को कम कर सकते हैं। अपराधियों का जाल।