फ़िशिंग तब होती है, जब कोई हमलावर किसी उपयोगकर्ता को "गलत चीज़" करने के लिए चालाकी करने की कोशिश करता है। उदाहरण के लिए, मैलवेयर डाउनलोड करने या किसी संदिग्ध वेबसाइट पर ले जाने के लिए किसी दुर्भावनापूर्ण लिंक पर क्लिक करना। फ़िशिंग टेक्स्ट संदेश, सोशल मीडिया या फ़ोन द्वारा किया जा सकता है, लेकिन फ़िशिंग का उपयोग मुख्य रूप से ईमेल के माध्यम से हमलों का वर्णन करने के लिए किया जाता है। फ़िशिंग ईमेल सीधे लाखों उपयोगकर्ताओं तक पहुँचते हैं और व्यस्त उपयोगकर्ताओं को मिलने वाले कई हानिरहित ईमेल में छिपे हो सकते हैं। हमले सिस्टम, मैलवेयर (रैंसमवेयर) को स्थापित और बाधित कर सकते हैं, और धन और बौद्धिक संपदा की चोरी कर सकते हैं।
क्या आप जानते हैं?
स्पैम फ़िशिंग से अलग है, क्योंकि स्पैम ईमेल के लिए संवेदनशील जानकारी की आवश्यकता नहीं होती है। बल्कि, वे आपको कोई वस्तु, सदस्यता या सेवा बेचने का प्रयास करते हैं।
फ़िशिंग अटैक क्या होता है?
फ़िशिंग हमलों का उपयोग आमतौर पर उपयोगकर्ता का डेटा जैसे क्रेडिट कार्ड नंबर और लॉगिन क्रेडेंशियल चोरी करने के लिए किया जाता है। यह तब होता है जब एक हमलावर एक विश्वसनीय अस्तित्व के रूप में मुखौटा लगाता है और एक तुरंत संदेश, ईमेल या टेक्स्ट संदेश को क्लिक करने और खोलने के लिए लक्ष्य को धोखा देता है। लिंक के प्राप्तकर्ता को तब दुर्भावनापूर्ण लिंक खोलने के लिए मूर्ख बनाया जाता है। इससे सिस्टम स्थिर हो सकता है, मैलवेयर इंस्टालेशन हो सकता है, संवेदनशील जानकारी का खुलासा हो सकता है या रैंसमवेयर हमले के हिस्से के रूप में हो सकता है। हमले के विनाशकारी परिणाम भी हो सकते हैं। फ़िशिंग हमलों में कपटपूर्ण खरीदारी, व्यक्तियों के लिए व्यक्तिगत जानकारी की चोरी या धन की चोरी शामिल है।
इसके अलावा, फ़िशिंग का उपयोग अक्सर बड़े पैमाने के हमलों के हिस्से के रूप में किया जाता है जैसे कि एडवांस्ड पर्सिस्टेंट थ्रेट (APT) इवेंट, कॉर्पोरेट या सरकारी नेटवर्क में पैर जमाना। इस बाद के परिदृश्य में, कर्मचारियों को सुरक्षा परिधि को दरकिनार करने, बंद वातावरण में मैलवेयर वितरित करने और संरक्षित डेटा तक विशेषाधिकार प्राप्त करने का जोखिम होता है।
फ़िशिंग के प्रकार
फ़िशिंग के चार प्रमुख प्रकार हैं। हमने नीचे उनके बारे में विस्तार से चर्चा की है।
Spear Phishing (स्पीयर फ़िशिंग)
जब एक रॉड से मछली पकड़ते हैं, तो नीचे फीडर, फ्लाउंडर और जंक जैसी विभिन्न वस्तुएं पानी की रेखा के नीचे आ सकती हैं। भाले के साथ मछली पकड़ने से आप एक विशिष्ट मछली को निशाना बना सकते हैं। इसलिए इसका नाम स्पीयर फ़िशिंग रखा गया है। स्पीयर फ़िशिंग विशिष्ट समूहों या अलग-अलग कंपनी सिस्टम प्रशासकों के प्रकारों को लक्षित करता है। आपको स्पष्ट रूप से विश्वसनीय स्रोतों से ईमेल प्राप्त होंगे, लेकिन इसके बजाय अज्ञात प्राप्तकर्ताओं को मैलवेयर से भरी नकली वेबसाइटों पर निर्देशित किया जाएगा। भेजा गया ईमेल अक्सर पीड़ित का ध्यान आकर्षित करने के लिए चालाकी भरा हथकंडा अपनाता है।
अक्सर इन हमलों के पीछे सरकार द्वारा प्रायोजित हैकर्स होते हैं। साइबर अपराधियों का इरादा संवेदनशील डेटा को सरकारों और निजी कंपनियों को फिर से बेचना है। ये साइबर अपराधी अपने संदेशों और वेबसाइटों को प्रभावी ढंग से निजीकृत करने के लिए कस्टम दृष्टिकोण और सोशल इंजीनियरिंग तकनीकों का उपयोग करते हैं। नतीजतन, यहां तक कि एक संगठन के भीतर उच्च-स्तरीय लक्ष्य, जैसे कि अधिकारी, वे ईमेल खोल सकते हैं जो उन्हें सुरक्षित लगते हैं। यह स्लिप-अप साइबर अपराधियों को नेटवर्क पर हमला करने के लिए आवश्यक डेटा को चुराने की अनुमति देता है।
स्पीयर-फ़िशिंग से अपने आप को कैसे सुरक्षित रखें?
पारंपरिक सुरक्षा अक्सर उन हमलों को नहीं रोकती है, क्योंकि वे बहुत अनुकूलित होते हैं। नतीजतन, उनका पता लगाना मुश्किल है। एक कार्यकर्ता की गलती का सरकारों, व्यवसायों या यहां तक कि गैर-लाभकारी संगठनों के लिए अत्यधिक परिणाम होंगे। धोखेबाज संवेदनशील जानकारी की स्क्रीनिंग कर सकते हैं, जासूसी के कई कृत्यों को समर्पित कर सकते हैं या चोरी किए गए डेटा की मदद से इन्वेंट्री शुल्क को नियंत्रित कर सकते हैं। इसके अलावा, भाला फ़िशिंग हमले कंप्यूटर को जब्त करने के लिए मैलवेयर स्थापित कर सकते हैं, उन्हें पूर्ण आकार के नेटवर्क में व्यवस्थित कर सकते हैं, जिन्हें बॉटनेट के रूप में जाना जाता है और प्रदाता हमलों से इनकार करने के लिए उनका उपयोग किया जाता है।
Whaling (व्हेलिंग)
व्हेलिंग अटैक भी एक तरह का फिशिंग हमला होता है। कंपनियों से संवेदनशील जानकारी प्राप्त करने और चोरी करने के लिए प्रमुख वित्तीय अधिकारियों या मुख्य कार्यकारी अधिकारियों जैसे प्रमुख कर्मचारियों को लक्षित करें। कई व्हेलिंग हमलों में, हमलावर का मक़सद लक्ष्य में हेरफेर करना और शिकार से खुद को उच्च मूल्य के हस्तांतरण की अनुमति देना है। अपनी लक्षित प्रकृति के कारण, पारंपरिक फ़िशिंग हमलों की तुलना में व्हेलिंग को रोकना अक्सर अधिक कठिन होता है क्योंकि उनका आसानी से पता नहीं लगाया जा सकता है। एक संगठन में, सुरक्षा प्रबंधक सूचना सुरक्षा जागरूकता प्रशिक्षण में भाग लेने के लिए वरिष्ठ प्रबंधन को प्रोत्साहित करके व्हेलिंग हमलों की प्रभावशीलता को कम कर सकते हैं।
व्हेलिंग के हमले लोगों को ईमेल स्पूफिंग, कंटेंट स्पूफिंग प्रयासों और सोशल इंजीनियरिंग के माध्यम से कॉर्पोरेट और व्यक्तिगत जानकारी लीक करने के लिए प्रेरित करते हैं। उदाहरण के लिए, एक हमलावर किसी ऐसे लक्ष्य को ईमेल भेज सकता है जो किसी विश्वसनीय स्रोत से प्रतीत होता है। कुछ व्हेलिंग अभियानों में विशेष रूप से हमलों के लिए बनाई गई अनुकूलित दुर्भावनापूर्ण वेबसाइटें शामिल होती हैं।
व्हेलिंग के हमले की वेबसाइट और ईमेल अत्यधिक अनुकूलित और व्यक्तिगत होते हैं। इसमें अक्सर लक्ष्य का नाम, नौकरी का शीर्षक, या विभिन्न स्रोतों से प्राप्त अन्य प्रासंगिक जानकारी शामिल होती है। निजीकरण के इस स्तर से व्हेलिंग के हमलों को ढूंढना मुश्किल हो जाता है।
व्हेलिंग से अपने आप को कैसे सुरक्षित रखें
- कर्मचारियों की जागरूकता: सभी प्रकार के साइबर सुरक्षा खतरों को रोकने के लिए, सभी कर्मचारियों को कंपनी की संपत्ति की सुरक्षा के लिए जिम्मेदार होना चाहिए। व्हेलिंग फ़िशिंग के मामले में, इन हमलों का पता लगाने के लिए सभी कर्मचारियों और वरिष्ठ प्रबंधन को शिक्षित करने की आवश्यकता है। उच्च-स्तरीय अधिकारियों को लक्षित किया जाता है, लेकिन निम्न-स्तर के कर्मचारी परोक्ष रूप से कमजोरियों के माध्यम से अधिकारियों को हमलों के लिए उजागर कर सकते हैं। कर्मचारियों को सोशल इंजीनियरिंग रणनीति के बारे में पता होना चाहिए, जैसे कि नकली ईमेल पते जो विश्वसनीय ईमेल पते का प्रतिरूपण करते हैं।
- सोशल मीडिया शिक्षा: व्हेलिंग उल्लंघनों को सक्षम करने में सोशल मीडिया की संभावित भूमिका के बारे में कर्मचारी जागरूकता बढ़ाएं और वरिष्ठ प्रबंधन जागरूकता बढ़ाएं। सोशल मीडिया के पास बहुत सी जानकारी है जिसका उपयोग साइबर अपराधी व्हेलिंग फ़िशिंग जैसे सोशल इंजीनियरिंग हमलों को डिजाइन करने के लिए कर सकते हैं। कार्यकारी अपने सोशल मीडिया खातों पर गोपनीयता प्रतिबंध लगाकर इस जानकारी तक पहुंच को प्रतिबंधित कर सकते हैं। मुख्य कार्यकारी अधिकारी सोशल मीडिया पर इतने प्रमुख होते हैं कि वे अक्सर व्यवहार संबंधी डेटा भेजते हैं जिनका अपराधियों द्वारा अनुकरण और दुरुपयोग किया जा सकता है।
- मल्टी-स्टेप सत्यापन प्रक्रिया: सभी संवेदनशील डेटा या स्थानांतरण और संवेदनशील डेटा तक पहुंच कर अनुरोधों को स्वीकृत होने से पहले सत्यापन के कई स्तरों से गुजरना होगा। अज्ञात प्रेषकों के सभी ईमेल और उनके अटैचमेंट से वायरस, मैलवेयर और अन्य समस्याओं की संभावित दुर्भावनापूर्ण ट्रैफ़िक की पहचान करने के लिए उन्हें स्कैन करें।
- डाटा संरक्षण: संदिग्ध नेटवर्क गतिविधि के लिए ईमेल और फाइलों पर नजर रखने के लिए डेटा सुरक्षा नीति स्थापित करें। इन नीतियों को रक्षा उल्लंघन की अंतिम पंक्ति की संभावना को कम करने के लिए व्हेलिंग और सामान्य फ़िशिंग के विरुद्ध श्रेणीबद्ध सुरक्षा प्रदान करनी चाहिए। ऐसी नीतियां फ़िशिंग हमलों के संकेतों के लिए ईमेल की निगरानी करती हैं और उन्हें संभावित पीड़ितों तक पहुंचने से स्वचालित रूप से अवरुद्ध करती हैं।
व्हेलिंग से बचने के लिए इन तरीकों का पालन किया जा सकता है।
Smishing (स्मिशिंग)
स्मिशिंग मोबाइल टेक्स्ट संदेश या एसएमएस फ़िशिंग भेजकर किया जाने वाला एक साइबर हमला है। पीड़ितों को प्रच्छन्न हमलावरों को संवेदनशील जानकारी प्रदान करने के लिए धोखा दिया जाता है। हो सकता है कि एसएमएस फ़िशिंग दुर्भावनापूर्ण वेबसाइटों या मैलवेयर का उपयोग कर रहा हो। डेटाबेस समर्थित मैसेजिंग ऐप्स जैसे गैर-एसएमएस चैनलों सहित मोबाइल एसएमएस प्लेटफॉर्म पर स्मिशिंग होता है।
स्मिशिंग आपकी संवेदनशील जानकारी को चुराने के लिए दो तरह के तरीकों का इस्तेमाल कर सकता है। वो हैं:
- मैलवेयर: स्मिशिंग URL हाइपरलिंक आपको मैलवेयर डाउनलोड करने के लिए प्रेरित कर सकता है - दुर्भावनापूर्ण सॉफ़्टवेयर - जो आपके फोन में स्वयं इंस्टॉल हो जाता है। यह एसएमएस मैलवेयर खुद को एक वैध ऐप के रूप में प्रच्छन्न कर सकता है, आपको अपनी व्यक्तिगत जानकारी दर्ज करने और साइबर हमलावरों को ये आंकड़े भेजने के लिए धोखा दे सकता है।
- हानिकारक वेबसाइटें: फ़िशिंग संदेशों के लिंक नकली वेबसाइटों तक ले जा सकते हैं जिनके लिए आपको संवेदनशील व्यक्तिगत जानकारी दर्ज करने की आवश्यकता होती है। वैध वेबसाइटों की नकल करने के लिए साइबर अपराधी कस्टम-निर्मित दुर्भावनापूर्ण वेबसाइटों का उपयोग करके आसानी से जानकारी चुरा सकते हैं।
स्मैशिंग कैसे फैलती है?
जैसा कि पहले उल्लेख किया गया है, हमले पारंपरिक गैर-एसएमएस मैसेजिंग ऐप और मैसेजिंग दोनों द्वारा किए जाते हैं। एसएमएस फ़िशिंग हमले लगातार बढ़ रहे हैं और धोखाधड़ी वाली संपत्तियों के कारण उन पर ध्यान नहीं दिया जाता है।
उपयोगकर्ताओं को टेक्स्ट संदेशों की सुरक्षा में गलत विश्वास होने के कारण अतिरोधी धोखाधड़ी में सुधार हुआ है।
सबसे पहले तो ज्यादातर लोगों को ई-मेल फ्रॉड के खतरे के बारे में पता होता है। आपको संभवत: एक संदिग्ध ईमेल प्राप्त हुआ है, जिसमें लिखा है, "नमस्ते! इस लिंक को देखें"। वास्तविक व्यक्तिगत संदेशों को छोड़कर ई-मेल स्पैम धोखाधड़ी का एक महत्वपूर्ण लाल झंडा होता है।
जब लोग फोन का इस्तेमाल करते हैं, तो वे ज्यादा ध्यान नहीं देते हैं। बहुत से लोग सोचते हैं कि स्मार्टफोन कंप्यूटर से अधिक सुरक्षित हैं। हालाँकि, स्मार्टफोन की सुरक्षा सीमित है और इसे हमेशा स्मिशिंग से सीधे तौर पर सुरक्षित नहीं किया जा सकता।
अपनाए गए साधनों के बावजूद, इन कार्यक्रमों को सफल होने के लिए आपके भरोसे और गलतफहमी से बहुत कम की आवश्यकता होती है। परिणामस्वरूप, स्मिशिंग टेक्स्ट मैसेजिंग क्षमताओं वाले मोबाइल उपकरणों पर हमला कर सकता है।
स्मिशिंग के विभिन्न प्रकार हो सकते हैं, जैसे कि मुफ्त सेवा का वादा करने वाले स्मिशिंग को उपहार में देना, ग्राहक सहायता के रूप में ग्राहक सहायता को नष्ट करना, स्वास्थ्य को ट्रैक करने के लिए कोविद -19 को मारना या कोविड -19 पीड़ितों की मदद करना, आदि।
आप किसी अनजान मूल के संदेशों का जवाब न देकर आसानी से मुंहतोड़ जवाब देने से बच सकते हैं।
Vishing (विशिंग)
वॉयस फ़िशिंग, जिसे विशिंग के रूप में भी जाना जाता है, का उद्देश्य अन्य फ़िशिंग हमलों के समान ही है। हमलावर अब भी आपके गोपनीय निजी या कॉर्पोरेट डेटा का पीछा कर रहे हैं। यह हमला वॉयस कॉल के जरिए होता है। सामान्य फ़िशिंग हमलों में किसी ऐसे व्यक्ति की कॉल शामिल होती है जो Microsoft प्रतिनिधि होने का दावा करता है। यह व्यक्ति आपको सूचित करता है कि आपने अपने कंप्यूटर पर एक वायरस पाया है। इसके बाद हमलावर से क्रेडिट कार्ड का विवरण मांगा जाता है ताकि वे अपने कंप्यूटर पर अपने एंटीवायरस सॉफ़्टवेयर का एक अद्यतन संस्करण स्थापित कर सकें। हमलावर ने आपके क्रेडिट कार्ड की जानकारी प्राप्त कर ली है और संभवत: आपके कंप्यूटर पर मैलवेयर स्थापित हो गया है।
एक विशिंग घोटाले को कैसे पहचानें?
- यदि आप विशिंग घोटालों को पहचान सकते हैं, तो आप उनसे सुरक्षित रह सकते हैं। एक विशिंग स्कैम को पहचानने के कुछ तरीके यहां दिए गए हैं।
- कॉल करने वाले सामाजिक सुरक्षा प्रशासन या चिकित्सा इकाई का प्रतिनिधित्व करने का दावा करते हैं क्योंकि इनमें से कोई भी एजेंसी आपसे संपर्क नहीं करेगी और आपकी वित्तीय या व्यक्तिगत जानकारी का अनुरोध नहीं करेगी।
- धोखाधड़ी करने वाले गिरफ्तारी वारंट और खाता समस्याओं की धमकी देकर आपके डर का फायदा उठाने की कोशिश कर रहे हैं। यदि आपको इनमें से कोई भी कॉल आती है, तो शांत रहें और फ़ोन काट दें।
- फोन करने वाले को आपकी जानकारी चाहिए। आपको अपना नाम, पता, जन्म तिथि, सामाजिक सुरक्षा संख्या, बैंक खाते की जानकारी और अन्य पहचान जानकारी सत्यापित करने के लिए कहा जा सकता है। हो सकता है कि उनके पास ऐसी कुछ जानकारी हो जिससे आपको विश्वास हो कि वे असली हैं। लक्ष्य बाकी जानकारी प्राप्त करना है जो अभी तक उनके पास नहीं है।
E-mail Phishing (ई-मेल फ़िशिंग)
1990 के दशक के बाद से यह सबसे आम फ़िशिंग है। धोखेबाज ये ईमेल सभी उपलब्ध ईमेल पतों पर भेज देंगे। ईमेल आमतौर पर आपको सूचित करते हैं कि आपके खाते से छेड़छाड़ की गई है, इसलिए आपको दिए गए लिंक पर क्लिक करना होगा और तुरंत जवाब देना होगा। ईमेल भाषाओं में अक्सर व्याकरण संबंधी और वर्तनी की गलतियाँ होती हैं ताकि इन हमलों का आसानी से पता लगाया जा सके। आप अज्ञात प्रेषकों के ईमेल से बचकर ईमेल फ़िशिंग से आसानी से बच सकते हैं।
ज्ञात फ़िशिंग के कुछ अन्य प्रकार हैं फ़ार्मिंग, मैन-इन-द-मिडिल अटैक, बिज़नेस ईमेल समझौता, क्लोन फ़िशिंग, मालवेयरिंग, सर्च इंजन फ़िशिंग, मैलवेयर फ़िशिंग, आदि।
निष्कर्ष:
फ़िशिंग सभी आकार और प्रकार के व्यवसायों को प्रभावित कर सकता है। यह बड़े पैमाने के अभियानों में शामिल हो सकता है (हमलावर नए पासवर्ड एकत्र कर रहे हैं या आसानी से पैसा बनाने की कोशिश कर रहे हैं), या यह आपके व्यवसाय पर लक्षित घात का पहला चरण हो सकता है। विशेष रूप से गोपनीय डेटा की चोरी संभव है। लक्षित अभियानों में, हमलावर कंपनियों और कर्मचारियों के बारे में जानकारी का उपयोग अपने संदेशों को अधिक यथार्थवादी और सम्मोहक बनाने के लिए कर सकते हैं।
सूक्ष्म, लघु और मध्यम व्यवसायों (MSMEs), बिजनेस टिप्स, आयकर, GST, वेतन और लेखांकन से संबंधित लेखों के लिए Khatabook को फॉलो करें।