सोशल इंजीनियरिंग धोखाधड़ी से तात्पर्य लोगों या संगठन में हेरफेर करने की रणनीति से है, इसलिए वे संवेदनशील जानकारी का खुलासा करते हैं या उपयोगकर्ता के बारे में धन या व्यक्तिगत डेटा जैसे संसाधनों तक पहुंच प्राप्त करते हैं। सोशल इंजीनियरिंग धोखेबाज एक साधारण रणनीति का उपयोग करके उपयोगकर्ताओं के साथ हेरफेर करने का प्रयास करते हैं जहां वे किसी विशेष संगठन के कर्मचारी, विक्रेता या सहायक कर्मचारी होने का दावा करते हैं और आम उपयोगकर्ताओं को बरगलाते हैं। आम तौर पर, वे अपने लाभ के लिए लोगों की विश्वसनीयता का उपयोग करते हैं और उन उपयोगकर्ताओं को लक्षित करते हैं जिनके पास अपने व्यक्तिगत या कंपनी डेटा को सुरक्षित रखने के संबंध में सीमित ज्ञान है। सुरक्षा के पारंपरिक तरीके जैसे एंटीवायरस सॉफ़्टवेयर स्थापित करना और इसे नियमित रूप से अपडेट करना उपयोगकर्ता को वायरस, मैलवेयर और सोशल इंजीनियरिंग हमलों से नहीं बचाता है। एक बार जब स्कैमर संगठन या उपयोगकर्ता के बारे में आवश्यक जानकारी एकत्र कर लेते हैं, तो वे इसका अपने लाभ के लिए उपयोग करने में सक्षम होंगे और वे जो चाहें कर सकेंगे।
निम्नलिखित अनुभागों में, हम सोशल इंजीनियरिंग धोखाधड़ी की विभिन्न श्रेणियों को व्यापक विस्तार और उनके प्रकारों बारे में समझेंगे। हम उन्हें रोकने के तरीके के बारे में भी विवरण देखेंगे।
क्या आपको पता था? 43% आईटी पेशेवरों का कहना है कि उन्हें पिछले एक साल में सोशल इंजीनियरिंग के हमलों का निशाना बनाया गया है।
सोशल इंजीनियरिंग धोखाधड़ी में श्रेणियाँ
सोशल इंजीनियरिंग धोखाधड़ी एक प्रकार की धोखाधड़ी गतिविधि है जो मानव संपर्क के माध्यम से आयोजित की जाती है। सुरक्षा संबंधी गलतियाँ करने के लिए उपयोगकर्ता को बरगलाने के लिए रणनीति मुख्य रूप से भय, चिंता, आग्रह और हेरफेर का उपयोग करती है। यहां सोशल इंजीनियरिंग धोखाधड़ी आमतौर पर की जाति है।
- टेलीफ़ोनिक: प्रीटेक्स्ट कॉलिंग या विशिंग। विशिंग एक प्रक्रिया है जिसमे उपयोगकर्ता को जानकारी प्रकट करने या कोई कार्रवाई करने के लिए लुभाने के लिए टेलीफ़ोन का उपयोग किया जाता है।
- इलेक्ट्रॉनिक: इलेक्ट्रॉनिक से संबंधित सोशल इंजीनियरिंग हमले में मुख्य रूप से फ़िशिंग और स्मिशिंग शामिल हैं। ये हमले ईमेल या अन्य इलेक्ट्रॉनिक संचार विधियों का उपयोग उपयोगकर्ता को संवेदनशील जानकारी का खुलासा करने या कोई कार्रवाई करने के लिए करते हैं, जैसे सॉफ़्टवेयर स्थापित करने के लिए कहना, लिंक पर क्लिक करना या लेनदेन करना।
- व्यक्तिगत हमला: इसके लिए जालसाज को लक्षित स्थान पर शारीरिक रूप से उपस्थित होना आवश्यक है। ऐसे परिदृश्यों में, व्यक्ति बैंक अधिकारी, आपूर्तिकर्ता, कर्मचारी या तकनीशियन के रूप में खुद को प्रस्तुत करेगा। इससे धोखेबाज को जोखिम होता है और इसलिए यह अन्य सोशल इंजीनियरिंग प्रकार की धोखाधड़ी की तुलना में कम इस्तमाल किया जाता है।
सोशल इंजीनियरिंग धोखाधड़ी के प्रकार:
फ़िशिंग ईमेल
फ़िशिंग ईमेल सोशल इंजीनियरिंग धोखाधड़ी में एक प्रसिद्ध तकनीक है। यह वह तकनीक है जहां हैकर पीड़ितों को संवेदनशील जानकारी प्राप्त करने की उम्मीद में ईमेल भेजते हैं और उन्मे भेजे गए दुर्भावनापूर्ण लिंक पर क्लिक करके हैकर को व्यक्तिगत रूप से पहचान योग्य जानकारी तक पहुंच प्रदान करते है। इन साइबर हमलों की अवहेलना करना मुश्किल है क्योंकि वे पीड़ितों में भय, जिज्ञासा या तात्कालिकता की भावना पैदा करते हैं।
व्हेलिंग
व्हेलिंग एक प्रकार की फ़िशिंग है जो मुख्य रूप से शीर्ष-स्तरीय प्रबंधन अधिकारियों को लक्षित करती है। इसमें सरकारी एजेंसियां भी शामिल हैं। इस प्रकार के हमले को आमतौर पर हैकर सर्कल में सीईओ धोखाधड़ी के रूप में संदर्भित किया जाता है, और इसका उद्देश्य ईमेल और वेबसाइट स्पूफिंग जैसी तकनीकों का उपयोग करके संगठन से संबंधित गोपनीय जानकारी की चोरी करना है। अनुरोध उच्च स्तरीय कार्यकारी या वित्त प्रबंधक के मेल से भेजे जाएंगे और निचले कर्मचारियों को अनुरोध का पालन करना होगा क्योंकि इसे महत्वपूर्ण माना जाता है।
स्पीयर फ़िशिंग
स्पीयर फ़िशिंग का लक्ष्य विशिष्ट व्यक्तियों या व्यवसायों को लक्षित करना है, और उन्हें खोजना चुनौतीपूर्ण है क्योंकि ईमेल में एक हस्ताक्षर होगा और यह एक परिचित स्रोत से प्राप्त और वास्तविक जैसा दिखता है।
स्केयरवेयर
यह आमतौर पर वेब ब्राउज़र पर पॉप-अप अलर्ट या बैनर के रूप में आता है। उपयोगकर्ता मानते हैं कि उनका सिस्टम मैलवेयर से संक्रमित है और वे यह मानकर सॉफ़्टवेयर स्थापित करते हैं कि यह उनकी मदद करेगा। लेकिन, यह सॉफ़्टवेयर भेस में मैलवेयर होते है।
बैटिंग
बैटिंग में, साइबर अपराधी उपयोगकर्ताओं को जाल में फंसाने के लिए पेरोल सूची या ऑनलाइन फॉर्म जैसे संवेदनशील लेबल वाले फ्लैश ड्राइव जैसे फिजिकल मीडिया का उपयोग करते हैं। जानकारी देखने में मूल्यवान लगती है लेकिन वायरस से भरी हुई होति है।
फिजिकल ब्रीचेस
यह वह तरिका है जिस्मे हैकर आपके सुरक्षित स्थान तक पहुंच प्राप्त करने के लिए किसी और का प्रतिरूपण करता है।
प्रीटेक्स्ट कॉलिंग
हमलावर प्रीटेक्स्ट कॉलिंग की तकनीक का भी इस्तेमाल कर सकते हैं। यह वह तरिका है जिस्मे एक हमलावर अपनी जरूरत की जानकारी प्राप्त करने के लिए एक गलत परिदृश्य बनाता है। प्रीटेक्स्ट कॉलिंग के लिए अक्सर हमलावर और पीड़ित के बीच विश्वास बनाने की आवश्यकता होती है। जालसाज आमतौर पर एक सहकर्मी, कंपनी आपूर्तिकर्ता, पुलिस, या एक बैंक अधिकारी होने का दिखावा करता है और वे आसानी से उपयोगकर्ता को उन पर विश्वास करवा लेते हैं और फोन नंबर, पते, सामाजिक सुरक्षा नंबर, बैंक रिकॉर्ड आदि जैसी सुरक्षित जानकारी चुरा लेते हैं।
सोशल इंजीनियरिंग सुरक्षा में चुनौतियाँ
डेटा सुरक्षा के बारे में जागरूकता की कमी के कारण सोशल इंजीनियरिंग धोखाधड़ी होती है। सोशल इंजीनियरिंग सुरक्षा में यह सबसे बड़ी चुनौती है।
डर: हमलावर डर, चिंता और तनाव का इस्तेमाल करते हैं। और स्ट्रेस प्रेरक का एक आदर्श उदाहरण टैक्स फाइलिंग होगा। पीड़ितों को यह कहते हुए ईमेल भेजे जाते हैं कि टैक्स धोखाधड़ी के लिए उनका निरीक्षण किया जा रहा है।
जिज्ञासा: साइबर अपराधी जिज्ञासा जगाने के लिए समाचारों और घटनाओं का उपयोग करते हैं। किसी विषय या वर्तमान प्रवृत्ति के बारे में लीक जानकारी की पेशकश करके लोगों को ईमेल खोलने का लालच दिया जाता है।
सहायक होने का प्रतिरूपण करना: मान लें कि वित्त कर्मचारियों को एक ईमेल प्राप्त होता है जिसमें यह सुनिश्चित करने के लिए अकाउंटिंग डेटाबेस पासवर्ड का अनुरोध किया जाता है कि संबंधित प्रबंधक सभी को समय पर भुगतान करता है और विभाग के कर्मचारी यह विश्वास करते हुए विवरण भेजते हैं कि उनकी मदद की जा रही है।
सोशल इंजीनियरिंग के हमलों को कैसे रोकें?
सोशल इंजीनियरिंग हमलों को कम करने के कई तरीके हैं। उनमें से अधिकांश सरल दिख सकते हैं लेकिन वे आपकी कंपनी की सुरक्षा में अत्यधिक प्रभावी हैं।
- अविश्वसनीय स्रोतों से प्राप्त ईमेल और अटैचमेंट को न खोलें: यदि आप प्रेषक के बारे में नहीं जानते हैं, तो बेहतर है कि इसे न खोलें। यदि आप प्रेषक को जानते हैं, लेकिन फिर भी अनुरोध के बारे में संदेहास्पद हैं, तो अनुरोध पर कार्रवाई करने से पहले उनके साथ जाँच करें और पुष्टि करें।
- मल्टीफैक्टर ऑथेंटिकेशन: यह एक ऐसी विधि है जिसमें उपयोगकर्ता को किसी विशेष संसाधन जैसे दस्तावेज़, ऑनलाइन एप्लिकेशन, इंटरनेट बैंकिंग सेवा आदि तक पहुंच प्राप्त करने के लिए दो या अधिक पासवर्ड प्रदान करने की आवश्यकता होती है। अपने खाते पर हमला होने से रोकने के लिए यह एक अच्छा तरीका है।
- अच्छी गुणवत्ता वाला एंटी मालवेयर सॉफ़्टवेयर को अपडेट करना या कार्यान्वित करना: यह किसी कर्मचारी के मेलबॉक्स तक पहुंचने से पहले संदिग्ध ईमेल को पहचान सकता है और बाहर निकाल सकता है।
- रोबोटिक प्रोसेस ऑटोमेशन: यह इस समस्या का एक समाधान हो सकता है। यह विभिन्न मैन्युअल कार्य कर सकता है जैसे कि खातों का सत्यापन और इनकमिंग मेल का सत्यापन।
कर्मचारियों को सुरक्षा प्रोटोकॉल पर अंकुश लगाने से रोकने के लिए, आपको पहले ऐसी सुरक्षा नीतियां बनानी चाहिए जो स्पष्ट करें कि कर्मचारी किसके साथ और कैसे जानकारी साझा कर सकते हैं। आपको कर्मचारियों के लिए सुरक्षा और आईटी सहायता से संपर्क करने के लिए आधिकारिक मोड बनाना चाहिए। कर्मचारियों को शिक्षित करके और ऐसे हमलों का पता लगाने और उनसे बचने के लिए प्रशिक्षण देकर सोशल इंजीनियरिंग के परिणामों से बचा जा सकता है।
सबसे पहले, नियमित सोशल इंजीनियरिंग जागरूकता प्रशिक्षण प्रदान करें जो हमलावरों द्वारा उपयोग की जाने वाली सामान्य चालें बताता है। दूसरा, प्रशिक्षण को इस तरह से अनुकूलित किया जाना चाहिए कि, कर्मचारी स्थिति से संबंधित हो सकें और उन्हें इसमें प्रयुक्त विषय के प्रकार के बारे में सिखा सकें। और अंत में, इन हमलों को सफलतापूर्वक रोकने में कर्मचारी कितनी अच्छी तरह समझते हैं, इसका आकलन करने के लिए नकली परीक्षण और सिमुलेशन आयोजित करें।
सोशल इंजीनियरिंग धोखाधड़ी के लिए बीमा सुरक्षा:
सोशल इंजीनियरिंग धोखाधड़ी के कारण व्यापार में विनाशकारी नुकसान हो सकता है। अधिकांश समय, व्यवसाय का स्वामी यह मानता है कि मानक बीमा पॉलिसी इस नुकसान को कवर करेगी। लेकिन उनके लिए आश्चर्य की बात नहीं है, और वे यह सबक बहुत देर से सीखते हैं। इस स्थिति से बचने के लिए, आपको बीमा पॉलिसी की जांच और समीक्षा करने की आवश्यकता है ताकि यह पता लगाया जा सके कि कवरेज में कोई संभावित अंतर है या नहीं। यह पहले से ही परीक्षण और सिद्ध किया जा चुका है कि पर्याप्त सामाजिक जागरूकता, अप-टू-डेट सिस्टम, और सोशल इंजीनियरिंग हमलों के संबंध में कर्मचारियों को शिक्षित करना पर्याप्त नहीं है, और अभी भी व्यावसायिक नुकसान होने के कई रास्ते खुले हुए हैं। कई बार, हर व्यवसाय में जोखिम होता है और सोशल इंजीनियरिंग का हमला भी जोखिम का एक रूप है। इसलिए प्रत्येक व्यवसाय को सामाजिक इंजीनियरिंग दावों को कवर करने वाले बीमा के साथ संरक्षित किया जाना चाहिए।
निष्कर्ष:
साइबर अपराधियों ने लोगों को पैसे ट्रांसफर करने, जानकारी प्रदान करने या मैलवेयर से संक्रमित फ़ाइल डाउनलोड करने के लिए मनाने के कई तरीके सीखे हैं। सोशल इंजीनियरिंग रणनीति से मूर्ख बन ने से बचे। हमले की स्थिति में कर्मचारियों को सुरक्षा और सलामती उपायों का पालन करने के लिए खुद को प्रशिक्षित करना सुनिश्चित करें। सोशल मीडिया वेबसाइटों पर व्यक्तिगत जानकारी साझा करते समय कर्मचारियों को हमेशा सतर्क रहना चाहिए। ऐसा ईमेल न खोलें जो संदिग्ध लगे या किसी अजनबी को आपके वायरलेस नेटवर्क से कनेक्ट करने की अनुमति न दें। अजनबियों के साथ व्यक्तिगत जानकारी तब तक साझा न करें जब तक आप यह सत्यापित नहीं कर लेते कि वे कहां से कॉल कर रहे हैं। नवीनतम सोशल इंजीनियरिंग तकनीकों के साथ अप टू डेट रहने के लिए सुरक्षा नीतियों की समीक्षा करें। अपनी अवांछित छपे हुए सामग्री को सही ढंग से फेंकने के लिए हमेशा पेपर श्रेडर का उपयोग करें। सुरक्षा जागरूकता और प्रशिक्षण को निवेश के रूप में लेना महत्वपूर्ण है।
कृपया मामले की रिपोर्ट या तो अपने कार्ड जारी करने वाले बैंक को करें या नजदीकी साइबर अपराध से संपर्क करें। मामले की रिपोर्ट करने के लिए cybercell@khatabook.com पर एक ईमेल भेजें।
महत्वपूर्ण: SMS या अन्य चैनलों के माध्यम से प्राप्त होने वाले OTP, पिन नंबर या किसी अन्य कोड को कभी साझा न करें। सार्वजनिक मंच पर कभी भी अपना खाता नंबर या क्रेडिट और डेबिट कार्ड विवरण साझा न करें।
