एचएमबी क्या है? सोशल इंजीनियरिंग? 11 उदाहरण देखने के लिए 

विषय - सूची

सोशल इंजीनियरिंग

सोशल इंजीनियरिंग वास्तव में क्या है?

सोशल इंजीनियरिंग लोगों से उनकी गोपनीय जानकारी निकालने के लिए हेरफेर करने के कार्य को संदर्भित करता है। अपराधी जिस प्रकार की जानकारी की तलाश करते हैं, वह भिन्न हो सकती है। आमतौर पर, व्यक्तियों को उनके बैंक विवरण या उनके खाते के पासवर्ड के लिए लक्षित किया जाता है। अपराधी पीड़ित के कंप्यूटर तक पहुँचने का भी प्रयास करते हैं ताकि वे दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित कर सकें। यह सॉफ़्टवेयर तब उन्हें किसी भी जानकारी को निकालने में मदद करता है जिसकी उन्हें आवश्यकता हो सकती है।   

अपराधी सोशल इंजीनियरिंग की रणनीति का उपयोग करते हैं क्योंकि किसी व्यक्ति का विश्वास हासिल करके उसका शोषण करना और उन्हें अपने व्यक्तिगत विवरण को छोड़ने के लिए राजी करना अक्सर आसान होता है। यह किसी की जानकारी के बिना किसी के कंप्यूटर में सीधे हैक करने की तुलना में अधिक सुविधाजनक तरीका है।

सामाजिक इंजीनियरिंग उदाहरण

सोशल इंजीनियरिंग के विभिन्न तरीकों की जानकारी होने से आप अपनी बेहतर सुरक्षा कर पाएंगे। 

1. बहाना

प्रेटेक्सटिंग का उपयोग तब किया जाता है जब अपराधी किसी महत्वपूर्ण कार्य को करने के लिए पीड़ित से संवेदनशील जानकारी प्राप्त करना चाहता है। हमलावर कई सावधानीपूर्वक तैयार किए गए झूठों के माध्यम से जानकारी प्राप्त करने का प्रयास करता है।  

अपराधी पीड़ित के साथ विश्वास स्थापित करके शुरू होता है। यह उनके दोस्तों, सहकर्मियों, बैंक अधिकारियों, पुलिस, या अन्य अधिकारियों को प्रतिरूपित करके किया जा सकता है जो ऐसी संवेदनशील जानकारी मांग सकते हैं। हमलावर उनसे उनकी पहचान की पुष्टि करने के बहाने कई सवाल पूछता है और इस प्रक्रिया में व्यक्तिगत डेटा एकत्र करता है।  

इस पद्धति का उपयोग किसी व्यक्ति से सभी प्रकार के व्यक्तिगत और आधिकारिक विवरण निकालने के लिए किया जाता है। इस तरह की जानकारी में व्यक्तिगत पते, सामाजिक सुरक्षा नंबर, फोन नंबर, फोन रिकॉर्ड, बैंक विवरण, कर्मचारियों की छुट्टी की तारीखें, व्यवसायों से संबंधित सुरक्षा जानकारी आदि शामिल हो सकते हैं।

बहाना सामाजिक इंजीनियरिंग

2. डायवर्सन चोरी

यह एक प्रकार का घोटाला है जो आम तौर पर कूरियर और परिवहन कंपनियों को लक्षित होता है। अपराधी लक्ष्य कंपनी को अपने डिलीवरी पैकेज को मूल रूप से इच्छित स्थान से अलग डिलीवरी स्थान पर उपलब्ध कराने के लिए छल करने की कोशिश करता है। इस तकनीक का इस्तेमाल कीमती सामानों की चोरी के लिए किया जाता है, जिसे डाक के जरिए डिलीवर किया जा रहा है।  

यह घोटाला ऑफलाइन और ऑनलाइन दोनों तरह से किया जा सकता है। पैकेज ले जाने वाले कर्मियों से संपर्क किया जा सकता है और किसी दूसरे स्थान पर डिलीवरी छोड़ने के लिए आश्वस्त किया जा सकता है। हमलावर ऑनलाइन वितरण प्रणाली तक भी पहुंच प्राप्त कर सकते हैं। फिर वे डिलीवरी शेड्यूल को इंटरसेप्ट कर सकते हैं और उसमें बदलाव कर सकते हैं।

3. फिशिंग

फ़िशिंग सोशल इंजीनियरिंग के सबसे लोकप्रिय रूपों में से एक है। फ़िशिंग घोटालों में ऐसे ईमेल और टेक्स्ट संदेश शामिल होते हैं जो पीड़ितों में जिज्ञासा, भय या अत्यावश्यकता की भावना पैदा कर सकते हैं। टेक्स्ट या ईमेल उन्हें उन लिंक्स पर क्लिक करने के लिए उकसाता है जो दुर्भावनापूर्ण वेबसाइटों या अटैचमेंट की ओर ले जाते हैं जो उनके उपकरणों पर मैलवेयर इंस्टॉल कर देंगे।  

उदाहरण के लिए, किसी ऑनलाइन सेवा के उपयोगकर्ताओं को एक ईमेल प्राप्त हो सकता है जिसमें दावा किया गया हो कि कोई नीति परिवर्तन किया गया है जिसके लिए उन्हें तुरंत अपना पासवर्ड बदलने की आवश्यकता है। मेल में एक अवैध वेबसाइट का लिंक होगा जो मूल वेबसाइट के समान है। उपयोगकर्ता तब उस वेबसाइट में अपने खाते की साख दर्ज करेगा, इसे वैध मानते हुए। इनकी डिटेल सबमिट करने पर अपराधी तक जानकारी पहुंच जाएगी।

क्रेडिट कार्ड फ़िशिंग

4. भाला फ़िशिंग

यह एक प्रकार का फ़िशिंग घोटाला है जो किसी विशेष व्यक्ति या संगठन के प्रति अधिक लक्षित होता है। हमलावर अपने संदेशों को नौकरी की स्थिति, विशेषताओं और पीड़ित से संबंधित अनुबंधों के आधार पर अनुकूलित करता है, ताकि वे अधिक वास्तविक लग सकें। स्पीयर फ़िशिंग के लिए अपराधी की ओर से अधिक प्रयास की आवश्यकता होती है और इसमें नियमित फ़िशिंग की तुलना में बहुत अधिक समय लग सकता है। हालांकि, उन्हें पहचानना कठिन होता है और उनकी सफलता दर बेहतर होती है।  

 

उदाहरण के लिए, एक हमलावर किसी संगठन पर स्पीयर फ़िशिंग का प्रयास कर रहा है, वह फर्म के आईटी सलाहकार का प्रतिरूपण करने वाले कर्मचारी को एक ईमेल भेजेगा। ईमेल को इस तरह से तैयार किया जाएगा जो बिल्कुल वैसा ही होगा जैसा सलाहकार इसे करता है। प्राप्तकर्ता को धोखा देने के लिए यह पर्याप्त प्रामाणिक प्रतीत होगा। ईमेल कर्मचारी को एक दुर्भावनापूर्ण वेबपेज का लिंक प्रदान करके अपना पासवर्ड बदलने के लिए कहेगा जो उनकी जानकारी को रिकॉर्ड करेगा और इसे हमलावर को भेजेगा।

5. जल-होलिंग

वाटर-होलिंग घोटाला भरोसेमंद वेबसाइटों का लाभ उठाता है जिन पर बहुत से लोग नियमित रूप से जाते हैं। अपराधी लोगों के एक लक्षित समूह के बारे में जानकारी एकत्र करेगा ताकि यह निर्धारित किया जा सके कि वे किन वेबसाइटों पर अक्सर जा रहे हैं। फिर इन वेबसाइटों की कमजोरियों के लिए परीक्षण किया जाएगा। समय के साथ, इस समूह के एक या अधिक सदस्य संक्रमित हो जाएंगे। हमलावर तब इन संक्रमित उपयोगकर्ताओं की सुरक्षित प्रणाली तक पहुंचने में सक्षम होगा।  

यह नाम उस सादृश्य से आया है कि कैसे जानवर प्यास लगने पर अपने विश्वसनीय स्थानों पर इकट्ठा होकर पानी पीते हैं। वे सावधानी बरतने के बारे में दो बार नहीं सोचते। शिकारियों को इसके बारे में पता है, इसलिए वे पास में इंतजार करते हैं, जब उनका गार्ड नीचे होता है तो वे उन पर हमला करने के लिए तैयार रहते हैं। डिजिटल परिदृश्य में जल-छिद्रण का उपयोग एक ही समय में कमजोर उपयोगकर्ताओं के समूह पर कुछ सबसे विनाशकारी हमले करने के लिए किया जा सकता है।  

6. बैटिंग

जैसा कि नाम से ही स्पष्ट है, प्रलोभन में पीड़ित की जिज्ञासा या लालच को ट्रिगर करने के लिए झूठे वादे का उपयोग शामिल है। पीड़ित को एक डिजिटल जाल में फँसाया जाता है जो अपराधी को उनकी व्यक्तिगत जानकारी चुराने या उनके सिस्टम में मैलवेयर स्थापित करने में मदद करेगा।  

बैटिंग ऑनलाइन और ऑफलाइन दोनों माध्यमों से हो सकती है। एक ऑफ़लाइन उदाहरण के रूप में, अपराधी फ्लैश ड्राइव के रूप में चारा छोड़ सकता है जो विशिष्ट स्थानों पर मैलवेयर से संक्रमित हो गया है। यह लक्षित कंपनी का एलिवेटर, बाथरूम, पार्किंग स्थल आदि हो सकता है। फ्लैश ड्राइव का एक प्रामाणिक रूप होगा, जिससे पीड़ित इसे ले जाएगा और इसे अपने काम या घर के कंप्यूटर में डाल देगा। फ्लैश ड्राइव तब स्वचालित रूप से सिस्टम में मैलवेयर निर्यात करेगा। 

प्रलोभन के ऑनलाइन रूप आकर्षक और मोहक विज्ञापनों के रूप में हो सकते हैं जो पीड़ितों को उस पर क्लिक करने के लिए प्रोत्साहित करेंगे। लिंक दुर्भावनापूर्ण प्रोग्राम डाउनलोड कर सकता है, जो बाद में उनके कंप्यूटर को मैलवेयर से संक्रमित कर देगा।  

बैटिंग

7. बदले में

एक मुआवज़ा हमले का अर्थ है "कुछ के लिए कुछ" हमला। यह बैटिंग तकनीक का एक रूप है। लाभ के वादे के साथ पीड़ितों को प्रलोभन देने के बजाय, एक मुआवज़ा हमला एक सेवा का वादा करता है यदि एक विशिष्ट कार्रवाई निष्पादित की गई है। हमलावर पीड़ित को पहुंच या जानकारी के बदले नकली लाभ प्रदान करता है।  

इस हमले का सबसे सामान्य रूप तब होता है जब कोई अपराधी किसी कंपनी के आईटी कर्मचारी के रूप में काम करता है। अपराधी तब कंपनी के कर्मचारियों से संपर्क करता है और उन्हें नया सॉफ्टवेयर या सिस्टम अपग्रेड प्रदान करता है। कर्मचारी को तब अपने एंटी-वायरस सॉफ़्टवेयर को अक्षम करने या दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करने के लिए कहा जाएगा यदि वे अपग्रेड चाहते हैं। 

आज ही AWS पर GoPhish को निःशुल्क आज़माएं

8. टेलगेटिंग

टेलगेटिंग अटैक को पिग्गीबैकिंग भी कहा जाता है। इसमें एक प्रतिबंधित स्थान के अंदर प्रवेश चाहने वाला अपराधी शामिल है, जिसके पास उचित प्रमाणीकरण उपाय नहीं हैं। अपराधी किसी अन्य व्यक्ति के पीछे चलकर पहुँच प्राप्त कर सकता है जिसे क्षेत्र में प्रवेश करने के लिए अधिकृत किया गया है।  

एक उदाहरण के रूप में, अपराधी एक डिलीवरी ड्राइवर का रूप धारण कर सकता है, जिसके हाथों में पैकेज भरे हुए हैं। वह एक अधिकृत कर्मचारी के दरवाजे पर प्रवेश करने की प्रतीक्षा करता है। ढोंग करने वाला डिलीवरी मैन तब कर्मचारी से उसके लिए दरवाजा पकड़ने के लिए कहता है, जिससे उसे बिना किसी प्राधिकरण के प्रवेश करने दिया जाता है।

9. हनीट्रैप

इस ट्रिक में अपराधी ऑनलाइन एक आकर्षक व्यक्ति होने का नाटक करता है। व्यक्ति अपने लक्ष्य से मित्रता करता है और उनके साथ एक ऑनलाइन संबंध बनाता है। अपराधी तब इस संबंध का लाभ उठाकर अपने पीड़ितों के व्यक्तिगत विवरण निकालने, उनसे पैसे उधार लेने, या उनके कंप्यूटर में मैलवेयर स्थापित करने के लिए कहते हैं।  

'हनीट्रैप' नाम पुरानी जासूसी रणनीति से आया है जहां महिलाओं का इस्तेमाल पुरुषों को निशाना बनाने के लिए किया जाता था।

10. दुष्ट

दुष्ट सॉफ़्टवेयर दुष्ट एंटी-मैलवेयर, दुष्ट स्कैनर, दुष्ट स्केरवेयर, एंटी-स्पाइवेयर, आदि के रूप में प्रकट हो सकता है। इस प्रकार के कंप्यूटर मैलवेयर उपयोगकर्ताओं को नकली या नकली सॉफ़्टवेयर के लिए भुगतान करने में गुमराह करते हैं जो मैलवेयर हटाने का वादा करता है। दुष्ट सुरक्षा सॉफ़्टवेयर हाल के वर्षों में एक बढ़ती चिंता का विषय बन गया है। एक अनभिज्ञ उपयोगकर्ता आसानी से ऐसे सॉफ़्टवेयर का शिकार हो सकता है, जो प्रचुर मात्रा में उपलब्ध है।

11। मैलवेयर

मैलवेयर हमले का उद्देश्य पीड़ित को अपने सिस्टम में मैलवेयर इंस्टॉल करना है। पीड़ित को अपने कंप्यूटर में मैलवेयर की अनुमति देने के लिए हमलावर मानवीय भावनाओं में हेरफेर करता है। इस तकनीक में फ़िशिंग संदेश भेजने के लिए त्वरित संदेश, पाठ संदेश, सोशल मीडिया, ईमेल आदि का उपयोग शामिल है। ये संदेश पीड़ित को एक लिंक पर क्लिक करने के लिए बरगलाते हैं जो एक ऐसी वेबसाइट खोलेगा जिसमें मैलवेयर है।  

संदेशों के लिए अक्सर डराने वाली युक्तियों का उपयोग किया जाता है। वे कह सकते हैं कि आपके खाते में कुछ गड़बड़ है और आपको अपने खाते में लॉग इन करने के लिए दिए गए लिंक पर तुरंत क्लिक करना होगा। इसके बाद लिंक आपको एक फ़ाइल डाउनलोड करने के लिए कहेगा जिसके माध्यम से आपके कंप्यूटर पर मैलवेयर इंस्टॉल हो जाएगा।

मैलवेयर

जागरूक रहें, सुरक्षित रहें

खुद को सूचित रखना खुद को इससे बचाने की दिशा में पहला कदम है सामाजिक इंजीनियरिंग हमले. एक बुनियादी युक्ति यह है कि आपका पासवर्ड या वित्तीय जानकारी मांगने वाले किसी भी संदेश को नज़रअंदाज़ कर दें। ऐसे ईमेल को फ़्लैग करने के लिए आप अपनी ईमेल सेवाओं के साथ आने वाले स्पैम फ़िल्टर का उपयोग कर सकते हैं। एक विश्वसनीय एंटी-वायरस सॉफ़्टवेयर प्राप्त करने से आपके सिस्टम को और सुरक्षित करने में भी मदद मिलेगी। 

आज ही AWS पर GoPhish को निःशुल्क आज़माएं

सेवाएँ

हमारी कंपनी

हमारा पता

हैलबाइट्स

9511 क्वींस गार्ड सीटी।

लॉरेल, एमडी 20723

टेलीफोन: (732) 771 9995

ईमेल: info@hailbytes.com

समाधान ढूंढे

सुरक्षा अक्सर पूछे जाने वाले प्रश्न

सोशल मीडिया