फ़िशिंग इंटरनेट उपयोगकर्ताओं से डेटा चोरी करने का एक बहुत लोकप्रिय तरीका है, क्योंकि इसमें बड़ी वित्तीय लागतों की आवश्यकता नहीं होती है और यह एक सार्वभौमिक उपकरण है - तकनीकी से अधिक सामाजिक। इसके लिए धन्यवाद, धोखेबाज या समान व्यक्तियों का समूह काम करने के एक नए तरीके के लिए जल्दी से अनुकूल हो सकता है। जालसाज भी आजकल बहुत कुछ जानते हैं और लगातार अपने कौशल में सुधार कर रहे हैं।
मुझे यकीन है कि आप में से अधिकांश ने फ़िशिंग के बारे में सुना और उसका सामना किया होगा, लेकिन कई मामलों में आप यह जाने बिना गुजर गए कि यह क्या है और यह कितना खतरनाक है। आज मैं आपके ज्ञान का विस्तार करने की कोशिश करूंगा, और मैं आपको बताऊंगा कि फ़िशिंग कितना खतरनाक है, इसे कैसे पहचानें और इससे खुद को कैसे बचाएं।
फ़िशिंग क्या है?
फ़िशिंग की सबसे सरल परिभाषा यह है कि यह एक धोखाधड़ी का तरीका है जिसमें अपराधी, विश्वसनीय संस्थानों के प्रतिनिधि होने का नाटक करते हुए, गोपनीय डेटा की मांग करते हैं, सबसे अधिक बार - इलेक्ट्रॉनिक बैंकिंग सेवाओं, आंतरिक कंपनी नेटवर्क, साथ ही भुगतान कार्ड नंबर और ईमेल में प्रवेश करने के लिए पासवर्ड पते। मेल
इसके लिए, हमलावर दुर्भावनापूर्ण कार्यक्रमों का उपयोग करते हैं और पीड़ितों को कुछ ऐसे कार्य करने के लिए मजबूर करने के लिए सोशल इंजीनियरिंग का उपयोग करने का प्रयास करते हैं जो उन्हें वांछित परिणाम प्राप्त करने में मदद करेंगे। सामान्य उपयोगकर्ताओं को लक्षित करने वाले हमले अपेक्षाकृत सरल होते हैं, लेकिन साइबर अपराधी अधिक परिष्कृत फ़िशिंग तकनीकों का उपयोग कर रहे हैं, जिसके लिए पीड़ितों के बारे में जानकारी एकत्र करने की आवश्यकता होती है ताकि वे अपने नियमों से खेल सकें।
फ़िशिंग कैसे काम करता है?
फ़िशिंग, जिससे हम आमतौर पर निपटते हैं, में संभावित पीड़ितों को विशेष रूप से तैयार किए गए ईमेल या एसएमएस भेजना शामिल है। उनमें दुर्भावनापूर्ण वेबसाइटों के लिंक होते हैं जहां इंटरनेट उपयोगकर्ताओं को संवेदनशील जानकारी प्रदान करने की आवश्यकता होती है, जो आमतौर पर इलेक्ट्रॉनिक बैंकिंग वेबसाइट के लिए एक लॉगिन और पासवर्ड होता है। ऐसा करके, आप धोखेबाजों को आपके खातों से पैसे चोरी करने की अनुमति देते हैं। पीड़ित से ऐसा करवा पाना सबसे बड़ी चुनौती है, इसलिए साइबर अपराधी अपनी योजनाओं को अंजाम देने के लिए लगातार नई-नई योजनाएं लेकर आ रहे हैं. हाल ही में, फ़िशिंग का सबसे आम तरीका सूक्ष्म भुगतान है।
दुर्भावनापूर्ण संदेशों में, आप सेवाओं के निलंबित पैकेज, ऑफ़र साइट पर अवरुद्ध नीलामी, बिल की राशि में विसंगति, कर निरीक्षक या ऊर्जा आपूर्तिकर्ता के साथ बकाया के बारे में "पता" कर सकते हैं, जिसके अप्रिय परिणाम होंगे तेरे लिए। संदेश में लिंक की गई फास्ट पेमेंट साइट के माध्यम से अपर्याप्त धनराशि को स्थानांतरित किया जा सकता है। हालांकि, यह एक ऐसी साइट पर रीडायरेक्ट करता है जो भ्रामक रूप से पेपैल या डॉटपे जैसी लोकप्रिय साइटों के समान दिखती है। और उस पर दर्ज किया गया डेटा अपराधियों के पास जाता है, जो उन्हें लेनदेन सेवा में पीड़ित के खाते में प्रवेश करने और वित्तीय धन को अपने खातों में स्थानांतरित करने की अनुमति देता है।
जैसा कि आप देख सकते हैं, यह तंत्र बहुत सरल है, लेकिन धोखेबाज की सबसे बड़ी समस्या पीड़ित को डेटा प्रदान करना है, इसलिए हम लगातार नए फ़िशिंग अभियानों से निपट रहे हैं। साइबर अपराधी हमेशा अप्रिय परिणामों की धमकी नहीं देते हैं। एक लोकप्रिय तरीका वेबसाइटों और सामाजिक नेटवर्क पर आकर्षक पुरस्कारों के साथ विज्ञापनों के माध्यम से जागरूकता फैलाना भी है, जिसमें जल्दी से बहुत पैसा कमाने की संभावना है या यहां तक कि कुछ अब मृतक केन्याई, अमेरिकी या स्कॉटिश (अपना देश चुनें) अरबपति से विरासत प्राप्त करने की संभावना है। , आपका दूर का रिश्तेदार कौन है। बाद के मामले में, प्रसिद्ध हस्तियों की छवियों (बेशक, उनकी सहमति के बिना) का उपयोग अक्सर घोटाले की प्रामाणिकता को समझाने के लिए किया जाता है।
हालाँकि, फ़िशिंग केवल सामान्य इंटरनेट उपयोगकर्ताओं के व्यक्तिगत डेटा की चोरी नहीं है। इस तरह, धोखेबाज कंपनी के कर्मचारियों को कंपनी के आंतरिक नेटवर्क के लिए लॉगिन और पासवर्ड प्रदान करने या दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करने के लिए मनाने की कोशिश कर रहे हैं। यह उन्हें कंपनी या संगठन के डेटाबेस तक खुली पहुंच प्रदान करेगा और विभिन्न सूचनाओं की चोरी की ओर ले जाएगा।
यह भी पढ़ें: 5 आसान टिप्स: पासवर्ड कैसे बनाएं और प्रबंधित करें
उपरोक्त लक्षित फ़िशिंग का उपयोग अक्सर विशिष्ट उद्देश्यों के लिए किया जाता है। इस पद्धति में यह तथ्य शामिल है कि अपराधी कंपनी के कर्मचारियों में से एक विशिष्ट व्यक्ति को चुनते हैं और अपना ध्यान उस पर केंद्रित करते हैं, जिससे वह अपने क्षेत्र में खेलने के लिए मजबूर हो जाता है। डेटाबेस तक पहुंच रखने वाले लेखाकार, सचिव और कर्मचारी एक विशेष जोखिम क्षेत्र में हैं। अपराधी इस व्यक्ति के बारे में जानकारी इकट्ठा करने में महीनों लगाते हैं और घोटाले को यथासंभव विश्वसनीय बनाने के लिए इसका इस्तेमाल करते हैं। कभी-कभी स्कैमर्स पर्यवेक्षक या सहायक कर्मचारी होने का दिखावा भी करते हैं, जिससे उपयोगकर्ता अपने पीसी पर मैलवेयर इंस्टॉल करने के लिए मजबूर हो जाते हैं। इस प्रकार की फ़िशिंग को समझना अधिक कठिन होता है क्योंकि यह वैयक्तिकृत होती है, जिससे निश्चित रूप से हमलावरों को ढूंढना कठिन हो जाता है।
यह भी पढ़ें: एडवर्ड स्नोडेन: वह कौन है और उसके बारे में क्या जाना जाता है?
अधिक से अधिक संगठन इस समस्या का सामना कर रहे हैं। इस तरह के खतरे को कम करने का सबसे अच्छा तरीका अभी भी कर्मचारियों को प्रशिक्षण देना और उन्हें सूचित करना है ताकि वे परिष्कृत अपराधियों का शिकार न बनें। वर्तमान में, यह फ़िशिंग से सुरक्षा का सबसे अच्छा तरीका है, क्योंकि एंटीवायरस प्रोग्राम कभी-कभी ईमेल संदेश में दुर्भावनापूर्ण अनुलग्नक का पता लगा सकते हैं या नकली वेबसाइट को ब्लॉक कर सकते हैं, लेकिन वे सभी मामलों में ऐसा नहीं करते हैं। धोखाधड़ी के खिलाफ लड़ाई में सामान्य ज्ञान और सीमित विश्वास का सिद्धांत सबसे अच्छा हथियार है।
फ़िशिंग संदेशों को कैसे पहचानें?
धोखेबाजों के कार्यों की भविष्यवाणी करना हमेशा आसान नहीं होता है, लेकिन अगर हम अपने आप को जल्दबाजी और शांति से प्रत्येक और विशेष रूप से संदिग्ध संदेश तक पहुंचने की अनुमति नहीं देते हैं, तो इसके कई तत्वों की जांच करें, तो हमारे पास फ़िशिंग का शिकार न होने का एक अच्छा मौका है। नीचे दुर्भावनापूर्ण संदेशों के कुछ उदाहरण दिए गए हैं। वे फ़िशिंग हमलों के मुख्य तत्वों की सूची देंगे जो आपको उन्हें पहचानने में मदद करेंगे।
संदेश भेजने वाले पर ध्यान दें
ज्यादातर मामलों में, स्कैमर्स उस पते को छिपाने का कोई प्रयास नहीं करते हैं जिससे दुर्भावनापूर्ण संदेश आते हैं, या किसी विश्वसनीय सेवा प्रदाता का अनाड़ी रूप से प्रतिरूपण करते हैं। दिया गया उदाहरण स्पष्ट रूप से दिखाता है कि "प्रेषक" फ़ील्ड में बैंक के डोमेन से कोई पता नहीं है, जैसा कि साइबर अपराधियों का दावा है। इसके बजाय, आप *.ua के बजाय *.com.ua या *.org.ua डोमेन ढूंढ सकते हैं, जिसका उपयोग यूक्रेन में संचालित वित्तीय संस्थानों द्वारा किया जाता है। कभी-कभी धोखेबाज अधिक चालाक होते हैं और उन पतों का उपयोग करते हैं जो उनके द्वारा प्रतिरूपित सेवाओं के समान होते हैं, लेकिन छोटे विवरणों में मूल से भिन्न होते हैं, जैसे कि पत्र की सामग्री या उनके लिए एनोटेशन।
लिंक किए गए पृष्ठ का पता जांचें
ई-मेल संदेशों में उन पृष्ठों के पतों पर विशेष ध्यान दिया जाना चाहिए जिनका वे उल्लेख करते हैं। दिखावे के विपरीत, आपको यह देखने के लिए उन पर क्लिक करने की आवश्यकता नहीं है कि वे आपको कहाँ ले जाते हैं। बस लिंक पर होवर करें और टेक्स्ट के नीचे छिपे यूआरएल को प्रदर्शित करने के लिए अपने ब्राउज़र या ईमेल प्रोग्राम की प्रतीक्षा करें। उन साइटों पर विशेष ध्यान दिया जाना चाहिए जो प्रदान की गई सेवा से संबंधित नहीं हैं।
पर्याप्त समय लो
जल्दबाजी कभी अच्छी मददगार नहीं होती। यही बात हमारे मेल पर आने वाले प्राप्त संदेशों के विश्लेषण पर भी लागू होती है। अपराधी अक्सर संभावित पीड़ितों को जल्दी करने की कोशिश करते हैं और निश्चित रूप से, गलती को भड़काने के लिए। जब आप अपना पुरस्कार या नकद पुरस्कार प्राप्त करेंगे तो वे प्रचार या रैफल की समय सीमा को सीमित करने की पूरी कोशिश करते हैं।
कुछ मामलों में धोखेबाज किसी भी सेवा में खाते को ब्लॉक करने की धमकी भी देते हैं। इसके बहकावे में न आएं और हमेशा संदेहास्पद संदेशों की अच्छी तरह जांच करें। याद रखें कि मुफ्त पनीर केवल मूसट्रैप में पाया जा सकता है। इसके अलावा, स्वीपस्टेक्स और प्रचार के आयोजकों द्वारा आपके खाते को ब्लॉक करने की संभावना नहीं है। उन्हें इस तरह के अन्य प्रचारों के लिए ग्राहकों और प्रशंसकों की आवश्यकता है।
गोपनीय डेटा मांगना हमेशा एक घोटाला होता है
सेवा प्रदाताओं और उनके ग्राहकों के इलेक्ट्रॉनिक संचार में सुरक्षा का मुख्य सिद्धांत पत्राचार में गोपनीय डेटा नहीं भेजना है। यदि आपको किसी सेवा के लिए लॉगिन और पासवर्ड दर्ज करने के लिए कहा जाता है क्योंकि आपका खाता बंद है या ऐसा ही कुछ है, तो आप सुनिश्चित हो सकते हैं कि संदेश अपराधियों द्वारा भेजा गया था। हालाँकि, यदि आपको कोई संदेह है, तो कृपया अपने प्रदाता से संपर्क करें, उदाहरण के लिए आपका टेलीफोन सेवा प्रदाता, जो आपके किसी भी संदेह को स्पष्ट करेगा। याद रखें, न तो बैंक, न ही मोबाइल ऑपरेटरों या अन्य सेवाओं को आपको व्यक्तिगत डेटा भेजने के लिए बाध्य करने का अधिकार है।
यह भी पढ़ें: क्यों आजकल वीपीएन के बिना ऑनलाइन न जाना बेहतर है
अनुवाद की कठिनाइयाँ
फ़िशिंग अभियानों का एक महत्वपूर्ण हिस्सा विदेशी अपराधियों द्वारा तैयार किया जाता है जिन्हें हमारी भाषा के बारे में कोई जानकारी नहीं है। वे ई-मेल की सामग्री का रूसी या यूक्रेनी में अनुवाद करने के लिए ऑनलाइन सेवाओं का उपयोग करते हैं, जो अक्सर काफी मजेदार साबित होता है। ऐसे संदेश व्याकरण संबंधी त्रुटियों के बिना नहीं होते हैं, उनमें विराम चिह्नों की कमी होती है और बहुत सारे गलत तरीके से लिखे गए शब्द होते हैं। यदि आपको ऐसा कुछ दिखाई देता है, तो बेझिझक संदेश को हटा दें।
अनुलग्नकों से सावधान रहें
अपराधी संवेदनशील डेटा चुराने या कंप्यूटर और पूरे नेटवर्क को हैक करने के लिए भी मैलवेयर का उपयोग करते हैं। कार्रवाई का तंत्र वही है, और पीड़ित को दुर्भावनापूर्ण अनुलग्नक खोलने के लिए मनाने का प्रयास है। अधिकतर, वे ज़िप या आरएआर अभिलेखागार में छिपे होते हैं और निष्पादन योग्य EXE या BAT फ़ाइलों के रूप में होते हैं। हालाँकि, दुर्भावनापूर्ण कोड को प्रोग्राम दस्तावेज़ मैक्रोज़ में भी छिपाया जा सकता है Microsoft ऑफिस या गूगल डॉक्स, इसलिए आपको उन पर ध्यान देना चाहिए और चलाने से पहले उन्हें एंटी-वायरस प्रोग्राम से स्कैन करना चाहिए।
यदि आप संदिग्ध संदेशों का विश्लेषण करते समय इन तत्वों पर ध्यान देते हैं, तो सबसे अधिक संभावना है कि आप अपराधियों द्वारा धोखा नहीं देंगे।
फ़िशिंग से खुद को कैसे बचाएं?
दुर्भाग्य से, ऐसा कोई उपकरण नहीं है जो इस तरह के स्कैमर्स के खिलाफ उच्च स्तर की सुरक्षा की गारंटी दे। फ़िशिंग से बचने के लिए, आपको कई तत्वों का उपयोग करने की आवश्यकता है। इनमें से सबसे महत्वपूर्ण हैं सामान्य ज्ञान और प्रत्येक संदेश में सीमित आत्मविश्वास। याद रखें, हम अपराधियों के खिलाफ लड़ाई में सबसे आगे हैं और यह केवल आप पर निर्भर करता है कि आप उनका कितना प्रभावी ढंग से विरोध कर सकते हैं।
एंटी-वायरस प्रोग्राम की भी सिफारिश की जाती है, भले ही वे यह नहीं बता पाएंगे कि देखा जा रहा ईमेल फ़िशिंग है या नहीं। लेकिन वे कुछ खतरनाक साइटों और अटैचमेंट को ब्लॉक कर सकेंगे। मुझे विश्वास है कि एंटीवायरस सॉफ़्टवेयर निश्चित रूप से कंप्यूटर और व्यक्तिगत डेटा को सुरक्षित रखने में आपकी सहायता करेगा।
यह भी पढ़ें: पासवर्ड संग्रहीत करने के लिए 10 सर्वश्रेष्ठ कार्यक्रम
अप-टू-डेट सॉफ़्टवेयर का उपयोग करना भी महत्वपूर्ण है, विशेष रूप से ऑपरेटिंग सिस्टम में, क्योंकि डेवलपर्स द्वारा लगातार नई कमजोरियों और सुरक्षा समस्याओं की खोज की जा रही है और उन्हें बेअसर कर दिया गया है। याद रखें कि केवल OS के नवीनतम संस्करणों का उपयोग करने से समय पर सुरक्षा अद्यतन की गारंटी मिलती है।
वेब सेवाओं में उपयोगकर्ता की पहचान के द्वि-चरणीय सत्यापन का उपयोग करना भी एक अच्छा अभ्यास है। यह इलेक्ट्रॉनिक बैंकिंग में व्यापक रूप से उपयोग किया जाता है, लेकिन सेवाओं और वेबसाइटों की बढ़ती संख्या में उपलब्ध है। दो-चरणीय (या दो-घटक) सत्यापन में पारंपरिक पासवर्ड और लॉगिन के अलावा एक अतिरिक्त कोड दर्ज करना शामिल है
लॉगिन कोड आपको ईमेल, एसएमएस या आपके सेवा प्रदाता द्वारा प्रदान किए गए एप्लिकेशन द्वारा उत्पन्न किया जा सकता है। तीसरे पक्ष के ऐप भी हैं जो आपको कई वेबसाइटों के साथ खातों को लिंक करने और एक ही स्थान पर कोड उत्पन्न करने की अनुमति देते हैं, उदाहरण के लिए, आपके स्मार्टफोन पर।
हालांकि, दो-चरणीय सत्यापन का सबसे सुविधाजनक रूप भौतिक U2F सुरक्षा कुंजी है, जो एक नोटबुक में पासवर्ड और कोड लिखने की आवश्यकता को समाप्त करता है। कंप्यूटर के यूएसबी पोर्ट में बस कुंजी डालें, इस प्रकार प्राधिकरण के लिए समर्थित सेवाओं से संपर्क करें।
फ़िशिंग एक बहुत बड़ा खतरा है क्योंकि, कुछ अध्ययनों के अनुसार, यह न केवल कई उपयोगकर्ताओं के पैसे खोने का कारण है, बल्कि कंपनी डेटा के लीक होने का मुख्य कारण भी है। हालाँकि, जैसा कि हमने इस लेख में दिखाया है, ज्यादातर मामलों में साइबर अपराधियों के इरादों को पहचानना और रोकना आसान होता है।
यह भी पढ़ें: स्टेरॉयड पर मोबाइल Google Chrome: 5 छिपी हुई विशेषताओं को सक्रिय करें