विषय
- 01. सोशल इंजीनियरिंग
- 02. कम तकनीक वाला आंतरिक खतरा
- 03. बैटिंग
- 04. सदस्यता समाप्त बटन
- जनरेट न्यू यॉर्क के लिए अभी अपना टिकट प्राप्त करें
हालांकि यह सच है कि हमलावर हर समय अधिक जटिल वायरस और मैलवेयर विकसित कर रहे हैं, तेजी से और अक्सर भुला दिए जाते हैं, व्यवसायों के लिए सबसे बड़ा सुरक्षा खतरा वास्तव में सॉफ़्टवेयर से नहीं, बल्कि स्वयं मनुष्यों से आता है।
फायरवॉल, वीपीएन और सुरक्षित गेटवे जैसे समाधानों के साथ कंपनियां अपने डेटा को बाहरी खतरों से बचाने के लिए दुनिया में सबसे सुरक्षित बुनियादी ढांचे का निर्माण कर सकती हैं, लेकिन यह संगठन के भीतर से ही खतरों, दुर्भावनापूर्ण या अन्यथा के जोखिम को कम नहीं करता है। हैकिंग का यह निम्न-तकनीकी तरीका हाल के वर्षों में तेजी से लोकप्रिय हो गया है, जाने-माने ब्रांड धोखेबाजों के शिकार हो गए हैं, जो कनिष्ठ वित्त प्रशासकों से संपर्क करके थोड़ी लिंक्डइन जांच करने के बाद धन का अनुरोध कर रहे हैं।
- सबसे अच्छा वीपीएन 2019
इसके अतिरिक्त, अधिकांश लोगों की दैनिक दिनचर्या में इंटरनेट के साथ, और कई कर्मचारी कार्यस्थल पर व्यक्तिगत खातों में लॉग इन करते हैं, यह याद रखना महत्वपूर्ण है कि ऑनलाइन सुरक्षा की बात आती है तो व्यक्तिगत विवरण और आपकी व्यावसायिक जानकारी के बीच एक क्रॉसओवर भी होता है। यदि कोई हैकर आपकी व्यक्तिगत जानकारी प्राप्त करता है, तो वे आपके पेशेवर लोगों तक भी पहुंच सकते हैं।
यहां, चार तरीके हैं जिनसे हैकर्स आपकी सुरक्षा को बायपास कर सकते हैं और आपका डेटा चुरा सकते हैं।
01. सोशल इंजीनियरिंग
किसी भी मानव-नेतृत्व वाले साइबर सुरक्षा खतरे की उत्पत्ति सोशल इंजीनियरिंग है; किसी व्यक्ति से गोपनीय डेटा में हेरफेर करने का कार्य। निश्चित रूप से, हैकर्स मैलवेयर के साथ एक नेटवर्क को संक्रमित कर सकते हैं और पिछले दरवाजे से अंदर जा सकते हैं, या बेहतर अभी भी, वे सिर्फ एक कर्मचारी को पासवर्ड देने के लिए धोखा दे सकते हैं और बिना किसी खतरे की घंटी उठाए सामने से चल सकते हैं। एक बार जब एक हैकर के पास किसी व्यक्ति का पासवर्ड हो जाता है, तो आप उन्हें रोकने के लिए बहुत कम कर सकते हैं, क्योंकि उनकी गतिविधि अधिकृत प्रतीत होगी।
सोशल इंजीनियरिंग तकनीकों को पिछले कुछ वर्षों में और अधिक परिष्कृत होना पड़ा है क्योंकि औसत उपयोगकर्ता पारंपरिक तरीकों से हैकर्स के उपयोग के जानकार हो गए हैं। इसलिए हैकर्स को अब डेटा प्राप्त करने के तरीकों में होशियार होना होगा। एक व्यावसायिक अर्थ में, किसी उपयोगकर्ता को किसी दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए धोखा देना जितना आसान है, हमलावर को पूरे नेटवर्क तक पहुंच प्रदान कर सकता है। लोग अनजान लोगों से अनुरोध करने वाले ईमेल को अनदेखा करना जानते हैं, जिन्हें बैंक विवरण की सख्त आवश्यकता होती है, लेकिन जब वह ईमेल किसी ऐसे व्यक्ति से आता है जिसे आप जानते हैं, तो आप 'स्पैम के रूप में चिह्नित करें' पर क्लिक करने की बहुत कम संभावना रखते हैं।
पीड़ित के दोस्त का नाम खोजने के लिए हैकर्स संभावित लक्ष्य के फेसबुक अकाउंट को आसानी से स्क्रॉल कर सकते हैं। फिर वे पीड़ित को उस दोस्त के रूप में एक ईमेल भेज सकते हैं, और पीड़ित को इसके शिकार होने की अधिक संभावना होगी यदि उन्हें लगता है कि यह किसी ऐसे व्यक्ति से आया है जिसे वे जानते हैं।
सुझाव: सोशल मीडिया के विषय पर, आपके द्वारा दी जाने वाली व्यक्तिगत जानकारी से सावधान रहें। एक हानिरहित खेल की तरह लग सकता है जहां 'आपका रैप नाम आपके पहले पालतू जानवर का नाम है और आपकी मां का पहला नाम है', वास्तव में एक फ़िशिंग घोटाला हो सकता है जिसका उपयोग आम खाता पुनर्प्राप्ति प्रश्नों के उत्तर खोजने के लिए किया जाता है।
02. कम तकनीक वाला आंतरिक खतरा
एक फेसलेस दुश्मन के बजाय, अधिकांश आंतरिक साइबर सुरक्षा खतरे वास्तव में वर्तमान या पूर्व कर्मचारियों से आते हैं। ये कर्मचारी गोपनीय डेटा तक अनधिकृत पहुंच प्राप्त कर सकते हैं, या किसी दुर्भावनापूर्ण चीज़ से नेटवर्क को संक्रमित कर सकते हैं। ये आंतरिक खतरे कई रूप ले सकते हैं:
- प्रत्यक्ष प्रेक्षण तकनीक
'शोल्डर सर्फिंग' एक व्यक्ति द्वारा अपना पासवर्ड टाइप करते हुए देखने का सरल कार्य है। ऐसा होने की एक मिसाल है। एक असंतुष्ट या जल्द ही जाने वाला कर्मचारी लापरवाही से एक डेस्क के पीछे खड़ा हो सकता है और अन्य कर्मचारियों को अपना पासवर्ड टाइप करते हुए देख सकता है। इस सरल कार्य से अनधिकृत पहुंच हो सकती है, जो किसी व्यवसाय के लिए विनाशकारी हो सकती है। - पोस्ट-इट नोट्स पर पासवर्ड
कंधे पर देखे गए पासवर्ड को याद रखने से भी आसान, आंतरिक खतरे कर्मचारियों द्वारा पासवर्ड लिखने और उन्हें अपने कंप्यूटर मॉनीटर पर चिपकाने से आ सकते हैं - हां, वास्तव में ऐसा होता है। जाहिर है इससे किसी के लिए लॉगिन विवरण प्राप्त करना अविश्वसनीय रूप से आसान हो जाता है जिसका उपयोग किसी कंपनी को धोखा देने या संक्रमित करने के लिए किया जा सकता है। अच्छी खबर यह है कि इस लापरवाही को ठीक करना आसान है। - कंप्यूटर में डाली गई थंब ड्राइव
कर्मचारी मशीनों को एक साधारण USB ड्राइव पर लोड किए गए कीलॉगिंग सॉफ़्टवेयर से संक्रमित किया जा सकता है। एक हमलावर को बस USB ड्राइव को कंप्यूटर के पिछले हिस्से में घुसाना होगा, और उनके पास उपयोगकर्ता के व्यक्तिगत विवरण और पासवर्ड तक पहुंच होगी।
सुझाव: इन आंतरिक खतरों से बचने के लिए, व्यवसायों को अपने कर्मचारियों को उनके पासवर्ड के साथ सतर्क रहने के महत्व पर सुरक्षा पाठ्यक्रमों और संचार के साथ शिक्षित करना चाहिए। कीपास या डैशलेन जैसे पासवर्ड मैनेजर सॉफ्टवेयर सुरक्षित रूप से पासवर्ड स्टोर कर सकते हैं, इसलिए आपको उन सभी को याद रखने की जरूरत नहीं है। वैकल्पिक रूप से, आप अनधिकृत उपकरणों को USB के माध्यम से पूरी तरह से एक्सेस करने से रोकने के लिए अपने कार्यस्थानों के USB पोर्ट को भी लॉक कर सकते हैं। हालाँकि, इस दृष्टिकोण पर सावधानी से विचार करने की आवश्यकता है, क्योंकि यह प्रत्येक कार्य केंद्र को बहुत कम लचीला बनाता है और आईटी विभाग के लिए कार्यभार को बढ़ाता है, क्योंकि प्रत्येक नए USB उपकरण को उपयोग करने से पहले अनुमोदन की आवश्यकता होगी।
03. बैटिंग
सोशल इंजीनियरिंग की तरह ही, बैटिंग मेथड व्यक्ति के बारे में प्राप्त जानकारी का उपयोग करके उपयोगकर्ताओं को बरगलाते हैं। उदाहरण के लिए, एक हैकर सोशल मीडिया साइटों की जांच कर सकता है और जान सकता है कि लक्ष्य की गेम ऑफ थ्रोन्स में रुचि है। वह ज्ञान हमलावर को कुछ चारा देता है। एक सामान्य ईमेल के बजाय, हमलावर लक्ष्य को एक ईमेल भेज सकता है जो कहता है कि 'नवीनतम गेम ऑफ थ्रोन्स एपिसोड देखने के लिए यहां क्लिक करें'। उपयोगकर्ता के उस बटन पर क्लिक करने की अधिक संभावना है, जो वास्तव में एक मैलवेयर लिंक है, न कि गेम ऑफ थ्रोन्स का सबसे हालिया एपिसोड।
इसी तरह, लिंक्डइन पर सार्वजनिक रूप से सूचीबद्ध इतनी सारी जानकारी के साथ, हमलावरों के लिए रिपोर्टिंग संरचना की खोज करना, सीईओ होने का नाटक करने वाले जूनियर को लक्षित करना और किसी विशेष खाते में धन हस्तांतरण का अनुरोध करना भी आसान हो सकता है। यह जितना दूर की बात लग सकती है, इसके होने की जानी-पहचानी घटनाएं हैं। ईव्सड्रॉपिंग एक समान विधि है, जिसमें हमलावर कॉफी की दुकानों में, सार्वजनिक परिवहन पर और यहां तक कि एक कार्यालय के वातावरण में एक आपूर्तिकर्ता के रूप में व्यावसायिक बातचीत सुनते हैं।
04. सदस्यता समाप्त बटन
एक और तरीका है कि हमलावर उपयोगकर्ताओं को ईमेल से मैलवेयर डाउनलोड करने के लिए बरगला रहे हैं, वह है सदस्यता समाप्त बटन। कायदे से, प्रत्येक मार्केटिंग ईमेल में एक अनसब्सक्राइब लिंक होना चाहिए ताकि उपभोक्ता संचार प्राप्त करने से ऑप्ट आउट कर सकें। एक हमलावर किसी ऐसे उपयोगकर्ता को बार-बार ईमेल भेज सकता है जो कपड़ों की कंपनी (या समान) से विशेष मार्केटिंग ऑफ़र की तरह दिखता है। ईमेल काफी हानिरहित दिखते हैं, लेकिन अगर उपयोगकर्ता कंपनी में दिलचस्पी नहीं रखता है, या सोचता है कि ईमेल बहुत बार-बार होते हैं, तो वे ईमेल प्राप्त करना बंद करने के लिए सदस्यता समाप्त बटन दबा सकते हैं। इस हैकर के फ़िशिंग ईमेल को छोड़कर, सदस्यता समाप्त करें बटन पर क्लिक करने से वास्तव में मैलवेयर डाउनलोड हो जाता है।
सुझाव: एक ठीक से कॉन्फ़िगर किया गया एंटी-स्पैम फ़िल्टर इन ईमेल को रोक देना चाहिए, लेकिन फिर से, सतर्क रहना सबसे अच्छा है।
मुख्य उपाय यह है कि हैकर्स आपके डेटा को चुराने के लिए जिन तरीकों का उपयोग कर सकते हैं, उन पर सतर्क और अप-टू-डेट रहें। अपने कर्मचारियों को शिक्षित करें ताकि वे इस लेख में सूचीबद्ध तकनीकों से अवगत हों जिनका उपयोग सामग्री प्राप्त करने के लिए किया जा सकता है, जैसे कि उनका लॉगिन विवरण या व्यक्तिगत डेटा। कर्मचारियों को किसी ऐसे व्यक्ति से सवाल करने के लिए प्रोत्साहित करें जिसे वे नहीं पहचानते हैं, और बातचीत या शोल्डर सर्फिंग को सुनने वाले किसी भी व्यक्ति के बारे में जागरूक रहें।
हालांकि, इन सब बातों को अलग रखते हुए, यह याद रखने योग्य है कि इंटरनेट एक अत्यधिक सकारात्मक और रचनात्मक स्थान बना हुआ है, और दुनिया इसके लिए काफी समृद्ध है। यदि आप सतर्क हैं, तो हम सभी इसके लाभों का आनंद लेना जारी रख सकते हैं।
यह लेख मूल रूप से 3 के अंक ३०३ में प्रकाशित हुआ था जाल, वेब डिजाइनरों और डेवलपर्स के लिए दुनिया की सबसे ज्यादा बिकने वाली पत्रिका। इश्यू खरीदें 303 या यहाँ सदस्यता लें.
जनरेट न्यू यॉर्क के लिए अभी अपना टिकट प्राप्त करें
उद्योग का सर्वश्रेष्ठ वेब डिज़ाइन कार्यक्रमन्यू यॉर्क उत्पन्न करेंवापस आ गया है। 25-27 अप्रैल 2018 के बीच होने वाले हेडलाइन स्पीकर्स में सुपरफ्रेंडली के डैन मॉल, वेब एनिमेशन कंसल्टेंट वैल हेड, फुल-स्टैक जावास्क्रिप्ट डेवलपर वेस बोस और बहुत कुछ शामिल हैं।
कार्यशालाओं और मूल्यवान नेटवर्किंग अवसरों का एक पूरा दिन भी है - इसे याद न करें।अभी अपना जनरेट टिकट प्राप्त करें.
