इंटरनेट हैक: फ़िशिंग और स्पीयरफिशिंग के बारे में बताया गया

[ware_item id=33][/ware_item]

फ़िशिंग


फ़िशिंग, उच्चारण मछली पकड़ने, एक सामाजिक इंजीनियरिंग तकनीक है जिसे पासवर्ड, क्रेडिट कार्ड विवरण और अन्य संवेदनशील जानकारी चोरी करने के लिए डिज़ाइन किया गया है। अंतिम लक्ष्य इन क्रेडेंशियल्स का उपयोग और भी अधिक जानकारी तक पहुंच प्राप्त करना है, जैसे कि सोशल मीडिया और बैंक खाते.

ईमेल, टेलीफोन या टेक्स्ट संदेश के माध्यम से एक फ़िशिंग हमला किया जा सकता है और आमतौर पर हमलावरों द्वारा नियंत्रित साइट के लिए एक लिंक होता है जो आपको अपना लॉगिन विवरण दर्ज करने के लिए प्रेरित करेगा। उदाहरण के लिए, ईमेल को एक नियमित ड्रॉपबॉक्स या फेसबुक ईमेल की तरह बनाया जा सकता है, उदाहरण के लिए, और एक नकली साइट से लिंक किया जा सकता है जो बिल्कुल ड्रॉपबॉक्स या फेसबुक जैसा दिखता है। आप यहां बहुत सारे उदाहरण पा सकते हैं.

फेसबुक फ़िशिंग और अन्य आकर्षण

फ़िशिंग ईमेल में अक्सर निर्दोष लगने वाली सामग्री होती है, जैसे कि "किसी ने फेसबुक पर आपका उल्लेख किया" या "मैंने ड्रॉपबॉक्स पर एक दस्तावेज़ साझा किया।" हमलावर आपसे अपेक्षा करता है कि आप इन लिंक पर क्लिक करके अपनी प्रामाणिकता की पुष्टि किए बिना इन पर क्लिक करें और फिर अपनी साख दर्ज करें। अक्सर फ़िशिंग वेबसाइट आपको वास्तविक साइट के लॉगिन पृष्ठ पर वापस भेज देगी, जहाँ आपको इस बार फिर से वैधता दर्ज करने के लिए कहा जाएगा। जैसा कि आप अब वास्तविक वेबसाइट में लॉग इन कर रहे हैं, आशा है कि सभी संदेह दूर हो जाएंगे.

इस बीच, हमलावर ने आपका उपयोगकर्ता नाम और पासवर्ड जमा कर लिया है और वे उन्हें इस्तेमाल कर सकते हैं। यदि उन्होंने आपके ईमेल खाते तक पहुंच प्राप्त कर ली है, तो वे आपके ईमेल पते से जुड़े हर खाते का पासवर्ड रीसेट कर सकते हैं, फिर इन्हें भी नियंत्रित करें.

इससे भी बदतर, आपके ईमेल इनबॉक्स में पाई गई जानकारी एक हमलावर को आपके वित्तीय खातों के बाद आने वाले सही समय की योजना बनाने की अनुमति दे सकती है, जैसे कि बीमारी या लंबी उड़ान के दौरान.

स्पूफिंग पते और फ़िशिंग ईमेल

हमलावर मुख्य रूप से लोगों को सफलतापूर्वक फँसाने के लिए दो तकनीकी तरकीबों का इस्तेमाल करते हैं - ईमेल या फोन कॉल को ख़राब करना; बाकी सब कुछ अच्छे समय, विश्वसनीय भाषा और उत्कृष्ट डिजाइन के उपयोग के आसपास घूमता है.

ईमेल पते और फ़ोन नंबर को स्पूफ करना बहुत आसान है, इसलिए आप ईमेल पते पर भरोसा नहीं कर सकते हैं जो कि [email protected] से आने का दावा करता है कि वास्तव में फेसबुक द्वारा भेजा गया है। कई ईमेल सेवाएँ क्रिप्टोग्राफ़िक हस्ताक्षरों की जाँच करेंगी जो यह साबित करती हैं कि एक ईमेल एक विशेष डोमेन से भेजा गया था, लेकिन ये हस्ताक्षर अभी भी पूरे वेब पर मानक नहीं हैं, इसलिए उनकी अनुपस्थिति एक नकली संदेश का प्रमाण नहीं है.

इसी तरह, आपके बैंक से उदाहरण के लिए, किसी ज्ञात संख्या से कॉल आपके फ़ोन पर आ सकती है। लेकिन इस बात का कोई प्रमाण नहीं है कि यह कॉल वास्तव में इस नंबर से उत्पन्न हुई है। जब एक स्पूफ़ किए गए नंबर या ईमेल पते के बारे में संदेह हो, तो वापस लिखें या कॉल करें और उत्तर की प्रतीक्षा करें.

नकली URL और फ़िशिंग वेबसाइट

ईमेल पते को बिगाड़ने के अलावा, हमलावर उन URL को पंजीकृत करेंगे जो वैध साइटों की नकल करते हैं। वे अक्सर अक्षरों के क्रम को थोड़ा बदलकर ऐसा करते हैं, जैसे goolge.com। एक अन्य युक्ति निर्दोष दिखने वाले डोमेन को पंजीकृत करना और वैध-ध्वनि वाले डोमेन को उप डोमेन के रूप में उपयोग करना है, जैसे facebook.com.importantsecurityreview.co.

जैसा कि हमलावर वास्तव में इन उपडोमेन का मालिक है, वे इसके लिए एक HTTPS सुरक्षा प्रमाणपत्र प्राप्त कर सकते हैं, जिससे साइट वैध दिखाई देगी.

फ़िशिंग-उदाहरणहमलावर आपके डेटा के लिए मछली करेंगे.

फ़िशिंग और स्पीयरफ़िशिंग के बीच अंतर

स्पीयरफिशिंग एक फ़िशिंग हमला है जिसका उद्देश्य विशेष रूप से आप पर है, जो कि स्पैम की तरह चारों ओर फैला हुआ है, जो भी ईमेल पते वे पा सकते हैं। ये फ़िशिंग हमले विशेष रूप से उपयोगी साबित हुए हैं, क्योंकि ईमेल व्यक्तिगत रूप से निर्देशित हो सकते हैं और एक विशिष्ट संदर्भ के अनुरूप हो सकते हैं, या अक्सर एक बड़े, परिष्कृत हमले में फिट होते हैं।.

मछली पकड़ने की उपमा का उपयोग करने के लिए: समुद्र में अपनी चारा छोड़ने और किसी मछली के काटने की प्रतीक्षा करने के बजाय, सटीक रूप से एक ही मछली के चारों ओर चक्कर लगाना और उस पर व्यक्तिगत हमला करना.

उदाहरण के लिए, यदि आप एक फ्रीलांसर हैं, तो आपको अपने इनबॉक्स में अपनी सेवाओं के लिए अनुरोध मिल सकता है। इसके बाद आप अपने संदर्भ पत्रों को एक ड्रॉपबॉक्स फ़ोल्डर में अपलोड करने के लिए कह सकते हैं, और इस फ़ोल्डर को सीधे लिंक करने के बजाय, आपको एक फ़िशिंग साइट पर निर्देशित किया जाता है। फ़िशिंग साइट पर अपना पासवर्ड टाइप करने के बाद, आपको एक वास्तविक ड्रॉपबॉक्स फ़ोल्डर में पुनर्निर्देशित किया जा सकता है, और कभी भी किसी भी फ़ाउल प्ले पर संदेह न करें।.

बड़े संगठनों में भाले के हमले बहुत आम हैं, जहां आपराधिक उद्यम, प्रतियोगी और सरकार कर्मचारियों को लक्षित कर सकते हैं, अक्सर लिंक्डइन पर पाए जाते हैं, संगठन के बारे में खुफिया जानकारी इकट्ठा करने और नेटवर्क में किसी भी कमजोर स्पॉट को खोजने के लिए।.

एक हमले और फ़िशिंग संरक्षण खोलना

दो-कारक प्रमाणीकरण कुछ फ़िशिंग हमलों से सुरक्षा प्रदान कर सकते हैं, क्योंकि इससे हमलावर को आपके खाते तक बार-बार पहुंचने में कठिनाई होती है। लेकिन परिष्कृत फ़िशिंग हमले केवल आपकी साख को संग्रहीत नहीं करेंगे, बल्कि एक साथ आपके खाते में प्रवेश करेंगे। इस तरह हमलावर तुरंत पता लगा सकता है कि क्या इकट्ठा किए गए क्रेडेंशियल्स काम कर रहे हैं, और यदि नहीं, तो आपसे पासवर्ड के लिए फिर से पूछें.

यदि हमलावरों को कैप्चा या टू-फैक्टर ऑथेंटिकेशन का सामना करना पड़ता है, तो वे आपको अपनी नकली साइट पर एक विंडो में कोड दर्ज करने के लिए कहेंगे और फिर इसे अपने वास्तविक खाते में लॉग इन करने के लिए उपयोग करेंगे।.

फेसबुक और कुछ अन्य कंपनियां आपको अपने पीजीपी कुंजी को अपने सर्वर पर अपलोड करने की अनुमति देती हैं। ऐसा करने के बाद, फेसबुक से आपके द्वारा प्राप्त सभी ईमेल एन्क्रिप्टेड और हस्ताक्षर किए जाएंगे, जिससे आपको उनकी प्रामाणिकता को सत्यापित करना बहुत आसान हो जाएगा। इसके अलावा, यदि कोई आपके ईमेल खाते तक पहुंचने में सक्षम हो सकता है, तो वे आपके नोटिफिकेशन को पढ़ नहीं पाएंगे या आपके फेसबुक पासवर्ड को रीसेट नहीं कर पाएंगे।.

दुर्भाग्य से, फ़िशिंग हमलों के खिलाफ एकमात्र टिकाऊ सुरक्षा स्वस्थ संदेह, उचित परिश्रम और एक मजबूत जागरूकता है। कई संगठन नियमित रूप से फ़िशिंग स्कैम का पता लगाने और उनसे बचने की अपनी क्षमता पर अपने कर्मचारियों का परीक्षण करते हैं। जिन कंपनियों में साइबर सुरक्षा का सबसे अधिक महत्व है, बार-बार ऐसे फ़िशिंग परीक्षणों के लिए गिरना रोजगार की समाप्ति के लिए आधार हैं.

विशेष रुप से प्रदर्शित चित्र: क्लूवा / जमा तस्वीरें
फ़िशिंग: अलेक्जेंड्रगल / जमा तस्वीरें

इंटरनेट हैक: फ़िशिंग और स्पीयरफिशिंग के बारे में बताया गया
admin Author
Sorry! The Author has not filled his profile.