फ़िशिंग क्या है और यह आपको पैसे और रहस्यों को कैसे लूट सकता है
टिप्स प्रौद्योगिकी के / / December 28, 2020
फ़िशिंग क्या है और यह कितना खतरनाक है
फ़िशिंग एक सामान्य प्रकार का साइबर धोखाधड़ी है जिसका उद्देश्य समझौता खाता है रिकॉर्ड और उन पर नियंत्रण की अवरोधन, क्रेडिट कार्ड डेटा की चोरी या अन्य कोई गोपनीय जानकारी।
सबसे अधिक बार, हमलावर ईमेल का उपयोग करते हैं: उदाहरण के लिए, वे एक प्रसिद्ध कंपनी की ओर से पत्र भेजते हैं, उपयोगकर्ताओं को एक लाभदायक प्रचार के बहाने इसकी नकली वेबसाइट पर लालच देते हैं। पीड़ित नकली को नहीं पहचानता है, अपने खाते से उपयोगकर्ता नाम और पासवर्ड दर्ज करता है, और इस प्रकार उपयोगकर्ता स्वयं डेटा को स्कैमर्स में स्थानांतरित करता है।
कोई भी पीड़ित हो सकता है। स्वचालित फ़िशिंग ईमेल को अक्सर एक व्यापक दर्शक (सैकड़ों या हजारों पते) पर लक्षित किया जाता है, लेकिन एक विशिष्ट लक्ष्य पर लक्षित हमले भी होते हैं। सबसे अधिक बार, ये लक्ष्य शीर्ष प्रबंधक या अन्य कर्मचारी हैं, जिनके पास कॉर्पोरेट डेटा तक विशेषाधिकार प्राप्त है। इस व्यक्तिगत फ़िशिंग रणनीति को वेलिंग (eng) कहा जाता है। व्हेलिंग), जो "व्हेल को पकड़ने" के रूप में अनुवाद करता है।
फ़िशिंग हमलों के परिणाम विनाशकारी हो सकते हैं। स्कैमर्स आपके व्यक्तिगत पत्राचार को पढ़ सकते हैं, फ़िशिंग संदेशों को अपने संपर्कों के सर्कल में भेज सकते हैं, बैंक खातों से पैसे निकाल सकते हैं, और आम तौर पर व्यापक अर्थों में आपकी ओर से कार्य कर सकते हैं। यदि आप कोई व्यवसाय चलाते हैं, तो जोखिम और भी अधिक है। फ़िशर कॉर्पोरेट रहस्यों को चुराने, संवेदनशील फ़ाइलों को नष्ट करने या अपने ग्राहकों के डेटा को लीक करने, कंपनी की प्रतिष्ठा को नुकसान पहुंचाने में सक्षम हैं।
रिपोर्ट के अनुसारफ़िशिंग गतिविधि रुझान रिपोर्ट एंटी फ़िशिंग वर्किंग ग्रुप, अकेले 2019 की अंतिम तिमाही में, साइबर सिक्योरिटी विशेषज्ञों ने 162 हजार से अधिक धोखाधड़ी वाले स्थलों और 132 हजार ईमेल अभियानों की खोज की। इस दौरान, दुनिया भर की लगभग एक हजार कंपनियां फ़िशिंग का शिकार हो गईं। यह देखा जाना बाकी है कि कितने हमलों का पता नहीं चला।
इवान बुडिलिन
रूस में Microsoft प्रौद्योगिकी केंद्र के वास्तुकार।
अपने बारे में स्पष्ट होना और अपने सहकर्मियों, मित्रों और परिवार के लिए कुछ चीजों को संप्रेषित करना महत्वपूर्ण है। पहला, उद्योग हमारे खिलाफ है। साइबर क्रिमिनल अब उत्साही प्रैंकस्टर्स नहीं हैं, वे अनुभवी पेशेवर हैं जो एक तरह से या किसी अन्य, आप से पैसे कमाना चाहते हैं। दूसरा: किसी भी जानकारी का महत्व है, भले ही यह महत्वहीन लगता हो। और सामाजिक नेटवर्क में आपकी गतिविधि, और आपकी पसंदीदा किटी का उपनाम - सब कुछ या तो उपयोग किया जा सकता है प्रत्यक्ष मुद्रीकरण, या अधिक "महंगी" तक पहुंच प्राप्त करने के लिए एक हमले के चरण के रूप में डेटा। तीसरा, मल्टी-फैक्टर ऑथेंटिकेशन और पासवर्ड-फ्री लॉगिन का उपयोग धीरे-धीरे मजबूत सिफारिशों की श्रेणी से एक परिवर्तित वास्तविकता की कठोर आवश्यकताओं की श्रेणी में बढ़ रहा है।
विकास और फ़िशिंग के प्रकार
"फिशिंग" शब्द अंग्रेजी के "फिशिंग" शब्द से आया है। इस प्रकार का घोटाला वास्तव में मछली पकड़ने जैसा दिखता है: हमलावर एक नकली संदेश या लिंक के रूप में चारा फेंकता है और उपयोगकर्ताओं के काटने का इंतजार करता है।
लेकिन अंग्रेजी में "फ़िशिंग" को थोड़ा अलग तरीके से लिखा जाता है: फ़िशिंग। डिग्राफ ph का उपयोग अक्षर f के बजाय किया जाता है। एक संस्करण के अनुसार, यह शब्द फोनी ("धोखेबाज", "ठग") का एक संदर्भ है। दूसरे पर - शुरुआती हैकरों के उपसंस्कृति को जिन्हें फ़्रीकेर्स ("फ़्रीकेर्स") कहा जाता था।
यह माना जाता है कि फ़िशिंग शब्द का उपयोग पहली बार 1990 के मध्य में यूज़नेट समाचार समूह में सार्वजनिक रूप से किया गया था। उस समय, स्कैमर्स ने अमेरिकी इंटरनेट प्रदाता एओएल के ग्राहकों को लक्षित करते हुए पहला फ़िशिंग हमला किया। हमलावरों ने संदेश भेजे और अपनी साख की पुष्टि करने के लिए कहा, कंपनी के कर्मचारियों को लगा दिया।
इंटरनेट के विकास के साथ, नए प्रकार के फ़िशिंग हमले दिखाई दिए हैं। जालसाजों ने पूरी वेबसाइटों को नकली बनाना शुरू कर दिया और विभिन्न चैनलों और संचार सेवाओं में महारत हासिल कर ली। इस प्रकार के फ़िशिंग को आज प्रतिष्ठित किया जा सकता है।
- ईमेल फ़िशिंग। धोखाधड़ी करने वाले एक नामी कंपनी के पते या चयनित पीड़ित के परिचित के समान एक मेलिंग पता दर्ज करते हैं, और इसके बारे में पत्र भेजते हैं। उसी समय, प्रेषक, डिजाइन और सामग्री के नाम से, एक नकली पत्र मूल के लगभग समान हो सकता है। केवल अंदर एक नकली साइट, संक्रमित अनुलग्नकों या गोपनीय डेटा भेजने के लिए सीधे अनुरोध के लिए एक लिंक है।
- एसएमएस फ़िशिंग (मुस्कुराते हुए)। यह योजना पिछले एक के समान है, लेकिन ईमेल के बजाय एसएमएस का उपयोग किया जाता है। गोपनीय डेटा के अनुरोध के साथ या नकली साइट के लिंक के साथ ग्राहक को एक अज्ञात (आमतौर पर कम) नंबर से एक संदेश प्राप्त होता है। उदाहरण के लिए, एक हमलावर खुद को बैंक के रूप में पेश कर सकता है और सत्यापन कोड का अनुरोध कर सकता है जो आपको पहले मिला था। वास्तव में, स्कैमर्स को आपके बैंक खाते में हैक करने के लिए कोड की आवश्यकता होती है।
- सोशल मीडिया फ़िशिंग। त्वरित दूतों और सोशल मीडिया के प्रसार के साथ, फ़िशिंग हमलों ने इन चैनलों को भी बाढ़ कर दिया है। हमलावर आपको प्रसिद्ध संगठनों या आपके दोस्तों के नकली या समझौता किए गए खातों के माध्यम से संपर्क कर सकते हैं। बाकी हमले के सिद्धांत पिछले वाले से अलग नहीं हैं।
- फोन फ़िशिंग (विशिंग)। स्कैमर पाठ संदेश तक सीमित नहीं हैं और आपको कॉल कर सकते हैं। ज्यादातर, इंटरनेट टेलीफोनी (वीओआईपी) का उपयोग इस उद्देश्य के लिए किया जाता है। कॉल करने वाला, उदाहरण के लिए, आपके भुगतान प्रणाली की सहायता सेवा का कर्मचारी हो सकता है और वॉलेट तक पहुँचने के लिए डेटा का अनुरोध कर सकता है - सत्यापन के लिए।
- फ़िशिंग खोजें। आप खोज परिणामों में सही फ़िशिंग भर में आ सकते हैं। यह उस लिंक पर क्लिक करने के लिए पर्याप्त है जो एक नकली साइट की ओर जाता है और उस पर व्यक्तिगत डेटा छोड़ देता है।
- पॉप-अप फ़िशिंग। हमलावर अक्सर पॉप-अप का उपयोग करते हैं। एक संदिग्ध संसाधन को देखते हुए, आप एक बैनर देख सकते हैं जो कुछ लाभ का वादा करता है - उदाहरण के लिए, छूट या मुफ्त सामान - एक प्रसिद्ध कंपनी की ओर से। इस लिंक पर क्लिक करके, आपको साइबर अपराधियों द्वारा नियंत्रित साइट पर ले जाया जाएगा।
- खेती। सीधे फ़िशिंग से संबंधित नहीं है, लेकिन खेती भी एक बहुत ही सामान्य हमला है। इस मामले में, हमलावर DNS डेटा को खराब कर देता है, स्वचालित रूप से उपयोगकर्ता को मूल साइटों के बजाय नकली पर पुनर्निर्देशित करता है। पीड़ित को कोई भी संदिग्ध संदेश या बैनर दिखाई नहीं देता है, जिससे हमले की प्रभावशीलता बढ़ जाती है।
फिशिंग का विकास जारी है। Microsoft ने नई तकनीकों का खुलासा किया कि 2019 में इसकी Office 365 उन्नत थ्रेट प्रोटेक्शन एंटी-फ़िशिंग सेवा की खोज की गई। उदाहरण के लिए, स्कैमर ने खोज परिणामों में दुर्भावनापूर्ण सामग्री को बेहतर तरीके से छिपाने के लिए सीखा है: शीर्ष पर वैध लिंक प्रदर्शित करें जो उपयोगकर्ता को फ़िशिंग साइटों पर कई का उपयोग करके ले जाते हैं रीडायरेक्ट हैं।
इसके अलावा, साइबर क्रिमिनल स्वचालित रूप से फ़िशिंग लिंक और इलेक्ट्रॉनिक की सटीक प्रतियां उत्पन्न करने लगे गुणात्मक रूप से नए स्तर पर पत्र, जो आपको अधिक प्रभावी रूप से उपयोगकर्ताओं को धोखा देने और धन को बायपास करने की अनुमति देता है सुरक्षा।
Office 365 को जानें
खुद को फिशिंग से कैसे बचाएं
अपनी तकनीकी साक्षरता में सुधार करें। जैसा कि वे कहते हैं, वह जो सिद्ध है वह सशस्त्र है। अपने दम पर सूचना सुरक्षा का अध्ययन करें या सलाह के लिए विशेषज्ञों से सलाह लें। यहां तक कि डिजिटल स्वच्छता की मूल बातों का एक सरल ज्ञान भी आपको बहुत परेशानी से बचा सकता है।
सावधान रहे। अज्ञात वार्ताकारों से पत्रों में लिंक या खुले अनुलग्नकों का पालन न करें। कृपया प्रेषकों के संपर्क विवरण और आपके द्वारा देखी जाने वाली साइटों के पते की जांच करें। जब संदेश विश्वसनीय लगे तब भी व्यक्तिगत जानकारी के अनुरोधों का जवाब न दें। यदि कोई कंपनी प्रतिनिधि जानकारी मांगता है, तो उनके कॉल सेंटर को कॉल करना और स्थिति की रिपोर्ट करना बेहतर होता है। पॉप-अप पर क्लिक न करें।
पासवर्ड का समझदारी से इस्तेमाल करें। प्रत्येक खाते के लिए एक अद्वितीय और मजबूत पासवर्ड का उपयोग करें। उन सेवाओं की सदस्यता लें, जो उपयोगकर्ताओं को चेतावनी देती हैं कि यदि उनके खातों के पासवर्ड वेब पर दिखाई देते हैं, और समझौता होने पर तुरंत एक्सेस कोड बदल दें।
बहु-कारक प्रमाणीकरण सेट करें। यह सुविधा अतिरिक्त रूप से खाते की सुरक्षा करती है, उदाहरण के लिए, वन-टाइम पासवर्ड का उपयोग करना। इस स्थिति में, हर बार जब आप पासवर्ड के अलावा किसी नए उपकरण से अपने खाते में प्रवेश करते हैं, तो आपको करना होगा एसएमएस द्वारा आपके पास भेजे गए एक चार- या छह-वर्ण कोड दर्ज करें या एक विशेष में उत्पन्न आवेदन। यह बहुत सुविधाजनक नहीं लग सकता है, लेकिन यह दृष्टिकोण आपको 99% आम हमलों से बचाएगा। आखिरकार, यदि स्कैमर्स पासवर्ड चोरी करते हैं, तो वे अभी भी सत्यापन कोड के बिना दर्ज नहीं कर पाएंगे।
पासवर्ड रहित लॉगिन सुविधाओं का उपयोग करें। उन सेवाओं में, जहां संभव हो, आपको पासवर्ड का उपयोग पूरी तरह से छोड़ देना चाहिए, उन्हें स्मार्टफोन पर एप्लिकेशन के माध्यम से हार्डवेयर सुरक्षा कुंजी या प्रमाणीकरण के साथ बदलना चाहिए।
एंटीवायरस सॉफ़्टवेयर का उपयोग करें। एक समय पर अद्यतन किया गया एंटीवायरस आपके कंप्यूटर को दुर्भावनापूर्ण प्रोग्राम से बचाने में मदद करेगा जो फ़िशिंग साइट्स पर रीडायरेक्ट करता है या लॉगिन और पासवर्ड चुराता है। लेकिन याद रखें कि आपकी मुख्य सुरक्षा अभी भी डिजिटल स्वच्छता नियमों का पालन करने और साइबर सुरक्षा की सिफारिशों का पालन करने के लिए है।
अगर आप कोई बिजनेस चलाते हैं
निम्नलिखित सुझाव व्यवसाय के मालिकों और सीईओ के लिए भी सहायक होंगे।
अपने कर्मचारियों को प्रशिक्षित करें। मातहतों को समझाएं कि ईमेल और अन्य संचार माध्यमों से क्या संदेश देना चाहिए और कौन सी जानकारी नहीं भेजनी चाहिए। निजी प्रयोजनों के लिए कॉर्पोरेट मेल का उपयोग करने से कर्मचारियों को रोकें। पासवर्ड के साथ काम करने के तरीके पर उन्हें निर्देश दें। यह एक संदेश अवधारण नीति पर विचार करने के लायक भी है: उदाहरण के लिए, सुरक्षा उद्देश्यों के लिए, आप एक निश्चित अवधि से पुराने संदेशों को हटा सकते हैं।
शैक्षिक फ़िशिंग हमलों का संचालन करें। यदि आप फ़िशिंग के लिए अपने कर्मचारियों की प्रतिक्रिया का परीक्षण करना चाहते हैं, तो एक हमले की कोशिश करें। उदाहरण के लिए, आप के समान एक मेलिंग पता दर्ज करें और इसे अधीनस्थों को पत्र भेजकर उन्हें आपको गोपनीय डेटा प्रदान करने के लिए कहें।
एक विश्वसनीय डाक सेवा चुनें। मुफ्त ईमेल प्रदाता व्यावसायिक संचार के लिए बहुत कमजोर हैं। कंपनियों को केवल सुरक्षित कॉर्पोरेट सेवाओं का चयन करना चाहिए। उदाहरण के लिए, Office 365 में शामिल Microsoft Exchange मेल सेवा के उपयोगकर्ताओं को फ़िशिंग और अन्य खतरों से व्यापक सुरक्षा प्राप्त है। स्कैमर का मुकाबला करने के लिए, माइक्रोसॉफ्ट हर महीने सैकड़ों अरबों ईमेल का विश्लेषण करता है।
एक साइबर सुरक्षा विशेषज्ञ को किराए पर लें। यदि आपका बजट अनुमति देता है, तो एक योग्य पेशेवर खोजें जो फ़िशिंग और अन्य साइबर खतरों के खिलाफ चल रहे संरक्षण प्रदान करेगा।
अगर आप फिशिंग के शिकार हैं तो क्या करें
यदि यह मानने का कोई कारण है कि आपका डेटा गलत हाथों में गिर गया है, तो तुरंत कार्रवाई करें। वायरस के लिए अपने उपकरणों की जाँच करें और खाता पासवर्ड बदलें। बैंक कर्मचारियों को सूचित करें कि आपका भुगतान विवरण चोरी हो सकता है। यदि आवश्यक हो, तो संभावित रिसाव के ग्राहकों को सूचित करें।
ऐसी स्थितियों को पुनरावृत्ति से बचाने के लिए, विश्वसनीय और आधुनिक सहयोग सेवाएँ चुनें। अंतर्निहित सुरक्षा तंत्र वाले उत्पाद सबसे उपयुक्त हैं: यह यथासंभव सुविधाजनक रूप से काम करेगा और डिजिटल सुरक्षा को जोखिम में नहीं डालना होगा।
इसके अलावा, सेवा जोखिम मूल्यांकन और शर्तों की एक विस्तृत श्रृंखला को ध्यान में रखते हुए गतिशील अभिगम नियंत्रण प्रदान करती है। ऑफिस 365 में बिल्ट-इन ऑटोमेशन और डेटा एनालिटिक्स भी हैं, और यह आपको उपकरणों को नियंत्रित करने और रिसाव से जानकारी की सुरक्षा करने की भी अनुमति देता है।
Microsoft Office 365 आज़माएँ