सोशल इंजीनियरिंग क्या है: परिभाषा, हमले

द्वारा: ओलिवर जोन्स ओलिवर जोन्स
Hours Updated

सोशल इंजीनियरिंग क्या है?

सोशल इंजीनियरिंग एक कंप्यूटिंग सिस्टम के उपयोगकर्ताओं को गोपनीय जानकारी प्रकट करने के लिए हेरफेर करने की कला है जिसका उपयोग कंप्यूटर सिस्टम तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है। इस शब्द में प्रतिबंधित पहुंच वाली इमारतों तक पहुंच प्राप्त करने या उपयोगकर्ताओं को बैकडोर सॉफ़्टवेयर स्थापित करने के लिए प्रेरित करने के लिए मानवीय दया, लालच और जिज्ञासा का शोषण करने जैसी गतिविधियाँ भी शामिल हो सकती हैं।

हैकर्स द्वारा उपयोगकर्ताओं को धोखा देकर उनसे महत्वपूर्ण लॉगिन जानकारी प्राप्त करने के लिए इस्तेमाल की जाने वाली तरकीबों को जानना कंप्यूटर सिस्टम की सुरक्षा के लिए महत्वपूर्ण है।

इस ट्यूटोरियल में, हम आपको सामान्य सोशल इंजीनियरिंग तकनीकों से परिचित कराएंगे और बताएंगे कि आप उनका मुकाबला करने के लिए सुरक्षा उपाय कैसे अपना सकते हैं।

सोशल इंजीनियरिंग कैसे काम करती है?

सामाजिक इंजीनियरिंग कार्य

यहाँ,

  • जानकारी इकट्ठा करेंयह पहला चरण है, जिसमें वह इच्छित शिकार के बारे में जितना संभव हो सके उतना सीखता है। जानकारी कंपनी की वेबसाइट, अन्य प्रकाशनों और कभी-कभी लक्ष्य प्रणाली के उपयोगकर्ताओं से बात करके एकत्र की जाती है।
  • हमले की योजनाहमलावर यह बताता है कि वह हमले को कैसे अंजाम देना चाहता है
  • उपकरण प्राप्त करेंइनमें वे कंप्यूटर प्रोग्राम शामिल हैं जिनका उपयोग हमलावर हमला करते समय करेगा।
  • आक्रमणलक्ष्य प्रणाली की कमज़ोरियों का फ़ायदा उठाना।
  • अर्जित ज्ञान का उपयोग करेंसामाजिक इंजीनियरिंग रणनीति के दौरान एकत्रित की गई जानकारी जैसे कि पालतू नाम, संगठन के संस्थापकों की जन्मतिथि आदि का उपयोग पासवर्ड अनुमान लगाने जैसे हमलों में किया जाता है।

सोशल इंजीनियरिंग हमलों के प्रकार

सामाजिक इंजीनियरिंग तकनीकें कई रूप ले सकती हैंसामान्यतः प्रयुक्त तकनीकों की सूची निम्नलिखित है।

परिचितता का फायदा उठाना:

उपयोगकर्ता उन लोगों के प्रति कम संदिग्ध होते हैं जिनसे वे परिचित होते हैं। सोशल इंजीनियरिंग हमले से पहले हमलावर लक्ष्य प्रणाली के उपयोगकर्ताओं से खुद को परिचित कर सकता है। हमलावर भोजन के दौरान उपयोगकर्ताओं से बातचीत कर सकता है, जब उपयोगकर्ता धूम्रपान कर रहे होते हैं तो वह शामिल हो सकता है, सामाजिक कार्यक्रमों में, आदि। यह हमलावर को उपयोगकर्ताओं से परिचित बनाता है। मान लीजिए कि उपयोगकर्ता ऐसी इमारत में काम करता है जहाँ पहुँच प्राप्त करने के लिए एक्सेस कोड या कार्ड की आवश्यकता होती है; हमलावर उपयोगकर्ताओं का पीछा कर सकता है क्योंकि वे ऐसी जगहों में प्रवेश करते हैं। उपयोगकर्ता हमलावर के अंदर जाने के लिए दरवाज़ा खुला रखने की सबसे अधिक संभावना रखते हैं क्योंकि वे उनसे परिचित होते हैं। हमलावर ऐसे सवालों के जवाब भी माँग सकता है जैसे कि आप अपने जीवनसाथी से कहाँ मिले, आपके हाई स्कूल के गणित शिक्षक का नाम आदि। उपयोगकर्ता सबसे अधिक उत्तर बताने की संभावना रखते हैं क्योंकि वे परिचित चेहरे पर भरोसा करते हैं। इस जानकारी का उपयोग हमलावर के लिए किया जा सकता है। ईमेल अकाउंट हैक करें और अन्य अकाउंट जो पासवर्ड भूल जाने पर इसी प्रकार के प्रश्न पूछते हैं।

डराने वाली परिस्थितियाँ:

लोग ऐसे लोगों से बचते हैं जो अपने आस-पास दूसरों को डराते हैं। इस तकनीक का उपयोग करके, हमलावर फोन पर या योजना में किसी साथी के साथ तीखी बहस का नाटक कर सकता है। हमलावर तब उपयोगकर्ताओं से ऐसी जानकारी मांग सकता है जिसका उपयोग उपयोगकर्ताओं के सिस्टम की सुरक्षा से समझौता करने के लिए किया जाएगा। उपयोगकर्ता हमलावर के साथ टकराव से बचने के लिए सबसे अधिक संभावना सही उत्तर देते हैं। इस तकनीक का उपयोग सुरक्षा जांच बिंदु पर जाँच से बचने के लिए भी किया जा सकता है।

फ़िशिंग:

यह तकनीक उपयोगकर्ताओं से निजी डेटा प्राप्त करने के लिए चालाकी और छल का उपयोग करती है। सोशल इंजीनियर याहू जैसी किसी वास्तविक वेबसाइट का प्रतिरूपण करने का प्रयास कर सकता है और फिर अनजान उपयोगकर्ता से उनके खाते का नाम और पासवर्ड पुष्टि करने के लिए कह सकता है। इस तकनीक का उपयोग क्रेडिट कार्ड की जानकारी या कोई अन्य मूल्यवान व्यक्तिगत डेटा प्राप्त करने के लिए भी किया जा सकता है।

टेलगेटिंग:

इस तकनीक में प्रतिबंधित क्षेत्र में प्रवेश करने वाले उपयोगकर्ताओं का पीछा करना शामिल है। मानवीय शिष्टाचार के रूप में, उपयोगकर्ता द्वारा सोशल इंजीनियर को प्रतिबंधित क्षेत्र में जाने देना सबसे अधिक संभव है।

मानवीय जिज्ञासा का शोषण:

इस तकनीक का उपयोग करते हुए, सोशल इंजीनियर जानबूझकर वायरस से संक्रमित फ्लैश डिस्क को ऐसे क्षेत्र में छोड़ सकता है जहां उपयोगकर्ता इसे आसानी से उठा सकें। उपयोगकर्ता सबसे अधिक संभावना है कि फ्लैश डिस्क को कंप्यूटर में प्लग करेगा। फ्लैश डिस्क वायरस को स्वचालित रूप से चला सकती है, या उपयोगकर्ता को कर्मचारी जैसे नाम वाली फ़ाइल खोलने का प्रलोभन हो सकता है Revaluation Report 2013.docx जो वास्तव में एक संक्रमित फ़ाइल हो सकती है।

मानवीय लालच का शोषण:

इस तकनीक का उपयोग करते हुए, सोशल इंजीनियर उपयोगकर्ता को एक फॉर्म भरकर ऑनलाइन बहुत सारा पैसा कमाने का वादा करके लुभा सकता है और क्रेडिट कार्ड विवरण आदि का उपयोग करके उनके विवरण की पुष्टि कर सकता है।

सोशल इंजीनियरिंग हमलों को कैसे रोकें?

सभी प्रकार के सोशल इंजीनियरिंग हमलों से बचाव के लिए यहां कुछ महत्वपूर्ण तरीके दिए गए हैं:

  • अपने कंप्यूटर में किसी अज्ञात यूएसबी को प्लग करने से बचें।
  • कभी भी किसी ईमेल या संदेश में दिए गए लिंक पर क्लिक न करें।
  • मजबूत पासवर्ड (और पासवर्ड मैनेजर) का उपयोग करें।
  • बहु-कारक प्रमाणीकरण का उपयोग करें।
  • केवल ऑनलाइन दोस्ती बनाने में बहुत सावधानी बरतें।
  • अपने सभी सॉफ्टवेयर को अद्यतन रखें.
  • अपने कंप्यूटिंग उपकरणों को सुरक्षित रखें।
  • एंटी-वायरस सॉफ्टवेयर खरीदें.
  • अपने डेटा का नियमित रूप से बैकअप लें।
  • संवेदनशील दस्तावेजों को नियमित रूप से नष्ट करें।
  • एक वीपीएन का प्रयोग करें।
  • अपना लैपटॉप लॉक करें

सामाजिक इंजीनियरिंग प्रतिउपाय

सामाजिक इंजीनियरिंग प्रतिउपाय

सामाजिक इंजीनियरों द्वारा उपयोग की जाने वाली अधिकांश तकनीकों में मानवीय पूर्वाग्रहों में हेरफेर करना शामिल हैऐसी तकनीकों का मुकाबला करने के लिए, एक संगठन कर सकता है;

  • परिचितता के शोषण का मुकाबला करने के लिए, उपयोगकर्ताओं को सुरक्षा उपायों के साथ परिचितता को प्रतिस्थापित न करने के लिए प्रशिक्षित किया जाना चाहिए। यहां तक ​​कि जिन लोगों से वे परिचित हैं, उन्हें भी यह साबित करना होगा कि उनके पास कुछ क्षेत्रों और सूचनाओं तक पहुंचने का अधिकार है।
  • भयावह परिस्थितियों के हमलों का मुकाबला करने के लिए, उपयोगकर्ताओं को उन सामाजिक इंजीनियरिंग तकनीकों की पहचान करने के लिए प्रशिक्षित किया जाना चाहिए जो संवेदनशील जानकारी प्राप्त करने का प्रयास करती हैं, तथा उन्हें विनम्रतापूर्वक मना कर देना चाहिए।
  • फ़िशिंग तकनीकों का मुकाबला करने के लिएयाहू जैसी अधिकांश साइटें सुरक्षित कनेक्शन का उपयोग करती हैं एन्क्रिप्ट डेटा और साबित करें कि वे वही हैं जो वे होने का दावा करते हैं। यूआरएल की जांच करने से आपको नकली साइटों को पहचानने में मदद मिल सकती है. ऐसे ईमेल का जवाब देने से बचें जो आपसे व्यक्तिगत जानकारी देने का अनुरोध करते हैं.
  • टेलगेटिंग हमलों का मुकाबला करने के लिए, उपयोगकर्ताओं को प्रशिक्षित किया जाना चाहिए कि वे प्रतिबंधित क्षेत्रों तक पहुँच प्राप्त करने के लिए दूसरों को अपनी सुरक्षा मंजूरी का उपयोग न करने दें। प्रत्येक उपयोगकर्ता को अपनी पहुँच मंजूरी का उपयोग स्वयं करना चाहिए।
  • मानवीय जिज्ञासा का मुकाबला करने के लिए, बेहतर होगा कि चुनी गई फ्लैश डिस्क को यहां जमा कर दिया जाए सिस्टम प्रशासकों को वायरस या अन्य संक्रमण के लिए उन्हें स्कैन करना चाहिए अधिमानतः एक अलग मशीन पर.
  • मानवीय लालच का फायदा उठाने वाली तकनीकों का मुकाबला करना, कर्मचारियों को होना चाहिए प्रशिक्षित इस तरह के घोटालों में फंसने के खतरों के बारे में बताया।

सारांश

  • सामाजिक इंजीनियरिंग, अनधिकृत संसाधनों तक पहुंच प्राप्त करने के लिए मानवीय तत्वों का शोषण करने की कला है।
  • सोशल इंजीनियर उपयोगकर्ताओं को मूर्ख बनाकर उनसे संवेदनशील जानकारी निकलवाने के लिए अनेक तकनीकों का उपयोग करते हैं।
  • संगठनों के पास ऐसी सुरक्षा नीतियां होनी चाहिए जिनमें सामाजिक इंजीनियरिंग संबंधी प्रतिउपाय हों।

इस पोस्ट को संक्षेप में इस प्रकार लिखें: