सोशल इंजीनियरिंग को समझें - मानव हैकिंग से सुरक्षा
हाल ही की एक खबर ने मुझे यह महसूस कराया कि मानवीय भावनाओं और विचारों का दूसरों के लाभ के लिए कैसे उपयोग किया जा सकता है (या हैं)। आप में से लगभग हर कोई एडवर्ड स्नोडेन को जानता है, जो (Edward Snowden)एनएसए(NSA) के व्हिसलब्लोअर हैं और दुनिया भर में जासूसी कर रहे हैं। रॉयटर्स ने बताया कि उन्होंने बाद में लीक हुए कुछ डेटा को पुनर्प्राप्त करने के लिए लगभग 20-25 एनएसए(NSA) लोगों को अपना पासवर्ड उन्हें सौंप दिया। कल्पना कीजिए(Imagine) कि आपका कॉर्पोरेट नेटवर्क कितना कमजोर हो सकता है, यहां तक कि सबसे मजबूत और सर्वोत्तम सुरक्षा सॉफ़्टवेयर के साथ भी!
सोशल इंजीनियरिंग क्या है
मानवीय(Human) कमजोरी, जिज्ञासा, भावनाओं और अन्य विशेषताओं का उपयोग अक्सर अवैध रूप से डेटा निकालने में किया जाता है - चाहे वह कोई भी उद्योग हो। हालाँकि , आईटी उद्योग(IT Industry) ने इसे सोशल इंजीनियरिंग का नाम दिया है। मैं सोशल इंजीनियरिंग को इस प्रकार परिभाषित करता हूं:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
यहां उसी समाचार की एक और पंक्ति है [1] जिसे मैं उद्धृत करना चाहता हूं - " सुरक्षा एजेंसियों को इस विचार के साथ कठिन समय हो रहा है कि अगले कक्ष में आदमी विश्वसनीय नहीं हो सकता है(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) "। मैंने इसे यहां संदर्भ में फिट करने के लिए कथन को थोड़ा संशोधित किया है। आप संदर्भ(References) अनुभाग में लिंक का उपयोग करके पूरी खबर पढ़ सकते हैं ।
दूसरे शब्दों में, आपके पास अपने संगठनों की सुरक्षा पर पूर्ण नियंत्रण नहीं है क्योंकि सोशल इंजीनियरिंग इससे निपटने के लिए तकनीकों की तुलना में बहुत तेजी से विकसित हो रही है। सोशल(Social) इंजीनियरिंग कुछ भी हो सकता है जैसे किसी को कॉल करना कि आप तकनीकी सहायता हैं और उनसे उनके लॉगिन क्रेडेंशियल के लिए पूछें। आपको लॉटरी के बारे में फ़िशिंग ईमेल प्राप्त होते रहे होंगे, मध्य पूर्व(Mid East) और अफ्रीका(Africa) में अमीर लोग जो व्यापार भागीदार चाहते हैं, और नौकरी के प्रस्ताव आपसे आपका विवरण मांगते हैं।
फ़िशिंग हमलों के विपरीत, सोशल इंजीनियरिंग सीधे व्यक्ति-से-व्यक्ति की बातचीत है। पूर्व (फ़िशिंग) एक चारा का उपयोग करता है - अर्थात, "मछली पकड़ने" वाले लोग आपको कुछ इस उम्मीद में पेश कर रहे हैं कि आप इसके लिए गिर जाएंगे। सोशल(Social) इंजीनियरिंग आंतरिक कर्मचारियों का विश्वास जीतने के बारे में अधिक है ताकि वे कंपनी के विवरण को प्रकट कर सकें जो आपको चाहिए।
पढ़ें: (Read:) सोशल इंजीनियरिंग के लोकप्रिय तरीके ।
ज्ञात सामाजिक इंजीनियरिंग तकनीक
कई हैं, और ये सभी किसी भी संगठन के डेटाबेस में आने के लिए बुनियादी मानवीय प्रवृत्तियों का उपयोग करते हैं। सबसे अधिक उपयोग की जाने वाली (शायद पुरानी) सोशल इंजीनियरिंग तकनीक लोगों को कॉल करना और उनसे मिलना और उन्हें यह विश्वास दिलाना है कि वे तकनीकी सहायता से हैं जिन्हें आपके कंप्यूटर की जांच करने की आवश्यकता है। वे विश्वास स्थापित करने के लिए फर्जी आईडी कार्ड भी बना सकते हैं। कुछ मामलों में, अपराधी राज्य के अधिकारियों के रूप में सामने आते हैं।
एक अन्य प्रसिद्ध तकनीक है अपने व्यक्ति को लक्षित संगठन में एक कर्मचारी के रूप में नियुक्त करना। अब, चूंकि यह चोर आपका सहयोगी है, आप कंपनी के विवरण के साथ उस पर भरोसा कर सकते हैं। बाहरी कर्मचारी आपकी कुछ मदद कर सकता है, इसलिए आप बाध्य महसूस करते हैं, और तभी वे अधिकतम लाभ उठा सकते हैं।
मैंने इलेक्ट्रॉनिक उपहारों का उपयोग करने वाले लोगों के बारे में कुछ रिपोर्टें भी पढ़ीं। आपकी कंपनी के पते पर आपको दी गई एक फैंसी यूएसबी(USB) स्टिक या आपकी कार में पड़ी एक पेन ड्राइव आपदा साबित हो सकती है। एक मामले में, किसी ने कुछ यूएसबी(USB) ड्राइव को जानबूझकर पार्किंग में चारा के रूप में छोड़ दिया [2]।
यदि आपकी कंपनी के नेटवर्क में प्रत्येक नोड पर अच्छे सुरक्षा उपाय हैं, तो आप धन्य हैं। अन्यथा, ये नोड मैलवेयर के लिए एक आसान मार्ग प्रदान करते हैं - उस उपहार में या "भूल गए" पेन ड्राइव में - केंद्रीय सिस्टम के लिए।
इस प्रकार हम सामाजिक इंजीनियरिंग विधियों की एक विस्तृत सूची प्रदान नहीं कर सकते हैं। यह शीर्ष पर कला के साथ संयुक्त रूप से एक विज्ञान है। और आप जानते हैं कि दोनों में से किसी की भी कोई सीमा नहीं है। सॉफ्टवेयर विकसित करते समय सोशल इंजीनियरिंग के लोग रचनात्मक होते रहते हैं जो कंपनी (Social)वाई-फाई(Wi-Fi) तक पहुंच प्राप्त करने वाले वायरलेस उपकरणों का दुरुपयोग भी कर सकते हैं ।
पढ़ें: (Read:) सामाजिक रूप से इंजीनियर मैलवेयर क्या है ।
सामाजिक इंजीनियरिंग को रोकें
व्यक्तिगत रूप से, मुझे नहीं लगता कि ऐसी कोई प्रमेय है जिसका उपयोग व्यवस्थापक सोशल इंजीनियरिंग हैक को रोकने के लिए कर सकते हैं। सोशल इंजीनियरिंग तकनीक बदलती रहती है, और इसलिए आईटी प्रशासकों के लिए यह मुश्किल हो जाता है कि क्या हो रहा है।
बेशक, सोशल इंजीनियरिंग की खबरों पर नजर रखने की जरूरत है ताकि किसी को उचित सुरक्षा उपाय करने के लिए पर्याप्त जानकारी दी जा सके। उदाहरण के लिए, यूएसबी उपकरणों के मामले में, व्यवस्थापक (USB)यूएसबी(USB) ड्राइव को अलग-अलग नोड्स पर ब्लॉक कर सकते हैं, जिससे उन्हें केवल उस सर्वर पर अनुमति मिलती है जिसमें बेहतर सुरक्षा प्रणाली होती है। इसी तरह(Likewise) , वाई-फाई को स्थानीय (Wi-Fi)आईएसपी(ISPs) द्वारा प्रदान किए जाने वाले अधिकांश की तुलना में बेहतर एन्क्रिप्शन की आवश्यकता होगी ।
कर्मचारियों को प्रशिक्षित करना और विभिन्न कर्मचारी समूहों पर यादृच्छिक परीक्षण करना संगठन में कमजोर बिंदुओं की पहचान करने में मदद कर सकता है। कमजोर व्यक्तियों को प्रशिक्षित करना और सावधान करना आसान होगा। सतर्कता(Alertness) सबसे अच्छा बचाव है। जोर इस बात पर होना चाहिए कि लॉगिन जानकारी को टीम के नेताओं के साथ भी साझा नहीं किया जाना चाहिए - दबाव के बावजूद। यदि किसी टीम लीडर को किसी सदस्य के लॉगिन तक पहुंचने की आवश्यकता है, तो वह मास्टर पासवर्ड का उपयोग कर सकता है। सुरक्षित रहने और सोशल इंजीनियरिंग हैक से बचने के लिए यह सिर्फ एक सुझाव है।
लब्बोलुआब यह है कि मैलवेयर और ऑनलाइन हैकर्स के अलावा, आईटी लोगों को सोशल इंजीनियरिंग का भी ध्यान रखना होगा। डेटा उल्लंघन (जैसे पासवर्ड लिखना आदि) के तरीकों की पहचान करते समय, व्यवस्थापकों को यह भी सुनिश्चित करना चाहिए कि उनका स्टाफ पूरी तरह से बचने के लिए सोशल इंजीनियरिंग तकनीक की पहचान करने के लिए पर्याप्त स्मार्ट है। आपको क्या लगता है कि सोशल इंजीनियरिंग को रोकने के लिए सबसे अच्छे तरीके क्या हैं? यदि आपके सामने कोई दिलचस्प मामला आया है, तो कृपया हमारे साथ साझा करें।
Microsoft द्वारा जारी सोशल इंजीनियरिंग अटैक पर इस ईबुक को डाउनलोड करें और जानें कि आप अपने संगठन में ऐसे हमलों का पता कैसे लगा सकते हैं और उन्हें कैसे रोक सकते हैं।(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
संदर्भ(References)
[1] रायटर(Reuters) , स्नोडेन ने (Snowden)एनएसए कर्मचारियों(NSA Employees Into) को उनकी लॉगिन जानकारी(Info) प्राप्त करने के लिए राजी किया
[2] बोइंग नेट(Boing Net) , पेन(Pen) ड्राइव्स का इस्तेमाल मैलवेयर(Spread Malware) फैलाने के लिए किया जाता है ।
About the author
मैं एक सॉफ्टवेयर इंजीनियर हूं, जिसके पास मोबाइल और डेस्कटॉप एप्लिकेशन पर काम करने का दो साल से अधिक का अनुभव है। मुझे विंडोज़ अपडेट, सेवाओं और जीमेल में विशेषज्ञता हासिल है। मेरे कौशल मुझे विंडोज़ एप्लिकेशन विकसित करने या ईमेल क्लाइंट बनाए रखने जैसे कार्यों के लिए सही उम्मीदवार बनाते हैं।
Related posts
इंटरनेट और सोशल नेटवर्किंग साइट्स की लत
फेक न्यूज वेबसाइटें: एक बढ़ती हुई समस्या और आज की दुनिया में इसका क्या अर्थ है
इंस्टाग्राम रील्स को कैसे सेट करें, रिकॉर्ड करें, संपादित करें, प्रकाशित करें
Reddit खाते के लिए दो-कारक प्रमाणीकरण कैसे सक्षम करें
विंडोज क्लब से जुड़ें
आपके मरने पर आपके ऑनलाइन खातों का क्या होता है: डिजिटल संपत्ति प्रबंधन
माइक्रोसॉफ्ट स्टोर में उपलब्ध विंडोज 10 के लिए 5 सर्वश्रेष्ठ सोशल मीडिया ऐप्स
फ़बिंग क्या है और व्यक्तिगत संबंधों के लिए इसका क्या अर्थ है
रेडिट को सबसे कुशल तरीके से कैसे खोजें
साउंडक्लाउड से गाने कैसे डाउनलोड करें
फेसबुक, गूगल, माइक्रोसॉफ्ट, ट्विटर से तीसरे पक्ष की पहुंच रद्द करें
ऑनलाइन खाते, उपस्थिति और पहचान कैसे हटाएं
Yammer सुविधाएँ और जहाँ आप इसका उपयोग कर सकते हैं
फोटोशॉप में इंस्टाग्राम हिंडोला कैसे बनाएं: शुरुआती के अनुकूल ट्यूटोरियल
उन चीजों की सूची जिन्हें आपको फेसबुक या सोशल मीडिया पर साझा या पोस्ट नहीं करना चाहिए
एक Pinterest इन्फ्लुएंसर कैसे बनें
5 सर्वश्रेष्ठ फेसबुक विकल्प जिन्हें आप देखना चाहते हैं
प्रस्तुति के लिए सर्वश्रेष्ठ मुफ्त कैनवा टेम्पलेट
इंस्टाग्राम पर इन्फ्लुएंसर कैसे बनें
इंस्टाग्राम अकाउंट को स्थायी रूप से कैसे हटाएं या अस्थायी रूप से अक्षम करें