विज्ञापन

ईमेल धोखाधड़ी और कंप्यूटर अपराधियों द्वारा उपयोग किया जाने वाला एक सामान्य हमला वेक्टर है। लेकिन अगर आपको लगता है कि यह केवल मैलवेयर, फ़िशिंग और फैलाने के लिए इस्तेमाल किया गया था नाइजीरियाई अग्रिम शुल्क घोटाले क्या नाइजीरियाई घोटाले ईमेल एक गुप्त रहस्य छिपाते हैं? [राय]एक और दिन, एक और स्पैम ईमेल मेरे इनबॉक्स में चला जाता है, किसी तरह विंडोज लाइव स्पैम फिल्टर के चारों ओर अपना काम कर रहा है जो मेरी आंखों को अन्य सभी अवांछित से बचाने का इतना अच्छा काम करता है ... अधिक पढ़ें , फिर से विचार करना। एक नया ईमेल-चालित घोटाला है जहाँ एक हमलावर आपके बॉस होने का दिखावा करेगा, और आपको कंपनी के हजारों डॉलर के फंड को उनके द्वारा नियंत्रित बैंक खाते में स्थानांतरित करने के लिए मिलेगा।

इसे सीईओ फ्रॉड या "इनसाइडर स्पूफिंग" कहा जाता है।

हमले को समझना

तो, हमला कैसे काम करता है? ठीक है, एक हमलावर को इसे सफलतापूर्वक खींचने के लिए, उन्हें उस कंपनी के बारे में बहुत सारी जानकारी जानने की आवश्यकता होती है जिसे वे लक्षित कर रहे हैं।

इस जानकारी के बारे में ज्यादातर कंपनी या संस्थान की पदानुक्रमित संरचना के बारे में है जिसे वे लक्षित कर रहे हैं। उन्हें जानना होगा

who वे प्रतिरूपण कर रहे हैं हालांकि इस प्रकार के घोटाले को "सीईओ धोखाधड़ी" के रूप में जाना जाता है, वास्तव में यह लक्षित होता है किसी को एक वरिष्ठ भूमिका के साथ - कोई भी जो भुगतान शुरू करने में सक्षम होगा। उन्हें अपना नाम और अपना ईमेल पता जानना होगा। यह उनके शेड्यूल को जानने में भी मदद करता है, और जब वे यात्रा कर रहे होते हैं, या छुट्टी पर होते हैं।

सी ई ओ

अंत में, उन्हें यह जानने की आवश्यकता है कि संगठन में कौन धन हस्तांतरण जारी करने में सक्षम है, जैसे एक लेखाकार, या वित्त विभाग के रोजगार में कोई व्यक्ति।

इस जानकारी का ज्यादातर हिस्सा कंपनी की वेबसाइट पर स्वतंत्र रूप से पाया जा सकता है। कई मध्यम और छोटे आकार की कंपनियों के पास "हमारे बारे में" पृष्ठ हैं, जहां वे अपने कर्मचारियों, उनकी भूमिकाओं और जिम्मेदारियों और उनकी संपर्क जानकारी को सूचीबद्ध करते हैं।

किसी का शेड्यूल खोजना थोड़ा कठिन हो सकता है। अधिकांश लोग अपने कैलेंडर को ऑनलाइन प्रचारित नहीं करते हैं। हालाँकि, बहुत से लोग सोशल मीडिया साइटों, जैसे कि ट्विटर, फेसबुक, और पर अपने आंदोलनों का प्रचार करते हैं झुंड (पूर्व में फोरस्क्वेयर) आपके स्वाद के आधार पर डिस्कवरी टूल के रूप में चौकोर रीलॉन्चफोरस्क्वेयर ने मोबाइल चेक-इन का बीड़ा उठाया; एक स्थान-आधारित स्थिति अद्यतन जिसने दुनिया को बताया कि आप कहां थे और क्यों - एक शुद्ध खोज उपकरण पर स्विच एक कदम आगे है? अधिक पढ़ें . एक हमलावर को केवल तब तक इंतजार करना होगा जब तक वे कार्यालय से बाहर नहीं निकल जाते, और वे हड़ताल कर सकते हैं।

मैं सेंट जॉर्ज मार्केट में हूँ - @ stgeorgesbt1 बेलफास्ट में, कंपनी Antrim https://t.co/JehKXuBJsc

- एंड्रयू बोलस्टर (@ बोलेस्टर) 17 जनवरी 2016

एक बार हमलावर के पास हर उस पहेली का एक टुकड़ा होगा जिसे उसे हमले का संचालन करने की आवश्यकता है, वे फिर वित्त को ईमेल करेंगे कर्मचारी, सीईओ होने के लिए, और अनुरोध करते हैं कि वे एक बैंक खाते में धन हस्तांतरण शुरू करते हैं नियंत्रण।

इसके लिए काम करने के लिए, ईमेल को वास्तविक दिखना होगा। वे या तो एक ईमेल खाते का उपयोग करेंगे जो 'वैध' या प्रशंसनीय लगता है (उदाहरण के लिए) [email protected]), या यद्यपि सीईओ का वास्तविक ईमेल 'स्पूफिंग' है। यह वह जगह होगी जहां एक ईमेल संशोधित हेडर के साथ भेजा जाता है, इसलिए "से:" फ़ील्ड में सीईओ का वास्तविक ईमेल होता है। कुछ प्रेरित हमलावर उन्हें ईमेल करने के लिए सीईओ को प्राप्त करने का प्रयास करेंगे, इसलिए वे अपने ईमेल की शैली और सौंदर्यशास्त्र की नकल कर सकते हैं।

हमलावर को उम्मीद होगी कि वित्त कर्मचारी पर लक्षित कार्यकारी के साथ पहले जांच किए बिना हस्तांतरण शुरू करने के लिए दबाव डाला जाएगा। यह शर्त अक्सर बंद हो जाती है, कुछ कंपनियों ने अनजाने में सैकड़ों हजारों डॉलर का भुगतान किया है। फ्रांस की एक कंपनी जो थी बीबीसी द्वारा प्रोफाइल 100,000 यूरो खो दिए। हमलावरों ने 500,000 लेने की कोशिश की, लेकिन सभी ने भुगतान में से एक को बैंक द्वारा अवरुद्ध कर दिया, जिन्होंने धोखाधड़ी का संदेह किया।

सोशल इंजीनियरिंग कैसे काम करती है

पारंपरिक कंप्यूटर सुरक्षा खतरे प्रकृति में तकनीकी होते हैं। नतीजतन, आप इन हमलों को हराने के लिए तकनीकी उपायों को नियुक्त कर सकते हैं। यदि आप मैलवेयर से संक्रमित होते हैं, तो आप एक एंटी-वायरस प्रोग्राम इंस्टॉल कर सकते हैं। यदि कोई आपके वेब सर्वर को हैक करने की कोशिश कर रहा है, तो आप किसी को प्रवेश परीक्षा देने के लिए नियुक्त कर सकते हैं और आपको सलाह दे सकते हैं कि आप अन्य हमलों के खिलाफ मशीन को कैसे 'सख्त' कर सकते हैं।

सोशल इंजीनियरिंग पर हमला सोशल इंजीनियरिंग क्या है? [MakeUseOf बताते हैं]आप उद्योग का सबसे मजबूत और सबसे महंगा फ़ायरवॉल स्थापित कर सकते हैं। आप बुनियादी सुरक्षा प्रक्रियाओं और मजबूत पासवर्ड चुनने के महत्व के बारे में कर्मचारियों को शिक्षित कर सकते हैं। आप सर्वर रूम को लॉक-डाउन भी कर सकते हैं - लेकिन कैसे ... अधिक पढ़ें - जिनमें से सीईओ धोखाधड़ी का एक उदाहरण है - के खिलाफ शमन करने के लिए बहुत कठिन हैं, क्योंकि वे सिस्टम या हार्डवेयर पर हमला नहीं कर रहे हैं। वे लोगों पर हमला कर रहे हैं। कोड में कमजोरियों का शोषण करने के बजाय, वे अन्य लोगों पर भरोसा करने के लिए मानव प्रकृति, और हमारी सहज जैविक अनिवार्यता का लाभ उठाते हैं। इस हमले का सबसे दिलचस्प स्पष्टीकरण 2013 में DEFCON सम्मेलन में किया गया था।

कुछ सबसे जबड़े छोड़ने वाले दुस्साहसिक हैक सामाजिक इंजीनियरिंग का एक उत्पाद थे।

2012 में, पूर्व-वायर्ड पत्रकार मैट होनान ने खुद को साइबर अपराधियों के एक निर्धारित कैडर द्वारा हमले के तहत पाया, जो उनके ऑनलाइन जीवन को खत्म करने के लिए दृढ़ थे। सामाजिक इंजीनियरिंग रणनीति का उपयोग करके, वे अमेज़ॅन और एप्पल को उन्हें दूरस्थ रूप से पोंछने के लिए आवश्यक जानकारी प्रदान करने में सक्षम थे। अपने मैकबुक एयर और आईफोन, अपना ईमेल खाता हटाएं, और नस्लीय और होमोफोबिक पोस्ट करने के लिए अपने प्रभावशाली ट्विटर खाते को जब्त कर लें। विशेषणों। आप यहाँ द्रुतशीतन कहानी पढ़ सकते हैं.

सोशल इंजीनियरिंग के हमले शायद ही कोई नया नवाचार हैं। दशकों से हैकर्स सिस्टम, इमारतों और सूचना तक पहुंच हासिल करने के लिए दशकों से उनका इस्तेमाल कर रहे हैं। सबसे कुख्यात सामाजिक इंजीनियरों में से एक केविन मिटनिक हैं, जिन्होंने 90 के दशक के मध्य में, कंप्यूटर अपराधों की एक कड़ी के बाद पुलिस से छुपाने में बिताए। उन्हें पांच साल की जेल हुई थी, और 2003 तक एक कंप्यूटर का उपयोग करने से रोक दिया गया था। जैसे ही हैकर्स जाते हैं, मितनिक उतने ही करीब आ जाते थे, जितने में आप जा सकते थे रॉकस्टार का दर्जा दुनिया के 10 सबसे प्रसिद्ध और सर्वश्रेष्ठ हैकर्स (और उनकी आकर्षक कहानियां)व्हाइट-हैट हैकर्स बनाम ब्लैक-हैट हैकर्स। यहाँ इतिहास में सबसे अच्छे और सबसे प्रसिद्ध हैकर हैं और वे आज क्या कर रहे हैं। अधिक पढ़ें . जब उन्हें अंत में इंटरनेट का उपयोग करने की अनुमति दी गई, तो यह लियो लैपॉर्ट के टीवी पर दिखाया गया स्क्रीन बचतकर्ता.

वह आखिरकार वैध हो गया। अब वह अपनी खुद की कंप्यूटर-सुरक्षा कंसल्टेंसी फर्म चलाता है, और सोशल इंजीनियरिंग और हैकिंग के बारे में कई किताबें लिख चुका है। शायद सबसे अच्छी तरह से माना जाता है "धोखे की कला"। यह अनिवार्य रूप से लघु कथाओं का एक संकलन है जो इस बात पर ध्यान देता है कि सामाजिक इंजीनियरिंग हमलों को कैसे खींचा जा सकता है और कैसे किया जा सकता है उनके खिलाफ खुद को सुरक्षित रखें सामाजिक इंजीनियरिंग हमलों के खिलाफ खुद को कैसे सुरक्षित रखेंपिछले हफ्ते हमने कुछ मुख्य सोशल इंजीनियरिंग के खतरों पर एक नज़र डाली, जिन्हें आप, आपकी कंपनी या आपके कर्मचारियों को ढूंढना चाहिए। संक्षेप में, सोशल इंजीनियरिंग एक के समान है ... अधिक पढ़ें , और अमेज़न पर खरीदने के लिए उपलब्ध है।

सीईओ फ्रॉड के बारे में क्या किया जा सकता है?

तो, चलो फिर से तैयार करें। हम जानते हैं कि सीईओ फ्रॉड भयानक है। हमें पता है कि बहुत सी कंपनियों की लागत बहुत अधिक है। हम इसे कम करने के लिए अविश्वसनीय रूप से कठिन जानते हैं, क्योंकि यह मनुष्यों के खिलाफ हमला है, कंप्यूटर के खिलाफ नहीं। अंतिम बात यह है कि हम इसके खिलाफ कैसे लड़ते हैं।

ऐसा करना मुश्किल लेकिन कहना आसान है। यदि आप एक कर्मचारी हैं और आपको अपने नियोक्ता या बॉस से एक संदिग्ध भुगतान अनुरोध प्राप्त हुआ है, तो आप यह देखना चाहते हैं कि क्या यह वास्तविक था या नहीं (ईमेल के अलावा अन्य विधि का उपयोग करके)। उन्हें परेशान करने के लिए वे आपसे थोड़े नाराज हो सकते हैं, लेकिन वे शायद होंगे अधिक यदि आप कंपनी के 100,000 डॉलर के फंड को विदेशी बैंक खाते में भेजना चाहते हैं तो आप नाराज हो जाएंगे।

AnonDollar

ऐसे तकनीकी समाधान हैं जिनका उपयोग किया जा सकता है, भी। माइक्रोसॉफ्ट के आगामी अद्यतन Office 365 के लिए इस प्रकार के हमले के खिलाफ कुछ सुरक्षा शामिल होगी, यह देखने के लिए प्रत्येक ईमेल के स्रोत की जांच करके कि क्या यह एक विश्वसनीय संपर्क से आया है। Microsoft मानता है कि उन्होंने Office 365 में नकली या स्पूफ़ किए गए ईमेल की पहचान करने में 500% सुधार हासिल किया है।

डंक मत खाओ

इन हमलों से बचाव का सबसे विश्वसनीय तरीका है संदेह करना। जब भी आपको एक ईमेल मिले जो आपको एक बड़ा धन हस्तांतरण करने के लिए कहे, तो अपने बॉस को फोन करके देखें कि क्या यह वैध है। यदि आपके पास आईटी विभाग के साथ कोई बोलबाला है, तो उनसे पूछने पर विचार करें Office 365 पर जाएँ ऑफिस 365 का परिचय: क्या आपको नए ऑफिस बिजनेस मॉडल में खरीदना चाहिए?ऑफिस 365 एक सदस्यता आधारित पैकेज है जो नवीनतम डेस्कटॉप ऑफिस सूट, ऑफिस ऑनलाइन, क्लाउड स्टोरेज और प्रीमियम मोबाइल ऐप तक पहुंच प्रदान करता है। क्या Office 365 धन के लायक होने के लिए पर्याप्त मूल्य प्रदान करता है? अधिक पढ़ें , जो सीईओ फ्रॉड से लड़ने के लिए पैक का नेतृत्व कर रहा है।

मुझे निश्चित रूप से आशा नहीं है, लेकिन क्या आप कभी भी पैसे से प्रेरित ईमेल घोटाले का शिकार हुए हैं? यदि हां, तो मैं इसके बारे में सुनना चाहता हूं। नीचे एक टिप्पणी हो, और मुझे बताएं कि क्या नीचे गया।

फ़ोटो क्रेडिट: AnonDollar (आपका Anon), मिगुएल द एंटरटेनमेंट के सीईओ (जॉर्ज)

मैथ्यू ह्यूजेस लिवरपूल, इंग्लैंड के एक सॉफ्टवेयर डेवलपर और लेखक हैं। वह शायद ही कभी अपने हाथ में मजबूत काली कॉफी के कप के बिना पाया जाता है और अपने मैकबुक प्रो और अपने कैमरे को पूरी तरह से निहारता है। आप उनके ब्लॉग को पढ़ सकते हैं http://www.matthewhughes.co.uk और @matthewhughes पर ट्विटर पर उसका अनुसरण करें