फ़िशिंग अभी सबसे व्यापक रूप से उपयोग की जाने वाली साइबर अपराध रणनीति में से एक है। फ़िशिंग करना चिंताजनक रूप से आसान हो सकता है और इसके परिणामस्वरूप उपकरण संक्रमण और अत्यधिक संवेदनशील डेटा की चोरी हो सकती है। और तो और, लगभग हर व्यक्ति को फिशिंग हमले का शिकार होने का खतरा है। लेकिन यह वास्तव में क्या है? फ़िशिंग कैसे काम करती है? और क्या आप इससे बच सकते हैं?
फ़िशिंग का इतिहास
फ़िशिंग के कार्य का पता 1990 के दशक के मध्य में लगाया जा सकता है जब कंप्यूटर आज के कंप्यूटरों से बहुत अलग दिखते और काम करते थे। इस समय के दौरान, एओएल (अमेरिका ऑनलाइन), एक लोकप्रिय अमेरिकी डायल-अप सेवा, कई लोगों की पसंदीदा इंटरनेट प्रदाता थी। इसने इसे फिशर्स के लिए एक प्रमुख लक्ष्य बना दिया, जिन्होंने पीड़ितों से मूल्यवान लॉगिन जानकारी चुराने के लिए एओएल कर्मचारियों का प्रतिरूपण करना चुना।
पांच साल बाद, 50 मिलियन से अधिक कंप्यूटर लव बग नामक किसी चीज से संक्रमित हो गए। यह एक वायरस था जो सोशल इंजीनियरिंग के जरिए उपकरणों के बीच फैल गया। जैसा कि नाम से पता चलता है, यह चाल पीड़ितों को ठगने के लिए प्यार के लालच पर निर्भर करती है। लक्ष्य को एक अटैचमेंट के साथ एक ईमेल प्राप्त होगा जिसे प्रेषक ने दावा किया था कि यह एक प्रेम पत्र था। जिज्ञासु व्यक्तियों ने इस अटैचमेंट को खोलने का विकल्प चुना लेकिन उन्हें इस बात का एहसास नहीं था कि वे एक खतरनाक घोटाले को रास्ता दे रहे थे।
लव बग वायरस फैलने के लिए खुद को दोहराएगा, जिससे यह एक एक प्रकार का कंप्यूटर वर्म. यह अपराधी द्वारा बनाए गए पिछले बग का त्वरित संस्करण भी था, जो पासवर्ड चुराने में सक्षम था। वायरस का यह नया संस्करण आउटलुक में विज़ुअल बेसिक स्क्रिप्ट्स को प्रवेश बिंदु के रूप में उपयोग करने में सक्षम था, जो तब ऑपरेटर को पीड़ितों के ईमेल खातों को हैक करने और सभी को उनके पते पर फ़िशिंग ईमेल भेजने की अनुमति दी सूची।
जिस तरह से फ़िशिंग विधियों को किसी की भावनाओं से खेलने के लिए इस्तेमाल किया जा सकता है, वही अक्सर इसे इतना सफल बनाता है। लव बग वायरस अकेलेपन का शिकार होता है, जबकि अन्य फिशर अपने संचार में अत्यावश्यकता की भावना का उपयोग करते हैं ताकि पीड़ित को पालन करने के लिए डराया जा सके। तो, आइए विस्तार से देखें कि ये हमले कैसे काम करते हैं।
फ़िशिंग कैसे काम करती है?
फ़िशिंग कैसे काम करती है इसे बेहतर ढंग से समझने के लिए, आइए फ़िशिंग का एक विशिष्ट उदाहरण देखें, जिसे क्रेडेंशियल फ़िशिंग के रूप में जाना जाता है। यह दुर्भावनापूर्ण उपक्रम उपयोगकर्ताओं से खातों को हैक करने के लिए लॉगिन क्रेडेंशियल्स चुराना चाहता है। ऐसा फ़िशिंग संदेशों को और फैलाने, डेटा चुराने, या बस किसी के प्रोफ़ाइल के साथ खिलवाड़ करने के लिए किया जा सकता है। अनुचित या घृणित भाषा पोस्ट करने के अलावा कुछ लोगों के सोशल मीडिया अकाउंट हैक हो गए हैं।
मान लें कि ऐलिस को वॉलमार्ट से एक ईमेल प्राप्त होता है जिसमें कहा गया है कि उसके ऑनलाइन शॉपिंग खाते में संदिग्ध गतिविधि देखी गई है। ईमेल में यह भी अनुरोध किया जाएगा कि वह दिए गए लिंक के माध्यम से अपने खाते में लॉग इन करें ताकि वह समस्या की जांच कर सके या अपनी पहचान सत्यापित कर सके।
यह संभव है कि ऐलिस इसे देखकर घबराए या डरे, और स्वाभाविक रूप से चिंता करे कि किसी ने उसके खाते से छेड़छाड़ की है। यह चिंता ऐलिस को ईमेल के अनुरोध का पालन करने के लिए प्रेरित कर सकती है ताकि वह इस मुद्दे को जल्द से जल्द सुलझा सके। यह डर है कि फिशर भारी रूप से झुक जाता है। वे यह भी बता सकते हैं कि खाता खतरे में है, या ऐलिस द्वारा कार्रवाई नहीं करने पर इसे बंद किया जा सकता है।
इसलिए, यह मानते हुए कि वह एक सुधारात्मक प्रक्रिया कर रही है, ऐलिस दिए गए लिंक पर क्लिक करती है, जो उसे वॉलमार्ट लॉगिन पेज पर ले जाती है। फिर वह साइन इन करने के लिए अपनी लॉगिन क्रेडेंशियल दर्ज करती है। इस बिंदु पर, यह पहले ही बहुत देर हो चुकी है।
फ़िशिंग के परिणाम
ऐलिस को जो नहीं पता है वह यह है कि यह वैध वॉलमार्ट लॉगिन पेज नहीं है। बल्कि यह एक है दुर्भावनापूर्ण वेबसाइट उसका डेटा चुराने के लिए बनाया गया है।
जब वह इस पृष्ठ पर अपनी लॉगिन क्रेडेंशियल दर्ज करती है, तो इसे नियंत्रित करने वाला हमलावर उन्हें रोक सकता है और चोरी कर सकता है। यहां से, हमलावर अनधिकृत खरीदारी करने के लिए ऐलिस के वॉलमार्ट खाते को सीधे हैक कर सकता है, या यहां तक कि हो सकता है ऐलिस के खाते पर अन्य निजी जानकारी का उपयोग करें, जैसे कि ईमेल पता या घर का पता, उसका शोषण करने के लिए आगे।
हमलावर कभी-कभी लॉग इन करने के बाद समझौता किए गए खाते का पासवर्ड बदल देगा ताकि वे घोटाले करते समय पीड़ित को लॉक कर सकें।
वैकल्पिक रूप से, फ़िशर जो भी निजी जानकारी एकत्र करता है, उसे ले सकता है और उसे अवैध बाज़ार में बेच सकता है। डार्क वेब पर विभिन्न अंडरग्राउंड मार्केटप्लेस की भीड़ है, जहां कोई बंदूक से लेकर किसी के क्रेडिट कार्ड के विवरण तक कुछ भी खरीद सकता है। इन साइटों पर संवेदनशील डेटा अत्यधिक मूल्यवान है, सामाजिक सुरक्षा नंबर, पासवर्ड और यहां तक कि पासपोर्ट बिक्री के लिए सूचीबद्ध हैं।
दुर्भावनापूर्ण अभिनेता इसके माध्यम से हजारों या लाखों डॉलर बनाने के लिए खड़े हो सकते हैं डार्क वेब पर डेटा की अवैध बिक्री, तो इसमें कोई आश्चर्य की बात नहीं है कि बहुत से लोग इस पर अपना हाथ जमाने के लिए जो कर सकते हैं वह कर रहे हैं।
प्रतिरूपण फ़िशिंग का एक प्रमुख तत्व है। बेशक, एक हमलावर सीधे आपको यह नहीं बताएगा कि वे एक हमलावर हैं। यदि ऐसा होता, तो उनकी सफलता दर अविश्वसनीय रूप से कम होती। इसके बजाय, दुर्भावनापूर्ण अभिनेता एक आधिकारिक इकाई होने का दिखावा करेंगे, जैसे कि एक रिटेलर, सोशल मीडिया आउटलेट या सरकारी निकाय। वैधता की यह हवा हमलावर की कथित विश्वसनीयता को जोड़ती है और लक्ष्य को झूठे विश्वास की भावना देती है।
हालांकि कुछ फ़िशिंग हमलों को मात्र मिनटों या सेकंडों में अंजाम दिया जा सकता है, कुछ को पूरा होने में कई दिन या सप्ताह लग जाते हैं। यदि हमलावर को अत्यधिक संवेदनशील जानकारी प्रकट करने के लिए उन्हें लुभाने के लक्ष्य के साथ अधिक विश्वास विकसित करने की आवश्यकता है। उदाहरण के लिए, एक हमलावर एक बड़े निगम में सहयोगी होने का नाटक कर सकता है, जिसे कुछ सत्यापित करने, अपना खाता बहाल करने, या इसी तरह के लक्ष्य की जानकारी की आवश्यकता होती है।
समय के साथ, फिशर व्यावसायिकता की एक हवा का निर्माण करेगा जो पीड़ित को वास्तव में क्या हो रहा है, के लिए अंधा कर देगा। वे कई ईमेल का आदान-प्रदान कर सकते हैं, जिसके माध्यम से पीड़ित का गार्ड अधिक से अधिक गिर जाता है। यह धीरे-धीरे सावधान से इच्छा में बदलाव है कि फिशर अपने लक्ष्य के भीतर बनाने की कोशिश करते हैं।
और फ़िशिंग का भी इस्तेमाल किया जा सकता है मैलवेयर फैलाओ. यह मायावी स्पाईवेयर से लेकर अत्यधिक खतरनाक रैंसमवेयर तक कुछ भी हो सकता है। इसलिए, फ़िशिंग एक डिवाइस और उसके मालिक को कई तरह से प्रभावित कर सकती है।
हालांकि यह मान लेना आसान हो सकता है कि आप कभी भी फ़िशिंग हमले के झांसे में नहीं आएंगे, ये घोटाले साल दर साल और अधिक परिष्कृत होते जा रहे हैं। फ़िशिंग पृष्ठ अब उन साइटों के समान दिख सकते हैं जिन्हें वे धोखा दे रहे हैं, और हमलावर अपने ईमेल को विश्वसनीय लेकिन पेशेवर तरीके से लिखने में माहिर हैं।
तो, फ़िशिंग से बचने के लिए आप क्या कर सकते हैं?
फ़िशिंग से कैसे बचें
फ़िशिंग आमतौर पर ईमेल के माध्यम से होती है, हालाँकि इसे किसी भी प्रकार की संदेश सेवा के माध्यम से संचालित किया जा सकता है। क्योंकि ईमेल पतों को दोहराया नहीं जा सकता है, एक फ़िशर संभावित रूप से आधिकारिक पते के समान लगभग समान बना देगा। यही कारण है कि असामान्य वर्तनी या अन्य त्रुटियों के लिए प्रेषक के पते की जांच करना महत्वपूर्ण है।
इसके अतिरिक्त, आपको ईमेल के माध्यम से आपको प्रदान किए गए किसी भी लिंक से सावधान रहने की आवश्यकता है, भले ही आपको लगता है कि आप प्रेषक पर कितना भरोसा कर सकते हैं। फ़िशर कभी-कभी सभी उपलब्ध संपर्कों को ईमेल भेजने के लिए खातों को हैक कर लेते हैं। यदि लिंक किसी मित्र, परिवार के सदस्य, या किसी अन्य विश्वसनीय व्यक्ति से है, जो फ़िशिंग हमले की सफलता में भी भूमिका निभाता है, तो लोग इसे खोलने की बहुत अधिक संभावना रखते हैं।
इसलिए, इससे कोई फर्क नहीं पड़ता कि आपको कोई लिंक कौन भेजता है, आपको हमेशा इसे पहले सत्यापित करना चाहिए। आप ए का उपयोग करके ऐसा कर सकते हैं लिंक-चेकिंग वेबसाइट यह निर्धारित कर सकता है कि कोई लिंक दुर्भावनापूर्ण या सुरक्षित है या नहीं। वेबसाइट वैध है या नहीं यह देखने के लिए आप डोमेन चेकर का भी उपयोग कर सकते हैं। उदाहरण के लिए, अगर आपको ऐसा मिला है जो Instagram के लॉगिन पेज का लिंक लगता है, लेकिन डोमेन केवल कुछ ही दिन पुराना है, तो आप शायद एक घोटाले से निपट रहे हैं।
दुर्भावनापूर्ण ईमेल को फ़िल्टर करने के लिए आपको अपने ईमेल प्रदाता की एंटी-स्पैम सुविधाओं का भी उपयोग करना चाहिए ताकि वे आपके सीधे इनबॉक्स में न आएं।
मैलवेयर से बचने के लिए अपने डिवाइस को उच्च स्तर की सुरक्षा से लैस करना भी महत्वपूर्ण है। हालांकि फ़िशिंग का उपयोग विभिन्न प्रकार के मैलवेयर फैलाने के लिए किया जा सकता है, लेकिन इसे वैध एंटीवायरस सॉफ़्टवेयर के उपयोग के माध्यम से इसके ट्रैक में रोका जा सकता है। कोई भी किसी ऐसी चीज़ के लिए शुल्क का भुगतान नहीं करना चाहता है जो केवल पृष्ठभूमि में चलती है, लेकिन यदि आप कभी किसी दुर्भावनापूर्ण हमलावर द्वारा लक्षित किए जाते हैं तो यह सभी अंतर ला सकता है।
संचार के भीतर वर्तनी की गलतियाँ भी एक अन्य घोटाला संकेतक हो सकती हैं। आधिकारिक संस्थाएं अक्सर यह सुनिश्चित करेंगी कि उनके संदेश सही वर्तनी और व्याकरण के साथ लिखे गए हैं, जबकि कुछ साइबर अपराधी यहां थोड़ा लापरवाह हो सकते हैं।
फ़िशिंग हर जगह है लेकिन इसे रोका जा सकता है
फिशिंग हमारे लिए एक बड़ी चिंता का विषय है। इस तरह का हमला हमारे डेटा और उपकरणों को खतरे में डालता है और इसके भयानक परिणाम हो सकते हैं। यदि आप इस दुर्भावनापूर्ण साइबर अपराध से स्वयं को बचाना चाहते हैं, और सतर्क रहना चाहते हैं, तो ऊपर दिए गए सुझावों को देखें।
