आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं।
सभी वेबसाइट साइबर अपराधियों के लिए लोकप्रिय लक्ष्य हैं। डेटा चोरी, रिमोट एक्सेस या मैलवेयर वितरण के लिए सोशल मीडिया आउटलेट, ऑनलाइन खुदरा विक्रेताओं, फ़ाइल-साझाकरण सेवाओं और विभिन्न प्रकार की ऑनलाइन सेवाओं से समझौता किया जा सकता है। लेकिन यह कैसे किया जाता है? साइबर अपराधी वेबसाइटों में घुसपैठ करने के लिए किन तरीकों का इस्तेमाल करते हैं?
1. क्रूर बल के हमले
क्रूर बल के हमले क्रिप्टोग्राफी के माध्यम से ट्रायल-एंड-एरर विधि का उपयोग शामिल है जो हैकर्स को साइट में अपना रास्ता बनाने की अनुमति देता है। क्रिप्टोग्राफी डेटा को सुरक्षित रूप से संग्रहीत करने की अनुमति देती है, लेकिन इसमें कोड को हल करने की प्रक्रिया भी शामिल होती है, और यह वह तत्व है जिस पर साइबर अपराधियों का ध्यान केंद्रित होता है। क्रिप्टोग्राफी का उपयोग करते हुए, एक हैकर पासवर्ड, लॉगिन क्रेडेंशियल और डिक्रिप्शन कुंजियों का अनुमान लगाने का प्रयास कर सकता है। इस पद्धति का उपयोग छिपे हुए वेब पेजों को खोजने के लिए भी किया जा सकता है।
यदि दिया गया पासवर्ड विशेष रूप से सरल है, और इसलिए कमजोर है, तो हमलावर को इसे सफलतापूर्वक क्रैक करने के लिए क्रूर बल का उपयोग करने में केवल कुछ मिनट लग सकते हैं। यही कारण है कि क्रैकिंग प्रक्रिया को और अधिक कठिन बनाने के लिए अधिक जटिल लॉगिन क्रेडेंशियल होना बेहतर है।
2. सोशल इंजीनियरिंग
सोशल इंजीनियरिंग एक ऐसा शब्द है जो फ़िशिंग, प्रीटेक्स्टिंग और बैटिंग सहित साइबर हमलों की एक विस्तृत श्रृंखला तक फैला हुआ है।
फ़िशिंग एक विशेष रूप से लोकप्रिय रूप है साइबर क्राइम जिसमें डेटा की चोरी या दुर्भावनापूर्ण लिंक और अटैचमेंट के माध्यम से मैलवेयर का प्रसार शामिल है। तो यह कैसे काम करता है? मान लें कि ऐना को Instagram से एक ईमेल मिलता है जिसमें कहा गया है कि उसे किसी महत्वपूर्ण कारण से अपने खाते में लॉग इन करना होगा. हो सकता है कि उसे रहस्यमय तरीके से साइन आउट कर दिया गया हो या उसे किसी तरह का निलंबन मिला हो। ईमेल अक्सर बताता है कि समस्या क्या है, आमतौर पर घोटाले में तेजी लाने की तत्काल भावना के साथ।
ईमेल में, ऐना को एक लिंक प्रदान किया जाएगा जिस पर क्लिक करने के लिए उसे लॉगिन पृष्ठ पर जाने के लिए कहा गया है। यहां, वह साइन इन करने के लिए अपनी साख दर्ज कर सकती है। हालाँकि, यह आधिकारिक इंस्टाग्राम लॉगिन पेज नहीं है, बल्कि एक दुर्भावनापूर्ण फ़िशिंग साइट है जिसे एना द्वारा दर्ज किए गए किसी भी डेटा को चुराने के लिए डिज़ाइन किया गया है। एक बार जब वह अपनी लॉगिन क्रेडेंशियल प्रदान करती है, तो हमलावर उनका उपयोग अपने खाते में लॉग इन करने के लिए कर सकता है और जो चाहे कर सकता है।
फ़िशिंग घोटालों का उपयोग अक्सर वित्तीय खातों, सोशल मीडिया और कॉर्पोरेट वेबसाइटों को हैक करने के लिए किया जाता है। उदाहरण के लिए, हमलावर किसी दिए गए संगठन के कर्मचारी को उनके कार्य प्रमाण-पत्रों को चुराने और पेशेवर खातों तक पहुँचने के लिए लक्षित कर सकता है।
3. एसक्यूएल इंजेक्शन
जैसा कि नाम से पता चलता है, SQL इंजेक्शन (SQLIs) साइबर अपराधियों को एक दुर्भावनापूर्ण SQL कमांड निष्पादित करने और निजी जानकारी वाले बैकएंड डेटाबेस से समझौता करने की अनुमति देता है। इस तरह के हमले अविश्वसनीय रूप से हानिकारक हो सकते हैं और चिंताजनक रूप से लोकप्रिय हैं।
SQL इंजेक्शन के तीन मुख्य प्रकार हैं: ब्लाइंड, इन-बैंड और आउट-ऑफ-बैंड।
एक अंधा एसक्यूएल इंजेक्शन हमलावर को निजी डेटा तक सीधी पहुंच नहीं देता है, लेकिन सर्वर से सही और गलत सवाल पूछकर HTTP प्रतिक्रियाओं जैसे कुछ विवरणों का विश्लेषण करने की अनुमति देता है। इससे हमलावर को सर्वर की संरचना का अंदाजा हो सकता है।
इन-बैंड SQL इंजेक्शन इन तीन प्रकारों में सबसे लोकप्रिय हैं क्योंकि इन्हें सफलतापूर्वक पूरा करना सबसे आसान है। इस तरह के हमले में, खतरा कर्ता हमले को अंजाम देने और लक्षित डेटा को पुनः प्राप्त करने के लिए संचार के एक ही चैनल का उपयोग करेगा।
आउट-ऑफ़-बैंड SQL इंजेक्शन हमलों में, हमलावर अपराध को लॉन्च करने और निष्पादित करने के लिए उसी चैनल का उपयोग नहीं कर सकता है। इसके बजाय, सर्वर लक्षित डेटा को भौतिक एंडपॉइंट डिवाइस पर भेजता है जिस पर HTTPS या DNS अनुरोधों के माध्यम से हमलावर का नियंत्रण होता है।
4. कीलॉगर और स्पाइवेयर
कीलॉगर का उपयोग करना, एक हमलावर संक्रमित डिवाइस या सर्वर पर किए गए सभी कीस्ट्रोक्स को लॉग कर सकता है। यह एक तरह का मॉनिटरिंग सॉफ्टवेयर प्रोग्राम है जो डेटा चोरी में बहुत लोकप्रिय है। उदाहरण के लिए, यदि कीलॉगर सक्रिय होने पर कोई अपने भुगतान कार्ड विवरण दर्ज करता है, तो दुर्भावनापूर्ण ऑपरेटर कार्ड स्वामी की अनुमति के बिना पैसे खर्च करने के लिए उस डेटा का उपयोग करने में सक्षम होगा। वेबसाइटों के संदर्भ में, हमलावर एक कीलॉगर के साथ एक वेबसाइट व्यवस्थापक की निगरानी करके लॉग इन करने और एक्सेस प्राप्त करने के लिए आवश्यक क्रेडेंशियल्स को बंद करने में सक्षम हो सकता है।
कीलॉगर एक हैं स्पाइवेयर की तरह, और स्पायवेयर खुद एडवेयर और ट्रोजन सहित कई रूपों में आ सकते हैं।
5. मैन-इन-द-मिडल अटैक
में एक मैन-इन-द-मिडिल (MitM) हमला, एक दुर्भावनापूर्ण अभिनेता निजी सत्रों को सुनता है। हमलावर मूल्यवान डेटा तक पहुँचने के लिए खुद को एक उपयोगकर्ता और एक एप्लिकेशन के बीच रखेगा, जिसका उपयोग वे अपने लाभ के लिए कर सकते हैं। वैकल्पिक रूप से, हमलावर केवल छिपकर बातें सुनने के बजाय एक वैध पक्ष होने का दिखावा कर सकता है।
क्योंकि इस इंटरसेप्टेड डेटा का एक बहुत कुछ एसएसएल या टीएलएस कनेक्शन के माध्यम से एन्क्रिप्ट किया जा सकता है, फिर हमलावर को उक्त डेटा को व्याख्या करने योग्य बनाने के लिए इस कनेक्शन को तोड़ने का तरीका खोजने की आवश्यकता होगी। यदि दुर्भावनापूर्ण अभिनेता इस डेटा को पढ़ने योग्य बनाने का प्रबंधन करता है, तो कहें कि एसएसएल स्ट्रिपिंग के माध्यम से, वे इसका उपयोग वेबसाइटों, खातों, एप्लिकेशन आदि को हैक करने के लिए कर सकते हैं।
6. दूरस्थ कोड निष्पादन
रिमोट कोड एक्ज़ीक्यूशन (RCE) शब्द बहुत आत्म-व्याख्यात्मक है। इसमें सुरक्षा भेद्यता के माध्यम से दूरस्थ स्थान से दुर्भावनापूर्ण कंप्यूटर कोड का निष्पादन शामिल है। रिमोट कोड का निष्पादन एक स्थानीय नेटवर्क या इंटरनेट के माध्यम से किया जा सकता है। यह हमलावर को भौतिक पहुंच के बिना लक्षित डिवाइस में घुसपैठ करने की अनुमति देता है।
आरसीई भेद्यता का फायदा उठाकर, एक हमलावर संवेदनशील डेटा चुरा सकता है और पीड़ित के कंप्यूटर पर अनधिकृत कार्य कर सकता है। इस तरह के हमले के गंभीर परिणाम हो सकते हैं, यही वजह है कि आरसीई की कमजोरियों को बहुत गंभीरता से लिया जाता है (या कम से कम होना चाहिए)।
7. थर्ड-पार्टी कारनामे
तृतीय-पक्ष विक्रेताओं का उपयोग दुनिया भर में हजारों कंपनियों द्वारा किया जाता है, विशेष रूप से डिजिटल क्षेत्र में। कई एप्लिकेशन ऑनलाइन व्यवसायों के लिए तीसरे पक्ष के रूप में काम करते हैं, चाहे वह भुगतान संसाधित करने, लॉगिन प्रमाणित करने या सुरक्षा उपकरण प्रदान करने के लिए हो। लेकिन तीसरे पक्ष के विक्रेताओं का उनकी ग्राहक वेबसाइटों तक पहुँचने के लिए शोषण किया जा सकता है।
यदि किसी तृतीय-पक्ष विक्रेता के पास किसी प्रकार की सुरक्षा भेद्यता है, जैसे बग, तो हमलावर उसका लाभ उठा सकते हैं। कुछ तृतीय-पक्ष एप्लिकेशन और सेवाओं में बहुत कम सुरक्षा उपाय होते हैं, जिसका अर्थ है कि वे हैकर्स के लिए एक खुला द्वार हैं। इसके माध्यम से, एक वेबसाइट का संवेदनशील डेटा पुनर्प्राप्ति के लिए हमलावर के सामने आ सकता है। यहां तक कि अगर वेबसाइट उच्च अंत सुरक्षा सुविधाओं को नियोजित करती है, तो तीसरे पक्ष के विक्रेताओं का उपयोग अभी भी एक कमजोर स्थान के रूप में कार्य कर सकता है।
हैकर्स विभिन्न तरीकों से वेबसाइटों का शोषण कर सकते हैं
दुर्भाग्य से, वेबसाइटें और खाते अभी भी हमलों के संपर्क में हैं, भले ही हम सही सुरक्षा उपायों को बनाए रखते हों। जैसे-जैसे साइबर अपराधी अपने तरीके विकसित करते हैं, वैसे-वैसे लाल झंडों को पकड़ना और हमले को रोकना मुश्किल हो जाता है। लेकिन साइबर अपराधियों द्वारा उपयोग की जाने वाली रणनीति के बारे में जागरूक होना और यथासंभव स्वयं को बचाने के लिए सही सुरक्षा प्रथाओं को लागू करना महत्वपूर्ण है।