जिस किसी के पास फोन है और वह कॉल प्राप्त कर सकता है, वह प्रीटेक्सटिंग हमले के लिए अतिसंवेदनशील है। बहाना करने वाले हमलावर झूठे बहाने के तहत आपको कॉल कर सकते हैं, जैसे किसी कंपनी के तकनीकी विभाग या पासवर्ड तक पहुंच वाली किसी अन्य टीम से होने का नाटक करके, आपको हेरफेर करने और जानकारी प्राप्त करने के लिए। ये हमलावर इस डेटा को बेच सकते हैं या इसका दुरुपयोग कर सकते हैं, इसलिए आपको अपनी जानकारी को सक्रिय रूप से सुरक्षित रखना चाहिए।
तो क्या बहाना है? कैसे आप खुद की रक्षा कर सकते हैं?
बहाना क्या है?
बहाना, सोशल इंजीनियरिंग का एक रूप, तब होता है जब कोई हैकर किसी सिस्टम, नेटवर्क, या किसी जानकारी तक पहुँचने का प्रयास करने और प्राप्त करने के लिए भ्रामक साधनों का उपयोग करता है। हमलावर एक झूठा परिदृश्य गढ़ता है, जिसे बहाने के रूप में जाना जाता है, एक आईटी कर्मचारी, मानव संसाधन प्रबंधक, या यहां तक कि एक सरकारी एजेंट की तरह अनुभवी होने का नाटक करता है। यह हमला ऑनलाइन और व्यक्तिगत रूप से हो सकता है।
2000 के दशक की शुरुआत में यूके में प्रीटेक्स्टिंग शुरू हुई जब मशहूर हस्तियों पर रसदार स्कूप की तलाश करने वाले पत्रकारों ने उनकी जासूसी करने के लिए अत्यधिक उपायों का इस्तेमाल किया। समाचार ब्रांडों के बीच कड़ी प्रतिस्पर्धा थी, जिससे पत्रकारों को निजी जानकारी प्राप्त करने के नए तरीके ईजाद करने पड़े।
सबसे पहले, यह लक्ष्य सेलेब्रिटी के वॉइसमेल पर तांक-झांक करने जितना आसान था। वॉइसमेल एक डिफ़ॉल्ट पिन के साथ आया था जिसे कई उपयोगकर्ताओं ने बदलने की जहमत नहीं उठाई और पत्रकारों ने इसका फायदा उठाया। यदि डिफ़ॉल्ट पिन बदल दिया गया था, तो कुछ अपने लक्ष्यों को कॉल करने और फोन कंपनी के तकनीशियन होने का नाटक करने तक चले गए। वे ध्वनि मेल पिन प्राप्त करेंगे और वहां छिपी जानकारी तक पहुंच प्राप्त करेंगे।
आम तौर पर, बहाना करने वाले परिदृश्य आमतौर पर ऐसा महसूस करते हैं कि उन्हें शिकार होने वाले से बहुत अधिक तात्कालिकता या सहानुभूति की आवश्यकता होती है। हमलावर अपने लक्ष्य से संपर्क करने के लिए ईमेल, फोन कॉल या टेक्स्ट संदेशों का उपयोग कर सकते हैं।
प्रीटेक्स्टिंग अटैक के तत्व
प्रीटेक्स्टिंग परिदृश्य में, दो मुख्य तत्व होते हैं: स्कैमर द्वारा निभाया गया "चरित्र" और दूसरा "प्रशंसनीय स्थिति" का अर्थ लक्ष्य को मूर्ख बनाने के लिए चरित्र पर विश्वास करने का अधिकार है जो उन्हें सूचना का अधिकार है के बाद हैं।
कल्पना कीजिए कि आप एक लेन-देन को संसाधित करने का प्रयास करते हैं, और यह पूरा नहीं होता है। आपने जो पिज्जा ऑर्डर किया था वह आपको नहीं मिला और ऑनलाइन स्टोर बंद हो गया। क्या नितंब हैं! लेकिन वह सब नहीं है। कुछ मिनट बाद, किसी अकथनीय त्रुटि से, आपको पता चलता है कि आपका खाता डेबिट हो गया था।
इसके तुरंत बाद, हमलावर कॉल करता है और चरित्र में आ जाता है, आपके बैंक से ग्राहक सेवा एजेंट होने का नाटक करता है। क्योंकि आप एक कॉल की उम्मीद कर रहे हैं, आप इस प्रशंसनीय स्थिति में पड़ जाते हैं और अपनी क्रेडिट कार्ड जानकारी दे देते हैं।
बहाना कैसे काम करता है?
प्रीटेक्सटिंग पहचान सत्यापन में कमजोरियों का लाभ उठाता है। ध्वनि लेनदेन के दौरान, भौतिक पहचान लगभग असंभव है, इसलिए संस्थान अपने ग्राहकों की पहचान करने के लिए अन्य तरीकों का सहारा लेते हैं।
इन विधियों में जन्मतिथि, निकट संबंधी, संतानों की संख्या, संपर्क पता, माता का विवाह-पूर्व नाम, या खाता संख्या के सत्यापन का अनुरोध करना शामिल है। इनमें से अधिकतर जानकारी लक्ष्य के सोशल मीडिया खातों से ऑनलाइन प्राप्त की जा सकती है। प्रीटेक्स्टर इस जानकारी का उपयोग अपने चरित्र की प्रामाणिकता को "साबित" करने के लिए करते हैं।
स्कैमर्स आपकी व्यक्तिगत जानकारी का उपयोग आपको अधिक संवेदनशील जानकारी प्रकट करने के लिए करते हैं जिसका वे उपयोग कर सकते हैं। इस व्यक्तिगत जानकारी को प्राप्त करने के लिए सावधानीपूर्वक शोध की आवश्यकता होती है क्योंकि प्राप्त किया गया डेटा जितना अधिक विशिष्ट होगा, आपको उतनी ही अधिक मूल्यवान जानकारी देने के लिए मजबूर होना पड़ेगा।
स्कैमर्स के पास सोशल मीडिया के अलावा सूचना के प्रत्यक्ष स्रोत भी होते हैं। वे कर सकते हैं फोन नंबर धोखा या संगठन का ईमेल डोमेन नाम जो वे प्रतिरूपण कर रहे हैं ताकि लक्ष्य को बेची जा रही प्रशंसनीय स्थिति में और अधिक विश्वसनीयता जोड़ी जा सके।
3 उल्लेखनीय प्रेटेक्स्टिंग तकनीकें
संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए स्कैमर्स और हैकर्स विभिन्न प्रीटेक्सिंग तकनीकों का उपयोग करते हैं।
1. विशिंग और स्माइशिंग
ये तकनीकें बहुत समान हैं। विशिंग हमले स्कैमर द्वारा आवश्यक जानकारी देने के लिए पीड़ित को राजी करने के लिए वॉयस कॉल का उपयोग करना शामिल है। स्मिशिंग घोटालों, दूसरी ओर, एसएमएस या टेक्स्ट संदेशों का उपयोग करें।
विशिंग के सफल होने की संभावना अधिक होती है, क्योंकि जरूरी प्रतीत होने वाले कर्मियों से सीधे कॉल करने की तुलना में लक्ष्य टेक्स्ट संदेशों को अनदेखा करने की अधिक संभावना रखते हैं।
2. उत्पीड़न
बैटिंग में जानकारी एकत्र करने के लिए एक बड़े इनाम का उपयोग करना शामिल है और इसमें एक विश्वसनीय स्रोत का ढोंग करना भी शामिल हो सकता है।
स्कैमर एक वकील होने का दावा कर सकता है, यह दावा करते हुए कि आपके पास एक दूर के रिश्तेदार से विरासत में मिला है और लेनदेन को संसाधित करने के लिए आपके वित्तीय विवरण की आवश्यकता होगी। लक्षित संगठन के उच्च पदस्थ कर्मी भी इसके शिकार हो सकते हैं।
एक अन्य आम पैंतरेबाज़ी एक लिफाफा है जिसमें कंपनी के लोगो के साथ एक फ्लैश ड्राइव है और एक जरूरी परियोजना पर काम करने का संदेश है। फ्लैश ड्राइव मैलवेयर से लदी होगी जिसका उपयोग हैकर्स कंपनी के सर्वर तक पहुंच प्राप्त करने के लिए करेंगे।
3. स्केरवेयर
इस तरीके में हैकर्स डर को एक रणनीति के तौर पर इस्तेमाल करते हैं। एक उल्लेखनीय उदाहरण एक असुरक्षित साइट पर एक पॉप-अप है, जो आपको बताता है कि आपके डिवाइस पर एक वायरस है और फिर आपको एक एंटीवायरस प्रोग्राम डाउनलोड करने के लिए कह रहा है जो वास्तव में मैलवेयर है। पाठ संदेश में ईमेल और लिंक का उपयोग करके स्केयरवेयर भी वितरित किया जा सकता है।
प्रीटेक्सटिंग अटैक से खुद को कैसे बचाएं
प्रीटेक्स्टिंग हमले इतने प्रचलित हैं कि उन्हें पूरी तरह से रोकने का कोई रास्ता नहीं है। हालांकि, इन पर काफी हद तक अंकुश लगाने के लिए कदम उठाए जा सकते हैं।
एक कदम ईमेल विश्लेषण है। किसी ईमेल के डोमेन नाम को देखने से पता चल सकता है कि वह नकली है या असली। हालाँकि, बहाने वाले हमले कर सकते हैं स्पूफ ईमेल डोमेन इसलिए मूल के लगभग समान दिखते हैं, जिससे इन बहानों को पहचानना बेहद मुश्किल हो जाता है।
लेकिन जटिल एआई तकनीक की प्रगति के साथ, ईमेल विश्लेषण अधिक सुलभ हो गया है। एआई अब कर सकता है स्पॉट फ़िशिंग पैटर्न और बहाने के संकेतों की तलाश करें। यह ट्रैफ़िक और स्पूफ्ड ईमेल डिस्प्ले नामों में विसंगतियों की पहचान कर सकता है, साथ ही प्रीटेक्स्टिंग हमलों के साथ-साथ वाक्यांशों और टेक्स्ट को भी पहचान सकता है।
उपयोगकर्ता शिक्षा, ज़ाहिर है, आवश्यक है। किसी को भी आपका बैंक पासवर्ड, क्रेडिट कार्ड पिन या सीरियल नंबर नहीं पूछना चाहिए। आपको इनमें से किसी के लिए अनुरोध की सूचना तुरंत उपयुक्त अधिकारियों को देनी चाहिए। इसके अलावा, अपने परिवार, दोस्तों और कर्मचारियों को अज्ञात लिंक पर क्लिक न करने और बचने के लिए याद दिलाना असुरक्षित वेबसाइटों पर जाना आपकी कंपनी में मैलवेयर के प्रवेश को रोकने के लिए पर्याप्त हो सकता है सर्वर।
बहानेबाजी घोटालों के झांसे में न आएं
हो सकता है कि किसी बहानेबाजी की कार्रवाई से बाहर निकलना आसान न हो, लेकिन शिकार होने से बचने के लिए आप कुछ आसान कदम उठा सकते हैं। असुरक्षित वेबसाइटों पर लिंक पर क्लिक न करें, और किसी को भी अपना लॉगिन विवरण प्रकट न करें। आपके बैंक के ऑनलाइन प्लेटफ़ॉर्म पर सत्यापित ग्राहक सेवा सेवाएँ मौजूद हैं। जब कोई कस्टमर केयर एजेंट आपसे संपर्क करता है, तो सुनिश्चित करें कि नंबर आधिकारिक लाइन के अनुरूप हों।