जब भी आप ऑनलाइन खाते बनाते हैं तो आप अपनी पहचान के बारे में विवरण साझा करते हैं। आप इस जानकारी की रक्षा कैसे कर सकते हैं?
जब भी आप किसी वेबसाइट, सोशल नेटवर्क या एप्लिकेशन पर साइन अप करते हैं तो आप एक खाता बनाते हैं। एक सक्रिय इंटरनेट उपयोगकर्ता के रूप में, आपने कई खाते बनाए होंगे, जिनमें से कुछ आप भूल गए होंगे।
कई प्लेटफ़ॉर्म उपयोगकर्ता खातों को नहीं हटाते हैं। इसका अर्थ है कि आपकी व्यक्तिगत जानकारी अभी भी प्लेटफ़ॉर्म पर है, भले ही आपने उन्हें लंबे समय तक उपयोग नहीं किया हो। ऑनलाइन कई खाते बनाने से साइबर अपराधी पहचान-आधारित हमलों के माध्यम से आपकी व्यक्तिगत जानकारी को पुनः प्राप्त कर सकते हैं। वे वास्तव में इन हमलों को कैसे अंजाम देते हैं और आप उन्हें रोकने के लिए क्या कर सकते हैं?
पहचान-आधारित हमले क्या हैं?
पहचान-आधारित हमले तब होते हैं जब साइबर अपराधी अवैध या दुर्भावनापूर्ण गतिविधियों के लिए आपकी व्यक्तिगत जानकारी प्राप्त करने के लिए आपके कंप्यूटर सिस्टम, नेटवर्क या खाते को लक्षित करते हैं। प्रतिरूपण हमलों के रूप में भी जाना जाता है, धमकी देने वाले संवेदनशील डेटा एकत्र करने, पैसे चोरी करने और लक्ष्य की प्रतिष्ठा को बर्बाद करने के लिए उनका लाभ उठाते हैं।
पहचान-आधारित हमलों के 5 प्रकार और वे कैसे कार्य करते हैं
पहचान-आधारित हमलों को बनाए रखने के लिए साइबर अपराधी निम्नलिखित रणनीतियों का प्रयोग करते हैं।
1. फ़िशिंग
फ़िशिंग तब होता है जब कोई घुसपैठिया किसी वैध व्यक्ति या संस्था के भेष में मूल्यवान जानकारी के लिए ईमेल, टेक्स्ट संदेशों या सोशल मीडिया पर तत्काल संदेशों के माध्यम से आपसे संपर्क करता है। वे जो जानकारी चाहते हैं वह आपकी बैंकिंग और क्रेडिट कार्ड विवरण, खाता पासवर्ड और अन्य व्यक्तिगत रूप से पहचान योग्य जानकारी हो सकती है।
फ़िशिंग प्रयासों की पहचान करने के लिए आम लाल झंडे हैं। मैसेजिंग में आमतौर पर आपके लिए तत्काल सूचना भेजने की तत्काल भावना होती है, इसमें हाइपरलिंक्स होते हैं जिन्हें वे चाहते हैं कि आप क्लिक करें, या किसी ईमेल से जुड़े दस्तावेज़ हैं जो वे आपको खोलना चाहते हैं। ऑफ़र देने की पुरानी तरकीब भी है जो सच होने के लिए बहुत अच्छी है।
2. क्रेडेंशियल भराई
क्रेडेंशियल स्टफिंग है एक प्लेटफॉर्म से डेटा कलेक्ट करना और दूसरे प्लेटफॉर्म पर इसे आजमाना यह देखने के लिए कि क्या यह मान्य होगा। उदाहरण के लिए, एक हमलावर फेसबुक पर मान्य उपयोगकर्ता नाम और पासवर्ड सहित डेटा का एक सेट प्राप्त करता है या खरीदता है और ट्विटर पर लॉगिन क्रेडेंशियल की कोशिश करता है। यदि पीड़ित दोनों प्लेटफॉर्म पर समान लॉगिन क्रेडेंशियल्स का उपयोग करते हैं तो वे सफल होंगे।
अनुसंधान से पता चलता है कि क्रेडेंशियल स्टफिंग की सफलता दर कम है, लेकिन यह संदर्भ पर निर्भर करता है। क्रेडेंशियल स्टफिंग के लिए प्राप्त डेटा हमलावरों की मात्रा लाखों और अरबों उपयोगकर्ता नामों तक चलती है। 0.1 सफलता दर के साथ भी, वे मूर्त सफलता दर्ज करेंगे। आपका खाता मान्य प्रविष्टियों में से हो सकता है।
3. मैन-इन-द-मिडल अटैक
छिपकर बातें सुनना लोगों की सहमति के बिना उनकी निजी जानकारी प्राप्त करने का एक प्रभावी तरीका है। मैन-इन-द-मिडिल हमलों के साथ यही होता है। साइबर अपराधी रणनीतिक रूप से आपके संचार चैनलों के बीच खुद को स्थापित करते हैं। जैसे ही आप एक एप्लिकेशन से दूसरे एप्लिकेशन में व्यक्तिगत डेटा भेजते हैं, वे उसे इंटरसेप्ट कर लेते हैं।
इंटरसेप्टिंग डिवाइस की शिकार की अज्ञानता के कारण पहचान-आधारित हमलों के लिए मैन-इन-द-मिडिल प्रभावी है। खतरा कर्ता डेटा को ट्रांज़िट में एक दुर्भावनापूर्ण संदेश के साथ बदल सकते हैं। रिसीवर हमलावर का संदेश प्राप्त करता है और उस पर कार्य करता है, यह सोचते हुए कि यह मूल प्रेषक से था।
4. पासवर्ड छिड़काव
यदि आप अपना पासवर्ड भूल जाते हैं और फिर कई बार कई गलत पासवर्ड दर्ज करते हैं, तो आपको प्लेटफॉर्म पर अस्थायी रूप से ब्लॉक किया जा सकता है। और ऐसा इसलिए है क्योंकि सिस्टम को बेईमानी से खेलने का संदेह है। साइबर अपराधी खातों को हैक करने का प्रयास करते समय अवरुद्ध होने से बचने के लिए पासवर्ड छिड़काव का उपयोग करते हैं। वे एक ही नेटवर्क पर कई उपयोगकर्ता नामों के साथ एक सामान्य पासवर्ड जोड़ते हैं। सिस्टम को किसी भी गड़बड़ी का संदेह नहीं होगा क्योंकि ऐसा लगेगा कि कई उपयोगकर्ता विफल लॉगिन प्रयास कर रहे हैं।
धमकी देने वाले अभिनेताओं को पासवर्ड छिड़काव में अत्यधिक विश्वास होता है क्योंकि लोग सामान्य शब्दों और वाक्यांशों को अपने पासवर्ड के रूप में उपयोग करते हैं। सैकड़ों उपयोगकर्ता नामों में से, यह आश्चर्य की बात नहीं है कि कुछ लोगों के पासवर्ड के रूप में एक सामान्य शब्द होगा।
5. पास-द-हैश
पास-द-हैश हमला एक ऐसी प्रक्रिया है जहां एक हमलावर आपके पासवर्ड के ब्लूप्रिंट को हाईजैक कर लेता है। उन्हें आपके पासवर्ड के प्लेनटेक्स्ट को जानने या प्राप्त करने की आवश्यकता नहीं है, लेकिन इसकी "हैशेड" कॉपी जिसमें यादृच्छिक वर्ण होते हैं।
हैकर्स न्यू टेक्नोलॉजी LAN मैनेजर (NTLM) प्रोटोकॉल में हेरफेर करके हैश किए गए पासवर्ड को पुनः प्राप्त कर सकते हैं। पासवर्ड हैश पासवर्ड जितना ही अच्छा है। जब तक आप पासवर्ड नहीं बदलते, हैश वही रहता है। एक हमलावर इसका उपयोग आपके सिस्टम तक पहुँचने और पहचान-आधारित हमले में आपकी व्यक्तिगत जानकारी को पुनः प्राप्त करने के लिए कर सकता है।
आप पहचान-आधारित हमलों को कैसे रोक सकते हैं?
पहचान-आधारित हमलों को रोकना आपकी व्यक्तिगत जानकारी को घुसपैठियों से दूर रखने के बारे में है। ऐसा करने के कुछ तरीके यहां दिए गए हैं।
1. निष्क्रिय खातों को निष्क्रिय करें
आपके द्वारा साइन अप किए जाने वाले सभी ऑनलाइन सिस्टम पर नज़र रखना आम बात नहीं है। जब आपको खातों की आवश्यकता नहीं रह जाती है तो उन्हें हटाए बिना आगे बढ़ना आम बात है। लेकिन आपके लिए अज्ञात, परित्यक्त खाते आपके डेटा तक पहुंचने के लिए खतरे वाले वैक्टर के रास्ते हैं। अपने निष्क्रिय खातों को हटाने से आपको व्यक्तिगत डेटा के जोखिम को कम करने में मदद मिलती है।
अपने सभी खातों की स्प्रैडशीट बनाना उन्हें ट्रैक करने का एक अच्छा तरीका है। आप अपने सभी खातों और उनके पासवर्ड को देखने के लिए अपने ईमेल प्रदाता के पासवर्ड मैनेजर की जांच कर सकते हैं। उन खातों को निष्क्रिय करें जिनका आपने वर्षों में उपयोग नहीं किया है।
2. मल्टी-फैक्टर ऑथेंटिकेशन को अपनाएं
बहु-कारक प्रमाणीकरण उपयोगकर्ताओं को कई सत्यापनों के माध्यम से आपके सिस्टम तक पहुँचने का प्रयास करता है। इसका मतलब है कि एक हैकर को आपका वैध उपयोगकर्ता नाम और पासवर्ड प्राप्त करना आपके खाते तक पहुंचने के लिए पर्याप्त नहीं है। उन्हें आपके ईमेल पते, फ़ोन नंबर या डिवाइस के ज़रिए अपनी पहचान की पुष्टि करनी होगी।
बहु-कारक प्रमाणीकरण पहचान-आधारित हमलों के खिलाफ एक मजबूत बचाव है क्योंकि एक घुसपैठिए को सत्यापन पास करने के लिए आपके कई खातों या उपकरणों तक पहुंच की आवश्यकता होती है। हालांकि कुछ हैं बहु-कारक प्रमाणीकरण कमजोरियों का हैकर फायदा उठा सकते हैं, यह आम तौर पर सुरक्षित है और इसे हराना मुश्किल है।
3. कम से कम विशेषाधिकार अभिगम नियंत्रण लागू करें
प्रवेश बिंदु पर उपयोगकर्ताओं को मान्य करने के लिए प्रमाणीकरण प्रणाली का उपयोग करने का मतलब यह नहीं है कि चेक पास करने वाला हर कोई हानिरहित है। कम से कम विशेषाधिकार एक अभिगम नियंत्रण सिद्धांत है जो आपको अपने नेटवर्क के सभी ट्रैफ़िक और उपयोगकर्ताओं को एक संदिग्ध के रूप में व्यवहार करने में सक्षम बनाता है। सभी क्षेत्रों को सिर्फ किसी के लिए खोलने के बजाय, उनकी पहुंच को उन तक सीमित कर देता है जो उनसे संबंधित हैं।
सिस्टम रखरखाव और मरम्मत करने वाले साइबर सुरक्षा कर्मियों सहित अन्य उपयोगकर्ताओं के लिए अपने व्यक्तिगत डेटा को सीमित रखें। यदि आपको उन्हें पहुँच प्रदान करनी है, तो उनकी गतिविधियों पर नज़र रखें और किसी भी संदिग्ध व्यवहार के लिए उन्हें जवाबदेह ठहराएँ।
4. पासवर्ड संस्कृति में सुधार करें
कई पहचान-आधारित हमले सफल होने के लिए पासवर्ड पर बहुत अधिक निर्भर करते हैं। यदि आप अपने पासवर्ड सुरक्षित कर सकते हैं, तो आप स्थायी लोगों के रडार से बाहर हैं। आपका पासवर्ड कुछ भी हो सकता है लेकिन अनुमान लगाना आसान है। आपसे संबद्ध सामान्य शब्दों और संख्याओं से दूर रहें।
सुरक्षित रहने के लिए, अपने पासवर्ड के रूप में शब्दों की जगह वाक्यांशों को चुनें। इससे भी महत्वपूर्ण बात यह है कि एक से अधिक खातों पर एक ही पासवर्ड का उपयोग न करें। एक से अधिक खातों के लिए अद्वितीय पासवर्ड बनाना याद रखना चुनौतीपूर्ण हो सकता है। आप इस बाधा को पार कर सकते हैं एक सुरक्षित पासवर्ड प्रबंधक का उपयोग करना.
5. साइबर सुरक्षा जागरूकता पैदा करें
आपके द्वारा निर्मित सबसे बड़ी साइबर सुरक्षा सुरक्षा में से एक समझ और विशेषज्ञता प्राप्त करना है। यहां तक कि अगर आप सबसे परिष्कृत सुरक्षा उपकरणों को लागू करते हैं, तो आप उनका उपयोग कैसे करें, यह जाने बिना आप उनमें से सबसे अधिक प्राप्त नहीं करेंगे।
साइबर हमले की तकनीकों से खुद को परिचित कराएं, वे कैसे काम करते हैं और उन्हें कैसे रोका जाए। उदाहरण के लिए, यदि आप फ़िशिंग से परिचित हैं, तो आप अजीब लिंक और अटैचमेंट को क्लिक करने या खोलने से पहले दो बार सोचेंगे। एक से अधिक खातों पर एक ही पासवर्ड का उपयोग नहीं करने से भी आप क्रेडेंशियल स्टफिंग से बचते हैं।
पहचान पर आधारित हमले आपसे शुरू होते हैं। यदि आपके पास आपकी व्यक्तिगत जानकारी नहीं है तो धमकी देने वाले अभिनेता आपको इस तरह लक्षित नहीं कर सकते। जैसे ही आपकी व्यक्तिगत जानकारी पर उनका अधिकार हो जाता है, वे आप पर हावी हो जाते हैं।
अपने डिजिटल फ़ुटप्रिंट के प्रति सावधान रहने से आपको यह नियंत्रित करने में मदद मिलती है कि वे आपके बारे में क्या एक्सेस कर सकते हैं। जो उपलब्ध नहीं है उसे वे पुनः प्राप्त नहीं कर सकते।