अधिकांश चोर पैसे के पीछे होते हैं, और आपकी व्यक्तिगत जानकारी उन्हें वह प्राप्त करने में मदद कर सकती है जो वे चाहते हैं।
साइबर अपराधी खाली स्लेट के साथ काम नहीं करते हैं। हमला शुरू करने के लिए उन्हें आपके या आपके नेटवर्क के बारे में कुछ जानकारी चाहिए। वे आपसे यह उम्मीद नहीं करते हैं कि आप उन्हें सोने की थाली में दे देंगे, इसलिए वे इसे स्वयं प्राप्त करने के लिए क्रेडेंशियल चोरी जैसी रणनीतियों को लागू करते हैं।
प्रासंगिक जानकारी का एक टुकड़ा हमलावरों को आपके नेटवर्क तक पहुंच प्राप्त करने में मदद कर सकता है, और क्रेडेंशियल चोरी इसे पुनः प्राप्त करने का एक प्रभावी तरीका है। यहां आपके लिए यह समझने का मौका है कि क्रेडेंशियल चोरी कैसे काम करती है और इसे कैसे रोका जाए।
क्रेडेंशियल चोरी क्या है?
इस संदर्भ में, क्रेडेंशियल डेटा को संदर्भित करता है। क्रेडेंशियल चोरी तब होती है जब कोई हमलावर आपकी व्यक्तिगत जानकारी जैसे उपयोगकर्ता नाम, पासवर्ड और बैंकिंग जानकारी को नाजायज उद्देश्यों के लिए चुरा लेता है।
क्रेडेंशियल चोरी के लिए एक फलता-फूलता बाजार है। हैकर आप पर हमला किए बिना आपका डेटा चुरा सकते हैं, लेकिन इसे डार्क वेब पर दूसरों को बेच सकते हैं, जो अवैध डेटा मार्केटिंग के लिए निर्दिष्ट स्थान है।
क्रेडेंशियल चोरी कैसे काम करती है?
क्रेडेंशियल चोरी विभिन्न रूपों में प्रकट होती है। एक खतरा अभिनेता स्थिति की जांच करता है और फिर नीचे दिए गए विकल्पों में से सबसे प्रभावी तकनीक अपनाता है।
सोशल इंजीनियरिंग
सोशल इंजीनियरिंग एक साइबर हमला है जो तकनीकी कौशल की तुलना में मानवीय संपर्क पर अधिक है। घुसपैठिया मनोवैज्ञानिक तरकीबों का इस्तेमाल करता है गुमराह करने वाली कार्रवाई करने में आपको हेरफेर करते हैं जो आपके डेटा को उनके सामने उजागर कर देगा।
अधिकांश साइबर हमलों के विपरीत, जो यादृच्छिक होते हैं, सामाजिक इंजीनियरिंग हमले विशिष्ट लोगों के हित के अनुरूप होते हैं। अभिनेता उन लक्ष्यों का चयन करता है जिनके बारे में उनका मानना है कि उनके पास बहुमूल्य जानकारी है।
अधिकांश सोशल इंजीनियरिंग हमले आपका ध्यान आकर्षित करने के लिए चारा के साथ शुरू होते हैं। ये इतने आकर्षक हैं कि आप शायद ही इन्हें नज़रअंदाज़ कर सकें। फिर चोर आपको एक लिंक पर क्लिक करके या एक अटैचमेंट खोलकर कार्रवाई करने के लिए कहता है जो आपके नेटवर्क से समझौता करेगा और उन्हें पहुंच प्रदान करेगा। कुछ मामलों में, वे आपको उस बिंदु तक हेरफेर करते हैं जहां आप उन्हें अपने हाथों से अपनी साख भेजते हैं।
पाशविक बल
सोशल इंजीनियरिंग के बिल्कुल विपरीत, क्रूर बल आपके खाते में अनधिकृत पहुंच प्राप्त करने का एक प्रयास है एकाधिक उपयोगकर्ता नाम और पासवर्ड आज़माकर। हमलावर कई लॉगिन क्रेडेंशियल्स के साथ ट्रायल-एंड-एरर करता है जब तक कि वे वैध नहीं पाते।
क्रूर बल के हमले मैनुअल या स्वचालित हो सकते हैं। मैनुअल रूप में, एक खतरा अभिनेता व्यक्तिगत रूप से एक मैच खोजने की उम्मीद में कई उपयोगकर्ता नाम और पासवर्ड संयोजनों में प्रवेश करता है। यह कम सफलता दर के साथ समय लेने वाला है क्योंकि थकने से पहले वे केवल इतना ही कर सकते हैं।
एक स्वचालित ब्रूट फ़ोर्स अटैक एक सिस्टम पर एकाधिक लॉगिन क्रेडेंशियल दर्ज करने के लिए सॉफ़्टवेयर का उपयोग होता है। इसमें अधिक क्षमता है क्योंकि इसमें आम शब्दों से परे अलग-अलग पासवर्ड संयोजनों का उपयोग शामिल है, यदि वे इसे मैन्युअल रूप से करते हैं तो एक हमलावर इसका उपयोग करेगा। हैकर्स इसका उपयोग उन एन्क्रिप्शन कुंजियों को डिकोड करने के लिए भी करते हैं जिनका उपयोग लोग डेटा सुरक्षित करने के लिए करते हैं।
डंपस्टर डाइविंग
कचरा बिन वह जगह है जहां आप उन चीजों को फेंकते हैं जिनकी अब आपको आवश्यकता नहीं है। लेकिन सिर्फ इसलिए कि आपको अब किसी वस्तु की आवश्यकता नहीं है, यह पूरी तरह से बेकार नहीं है। ऐसे लोग हैं जो कूड़ेदान में सामान उठाकर अपना गुजारा करते हैं। डिजिटल डंपस्टर डाइविंग के साथ भी ऐसा ही है। साइबर अपराधी आपके द्वारा जानबूझकर या गलती से फेंके गए मूल्यवान क्रेडेंशियल्स के लिए आपके कूड़ेदान की खोज करते हैं। और कभी-कभी वे मूल्यवान साख पाने के लिए भाग्यशाली हो जाते हैं।
उदाहरण के लिए, आप अपने बैंकिंग या क्रेडिट कार्ड की जानकारी वाले दस्तावेज़ को ट्रैश कर सकते हैं क्योंकि अब आपको इसकी आवश्यकता नहीं है। यहाँ मूल्यवान दस्तावेज़ नहीं है बल्कि इसमें मौजूद जानकारी है। डंपस्टर गोताखोर दस्तावेज़ ढूंढ सकता है और वित्तीय अपराध करने के लिए जानकारी का उपयोग कर सकता है।
स्वचालित हमले
स्वचालित हमले लक्षित प्रणालियों में कमजोरियों की खोज करने के लिए उन्नत तकनीक का उपयोग करते हैं और फिर अनधिकृत पहुंच प्राप्त करने के लिए उन कमजोरियों का लाभ उठाते हैं। क्रेडेंशियल चोरी में, हैकर सिस्टम पर कई उपयोगकर्ता नाम और पासवर्ड आज़माने के लिए स्वचालित हमलों का उपयोग करते हैं। चूंकि सिस्टम ऑटोपायलट पर काम करता है, यह बड़ी मात्रा में डेटा को संसाधित करता है, जिससे इसकी सफलता दर बढ़ जाती है।
स्वचालित हमले अन्य क्रेडेंशियल चोरी तकनीकों पर लागू होते हैं। उन्हें मैन्युअल रूप से निष्पादित करने के बजाय जो समय लेने वाली और कार्य करने वाली है, अभिनेता प्रक्रिया को स्वचालित करते हैं।
प्रत्यक्ष प्रेक्षण तकनीक
यदि आप अपने स्मार्टफोन या किसी अन्य मोबाइल डिवाइस को सार्वजनिक रूप से संचालित करते हैं, तो कोई व्यक्ति आपके कंधों को देख सकता है कि आप क्या कर रहे हैं। यह पारंपरिक रूप से शोल्डर सर्फिंग है, लेकिन यह एक साइबर हमले के रूप में विकसित हुआ है। आपकी साख को पुनः प्राप्त करने के लिए अपराधियों को आपके साथ शारीरिक रूप से उपस्थित होने की आवश्यकता नहीं है। वे पब्लिक वाई-फाई नेटवर्क के जरिए ऐसा कर सकते हैं।
शहरी कस्बों के आसपास कुछ सार्वजनिक क्षेत्रों में खुले वाई-फाई नेटवर्क हैं। यदि आप इससे जुड़ते हैं तो कोई व्यक्ति आपके डेटा को पुनर्प्राप्त करने के लिए एक सार्वजनिक स्थान पर इंटरनेट कनेक्टिविटी प्रदान कर सकता है। आपके लिए अनजान, उन्होंने छिपकर बातें सुनने की तकनीक के साथ 'अपने कंधों पर नज़र' रखने और आपकी साख जमा करने के लिए खुद को तैनात किया है।
आप क्रेडेंशियल चोरी को कैसे रोक सकते हैं?
हो सकता है कि हैकर्स ने कई तरीकों से क्रेडेंशियल चोरी करने में महारत हासिल की हो, लेकिन आप इन साइबर सुरक्षा उपायों से उन्हें रोक सकते हैं।
नेटवर्क ट्रैफिक मॉनिटरिंग लागू करें
नेटवर्क ट्रैफ़िक मॉनिटरिंग विसंगतियों की पहचान करने के लिए ट्रैफ़िक डेटा को व्यवस्थित रूप से ट्रैक, एकत्र और विश्लेषण कर रहा है। यह डेटा-आधारित परिप्रेक्ष्य से आपके नेटवर्क प्रदर्शन को समझने में आपकी सहायता करता है। यह आपको खतरे वाले वैक्टर और कमजोरियों के बारे में जानकारी देता है जो आपके डेटा को खतरे में डाल सकते हैं।
चूंकि नेटवर्क ट्रैफिक मॉनिटरिंग खतरे के अलर्ट की रिपोर्ट करता है, यह आपके सिस्टम पर क्रेडेंशियल चोरी के प्रयासों का पता लगाता है। जब क्रेडेंशियल थ्रेट एक्टर्स आपके रास्ते में संक्रमित सामग्री भेजते हैं या आपके सिस्टम को हैक करने की कोशिश करते हैं, तो एप्लिकेशन उन्हें फ़्लैग करता है और उन्हें दूर करने के लिए एक रक्षा तंत्र शुरू करता है।
अनधिकृत पहुंच को रोकने के लिए डेटा एन्क्रिप्ट करें
डेटा एन्क्रिप्शन की प्रक्रिया है कोड के साथ अपने डेटा को सुरक्षित करना ताकि केवल अधिकृत लोग ही इसे देख सकें। एन्क्रिप्टेड डेटा अलग है क्योंकि यह सामान्य प्लेनटेक्स्ट के बजाय सिफरटेक्स्ट में है। एन्क्रिप्टेड डेटा को देखने के लिए, हैकर को अधिकृत डिक्रिप्शन कुंजी या पासवर्ड का उपयोग करना पड़ता है, अन्यथा डेटा उनके पास होने पर भी उनके लिए बेकार है।
एन्क्रिप्शन तकनीक में एल्गोरिदम का उपयोग शामिल है जो प्रमुख सुरक्षा मेट्रिक्स जैसे प्रमाणीकरण, अखंडता और गैर-अस्वीकृति को लागू करता है। प्रमाणीकरण उपयोगकर्ता की पहचान को मान्य करता है, अखंडता यह साबित करती है कि डेटा को बदला नहीं गया है, और गैर-अस्वीकृति डेटा की उत्पत्ति का प्रमाण दिखाती है।
बहु-कारक प्रमाणीकरण के साथ उपयोगकर्ता पहचान सत्यापित करें
मल्टी-फैक्टर ऑथेंटिकेशन एक ऐसी प्रक्रिया है, जिसमें एक उपयोगकर्ता जो आपके सिस्टम तक पहुँचने की कोशिश कर रहा है, अपनी पहचान साबित करने के लिए एक से अधिक सत्यापन से गुजरता है। साइबर अपराधियों के पास लंबे समय से एकल उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण को बायपास करने के तरीके हैं। टू-फैक्टर ऑथेंटिकेशन ने कुछ स्तर की सुरक्षा की पेशकश की जब तक कि उन्होंने इसे भी हरा नहीं दिया। मल्टी-फैक्टर ऑथेंटिकेशन चेक की संख्या बढ़ाकर सुरक्षा बार बढ़ाता है।
मल्टी-फैक्टर ऑथेंटिकेशन के उदाहरण वन-टाइम पासवर्ड (ओटीपी) हैं जो एक निर्दिष्ट फोन नंबर या ईमेल, डिजिटल बैज स्कैन, सॉफ्टवेयर टोकन आदि पर वितरित किए जाते हैं। साइबर अपराधियों की पहचान हो गई है शोषण करने के लिए बहु-कारक प्रमाणीकरण भेद्यता उम्मीद के मुताबिक, लेकिन उन्हें हराना आसान नहीं है।
पैच प्रबंधन को प्राथमिकता दें
सॉफ़्टवेयर अनुप्रयोगों का एक सतत जीवनचक्र होता है। डेवलपर्स उन्हें नवीनतम सुरक्षा मानकों के साथ संरेखित करने के लिए समय-समय पर अपडेट करते हैं। पैच प्रबंधन पिछले ढांचे से जुड़ी कमजोरियों से बचने के लिए आपके सक्रिय सॉफ़्टवेयर को नवीनतम मानकों पर अपडेट करने का एक कार्य है।
पैच प्रबंधन को लागू करने में विफलता आपके समापन बिंदुओं को उच्च जोखिम में डालती है। घुसपैठिए आपके सिस्टम में हैक करने और आपके डेटा से समझौता करने के लिए अप्रचलित सॉफ़्टवेयर एप्लिकेशन की कमजोरियों का लाभ उठाएंगे। आवर्ती पैच प्रबंधन शेड्यूल होने से खतरे के लिए बिना अंतराल के नेटवर्क सुरक्षा का अनुकूलन होता है और आगे बढ़ता है।
प्रभावी साइबर सुरक्षा के साथ काउंटर क्रेडेंशियल चोरी
क्रेडेंशियल चोरी के हमलों को रोकने के लिए, आपको उस प्रकार की जानकारी की पहचान करने की आवश्यकता है जो चोर चाहते हैं। यह आपके और आपके खातों के लिए विशेष रूप से लॉगिन क्रेडेंशियल्स से लेकर अन्य व्यक्तिगत पहचान योग्य तक है। अपनी हमले की सतहों को सुरक्षित करके और अपने डेटा को एन्क्रिप्ट करके अधिक सावधानी बरतें। यदि आपकी व्यक्तिगत जानकारी को जोखिम होता है, तो आपकी साइबर सुरक्षा इतनी मजबूत होगी कि इसे तोड़ा नहीं जा सकता।
