कई सफल हैक एक बिना सोचे-समझे सोशल मीडिया पोस्ट से शुरू होते हैं।
लोगों के लिए अपने रोजमर्रा के जीवन की तस्वीरें और वीडियो अपने सोशल मीडिया प्रोफाइल पर पोस्ट करना आम बात है, लेकिन ऐसी उपयोगकर्ता-जनित सामग्री बड़ी सुरक्षा समस्याएं पैदा कर सकती है। सोशल मीडिया लोगों के बारे में जानकारी इकट्ठा करने के लिए बहुत अच्छा है। यहां बताया गया है कि हैकर्स इस जानकारी को कैसे इकट्ठा करते हैं और उसका फायदा उठाते हैं।
खुफिया जानकारी इकट्ठा करना हैकिंग का पहला कदम है
किसी सिस्टम पर हमला करने से पहले हैकर्स सबसे पहला काम जानकारी इकट्ठा करना करते हैं। कभी-कभी इस प्रक्रिया में मिनट, घंटे, महीने या साल लग सकते हैं। यह समय अवधि लक्ष्य प्रणाली की क्षमता, कर्मचारियों की संख्या, हमले के आकार और रक्षात्मक उपायों के अनुसार भिन्न होती है। यहां उद्देश्य लक्ष्य प्रणाली की सभी कमजोरियों की पहचान करना और हमले की रणनीति बनाना है।
उदाहरण के लिए, एक ऐसे व्यक्ति की कल्पना करें जिसका इंस्टाग्राम उपयोगकर्ता नाम है पीड़ित उपयोगकर्ता एक्सटेंशन के साथ एक कंपनी ईमेल है example.com, और उन्होंने विदेश में व्यापारिक यात्रा पर जाने के लिए हवाई जहाज का टिकट खरीदा है। पता चला, पीड़ित उपयोगकर्ता इसे लेकर बहुत उत्साहित है और इंस्टाग्राम पर अनुयायियों और दोस्तों के साथ उत्साह साझा करने के लिए एक फोटो अपलोड करने का फैसला करता है। पीड़ित यूजर द्वारा अपलोड की गई इस फोटो में प्लेन टिकट का एक खास हिस्सा देखा जा सकता है. उह ओह। किसी हैकर के लिए यह बहुत उपयोगी जानकारी है.
हालांकि विक्टिमयूजर द्वारा शेयर की गई फोटो में पूरा फ्लाइट टिकट नजर नहीं आ रहा है, क्योंकि हर कंपनी का टिकट अलग होता है इसलिए हैकर समझ सकता है कि यह टिकट किस कंपनी का है। फिर, हैकर फोटो के नीचे विवरण पढ़ेगा। यदि पीड़ित उपयोगकर्ता ने उड़ान की तारीख और समय साझा किया, तो हैकर का काम आसान हो जाएगा। लेकिन भले ही यह जानकारी सार्वजनिक रूप से उपलब्ध न हो, हैकर ग्राहक होने का दिखावा कर सकता है, विमान कंपनी की आधिकारिक वेबसाइट में प्रवेश कर सकता है और उड़ान योजनाओं की जांच कर सकता है। इसका मतलब यह है कि हैकर्स पीड़ित उपयोगकर्ता की उड़ान के दिन और समय की भविष्यवाणी कर सकते हैं।
इस बिंदु पर, हैकर आक्रमण वैक्टर के बारे में सोचना शुरू कर देता है जबकि पीड़ित उपयोगकर्ता यह सोचता रहता है कि वह एक निर्दोष पोस्ट कर रहा है।
Google की शक्ति का उपयोग करके, हैकर पीड़ित उपयोगकर्ता से सीखी गई उड़ान कंपनी के टिकट खोजना शुरू कर देता है। फिर हैकर पहला कदम उठाएगा गूगल डॉर्किंग करने के लिए.
Google डॉर्किंग के साथ, आप किसी दी गई साइट पर विशिष्ट फ़ाइल एक्सटेंशन खोज सकते हैं। इस मामले में, हैकर पीड़ित उपयोगकर्ता की उड़ान कंपनी की पीडीएफ फाइलों को खोजता है। हैकर इस पीडीएफ फाइल को डाउनलोड करता है और अपनी जरूरतों को पूरा करने के लिए इसमें हेरफेर करता है।
कुछ हैकर लक्षित उपयोगकर्ताओं को धोखा देते हैं और धोखा देते हैं सोशल इंजीनियरिंग नामक एक प्रक्रिया के माध्यम से. इस स्तर पर, हैकर एक यथार्थवादी ईमेल पता और उसके साथ मुख्य टेक्स्ट बनाएगा। फिर वे मैलवेयर युक्त एक संशोधित पीडीएफ फाइल संलग्न कर सकते हैं। यदि पीड़ित उपयोगकर्ता इस ईमेल को खोलता है, तो हैकर ने अपना लक्ष्य हासिल कर लिया है।
यदि हैकर को पीड़ित उपयोगकर्ता की उड़ान का समय और दिन पता है, तो निश्चित रूप से, नकली ईमेल अधिक यथार्थवादी होगा, लेकिन अधिकांश समय, यह आवश्यक भी नहीं हो सकता है। यदि उड़ान कंपनी की साइट पर सदस्यता प्रणाली है, तो हैकर सदस्य बन सकता है और उड़ान कंपनी से एक ईमेल प्राप्त कर सकता है। इससे हैकर को सीखने में मदद मिलेगी ईमेल HTML लेआउट और शैली उड़ान कंपनी द्वारा उपयोग किया जाता है।
नकली ईमेल तैयार करने के बाद, हैकर को अब फ़्लाइट कंपनी से संबंधित डोमेन के साथ एक ईमेल पता प्राप्त करने की आवश्यकता होगी, लेकिन ऐसा करना लगभग असंभव है। इसलिए हैकर फ्लाइट कंपनी का फर्जी ईमेल एड्रेस तैयार कर लेता है. वे इसे छुपाने के लिए सामान्य ईमेल खाते के सामने एक अलग ईमेल पता डाल सकते हैं, और जब तक लक्षित उपयोगकर्ता इस पते पर क्लिक नहीं करता है, तब तक उन्हें इसके पीछे का वास्तविक ईमेल पता नहीं दिखता है। इसमें फंसने की एक आसान तरकीब है।
हैकर द्वारा एक नकली ईमेल पता तैयार करने के बाद, केवल एक ही चरण बचा है: पीड़ित उपयोगकर्ता का ईमेल पता पता करें। हैकर इसके लिए फॉरगेट पासवर्ड विकल्प का सहारा ले सकता है।
पासवर्ड भूल जाने के विकल्प के बाद, हैकर लक्षित उपयोगकर्ता का ईमेल डोमेन नाम खोज सकता है। इस उदाहरण में, पीड़ित उपयोगकर्ता के पास example.com नाम का एक डोमेन है और ऐसा प्रतीत होता है कि उसके पास एक ईमेल पता है v******[email protected]. बेशक, हैकर तुरंत समझ सकता है कि जिस हिस्से को मार्क किया गया है * पीड़ित उपयोगकर्ता का उपयोगकर्ता नाम है. यदि यह इतना आसान नहीं होता, तो हैकर Google डॉर्किंग से खोज कर यह देख सकता था कि example.com डोमेन के साथ अन्य ईमेल पते भी हैं या नहीं। हालाँकि, अब हैकर के पास पीड़ित उपयोगकर्ता का ईमेल है।
पीड़ित के नजरिए से चीजें कैसी दिखती हैं
पीड़ित उपयोगकर्ता के पास एक जरूरी ईमेल आता है और यह ईमेल इतना विश्वसनीय होता है कि पीड़ित उपयोगकर्ता इस जाल में फंस जाता है। आख़िरकार, इस ईमेल में उड़ान टिकट, उड़ान जानकारी और महत्वपूर्ण उड़ान नीतियां शामिल हैं। साथ ही, ईमेल पता उड़ान कंपनी के ईमेल पते जैसा दिखता है। सब कुछ वैध लगता है.
इसके अलावा, चूंकि पीड़ित उपयोगकर्ता व्यावसायिक यात्रा के लिए यह उड़ान भर रहा होगा, इसलिए वे इस ईमेल को गंभीरता से लेते हैं। ईमेल के नीचे एक लिंक है जैसे "अपनी उड़ान प्रक्रियाओं को पूरा करने के लिए आपको दस्तावेज़ भरने होंगे"। जैसे ही पीड़ित उपयोगकर्ता इस लिंक पर क्लिक करता है, हैकर को वही मिलता है जो वह चाहता है।
यह कहानी हमें क्या बताती है?
हममें से अधिकांश पीड़ित उपयोगकर्ता से अलग नहीं हैं, और इसके बारे में जागरूक होना महत्वपूर्ण है। इस उदाहरण परिदृश्य में पीड़ित उपयोगकर्ता द्वारा की गई गलती सार्वजनिक रूप से टिकट की जानकारी साझा करना थी, जो कि व्यक्तिगत और निजी जानकारी है। और बात यह है: यह एक सच्ची कहानी थी। इसलिए अपने व्यवसाय या व्यक्तिगत जीवन से संबंधित जानकारी साझा करने से पहले दो बार सोचें।
