इस पोस्ट मैं हम phishing attack क्या है, phishing attack की techniques और इसे कैसे बचे ये देखेंगे।
Phising एक प्रकार का सोशल इंजीनियरिंग attack है जिसका उपयोग अक्सर user data चोरी करने के लिए किया जाता है, जिसमें लॉगिन क्रेडेंशियल और क्रेडिट कार्ड नंबर शामिल हैं। यह तब होता है जब एक attacker, एक विश्वसनीय masquerading के रूप में, एक victim को एक ईमेल, instant message या text message खोलने में धोखा देता है। इसके बाद recipient को एक malicious लिंक पर क्लिक करने के लिए प्रेरित किया जाता है, जिससे installation malware, malware हमले के हिस्से के रूप में सिस्टम की freezing या sensitive जानकारी का खुलासा हो सकता है। यह article phishing तकनीकों के प्रकार और prevention के बारे में बात करेगा।
Phishing techniques
यहां पांच सामान्य phishing threats पर एक संक्षिप्त नज़र है जो अक्सर enterprise सेटिंग्स में उत्पन्न होते हैं। प्रत्येक उदाहरण में “Bob”, finance विभाग का एक mid-level employee है जो अपने व्यस्त दिन के माध्यम से प्राप्त करने और सैकड़ों ईमेल का जवाब देने की कोशिश कर रहा है।
1. Breach of Trust
बॉब को एक ईमेल मिलता है, जो वह सोचता है कि उसका बैंक उसे वायर ट्रांसफर की पुष्टि करने के लिए कह रहा है। ईमेल उसे एक लिंक पर ले जाता है जो उसके बैंक की वेबसाइट की तरह दिखता है लेकिन यह वास्तव में एक “spoofed” है लेकिन उसके बैंक की वेबसाइट के समान कॉपी है। जब वह page पर जाता है, तो उसने अपनी credential दर्ज की लेकिन कुछ नहीं हुआ। बहुत देर हो चुकी है, बॉब ने cybercriminal को अपना बैंक पासवर्ड दिया था।
2. False Lottery
Bob को यह कहते हुए एक ईमेल मिलता है कि वह एक sweepstakes से पुरस्कार जीत चुका है। आम तौर पर, बॉब इस चाल के लिए गिरने के लिए बहुत समझदार है। हालाँकि, यह ईमेल उसके बॉस, joe से आता है, और एक चैरिटी का संदर्भ देता है जो वे दोनों का समर्थन करते हैं। वह क्लिक करता है, और एक फर्जी पेज पर समाप्त होता है जो मैलवेयर लोड करता है।
3. Data Update
Bob को joe से एक ईमेल मिलता है जो उसे एक document पर एक नज़र डालने के लिए कहता है। दस्तावेज़ में मैलवेयर है। Bob को एहसास भी नहीं हुआ कि क्या हुआ है। वह document को देखता है, जो सामान्य लगता है। परिणामस्वरूप मैलवेयर महीनों तक अपने keystrokes को लॉग कर सकता है, पूरे नेटवर्क से समझौता कर सकता है, और पूरे संगठन में बड़े पैमाने पर सुरक्षा उल्लंघनों का नेतृत्व कर सकता है।
4. Sentimental Abuse
बॉब को किसी का ईमेल मिलता है जो दावा करता है कि joe’s का साला है। वह कैंसर से पीड़ित हैं और उनका insurance रद्द हो गया है। वह बॉब को अपनी बीमारी से recover में मदद करने के लिए दान करने के लिए कहता है। बॉब लिंक पर क्लिक करता है और एक फर्जी चैरिटी साइट पर ले जाया जाता है। साइट malware होस्ट कर सकती है या बॉब के क्रेडिट कार्ड की जानकारी को फर्जी “Online donation” के जरिए चुरा सकती है।
5. Impersonation
Bob को अपने बॉस joe से एक ईमेल मिलता है, जो कहता है कि उसे एक emergency काम के लिए pre-payment के रूप में एक known vendor को पैसे की आवश्यकता है। बॉब उन्हें पैसे तुरंत तार कर सकते हैं? यह काफी नियमित लगता है। बॉब request किए गए खाते में पैसे डालता है। पैसा untraceable है और फिर कभी नहीं देखा जाता है।
Prevent Phishing Attacks
1. Keep Informed About Phishing Techniques
हर समय नए phishing scams विकसित किए जा रहे हैं। इन नई phishing technique के top पर बने बिना, आप अनजाने में एक के शिकार हो सकते हैं। नए phishing scams के बारे में खबरों के लिए अपनी आँखें peeled कर रखें। जितनी जल्दी हो सके उनके बारे में पता लगाने से, आपको एक के बाद एक बहुत कम risk होगा। IT administrators के लिए, सभी users के लिए चल रहे security awareness training और simulated phishing पूरे संगठन में सुरक्षा को ध्यान में रखे।
2. Think Before You Click!
जब आप trusted sites पर हों, तो लिंक पर क्लिक करना ठीक है। Random emails और instant message में दिखाई देने वाले लिंक पर क्लिक करना, हालांकि, ऐसा कोई स्मार्ट कदम नहीं है। उन लिंक पर hover करें, जिन पर क्लिक करने से पहले आप अनिश्चित हैं। क्या वे lead करते हैं जहां वे lead करने वाले हैं? एक phishing ईमेल एक legitimate कंपनी से होने का दावा कर सकता है और जब आप वेबसाइट के लिंक पर क्लिक करते हैं, तो यह वास्तविक वेबसाइट की तरह लग सकता है। ईमेल आपको जानकारी भरने के लिए कह सकता है लेकिन ईमेल में आपका नाम नहीं हो सकता है। Most phishing ईमेल “Dear Customer” के साथ शुरू होंगे, इसलिए जब आप इन ईमेलों पर आते हैं तो आपको सतर्क होना चाहिए। जब doubt हो, तो संभावित खतरनाक लिंक पर क्लिक करने के बजाय सीधे sourse पर जाएं।
3. Install an Anti-Phishing Toolbar
Most लोकप्रिय इंटरनेट ब्राउज़र को Anti-phishing टूलबार के साथ अनुकूलित किया जा सकता है। इस तरह के टूलबार उन साइटों पर त्वरित जांच करते हैं जो आप देख रहे हैं और उनकी तुलना phishing साइटों की सूची से करते हैं। यदि आप किसी दुर्भावनापूर्ण साइट पर ठोकर खाते हैं, तो टूलबार आपको इसके बारे में सचेत करेगा। phishing scams के खिलाफ सुरक्षा की यह सिर्फ एक और layer है, और यह पूरी तरह से स्वतंत्र है।
4. Verify a Site’s Security
ऑनलाइन संवेदनशील financial जानकारी की supplying के बारे में थोड़ा सावधान रहना स्वाभाविक है। जब तक आप एक सुरक्षित वेबसाइट पर हैं, हालांकि, आपको किसी भी परेशानी में नहीं चलना चाहिए। किसी भी जानकारी को प्रस्तुत करने से पहले, सुनिश्चित करें कि साइट का URL “https” से शुरू होता है और address bar के पास एक closed lock icon होना चाहिए। साइट के security certificate के लिए भी जाँच करें। यदि आपको एक संदेश मिलता है जिसमें एक निश्चित वेबसाइट बताई गई है जिसमें दुर्भावनापूर्ण फ़ाइलें हो सकती हैं, तो वेबसाइट न खोलें। Suspicious ईमेल या वेबसाइट से कभी भी फाइल डाउनलोड न करें। यहां तक कि search engine कुछ लिंक दिखा सकते हैं जो user को phishing वेबपेज पर ले जा सकते हैं जो low cost product प्रदान करते हैं। यदि user ऐसी वेबसाइट पर खरीदारी करता है, तो क्रेडिट कार्ड detail cybercriminals द्वारा एक्सेस किया जाएगा।
5. Check Your Online Accounts Regularly
यदि आप कुछ समय के लिए ऑनलाइन account पर नहीं जाते हैं, तो किसी के साथ field day हो सकता है। यहां तक कि अगर आपको तकनीकी रूप से ज़रूरत नहीं है, तो नियमित रूप से अपने प्रत्येक ऑनलाइन खाते के साथ जांचें। अपने पासवर्ड भी नियमित रूप से बदलने की आदत डालें। Bank phishing और क्रेडिट कार्ड phishing scam को रोकने के लिए, आपको व्यक्तिगत रूप से नियमित रूप से अपने बयानों की जांच करनी चाहिए। अपने financial account के लिए monthly statements प्राप्त करें और बिना किसी धोखे के लेन-देन सुनिश्चित करने के लिए प्रत्येक transation को ध्यान से देखें।
6. Keep Your Browser Up to Date
लोकप्रिय ब्राउज़र के लिए हर समय सुरक्षा पैच जारी किए जाते हैं। वे सुरक्षा खामियों के जवाब में जारी किए जाते हैं जो phishers और अन्य हैकर्स अनिवार्य रूप से खोजते हैं और शोषण करते हैं। यदि आप आमतौर पर अपने ब्राउज़र को अपडेट करने के बारे में messages को अनदेखा करते हैं, तो रोकें। जिस मिनट का अपडेट उपलब्ध है, उसे डाउनलोड और इंस्टॉल करें।
7. Use Firewalls
उच्च गुणवत्ता वाले फायरवॉल आपके, आपके कंप्यूटर और बाहर के घुसपैठियों के बीच बफर के रूप में कार्य करते हैं। आपको दो अलग-अलग प्रकारों का उपयोग करना चाहिए: एक डेस्कटॉप फ़ायरवॉल और एक नेटवर्क फ़ायरवॉल। पहला विकल्प एक प्रकार का सॉफ्टवेयर है, और दूसरा विकल्प एक प्रकार का हार्डवेयर है। जब एक साथ उपयोग किया जाता है, तो वे आपके कंप्यूटर या आपके नेटवर्क में घुसपैठ करने वाले हैकर्स और phishers की बाधाओं को काफी कम कर देते हैं।
8. Be Wary of Pop-Ups – Pop-up
पॉप-अप विंडो अक्सर एक वेबसाइट के legitimate component के रूप में सामने आती हैं। सभी अक्सर, वे प्रयासों को पूरा कर रहे हैं। कई लोकप्रिय ब्राउज़र आपको पॉप-अप को ब्लॉक करने की अनुमति देते हैं; आप उन्हें case-by-case आधार पर अनुमति दे सकते हैं। यदि कोई crack से slip करता है, तो “cancel” बटन पर क्लिक न करें; ऐसे बटन अक्सर phishing साइटों की ओर ले जाते हैं। इसके बजाय, window के ऊपरी कोने में छोटे “x” पर क्लिक करें।
9. Never Give Out Personal Information
एक सामान्य नियम के रूप में, आपको इंटरनेट पर व्यक्तिगत या financially रूप से संवेदनशील जानकारी share नहीं करनी चाहिए। जब संदेह हो, तो प्रश्न में कंपनी की मुख्य वेबसाइट पर जाएं, उनका नंबर प्राप्त करें और उन्हें कॉल करें। अधिकांश phishing ईमेल आपको उन page पर निर्देशित करेंगे जहाँ financial या personal जानकारी के लिए entries आवश्यक हैं। एक इंटरनेट user को ईमेल में दिए गए लिंक के माध्यम से confidential entries कभी नहीं करनी चाहिए। कभी भी किसी को संवेदनशील जानकारी वाला ईमेल न भेजें। वेबसाइट का पता चेक करना उसकी आदत बना लें। एक सुरक्षित वेबसाइट हमेशा “https” से शुरू होती है।
10. Use Antivirus Software
एंटीवायरस सॉफ़्टवेयर का उपयोग करने के बहुत सारे कारण हैं। जो कि known technology workarounds और loopholes के खिलाफ एंटीवायरस सॉफ़्टवेयर गार्ड के साथ शामिल हैं। बस अपने सॉफ़्टवेयर को up to date रखना सुनिश्चित करें। हर समय नई definition जोड़ी जाती हैं क्योंकि हर समय नए घोटाले भी देखे जा रहे हैं। Phishing attacks को रोकने के लिए anti-spyware और फ़ायरवॉल सेटिंग्स का उपयोग किया जाना चाहिए और user को नियमित रूप से कार्यक्रमों को अपडेट करना चाहिए। फ़ायरवॉल सुरक्षा हमलों को blocking करके malicious फ़ाइलों तक पहुंच को रोकता है। एंटीवायरस सॉफ़्टवेयर हर फ़ाइल को स्कैन करता है जो इंटरनेट के माध्यम से आपके कंप्यूटर पर आती है। यह आपके सिस्टम को नुकसान को रोकने में मदद करता है।