जब आप पहली बार पंजीकरण करते हैं तो कई वेबसाइट और ऐप सुरक्षा प्रश्न पूछते हैं। फिर जब भी आप खोए हुए पासवर्ड को बदलने का अनुरोध करते हैं तो वे आपकी पहचान सत्यापित करने के लिए आपके द्वारा प्रदान किए गए उत्तरों का उपयोग करते हैं। लेकिन साइबर हमले करने वाले अक्सर सुरक्षा सवालों के रास्ते ढूंढते हैं।
वे आपके गुप्त उत्तरों को कैसे खोलते हैं और आपके खाते तक कैसे पहुंचते हैं? वे आपकी प्रोफ़ाइल को हैक करने के लिए इन सवालों को कैसे दरकिनार करते हैं?
1. सोशल मीडिया स्कैम
सोशल मीडिया का एक नकारात्मक पहलू यह है कि यह कहना मुश्किल है कि असली कौन है। यह साइबर अपराधियों के लिए असामान्य नहीं है कि वे इसका उपयोग पीड़ितों को सुरक्षा प्रश्नों के उत्तर प्रकट करने के लिए धोखा देने के लिए करते हैं।
हैकर्स इसे हासिल करने का एक सामान्य तरीका यह है कि वे फेसबुक, लिंक्डइन, इंस्टाग्राम या ट्विटर जैसे सोशल मीडिया प्लेटफॉर्म पर अपने पीड़ितों के दोस्तों या अनुयायियों के रूप में दिखाई देते हैं। मनोसामाजिक हेरफेर के रूपों का उपयोग करते हुए, वे पीड़ित को उन पर भरोसा करने के लिए धोखा देते हैं। यह सामाजिक इंजीनियरिंग का एक और स्तर है।
एक बार जब एक साइबर हमलावर सोशल मीडिया पर अपने लक्ष्य के साथ दोस्त बन जाता है, तो वे पीड़ित के साथ चैट करते हैं और भरोसेमंद दिखने के लिए पहले अपने बारे में नकली जानकारी देते हैं। उन डेटिंग ऐप घोटालों में से एक जैसा दिखता है, वे पीड़ित के हितों और पसंद के बारे में बातचीत में संलग्न होते हैं।
कभी-कभी, हमलावर पीड़ित के साथ समान हितों, शौक और पसंद को साझा करने का दिखावा कर सकता है, जो अनजाने में गुप्त जानकारी साझा कर सकता है-जो निश्चित रूप से सुरक्षा प्रश्नों के उत्तर शामिल करने की संभावना है। यह उन लोगों से लेकर हो सकता है जिनका उपयोग वे कार्यस्थल के संसाधनों तक पहुँचने के लिए करते हैं, जो ऑनलाइन शॉपिंग या अन्य संवेदनशील ऑनलाइन लेनदेन के लिए उपयोग किए जाते हैं।
2. फ़िशिंग
फ़िशिंग और सोशल इंजीनियरिंग साथ-साथ चलते हैं। फ़िशिंग तब होती है जब हैकर खुद को किसी और के रूप में प्रस्तुत करता है, यानी एक झूठा व्यक्तित्व। उदाहरण के लिए, एक हमलावर आपको कॉल, एसएमएस या ईमेल में बता सकता है कि वे उस कंपनी का प्रतिनिधित्व करते हैं जो आपकी एक प्रोफ़ाइल रखती है।
वे आपसे आपकी सुरक्षा को मजबूत करने के लिए एक विशेष समय सीमा के भीतर कुछ सवालों के जवाब देने के लिए कह सकते हैं। या वे आपको एक ऑनलाइन फ़ॉर्म का लिंक भी भेज सकते हैं—ज्यादातर, मूल वेबसाइट की एक नकली प्रतिकृति जिसके साथ आपको एक प्रोफ़ाइल मिली है। ऐसे मामले भी होते हैं जब हैकर्स अपने पीड़ितों से इस बहाने Google फ़ॉर्म या कोई ऑनलाइन प्रश्नावली भरने के लिए कहते हैं कि वे शोध कर रहे हैं।
कम सुरक्षा-प्रेमी व्यक्तियों का शोषण करने के लिए हैकर्स अक्सर इस तकनीक का उपयोग करते हैं। बेशक, एक बार जब वे आवश्यक जानकारी प्राप्त कर लेते हैं, तो सुरक्षा प्रश्नों को दरकिनार करना और लक्ष्य के खाते पर अप्रतिबंधित नियंत्रण हासिल करना आसान हो जाता है।
3. आपके ऑनलाइन प्रोफाइल से जानकारी
जबकि सुरक्षा प्रश्नों को निजी माना जाता है और केवल आप के लिए जाना जाता है, आपने संभवतः पूरे इंटरनेट पर उनके उत्तरों के लिए बहुत सारे सुराग छोड़े हैं। यदि आप अक्सर अपने बारे में संवेदनशील जानकारी अपने सोशल मीडिया प्रोफाइल पर छोड़ देते हैं तो एक हैकर आपके सुरक्षा प्रश्नों के उत्तर आसानी से समझ सकता है।
इस तकनीक में आमतौर पर हैकर ऑनलाइन आपके विवरण में गहन शोध करता है। इसे प्राप्त करने के लिए, वे आपको Google जैसे खोज इंजनों पर खोजते हैं और आपके सोशल मीडिया हैंडल की जांच करते हैं, जिसमें लिंक्डइन, फेसबुक, ट्विटर, इंस्टाग्राम, और बहुत कुछ शामिल हैं, ताकि वे जितने संकेत प्राप्त कर सकें।
उस समय आपने फेसबुक पर अपने पहले पालतू जानवर के नाम के साथ अपनी मां के मायके का नाम जोड़कर एक मजाक के सवाल का जवाब दिया था? यह वास्तव में साइबर अपराधियों के लिए उपयोगी है।
इस बिंदु पर, हमलावर आपके सार्वजनिक प्रोफ़ाइल से एकत्रित जानकारी के आधार पर सुरक्षा प्रश्नों का उत्तर देने के लिए वापस जाता है।
4. जानवर-मजबूर करना
हालाँकि हैकर्स आमतौर पर पासवर्ड क्रैक करने के लिए क्रूर-बल के हमलों का उपयोग करते हैं, लेकिन सुरक्षा प्रश्नों के साथ ऐसा करने से उन्हें रोकने के लिए बहुत कम है। जबकि मैनुअल ब्रूट-फोर्सिंग को प्राप्त करने में समय और धैर्य लगता है, आधुनिक ब्रूट-फोर्सिंग एल्गोरिदम प्रक्रिया को सरल बनाते हैं।
इसके अलावा, सुरक्षा प्रश्नों को हल करते समय, एक साइबर हमलावर को केवल शब्द संयोजन पर ध्यान केंद्रित करने की आवश्यकता होती है, न कि वर्ण हेरफेर पर, जैसा कि पासवर्ड के साथ किया जाता है। यह सुरक्षा प्रश्नों को हल करने के लिए कम कठिन बनाता है क्योंकि विभिन्न शब्दों को मिलाकर सार्थक प्रविष्टियां करना आसान है।
इसके अलावा, एक बार जब हैकर को पता चल जाता है कि वेबसाइट क्या प्रश्न पूछती है, तो उन्हें केवल पीड़ित के लिए विशिष्ट सभी संभावित उत्तरों को क्रूरतापूर्वक करने की आवश्यकता होती है। आप सोच सकते हैं कि हैकर के लिए यह अधिक कठिन है यदि वेबसाइट केवल उपयोगकर्ताओं को अपने प्रश्न उत्पन्न करने की अनुमति देती है। दुर्भाग्य से, यह सच्चाई से बहुत दूर है, क्योंकि उपयोगकर्ता-जनित प्रश्न अक्सर कम सुरक्षित होते हैं। इसलिए, उत्तरों का अनुमान लगाना आसान हो सकता है।
सुरक्षित कैसे रहें
तो आपने देखा कि कैसे साइबर हमलावर आपके सुरक्षा प्रश्नों को दरकिनार कर आपके खाते तक पहुंच सकते हैं। लेकिन आप ऑनलाइन सुरक्षित कैसे रह सकते हैं? यहां कुछ बिंदु दिए गए हैं जो मदद कर सकते हैं।
1. दो-कारक प्रमाणीकरण का उपयोग करें
जबकि हैकर्स टू-फैक्टर ऑथेंटिकेशन को बायपास कर सकते हैं, सुरक्षा प्रश्नों की तुलना में क्रैक करना अक्सर अधिक तकनीकी होता है। इसके अलावा, इसे सुरक्षा प्रश्नों के साथ मिलाने से आपका खाता और मजबूत होता है। इस तरह के एक सुरक्षा प्रोटोकॉल विलय एक हमलावर को हल करने के लिए मुश्किल पहेली के साथ छोड़ देता है। ऐसे मामलों में, वे बहुत पहले ही हार मान लेते हैं।
यदि आपका सेवा प्रदाता दोनों विधियों का समर्थन करता है तो आप भाग्यशाली हैं। लेकिन यदि नहीं, तो वहाँ कई तृतीय-पक्ष दो-कारक प्रमाणीकरण प्रदाता हैं।
2. सामान्य प्रश्न और उत्तर का उपयोग करने से बचें
कई सुरक्षा प्रश्नों का अनुमान लगाना आसान होता है क्योंकि पीड़ित अक्सर सामान्य उत्तर देते हैं। यह तब और खराब हो जाता है जब कोई वेबसाइट या ऐप उपयोगकर्ताओं को अपने स्वयं के सुरक्षा प्रश्न उत्पन्न करने की अनुमति देता है।
आपके शौक, पसंदीदा रंग, पालतू जानवर, चलचित्र, संगीत या भोजन जैसे प्रश्नों के उत्तर का अनुमान लगाना अपेक्षाकृत आसान है। तो आप उनसे बचना चाह सकते हैं। और अधिक विशिष्ट प्रश्नों के लिए, जैसे कि आपकी माता का प्रथम नाम आदि, आप अधिक विशिष्ट उत्तर देने का प्रयास भी कर सकते हैं; उदाहरण के लिए, इन्हें सही होने की भी आवश्यकता नहीं है, बल्कि कुछ ऐसा है जिससे आप इन्हें जोड़ते हैं।
यदि आप किसी विशेष प्रश्न के लिए दिए गए उत्तरों को भूल सकते हैं क्योंकि यह अद्वितीय है, तो जब भी आपको उनकी आवश्यकता हो, उन्हें देखने के लिए आप उन्हें एन्क्रिप्टेड नोट ऐप में रेखांकित कर सकते हैं।
3. अपनी प्रोफ़ाइल से संवेदनशील जानकारी हटाएं
आपके सोशल मीडिया और अन्य ऑनलाइन प्रोफाइल पर व्यक्तिगत जानकारी आपके सुरक्षा उत्तरों का सुराग दे सकती है। सुरक्षा प्रश्न उल्लंघन की जांच करने के लिए अपनी प्रोफ़ाइल से ऐसे मुख्य विवरण निकालना अक्सर सबसे अच्छा होता है। अंततः, फ़ेसबुक, ट्विटर और अन्य पर जोक राउंड-रॉबिन्स का उत्तर देने से क्या लाभ होता है?
अपनी जानकारी को ऑनलाइन सुरक्षित रखें
दो-कारक प्रमाणीकरण की तरह, सुरक्षा प्रश्न ऑनलाइन आपकी प्रोफ़ाइल में सुरक्षा की एक और परत जोड़ते हैं। पासवर्ड रीसेट लिंक प्रदान करने से पहले कुछ सेवाओं को सुरक्षा प्रश्नों की आवश्यकता होती है। और कुछ के लिए, वे ऐसा आपके द्वारा अपना पासवर्ड रीसेट करने के बाद करते हैं। इन सभी का उद्देश्य आपके खातों को और सुरक्षित करना है।
जो भी हो, सुरक्षा प्रश्नों की तरह दूसरी परत की ढालें हैं, जो आपके खाते तक पहुंचने का प्रयास करते समय अक्सर हैकर्स का सामना करते हैं। इसके अलावा, हम इंटरनेट का उपयोग कैसे करते हैं यह सुरक्षा प्रश्नों की शक्ति को प्रभावित करता है।