फ़िशिंग अभी भी दुनिया के सबसे बड़े साइबर सुरक्षा खतरों में से एक है।
वास्तव में, साइबर सुरक्षा फर्म बाराकुडा के शोध के अनुसार, फ़िशिंग इतना व्यापक हो गया है कि इस साल जनवरी से मार्च तक कोरोनावायरस से संबंधित फ़िशिंग हमलों की संख्या में 667 प्रतिशत की वृद्धि हुई है। इससे भी अधिक चिंताजनक बात यह है कि इंटेल के एक अध्ययन के अनुसार, 97 प्रतिशत तक लोग फ़िशिंग ईमेल की पहचान नहीं कर सकते हैं।
शिकार बनने से बचने के लिए, आपको यह जानना होगा कि फ़िशर आप पर हमला करने के विभिन्न तरीकों को कैसे आजमा सकते हैं। यहां आठ अलग-अलग प्रकार के फ़िशिंग प्रयास दिए गए हैं जिनका आप सामना कर सकते हैं।
1. ईमेल फ़िशिंग
यह विशिष्ट फ़िशिंग ईमेल है जिसे किसी वैध कंपनी की नकल करने के लिए डिज़ाइन किया गया है। यह "स्प्रे और प्रार्थना" पद्धति का उपयोग करते हुए सबसे कम परिष्कृत प्रकार का हमला है।
वे किसी विशिष्ट व्यक्ति को लक्षित नहीं करते हैं और अक्सर यह उम्मीद करते हुए लाखों उपयोगकर्ताओं को सामान्य ईमेल भेजते हैं कि कुछ अनपेक्षित पीड़ित लिंक पर क्लिक करेंगे, फ़ाइल डाउनलोड करेंगे, या ईमेल में दिए गए निर्देशों का पालन करेंगे।
वे अक्सर व्यक्तिगत नहीं होते हैं इसलिए वे "प्रिय खाता धारक" या "प्रिय मूल्यवान सदस्य" जैसे सामान्य अभिवादन का उपयोग करते हैं। वे उपयोगकर्ताओं को लिंक पर क्लिक करने के लिए प्रेरित करने के लिए अक्सर 'अत्यावश्यक' जैसे शब्दों के साथ घबराहट या भय का उपयोग करते हैं।
2. स्पीयर फ़िशिंग
यह एक अधिक परिष्कृत और उन्नत प्रकार का फ़िशिंग है जो एक विशिष्ट समूह या विशिष्ट व्यक्तियों को भी लक्षित करता है। यह अक्सर हाई-प्रोफाइल हैकर्स द्वारा संगठनों में घुसपैठ करने के लिए उपयोग किया जाता है।
स्कैमर्स लोगों, उनकी पृष्ठभूमि, या उन लोगों के बारे में व्यापक शोध करते हैं जिनके साथ वे नियमित रूप से बातचीत करते हैं ताकि वे एक अधिक व्यक्तिगत संदेश तैयार कर सकें। और क्योंकि इसके अधिक व्यक्तिगत उपयोगकर्ताओं को अक्सर संदेह नहीं होता है कि कुछ गड़बड़ है।
हमेशा उस संपर्क से प्राप्त होने वाले ईमेल पते और पत्र के प्रारूप की जांच करें। फ़ाइल अटैचमेंट को डाउनलोड करने या लिंक पर क्लिक करने से पहले प्रेषक को कॉल करना और सब कुछ सत्यापित करना भी सबसे अच्छा है, भले ही ऐसा लगता है कि यह किसी ऐसे व्यक्ति से है जिसे आप जानते हैं।
3. व्हेलिंग
यह फ़िशिंग का एक और परिष्कृत और उन्नत प्रकार है, केवल यह लोगों के एक विशिष्ट समूह को लक्षित करता है --- उच्च प्रोफ़ाइल व्यावसायिक अधिकारी जैसे प्रबंधक या सीईओ।
वे कभी-कभी सीधे अभिवादन में लक्ष्य को संबोधित करेंगे और संदेश एक सम्मन, एक कानूनी शिकायत, या कुछ ऐसा हो सकता है जिसके लिए दिवालिएपन, निकाल दिए जाने या कानूनी शुल्क से बचने के लिए तत्काल कार्रवाई की आवश्यकता होती है।
हमलावर व्यक्ति के बारे में व्यापक शोध करने और संगठन में प्रमुख लोगों को लक्षित करने के लिए एक विशेष संदेश तैयार करने में बहुत समय व्यतीत करेंगे, जिनके पास आम तौर पर धन या संवेदनशील जानकारी तक पहुंच होगी।
लक्ष्य को एक ठोस लॉगिन पृष्ठ के लिंक भेजे जाएंगे जहां हैकर्स द्वारा एक्सेस कोड या लॉगिन जानकारी काटा जाएगा। कुछ साइबर क्रिमिनल पीड़ितों को शेष सम्मन या पत्र को कथित रूप से देखने के लिए एक अटैचमेंट डाउनलोड करने के लिए भी कहेंगे। ये अटैचमेंट मैलवेयर के साथ आते हैं जो कंप्यूटर तक पहुंच प्राप्त कर सकते हैं।
4. विशिंग
विशिंग या वॉयस फ़िशिंग एक प्रकार की फ़िशिंग है, लेकिन ईमेल भेजने के बजाय, हमलावर फ़ोन पर लॉगिन जानकारी या बैंकिंग विवरण प्राप्त करने का प्रयास करेंगे।
हमलावर किसी संगठन के कर्मचारी या किसी सेवा कंपनी के सहायक कर्मियों का प्रतिरूपण करेंगे और फिर पीड़ितों से बैंक या क्रेडिट कार्ड विवरण सौंपने के लिए कहने के लिए भावनाओं पर खेलेंगे।
संदेश कभी-कभी एक अतिदेय राशि के बारे में हो सकता है जैसे कर, प्रतियोगिता जीत, या एक नकली तकनीकी सहायता कर्मियों से कंप्यूटर तक दूरस्थ पहुंच का अनुरोध करना। वे पहले से रिकॉर्ड किए गए संदेश और फोन नंबर स्पूफिंग का भी उपयोग कर सकते हैं, जिससे एक विदेशी कॉल ऐसा लगता है जैसे यह स्थानीय है। ऐसा हमले को विश्वसनीयता देने और पीड़ितों को यह विश्वास दिलाने के लिए किया जाता है कि कॉल वैध है।
विशेषज्ञ लोगों को सलाह देते हैं कि वे कभी भी फोन पर लॉगिन विवरण, सामाजिक सुरक्षा नंबर या बैंक और क्रेडिट कार्ड विवरण जैसी संवेदनशील जानकारी न दें। इसके बजाय तुरंत अपने बैंक या सेवा प्रदाता को कॉल करें और कॉल करें।
5. स्मिशिंग
स्मिशिंग फ़िशिंग का कोई भी रूप है जिसमें टेक्स्ट या एसएमएस संदेशों का उपयोग शामिल है। फ़िशर आपको टेक्स्ट के माध्यम से भेजे गए लिंक पर क्लिक करने के लिए लुभाने की कोशिश करेंगे जो आपको एक नकली साइट पर ले जाएगा। आपको अपने क्रेडिट कार्ड विवरण जैसी संवेदनशील जानकारी टाइप करने के लिए कहा जाएगा। इसके बाद हैकर्स इस जानकारी को साइट से काट लेंगे।
वे कभी-कभी आपको बताएंगे कि आपने एक पुरस्कार जीता है या यदि आप अपनी जानकारी टाइप नहीं करते हैं तो आपसे किसी विशेष सेवा के लिए प्रति घंटे शुल्क लिया जाता रहेगा। एक सामान्य नियम के रूप में, आपको उन नंबरों के टेक्स्ट का जवाब देने से बचना चाहिए जिन्हें आप नहीं पहचानते हैं। साथ ही, टेक्स्ट संदेशों से प्राप्त होने वाले लिंक पर क्लिक करने से बचें, खासकर यदि आप स्रोत को नहीं जानते हैं।
6. एंगलर फ़िशिंग
यह अपेक्षाकृत नई फ़िशिंग रणनीति लोगों को संवेदनशील जानकारी साझा करने के लिए लुभाने के लिए सोशल मीडिया का उपयोग करती है। स्कैमर्स उन लोगों पर नज़र रखते हैं जो सोशल मीडिया पर बैंकिंग और अन्य सेवाओं के बारे में पोस्ट करते हैं। फिर वे उस कंपनी के ग्राहक सेवा प्रतिनिधि होने का दिखावा करते हैं।
मान लें कि आप विलंबित जमा या कुछ खराब बैंक सेवा के बारे में एक शेख़ी पोस्ट करते हैं और पोस्ट में आपके बैंक का नाम शामिल है। एक साइबर अपराधी इस जानकारी का उपयोग यह दिखाने के लिए करेगा कि वे बैंक से हैं और फिर आप तक पहुंचेंगे।
फिर आपको एक लिंक पर क्लिक करने के लिए कहा जाएगा ताकि आप ग्राहक सेवा प्रतिनिधि से बात कर सकें और फिर वे आपसे 'आपकी पहचान सत्यापित करने' के लिए जानकारी मांगेंगे।
जब आपको इस तरह का कोई संदेश प्राप्त होता है, तो आधिकारिक ट्विटर या इंस्टाग्राम पेज जैसे सुरक्षित चैनलों के माध्यम से ग्राहक सेवा से संपर्क करना हमेशा सबसे अच्छा होता है। इनमें आम तौर पर एक सत्यापित खाता चिह्न होता है।
7. CEO फ्रॉड फ़िशिंग
यह लगभग व्हेलिंग जैसा है। यह सीईओ और प्रबंधकों को लक्षित करता है, लेकिन यह और भी घातक हो जाता है क्योंकि लक्ष्य केवल सीईओ से जानकारी प्राप्त करना नहीं है, बल्कि उन्हें प्रतिरूपित करना है। हमलावर, सीईओ या इसी तरह का होने का नाटक करते हुए, सहकर्मियों को ईमेल भेजकर बैंक हस्तांतरण के माध्यम से पैसे का अनुरोध करेगा या गोपनीय जानकारी तुरंत भेजने के लिए कहेगा।
हमला आम तौर पर कंपनी के भीतर किसी ऐसे व्यक्ति पर होता है जो बैंक हस्तांतरण करने के लिए अधिकृत है, जैसे बजट धारक, वित्त विभाग के लोग, या संवेदनशील जानकारी के लिए गुप्त। संदेश अक्सर बहुत जरूरी ध्वनि के लिए होता है, इसलिए पीड़ित के पास सोचने का समय नहीं होता है।
8. सर्च इंजन फ़िशिंग
यह नवीनतम प्रकार के फ़िशिंग हमलों में से एक है जो वैध खोज इंजनों का उपयोग करता है। फिशर्स एक फर्जी वेबसाइट बनाएंगे जो सौदों, मुफ्त वस्तुओं और उत्पादों पर छूट और यहां तक कि नकली नौकरी की पेशकश भी करेगी। फिर वे अपनी साइटों को वैध साइटों द्वारा अनुक्रमित करने के लिए SEO (खोज इंजन अनुकूलन) तकनीकों का उपयोग करेंगे।
इसलिए जब आप कुछ खोजते हैं, तो खोज इंजन आपको ऐसे परिणाम दिखाएगा जिनमें ये नकली साइटें शामिल हैं। फिर आपको लॉग इन करने या संवेदनशील जानकारी प्रदान करने के लिए धोखा दिया जाएगा, जिसे बाद में साइबर अपराधियों द्वारा काटा जाता है।
इनमें से कुछ फ़िशर अपनी वेबसाइटों पर ट्रैफ़िक लाने के लिए खोज इंजन में हेरफेर करने के लिए उन्नत तकनीकों का उपयोग करने में माहिर हो रहे हैं।
सूचित रहें और सतर्क रहें
प्रत्येक प्रकार के नाम जानना वास्तव में उतना महत्वपूर्ण नहीं है जितना कि प्रत्येक हमले के एमओ, मोड और चैनल को समझना। आपको खुद को भ्रमित करने की ज़रूरत नहीं है कि वे सभी क्या कहलाते हैं, लेकिन यह जानना महत्वपूर्ण है कि उनके संदेश कैसे तैयार किए जाते हैं और कौन से चैनल हमलावर आप तक पहुंचने के लिए उपयोग करते हैं।
हमेशा सतर्क रहना भी महत्वपूर्ण है, और यह जान लें कि वहाँ बहुत सारे लोग हैं जो आपके विवरण देने के लिए आपको बरगला रहे हैं। समझें कि आपकी कंपनी एक हमले का लक्ष्य बन सकती है और अपराधी आपके संगठन में कोई रास्ता तलाश रहे हैं।
इस तरह के खतरों को जानना आपके कंप्यूटर को हमलावर का प्रवेश बिंदु बनने से रोकने की दिशा में पहला कदम है। कार्रवाई करने से पहले संदेश के स्रोत को दोबारा जांचना भी बहुत महत्वपूर्ण है।
आपको यह भी समझने की ज़रूरत है कि हमलावर कभी-कभी लोगों के डर और घबराहट का इस्तेमाल करके उपयोगकर्ताओं को वह करने के लिए कहते हैं जो वे चाहते हैं। इसलिए जब किसी खतरे का सामना करना पड़े तो शांत होना महत्वपूर्ण है ताकि आप सोच सकें। और जब प्रोमो और फ्रीबी घोटालों का पता लगाने की बात आती है, तो पुरानी कहावत अभी भी लागू होती है:अगर कुछ सच होने के लिए बहुत अच्छा लगता है, तो शायद यह है।