यदि आप इंटरनेट सुरक्षा के बारे में जानकार हैं, तो आपने शायद फ़िशिंग के बारे में सुना होगा। निःसंदेह आपको ऐसे ईमेल प्राप्त हुए हैं जो आपके बैंक या Microsoft से होने का दिखावा करते हुए आपसे अपना पासवर्ड भेजने के लिए कहते हैं। उम्मीद है कि आप जानते हैं कि आपको ऐसा कभी नहीं करना चाहिए।
लेकिन इस तकनीक का एक और अधिक परिष्कृत संस्करण है, जिसे स्पीयर फ़िशिंग कहा जाता है। यह वह जगह है जहां एक व्यक्ति एक बहुत अच्छी तरह से शोध और व्यक्तिगत फ़िशिंग अभियान का लक्ष्य है।
यहां तक कि अनुभवी इंटरनेट उपयोगकर्ताओं को भी स्पीयर फ़िशिंग द्वारा बरगलाया जा सकता है, इसलिए यहां बताया गया है कि यह कैसे काम करता है और इससे कैसे सुरक्षित रहें।
स्पीयर फ़िशिंग कैसे काम करता है
स्पीयर फ़िशिंग एक प्रसिद्ध पैटर्न का अनुसरण करता है। फ़िशर आप पर शोध करके और जिस कंपनी के लिए आप काम करते हैं, आपके सहयोगियों और उन परियोजनाओं के बारे में सीखकर शुरू करेंगे, जिन पर आप वर्तमान में काम कर रहे हैं।
फिर आपको एक ईमेल प्राप्त होगा जो ऐसा प्रतीत होता है कि वह किसी ऐसे व्यक्ति से आया है जिसे आप जानते हैं। एक उदाहरण के रूप में, यह उस परियोजना का संदर्भ दे सकता है जिस पर आप काम कर रहे हैं या जिस मुद्दे पर आप काम कर रहे हैं। (वैकल्पिक रूप से, यह एक आगामी घटना, या एक पारस्परिक संपर्क का संदर्भ दे सकता है)। ईमेल में एक फ़ाइल का लिंक होगा जिसे आपको डाउनलोड करने का निर्देश दिया गया है।
अक्सर फ़ाइल को ड्रॉपबॉक्स या Google ड्राइव जैसी सेवा द्वारा होस्ट किया जाएगा। जब आप फ़ाइल को होस्ट करने वाले पृष्ठ पर जाते हैं, तो आपसे अपने क्रेडेंशियल दर्ज करने के लिए कहा जाएगा। लॉग इन साइट बिल्कुल वैध Google या समान लॉग इन पेज की तरह दिखाई देगी।
लेकिन यह पेज असल में स्कैमर द्वारा चलाया जा रहा है। जब आप अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करते हैं, तो यह जानकारी आपको लॉग इन करने के बजाय स्कैमर को भेज दी जाती है। यह दो-कारक प्रमाणीकरण के साथ भी काम कर सकता है। जब आप अपना प्रमाणीकरण कोड दर्ज करते हैं, तो यह स्कैमर को भी भेजा जाता है।
तब स्कैमर के पास आपके Google खाते या अन्य महत्वपूर्ण खाते के लिए उपयोगकर्ता नाम और पासवर्ड होता है। वे इसका उपयोग आपके अन्य खातों तक पहुंचने के लिए भी कर सकते हैं। आपकी सुरक्षा से पूरी तरह से समझौता किया गया है।
कैसे स्पीयर फ़िशर अपने संदेशों को वैध बनाते हैं
यदि आप जानते हैं कि क्या देखना है, तो नियमित फ़िशिंग ईमेल का पता लगाना आसान है। लेकिन सामान्य फ़िशिंग ईमेल जो थोक में भेजे जाते हैं, के विपरीत, स्पीयर फ़िशिंग हमला विशेष रूप से आपको लक्षित किया जाता है। फ़िशर अपने ईमेल को अधिक विश्वसनीय बनाने के लिए तकनीकों का उपयोग करते हैं।
फ़िशर के लिए एक सामान्य तरकीब यह है कि वह वास्तविक डोमेन से बहुत मिलता-जुलता डोमेन खरीदता है, जिससे वे एक संदेश नकली बनाना चाहते हैं।
उदाहरण के लिए, अगर कोई makeuseof.com के ईमेल को नकली बनाने की कोशिश कर रहा था, तो वे rnakeuseof.com डोमेन खरीद सकते हैं। यदि आप जल्दी से पढ़ रहे हैं तो r और n एक साथ m की तरह दिखते हैं। अगर किसी ने आपको [email protected] से कोई संदेश भेजा है तो आप शायद इसे वैध मानेंगे।
वैकल्पिक रूप से, कोई फ़िशर ईमेल स्पूफ़िंग का उपयोग किसी ऐसे व्यक्ति से नकली ईमेल बनाने के लिए कर सकता है जिसे आप जानते हैं।
ईमेल संदेश अच्छी तरह से लिखे गए और पेशेवर होंगे, जिसमें वर्तनी या व्याकरण की कोई गलती नहीं होगी। और फ़िशर बहुत चालाक हो सकते हैं जिस तरह से वे ईमेल को तत्काल और महत्वपूर्ण बनाते हैं। वे आपके बॉस या आपकी कंपनी के सीईओ के ईमेल को नकली बना सकते हैं --- कोई ऐसा व्यक्ति जिससे आप सवाल नहीं करना चाहेंगे।
फिशर्स यह पता लगाने के लिए शोध भी कर सकते हैं कि आपका कोई सहकर्मी व्यावसायिक यात्रा पर कब है। फिर वे उस सहकर्मी होने का नाटक करते हुए आपको ईमेल करेंगे, क्योंकि वे जानते हैं कि आप उनसे व्यक्तिगत रूप से बात नहीं करेंगे। एक फ़िशर के पास आपकी कंपनी के बारे में पता लगाने और आपको बरगलाने के लिए उस जानकारी का उपयोग करने के कई तरीके हैं।
वे लोग जो फ़िशिंग से बचने के लिए असुरक्षित हैं
जैसा कि स्पीयर फ़िशिंग एक लक्षित हमला है जिसके लिए बहुत अधिक शोध की आवश्यकता होती है, स्कैमर्स अपना लक्ष्य सावधानी से चुनते हैं। फिशर्स एक कंपनी में एक ऐसे व्यक्ति को चुनेंगे जिसके पास प्रमुख सिस्टम तक पहुंच है, या उच्च निवल मूल्य वाले व्यक्तियों को लक्षित करता है या जो बड़े फंड तक पहुंच सकता है।
स्पीयर फ़िशिंग हमलों से सबसे अधिक जोखिम वाले लोग किसी व्यवसाय में सामान्य कर्मचारी होते हैं, या कोई भी व्यक्ति जो घर पर अपने कंप्यूटर का उपयोग करता है। एक कंपनी में वरिष्ठ लोग जैसे कि प्रबंधन में काम करने वाले या आईटी में काम करने वाले लोग, "व्हेलिंग" से अधिक जोखिम में होंगे, जो कि उच्च-मूल्य वाले लक्ष्यों पर साइबर हमला है।
स्पीयर फ़िशिंग से कैसे सुरक्षित रहें
स्पीयर फ़िशिंग हमलों के उतने ही परिष्कृत होने के साथ, आपको सावधान रहने की आवश्यकता है। यहां तक कि किसी भरोसेमंद दोस्त या सहकर्मी की ओर से अहानिकर लगने वाला संदेश भी फ़िशिंग अटैक हो सकता है।
सौभाग्य से कुछ व्यावहारिक कदम हैं जो आप सुरक्षित रहने के लिए उठा सकते हैं और इस संभावना को कम कर सकते हैं कि आप पर एक फ़िशिंग हमला सफल होगा:
- जब भी आपको कोई ईमेल मिले, तो भेजने वाले के पते की दो बार और तीन बार जांच करें। पता नकली या गलत तो नहीं है, यह सुनिश्चित करने के लिए आपको ध्यान से देखने की जरूरत है। सिर्फ इसलिए कि एक ईमेल किसी ऐसे व्यक्ति से आता है जिसे आप जानते हैं, उनके द्वारा नियमित ईमेल की तरह दिखता है (उनके हस्ताक्षर, कंपनी की जानकारी आदि के साथ) इसका मतलब यह नहीं है कि यह आवश्यक रूप से वैध है।
- अगर प्रेषक अनुरोध को बहुत जरूरी बनाता है, तो संदेहास्पद रहें, खासकर यदि वे आपसे कुछ ऐसा करने के लिए कह रहे हैं जो आप सामान्य रूप से नहीं करते हैं। उदाहरण के लिए, यदि आपकी कंपनी के भीतर आप आमतौर पर नेटवर्क ड्राइव पर फ़ाइलें साझा करते हैं, लेकिन अब कोई आपसे ड्रॉपबॉक्स से फ़ाइल को तत्काल डाउनलोड करने के लिए कहता है, तो यह एक सुराग है कि कुछ सही नहीं है।
- किसी अनुरोध की पुष्टि फ़ोन द्वारा करें यदि वह सामान्य नहीं है। फ़िशिंग को हराने का सबसे अच्छा तरीका है कि आप फ़ोन उठाएँ और अपने लिए कथित प्रेषक से बात करें। यदि अनुरोध वास्तविक है, तो इसकी पुष्टि करने में केवल एक मिनट का समय लगेगा। यदि ऐसा नहीं है, तो आप संभावित रूप से हानिकारक स्थिति से बच सकते हैं।
- ईमेल में लिंक की गई फाइलों से सावधान रहें। यहां तक कि कुछ ऐसा जो आप मान सकते हैं कि सुरक्षित होगा, जैसे एक्सेल या वर्ड फ़ाइल दुर्भावनापूर्ण सॉफ़्टवेयर को छिपा सकती है। यदि लिंक की गई फ़ाइल के लिए आपको मैक्रोज़ सक्षम करने की आवश्यकता है, तो अतिरिक्त सावधानी बरतें, क्योंकि यह आपके डिवाइस पर मैलवेयर इंस्टॉल करने का एक सामान्य तरीका है।
परिष्कृत स्पीयर फ़िशिंग हमलों से सावधान रहें
स्पीयर फ़िशिंग पारंपरिक फ़िशिंग हमलों का एक अधिक परिष्कृत संस्करण है। यह किसी विशेष व्यक्ति को उनके संपर्कों में से एक से ईमेल पत्राचार को नकली करके लक्षित करने के लिए बहुत सारे शोध का उपयोग करता है।
ये ईमेल बहुत विश्वसनीय लग सकते हैं और प्राप्तकर्ता को एक ऐसी फ़ाइल डाउनलोड करने का निर्देश दे सकते हैं जिसमें मैलवेयर हो, जिससे फ़िशर लक्ष्य के ईमेल खाते या अन्य खातों तक पहुंच प्राप्त कर सके।
इन ईमेल से सावधान रहें जो देखने में तो वैध लग सकते हैं लेकिन आपके खातों से समझौता करने का एक तरीका हो सकते हैं। और जब आप यहां हों, तो विशिंग और स्मिशिंग जैसी अन्य फ़िशिंग तकनीकों के बारे में भी जानें।