एक हालिया खबर ने मुझे यह महसूस किया कि कैसे मानव भावनाएं और विचार दूसरों के लाभ के लिए उपयोग किए जा सकते हैं (या हैं)। आप में से हर कोई एडवर्ड स्नोडेन जानता है, एनएसए की सीटी दुनिया भर में घूम रहा है। रॉयटर्स ने बताया कि उन्हें लगभग 20-25 एनएसए लोगों को उनके पास कुछ पासवर्ड पुनर्प्राप्त करने के लिए उनके पासवर्ड सौंपने के लिए मिला [1]। कल्पना करें कि आपके कॉर्पोरेट नेटवर्क कितने नाजुक हो सकते हैं, यहां तक कि सबसे मजबूत और सबसे अच्छे सुरक्षा सॉफ्टवेयर के साथ भी!
सोशल इंजीनियरिंग क्या है
मानव कमजोरी, जिज्ञासा, भावनाओं, और अन्य विशेषताओं का उपयोग अवैध रूप से डेटा निकालने में किया जाता है - चाहे वह कोई उद्योग हो। हालांकि, आईटी उद्योग ने इसे सोशल इंजीनियरिंग का नाम दिया है। मैं सोशल इंजीनियरिंग को परिभाषित करता हूं:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
यहां एक ही समाचार कहानी [1] से एक और पंक्ति है जिसे मैं उद्धृत करना चाहता हूं - "सुरक्षा एजेंसियों को इस विचार के साथ कठिन समय हो रहा है कि अगले क्यूबिकल में लड़का भरोसेमंद नहीं हो सकता है"। मैंने यहां संदर्भ में फिट करने के लिए कथन को थोड़ा सा संशोधित किया है। आप संदर्भ अनुभाग में लिंक का उपयोग कर पूर्ण समाचार टुकड़ा पढ़ सकते हैं।
दूसरे शब्दों में, आपके संगठनों की सुरक्षा पर आपके पास पूर्ण नियंत्रण नहीं है, जिसमें सोशल इंजीनियरिंग इसके साथ सामना करने के लिए तकनीकों की तुलना में बहुत तेज़ी से विकसित हो रहा है। सोशल इंजीनियरिंग कुछ भी कह सकता है कि आप तकनीकी सहायता कर रहे हैं और उन्हें अपने लॉगिन प्रमाण-पत्रों के लिए पूछें। आपको लॉटरी, मिड ईस्ट और अफ़्रीका में समृद्ध लोगों के बारे में फ़िशिंग मेल प्राप्त करना होगा, जो व्यापार भागीदारों की इच्छा रखते हैं, और नौकरी आपको अपने विवरण पूछने के लिए ऑफ़र करता है।
फ़िशिंग हमलों के विपरीत, सोशल इंजीनियरिंग एक प्रत्यक्ष व्यक्ति-से-व्यक्तिगत बातचीत है। पूर्व (फ़िशिंग) एक चारा नियोजित करता है - यानी, लोग "मछली पकड़ने" आपको कुछ उम्मीद कर रहे हैं कि आप इसके लिए गिर जाएंगे। सोशल इंजीनियरिंग आंतरिक कर्मचारियों के आत्मविश्वास को जीतने के बारे में अधिक है ताकि वे आपको आवश्यक कंपनी विवरणों का खुलासा कर सकें।
पढ़ें: सोशल इंजीनियरिंग के लोकप्रिय तरीके।
ज्ञात सोशल इंजीनियरिंग तकनीकें
बहुत सारे हैं, और वे सभी किसी भी संगठन के डेटाबेस में आने के लिए बुनियादी मानव प्रवृत्तियों का उपयोग करते हैं। सबसे अधिक उपयोग (संभवतः पुरानी) सोशल इंजीनियरिंग तकनीक लोगों को कॉल करना और उनसे मिलना है और उन्हें विश्वास करना है कि वे तकनीकी सहायता से हैं जिन्हें आपके कंप्यूटर की जांच करने की आवश्यकता है। वे विश्वास स्थापित करने के लिए नकली आईडी कार्ड भी बना सकते हैं। कुछ मामलों में, अपराधी राज्य के अधिकारियों के रूप में सामने आते हैं।
एक अन्य प्रसिद्ध तकनीक लक्ष्य संगठन में एक कर्मचारी के रूप में अपने व्यक्ति को रोजगार देना है। अब, चूंकि यह कॉन आपके सहयोगी है, इसलिए आप उसे कंपनी के विवरण के साथ भरोसा कर सकते हैं। बाहरी कर्मचारी आपको कुछ मदद कर सकता है, इसलिए आप बाध्य महसूस करते हैं, और वह तब होता है जब वे अधिकतम कर सकते हैं।
मैंने इलेक्ट्रॉनिक उपहारों का उपयोग करने वाले लोगों के बारे में कुछ रिपोर्ट भी पढ़ीं। आपकी कंपनी के पते पर आपकी एक फैंसी यूएसबी स्टिक या आपकी कार में लगी एक पेन ड्राइव आपदाओं को साबित कर सकती है। एक मामले में, किसी ने जानबूझकर पार्किंग के रूप में कुछ यूएसबी ड्राइव को बाइट्स [2] के रूप में छोड़ा।
यदि आपके कंपनी नेटवर्क में प्रत्येक नोड पर अच्छे सुरक्षा उपाय हैं, तो आप धन्य हैं। अन्यथा ये नोड्स मैलवेयर के लिए एक आसान मार्ग प्रदान करते हैं - उस उपहार में या "भूल गए" कलम ड्राइव - केंद्रीय प्रणालियों में।
इस प्रकार हम सामाजिक इंजीनियरिंग विधियों की एक व्यापक सूची प्रदान नहीं कर सकते हैं। यह कोर पर एक विज्ञान है, जो शीर्ष पर कला के साथ संयुक्त है। और आप जानते हैं कि उनमें से कोई भी सीमा नहीं है। सोशल इंजीनियरिंग लोग सॉफ्टवेयर विकसित करते समय रचनात्मक बनते रहते हैं जो वायरलेस वाई-फाई तक पहुंचने वाले वायरलेस उपकरणों का भी दुरुपयोग कर सकते हैं।
पढ़ें: सामाजिक रूप से इंजीनियर मैलवेयर क्या है।
सोशल इंजीनियरिंग को रोकें
निजी तौर पर, मुझे नहीं लगता कि कोई भी प्रमेय है जो व्यवस्थापक इंजीनियरिंग इंजीनियरिंग हैक्स को रोकने के लिए उपयोग कर सकते हैं। सोशल इंजीनियरिंग तकनीक बदलती रहती है, और इसलिए आईटी प्रशासकों के लिए क्या होता है, इस पर एक ट्रैक रखने के लिए मुश्किल हो जाती है।
बेशक, सोशल इंजीनियरिंग समाचार पर एक टैब रखने की जरूरत है ताकि किसी को उचित सुरक्षा उपाय करने के लिए पर्याप्त जानकारी दी जा सके। उदाहरण के लिए, यूएसबी उपकरणों के मामले में, व्यवस्थापक व्यक्तिगत नोड्स पर यूएसबी ड्राइव को अवरुद्ध कर सकते हैं, उन्हें केवल उस सर्वर पर अनुमति दी जा सकती है जिसमें बेहतर सुरक्षा प्रणाली हो। इसी प्रकार, अधिकांश स्थानीय आईएसपी प्रदान करने से वाई-फाई को बेहतर एन्क्रिप्शन की आवश्यकता होगी।
प्रशिक्षण कर्मचारी और विभिन्न कर्मचारी समूहों पर यादृच्छिक परीक्षण आयोजित करने से संगठन में कमजोर बिंदुओं की पहचान करने में मदद मिल सकती है। कमजोर व्यक्तियों को प्रशिक्षित करना और सावधानी बरतना आसान होगा। अलर्टनेस सबसे अच्छा बचाव है। दबाव होना चाहिए कि दबाव के बावजूद लॉग इन जानकारी टीम के नेताओं के साथ भी साझा नहीं की जानी चाहिए। यदि किसी टीम के नेता को किसी सदस्य के लॉगिन तक पहुंचने की आवश्यकता होती है, तो वह एक मास्टर पासवर्ड का उपयोग कर सकता है। सुरक्षित रहने और सोशल इंजीनियरिंग हैक्स से बचने के लिए यह सिर्फ एक सुझाव है।
मैलवेयर और ऑनलाइन हैकर्स के अलावा, नीचे की रेखा है, आईटी लोगों को भी सोशल इंजीनियरिंग की देखभाल करने की जरूरत है। डेटा उल्लंघन (जैसे पासवर्ड लिखना आदि) की विधियों की पहचान करते समय, व्यवस्थापक को यह भी सुनिश्चित करना चाहिए कि उनके कर्मचारी पूरी तरह से बचने के लिए सोशल इंजीनियरिंग तकनीक की पहचान करने के लिए पर्याप्त स्मार्ट हैं। सामाजिक इंजीनियरिंग को रोकने के लिए आपको सबसे अच्छा तरीका क्या लगता है? यदि आप किसी भी दिलचस्प मामले में आ गए हैं, तो कृपया हमारे साथ साझा करें।
माइक्रोसॉफ्ट द्वारा जारी सोशल इंजीनियरिंग अटैक पर इस ईबुक को डाउनलोड करें और जानें कि आप अपने संगठन में ऐसे हमलों को कैसे पहचान सकते हैं और कैसे रोक सकते हैं।
संदर्भ
[1] रॉयटर्स, स्नोडेन ने एनएसए कर्मचारियों को उनकी लॉगिन जानकारी प्राप्त करने में मजबूर किया
[2] बोइंग नेट, पेन ड्राइव मैलवेयर फैलाने के लिए प्रयुक्त होता है।
