फ़िशिंग 101: फ़िशिंग हमलों पर एक शुरुआती मार्गदर्शिका

विषयसूची

• 1. फ़िशिंग क्या है?

• 2. फ़िशिंग कैसे काम करता है

• 3. फ़िशिंग के प्रकार

• 4. फ़िशिंग घोटाले: एक सिंहावलोकन

• 5. फ़िशिंग हमलों को कैसे रोकें

• 6. फ़िशिंग की रिपोर्ट कैसे करें

फ़िशिंग क्या है?

फ़िशिंग को एक प्रकार के साइबर अपराध के रूप में वर्णित किया जा सकता है जिसमें पीड़ितों से ईमेल, टेलीफोन, या संदेश द्वारा किसी व्यक्ति या व्यक्तियों के समूह द्वारा वैध संस्था होने का दावा किया जाता है।

इसका उद्देश्य पीड़ितों को व्यक्तिगत जानकारी, बैंक विवरण, क्रेडिट कार्ड विवरण और पासवर्ड जैसे संवेदनशील डेटा प्रदान करने के लिए लुभाना है। तब डेटा का उपयोग महत्वपूर्ण लक्ष्यों की पहचान करने और इन पीड़ितों को धोखा देने के लिए किया जाता है।

फ़िशिंग वर्षों से होती आ रही है: पहला फ़िशिंग घोटाला 90 के दशक में हुआ जब लोगों ने AOL व्यवस्थापकों का रूप धारण किया। इन लोगों ने अपने पीड़ितों से लॉग-इन क्रेडेंशियल एकत्र किए ताकि वे मुफ्त में इंटरनेट का उपयोग कर सकें।

मई 2000 में, फिलीपींस में लव बग नामक एक और फ़िशिंग घोटाला शुरू हुआ। आपको अपने मेलबॉक्स में "ILOVEYOU" शीर्षक वाला एक संदेश प्राप्त होगा। फिर, मेल का मुख्य भाग आपको एक अटैचमेंट पर टैप करने का निर्देश देगा, जो तब आपके सिस्टम पर एक वायरस छोड़ देगा। तब से, फ़िशिंग वर्षों से जटिलता और उपयोग में विकसित हुआ है।

फ़िशिंग कैसे काम करता है

सोमवार की सुबह है, आप अपने ईमेल के माध्यम से छाँट रहे हैं और अपना स्पैम फ़ोल्डर साफ़ कर रहे हैं। जिज्ञासावश, आप एक ईमेल खोलते हैं, और सामग्री चौंकाने वाली होती है। कोई आपके बैंक का प्रतिनिधि होने का दावा करता है।

आपका खाता जल्द ही निष्क्रिय कर दिया जाएगा, और आपको एक लिंक पर क्लिक करना होगा या संवेदनशील बैंक जानकारी प्रदान करनी होगी ताकि आप अपना बैंक खाता न खोएं। फ़िशिंग इस प्रकार होती है: जैसे एक यादृच्छिक संदेश जो आपको अपना डेटा देने के लिए लिखा गया हो।

फ़िशिंग सामान्य तौर पर हेरफेर को अपने मुख्य उपकरण के रूप में उपयोग करता है। अक्सर पाठ संदेश, ईमेल, या यहां तक कि सोशल मीडिया संदेशों द्वारा भेजे गए संदेश डर और तात्कालिकता की भावना पैदा करने के इरादे से लिखे जाते हैं। सोशल मीडिया जैसे सूचना के सार्वजनिक स्रोतों पर लक्ष्यों की पहचान की जाती है।

एक बार लक्ष्य के नाम, नौकरी के शीर्षक, व्यक्तिगत विवरण और ईमेल पते की पहचान हो जाने के बाद, विश्वसनीय संदेश तैयार किए जाते हैं और भेजे जाते हैं। इन संदेशों में अक्सर एक दुर्भावनापूर्ण लिंक, अनुलग्नक, या संवेदनशील जानकारी के साथ प्रतिक्रिया करने के लिए कॉल शामिल होता है।

फ़िशिंग का उद्देश्य मैलवेयर स्थापित करना, पीड़ितों को धोखाधड़ी वाली वेबसाइट पर पुनर्निर्देशित करना, पासवर्ड और बैंक विवरण प्राप्त करना और लक्ष्य को धोखा देना हो सकता है। फ़िशर अक्सर अपने पीड़ितों को धोखा देने के लिए अलग-अलग हथकंडे अपनाते हैं, और वे यथासंभव वैध दिखने की कोशिश करते हैं। वे कंपनी के लोगो का उपयोग कर सकते हैं, आधिकारिक ईमेल की नकल कर सकते हैं और अपने पीड़ितों को धोखा देने के लिए यूआरएल छिपा सकते हैं।

फ़िशिंग के प्रकार

फ़िशिंग के विभिन्न प्रकार होते हैं: मैंने सबसे सामान्य प्रकार के फ़िशिंग घोटालों की एक सूची तैयार की है और वे कैसे होते हैं। फ़िशिंग के प्रकार हैं:

•ईमेल फ़िशिंग : यह फ़िशिंग का सबसे सामान्य प्रकार है जिसमें पीड़ितों को यह सूचित करने वाले ईमेल प्राप्त होते हैं कि उनके व्यक्तिगत खातों से छेड़छाड़ की गई है और तत्काल प्रतिक्रिया की आवश्यकता है। ईमेल फ़िशिंग का उद्देश्य तात्कालिकता की भावना पैदा करना और पीड़ित को एक दुर्भावनापूर्ण लिंक पर क्लिक करना है जो एक नकली लॉगिन पृष्ठ की ओर ले जाता है। संवेदनशील व्यक्तिगत जानकारी सीधे स्कैमर तक पहुंचाई जाती है।

•HTTPS फ़िशिंग : HTTPS फ़िशिंग में, हैकर्स समाप्त हो चुके SSL प्रमाणपत्रों का उपयोग करके सुरक्षित बातचीत तक पहुँच प्राप्त कर सकते हैं या HTTPS साइटों को HTTP में डाउनग्रेड करके सुरक्षित वेबसाइटों से एन्क्रिप्शन को हटा सकते हैं। फिर संगठनात्मक वेबसाइटों के समान नकली वेबसाइटें बनाई जाती हैं, जिन्हें ईमेल में जोड़ा जाता है। फिर फ़िशर कर्मचारियों को संगठन आईडी का उपयोग करके, संगठनों में घुसपैठ करने और मूल्यवान डेटा चोरी करने के लिए नकली ईमेल भेजते हैं।

• स्पीयर फ़िशिंग : स्पीयर फ़िशिंग का उपयोग विशिष्ट व्यक्तियों, समूहों और संगठनों को लक्षित करने में किया जाता है। स्पीयर फ़िशिंग में अक्सर लक्ष्य और सूचना के सार्वजनिक रूप से उपलब्ध स्रोतों पर शोध शामिल होता है। स्पीयर फ़िशिंग का लक्ष्य एक व्यक्तिगत खाते तक पहुँच प्राप्त करना या उच्च-रैंकिंग वाले कर्मचारियों के साथ-साथ गोपनीय जानकारी रखने वाले कर्मचारियों का प्रतिरूपण करना है। लक्ष्य का नाम, रैंक और अनुलग्नक सहित एक ईमेल आमतौर पर भाला फ़िशिंग करने के लिए भेजा जाता है।

• व्हेलिंग : व्हेलिंग एक प्रकार का भाला फ़िशिंग है जो आमतौर पर शीर्ष स्तर के अधिकारियों पर निर्देशित होता है। स्कैमर्स वैध स्रोत होने का दिखावा करते हैं, और वे पीड़ितों को संवेदनशील जानकारी साझा करने या बड़ी मात्रा में धन का तार लगाने के लिए प्रोत्साहित करते हैं। व्हेलिंग अक्सर किसी विश्वसनीय स्रोत जैसे कंपनी संपर्क, भागीदार, विक्रेता, या ग्राहक खाते से ईमेल के रूप में होती है। ईमेल में अक्सर व्यक्तिगत डेटा या संदर्भ विश्वसनीय दिखने के लिए इंटरनेट से प्राप्त होते हैं। ईमेल में एक नकली वेबसाइट के लिंक शामिल हो सकते हैं जो जानकारी एकत्र करती है या मैलवेयर स्थापित करती है। वैकल्पिक रूप से, ईमेल में संवेदनशील डेटा जैसे पेरोल, टैक्स रिटर्न, बैंक खाता संख्या, या किसी विशिष्ट खाते में वायर के माध्यम से धन हस्तांतरण के अनुरोध शामिल हो सकते हैं। शीर्ष स्तर के अधिकारियों से डेटा या पैसा चुराने के लिए व्हेलिंग की जाती है।

• स्मिशिंग : स्मिशिंग, अन्यथा एसएमएस फ़िशिंग के रूप में जाना जाता है, फ़िशिंग का एक रूप है जिसमें पीड़ितों को एक लिंक पर क्लिक करने या टेक्स्ट मैसेजिंग के माध्यम से निजी जानकारी प्रदान करने के लिए धोखा दिया जाता है। मूल लक्ष्य जानकारी जैसे नाम, आयु और स्थान के उपयोग से स्मिशिंग की जाती है। यदि टेक्स्ट संदेश में कोई लिंक शामिल है, तो यह नकली वेबसाइट या फोन को खराब करने के लिए डिज़ाइन किए गए मैलवेयर की ओर ले जा सकता है। मैलवेयर का उपयोग उपयोगकर्ताओं के फ़ोन डेटा की जासूसी करने या हमलावर-नियंत्रित सर्वर को संवेदनशील डेटा भेजने के लिए किया जा सकता है। स्मिशिंग अलग-अलग रूपों में आती है: संदेशों से यह बताते हुए कि आप मुसीबत में हैं, संदेशों से यह दिखाते हुए कि आपने पार्सल जीत लिया है।

• विशिंग : विशिंग या वॉयस फ़िशिंग फ़िशिंग का एक रूप है जिसमें पीड़ितों को फोन कॉल और वॉयस संदेशों के माध्यम से बैंक विवरण और क्रेडिट कार्ड नंबर जैसी व्यक्तिगत जानकारी प्रकट करने में हेरफेर किया जाता है। ज्यादातर मामलों में, स्कैमर बैंकों, कर विभागों, पुलिस या सरकार जैसे प्रतिष्ठित संगठनों से होने का दिखावा करते हैं। पीड़ितों को यह विश्वास दिलाने के लिए कि उन्हें तुरंत वापस बुलाना होगा या गिरफ्तार किए जाने और बैंक खाते खोने के जोखिम का सामना करने के लिए धमकियों और समझाने वाली भाषा का उपयोग करके विशिंग किया जाता है।

•एंगलर फ़िशिंग : एंगलर फ़िशिंग एक प्रकार की फ़िशिंग है जिसमें स्कैमर्स सोशल मीडिया प्लेटफ़ॉर्म और खातों का उपयोग करते हुए ग्राहक सहायता स्टाफ के रूप में बहाना बनाते हैं। एंगलर फ़िशिंग आमतौर पर असंतुष्ट ग्राहकों को लक्षित करता है जो सोशल मीडिया पर किसी संगठन की सेवा के बारे में शिकायत करते हैं। इन ग्राहकों को उनके डेटा का खुलासा करने के लिए धोखा दिया जाता है जब एक नकली ग्राहक कर्मचारी उन्हें एक सीधा संदेश भेजता है। संदेश व्यक्तिगत जानकारी या किसी नकली साइट से लिंक करने का अनुरोध करेगा जो तब मैलवेयर स्थापित करता है या पहले से न सोचा ग्राहक से संवेदनशील डेटा एकत्र करता है।

क्लोन फ़िशिंग : क्लोन फ़िशिंग एक वैध या पहले भेजे गए ईमेल का उपयोग करता है जिसमें लिंक होते हैं। क्लोन वैध ईमेल के समान है लेकिन इसमें शामिल लिंक मैलवेयर लिंक हैं। फिर क्लोन ईमेल को मूल प्रेषक से पीड़ितों को फिर से भेजने के रूप में भेजा जाता है। जब पीड़ित क्लोन ईमेल लिंक पर क्लिक करते हैं, तो हैकर उसी ईमेल को पीड़ित के मेलबॉक्स में संपर्कों को अग्रेषित कर सकता है। फ़िशिंग की पहचान करना सबसे कठिन प्रकार है: क्लोन फ़िशिंग के कई शिकार हैं।

• ईविल ट्विन फ़िशिंग : ईविल ट्विन फ़िशिंग में एक वाई-फाई एक्सेस पॉइंट की स्थापना शामिल है जो पीड़ित की जानकारी के बिना संवेदनशील जानकारी तक पहुँच प्राप्त करने के लिए वैध के रूप में प्रच्छन्न है। स्कैमर्स एक वैध वाई-फाई एक्सेस प्वाइंट के विवरण का निरीक्षण करते हैं और उसी नाम के साथ एक समान एक्सेस प्वाइंट बनाते हैं। पीड़ित वाई-फाई एक्सेस प्वाइंट से जुड़ते हैं और दुष्ट जुड़वां वाई-फाई उनका वायरलेस एपी बन जाता है। फिर हैकर्स संवेदनशील डेटा जैसे लॉगिन जानकारी, बैंक विवरण या क्रेडिट कार्ड की जानकारी को इंटरसेप्ट कर सकते हैं।

•सोशल मीडिया फ़िशिंग : सोशल मीडिया फ़िशिंग फ़िशिंग का एक रूप है जो पीड़ितों को संवेदनशील डेटा प्रकट करने के लिए धोखा देने के लिए फ़ेसबुक, लिंक्डइन, ट्विटर, इंस्टाग्राम आदि जैसे सोशल मीडिया प्लेटफ़ॉर्म का उपयोग करता है। कुछ अवसरों पर, ये फ़िशिंग घोटाले तब होते हैं जब पीड़ितों को संदेश प्राप्त होते हैं जो उन्हें अनुयायियों के लिए भुगतान करने के लिए कहते हैं। अन्य अवसरों पर, संदेशों में नकली सोशल मीडिया लॉगिन पृष्ठ के दुर्भावनापूर्ण लिंक शामिल हो सकते हैं। लॉग इन करने पर, पीड़ित के क्रेडेंशियल प्रतिरूपण और वित्तीय और व्यक्तिगत जानकारी तक पहुंच के लिए सहेजे जाते हैं।

• फ़ार्मिंग : अक्सर फ़िशिंग और फ़ार्मिंग शब्दों के संयोजन के रूप में वर्णित, फ़ार्मिंग एक स्कैमिंग विधि है जिसमें उपयोगकर्ताओं को धोखाधड़ी वाली वेबसाइटों पर गुमराह करने के इरादे से कंप्यूटर या सर्वर पर दुर्भावनापूर्ण कोड स्थापित किया जाता है। ईमेल में कोड भेजकर फार्मिंग की जा सकती है। ये कोड स्थानीय होस्ट साइटों को संशोधित करते हैं जो यूआरएल को आईपी पते में परिवर्तित करते हैं जो कंप्यूटर वेबसाइटों तक पहुंचने के लिए उपयोग करता है। यहां तक कि अगर उपयोगकर्ता सही वेब पता टाइप करते हैं, तो उन्हें एक नकली वेबसाइट पर निर्देशित किया जाता है, जहां उनकी संवेदनशील जानकारी स्कैमर को दी जाती है।

फ़िशिंग घोटाले: एक सिंहावलोकन

फ़िशिंग घोटाले काफी लोकप्रिय हैं: 2021 वेरिज़ोन डेटा ब्रीच रिपोर्ट के अनुसार, फ़िशिंग 36% उल्लंघनों में शामिल है। इसके अलावा, इस रिपोर्ट ने खुलासा किया कि व्यापार ईमेल समझौता हानियों का 95% $250 और $984,855 के बीच था, व्यापार ईमेल समझौता के लिए औसत नुकसान $30,000 पर सेट किया गया था। इससे पता चलता है कि कई व्यक्तियों और संगठनों ने फ़िशिंग घोटालों में अपने धन का एक महत्वपूर्ण प्रतिशत खो दिया है।

2019 में, अवनन के 55.5 ईमेल के विश्लेषण से पता चला कि प्रत्येक निन्यानबे ईमेल में से एक फ़िशिंग ईमेल है। यह और भी चिंताजनक है कि इनमें से 70% से अधिक ईमेल उनके लक्ष्य द्वारा खोले गए हैं; अक्टूबर 2013 से मई 2018 के बीच, समझौता किए गए व्यावसायिक ईमेल की लागत कंपनियों को $ 12.5 बिलियन थी।

फ़िशिंग, सामान्य तौर पर, कई नकारात्मक प्रभाव डालता है , विशेषकर व्यवसायों पर। इन प्रभावों में धन की हानि, संवेदनशील डेटा की हानि, बौद्धिक संपदा की हानि, ब्रांड प्रतिष्ठा को नुकसान, उत्पादकता की हानि, कार्य गतिविधियों में व्यवधान और मैलवेयर की स्थापना शामिल हैं। इन सभी प्रभावों के अलावा, ग्राहक व्यवसाय और उन उत्पादों में विश्वास खो सकते हैं जिन्हें संगठन बेचने की कोशिश कर रहा है।

फ़िशिंग हमले के प्रभाव स्कैमर के उद्देश्य पर निर्भर हो सकते हैं: प्रतिरूपण, धोखाधड़ी, या मज़ा भी। यदि फ़िशर सफलतापूर्वक मैलवेयर इंस्टॉल कर लेते हैं, तो संभावना है कि वे संगठन या व्यक्ति से जबरन वसूली कर सकते हैं। यदि बैंक विवरण या क्रेडिट कार्ड की जानकारी सामने आती है, तो व्यक्ति अपनी जीवन भर की बचत खो सकते हैं। फ़िशिंग से न केवल धन की हानि होती है: यह कंप्यूटर, मोबाइल उपकरणों और सोशल मीडिया का उपयोग करते समय असुरक्षा की भावना पैदा कर सकता है।

फ़िशिंग हमलों को कैसे रोकें

फ़िशिंग हमलों को रोकने में दो-तरफ़ा तंत्र शामिल है: फ़िशिंग हमलों की पहचान करना और उन्हें रोकने के लिए सक्रिय कदम उठाना। फ़िशिंग हमलों की पहचान करने का तरीका जानना उन्हें रोकने का पहला कदम है। मुख्य बिंदु सावधान रहना है: फ़िशिंग के प्रमुख संकेतों को देखें।

पहली बार ईमेल भेजने वाले, व्यक्तिगत जानकारी के लिए तत्काल अनुरोध, सामान्य अभिवादन, संदेशों में वर्तनी की त्रुटियां, अवांछित अटैचमेंट, संदेशों में अजीब लिंक और अजीब डोमेन नाम जैसे संकेत स्पष्ट मार्कर हैं कि कुछ गलत है।

यदि आप अपने कार्यस्थल पर संवेदनशील डेटा को संभालते हैं, तो आपको किसी भी ईमेल, फोन कॉल या आपकी व्यक्तिगत जानकारी जैसे बैंक खाते का विवरण, कार्ड विवरण और कंपनी डेटा मांगने वाले संदेशों को अनदेखा करना चाहिए।

फ़िशिंग को रोकने में आपके डेटा को स्कैमर के हाथों में पड़ने से बचाने के लिए सक्रिय कदम उठाना शामिल है। पहली बात यह है कि अपने ईमेल और संदेशों में भेजे गए किसी भी संदिग्ध लिंक पर क्लिक करने से बचें। फिर, आपको अपने वेब ब्राउज़र पर एंटी-फ़िशिंग ब्राउज़र इंस्टॉल करना चाहिए। इसके अलावा, अपने कंप्यूटर पर एंटी-वायरस सॉफ़्टवेयर स्थापित करें।

आपके सभी ब्राउज़रों और सॉफ़्टवेयर को डेटा में उल्लंघनों को रोकने के लिए अद्यतित रखा जाना चाहिए जो आपके डेटा को फ़िशर के सामने प्रकट करते हैं। अपने कंप्यूटर पर सुरक्षात्मक फ़ायरवॉल का उपयोग करें: आपके सिस्टम को हैकर्स से बचाने के लिए एक डेस्कटॉप फ़ायरवॉल और एक नेटवर्क फ़ायरवॉल। आपको यह भी याद रखना चाहिए कि उन साइटों का उपयोग न करें जो सुरक्षित नहीं हैं: एक नियम के रूप में, HTTPS से चिपके रहें, HTTP साइटों से नहीं।

दिन के अंत में, इन युक्तियों को लागू करने के बाद भी, कोई भी पूरी तरह से फिशर्स से सुरक्षित नहीं है। हालांकि, आप शिकार बनने के अपने जोखिम को कम कर सकते हैं।

फ़िशिंग की रिपोर्ट कैसे करें

कुछ अवसरों पर, फ़िशिंग के शिकार होने से अपने आप को बचाने के आपके सभी प्रयासों के बाद भी, फ़िशर आपके बचाव में दरार डाल सकते हैं। आपको खुद को दोष नहीं देना चाहिए; समाधान फ़िशिंग की रिपोर्ट करने में निहित है। फ़िशिंग की रिपोर्ट करना कानून प्रवर्तन एजेंसियों को साइबर अपराधियों को पकड़ने में मदद कर सकता है, आपके नुकसान के लिए एक सुरक्षा जाल प्रदान कर सकता है, और दूसरों को फ़िशिंग का शिकार बनने से रोक सकता है।

संयुक्त राज्य अमेरिका में, फ़ेडरल ट्रेड कमिशन की वेबसाइट ने फ़िशिंग ईमेल की रिपोर्ट करने का तरीका बताया है। आपको फ़िशिंग ईमेल को [email protected] पर अग्रेषित करना है और शिकायत अनुभाग के तहत संघीय व्यापार आयोग को अपराध की रिपोर्ट करना है। आपको उस संगठन या व्यक्ति से भी संपर्क करना होगा जो प्रतिरूपित किया गया था और अपने संगठन में ग्राहकों और कर्मचारियों को सूचित करें।

यूएस-सीईआरटी संगठन फ़िशिंग ईमेल संदेशों और वेबसाइट स्थानों को एकत्रित करने के लिए एंटी-फ़िशिंग वर्किंग ग्रुप (APWG) के साथ साझेदारी करता है। आप [email protected] पर ईमेल करके APWG को फ़िशिंग की रिपोर्ट कर सकते हैं।

यूनाइटेड किंगडम में, राष्ट्रीय साइबर सुरक्षा केंद्र (NCSC) को घोटाले के ईमेल और वेबसाइटों की जांच करने और उन्हें हटाने का अधिकार है। आपको केवल रिपोर्ट@phishing.gov.uk पर एक ईमेल या स्क्रीनशॉट भेजने की आवश्यकता है। यदि आपको यूके में कोई फ़िशिंग टेक्स्ट संदेश मिलता है, तो संदेश को 7726 पर अग्रेषित करें।

Google और Microsoft जैसे संगठनों के लिए, आप फ़िशिंग संदेशों और ईमेल को उनकी वेबसाइटों और एप्लिकेशन पर रिपोर्ट कर सकते हैं। आपको बस संदेश पर क्लिक करना है, फिर अधिक और रिपोर्ट बटन पर क्लिक करना है। जब आप इन फ़िशरों की रिपोर्ट करते हैं, तो उनके ईमेल ब्लॉक कर दिए जाते हैं और अन्य लोग फ़िशिंग हमलों से सुरक्षित रहते हैं।

फिर भी, फ़िशिंग मामले की रिपोर्ट करने की अपेक्षा फ़िशिंग को रोकना बेहतर है। इसलिए, आपको सतर्क रहना चाहिए और उस संदिग्ध दिखने वाले ईमेल को स्पैम में भेजना चाहिए। अभी इस वक्त!