जब तक मेरी मां को हैक नहीं किया गया, तब तक मुझे कभी एहसास नहीं हुआ कि ईमेल खाते में उपयोगकर्ता नाम और पासवर्ड प्राप्त करना कितना आसान था। उसके बारे में बताते हुए कि क्या हुआ, मुझे एहसास हुआ कि हमला काफी आसान था ... उसने अपने उपयोगकर्ता नाम और पासवर्ड की पुष्टि करने के लिए एक ईमेल के माध्यम से अपने Google खाते में लॉग इन किया। वह अनुरोध पर सवाल क्यों उठाएगी?

जब मुझे उसका लैपटॉप मिला तो मुझे शक हुआ कि उसकी साख पर हमला बहुत बड़ा था और वह उसके कंप्यूटर में चला गया था। उसने मुझे अनधिकृत अमेज़ॅन खरीदारी के बारे में बताया, जबकि मैंने उसके लैपटॉप पर यादृच्छिक पॉपअप संदेश देखे। मैंने उसका कंप्यूटर बंद कर दिया, उसे फिर कभी लॉग इन न करने के लिए कहा, उसके लिए एक आईपैड खरीदा, और उसके सभी पासवर्ड बदल दिए। फिर हमने दुर्भावनापूर्ण लिंक और यादृच्छिक समर्थन के बारे में लंबी बात की, लोगों ने उसे 'मदद' करने के लिए फोन किया।

मैंने यह समझने की कोशिश की कि वह समझौता किए गए खातों के इस बिंदु तक कैसे पहुंची और पता चला कि यह बहुत आसान है।

ईमेल फ़िशिंग अटैक

फ़िशिंग एक प्रकार का ऑनलाइन घोटाला है जहाँ अपराधी वैध संगठनों को ईमेल, पाठ संदेश या विज्ञापनों के माध्यम से उपयोगकर्ता नाम और पासवर्ड चुराने के लिए प्रतिरूपित करते हैं। यह एक लिंक को शामिल करने से होता है जो आपको आपकी जानकारी भरने के लिए कंपनी की वेबसाइट पर ले जाता प्रतीत होगा - लेकिन वेबसाइट एक चतुर नकली है और आपके द्वारा प्रदान की गई जानकारी सीधे घोटाले के पीछे हैकर्स के पास जाती है।

यह कुछ इस तरह नीचे चला गया:

1. हमलावर ने मेरी मां को एक फ़िशिंग ईमेल भेजा था। इस मामले में, एक लिंक पर क्लिक करने के लिए एक सावधानीपूर्वक शब्दों वाला दस्तावेज़ जो उसे अपने Google.com खाते में लॉग इन करेगा। अगर उसने तुरंत जवाब नहीं दिया, तो उसे उसके खाते से बाहर कर दिया जाएगा।
2. मेरी माँ ने लिंक पर क्लिक किया और एक वेब पेज पर पहुंची जो एक Google.com लॉगिन पेज के समान दिखता है।
3. उसने नकली Google.com साइट में लॉग इन किया। वह सामान्य Google पृष्ठ देखती है और मानती है कि उसने सफलतापूर्वक Google.com में लॉग इन किया और अपने खाते को लॉक होने से रोका।
4. उपयोगकर्ता नाम/पासवर्ड की जानकारी हैकर को भेजी जाती है जो क्रेडेंशियल डेटा एकत्र करता है और हमले के अगले चरण में जाता है।

फिशिंग ईमेल

फ़िशिंग अभियान की सफलता के लिए सावधानीपूर्वक तैयार किया गया फ़िशिंग ईमेल जिसमें टाइपो या विचित्र व्याकरण की कमी है, महत्वपूर्ण है। उसे जो ईमेल प्राप्त हुआ वह इस विषय पंक्ति के समान था: अपना Google खाता सत्यापित करें।

फिशिंग ईमेल

यह विशेष विधि दुर्भावनापूर्ण अभिनेताओं द्वारा उपयोग किए जाने वाले दो सामान्य सामाजिक इंजीनियरिंग उपकरणों का उपयोग करती है: विश्वास और तात्कालिकता।

विडंबना यह है कि इस परीक्षण फ़िशिंग ईमेल को स्वयं को भेजने के कुछ दिनों बाद, मैंने इसे अपने इनबॉक्स में बैठे देखा और इसे यह भूलकर खोल दिया कि मैंने इस लेख के लिए यह अलर्ट तैयार किया है। यदि आप विचलित हैं तो मूर्ख बनना आसान है!

कैसे एक हैकर ने मेरी माँ की लॉगिन जानकारी चुरा ली

हम इस पूर्वाभ्यास के लिए काली लिनक्स का उपयोग करने जा रहे हैं, लेकिन क्रेडेंशियल कटाई के लिए कई उपकरण उपलब्ध हैं। यह हमला आश्चर्यजनक रूप से सरल है, मुझे आश्चर्य है कि इसे लागू करना इतना आसान है।

शुरू करना

1. कमांड लाइन से सोशल इंजीनियरिंग टूलकिट (SET) को रूट के रूप में लॉन्च करें।

# setoolkit

सोशल-इंजीनियर टूलकिट पैठ परीक्षण और एथिकल हैकिंग के लिए Trustedsec.com द्वारा प्रदान किए गए टूल का एक सेट है।

1. मुख्य मेनू से, विकल्प 1 , सोशल इंजीनियरिंग अटैक चुनें।

   
   

सोशल-इंजीनियरिंग अटैक्स मेनू से विकल्प 2 , वेबसाइट अटैक वेक्टर चुनें।

1. सोशल-इंजीनियरिंग अटैक सबमेनू से, विकल्प 2, वेबसाइट अटैक वेक्टर चुनें।

   
   

वेबसाइट अटैक वेक्टर्स मेन्यू से, विकल्प 3 , क्रेडेंशियल हार्वेस्टर अटैक मेथड चुनें। बिल्ट-इन टेम्प्लेट का उपयोग करते हुए, यह विकल्प हमें Google, Yahoo, Twitter और Facebook जैसी लोकप्रिय वेबसाइटों का उपयोग करने की अनुमति देता है।

क्रेडेंशियल हार्वेस्टर अटैक विधि के लिए, विकल्प 1 चुनें, वेब टेम्प्लेट

क्रेडेंशियल हार्वेस्टर संग्रह स्थल का निर्माण शुरू करता है। यदि आप अपनी जानकारी एकत्र करने के लिए उसी मशीन का उपयोग कर रहे हैं, तो हार्वेस्टर/टैबनैपिंग [192.168.1.183]: चयन में POST बैक के लिए डिफ़ॉल्ट IP पते का उपयोग करें। इस पते को अपनी मशीन में बदलें।

वेब टेम्प्लेट की सूची से, विकल्प 2 चुनें। गूगल ।

वेब टेम्प्लेट मेनू

सामाजिक अभियंता टूलकिट - क्रेडेंशियल हार्वेस्टर अटैक google.com की एक प्रति को क्लोन करके एक अस्थायी वेबसाइट बनाता है। यह आपके द्वारा निर्दिष्ट पते पर एक वेबसर्वर शुरू करेगा और पोर्ट 80 पर एक श्रोता शुरू करेगा। इस पोर्ट के किसी भी कनेक्शन को कंसोल में लॉग किया जाता है।

क्रेडेंशियल हार्वेस्टर कंसोल

आप अपने ब्राउज़र को हार्वेस्टर/टैबनैपिंग अनुभाग में दिए गए आईपी पते पर इंगित करके या अपने सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल में इस लिंक को एम्बेड करके इस शोषण का परीक्षण कर सकते हैं। http://192.168.1.183

शोषण पूरा हो गया है। केवल हैकर को किसी के द्वारा पृष्ठ लोड करने की प्रतीक्षा करने की आवश्यकता है।

आकस्मिक उपयोगकर्ता वेब ब्राउज़र के स्थान बार में लाल रंग में हाइलाइट किए गए अपरंपरागत URL और नॉट सिक्योर लॉक को नोटिस नहीं करेंगे।

सफल क्रेडेंशियल कैप्चर

इस बीच, हमलावर निम्नलिखित संदेश की प्रतीक्षा करता है।

नकली Google खाता लॉगिन पृष्ठ को पूरा करना क्रेडेंशियल्स को कैप्चर करता है और उन्हें हमलावर के कंप्यूटर के कंसोल पर भेजता है। हमारे उदाहरण में, एक संभावित उपयोगकर्ता नाम [email protected] है जबकि उसका पासवर्ड Ilikecats प्रतीत होता है।

थोड़ा सा विश्वास और एक विश्वसनीय कहानी कुछ क्रेडेंशियल्स को काटने के लिए आवश्यक है। इस हमले को कई हज़ार ईमेल पतों के विरुद्ध शुरू करने की कल्पना करें?

माँ की रक्षा कैसे करें

इस प्रकार के हमले को रोकने में कोई नई बात नहीं है। रोज़मर्रा की नियमित सुरक्षा प्रथाएँ लागू होती हैं: किसी ऐसे व्यक्ति के लिंक पर क्लिक न करें जिस पर आपको भरोसा न हो। यदि आपको लिंक पर क्लिक करने की आवश्यकता महसूस होती है, तो पुष्टि करें कि URL उसी विश्वसनीय स्रोत से है, कोई टाइपो नहीं हैं, और यह कि यह किसी IP पते से नहीं है।

वह अपने नए iPad से प्यार करती है।

यहाँ भी प्रकाशित