सोशल इंजीनियरिंग क्या है?

अनेक वस्तुओं का संग्रहApr 08, 2023

कंप्यूटर सुरक्षा में, उपयोगकर्ता के सर्वोत्तम प्रयासों के बावजूद कई समस्याएँ उत्पन्न होती हैं। उदाहरण के लिए, आप किसी भी बिंदु पर मैलवेयर से प्रभावित हो सकते हैं, यह वास्तव में दुर्भाग्य के लिए नीचे है। जोखिम को कम करने के लिए आप कुछ कदम उठा सकते हैं, जैसे विज्ञापन-अवरोधक का उपयोग करना। लेकिन इस तरह हिट होना यूजर की गलती नहीं है। अन्य हमले हालांकि उपयोगकर्ता को कुछ करने के लिए बरगलाने पर ध्यान केंद्रित करते हैं। इस प्रकार के हमले सोशल इंजीनियरिंग हमलों के व्यापक बैनर तले आते हैं।

सोशल इंजीनियरिंग में विश्लेषण और समझ का उपयोग करना शामिल है कि लोग किसी परिणाम में हेरफेर करने के लिए कुछ स्थितियों को कैसे संभालते हैं। सोशल इंजीनियरिंग लोगों के बड़े समूहों के खिलाफ की जा सकती है। कंप्यूटर सुरक्षा के मामले में, हालांकि, यह आम तौर पर व्यक्तियों के खिलाफ प्रयोग किया जाता है, हालांकि संभावित रूप से एक बड़े अभियान के हिस्से के रूप में।

लोगों के एक समूह के खिलाफ सोशल इंजीनियरिंग का एक उदाहरण व्याकुलता के रूप में घबराहट पैदा करने का प्रयास हो सकता है। उदाहरण के लिए, एक फौजी झूठा झंडा अभियान चला रहा है, या कोई व्यस्त स्थान पर "आग" चिल्ला रहा है और फिर अराजकता में चोरी कर रहा है। किसी स्तर पर सरल प्रचार, जुआ और विज्ञापन भी सामाजिक इंजीनियरिंग तकनीकें हैं।

हालांकि कंप्यूटर सुरक्षा में, क्रियाएं अधिक व्यक्तिगत होती हैं। फ़िशिंग उपयोगकर्ताओं को क्लिक करने और लिंक करने और विवरण दर्ज करने के लिए मनाने की कोशिश करता है। कई घोटाले डर या लालच के आधार पर हेरफेर करने की कोशिश करते हैं। कंप्यूटर सुरक्षा में सोशल इंजीनियरिंग के हमले वास्तविक दुनिया में भी जा सकते हैं जैसे सर्वर रूम में अनधिकृत पहुंच प्राप्त करने का प्रयास करना। दिलचस्प बात यह है कि साइबर सुरक्षा की दुनिया में, यह आखिरी परिदृश्य, और इसके जैसे अन्य, आम तौर पर सोशल इंजीनियरिंग हमलों के बारे में बात करते समय इसका मतलब होता है।

व्यापक सामाजिक इंजीनियरिंग - ऑनलाइन

फ़िशिंग हमले का एक वर्ग है जो पीड़ित को हमलावर को विवरण प्रदान करने के लिए सोशल इंजीनियर का प्रयास करता है। फ़िशिंग हमले आम तौर पर बाहरी सिस्टम जैसे ईमेल के माध्यम से वितरित किए जाते हैं, और इसलिए दो अलग-अलग सामाजिक इंजीनियरिंग बिंदु होते हैं। सबसे पहले, उन्हें पीड़ित को विश्वास दिलाना होगा कि संदेश वैध है और उन्हें लिंक पर क्लिक करने के लिए कहें। इसके बाद यह फ़िशिंग पृष्ठ को लोड करता है, जहाँ उपयोगकर्ता को विवरण दर्ज करने के लिए कहा जाएगा। आमतौर पर, यह उनका यूज़रनेम और पासवर्ड होगा। यह प्रारंभिक ईमेल और फ़िशिंग पेज पर निर्भर करता है, दोनों सोशल इंजीनियर के लिए उपयोगकर्ता को उन पर भरोसा करने के लिए पर्याप्त रूप से आश्वस्त करते हैं।

कई घोटाले अपने पीड़ितों को पैसा सौंपने के लिए सोशल इंजीनियर की कोशिश करते हैं। क्लासिक "नाइजीरियाई राजकुमार" घोटाला एक बड़े भुगतान का वादा करता है यदि पीड़ित एक छोटे से अग्रिम शुल्क का भुगतान कर सकता है। बेशक, एक बार जब पीड़ित "शुल्क" का भुगतान कर देता है, तो कभी भी कोई भुगतान प्राप्त नहीं होता है। अन्य प्रकार के स्कैम अटैक समान सिद्धांतों पर काम करते हैं। पीड़ित को कुछ करने के लिए राजी करें, आम तौर पर पैसे सौंपें या मैलवेयर इंस्टॉल करें। रैंसमवेयर भी इसका एक उदाहरण है। पीड़ित को पैसे सौंपने की जरूरत है या जो भी डेटा एन्क्रिप्ट किया गया था, उस तक पहुंच खोने का जोखिम है।

इन-पर्सन सोशल इंजीनियरिंग

जब सामाजिक इंजीनियरिंग को साइबर सुरक्षा की दुनिया में संदर्भित किया जाता है, तो यह आमतौर पर वास्तविक दुनिया में क्रियाओं को संदर्भित करता है। बहुत सारे उदाहरण परिदृश्य हैं। सबसे बुनियादी में से एक को टेल-गेटिंग कहा जाता है। यह किसी के पीछे काफी करीब मँडरा रहा है कि वे आपको जाने देने के लिए एक पहुँच-नियंत्रित द्वार खोलते हैं। टेल-गेटिंग को एक परिदृश्य स्थापित करके बढ़ाया जा सकता है जिसमें पीड़ित आपकी मदद कर सकता है। एक तरीका यह है कि धूम्रपान करने वालों के साथ स्मोक ब्रेक पर बाहर घूमें और फिर समूह के साथ वापस अंदर जाएं। एक और तरीका यह है कि किसी अजीब चीज को ले जाते हुए देखा जाए। यदि आप जो ले जा रहे हैं वह दूसरों के लिए हो सकता है तो इस तकनीक के सफल होने की और भी अधिक संभावना है। उदाहरण के लिए, यदि आपके पास "आपकी टीम" के लिए कॉफी मग की एक ट्रे है, तो किसी के लिए आपके लिए दरवाजा खुला रखने का सामाजिक दबाव है।

अधिकांश व्यक्तिगत सोशल इंजीनियरिंग एक परिदृश्य स्थापित करने और उसके भीतर आश्वस्त होने पर निर्भर करती है। उदाहरण के लिए, एक सामाजिक इंजीनियर किसी प्रकार के निर्माण कार्यकर्ता या क्लीनर के रूप में पेश आ सकता है जिसे आम तौर पर अनदेखा किया जा सकता है। एक अच्छे सामरी के रूप में प्रस्तुत करना, "खोई हुई" USB थंब ड्राइव सौंपने के परिणामस्वरूप एक कर्मचारी इसे प्लग इन कर सकता है। इरादा यह देखने का होगा कि यह किसका है, लेकिन तब यह सिस्टम को मैलवेयर से संक्रमित कर सकता है।

इस प्रकार के इन-पर्सन सोशल इंजीनियरिंग हमले बहुत सफल हो सकते हैं, क्योंकि कोई भी वास्तव में इस तरह से छल किए जाने की उम्मीद नहीं करता है। हालाँकि, वे हमलावर के लिए बहुत अधिक जोखिम उठाते हैं, जिसके पास रंगे हाथ पकड़े जाने की बहुत संभावना होती है।

निष्कर्ष

सोशल इंजीनियरिंग एक लक्षित उद्देश्य को प्राप्त करने के लिए लोगों को हेरफेर करने की अवधारणा है। एक तरह से पीड़ित को विश्वास दिलाने के लिए वास्तविक दिखने वाली स्थिति बनाना शामिल है। आप एक ऐसा परिदृश्य भी बना सकते हैं जिसमें मानक सुरक्षा सलाह के विरुद्ध कार्य करने के लिए पीड़ित के लिए एक सामाजिक दबाव या अपेक्षा हो। हालाँकि, सभी सामाजिक इंजीनियरिंग हमले, एक या अधिक पीड़ितों को धोखा देकर ऐसी कार्रवाई करने पर भरोसा करते हैं जो हमलावर उनसे चाहता है।