के हो सामाजिक ईन्जिनियरिङ्? ध्यान दिनुपर्ने ११ उदाहरणहरू
विषयसूची
सामाजिक ईन्जिनियरिङ् वास्तवमा के हो, वैसे पनि?
सामाजिक ईन्जिनियरिङ्ले मानिसहरूलाई तिनीहरूको गोप्य जानकारी निकाल्न हेरफेर गर्ने कार्यलाई बुझाउँछ। अपराधीहरूले खोज्ने जानकारीको प्रकार फरक हुन सक्छ। सामान्यतया, व्यक्तिहरू तिनीहरूको बैंक विवरण वा तिनीहरूको खाता पासवर्डहरूको लागि लक्षित हुन्छन्। अपराधीहरूले पीडितको कम्प्युटरमा पहुँच गर्ने प्रयास पनि गर्छन् ताकि उनीहरूले खराब सफ्टवेयर स्थापना गर्छन्। यस सफ्टवेयरले तिनीहरूलाई आवश्यक पर्ने कुनै पनि जानकारी निकाल्न मद्दत गर्दछ।
अपराधीहरूले सामाजिक ईन्जिनियरिङ् रणनीतिहरू प्रयोग गर्छन् किनभने प्रायः एक व्यक्तिको विश्वास प्राप्त गरेर शोषण गर्न र उनीहरूको व्यक्तिगत विवरणहरू छोड्न मनाउन सजिलो हुन्छ। कसैको कम्प्यूटरमा सीधा ह्याक गर्नु भन्दा यो उनीहरूको ज्ञान बिना नै सजिलो तरिका हो।
सामाजिक ईन्जिनियरिङ् उदाहरणहरू
तपाईंले सामाजिक ईन्जिनियरिङ् गर्ने विभिन्न तरिकाहरू बारे जानकारी दिएर आफूलाई अझ राम्रोसँग सुरक्षित गर्न सक्षम हुनुहुनेछ।
1. बहाना गर्दै
जब अपराधीले महत्त्वपूर्ण कार्य गर्न पीडितबाट संवेदनशील जानकारी पहुँच गर्न चाहन्छ तब बहाना प्रयोग गरिन्छ। आक्रमणकारीले धेरै सावधानीपूर्वक तयार गरिएका झूटहरू मार्फत जानकारी प्राप्त गर्ने प्रयास गर्दछ।
अपराधीले पीडितसँग विश्वास स्थापित गरेर सुरु गर्छ। यो तिनीहरूका साथीहरू, सहकर्मीहरू, बैंक अधिकारीहरू, प्रहरीहरू, वा अन्य अधिकारीहरूको नक्कल गरेर यस्तो संवेदनशील जानकारीको लागि सोध्न सक्छ। आक्रमणकारीले उनीहरूलाई आफ्नो पहिचान पुष्टि गर्ने बहानामा प्रश्नहरूको एक श्रृंखला सोध्छ र यस प्रक्रियामा व्यक्तिगत डेटा सङ्कलन गर्दछ।
यो विधि व्यक्तिबाट सबै प्रकारका व्यक्तिगत र आधिकारिक विवरणहरू निकाल्न प्रयोग गरिन्छ। त्यस्ता जानकारीमा व्यक्तिगत ठेगानाहरू, सामाजिक सुरक्षा नम्बरहरू, फोन नम्बरहरू, फोन रेकर्डहरू, बैंक विवरणहरू, कर्मचारी बिदाको मितिहरू, व्यवसायहरूसँग सम्बन्धित सुरक्षा जानकारी, र यस्तै अन्य समावेश हुन सक्छन्।
2. डाइभर्सन चोरी
यो घोटाला को एक प्रकार हो जुन सामान्यतया कुरियर र यातायात कम्पनीहरु लाई लक्षित छ। अपराधीले लक्षित कम्पनीलाई तिनीहरूको डेलिभरी प्याकेज मूल रूपमा अभिप्रेरित गरिएको भन्दा फरक डेलिभरी स्थानमा उपलब्ध गराउने प्रयास गर्दछ। पोष्ट मार्फत पठाइने बहुमूल्य सामानहरू चोरी गर्न यो प्रविधि प्रयोग गरिन्छ।
यो घोटाला अफलाइन र अनलाइन दुवै गर्न सकिन्छ। प्याकेजहरू बोक्ने कर्मचारीहरूलाई सम्पर्क गर्न सकिन्छ र अर्कै स्थानमा डेलिभरी छोड्न विश्वस्त हुन सक्छ। आक्रमणकारीहरूले अनलाइन डेलिभरी प्रणालीमा पनि पहुँच प्राप्त गर्न सक्छन्। तिनीहरूले त्यसपछि वितरण तालिका अवरोध र यसलाई परिवर्तन गर्न सक्नुहुन्छ।
3 फिसि
फिसिङ सामाजिक ईन्जिनियरिङ्को सबैभन्दा लोकप्रिय रूपहरू मध्ये एक हो। फिसिङ घोटालाहरूले इमेल र पाठ सन्देशहरू समावेश गर्दछ जसले पीडितहरूमा जिज्ञासा, डर, वा जरुरीताको भावना सिर्जना गर्न सक्छ। पाठ वा इमेलले तिनीहरूलाई लिंकहरूमा क्लिक गर्न उत्प्रेरित गर्छ जसले दुर्भावनापूर्ण वेबसाइटहरू वा संलग्नकहरूलाई तिनीहरूको यन्त्रहरूमा मालवेयर स्थापना गर्नेछ।
उदाहरणका लागि, अनलाइन सेवाका प्रयोगकर्ताहरूले एउटा नीति परिवर्तन भएको दाबी गर्ने इमेल प्राप्त गर्न सक्छन् जसले उनीहरूलाई आफ्नो पासवर्ड तुरुन्तै परिवर्तन गर्न आवश्यक छ। मेलले अवैध वेबसाइटको लिङ्क समावेश गर्दछ जुन मूल वेबसाइटसँग मिल्दोजुल्दो छ। प्रयोगकर्ताले त्यसपछि आफ्नो खाता प्रमाणहरू त्यस वेबसाइटमा इनपुट गर्नेछ, यसलाई वैध मान्दै। तिनीहरूको विवरण पेश गरेपछि, जानकारी अपराधीको पहुँचमा हुनेछ।
4. भाला फिसिङ
यो एक प्रकारको फिसिङ घोटाला हो जुन एक विशेष व्यक्ति वा संस्था तर्फ बढी लक्षित छ। आक्रमणकारीले कामको स्थिति, विशेषताहरू, र पीडितसँग सम्बन्धित सम्झौताहरूको आधारमा आफ्ना सन्देशहरूलाई अनुकूलित गर्दछ, ताकि तिनीहरू अझ वास्तविक देखिन सक्छन्। भाला फिसिङको लागि अपराधीको पक्षमा धेरै प्रयास चाहिन्छ र नियमित फिसिङ भन्दा धेरै समय लाग्न सक्छ। यद्यपि, तिनीहरू पहिचान गर्न गाह्रो छन् र राम्रो सफलता दर छ।
उदाहरणका लागि, एउटा संगठनमा भाला फिसिङ गर्ने प्रयास गर्ने आक्रमणकारीले फर्मको IT सल्लाहकारको नक्कल गर्ने कर्मचारीलाई इमेल पठाउनेछ। इमेललाई कन्सल्टेन्टले गर्ने तरिकासँग मिल्दोजुल्दो तरिकाले फ्रेम गरिनेछ। यो प्रापकलाई धोका दिन पर्याप्त प्रामाणिक देखिन्छ। इमेलले कर्मचारीहरूलाई उनीहरूको जानकारी रेकर्ड गरी आक्रमणकारीलाई पठाउने खराब वेबपेजको लिङ्क प्रदान गरेर उनीहरूको पासवर्ड परिवर्तन गर्न प्रेरित गर्नेछ।
5. पानी-होलिंग
वाटर-होलिंग घोटालाले भरपर्दो वेबसाइटहरूको फाइदा लिन्छ जुन नियमित रूपमा धेरै मानिसहरूले भ्रमण गर्छन्। अपराधीले मानिसहरूको लक्षित समूहको बारेमा जानकारी सङ्कलन गर्नेछ जुन तिनीहरूले बारम्बार भ्रमण गरिरहेका वेबसाइटहरू निर्धारण गर्नेछन्। यी वेबसाइटहरू त्यसपछि कमजोरीहरूको लागि परीक्षण गरिनेछ। समय संग, यो समूह को एक वा धेरै सदस्यहरु संक्रमित हुनेछ। आक्रमणकारीले त्यसपछि यी संक्रमित प्रयोगकर्ताहरूको सुरक्षित प्रणाली पहुँच गर्न सक्षम हुनेछ।
जनावरहरूले तिर्खा लाग्दा आफ्नो भरपर्दो ठाउँमा जम्मा भएर पानी पिउने तरिकाको समानताबाट यो नाम आएको हो। उनीहरूले सावधानी अपनाउन दुई पटक सोच्दैनन्। सिकारीहरूलाई यो थाहा छ, त्यसैले तिनीहरू नजिकै पर्खन्छन्, तिनीहरूको गार्ड तल हुँदा आक्रमण गर्न तयार हुन्छन्। डिजिटल ल्यान्डस्केपमा वाटर-होलिंगलाई एकै समयमा कमजोर प्रयोगकर्ताहरूको समूहमा सबैभन्दा विनाशकारी आक्रमणहरू बनाउन प्रयोग गर्न सकिन्छ।
6. प्रलोभन
यो नामबाट स्पष्ट छ, प्रलोभनले पीडितको जिज्ञासा वा लोभलाई ट्रिगर गर्न झूटो प्रतिज्ञाको प्रयोग समावेश गर्दछ। पीडितलाई डिजिटल जालमा फसाइएको छ जसले अपराधीलाई उनीहरूको व्यक्तिगत विवरणहरू चोर्न वा तिनीहरूको प्रणालीमा मालवेयर स्थापना गर्न मद्दत गर्दछ।
बाइटिङ अनलाइन र अफलाइन दुबै माध्यमबाट हुन सक्छ। अफलाइन उदाहरणको रूपमा, अपराधीले फ्ल्यास ड्राइभको रूपमा चारा छोड्न सक्छ जुन सुस्पष्ट स्थानहरूमा मालवेयरबाट संक्रमित भएको छ। यो लक्षित कम्पनीको लिफ्ट, बाथरूम, पार्किङ स्थल, आदि हुन सक्छ। फ्ल्यास ड्राइभमा यसको प्रामाणिक रूप हुनेछ, जसले पीडितले यसलाई लिन र आफ्नो काम वा घरको कम्प्युटरमा घुसाउनेछ। फ्ल्यास ड्राइभले स्वचालित रूपमा प्रणालीमा मालवेयर निर्यात गर्नेछ।
प्रलोभनको अनलाइन रूपहरू आकर्षक र लोभ्याउने विज्ञापनहरूको रूपमा हुन सक्छ जसले पीडितहरूलाई यसमा क्लिक गर्न प्रोत्साहित गर्दछ। लिंकले खराब कार्यक्रमहरू डाउनलोड गर्न सक्छ, जसले तिनीहरूको कम्प्युटरलाई मालवेयरले संक्रमित गर्नेछ।
७. Quid Pro Quo
क्विड प्रो क्वो आक्रमणको अर्थ "केहीको लागि केहि" आक्रमण हो। यो बेटिंग प्रविधिको भिन्नता हो। पीडितहरूलाई फाइदाको वाचाको साथ प्रलोभन दिनुको सट्टा, एक क्विड प्रो-को आक्रमणले सेवाको प्रतिज्ञा गर्दछ यदि कुनै विशेष कार्य कार्यान्वयन गरिएको छ। आक्रमणकारीले पहुँच वा जानकारीको बदलामा पीडितलाई नक्कली लाभ प्रदान गर्दछ।
यस आक्रमणको सबैभन्दा सामान्य रूप हो जब एक अपराधीले कम्पनीको आईटी कर्मचारीको नक्कल गर्दछ। अपराधीले त्यसपछि कम्पनीका कर्मचारीहरूलाई सम्पर्क गर्छ र उनीहरूलाई नयाँ सफ्टवेयर वा प्रणाली अपग्रेड प्रस्ताव गर्दछ। त्यसपछि कर्मचारीलाई तिनीहरूको एन्टिभाइरस सफ्टवेयर असक्षम गर्न वा यदि तिनीहरू अपग्रेड चाहनुहुन्छ भने खराब सफ्टवेयर स्थापना गर्न सोधिनेछ।
8. टेलगेटिङ
टेलगेटिङ आक्रमणलाई पिग्गीब्याकिङ पनि भनिन्छ। यसमा उचित प्रमाणीकरण उपायहरू नभएको प्रतिबन्धित स्थान भित्र प्रवेश खोज्ने अपराधीहरू समावेश हुन्छन्। अपराधीले यस क्षेत्रमा प्रवेश गर्ने अधिकार पाएको अर्को व्यक्तिको पछि लागेर पहुँच प्राप्त गर्न सक्छ।
उदाहरणको रूपमा, अपराधीले डिलिवरी चालकको नक्कल गर्न सक्छ जसको हातमा प्याकेजहरू छन्। ऊ ढोकामा प्रवेश गर्न अधिकृत कर्मचारीको पर्खाइमा छ। इम्पोस्टर डेलिभरी केटाले त्यसपछि कर्मचारीलाई उसको लागि ढोका समात्न सोध्छ, जसले गर्दा उसलाई कुनै प्राधिकरण बिना पहुँच गर्न दिन्छ।
9. हनीट्र्याप
यो ट्रिकमा एक आकर्षक व्यक्ति अनलाइन भएको नाटक गर्ने अपराधी समावेश छ। व्यक्तिले आफ्नो लक्ष्यलाई मित्र बनाउँछ र तिनीहरूसँग अनलाइन सम्बन्धको नकल गर्छ। त्यसपछि अपराधीले यस सम्बन्धको फाइदा उठाएर आफ्ना पीडितहरूको व्यक्तिगत विवरणहरू निकाल्न, उनीहरूबाट पैसा उधारो लिन वा उनीहरूलाई आफ्नो कम्प्युटरमा मालवेयर स्थापना गर्न लगाउँछन्।
'हनिट्र्याप' नाम पुरानो जासूस युक्तिबाट आएको हो जहाँ महिलाहरूलाई पुरुषहरूलाई लक्षित गर्न प्रयोग गरिन्थ्यो।
10. दुष्ट
रोग सफ्टवेयर ठग विरोधी मालवेयर, बदमाश स्क्यानर, बदमाश scareware, विरोधी स्पाइवेयर, र यति को रूप मा देखा पर्न सक्छ। यस प्रकारको कम्प्युटर मालवेयरले प्रयोगकर्ताहरूलाई मालवेयर हटाउने वाचा गरेको सिमुलेटेड वा नक्कली सफ्टवेयरको लागि भुक्तान गर्न बहकाउँछ। दुष्ट सुरक्षा सफ्टवेयर हालका वर्षहरूमा बढ्दो चिन्ता भएको छ। एक अस्पष्ट प्रयोगकर्ता सजिलैसँग त्यस्ता सफ्टवेयरको शिकार हुन सक्छ, जुन प्रशस्त मात्रामा उपलब्ध छ।
Mal. मालवेयर
मालवेयर आक्रमणको उद्देश्य पीडितलाई तिनीहरूको प्रणालीमा मालवेयर स्थापना गर्न पाउनु हो। आक्रमणकारीले पिडितलाई आफ्नो कम्प्युटरमा मालवेयर अनुमति दिनको लागि मानव भावनाहरू हेरफेर गर्दछ। यस प्रविधिमा फिसिङ सन्देशहरू पठाउन तत्काल सन्देशहरू, पाठ सन्देशहरू, सामाजिक सञ्जालहरू, इमेलहरू, आदिको प्रयोग समावेश छ। यी सन्देशहरूले पीडितलाई एउटा लिङ्कमा क्लिक गर्न छल गर्छ जसले मालवेयर समावेश भएको वेबसाइट खोल्छ।
सन्देशहरूको लागि डराउने युक्तिहरू प्रायः प्रयोग गरिन्छ। तिनीहरूले भन्न सक्छन् कि तपाईंको खातामा केहि गलत छ र तपाईंले आफ्नो खातामा लग इन गर्न प्रदान गरिएको लिङ्कमा तुरुन्तै क्लिक गर्नुपर्छ। लिङ्कले त्यसपछि तपाइँलाई एउटा फाइल डाउनलोड गर्नेछ जसको माध्यमबाट तपाइँको कम्प्युटरमा मालवेयर स्थापना हुनेछ।
सचेत रहनुहोस्, सुरक्षित रहनुहोस्
आफैलाई जानकारी राख्नु आफैलाई बचाउनको लागि पहिलो कदम हो सामाजिक ईन्जिनियरिङ् आक्रमणहरू। आधारभूत सुझाव भनेको तपाईको पासवर्ड वा वित्तीय जानकारीको लागि सोध्ने कुनै पनि सन्देशहरूलाई बेवास्ता गर्नु हो। तपाइँ स्प्याम फिल्टरहरू प्रयोग गर्न सक्नुहुन्छ जुन तपाइँको इमेल सेवाहरूसँग आउँछ त्यस्ता इमेलहरूलाई फ्ल्याग गर्न। एक विश्वसनीय एन्टिभाइरस सफ्टवेयर प्राप्त गर्नाले तपाइँको प्रणालीलाई अझ सुरक्षित गर्न मद्दत गर्दछ।
