Phishing Attack

WHAT IS PHISHING ATTACK IN HINDI? PHISHING ATTACK क्या होता है?

Phishing attack एक धोखाधड़ी तकनीक है जब कोई अपराधी Email या अन्य पत्राचार में एक organization या व्यक्ति के रूप में प्रस्तुत होता है। फ़िशिंग ईमेल का उपयोग अक्सर हमलावरों द्वारा malicious link या फ़ाइलों को broadcast करने के लिए किया जाता है जो उन्हें victims के खाता नंबर, login credential और अन्य निजी जानकारी प्राप्त करने की अनुमति देते हैं।

चूँकि किसी को ईमेल में किसी malicious link पर क्लिक करने के लिए मूर्ख बनाना, जो प्रामाणिक प्रतीत होता है, कंप्यूटर के सुरक्षा उपायों से बचने की तुलना में बहुत आसान है, misleading फ़िशिंग एक सामान्य प्रकार का साइबर अपराध है। फ़िशिंग के बारे में ज्ञान प्राप्त करना लोगों को इसे पहचानने और रोकने में सहायता करने के लिए आवश्यक है।

HOW PHISHING ATTACK WORK – PHISHING ATTACK कैसे काम करता है?

फ़िशिंग एक प्रकार का साइबर सुरक्षा और social  engineering attack है जिसमें हमलावर निजी जानकारी प्राप्त करने के लिए किसी और के होने का दिखावा करने के लिए ईमेल और अन्य इलेक्ट्रॉनिक संचार चैनलों, जैसे सोशल नेटवर्क और short message service (SMS) test messaging का उपयोग करता है।

फ़िशर Linkdin, Facebook और Twitter जैसी सार्वजनिक social sites का उपयोग करके victim की व्यक्तिगत जानकारी, रोजगार इतिहास, शौक और गतिविधियाँ प्राप्त कर सकते हैं। इन संसाधनों का उपयोग अक्सर संभावित victims के नाम, Job Title और Email Address सहित विवरण जानने के लिए किया जाता है। जानकारी का उपयोग हमलावर द्वारा एक विश्वसनीय फ़िशिंग ईमेल बनाने के लिए किया जा सकता है।

आमतौर पर, किसी प्रतिष्ठित व्यक्ति या संस्था का संदेश victims को भेजा जाता है। इसके बाद, हमले को तब अंजाम दिया जाता है जब लक्ष्य किसी malicious वेबसाइट या malicious फ़ाइल attachment पर निर्देशित हाइपरलिंक पर क्लिक करता है।

ये भी पढ़े:

हमलावर का लक्ष्य या तो उपयोगकर्ता के डिवाइस को मैलवेयर से संक्रमित करना या उन्हें किसी नकली वेबसाइट पर भेजना है। धोखाधड़ी वाली वेबसाइटें लोगों को account ID, credit card number और password सहित वित्तीय और व्यक्तिगत डेटा का खुलासा करने के लिए धोखा देने के लिए डिज़ाइन की गई हैं।

भले ही बहुत सारे फ़िशिंग ईमेल स्पष्ट रूप से धोखाधड़ी वाले और ख़राब शब्दों वाले होते हैं, घोटालेबाज फ़िशिंग हमलों को अधिक प्रामाणिक दिखाने के लिए चैटबॉट और अन्य कृत्रिम AI technology का उपयोग कर रहे हैं।

Phishing attack का प्रयास फ़ोन पर भी किए जा सकते हैं, जिसमें अपराधी किसी कर्मचारी की पहचान बताता है और व्यक्तिगत डेटा का अनुरोध करता है। हमलावर पीड़ित के प्रबंधक या किसी अन्य आधिकारिक व्यक्ति की AI द्वारा बनाया गया आवाज का उपयोग करके इन संदेशों के साथ पीड़ित को और अधिक बेवकूफ बना सकता है।

HOW TO IDENTIFY EMAILS THAT ARE PHISHING – फ़िशिंग ईमेल की पहचान कैसे करें

Image of phishing attack in hindi

सफल फ़िशिंग मेल को वास्तविक फ़िशिंग मेल से अलग बताना चुनौतीपूर्ण हो सकता है। उन्हें आम तौर पर कॉर्पोरेट लोगो और अन्य विशिष्ट जानकारी के साथ एक प्रसिद्ध निगम से संबंधित के रूप में दर्शाया जाता है।

फिर भी, कुछ Indicators हैं कि कोई संदेश फ़िशिंग प्रयास है। उनमें से निम्नलिखित हैं:

message subdomain, typosquatting, या अन्यथा संदिग्ध URL, साथ ही गलत वर्तनी वाले URL का उपयोग करता है।
कॉर्पोरेट ईमेल पते का उपयोग करने के बजाय, प्राप्तकर्ता जीमेल या किसी अन्य सार्वजनिक ईमेल पते का उपयोग करता है।
संदेश का उद्देश्य घबराहट या तात्कालिकता की भावना जगाना होता है।
बैंक खाते की जानकारी या पासवर्ड सहित निजी डेटा को मान्य करने का अनुरोध संचार में शामिल है।
संचार बुरी तरह से लिखे जाने के अलावा व्याकरणिक और वर्तनी संबंधी गलतियाँ प्रदर्शित करता है।आपलोग पढ़ रहे है Phishing attack क्या होता है और इससे कैसे बच सकते है?

PHISHING TYPES – फ़िशिंग के प्रकार

Image of Phishing Attack

साइबर अपराधी हमेशा अपनी फ़िशिंग तकनीकों में सुधार कर रहे हैं और नई तरह की योजनाएँ लेकर आ रहे हैं। विशिष्ट फ़िशिंग हमले के प्रकार इस प्रकार हैं:

  • स्पीयर फ़िशिंग हमले कुछ लोगों या व्यवसायों को target करते हैं। ये हमले आम तौर पर पीड़ित-विशिष्ट जानकारी का उपयोग करते हैं जो संदेश को और अधिक प्रमाणित करने के लिए हासिल की गई है। स्पीयर फ़िशिंग ईमेल पीड़ित की कंपनी के अधिकारियों या सहकर्मियों के बारे में संकेत देने के अलावा पीड़ित के नाम, स्थान या अन्य व्यक्तिगत जानकारी का उपयोग कर सकते हैं।
  • एक विशेष प्रकार का स्पीयर फ़िशिंग हमला जिसे “व्हेलिंग अटैक” के रूप में जाना जाता है, महत्वपूर्ण मात्रा में निजी जानकारी लेने के इरादे से कंपनी के वरिष्ठ अधिकारियों को target करता है। चूंकि किसी लक्ष्य से संबंधित या विशिष्ट जानकारी का उपयोग करने से हमले के सफल होने की संभावना बढ़ जाती है, हमलावर अधिक प्रामाणिक संदेश तैयार करने के लिए अपने पीड़ितों की गहन जांच करते हैं। फ़िशिंग पत्र अक्सर विक्रेता को एक बड़े भुगतान को मंजूरी देने के लिए एक कार्यकारी आदेश प्रतीत होता है, लेकिन वास्तव में, भुगतान हमलावरों को किया जाएगा क्योंकि व्हेलिंग हमला आमतौर पर उस कर्मचारी को target करता है जिसके पास भुगतान स्वीकृत करने का अधिकार है।
  • फ़िशिंग एक प्रकार का फ़िशिंग हमला है जिसमें उपभोक्ताओं को DNS कैश पॉइज़निंग के उपयोग के माध्यम से एक वास्तविक वेबसाइट से धोखाधड़ी वाली वेबसाइट पर पुनर्निर्देशित किया जाता है। फ़िशिंग का उद्देश्य लोगों को धोखा देकर नकली वेबसाइट पर उनके व्यक्तिगत लॉगिन विवरण दर्ज करना है।

ये भी पढ़े:

परिमेच app क्या है इससे कैसे पैसे कमा सकते है?

  • क्लोन किए गए फ़िशिंग हमले उन प्रामाणिक ईमेल का उपयोग करते हैं जो पहले भेजे गए थे और उनमें एक लिंक या अनुलग्नक शामिल होता है। हमलावर प्रामाणिक ईमेल की क्लोन करते हैं और दुर्भावनापूर्ण लिंक या फ़ाइलों से जुड़े किसी भी लिंक या फ़ाइल को बदल देते हैं। Danger link पर क्लिक करने के कारण पीड़ितों को धोखा दिया जाना आम बात है। जिन हमलावरों ने किसी भिन्न पीड़ित के सिस्टम तक पहुंच प्राप्त कर ली है, वे अक्सर इस रणनीति का उपयोग करते हैं। इस उदाहरण में, हमलावर कंपनी के अंदर एक सिस्टम पर अपने नियंत्रण का उपयोग करके पीड़ितों को एक ज्ञात और भरोसेमंद प्रेषक से संचार ईमेल करते हैं।
  • Evil twin attacks – जब हैकर्स उपयोगकर्ताओं को एक वास्तविक एक्सेस प्वाइंट की नकल करने वाले नकली WiFi Network से कनेक्ट करने के लिए बेवकूफ बनाने का प्रयास करते हैं, तो इसे एक Evil twin attacks के रूप में जाना जाता है। हमलावर मूल नेटवर्क के समान नाम के साथ एक क्लोन हॉटस्पॉट स्थापित करते हैं, लेकिन यह एक अलग रेडियो सिग्नल उत्सर्जित करता है। जब पीड़ित Evil twin attacks के साथ संबंध स्थापित करता है, तो हमलावर उपयोगकर्ता आईडी और पासवर्ड सहित पीड़ित के डिवाइस से प्रेषित किसी भी डेटा तक पहुंच प्राप्त कर लेते हैं। 

ये भी पढ़े:

ARRAY questionको कैसे solve करते है?

  • एसएमएस फ़िशिंग, जिसे अक्सर स्मिशिंग के रूप में जाना जाता है, मोबाइल उपकरणों पर लक्षित एक प्रकार का फ़िशिंग हमला है जो पीड़ितों को मैलवेयर इंस्टॉल करने या खाता क्रेडेंशियल्स का खुलासा करने के लिए टेक्स्ट मैसेजिंग का उपयोग करता है। आमतौर पर, पीड़ित से एक ईमेल भेजने, फ़ोन नंबर पर संपर्क करने या किसी लिंक पर क्लिक करने का अनुरोध किया जाता है। इसके बाद, हमलावर पीड़ित से व्यक्तिगत जानकारी मांगता है। यह देखते हुए कि मोबाइल उपकरणों में संबद्ध कनेक्शन को छोटा करने की क्षमता होती है, इस हमले का पता लगाना अधिक चुनौतीपूर्ण है।
  • कैलेंडर फ़िशिंग नकली कैलेंडर आमंत्रण भेजकर लोगों को धोखा देने का एक प्रयास है जिसे तुरंत कैलेंडर में जोड़ा जा सकता है। इस प्रकार के फ़िशिंग हमले में एक दुर्भावनापूर्ण लिंक होता है और यह एक सामान्य ईवेंट अनुरोध होने का दिखावा करता है।
  • PAGE HIJACK ATTACK – पृष्ठ अपहरण का उपयोग करने वाले हमलों के कारण पीड़ित को एक हैक की गई वेबसाइट पर पुनर्निर्देशित किया जाता है जो उस पृष्ठ की एक प्रति है जिसे उन्हें देखना चाहिए था। क्लोन वेबसाइट पर मैलवेयर डालकर, हमलावर पीड़ित को उस पेज पर भेजने के लिए एक क्रॉस-साइट स्क्रिप्टिंग हमला करता है।

PHISHING METHOD – फ़िशिंग तरीके

Image of Phishing

फ़िशिंग हमलों के लिए लोगों को malicious लिंक के साथ एक ईमेल भेजने से कहीं अधिक की आवश्यकता होती है, यह आशा करते हुए कि वे इसे खोलेंगे और इस पर क्लिक करेंगे। हमलावरों द्वारा अपने लक्ष्यों को वश में करने के लिए निम्नलिखित रणनीतियों को नियोजित किया जा सकता है:

  • SPOOFING URL – हमलावर जावास्क्रिप्ट का उपयोग करके ब्राउज़र के एड्रेस बार पर एक वैध यूआरएल की तस्वीर को ओवरले करते हैं। एम्बेडेड लिंक पर होवर करने से यूआरएल का पता चलता है, जिसे जावास्क्रिप्ट का उपयोग करके संशोधित भी किया जा सकता है।
  • LINK MANIPULATION – लिंक का हेरफेर. यह युक्ति, जिसे यूआरएल छिपाना भी कहा जाता है, अक्सर फ़िशिंग हमलों में उपयोग की जाती है। दुर्भावनापूर्ण यूआरएल हमलावरों द्वारा बनाए जाते हैं और भरोसेमंद वेबसाइटों के लिंक के रूप में प्रस्तुत किए जाते हैं, लेकिन वे वास्तव में दुर्भावनापूर्ण वेब संसाधनों की ओर ले जाते हैं।
  • LINK SHORTENING – लिंक को छोटा करना. बिटली जैसी लिंक शॉर्टिंग सेवाओं का उपयोग करके हमलावर लिंक गंतव्य को छुपा सकते हैं। पीड़ितों के लिए यह निर्धारित करना असंभव है कि छोटा यूआरएल किसी भरोसेमंद या दुर्भावनापूर्ण वेबसाइट पर ले जाता है या नहीं।
  • HOMOGRAPH SPOOFING – होमोग्राफ़ को ख़राब करना। इस प्रकार के हमले अलग-अलग वर्णों वाले यूआरएल बनाने पर निर्भर करते हैं जो प्रतिष्ठित डोमेन नामों से काफी मिलते-जुलते हैं। उदाहरण के लिए, हमलावर ऐसे डोमेन पंजीकृत कर सकते हैं जो प्रसिद्ध, स्थापित डोमेन के समान हैं लेकिन थोड़े अलग वर्ण सेट का उपयोग करते हैं।

ये भी पढ़े:

लूडो खेलना सभी age के लिए कैसे फायदेमंद है?

  • GRAPHICAL RENDERING – हमलावर कभी-कभी किसी संदेश के पूरे या कुछ भाग को ग्राफ़िकल चित्र के रूप में प्रस्तुत करके फ़िशिंग सुरक्षा से आगे निकलने में सक्षम होते हैं। फ़िशिंग ईमेल में अक्सर पाए जाने वाले कुछ शब्द या वाक्यांश कुछ सुरक्षा सॉफ़्टवेयर समाधानों द्वारा ईमेल में स्कैन किए जाते हैं। इसे दरकिनार करना और संदेश को एक छवि के रूप में प्रस्तुत करना
  • CHATBOTS – चैटबॉट्स। Attacker Artificial Intelligence द्वारा संचालित चैटबॉट का उपयोग करके फ़िशिंग ईमेल से स्पष्ट spelling और व्याकरण की गलतियों को खत्म करते हैं। जब फ़िशिंग ईमेल एआई चैटबॉट्स के माध्यम से भेजे जाते हैं, तो फ़िशिंग संदेश अधिक प्रामाणिक और refined दिखाई दे सकता है, जिससे इसे पहचानना अधिक कठिन हो जाता है।
  • AI VOICE GENERATOR – AI स्पीच जनरेटिंग सॉफ्टवेयर का उपयोग करके हमलावर फोन पर बातचीत के दौरान परिवार के सदस्य या personal authority की तरह लग सकते हैं। इससे फ़िशिंग प्रयास को अधिक व्यक्तित्व मिलता है और उसके सफल होने की संभावना बढ़ जाती है। पीड़ित के बॉस या उनके परिवार के किसी सदस्य का उपयोग हमलावरों को आवाज का नमूना प्रदान करने के लिए एक छोटे ऑडियो क्लिप के रूप में किया जा सकता है।

WAYS TO AVOID BEING PHISHED – फ़िशिंग से बचने के तरीके

फ़िशिंग संदेशों को अंतिम उपयोगकर्ताओं तक पहुंचने से रोकने में मदद के लिए सुरक्षा नियंत्रण में निम्नलिखित उपकरण जोड़े जाने चाहिए:

  • वायरस के लिए प्रोग्राम.
  • नेटवर्क और डेस्कटॉप के लिए फ़ायरवॉल.
  • मैलवेयर हटाने का कार्यक्रम.
  • वेब ब्राउज़र एक एंटीफ़िशिंग टूलबार एकीकृत के साथ आते हैं।
  • ईमेल फ़िल्टरिंग गेटवे।
  • ऑनलाइन सुरक्षा के लिए प्रवेश द्वार.
  • स्पैम के लिए फ़िल्टर करें.
  • माइक्रोसॉफ्ट जैसे निर्माताओं से फ़िशिंग सुरक्षा।

EXAMPLES OF PHISHING – फ़िशिंग के उदाहरण

फ़िशिंग योजनाएँ कई अलग-अलग रूप ले सकती हैं। फ़िशिंग करने के लिए धोखेबाज़ों द्वारा उपयोग की जाने वाली कुछ अधिक आधुनिक तकनीकों के बारे में जागरूक होने से, उपयोगकर्ता सतर्क, सुरक्षित और अच्छी तरह से तैयार रह सकते हैं। हाल के Phishing attack घोटालों के कुछ उदाहरण निम्नलिखित हैं।

SCAMS INVOLVING DIGITAL PAYMENTS – डिजिटल भुगतान से जुड़े घोटाले

ये धोखाधड़ी तब होती है जब जाने-माने भुगतान ऐप्स और वेबसाइटों को फ़िशिंग पीड़ितों द्वारा महत्वपूर्ण जानकारी प्रदान करने के लिए धोखा दिया जाता है। इस धोखाधड़ी में एक फिशर खुद को पेपाल, वेनमो या वाइज जैसे ऑनलाइन भुगतान प्रदाता के रूप में प्रस्तुत करता है।

ये हमले आम तौर पर ईमेल के माध्यम से किए जाते हैं, जिसमें पीड़ित को एक प्रतिष्ठित भुगतान प्रदाता होने का दावा करने वाले धोखाधड़ी वाले ईमेल खाते द्वारा लॉगिन क्रेडेंशियल और अन्य व्यक्तिगत जानकारी की पुष्टि करने के लिए कहा जाता है। हमलावर आम तौर पर दावा करता है कि उपयोगकर्ता के खाते की समस्या को ठीक करने के लिए इस डेटा की आवश्यकता है। इन Phishing attack प्रयासों में अक्सर एक लिंक होता है जो एक नकली स्पूफ वेबसाइट की ओर ले जाता है।

पेपाल ने अपने उपयोगकर्ताओं को Phishing attack के लिए तैयार रहने के लिए शैक्षिक सामग्री जारी की है, क्योंकि कंपनी इन चिंताओं से अवगत है।

यदि किसी उपयोगकर्ता को फ़िशिंग ईमेल की पहचान करने का तरीका स्पष्ट नहीं है, जो ऑनलाइन भुगतान घोटाला होने का दावा करता है, तो देखने के लिए कुछ संकेतक हैं। सामान्यतया, PayPal जैसे दिखने वाले फ़िशिंग ईमेल में निम्नलिखित पाया जा सकता है:

ये भी पढ़े:

Cyber Security क्या है इससे कैसे बच सकते है?

  • वे संदिग्ध अभिवादन के साथ शुरुआत कर सकते हैं जिसमें पीड़ित का नाम छोड़ दिया जाता है। Paypal के आधिकारिक ईमेल आमतौर पर विक्रेताओं को नाम या कंपनी शीर्षक से संदर्भित करते हैं। इस उद्योग में, Phishing Attack आम तौर पर “प्रिय उपयोगकर्ता” से शुरू होते हैं या इसमें एक ईमेल पता शामिल होता है।
  • कुछ घोटालेबाज अपने संभावित पीड़ितों को सूचित करते हैं कि Paypal और अन्य ऑनलाइन payment providers पर उनके accounts suspended होने वाले हैं। कुछ उपभोक्ता दावा करते हैं कि उन्हें अनजाने में अधिक payment किया गया था और अब उन्हें एक फर्जी खाते में amount वापस करनी होगी।
  • PayPal कभी भी अपने उपभोक्ताओं को डाउनलोडिंग अटैचमेंट प्रदान नहीं करता है। उपयोगकर्ताओं को PayPal या अन्य समान सेवाओं से प्राप्त ईमेल से अटैचमेंट डाउनलोड नहीं करना चाहिए।

यदि किसी विक्रेता को इनमें से कोई ईमेल प्राप्त होता है, तो उन्हें अपने ब्राउज़र के किसी अन्य टैब या विंडो में अपना भुगतान पृष्ठ खोलकर अपने खाते पर सूचनाओं की जांच करनी चाहिए। यह वहां इंगित करेगा कि क्या किसी विक्रेता को अधिक भुगतान किया गया है या उसे निलंबित किए जाने का खतरा है। इसके अलावा, PayPal अनुरोध करता है कि उपयोगकर्ता किसी भी संदिग्ध गतिविधि की रिपोर्ट करें ताकि वह इन प्रयासों पर नज़र रख सके और अपने उपयोगकर्ताओं को धोखाधड़ी से बचा सके।

CONCLUSION

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here