नई दिल्ली: भारत का सबसे बाद बैक भारतीय स्टेट बैंक (SBI) एसबीआई ने अपने ग्राहकों को सबसे आसान साइबर अटैक फ़िशिंग हमले से सावधान रहने के लिए एक चेतावनी जारी की है। भारत की नोडल साइबर सिक्योरिटी एजेंसी CERT-In ने साइबर अपराधियों द्वारा दिल्ली, मुंबई, हैदराबाद, चेन्नई और अहमदाबाद जैसे प्रमुख शहरों पर साइबर अटैक से सावधान रहने को कहा है। CERT-In ने हैकर्स के कब्जे में 2 मिलियन से अधिक ईमेल आईडी होने का दावा किया है। फिशिंग अटैक क्या होता है और साइबर अटैक क्या होता है, जानिए फिशिंग साइबर अटैक क्या है और इसकी पूरी जानकारी....
स्टेट बैंक ऑफ इंडिया (SBI) एसबीआई ने कहा कि उपभोक्ताओं को फ़िशिंग हमले से सावधान रहने की जरूरत है। 'Free COVID-19 Testing' जैसे विषय के साथ '[email protected]' से ईमेल प्राप्त हो सकता है। कंप्यूटर इमरजेंसी रिस्पांस टीम - इंडिया (CERT-In) भारत की नोडल साइबर सुरक्षा एजेंसी के सलाहकार ने चेतावनी दी है कि साइबर अपराधियों को स्थानीय अधिकारियों की आड़ में इन आईडी को फ़िशिंग ईमेल भेजने की उम्मीद है जो सरकार द्वारा वित्त पोषित COVID-19 समर्थन पहलों के प्रभारी हैं।
यह पीएम-कार्स फंड से लेकर ईपीएफ अंशदान तक कुछ भी हो सकता है। भारतीय साइबर सुरक्षा एजेंसी CERT-In ने अपने नोटिस में कहा है कि इस तरह के ईमेल फर्जी वेबसाइटों की ओर प्राप्तकर्ता को भेजने के लिए डिज़ाइन किए गए हैं, जहां उन्हें दुर्भावनापूर्ण फ़ाइलों को डाउनलोड करने या व्यक्तिगत और वित्तीय जानकारी दर्ज करने में धोखा दिया जाता है।
फिशिंग क्या है (What Is Phishing in Hindi)
फिशिंग एक तरह का साइबर क्राइम होता है, जिसमें ईमेल और कम्पूटर में खोली गई वेबसाइटों का उपयोग करके आपकी पर्सनल डिटेल चोरी की जाती है। इन डिटेल्स के माध्यम से साइबर अपराधी आपकी पर्सनल इनफॉर्मेशन जैसे कि बैंकिंग पासवर्ड, क्रेडिट कार्ड की जानकारी और डेबिट कार्ड के पासवर्ड आदि प्राप्त करता है। फिर इनके फिशिंग ईमेल द्वारा टेक्स्ट मैसेज भेजकर उपभोक्ता से संपर्क करना और फिर आपकी पूरी अकाउंट डिटेल और आपका सारा डाटा चोरी हो जाता है।
फिशिंग का मतलब क्या है ? What Is Phishing Meaning in Hindi
फ़िशिंग का सीधा अर्थ है मछली पकड़ना, साइबर क्राइम की दुनिया में यह सबसे आसान तरीका है, आपकी बैंकिंग डिटेल्स चोरी करने का। इसमें फिशर्स पर्सनल इनफॉर्मेशन चोरी कर आपका अकाउंट खाली कर देते हैं।
फ़िशिंग के प्रकार Types of Phishing in Hindi
देश और दुनिया में हर संस्थान अपने उपभोक्ताओं को अपनी पर्सनल डिटेल किसी के साथ भी शेयर नहीं करने की सलाह देता है, फिर भी कुछ लोग धोखाधड़ी के जाल में फंस जाते हैं। फ़िशिंग अटैक को कुछ भागों में बांटा गया है, जो इस प्रकार है...
1)स्पीयर फिशिंग Spear Phishing:
स्पीयर फिशिंग विशिष्ट उपभोक्ता या कम्पनी पर किया जाता है, इसमें इन दोनों की वैधता पता लगाने का काम किया जाता है।
2) व्हालिंग अटैक Whaling Attacks:
व्हालिंग अटैक में ऑर्गनाइज़ेशन के बड़े अधिकारियों की डेटल और पैसे चोरी किए जाते हैं।
3) फार्मिंग अटैक Pharming Attacks:
फार्मिंग अटैक DNS कैश पोइज़निंग पर डिपेंड होता है, यह वेबसाइट के माध्यम से यूजर्स की डिटेल चोरी करता है।
4) वॉइस फिशिंग Voice Phishing:
वॉइस फ़िशिंग क्राइम में लोग वॉइस कॉल के द्वारा आपके डेबिट/क्रेडिट कार्ड की जानकारी मांगते हैं।
5) एसएमएस फिशिंग SMS Phishing:
एसएमएस फिशिंग में आपको टेक्स्ट मैसेजिंग में किसी लिंक पर क्लिक करने को कहा जाता है।
फ़िशिंग हमला की पहचान कैसे करें (How To Identify Phishing Attacks)
फ़िशिंग हमला की पहचान करना बहुत ही सरल है, क्योंकि आपका बैंक आपकी पर्सनल डेटल आपसे फोन पर नहीं मांगता। इसलिए यदि आपके पास कोई ईमेल, वॉइस कॉल, एसएमएस के जरिये कोई भी जानकारी मांगी जाए, तो समझ जाएं कि यह एक तरह का फिशिंग है, जिससे आपको सावधान रहना है और अपनी डिटेल किसी को नहीं देनी है।
साइबर हमला क्या है? (What is a Cyber Attack?)
साइबर हमला एक या एक से अधिक कंप्यूटर या नेटवर्क के खिलाफ एक या अधिक कंप्यूटरों का उपयोग करके साइबर अपराधियों द्वारा किया गया हमला है। एक साइबर हमला दुर्भावनापूर्ण रूप से कंप्यूटर को निष्क्रिय कर सकता है, डेटा चोरी कर सकता है, या अन्य हमलों के लिए लॉन्च किए गए बिंदु के रूप में एक टूटे हुए कंप्यूटर का उपयोग कर सकता है। साइबर अपराधी अन्य तरीकों के अलावा मैलवेयर, फ़िशिंग, रैनसमवेयर, सेवा से वंचित सहित साइबर हमले शुरू करने के लिए कई तरीकों का उपयोग करते हैं।
साइबर हमले के प्रकार (cyber attack types)
- डेनियल-ऑफ-सर्विस (DoS) और वितरित इनकार-ऑफ-सर्विस (DDoS) हमले
- मैन-इन-द-बीच (मिटम) हमला
- फ़िशिंग और भाला फ़िशिंग हमले
- ड्राइव-बाय अटैक
- पासवर्ड का हमला
- एसक्यूएल इंजेक्शन हमला
- क्रॉस-साइट स्क्रिप्टिंग (XSS) हमला
- इव्सड्रोपिंग हमला
- जन्मदिन का हमला
- मालवेयर अटैक
साइबर हमला समाचार (Cyber Attack)
आपराधिक इरादे के आधार पर, एक साइबर हमला यादृच्छिक या लक्षित हो सकता है। साइबर हमले के तरीके संगठनों को अपनी सुरक्षा से दूर करने के लिए घुमाते हुए प्रतीत होते हैं। 2017 में मेगा रैंसमवेयर के हमलों ने समाचार को WannaCry और NotPetya पर हावी कर दिया। क्रिप्टोमिनर्स के हमलों ने 2018 में सुर्खियां बटोरीं। 2019 में, साइबर हमले एक मिश्रित बैग रहे हैं। फ़िशिंग ईमेल साइबर हमले ज्यादातर संगठनों के लिए एक निरंतर कांटा बने हुए हैं।
रैंसमवेयर का पुनरुत्थान बढ़ रहा है। छोटे स्थानीय और राज्य सरकार की एजेंसियां, मुख्य रूप से अमेरिका के दक्षिणपूर्वी हिस्से में, शिकार हुई हैं। डिजिटल परिवर्तन क्लाउड कंप्यूटिंग, क्लाउड-आधारित सदस्यता सेवाओं और मोबाइल उपकरणों की सर्वव्यापकता को अपनाने के साथ पारंपरिक नेटवर्क परिधि को मिटा रहा है। वैक्टर के इस बढ़े हुए विस्तार का अर्थ है किसी संगठन पर हमला करने के अधिक तरीके।
साइबर हमले के रुझान
अपनी मध्य-वर्ष की रिपोर्ट में, चेक प्वाइंट रिसर्च, वर्ष के विश्लेषण को मालवेयर समग्र, रैनसमवेयर और मोबाइल और क्लाउड मैलवेयर में वैश्विक साइबर हमले के रुझानों को देखते हुए आज तक प्रदान करता है।
TREND 1: सॉफ्टवेयर आपूर्ति श्रृंखला वृद्धि पर हमला
सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों में, खतरा अभिनेता आम तौर पर किसी सॉफ़्टवेयर बिल्डिंग पर निर्भर करता है और बिल्डिंग ब्लॉक में से एक को संक्रमित करके वैध सॉफ़्टवेयर में दुर्भावनापूर्ण कोड स्थापित करता है। भौतिक श्रृंखलाओं की तरह, सॉफ्टवेयर आपूर्ति श्रृंखलाएं केवल सबसे कमजोर कड़ी के रूप में मजबूत होती हैं।
सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को दो मुख्य श्रेणियों में विभाजित किया जा सकता है। पहले में लक्षित हमले शामिल हैं जो अच्छी तरह से परिभाषित लक्ष्यों से समझौता करते हैं, सबसे कमजोर लिंक की तलाश में अपने आपूर्तिकर्ताओं की सूची को स्कैन करते हैं जिसके माध्यम से वे प्रवेश कर सकते हैं। शैडो हैमर हमले में, हमलावरों ने ASUS लाइव अपडेट उपयोगिता में दुर्भावनापूर्ण कोड को आरोपित किया, जिससे उन्हें बाद में लाखों दूरस्थ कंप्यूटरों पर बैकस्ट स्थापित करने की अनुमति मिली।
दूसरी श्रेणी में, सॉफ़्टवेयर आपूर्ति श्रृंखलाओं का उपयोग बड़े वितरण त्रिज्या के साथ कमजोर लिंक का पता लगाकर अधिक से अधिक पीड़ितों के साथ समझौता करने के लिए किया जाता है। ऐसा ही एक उदाहरण ई-कॉमर्स प्लेटफॉर्म प्रिज्मवेब पर हमला है, जिसमें हमलावरों ने ऑनलाइन स्टोर द्वारा उपयोग किए जाने वाले साझा जावास्क्रिप्ट पुस्तकालयों में एक स्किमिंग स्क्रिप्ट को इंजेक्ट किया, जिससे उत्तरी अमेरिका में 200 से अधिक ऑनलाइन विश्वविद्यालय परिसर स्टोर प्रभावित हुए।
TREND 2: साइबर फिशिंग इवेसिव फिशिंग
फ़िशिंग एक लोकप्रिय साइबर हमला तकनीक है और साइबर सुरक्षा के लिए सबसे बड़े खतरों में से एक है। उन्नत सामाजिक रूप से इंजीनियर चोरी की तकनीक अधिक आवृत्ति के साथ ईमेल सुरक्षा समाधानों को दरकिनार कर रही है। चेक प्वाइंट के शोधकर्ताओं ने सेक्स्टॉर्शन स्कैम और व्यापार ईमेल समझौता (बीईसी) में वृद्धि का उल्लेख किया, पीड़ितों को ब्लैकमेल के माध्यम से भुगतान करने या दूसरों को प्रतिरूपित करने की धमकी दी। दोनों घोटालों में आवश्यक रूप से दुर्भावनापूर्ण अटैचमेंट या लिंक नहीं होते हैं, जिससे उनका पता लगाना कठिन हो जाता है। अप्रैल में, एक सेक्स्टॉरोशन अभियान सीआईए से होने का दिखावा करने के रूप में चला गया और पीड़ितों को चेतावनी दी कि उन्हें बाल पोर्नोग्राफ़ी के वितरण और भंडारण का संदेह था। हैकर्स ने बिटकॉइन में $ 10,000 की मांग की।
इवेसिव ईमेल स्कैम में एन्कोडेड ईमेल, ईमेल बॉडी में एम्बेड किए गए संदेश की छवियां, साथ ही जटिल अंतर्निहित कोड शामिल हैं जो HTML चरित्र संस्थाओं के साथ सादे पाठ पत्रों को मिलाते हैं। सोशल इंजीनियरिंग तकनीक, साथ ही ईमेल की सामग्री को अलग-अलग और वैयक्तिकृत करते हुए, अतिरिक्त तरीके हैं जो स्कैमर को एंटी-स्पैम फ़िल्टर के रडार के तहत सुरक्षित रूप से उड़ान भरने और अपने लक्ष्य के इनबॉक्स तक पहुंचने की अनुमति देते हैं।
TREND 3: क्लाउड
सार्वजनिक क्लाउड परिवेशों की बढ़ती लोकप्रियता के कारण इन प्लेटफार्मों के भीतर संसाधनों और संवेदनशील डेटा को लक्षित करने वाले साइबर हमलों में वृद्धि हुई है। 2018 की प्रवृत्ति के बाद, गलत संसाधनों और क्लाउड संसाधनों के खराब प्रबंधन जैसी प्रथाएं 2019 में क्लाउड पारिस्थितिकी तंत्र के लिए सबसे प्रमुख खतरा बनी रहीं। नतीजतन, अधीन क्लाउड परिसंपत्तियों ने हमलों की एक विस्तृत श्रृंखला का अनुभव किया है। इस वर्ष, दुनिया भर में संगठनों द्वारा अनुभव की गई बड़ी संख्या में डेटा चोरी की घटनाओं और हमलों के लिए क्लाउड वातावरण को गलत बनाना एक मुख्य कारण था।
क्लाउड क्रिप्टोमिंग अभियान उन्नत तकनीकों के साथ बढ़े हैं जो बुनियादी क्लाउड सुरक्षा उत्पादों को विकसित करने में सक्षम हैं। डॉकर्स होस्ट को उजागर कर दिया गया है और प्रतियोगियों के क्रिप्टोमाइनिंग अभियान क्लाउड में बंद हो रहे हैं। चेक प्वाइंट शोधकर्ताओं ने सार्वजनिक क्लाउड इन्फ्रास्ट्रक्चर के खिलाफ शोषण की संख्या में वृद्धि देखी।
TREND 4: मोबाइल डिवाइस पर हमला
दुर्भावनापूर्ण अभिनेता सामान्य खतरे के परिदृश्य से मोबाइल दुनिया के लिए तकनीकों और तरीकों का पालन कर रहे हैं। बैंकिंग मालवेयर ने 2018 की तुलना में 50% से अधिक की तेज वृद्धि के साथ मोबाइल साइबर क्षेत्र में सफलतापूर्वक घुसपैठ की है। बैंकों के मोबाइल अनुप्रयोगों के बढ़ते उपयोग के संबंध में, मैलवेयर भुगतान डेटा चोरी करने में सक्षम है, पीड़ितों के बैंक खातों में साख और धनराशि है। सामान्य खतरे के परिदृश्य से धकेल दिया गया और एक बहुत ही सामान्य मोबाइल खतरा बन गया।
एक साइबर हमला निवारक है (A Cyber Attack is Preventable)
साइबर हमलों की व्यापकता के बावजूद, चेक प्वाइंट डेटा बताता है कि 99 प्रतिशत उद्यमों को प्रभावी रूप से संरक्षित नहीं किया गया है। हालांकि, एक साइबर हमला रोकने योग्य है। साइबर डिफेंस की कुंजी एक एंड-टू-एंड साइबर सिक्योरिटी आर्किटेक्चर है जो बहुस्तरीय है और सभी नेटवर्क, एंडपॉइंट और मोबाइल डिवाइस और क्लाउड को फैलाता है। सही वास्तुकला के साथ, आप कई सुरक्षा परतों के प्रबंधन को मजबूत कर सकते हैं, कांच के एक ही फलक के माध्यम से नियंत्रण नीति बना सकते हैं। यह आपको सभी नेटवर्क वातावरणों, क्लाउड सेवाओं और मोबाइल इन्फ्रास्ट्रक्चर में घटनाओं को सहसंबंधित करने देता है।
आर्किटेक्चर के अलावा, साइबर हमलों को रोकने के लिए चेक प्वाइंट इन महत्वपूर्ण उपायों की सिफारिश करता है:
- सुरक्षा स्वच्छता बनाए रखें
- पता लगाने पर रोकथाम चुनें
- सभी अटैक वैक्टर को कवर करें
- सबसे उन्नत प्रौद्योगिकियों को लागू करें
- अपनी धमकी की खुफिया जानकारी रखें
अगर आपको ऐसे फिशिंग ईमेल मिले तो क्या करें
- अवांछित ईमेल में अटैचमेंट न खोलें, भले ही वे आपकी संपर्क सूची में लोगों से आए हों और कभी भी किसी अवांछित ईमेल में शामिल URL पर क्लिक न करें।
- यदि यह एक वास्तविक URL लगता है, तो ईमेल को बंद करें और सीधे ब्राउज़र के माध्यम से संगठन की वेबसाइट पर जाएं और जांचें कि क्या ऐसी जानकारी वहां दी गई है।
- अनुलग्नक अपेक्षित होने पर भी ई-मेल अटैचमेंट खोलते समय सावधानी बरतें और प्रेषक को पता चल जाए।
- संदिग्ध ई-मेल अनुलग्नकों के लिए स्कैन करें और निकालें; यह सुनिश्चित करना है कि स्कैन किया गया अनुलग्नक इसका "सही फ़ाइल प्रकार" है (यानी एक्सटेंशन फ़ाइल हेडर से मेल खाता है)।
- फ़िशिंग डोमेन, ईमेल, वेबसाइटों और अपरिचित ईमेल भेजने वालों में वर्तनी की त्रुटियों के बारे में सावधान रहें।
- ई-मेल से सावधान रहें, कोविद -19 परीक्षण, सहायता, पुरस्कार जीतने, पुरस्कार, कैशबैक ऑफ़र जैसे विशेष ऑफ़र प्रदान करने वाले लिंक। "
- लॉगिंग क्रेडेंशियल प्रदान करने या लिंक पर क्लिक करने से पहले URL की अखंडता की जांच करें।
- अज्ञात और अपरिचित वेबसाइटों के लिए व्यक्तिगत जानकारी सबमिट न करें।
- अपने एंटी-वायरस, फ़ायरवॉल और फ़िल्टरिंग सेवाओं में सुरक्षित ब्राउज़िंग टूल, फ़िल्टरिंग टूल का उपयोग करने पर विचार करें।
- नवीनतम स्पैम मेल सामग्रियों के साथ स्पैम फ़िल्टर अपडेट करें। किसी भी असामान्य गतिविधि या हमले की सूचना तुरंत @ cert-in.org.in पर दी जानी चाहिए।