इंटरनेट पर पैसे और व्यक्तिगत डेटा की सुरक्षा कैसे करें

2024 लेखक: Malcolm Clapton | [email protected]. अंतिम बार संशोधित: 2023-12-17 03:57

आप जितने बेहतर जानकार होंगे, आपको धोखा देना उतना ही मुश्किल होगा। यहां वह सब कुछ है जो आपको Microsoft के साथ फ़िशिंग के बारे में जानने की आवश्यकता है।

खुद को डिजिटल खतरों से कैसे बचाएं, इस बारे में और भी टिप्स पाएं।

फ़िशिंग क्या है और यह कितना ख़तरनाक है

फ़िशिंग एक सामान्य प्रकार की साइबर धोखाधड़ी है, जिसका उद्देश्य खातों से समझौता करना और उन्हें हाईजैक करना, क्रेडिट कार्ड की जानकारी या किसी अन्य गोपनीय जानकारी की चोरी करना है।

अक्सर, साइबर अपराधी ई-मेल का उपयोग करते हैं: उदाहरण के लिए, वे एक प्रसिद्ध कंपनी की ओर से पत्र भेजते हैं, जो एक लाभदायक प्रचार के बहाने उपयोगकर्ताओं को अपनी नकली वेबसाइट पर आकर्षित करते हैं। पीड़ित नकली को नहीं पहचानता है, अपने खाते से लॉगिन और पासवर्ड दर्ज करता है, और इस प्रकार उपयोगकर्ता स्वयं डेटा को स्कैमर को स्थानांतरित करता है।

कोई भी पीड़ित हो सकता है। स्वचालित फ़िशिंग ईमेल अक्सर व्यापक दर्शकों (सैकड़ों हजारों या लाखों पते) पर लक्षित होते हैं, लेकिन एक विशिष्ट लक्ष्य के उद्देश्य से हमले भी होते हैं। अक्सर, ये लक्ष्य शीर्ष प्रबंधक या अन्य कर्मचारी होते हैं जिनके पास कॉर्पोरेट डेटा तक विशेषाधिकार प्राप्त होता है। इस व्यक्तिगत फ़िशिंग रणनीति को व्हेलिंग कहा जाता है, जिसका अनुवाद "व्हेल पकड़ने" के रूप में होता है।

फ़िशिंग हमलों के परिणाम विनाशकारी हो सकते हैं। जालसाज आपके व्यक्तिगत पत्राचार को पढ़ सकते हैं, आपके संपर्कों के सर्कल में फ़िशिंग संदेश भेज सकते हैं, बैंक खातों से पैसे निकाल सकते हैं, और आम तौर पर आपकी ओर से व्यापक अर्थों में कार्य कर सकते हैं। यदि आप कोई व्यवसाय चलाते हैं, तो जोखिम और भी अधिक होता है। फिशर कॉर्पोरेट रहस्य चुराने, संवेदनशील फाइलों को नष्ट करने, या आपके ग्राहकों के डेटा को लीक करने, कंपनी की प्रतिष्ठा को नुकसान पहुंचाने में सक्षम हैं।

एंटी-फ़िशिंग वर्किंग ग्रुप की फ़िशिंग गतिविधि रुझान रिपोर्ट के अनुसार, अकेले 2019 की अंतिम तिमाही में, साइबर सुरक्षा विशेषज्ञों ने 162,000 से अधिक धोखाधड़ी वाली वेबसाइटों और 132,000 ईमेल अभियानों की खोज की। इस दौरान दुनियाभर की करीब एक हजार कंपनियां फिशिंग का शिकार हो चुकी हैं। यह देखा जाना बाकी है कि कितने हमलों का पता नहीं चला।

विकास और फ़िशिंग के प्रकार

"फ़िशिंग" शब्द अंग्रेजी शब्द "फ़िशिंग" से आया है। इस प्रकार का घोटाला वास्तव में मछली पकड़ने जैसा दिखता है: हमलावर नकली संदेश या लिंक के रूप में चारा फेंकता है और उपयोगकर्ताओं के काटने की प्रतीक्षा करता है।

लेकिन अंग्रेजी में फ़िशिंग को थोड़ा अलग तरीके से लिखा जाता है: फ़िशिंग। अक्षर f के स्थान पर Digraph ph का प्रयोग किया जाता है। एक संस्करण के अनुसार, यह फोनी शब्द ("धोखेबाज", "धोखेबाज") का संदर्भ है। दूसरी ओर - शुरुआती हैकर्स के उपसंस्कृति के लिए, जिन्हें फ़्रीकर्स ("फ़्रीकर्स") कहा जाता था।

ऐसा माना जाता है कि फ़िशिंग शब्द का पहली बार सार्वजनिक रूप से उपयोग 1990 के दशक के मध्य में यूज़नेट समाचार समूहों में किया गया था। उस समय, स्कैमर्स ने अमेरिकी इंटरनेट प्रदाता AOL के ग्राहकों को लक्षित करते हुए पहला फ़िशिंग हमला किया था। हमलावरों ने संदेश भेजकर कंपनी के कर्मचारियों के रूप में अपनी साख की पुष्टि करने के लिए कहा।

इंटरनेट के विकास के साथ, नए प्रकार के फ़िशिंग हमले सामने आए हैं। जालसाजों ने पूरी वेबसाइटों को नकली बनाना शुरू कर दिया और विभिन्न चैनलों और संचार सेवाओं में महारत हासिल कर ली। आज, इस प्रकार के फ़िशिंग को प्रतिष्ठित किया जा सकता है।

• ईमेल फ़िशिंग। जालसाज किसी जानी-मानी कंपनी या चुने हुए शिकार के परिचित के पते के समान डाक का पता दर्ज करते हैं और उससे पत्र भेजते हैं। वहीं, प्रेषक, डिजाइन और सामग्री के नाम से, एक नकली पत्र लगभग मूल के समान हो सकता है। केवल अंदर एक नकली साइट, संक्रमित अटैचमेंट या गोपनीय डेटा भेजने का सीधा अनुरोध करने का लिंक है।
• एसएमएस फ़िशिंग (स्मिशिंग)। यह योजना पिछले एक के समान है, लेकिन ईमेल के बजाय एसएमएस का उपयोग किया जाता है।ग्राहक को एक अज्ञात (आमतौर पर संक्षिप्त) नंबर से गोपनीय डेटा के अनुरोध के साथ या नकली साइट के लिंक के साथ एक संदेश प्राप्त होता है। उदाहरण के लिए, एक हमलावर अपना परिचय बैंक के रूप में दे सकता है और सत्यापन कोड का अनुरोध कर सकता है जो आपको पहले प्राप्त हुआ था। वास्तव में, स्कैमर्स को आपके बैंक खाते को हैक करने के लिए कोड की आवश्यकता होती है।
• सोशल मीडिया फ़िशिंग। तत्काल दूतों और सोशल मीडिया के प्रसार के साथ, इन चैनलों पर भी फ़िशिंग हमलों की बाढ़ आ गई है। जाने-माने संगठनों या आपके दोस्तों के नकली या छेड़छाड़ किए गए खातों के माध्यम से हमलावर आपसे संपर्क कर सकते हैं। अन्यथा, हमले का सिद्धांत पिछले वाले से अलग नहीं है।
• फोन फ़िशिंग (विशिंग)। स्कैमर्स केवल टेक्स्ट संदेशों तक सीमित नहीं हैं और आपको कॉल कर सकते हैं। इस उद्देश्य के लिए अक्सर इंटरनेट टेलीफोनी (वीओआईपी) का उपयोग किया जाता है। कॉलर प्रतिरूपण कर सकता है, उदाहरण के लिए, आपकी भुगतान प्रणाली की सहायता सेवा का एक कर्मचारी और वॉलेट तक पहुंचने के लिए डेटा का अनुरोध करता है - माना जाता है कि सत्यापन के लिए।
• फ़िशिंग खोजें। आप सीधे खोज परिणामों में फ़िशिंग का सामना कर सकते हैं। यह उस लिंक पर क्लिक करने के लिए पर्याप्त है जो नकली साइट की ओर जाता है और उस पर व्यक्तिगत डेटा छोड़ देता है।
• पॉप-अप फ़िशिंग। हमलावर अक्सर पॉप-अप का उपयोग करते हैं। एक संदिग्ध संसाधन पर जाकर, आप एक बैनर देख सकते हैं जो कुछ लाभ का वादा करता है - उदाहरण के लिए, छूट या मुफ्त उत्पाद - एक प्रसिद्ध कंपनी की ओर से। इस लिंक पर क्लिक करते ही आप साइबर अपराधियों द्वारा नियंत्रित साइट पर पहुंच जाएंगे।
• खेती। सीधे तौर पर फ़िशिंग से संबंधित नहीं है, लेकिन खेती भी एक बहुत ही सामान्य हमला है। इस मामले में, हमलावर मूल साइटों के बजाय नकली साइटों पर उपयोगकर्ता को स्वचालित रूप से पुनर्निर्देशित करके डीएनएस डेटा को खराब कर देता है। पीड़ित को कोई भी संदिग्ध संदेश और बैनर नहीं दिखाई देता है, जिससे हमले की प्रभावशीलता बढ़ जाती है।

फ़िशिंग का विकास जारी है। Microsoft ने 2019 में खोजी गई उसकी Microsoft 365 एडवांस्ड थ्रेट प्रोटेक्शन एंटी-फ़िशिंग सेवा की नई तकनीकों के बारे में बात की। उदाहरण के लिए, स्कैमर्स ने खोज परिणामों में दुर्भावनापूर्ण सामग्री को बेहतर ढंग से छिपाने के लिए सीखा है: वैध लिंक शीर्ष पर प्रदर्शित होते हैं, जो उपयोगकर्ता को कई रीडायरेक्ट के माध्यम से फ़िशिंग साइटों पर ले जाते हैं।

इसके अलावा, साइबर अपराधियों ने गुणात्मक रूप से नए स्तर पर फ़िशिंग लिंक और ईमेल की सटीक प्रतियां स्वचालित रूप से उत्पन्न करना शुरू कर दिया, जो उन्हें उपयोगकर्ताओं को अधिक प्रभावी ढंग से धोखा देने और सुरक्षा उपायों को बायपास करने की अनुमति देता है।

बदले में, Microsoft ने नए खतरों की पहचान करना और उन्हें रोकना सीख लिया है। कंपनी ने Microsoft 365 पैकेज बनाने के लिए साइबर सुरक्षा के अपने सभी ज्ञान का उपयोग किया है। यह आपके व्यवसाय के लिए आवश्यक समाधान प्रदान करता है, जबकि यह सुनिश्चित करता है कि फ़िशिंग सहित आपकी जानकारी प्रभावी रूप से सुरक्षित है। Microsoft 365 एडवांस्ड थ्रेट प्रोटेक्शन ईमेल में दुर्भावनापूर्ण अटैचमेंट और संभावित हानिकारक लिंक को ब्लॉक करता है, रैंसमवेयर और अन्य खतरों का पता लगाता है।

फ़िशिंग से खुद को कैसे बचाएं

अपनी तकनीकी साक्षरता में सुधार करें। जैसा कि कहा जाता है, जिसे पूर्वाभास होता है वह सशस्त्र होता है। सूचना सुरक्षा का स्वयं अध्ययन करें या सलाह के लिए विशेषज्ञों से सलाह लें। यहां तक कि डिजिटल स्वच्छता की मूल बातों का ठोस ज्ञान होने से भी आप बहुत सी परेशानी से बच सकते हैं।

सावधान रहे। अज्ञात वार्ताकारों के पत्रों में लिंक या खुले अनुलग्नकों का पालन न करें। कृपया प्रेषकों के संपर्क विवरण और आपके द्वारा देखी जाने वाली साइटों के पते की सावधानीपूर्वक जांच करें। व्यक्तिगत जानकारी के अनुरोधों का जवाब न दें, भले ही संदेश विश्वसनीय लगे। यदि कंपनी का कोई प्रतिनिधि आपसे जानकारी मांगता है, तो बेहतर होगा कि आप उनके कॉल सेंटर पर कॉल करें और स्थिति की रिपोर्ट करें। पॉपअप पर क्लिक न करें।

पासवर्ड का इस्तेमाल सोच-समझकर करें। प्रत्येक खाते के लिए एक अद्वितीय और मजबूत पासवर्ड का प्रयोग करें। उन सेवाओं की सदस्यता लें जो उपयोगकर्ताओं को चेतावनी देती हैं कि यदि उनके खातों के पासवर्ड वेब पर दिखाई देते हैं, और एक्सेस कोड के साथ छेड़छाड़ होने पर तुरंत उसे बदल दें।

बहु-कारक प्रमाणीकरण सेट करें। यह फ़ंक्शन अतिरिक्त रूप से खाते की सुरक्षा करता है, उदाहरण के लिए, वन-टाइम पासवर्ड का उपयोग करना। इस मामले में, हर बार जब आप किसी नए डिवाइस से अपने खाते में लॉग इन करते हैं, तो पासवर्ड के अलावा, आपको एसएमएस के माध्यम से या किसी विशेष एप्लिकेशन में जेनरेट किया गया चार- या छह-वर्ण का कोड दर्ज करना होगा। यह बहुत सुविधाजनक नहीं लग सकता है, लेकिन यह दृष्टिकोण आपको 99% आम हमलों से बचाएगा। आखिरकार, यदि धोखेबाज पासवर्ड चुरा लेते हैं, तो भी वे सत्यापन कोड के बिना प्रवेश नहीं कर पाएंगे।

पासवर्ड रहित लॉगिन सुविधाओं का उपयोग करें। उन सेवाओं में, जहां संभव हो, आपको पासवर्ड के उपयोग को पूरी तरह से छोड़ देना चाहिए, उन्हें हार्डवेयर सुरक्षा कुंजियों के साथ बदलना चाहिए या स्मार्टफोन पर किसी एप्लिकेशन के माध्यम से प्रमाणीकरण करना चाहिए।

एंटीवायरस सॉफ़्टवेयर का उपयोग करें। अप-टू-डेट एंटीवायरस आंशिक रूप से आपके कंप्यूटर को मैलवेयर से बचाने में मदद करेगा जो फ़िशिंग साइटों पर रीडायरेक्ट करता है या लॉगिन और पासवर्ड चुराता है। लेकिन याद रखें कि आपकी मुख्य सुरक्षा अभी भी डिजिटल स्वच्छता नियमों का पालन करना और साइबर सुरक्षा अनुशंसाओं का पालन करना है।

यदि आप कोई व्यवसाय चलाते हैं

निम्नलिखित टिप्स व्यापार मालिकों और कंपनी के अधिकारियों के लिए भी सहायक होंगे।

कर्मचारियों को प्रशिक्षित करें। अधीनस्थों को समझाएं कि ईमेल और अन्य संचार चैनलों के माध्यम से किन संदेशों से बचना चाहिए और कौन सी जानकारी नहीं भेजी जानी चाहिए। कर्मचारियों को व्यक्तिगत उद्देश्यों के लिए कॉर्पोरेट मेल का उपयोग करने से रोकें। उन्हें पासवर्ड के साथ काम करने के तरीके के बारे में निर्देश दें। यह संदेश प्रतिधारण नीति पर भी विचार करने योग्य है: उदाहरण के लिए, सुरक्षा उद्देश्यों के लिए, आप एक निश्चित अवधि से पुराने संदेशों को हटा सकते हैं।

प्रशिक्षण फ़िशिंग हमलों का संचालन करें। यदि आप फ़िशिंग के प्रति अपने कर्मचारियों की प्रतिक्रिया का परीक्षण करना चाहते हैं, तो नकली हमले का प्रयास करें। उदाहरण के लिए, अपने जैसा डाक पता पंजीकृत करें, और इससे अधीनस्थों को पत्र भेजकर उनसे आपको गोपनीय डेटा प्रदान करने के लिए कहें।

एक विश्वसनीय डाक सेवा चुनें। मुफ्त ईमेल प्रदाता व्यावसायिक संचार के लिए बहुत कमजोर हैं। कंपनियों को केवल सुरक्षित कॉर्पोरेट सेवाओं का चयन करना चाहिए। उदाहरण के लिए, Microsoft Exchange मेल सेवा के उपयोगकर्ता, जो कि Microsoft 365 सुइट का हिस्सा है, को फ़िशिंग और अन्य खतरों से व्यापक सुरक्षा प्राप्त है। जालसाजों का मुकाबला करने के लिए, Microsoft हर महीने सैकड़ों अरबों ईमेल का विश्लेषण करता है।

एक साइबर सुरक्षा विशेषज्ञ को किराए पर लें। यदि आपका बजट अनुमति देता है, तो एक योग्य पेशेवर खोजें जो फ़िशिंग और अन्य साइबर खतरों से निरंतर सुरक्षा प्रदान करेगा।

अगर आप फ़िशिंग के शिकार हैं तो क्या करें?

यदि यह मानने का कारण है कि आपका डेटा गलत हाथों में चला गया है, तो तुरंत कार्य करें। वायरस के लिए अपने उपकरणों की जाँच करें और खाता पासवर्ड बदलें। बैंक स्टाफ को सूचित करें कि हो सकता है कि आपका भुगतान विवरण चोरी हो गया हो। यदि आवश्यक हो, तो संभावित रिसाव के बारे में ग्राहकों को सूचित करें।

ऐसी स्थितियों को दोबारा होने से रोकने के लिए, विश्वसनीय और आधुनिक सहयोग सेवाओं का चयन करें। अंतर्निहित सुरक्षा तंत्र वाले उत्पाद सबसे उपयुक्त हैं: यह यथासंभव सुविधाजनक रूप से काम करेगा और आपको डिजिटल सुरक्षा का जोखिम नहीं उठाना पड़ेगा।

उदाहरण के लिए, Microsoft 365 में स्मार्ट सुरक्षा सुविधाओं की एक श्रृंखला शामिल है, जिसमें अंतर्निहित जोखिम मूल्यांकन मॉडल, पासवर्ड रहित या बहु-कारक प्रमाणीकरण के साथ खातों और लॉगिन की सुरक्षा करना शामिल है, जिसके लिए अतिरिक्त लाइसेंस की आवश्यकता नहीं होती है।

इसके अलावा, सेवा जोखिम मूल्यांकन और स्थितियों की एक विस्तृत श्रृंखला को ध्यान में रखते हुए गतिशील अभिगम नियंत्रण प्रदान करती है। साथ ही, Microsoft 365 में बिल्ट-इन ऑटोमेशन और डेटा एनालिटिक्स शामिल हैं, और यह आपको उपकरणों को नियंत्रित करने और जानकारी को लीक होने से बचाने की भी अनुमति देता है।