सोशल इंजीनियरिंग मिथ्या प्रस्तुति के माध्यम से जानकारी तक पहुँच प्राप्त करने का एक दृष्टिकोण है। यह एहसास किए बिना कि इसमें सुरक्षा भंग हो रही है, यह जानकारी प्राप्त करने के लिए लोगों की जागरूक हेरफेर करना है। यह दूरभाष और ई-मेल या व्यक्ति के माध्यम से प्रतिरूपण का रूप ले सकता है। कुछ ई-मेल, प्राप्तकर्ता से अनुलग्नक को खुलवाने के लिए बहलाते हैं जो आपके कंप्यूटर में एक वायरस या दुर्भावनापूर्ण प्रोग्राम को सक्रिय कर देता है।.
लापरवाह होकर बात करना सोशल इंजीनियरिंग का एक कारण है।
व्यापार, कार्यालय, घर, निजी और लोगों के विषय में लापरवाही से बात करना, और जो अधिकृत नहीं हैं उनके साथ चर्चा करना, और परोक्ष रूप से किसी ऐसे को संवेदनशील जानकारी देना जो इसे किसी विशेष कारण के लिए उपयोग कर सकते हैं जैसे आपके कंप्यूटर में घुस कर आपके संगठन के विवरण आदि को भंग करना।.
वे यह कैसे करते हैं?
- एक सोशल इंजीनियर आप तक दूरभाष या ई-मेल से पहुँच सकता है और आपके सूचना प्रौद्योगिकी विभाग या सहायता डेस्क में से एक व्यक्ति होने का दिखावा कर सकता है और आपके उपयोगकर्ता आईडी, पासवर्ड और सिस्टम और नेटवर्क जानकारी जैसे अन्य विवरण के लिए पूछ सकता है।.
- एक सोशल इंजीनियर आपको आपके कार्यस्थल या संगठन के बाहर मिल सकता है और आप से आपके काम या आपका संगठन कैसे काम करता है इसके विषय में पूछ सकता है।.
- एक सोशल इंजीनियर आपके संगठन में व्यापार की आवश्यकता को प्रस्तुत करने के लिए आ सकता है और नेटवर्क कनेक्टिविटी के लिए पूछ कर नेटवर्क की जानकारी या किसी भी संवेदनशील जानकारी के बारे में पता कर सकता है।.
- एक सोशल इंजीनियर आपकी व्यक्तिगत जानकारी आपके स्कूल, संगठन आदि के विषय में जानने के लिए आपके पहचान कार्ड के लिए पूछ सकता है।.
- सोशल इंजीनियरिंग के बुनियादी लक्ष्य सामान्यतया हैकिंग के समान ही हैं: धोखाधड़ी करने, नेटवर्क घुसपैठ, पहचान की चोरी के लिए या केवल प्रणाली और नेटवर्क को भंग करने के लिए, प्रणाली या जानकारी तक अनधिकृत पहुँच प्राप्त करना।.
सोशल इंजीनियरिंग कई तरह से किया जा सकता है.
सार्वजनिक स्थान
सोशल इंजीनियरिंग सार्वजनिक स्थानों जैसे कॅफे, पब, फिल्म थिएटर के माध्यम से किया जा सकता है। आप एक सोशल इंजीनियर या किसी और को जो आपको सुन सकता है कुछ संवेदनशील जानकारी बता या दे सकते हैं।.
गपशप (गॉसिप)
आप किसी सहयोगी के साथ कुछ गपशप के विषय में बात करते हैं और अन्य सहयोगी जो एक सोशल इंजीनियर हो सकता है उसे कुछ जानकारी दे सकते हैं।.
निजी सम्मान या विश्वास
आप अपने परिवार या संगठन पर गर्व कर अपनी उपलब्धियों, घमंड और अज्ञात व्यक्तियों के लिए विश्वास के प्रति संवेदनशील जानकारी के लिए दे सकते हैं।.
ऑनलाइन
एक नेटवर्क व्यवस्थापक का नाटक कर सोशल इंजीनियर नेटवर्क के माध्यम से ई-मेल भेज कर और एक उपयोगकर्ता के पासवर्ड या किसी भी संवेदनशील जानकारी के लिए परोक्ष रूप से पूछ कर ऑन लाइन जानकारी प्राप्त कर सकते हैं।.
तकनीकी
विशिंग
यह दूरभाष प्रणाली पर सोशल इंजीनियरिंग की विधियों में से एक है, सबसे अधिक आईपी पर ध्वनि (वीओआईपी) सुविधाओं का उपयोग कर के, जनता से वित्तीय पुरस्कार पाने के उद्देश्य से, निजी, सार्वजनिक और वित्तीय जानकारी वित्तीय पर पहुँच प्राप्त कर के। यह शब्द "ध्वनि" और फ़िशिंग का एक संयोजन है।.
दूरभाष पर अज्ञात लोगों को कोई भी वित्तीय जानकारी न दें, पुष्टि करें कि आप किस से बात कर रहे हैं और कोई जानकारी देने से पहले संबंधित कंपनी या बैंक से जाँच कर लें।
फिशिंग
फिशिंग आपके मूल्यवान व्यक्तिगत डाटा जैसे क्रेडिट कार्ड नंबर, पासवर्ड्स, खाते के डाटा और अन्य जानकारी को चुराने के लिए बनाया गया एक तरह का कपट-जाल है। आक्रमक और उनके ई-मेल संदेश और पॉप अप विंडोज़ और अधिक परिष्कृत बन गए है। वे बहुधा वास्तविक संगठनों से सरकारी दिखने वाले चिन्ह लेते हैं और अन्य की पहचान की जानकारी सीधे वैध वेब साइटों से ली जाती है।.
यदि आपको लगता है कि आपको एक फ़िशिंग ई-मेल संदेश मिला है, उसका उत्तर न दें और अज्ञात उपयोगकर्ताओं से प्राप्त लिंक पर भी क्लिक न करें।.
अन्य तकनीकियाँ
बेटिंग
यह सोशल इंजीनियरिंग का एक उपयोग है जो भौतिक मीडिया और शिकार की जिज्ञासा या लालच पर निर्भर करता है। इस में आक्रमक, मालवेयर को या संक्रमित यूएसबी या पेन ड्राइव, सीडी/ डीवीडी रोम को ऐसे स्थान पर डाल देता है जो वैध प्रतीत हो और शिकार में जिज्ञासा बनाता है और उनके इस उपकरण का उपयोग करने की प्रतीक्षा करता है।.
पटरी, एलेवेटर, पार्किंग स्थल आदि पर अरक्षित अवस्था में पाये जानेवाले डिवाइस तक पहुँचने के लिए आकर्षित न हों।.
समझाना बुझाना
अपनी गोपनीय जानकारी देने के लिए किसी को प्रभावित करें या तो उन्हें समझा कर कि आप पर भरोसा किया जा सकता है या केवल उसके लिए पूछ कर।.
सतर्क रहें, अज्ञात व्यक्तियों से प्रभावित न हों और उन्हें गोपनीय जानकारी न दें।.
गैर-तकनीकी
डम्प्स्टर डाइविंग
ट्रैशिंग के रूप में भी जाना जाने वाला डम्प्स्टर डाइविंग, सोशल इंजीनियरिंग का एक और लोकप्रिय तरीका है। कंपनी डम्प्स्टर या घर से अपव्यय के माध्यम से बड़े प्रमाण में जानकारी एकत्रित की जा सकती है।.
कोई भी गोपनीय पत्र डम्प न करें, डंप करने से पहले सुनिश्चित करें कि आपकी कोई महत्वपूर्ण जानकारी रद्दी में नहीं है।.
होक्सिंग
होक्सिंग एक प्रयास है जिस से लोगों को कुछ नकली को वास्तविक होने का विश्वास दिला कर जाल में फँसाया जाता है। यह आमतौर पर एक अकेले शिकार पर केन्द्रित किया जाता है और अवैध वित्तीय या भौतिक लाभ के लिए बनाया जाता है होक्स बहुधा शर्मिंदगी के हेतु से व्यावहारिक मजाक के रूप में किया जाता है।.
सावधान रहें अज्ञात द्वारा प्राप्त ई-मेल पर विश्वास न करें और कभी भी वित्तीय जानकारी न दें।.
अपदेश (प्रीटेक्सटिंग)
प्रीटेक्सटिंग एक क्रिया है जिसमें एक काल्पनिक परिदृश्य को बना कर और उपयोग कर एक लक्षित शिकार को इस प्रकार आकर्षित करना है जिस में शिकार के जानकारी प्रकट करने के या ऐसी कार्रवाई करने के जिसकी साधारण परिस्थितियों में संभावना नहीं हो, अवसर बढ़ जाते हैं। यह एक साधारण झूठ से अधिक है।.
सतर्क रहें क्योंकि अजनबी नकली स्थिति बना कर आपको मूढ़ बनाने का प्रयास करते हैं और आपको विश्वास दिला कर गोपनीय जानकारी एकत्रित करते हैं।.
आप एक शिकार बनने से कैसे बच सकते हैं?
- व्यक्ति जो कर्मचारियों या अन्य आंतरिक जानकारी के विषय में पूछ रहे हों उनके द्वारा किए गए अनचाहे दूरभाष कॉल, भ्रमण या ई-मेल संदेशों से सतर्क रहें। यदि कोई अज्ञात व्यक्ति एक वैध संगठन से होने का दावा करे, उसकी पहचान सीधे कंपनी के साथ सत्यापित करने का प्रयास करें।.
- निजी जानकारी या अपने संगठन के बारे में उसकी संरचना या नेटवर्क सहित जानकारी तब तक न दें जब तक आपको उस व्यक्ति के जानकारी लेने के अधिकार के विषय में कुछ निश्चित न हो।.
- ई-मेल में व्यक्तिगत या वित्तीय जानकारी प्रकट न करें, और इस जानकारी के लिए ई-मेल विनतियों का उत्तर न दें। इस में ई-मेल में भेजे गए निम्नलिखित लिंक्स समाविष्ट हैं।.
- इंटरनेट पर एक वेबसाइट की सुरक्षा जाँच से पहले संवेदनशील जानकारी न भेजें। वेबसाइट के यूआरएल पर ध्यान दें। दुर्भावनापूर्ण वेबसाइटें वैध साइटों के समान लग सकती हैं, परंतु यूआरएल में एक वर्तनी परिवर्तन या एक अलग डोमेन (जैसे, डॉट कॉम बनाम डॉट नॅट) का प्रयोग कर सकते हैं।.
- यदि आप अनिश्चित हैं कि क्या एक ई-मेल अनुरोध वैध है, सीधे कंपनी से संपर्क कर के यह सत्यापित करने का प्रयास करें। एक अनुरोध से जुड़ी वेबसाइट पर उपलब्ध कराई गई संपर्क जानकारी का उपयोग न करें; बजाय इस के, पिछले बयानों की संपर्क जानकारी की जाँच करें। ज्ञात एंटी फ़िशिंग वर्किंग ग्रुप जैसे समूहों द्वारा, फ़िशिंग आक्रमण के विषय में जानकारी ऑनलाइन भी उपलब्ध है।
- इस यातायात को कुछ कम करने के लिए एंटी वायरस सॉफ्टवेयर, फायरवॉल, और ई-मेल फिल्टर स्थापित करें और बनाए रखें।.
- आपके ई-मेल क्लाइंट और वेब ब्राउज़र द्वारा प्रस्तुत किसी भी एंटी फ़िशिंग सुविधा का लाभ लें।.
यदि आपको लगता है कि आप एक शिकार हैं तो आप क्या करें?
- यदि आपको लगता है कि आपने अपने संगठन के संबंध में संवेदनशील जानकारी प्रकट कर दी है, नेटवर्क प्रशासकों सहित, संगठन के भीतर के उचित लोगों को सूचित करें। वे किसी भी सतर्क या असामान्य गतिविधि के लिए सतर्क हो सकते है।.
- यदि आपको लगता है कि आपके वित्तीय खातों का कॉम्प्रमाइज़ हो सकता है, अपने वित्तीय संस्थान से तुरंत संपर्क करें और कॉम्प्रमाइज़ हो पाने वाले सभी खाते बंद कर दें। अपने खाते में कोई भी न समझने वाले शुल्कों पर ध्यान रखें।.
- आपके द्वारा उजागर किए गए पासवर्ड तत्काल बदलें। यदि आप एकाधिक संसाधनों के लिए एक ही पासवर्ड का उपयोग करते हैं, सुनिश्चित करें कि प्रत्येक खाते के लिए आप उसे बदल दें, और वह पासवर्ड भविष्य में कभी उपयोग न करें।.
- पहचान की चोरी के अन्य लक्षणों पर ध्यान दें .
- पुलिस को आक्रमण की सूचना देने पर विचार करें, और संघीय व्यापार आयोग के साथ एक रिपोर्ट फाइल करें।.