फ़िशिंग हमले: हम अभी भी नकली ईमेल के ख़िलाफ़ लड़ाई क्यों हार रहे हैं?

  • Sep 04, 2023

लोग प्रतिदिन सैकड़ों ईमेल से निपटते हैं और नियोक्ता मदद के लिए पर्याप्त प्रयास नहीं कर रहे हैं, जिसका मतलब है कि नकली संदेशों का खतरा जारी रहेगा।

फ़िशिंग साइबर हमलावरों के लिए नेटवर्क में प्रवेश पाने का यह अभी भी सबसे आम तरीका है। चाहे वह वित्तीय लाभ चाहने वाले बदमाश हों या साइबर जासूसी में संलग्न राज्य समर्थित हैकिंग ऑपरेशन, यह लगभग हमेशा प्रारंभ होता है किसी को किसी लिंक पर क्लिक करने या संवेदनशील जानकारी देने के लिए डिज़ाइन किए गए संदेश के साथ। केवल एक व्यक्ति का शिकार होना हैकरों को पूरे कॉर्पोरेट नेटवर्क और उसके भीतर संग्रहीत गोपनीय जानकारी तक पहुंच प्राप्त करने के लिए आवश्यक आधार प्रदान करने के लिए पर्याप्त हो सकता है।

विशेष सुविधा

विशेष रिपोर्ट: साइबर सुरक्षा के लिए एक विजयी रणनीति (मुफ़्त पीडीएफ)

नवीनतम ZDNet/TechRepublic विशेष सुविधा पर आधारित यह ईबुक, आपकी महत्वपूर्ण डिजिटल संपत्तियों की सुरक्षा के लिए जोखिम प्रबंधन नीतियां बनाने के तरीके पर एक विस्तृत नज़र पेश करती है।

अभी पढ़ें

लेकिन पीड़ित को दोष देने से शायद ही कोई समाधान निकलता है - विशेष रूप से यह देखते हुए कि फ़िशिंग ईमेल को किस प्रकार अत्यधिक अनुकूलित किया जा सकता है पीड़ित, जिसका अर्थ है कि किसी वास्तविक संदेश को किसी भाग के रूप में बनाए गए नकली संदेश से अलग करना लगभग असंभव हो सकता है आक्रमण करना।

अमांडा विडोसन कहती हैं, "किसी हमलावर के लिए ईमेल पता हासिल करना और किसी के होने का दिखावा करना काफी आसान है।" चार्टर्ड इंस्टीट्यूट ऑफ एर्गोनॉमिक्स एंड ह्यूमन फैक्टर्स के लिए साइबर सुरक्षा चैंपियन और थेल्स साइबर के लिए मानव कारक क्षमता का नेतृत्व एवं परामर्श.

लेना व्यवसाय ईमेल समझौता अभियान: हमले के सबसे आम तरीकों में से एक मुख्य वित्तीय अधिकारी (सीएफओ) से होने का दावा करने वाले कर्मचारियों को ईमेल भेजना है। बड़ी संख्या में संगठन अपनी वेबसाइटों पर अपने बोर्ड के बारे में जानकारी प्रदान करेंगे, हमलावरों को सीएफओ का नाम प्रदान करेंगे।

देखना: साइबर सुरक्षा के लिए एक विजयी रणनीति (ZDNet विशेष रिपोर्ट) | रिपोर्ट को पीडीएफ के रूप में डाउनलोड करें (टेक रिपब्लिक)

यह ट्रैक करना भी अपेक्षाकृत सरल है कि किसी कंपनी के ईमेल पते कैसे दिखते हैं, न केवल हमलावरों को नाम को धोखा देने की अनुमति देता है और सीएफओ का पता, लेकिन इस जानकारी का उपयोग सार्वजनिक-सामना वाली साइटों पर उनका पता लगाने के बाद कंपनी के भीतर व्यक्तियों को लक्षित करने के लिए भी किया जाता है लिंक्डइन.

उसके बाद, डेटा साझा करने या धन हस्तांतरित करने के लिए कहने वाला एक विश्वसनीय दिखने वाला ईमेल बनाना आसान है। कई मामलों में, हमलावर पीड़ित को वह करने के लिए मजबूर करने के लिए तात्कालिकता और गोपनीयता की झूठी भावना पैदा करेगा जो वह उनसे चाहता है।

"इनमें से बहुत से ईमेल में सत्ता का खेल चल रहा है। वहाँ कोई है जो वरिष्ठता, अधिकार की स्थिति का दिखावा कर रहा है और प्रभावशाली ढंग से कह रहा है कि मत पूछो प्रश्न, बस इसे पूरा करें, जो प्रभावी है," ईमेल सुरक्षा प्रदाता के सीईओ टिम सैडलर कहते हैं टेस्सियन.

"जब लोग स्पीयर-फ़िशिंग ईमेल भेजते हैं, तो वे किसी विश्वसनीय व्यक्ति का व्यक्तित्व या पहचान ले रहे होते हैं। वह वैयक्तिकरण लक्ष्य को अनुरोध का अनुपालन करने, चालान का भुगतान करने, उन्हें जो करने की आवश्यकता है उसे करने के मामले में इसे अत्यधिक प्रभावी बनाता है," उन्होंने आगे कहा।

यदि आप वित्त विभाग में मध्य स्तर के कर्मचारी हैं और आपको सीएफओ से कुछ करने का निर्देश देने वाला एक ईमेल मिलता है, तो आप संभवतः ऐसा करने जा रहे हैं।

भले ही कर्मचारी सीएफओ के साथ अनुरोध की पुष्टि करना चाहता हो, बड़े संगठनों में यह मुश्किल होगा बस उनके कार्यालय में जाकर प्रश्न पूछने के लिए - कुछ मामलों में, सीएफओ भी ऐसा नहीं कर सकता है महाद्वीप।

ईमेल पर महत्वपूर्ण अनुरोध किया जाना असामान्य नहीं है - हमलावरों को यह पता है, इसलिए वे सक्रिय रूप से इसका लाभ उठाने का प्रयास कर रहे हैं, क्योंकि शेष हमलावर और पीड़ित के बीच सक्रिय रूप से उनके पक्ष में खेल चलता है: एक साइबर अपराधी ने स्पीयर-फ़िशिंग अभियान चलाकर निश्चित रूप से यह जानने का काम किया है कि कौन है पीड़ित है. पीड़ित वहां बैठ कर सावधानीपूर्वक शोध नहीं कर सकता कि क्या ईमेल वास्तव में उसी का है जिसके होने का दावा किया गया है।

"ईमेल प्राप्त करने वाले व्यक्ति को यह बताने की बहुत कम संभावना है कि जिस व्यक्ति से वे इसे प्राप्त कर रहे हैं वह वही है जो वे कहते हैं। बीएई सिस्टम्स में साइबर सेवाओं के निदेशक जेम्स हैच कहते हैं, "यह थोड़ा असममित है, किसी व्यक्ति से कठिन काम करने के लिए कहना, फिर उनके लिए जीवन आसान नहीं बनाना है।"

यह व्यवहार ईमेल तक ही सीमित नहीं है; ऐसे समय होते हैं जब बैंक, उपयोगिताएँ, दूरसंचार और अन्य सेवा प्रदाता ग्राहकों को अचानक कॉल करेंगे, और फिर पूछेंगे। ग्राहक को यह सत्यापित करने के लिए अपनी व्यक्तिगत सुरक्षा विवरण प्रदान करना होगा कि यह वही है, फिर भी ग्राहक के पास यह पहचानने का कोई तरीका नहीं है कि कॉल धोखा है या नहीं।

"झूठा विश्वास स्थापित करना बहुत आसान है, इसलिए हमें इसे और अधिक निश्चित करना होगा जब आपको अपना संदेश प्राप्त हो बैंक, आप जानते हैं कि यह आपका बैंक है - बैंक को आपके सामने खुद को साबित करना चाहिए, न कि आपसे खुद को उनके सामने साबित करने के लिए कहना चाहिए," कहते हैं अंडे से निकलना।

"इसी तरह, आपके नियोक्ता को आपके सामने यह साबित करना चाहिए कि वे कौन हैं, साथ ही आपसे दिन में दस बार यह साबित करने के लिए अपना पासवर्ड डालने के लिए कहना चाहिए कि आप कौन हैं। वह दो-तरफ़ा विश्वास एक बड़ा बदलाव लाएगा और झूठे विश्वास को और अधिक कठिन बना देगा," उन्होंने आगे कहा।

दो-तरफा विश्वास की कमी के बावजूद, ईमेल व्यवसाय को ऑनलाइन संचालित करने का प्रमुख तरीका बना हुआ है, कर्मचारियों से प्रति सप्ताह संभावित रूप से हजारों संदेशों का उत्तर देने की उम्मीद की जाती है। उस संदर्भ में, यह देखना मुश्किल नहीं है कि मुट्ठी भर दुर्भावनापूर्ण फ़िशिंग संदेश नेट के माध्यम से कैसे फिसल सकते हैं और किसी भी अन्य ईमेल की तरह ही व्यवहार किया जाएगा - जिसके पीड़ित और उनके दोनों के लिए संभावित विनाशकारी परिणाम होंगे कंपनी।

फिर भी संगठन अभी भी उम्मीद करते हैं कि उनका सामान्य कार्यबल फ़िशिंग हमलों के खिलाफ रक्षा की अंतिम पंक्ति के रूप में कार्य करेगा, जबकि अधिकांश भाग के लिए, वे वार्षिक जागरूकता कार्यक्रम के बाहर अधिक सुरक्षा प्रशिक्षण प्राप्त नहीं हुआ होगा - अक्सर फ़िशिंग हमलों के अत्यधिक सरलीकृत उदाहरणों का उपयोग किया जाता है।

सैडलर कहते हैं, "हमें यह याद रखने की ज़रूरत है कि हर कर्मचारी को सुरक्षा पेशेवर के रूप में नियुक्त नहीं किया गया है - सुरक्षा हर कर्मचारी के नौकरी विवरण में नहीं है।"

देखना: फ़िशिंग ईमेल का पता कैसे लगाएं [सीएनईटी]

इसलिए फ़िशिंग ईमेल के जाल में फंसने वाले किसी व्यक्ति पर कड़ी कार्रवाई करना कोई समाधान नहीं है - खासकर तब जब ईमेल एप्लिकेशन ने संदेश को खतरे के रूप में नहीं पहचाना हो।

विडोसन कहते हैं, "आखिरकार, लोग सिर्फ अपना काम करने की कोशिश कर रहे हैं और साइबर सुरक्षा घटनाएं अनजाने में होती हैं - ज्यादातर मामलों में लोग दुर्भावनापूर्ण नहीं होते हैं।"

"संगठनों को जो करना चाहिए वह अपने कर्मचारियों से बात करना और उनकी नौकरियों को समझना और उन्हें क्या करने की ज़रूरत है यह सुनिश्चित करना कि सुरक्षा नीतियां उसके साथ संतुलित हैं और उन्हें अपना काम उचित, लेकिन सुरक्षित रूप से करने की अनुमति देती है," उसने मिलाया।

हालाँकि प्रशिक्षण बहुत अच्छा और अच्छा है, फ़िशिंग हमलों की समस्या को हमेशा के लिए हल करने का एकमात्र तरीका ईमेल और ईमेल है। साइबर सुरक्षा नीतियां उपयोगकर्ताओं की जरूरतों के आधार पर बनाई जाती हैं और सुरक्षा प्रदाता ऐसे सॉफ़्टवेयर का निर्माण कर सकते हैं जो स्वचालित रूप से पता लगाता है संदिग्ध ईमेल.

यह कठिन है, क्योंकि हमलावर लगातार अपनी रणनीति विकसित कर रहे हैं, लेकिन कुछ सबसे बुनियादी फ़िशिंग हमले अभी भी जारी हैं सुरक्षा को दरकिनार करने में सक्षम, यह दर्शाता है कि लोगों पर दोष मढ़ने के बजाय प्रौद्योगिकी में सुधार की आवश्यकता है।

"इस समय हमारा मुख्य दृष्टिकोण लोगों को यह बताना है कि वे इसके झांसे में न आएं - जो स्पष्ट रूप से काम नहीं कर रहा है। यही वह जगह है जहां हम लोगों को शिकार बनने के लिए कठिन समय देने के बजाय, खेल का मैदान बदल सकते हैं," हैच कहते हैं।

साइबर सुरक्षा पर अधिक जानकारी

  • फ़िशिंग हमले: ईमेल अभी भी हैकर्स के लिए इतना आसान लक्ष्य क्यों है?
  • हैकर्स चाहते हैं कि आप खुश रहें, इसलिए आपको धोखा देना आसान होता है सीएनईटी
  • साइबर सुरक्षा: आप संभवतः अपनी सुरक्षा के बारे में अति-आत्मविश्वास में हैं या उल्लंघन के लिए कम तैयार हैं
  • साइबर सुरक्षा जागरूकता प्रशिक्षण योजना में आपको 3 चीज़ों की आवश्यकता है टेकरिपब्लिक
  • फ़िशिंग ईमेल: यही कारण है कि इतने वर्षों के बाद भी हम पकड़े जा रहे हैं