सोशल इंजीनियरिंग हैक्स और लिंक्ड अकाउंट्स: पहचान चोरी के खिलाफ कैसे रक्षा करें

इस दिन और उम्र में, इंटरनेट के पास हमारे जीवन और पहचान के अधिकांश पहलुओं के साथ घनिष्ठ संबंध है। वस्तुतः सभी के पास एक फेसबुक प्रोफाइल है, साथ ही संभावित रूप से एक ट्विटर खाता, लिंक्डइन पेज, ऑनलाइन चेकिंग अकाउंट्स, ऑनलाइन रिटेलर्स के साथ खाते हैं, और शायद अन्य साइटों पर पुरानी प्रोफाइल हैं जो वर्चुअल धूल इकट्ठा करते हैं। हम में से अधिकांश इंटरनेट पर हमारी जानकारी के साथ विश्वास करने आए हैं। हमें विश्वास है कि पेपैल, फेसबुक, अमेज़ॅन और अन्य सभी बड़े नाम जैसी वैश्विक, परिष्कृत कंपनियां हमारी जानकारी हैकिंग के लिए खुली नहीं रहेंगी। लेकिन दुनिया भर के हैकर्स के सामूहिक दिमागी शक्ति को उन कंपनियों के सिस्टम का उल्लंघन करने के नए और अभिनव तरीके खोजने की दिशा में रखा जा रहा है।

यह पहले कहा गया है, लेकिन मैं इसे फिर से कहूंगा: सुरक्षा केवल आपके सबसे कमजोर लिंक के रूप में मजबूत है। वास्तव में वह श्रृंखला कितनी कमजोर है जो आपकी व्यक्तिगत जानकारी की ओर ले जाती है? आपकी ऑनलाइन उपस्थिति में खाते के लिए कई भेद्यताएं हैं: कुछ जिन्हें आप जानते हैं और जिनके बारे में आपने कभी सोचा नहीं है। सुरक्षा और रोकथाम आपकी ऑनलाइन सुरक्षा प्रक्रिया में महत्वपूर्ण है-एक हैक को रोकने के लिए यह बहुत आसान है कि किसी के होने के बाद क्षति की मरम्मत करना है।

सोशल इंजीनियरिंग क्या है?

इस संदर्भ में, सोशल इंजीनियरिंग एक विधि है जो लोगों को व्यक्तिगत जानकारी देने में मदद करने के लिए उपयोग की जाती है। वायर्ड्स मैट होनान के एक हालिया आलेख में बताया गया कि वह एक सोशल इंजीनियरिंग हैक का शिकार कैसे था जिसने अपना डिजिटल जीवन दुर्घटनाग्रस्त कर दिया। अमेज़ॅन और ऐप्पल के सुरक्षा प्रोटोकॉल में भेद्यता ने हैकर को लेखक के खातों की एक श्रृंखला तक पहुंच प्राप्त करने की अनुमति दी। हैकर अपने अमेज़ॅन खाते में तोड़ने में सक्षम था, जिसने एक बिलिंग पता और क्रेडिट कार्ड नंबर के अंतिम चार अंक प्रदान किए। यह जानकारी ऐप्पल को मनाने के लिए आवश्यक थी कि हैकर होनान था, और इसलिए उसे ऐप्पल आईडी पासवर्ड रीसेट करने की इजाजत दी गई। वहां से, हैकर ने अपने ऐप्पल ईमेल खाते तक पहुंच प्राप्त की, जिसके बाद उसके जीमेल खाते का नेतृत्व हुआ, जो कि और भी ऑनलाइन जानकारी का केंद्र था। यह काम पर सोशल इंजीनियरिंग है। हैकर्स कैसे जानते थे कि श्रीमान होनान के पास एक अमेज़ॅन खाता पूरी तरह से स्पष्ट नहीं था, लेकिन घटनाओं की श्रृंखला जो उन्हें अपनी भेद्यता में छोड़ देती थी, ध्यान देने योग्य है:

"मेरे [ट्विटर] खाते में आने के बाद, हैकर्स ने कुछ पृष्ठभूमि अनुसंधान किया। मेरा ट्विटर खाता मेरी व्यक्तिगत वेबसाइट से जुड़ा हुआ है, जहां उन्हें मेरा जीमेल पता मिला। यह अनुमान लगाते हुए कि यह ट्विटर के लिए भी इस्तेमाल किया गया ई-मेल पता था, फोबिया [हैकर] Google के खाता पुनर्प्राप्ति पृष्ठ पर गया था। उन्हें वास्तव में वसूली का प्रयास भी नहीं करना पड़ा। यह सिर्फ एक recon मिशन था। क्योंकि मेरे पास Google का दो-कारक प्रमाणीकरण चालू नहीं था, जब फोबिया ने अपना जीमेल पता दर्ज किया, तो वह खाता पुनर्प्राप्ति के लिए स्थापित वैकल्पिक ई-मेल देख सकता था। Google आंशिक रूप से उस जानकारी को अस्पष्ट करता है, जिसमें कई पात्र हैं, लेकिन पर्याप्त अक्षर उपलब्ध हैं, m••••[email protected]। जैकपॉट।"

जुड़े खातों के बारे में दो बार सोचें

आपके डिजिटल जीवन की स्ट्रिंग कहीं भी शुरू होती है और समाप्त होती है, और यदि एक आसान भेद्यता पाई जाती है, तो इसका शोषण किया जाएगा। अमेज़ॅन ने तब दावा किया है कि उसने अपनी सुरक्षा प्रक्रियाओं को बदल दिया है ताकि इस प्रकार का शोषण अब संभव न हो (हालांकि, वायर्ड स्टोरी पढ़ने के बाद, मैंने अमेज़ॅन से अपनी सारी जानकारी हटा दी है और अब से इसे हर बार मैन्युअल रूप से दर्ज कर लेगी। बहुत सावधान होने जैसी कोई चीज नहीं है)। दूसरी ओर, ऐप्पल ने यह नहीं कहा है कि उसने किसी भी सुरक्षा नीति को बदल दिया है-ऐप्पल ने केवल इतना कहा है कि इसके सुरक्षा उपायों का पूरी तरह से पालन नहीं किया गया था। ऐसी कई अन्य कंपनियां हैं जो सोशल इंजीनियरिंग रणनीति के लिए अतिसंवेदनशील हैं, और आपके लिंक किए गए खाते उन्हें बताते हैं कि कहां से शुरू करना है। कभी-कभी सबसे आसान शोषण आपका फेसबुक खाता हो सकता है।

डिजिटल ट्रेल जो आपके गैर-डिजिटल जीवन को वापस ले जाता है

यह मानते हुए कि आपकी फेसबुक प्रोफ़ाइल सार्वजनिक है, या आप उन लोगों से मित्र अनुरोध स्वीकार करते हैं जिन्हें आप वास्तव में नहीं जानते हैं, क्या आपकी प्रोफ़ाइल में आपका पूरा जन्मदिन शामिल है? आपका व्यक्तिगत ईमेल पता, घर का पता और फोन नंबर? क्या आपके पास पुराने परिवार के पालतू जानवरों की तस्वीरें हैं जहां आप उन्हें नाम देते हैं, या आप अपनी माँ के साथ दोस्त हैं, जो अभी भी अपना पहला नाम इस्तेमाल करते हैं? क्या आपके पहले श्रेणी से चित्र हैं जो स्कूल का नाम प्रदर्शित करते हैं, आप अपनी पहली प्रेमिका या अपने बीएफएफ के साथ?

हाँ, और मैं इन सभी व्यक्तिगत प्रश्नों से क्यों पूछ रहा हूं? खैर, आपकी जन्म तिथि और पता मुझे अन्य कंपनियों या ऑनलाइन पर प्रतिरूपण शुरू करने के लिए पर्याप्त जानकारी दे सकता है। कुछ मामलों में मुझे आपके सोशल सिक्योरिटी नंबर के अंतिम चार अंकों की आवश्यकता हो सकती है, लेकिन यह आपके द्वारा सोचा जाने वाला स्टॉपगैप नहीं है। तो, आपके पहले परिवार के पालतू जानवर, आपकी माँ का पहला नाम, आपका पहला प्राथमिक विद्यालय, पहली प्रेमिका, या अपने सबसे अच्छे दोस्त का नाम क्यों होना चाहिए? खाता पुनर्प्राप्ति प्रक्रियाओं के लिए वे सभी सुरक्षा प्रश्नों के उत्तर हैं। यदि आपके लिए अज्ञात है- मैंने आपका ईमेल क्रैक किया है, लेकिन मेरा वास्तविक लक्ष्य आपका बैंक खाता है, तो अब मेरे पास आपके सुरक्षा प्रश्नों के उत्तर हैं और मैं पहुंच प्राप्त करने के लिए आपके बैंक खाते में पासवर्ड बदल सकता हूं।अच्छे उपाय के लिए मैं शायद आपके ईमेल पर पासवर्ड भी बदलूंगा, या यदि मैं इसका शोषण करने के साथ किया गया हूं, तो मैं पूरी तरह से खाता हटा सकता हूं। बेशक, इस स्थिति को आदर्श बनाने के लिए कई कारक हैं, और आपकी पहचान लेने के लिए अन्य विधियां भी उपयोग की जा सकती हैं।

यदि आपके पास "बाल्टीकिड" जैसे कमजोर पासवर्ड हैं, तो पूरी तरह से यादृच्छिक उदाहरण के रूप में, आपके खाते पर एक ब्रूट फोर्स अटैक में आपके पासवर्ड को क्रैक करने में लगभग आठ दिन लगेंगे (मुझे सिफारिश अनुभाग में कैसे पता है)। इसे "बाल्टीकिड 7" बनाने के लिए बस एक संख्या जोड़ना उस समय छह साल जोड़ता है जब यह हैकर इसे क्रैक करने के लिए ले जाएगा।

यह भी संभव है कि आपकी जानकारी किसी अन्य कंपनी के हैक में संपार्श्विक क्षति के रूप में उजागर हो। यदि आप एकाधिक साइटों पर एक ही पासवर्ड का उपयोग करते हैं, जिसमें से एक में आपका ईमेल शामिल है, तो यह समय है कि आप अपने सभी पासवर्ड बदल दें और जांच करें कि क्षति कितनी दूर हो सकती है। अब, आपके दिमाग में सबसे बुरी स्थिति परिदृश्य हैं, आइए आगे बढ़ें कि आप वास्तव में अपने आप को कैसे सुरक्षित रख सकते हैं।

हमारी साइट सिफारिश

दो बार एक ही पासवर्ड का प्रयोग न करें! मुझे पता है कि आपने दस लाख बार पहले सुना है, और आपको लगता है कि कई साइटों पर दर्जनों अद्वितीय पासवर्ड होने के लिए व्यावहारिक नहीं है। खैर, व्यावहारिक बनाने के लिए आप दो चीजें कर सकते हैं:

सबसे पहले आप अपनी सभी साइटों के लिए अद्वितीय पासवर्ड बनाने और स्टोर करने में सहायता के लिए एक प्रोग्राम का उपयोग कर सकते हैं। 1 पासवर्ड एक ऐसा प्रोग्राम है-जब आप अपनी ऑनलाइन प्रोफ़ाइल में से किसी एक में लॉग इन करते हैं, तो आप बस उस लॉगिन का चयन कर सकते हैं जिसकी आपको आवश्यकता है और 1 पासवर्ड पासवर्ड प्रदान करेगा और आपको पहुंच प्रदान करेगा। हालांकि, हो सकता है कि आप नहीं चाहते कि आपके सभी पासवर्ड एक डेटाबेस में संग्रहीत हों- यह एक वैध चिंता है।

अगला विकल्प संबंधित पासवर्ड की श्रृंखला बनाना है। एक पासवर्ड "Treez4Eva" अगले "Trees4eVer" और इसी तरह से हो सकता है। याद रखना कि कौन सी साइट का उपयोग करता है, कौन सा संस्करण थोड़ा मुश्किल हो सकता है, लेकिन यह करने योग्य और निश्चित रूप से प्रयास करने लायक है। याद रखें कि आप हमेशा भूल गए पासवर्ड पुनर्प्राप्त कर सकते हैं। यह समय लेने वाला हो सकता है, लेकिन पासवर्ड को भूलने से आपको अद्वितीय, सुरक्षित लोगों को बनाने से रोकना नहीं है।

अब पासवर्ड पर ही: आप कितने सुरक्षित हैं कि गेज के लिए एक आसान संदर्भ के रूप में आप कैसे सुरक्षित हैं मेरे पासवर्ड का उपयोग कर सकते हैं। ऊपरी केस अक्षरों और विशेष वर्णों के साथ हमेशा अल्फान्यूमेरिक संयोजनों का उपयोग करें। यदि साइट इसे अनुमति देती है, तो रिक्त स्थान का भी उपयोग करें। "बाल्टीकिड" बहुत अधिक सुरक्षित है जब यह "bu (k3t k! 4 15 r3a!" उस पासवर्ड को क्रैक करने के लिए 3 क्विंटलियन साल लगेंगे, मेरे सुरक्षित पासवर्ड के अनुसार, कितना साल नकली लगता है। आप शायद लगता है कि इस तरह के पासवर्ड को याद रखने में आपको कई सालों लगेंगे-लेकिन इस बारे में सोचें कि प्रक्रिया को आसान बनाने के लिए आप मेमोरी ट्रिक्स का उपयोग कैसे कर सकते हैं। ऊपर दिया गया उदाहरण पढ़ता है: "बाल्टी बच्चा असली है", आपको याद रखना होगा कि कौन से पत्र हैं आपने पूंजीकृत किया है और आपने संख्याओं या विशेष पात्रों के साथ अक्षरों को कैसे बदला है। यदि आप अभी भी कई साइटों पर एक ही पासवर्ड का उपयोग करना चाहते हैं, तो ऊपर दिए गए उदाहरण की तरह, अपने सबसे मजबूत व्यक्ति का उपयोग करें, जिन साइटों का आप अक्सर ईमेल जैसे उपयोग करते हैं। फिर फेंक दें अन्य साइटों के लिए "छतरी लड़का 15 नकली" जैसे पासवर्ड जिन्हें आप अक्सर उपयोग नहीं करते हैं या महसूस नहीं करते हैं।

हमेशा समर्थन करने वाली किसी भी साइट के लिए दो-चरणीय सत्यापन का उपयोग करें। वायर्ड लेखक के खाते को याद रखें कि उसे कैसे हैक किया गया क्योंकि उसने द्वि-चरणीय सत्यापन का उपयोग नहीं किया था? एक ही गलती मत करो। याहू और फेसबुक के रूप में Google इसका समर्थन करता है। द्वि-चरणीय सत्यापन का अर्थ है कि जब आप किसी अपरिचित कंप्यूटर या आईपी पते से अपने खाते में लॉग इन करते हैं, तो आपको अपने फोन पर भेजे गए कोड को डालने के लिए कहा जाएगा। इसके बारे में भी बढ़िया यह है कि यह आपके खातों के लिए अलार्म सिस्टम के रूप में भी काम करता है। अगर कोई आपके ईमेल तक पहुंचने का प्रयास करता है, और अचानक आपको एक लॉगिन कोड के साथ एक पाठ मिलती है, तो आप जानते हैं कि यह टोपी को बल्लेबाजी करने का समय है।

अंत में, अगर आपको अपनी ऑनलाइन सुरक्षा के बारे में कोई चिंता है, तो जांचें कि क्या मुझे अपना पासवर्ड बदलना चाहिए। यह साइट आपको अपना ईमेल पता दर्ज करने देती है और देखती है कि यह किसी भी सूचियों पर दिखाया गया है कि किसी साइट को क्रैक करने के बाद हैकर्स संकलित हैं। उन्होंने अभी एक नई सुविधा जोड़ दी है जहां आप उनके साथ अपना ईमेल पता स्टोर कर सकते हैं और वे भविष्य के हमलों के साथ इसका संदर्भ पार करेंगे।

यह सब गहरे छोर से बाहर निकलने और आपके लिए बहुत पागल होने जैसा प्रतीत हो सकता है, लेकिन इंटरनेट पर पागल होने के कारण कभी-कभी आपको सुरक्षित रखा जा सकता है। अपने आप को बचाने के लिए आपको कई अन्य उपाय करना चाहिए, जैसे: अपनी हार्ड ड्राइव को एन्क्रिप्ट करना, उन साइटों के लिए डिस्पोजेबल ईमेल पते और नाम बनाना जिन्हें आप भरोसा नहीं करते हैं या महसूस करते हैं, सुरक्षा में कमी और हर कुछ महीनों में पासवर्ड बदलना शामिल है। इस मार्गदर्शिका को आपको अधिक सुरक्षित बनाने के लिए एक कूदने के बिंदु के रूप में लिया जाना चाहिए, और यदि आप सब कुछ एक मजबूत पासवर्ड बनाते हैं और अपना ईमेल पंजीकृत करना चाहिए, तो मेरा पासवर्ड डेटाबेस बदलें, तो कम से कम अपने आप को सुरक्षित रखने के लिए एक अच्छा पहला कदम है इंटरनेट पर पहचान चोरी से।

विशेषज्ञ सिफारिशें

रयान डिज़राली, TeleSign पर धोखाधड़ी सेवाओं के वीपी:

"औसत व्यक्ति बहुत ही खतरनाक है, लेकिन वास्तविकता यह है कि हैकर्स सबसे आसान लक्ष्य पर हमला करने के लिए देखेगा। यह ऑफलाइन के विपरीत नहीं है। क्या एक चोर ने 24/7 सुरक्षा गार्ड या घर के साथ घर लूट लिया जो हमेशा सामने वाले दरवाजे को अनलॉक कर देता है? वास्तविकता यह है कि एक अच्छा चोर अभी भी शानदार सुरक्षा के साथ घर लूट सकता है लेकिन एक आसान शिकार के बाद जाना पसंद करेगा।जैसे कि आप अपनी निजी संपत्ति की सुरक्षा के लिए सावधानी बरतेंगे, व्यक्तियों को अपनी ऑनलाइन पहचान सुरक्षित करने के लिए रोकथाम की कुछ परतों को जोड़ना चाहिए।"

दोदी ग्लेन, जीएफआई सॉफ्टवेयर के वीआईपीआरई एंटीवायरस उत्पाद प्रबंधक:

"अपने स्मार्ट फोन को कंप्यूटर की तरह व्यवहार करें। यदि आप अपने फोन पर किसी प्रकार का वित्तीय लेनदेन करते हैं, तो वही सुरक्षा "सर्वोत्तम प्रथाओं" कंप्यूटर के साथ लागू होगी।"

शूमन घोसममजुडरआकार सुरक्षा पर रणनीति का वीपी:

"वेब साइट्स तक पहुंचने के तरीके पर ध्यान दें। यह सुनिश्चित करने का एक हिस्सा है कि आप किसी साइट पर भरोसा करते हैं, यह सत्यापित कर रहा है कि वेबसाइट के पीछे संगठन सम्मानित है। एक और हिस्सा यह सुनिश्चित कर रहा है कि आप उस वेबसाइट पर अपने कनेक्शन पर भरोसा करें। आपको यह सुनिश्चित करना चाहिए कि यूआरएल सही है, आपने इसे सीधे नेविगेट किया है, और अनचाहे ईमेल, आईएम या पॉप-अप से लिंक पर क्लिक नहीं किया है। यदि आप कर सकते हैं, तो केवल अपने डिवाइस और कनेक्शन का उपयोग करें। यदि आप कर सकते हैं तो आपको सार्वजनिक वाईफाई कनेक्शन और साझा सार्वजनिक कंप्यूटर से बचना चाहिए, क्योंकि हमलावरों के लिए नेटवर्क ट्रैफ़िक को स्नीफ करना या पासवर्ड कैप्चर करने के लिए कीलॉगर्स इंस्टॉल करना आसान है। यदि आपको सार्वजनिक वाईफाई कनेक्शन का उपयोग करना होगा, तो सुनिश्चित करें कि आप किसी साइट पर कोई लॉगिन या व्यक्तिगत जानकारी सबमिट नहीं करते हैं जो HTTPS कनेक्शन का उपयोग नहीं करता है।"