Menu
blogid : 10483 postid : 72

ई-बैंकिंग: बचिए जाली ई-मेल और सोशल इंजीनियरिंग से!

मैनेजर की कलम से..
मैनेजर की कलम से..
  • 9 Posts
  • 81 Comments

क्या आपको भी कभी किसी लॉटरी या मुफ्त उपहार के लिए ई-मेल या एसएमएस आया है? अगर हाँ, तो जानिये इनकी असलियत और नहीं तो सावधान रहिये क्योंकि आये दिन लोग इनका शिकार हो रहे हैं। टेलीविजन हो, अख़बार हो, हमारे ई-मेल और मोबाइल का इनबॉक्स या फिर सोशल नेटवर्किंग साइट; हर जगह सोशल इंजीनियरिंग के हमले के खतरों की संभावना भी है और उनका आभास भी । ये हमले उपभोक्ताओं पर भी होते हैं और संगठनों पर भी जहां हमलावर का उद्देश्य गैर-सार्वजनिक एवं सुरक्षित जानकारी को प्राप्त करना होता है जिसका प्रयोग ठगी एवं अनुचित वित्तीय लाभ कमाने के लिए किया जा सके ।

क्या है सोशल इंजीनियरिंग ?
विकसित होती हुई सुरक्षा तकनीकों जैसे कि वायरसरोधी सॉफ्टवेयर व फायरवाल्स आदि के साथ जागरूकता का स्तर भी बढ़ा है और व्यक्तिगत और सुरक्षित जानकारियां प्राप्त करने के उद्देश्य से होने वाले हमलों का तरीका भी । सोशल इंजीनियरिंग का अर्थ है ऐसी जानकारियां प्राप्त करने के लिए अथवा किसी संगठन जैसे कि बैंक की सुरक्षा प्रणाली को तोड़ने के लिए अंतरवैयक्तिक व्यवहारों तथा सामाजिक कुशलताओं का प्रयोग करना.

जैसे-जैसे सुरक्षा तकनीकों की अभेद्यता का स्तर बढ़ा है, सोशल इंजीनियर्स ने सूचना सुरक्षा की श्रृंखला में सबसे कमजोर कड़ी पर हमला करना प्रारंभ किया है । यह कमजोर कड़ी है – मानवीय प्रकृति ।

फिशिंग

सोशल इंजीनियरिंग के हमलों का सबसे उभरता हुआ रूप फिशिंग है जिसमें जाली वेबसाइट द्वारा संवेदनशील जानकारियां जैसे कि यूजरनेम, पासवर्ड, खाता संख्या् तथा अन्यह व्याक्तिगत एवं वित्तीय जानकारियां चुराने की कोशिश की जाती है । एंटी फिशिंग वर्किंग ग्रुप के अनुसार बीते वर्ष में फिशिंग के मामले दोगुने से अधिक हो गए हैं और उनमें से 95% वित्तीय सेवा उद्योग को निशाना बनाते हैं।अक्सर उपभोक्ताओं को जाली ई-मेल द्वारा फिशिंग वेबसाइटों पर जाने के लिए लुभाया जाता है ।

.जाली ई-मेल (स्पूफ्ड ई-मेल) :

जाली र्इ-मेल प्राय: किसी प्रतिष्ठित अंतर्राष्ट्रीय या राष्ट्रीय संगठनों अथवा सरकारी विभाग या उद्यमों के नाम से भेजे जाते है । इस तरह के ई-मेल दो प्रकार के होते हैं । एक तो वे जिनमें उपभोक्ता से संपर्क कर उन्हें लॉटरी या उपहार की बड़ी राशि देने का वादा किया जाता है और उसके पहले कुछ धनराशि अंतरण शुल्क अथवा कर के रूप में ली जाती है और उसके पश्चात उसे झांसे में लेते हुए निशाना साधा जाता है ।

दूसरी प्रकार के ई-मेल में किसी हाइपरलिंक पर जाने को कहा जाता है और उपभोक्ता की व्यक्तिगत जानकारियां मांगी जाती है। यहां तक कि हमलावर स्वयं को बैंक का सिस्टम/नेटवर्क एडमिनिस्ट्रेटर या अधिकारी बताकर इंटरनेट बैंकिंग का यूजरनेम तथा पासवर्ड भी हासिल करने की कोशिश करता है।

भारत में भी आए दिनों भारतीय रिज़र्व बैंक, आयकर विभाग या यू.एन.डी.पी आदि के नाम से अनेक जाली ई-मेल भेजे जा रहे हैं जिनमें उपभोक्ता के बैंक-खाता अपडेट, विदेशी मुद्रा अंतरण, आयकर रिफंड अथवा अन्य योजनाओं को विषय बनाया जा रहा है । खास बात तो यह है कि इन सभी संगठनों की वेबसाइट पर फिशिंग एवं जाली ई-मेल संबंधी चेतावनी भी दी जा रही है । भारतीय रिज़र्व बैंक ने उन संस्थाओं की सूची भी जारी की है जहाँ इस प्रकार की जाली ई-मेल / एसएम्एस की रिपोर्ट की जा सकती है http://rbidocs.rbi.org.in/rdocs/content/pdfs/LNA100112C.pdf

भारत में कंप्यूटर संबंधी खतरों से निपटने के लिए वर्ष 2004 में एक राष्ट्रीय संस्था – CERT-In (इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम) बनाई गई । इस संस्था द्वारा फिशिंग पर कई श्वेत-पत्र जारी किए गए हैं जिनमें से निम्नलिखित प्रमुख बातें सामने आती है ।

• फिशिंग के हमले वर्ष प्रति वर्ष बढ़ते जा रहे हैं और उनमें छल-प्रपंच का स्तर भी बढ़ रहा है ।

• पहले फिशिंग हमलों में ई-मेल द्वारा जाली वेबसाइट पर ले जाया जाता था । आजकल हो रहे हमलों में फिशिंग आधारित कंप्यूटर वायरस जैसे कि ‘ट्रोज़न’ और ‘मॉलवेयर’ शामिल हैं जो कम्यू्टर यूजर द्वारा किये जा रहे कार्यों के साथ – साथ छद्म रूप से कार्य करते रहते हैं और यूजर द्वारा दी जा रही जानकारियों को कैप्चर करते हैं जिसकी भनक भी यूजर को नहीं लगती । इस प्रकार संवेदनशील जानकारियों को छद्म रूप से कैप्चर करके उनका गलत इस्तेहमाल किया जाता है ।

• दिन-प्रतिदिन फिशिंग की नई तकनीक और तौर-तरीके अपनाएं जा रहे हैं ।

अमेरिकी संस्था यू.एस-सी.ई.आर.टी. सचेत करती रहती है कि फिशिंग एवं सोशल इंजीनियरिंग हमले समसामयिक घटनाओं का भी इस्तेमाल कर सकते हैं ताकि उनमें वास्तविकता दिखाई दे; जैसे कि –

• प्राकृतिक आपदाएं (सूनामी, भूकंप आदि)

• महामारी एवं स्वास्थ्य संबंधी मुद्दें (बर्ड फ्लू आदि )

• आर्थिक मसले ।

• राजनीतिक चुनाव आदि ।

स्पष्ट है कि फिशिंग के हमलों का स्तर बढ़ता जा रहा है और मानव की प्रकृति पर पहले से कहीं अधिक हमला किया जा रहा है ।

प्रीटेक्स्टिंग :

यह सोशल इंजीनियरिंग का एक और तरीका है जिसमें सोशल इंजीनियर फोन करके किसी उपभोक्ता / अधिकारी या ऑडिटर का रूप लेकर किसी बहाने से गुप्त एवं संवेदनशील जानकारियां लेने की कोशिश करता है । फोन करनेवाला पहले से किसी उपभोक्ता का नाम, जन्मतिथि एवं बैंक संबंधी अन्य जानकारियां मालूम कर लेता है, जिनका उपयोग वह विश्वसनीयता बनाने के लिए करता है ।

यू.एस.बी.खतरे

आजकल यू.एस.बी ड्राइव (पेन-ड्राइव) का प्रयोग फ्लॉपी एवं सीडी से कहीं ज्यादा होने लगा है । यहां भी सोशल इंजीनियरिंग का खतरा कम नहीं है । विशेष प्रकार की यू.एस.बी ड्राइव बनाई जा सकती है अथवा इनमें अवांछित सॉफ्टवेयर डाला जा सकता है जो कंप्यूटर में लगाते ही जानकारियों को सोशल इंजीनियरिंग के हमलावरों तक पहुंचा देता है ।

ऐसे यू.एस.बी. ड्राइव या तो किसी को दिया जा सकता है या समान दिखने वाली दूसरी ड्राइव से बदला जा सकता है । इसलिए अज्ञात स्रोतों से आने वाली यू.एस.बी ड्राइव का प्रयोग करना खतरे से खाली नहीं है । यही कारण है कि कई बैंकों में यू.एस.बी. ड्राइव का प्रयोग वर्जित है और इस खतरे को देखते हुए संस्थानों में संवेदनशील आंकड़ो वाले कम्यूटरों में यू.एस.बी का प्रयोग डिसेबल कर दिया जाता है ।

सोशल इंजीनियरिंग के हमलो से बचाव के उपाय:

• अज्ञात ई-मेल, फोन कॉल एवं आगंतुकों से सावधान रहा जाए जो किसी कर्मचारी, उपभोक्ता या किसी आंतरिक प्रणाली या तकनीकी के बारे में जानकारी मांगते हैं I कोई भी जानकारी देने के पहले इन सभी की प्रामाणिकता की जाँच आवश्यक है I

• अपनी संस्था की संरचना, नेटवर्क इत्यादि अथवा अपने बारे में कोई भी व्यक्तिगत जानकारी किसी को तब तक नहीं दी जानी चाहिए जब तक की हम उसकी प्रामाणिकता एवं प्राधिकार के बारे में सुनिश्चित नहीं हो जाते I

• किसी अज्ञात ई-मेल द्वारा भेजे गए किसी लिंक पर जाने से बचे और यदि यह आवश्यक हो तो पहले संस्था के विशेषज्ञों से सलाह ली जाये I ऐसे ई-मेल को तत्काल डिलीट कर दिया जाना चाहिए I

• यदि ऐसा कोई ई-मेल या फोन कॉल किसी कंपनी के नाम से आया है तो पहले कंपनी से सीधा संपर्क किया जाना चाहिए I

• वेबसाइट की यूआरएल पर ध्यान दिया जाना चाहिए I जाली वेबसाइट वैसे तो मूल वेबसाइट जैसी ही नजर आती है किन्तु उसके यूआरएल में फर्क होता है अथवा डोमेन का नाम अलग होता है ( जैसे कि .com की जगह .net या .orgकी जगह .com)

• खरीदारी करते हुए क्रेडिट अथवा डेबिट कार्ड का ख्याल रखा जाना चाहिए और यथासंभव कार्ड को आँखों से ओझल नहीं होने दिया जाना चाहिए I ऐसा संभव है की सोशल इंजीनियरिंग का उपयोग करते हुए उपभोक्ता को बातों में लगाकर कार्ड का दुरूपयोग किया जा सकता है I

• सभी बैंको को सोशल इंजीनियरिंग के हमलों सम्बन्धी जागरूकता अभियान चलाये जाने चाहिए और साथ ही ऐसे किसी भी हमले की जानकारी देने के लिए एक आधिकारिक ई-मेल एवं उनसे निबटने के लिए एक समिति या समूह बनाया जाना चाहिए I बीते दिनों भारतीय रिज़र्व बैंक ने इसके लिए एक नोडल विभाग एवं रिपोर्टिंग के लिए एक ई-मेल सूचित किया है I इन हमलों के बारे में जानकारी और इनकी जानकारी देने की सुविधा अन्य राष्ट्रीय एवं अंतर्राष्ट्रीय संस्थाओं में भी उपलब्ध है जैसे कि एंटी फिशिंग वर्किंग ग्रुप और CERT-In.

• एंटी वायरस सॉफ्टवेयर, फायरवाल्स और ई-मेल फ़िल्टर का प्रयोग किया जाना चाहिए और इन्हें अद्यतन रखा जाना चाहिए ।

• कर्मचारियों एवं उपभोक्ताओं दोनों के लिए जागरूकता कार्यक्रम चलाये जाने चाहिए।

हमले का शिकार होने की स्थिति में क्या किया जाए ?

• यदि किसी कर्मचारी को ऐसा लगता है कि उसने अपनी संस्था से सम्बंधित कोई संवेदनशील जानकारी किसी को दे दी है तो इसे फ़ौरन उचित अधिकारी तथा नेटवर्क प्रशासक को बताया जाना चाहिए ताकि वे किसी असामान्य गतिविधि एवं खतरे के लिए सचेत रह सके।

• सभी पासवर्ड नियमित रूप से बदले जाने चाहिए विशेषतः तब जब उन्हें किसी के भी सामने प्रकट कर दिया गया हो । एक ही पासवर्ड सभी जगहों पर प्रयोग नहीं किया जाना चाहिए।

• अगर किसी उपभोक्ता को ऐसा लगता है की उसके खाते में कोई अज्ञात लेन -देन हुआ है तो फ़ौरन बैंक से संपर्क किया जाना चाहिए।


इस प्रकार सोशल इंजीनियरिंग के हमलों का खतरा दिन प्रतिदिन बढ़ता जा रहा है और इसके नित नए रूप सामने आ रहे हैं । तकनीकी एवं सोशल स्किल्स दोनों का प्रयोग इन हमलों के लिए किया जा रहा है और तकनीकी और सतर्कता एवं जागरूकता द्वारा इन्हें रोका भी जा सकता है.

http://rbi.org.in/commonman/Hindi/Scripts/fictitiousmails.aspx

Read Comments

    Post a comment

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    CAPTCHA
    Refresh