रूस के सेंट्रल बैंक के आंकड़ों के अनुसार, 2017 में, धोखेबाजों के कार्यों के कारण 317.7 हजार उपयोगकर्ताओं को इंटरनेट पर 961 मिलियन रूबल का नुकसान हुआ। वहीं, 97% मामलों में, धोखाधड़ी पीड़ितों ने कानून प्रवर्तन एजेंसियों से संपर्क नहीं किया। और हम उन घटनाओं के बारे में बात कर रहे हैं जिनकी सूचना बैंक को दी गई थी।
आइए उन सामान्य तरीकों पर नज़र डालते हैं जो हमलावर सोशल नेटवर्क पर पैसे चुराने के लिए इस्तेमाल करते हैं। और ताकि आप स्कैमर्स के नेटवर्क में न पड़ें, हम आपको सलाह देंगे कि साइबर अपराधियों से खुद को कैसे बचाएं।
1. खाता हैक
खाता लॉगिन जानकारी प्राप्त करने से धोखेबाज गोपनीय जानकारी प्राप्त कर सकते हैं और उपयोगकर्ता के दोस्तों को धोखा दे सकते हैं। ऐसा करने के लिए, स्कैमर्स चाल के एक पूरे शस्त्रागार का उपयोग करते हैं:
- किसी कंप्यूटर या मोबाइल गैजेट को वायरस से संक्रमित करना;
- अन्य साइटों के डेटाबेस को हैक करना और पासवर्ड का मिलान करना;
- ब्रूट फोर्स कॉमन पासवर्ड।
वायरस संक्रमण सबसे अधिक बार तब होता है जब. से अटैचमेंट वाले ईमेल प्राप्त होते हैंअज्ञात प्राप्तकर्ता या मुफ्त फ़ाइल होस्टिंग से फ़ाइलें डाउनलोड करना। वायरस का उद्देश्य अनएन्क्रिप्टेड पासवर्ड के लिए ब्राउज़र फ़ोल्डर्स को स्कैन करना है, साथ ही यह निगरानी करना है कि उपयोगकर्ता कीबोर्ड से क्या दर्ज करता है। उदाहरण के लिए, Android. BankBot.358.origin का लक्ष्य Sberbank क्लाइंट है और मोबाइल एप्लिकेशन के लिए लॉगिन डेटा चुराता है। ट्रिकबॉट ट्रोजन बैंक खातों के साथ-साथ क्रिप्टोकुरेंसी एक्सचेंजों के लिए लॉगिन डेटा भी खोजता है। Fauxpersky keylogger खुद को Kaspersky Lab के उत्पाद के रूप में प्रच्छन्न करता है और वह सब कुछ एकत्र करता है जो उपयोगकर्ता कीबोर्ड पर टाइप करता है।
वायरस द्वारा एकत्रित की गई जानकारी हमलावरों को भेजी जाती है। आमतौर पर, वायरस एक टेक्स्ट फ़ाइल बनाता है और सेटिंग्स में निर्दिष्ट मेल सेवा से जुड़ता है। फिर वह फ़ाइल को ईमेल से जोड़ता है और स्कैमर्स के पते पर भेजता है।
उपयोगकर्ता सभी साइटों (ऑनलाइन स्टोर, सोशल नेटवर्क, मेल सर्वर) के लिए एक ही पासवर्ड का उपयोग करते हैं, ताकि कंप्यूटर पर प्रत्येक खाते के लिए अद्वितीय पासवर्ड को ध्यान में न रखें और न ही स्टोर करें। मालेफैक्टर्स कम संरक्षित साइटों पर हमला करते हैं: निर्देशिका, ऑनलाइन स्टोर, फ़ोरम। साइबर सुरक्षा के लिए जिम्मेदार आईटी पेशेवरों की एक पूरी टीम सोशल नेटवर्क पर काम कर रही है। और ऑनलाइन स्टोर और फ़ोरम सीएमएस पर चलाए जाते हैं, जिसमें धोखेबाज समय-समय पर डेटा चोरी करने की कमजोरियां ढूंढते हैं।
हैकर्स उपयोगकर्ता डेटाबेस की प्रतिलिपि बनाते हैं, जिसमें आमतौर पर उपनाम, ईमेल पते और लॉगिन पासवर्ड होते हैं। इसके बावजूदकि पासवर्ड एन्क्रिप्टेड रूप में संग्रहीत हैं, उन्हें डिक्रिप्ट किया जा सकता है, क्योंकि अधिकांश साइटें 128-बिट एमडी 5 हैशिंग एल्गोरिदम का उपयोग करती हैं। इसे डेस्कटॉप सॉफ़्टवेयर या ऑनलाइन सेवाओं का उपयोग करके डिक्रिप्ट किया जाता है। उदाहरण के लिए, MD5 डिक्रिप्ट सेवा में 6 बिलियन डिक्रिप्टेड शब्दों का डेटाबेस होता है। डिक्रिप्शन के बाद, मेल सेवाओं और सामाजिक नेटवर्क तक पहुँचने की संभावना के लिए पासवर्ड की जाँच की जाती है। मेल का उपयोग करके, यदि आप इसका अनुमान नहीं लगा सकते हैं, तो आप सोशल नेटवर्क पर अपना पासवर्ड पुनर्प्राप्त कर सकते हैं।
पासवर्ड क्रूर बल हर साल कम प्रासंगिक होता जा रहा है। इसका सार सामाजिक नेटवर्क खाते में प्रवेश करने के लिए पासवर्ड में अक्षरों और संख्याओं के सामान्य संयोजनों के व्यवस्थित सत्यापन में निहित है। जालसाज प्रॉक्सी सर्वर और वीपीएन का उपयोग करते हैं जो कंप्यूटर के आईपी पते को छुपाते हैं ताकि सोशल नेटवर्क द्वारा उनका पता न लगाया जा सके। हालांकि, सामाजिक नेटवर्क स्वयं उपयोगकर्ताओं की रक्षा करते हैं, उदाहरण के लिए, कैप्चा पेश करके।
अपनी सुरक्षा कैसे करें
वायरस से लड़ने के लिए, आपको कंप्यूटर सुरक्षा के बुनियादी नियमों का पालन करना चाहिए:
- अज्ञात स्रोतों से फ़ाइलें डाउनलोड न करें, क्योंकि वायरस प्रच्छन्न हो सकते हैं, उदाहरण के लिए, एक प्रस्तुति फ़ाइल के रूप में;
- अज्ञात प्रेषकों के ईमेल में अटैचमेंट न खोलें;
- एंटीवायरस स्थापित करें (Avast, NOD32, Kaspersky या Dr. Web);
- ऐसी साइटों पर दो-कारक प्रमाणीकरण सेट करें जिनके पास यह विकल्प है;
- किसी और के डिवाइस से सेवा एक्सेस करते समय, प्राधिकरण फ़ील्ड में संबंधित बॉक्स को चेक करें;
- पासवर्ड याद रखने के लिए ब्राउज़र की क्षमता का उपयोग न करें।
उपयोगकर्ता को नहीं करना चाहिएसामाजिक नेटवर्क, मेल सेवाओं, ऑनलाइन स्टोर और बैंक खातों के लिए एक ही पासवर्ड का उपयोग करें। आप उनके अंत में सेवा पदनाम जोड़कर पासवर्ड में विविधता ला सकते हैं। उदाहरण के लिए, 12345mail मेल के लिए उपयुक्त है, 12345shop शॉपिंग के लिए, और 12345सोशल नेटवर्क सोशल नेटवर्क के लिए उपयुक्त है।
2. जबरन वसूली और ब्लैकमेल
हमलावर जानबूझकर गोपनीय डेटा प्राप्त करने के लिए सोशल मीडिया अकाउंट हैक करते हैं, फिर पीड़ित को ब्लैकमेल करते हैं और पैसे की उगाही करते हैं। उदाहरण के लिए, जब पार्टनर को भेजी गई अंतरंग तस्वीरों की बात आती है।
तस्वीरों में खुद कुछ भी क्रिमिनल नहीं है। हमलावरों ने प्राप्त तस्वीरें रिश्तेदारों और दोस्तों को भेजकर यूजर को ब्लैकमेल किया। संचार के दौरान, मनोवैज्ञानिक दबाव और अपराध की भावना पैदा करने का प्रयास इस उम्मीद में किया जाता है कि पीड़ित पैसे भेजेगा।
भले ही पीड़ित ने पैसे भेजे हों, इस बात की कोई गारंटी नहीं है कि अपराधी फिर से तस्वीरों को "फिरौती" देने का फैसला नहीं करेंगे या सिर्फ मनोरंजन के लिए तस्वीरें पोस्ट करेंगे।
अपनी सुरक्षा कैसे करें
ऐसी सेवाओं का उपयोग करें जो आपको टेलीग्राम या स्नैपचैट पर सेल्फ-डिस्ट्रक्टिंग या एन्क्रिप्टेड संदेश भेजने की अनुमति देती हैं। या अपने साथी के साथ सहमत हों कि तस्वीरों को सेव न करें, बल्कि देखने के तुरंत बाद उन्हें हटा दें।
आपको अन्य लोगों के उपकरणों से मेल और सोशल नेटवर्क पर नहीं जाना चाहिए। यदि आप उन्हें छोड़ना भूल जाते हैं, तो एक जोखिम है कि आपका पत्र व्यवहार गलत हाथों में हो जाएगा।
उन लोगों के लिए जो गोपनीय डेटा सहेजना पसंद करते हैं, विशेष सॉफ़्टवेयर का उपयोग करके फ़ोल्डरों को एन्क्रिप्ट करने की अनुशंसा की जाती है, उदाहरण के लिए, एन्क्रिप्टिंग तकनीक का उपयोग करनाफाइल सिस्टम (ईएफएस)।
3. पुरस्कार, विरासत और मुफ्त आइटम
स्कैमर्स एक महंगी वस्तु मुफ्त में प्राप्त करने की पेशकश करते हैं, बशर्ते कि आप अपने पते पर शिपिंग के लिए भुगतान करें या शिपिंग के लिए बीमा करें। उदाहरण के लिए, आप अपने शहर के "नि:शुल्क" समूह में एक समान ऑफ़र देख सकते हैं। एक कारण के रूप में, वे एक तत्काल कदम या उपहार के रूप में एक ही चीज़ प्राप्त करने का संकेत दे सकते हैं। अक्सर, महंगी चीजें "चारा" के रूप में उपयोग की जाती हैं: आईफोन, आईपैड, एक्सबॉक्स, और इसी तरह। शिपिंग लागत का भुगतान करने के लिए, स्कैमर्स उस राशि की मांग करते हैं जिसके साथ उपयोगकर्ता आराम से भाग ले सकता है - 10,000 रूबल तक।
स्कैमर्स न केवल मुफ्त आइटम की पेशकश कर सकते हैं, बल्कि बहुत कम कीमत वाले सामान भी दे सकते हैं, जैसे कि iPhone X 5,000 रूबल के लिए। इस प्रकार, वे नकली भुगतान गेटवे फॉर्म का उपयोग करके पैसे या कार्ड डेटा चोरी करना चाहते हैं। जालसाज कार्ड भुगतान पृष्ठ को एक लोकप्रिय भुगतान गेटवे के पृष्ठ के रूप में छिपाते हैं।
हमलावर किसी बैंक या नोटरी एजेंसी के कर्मचारी होने का दिखावा कर सकते हैं, किसी खाते से धन निकालने या विरासत से प्राप्त धन के लिए मदद मांग सकते हैं। ऐसा करने के लिए, उन्हें एक चालू खाता स्थापित करने के लिए एक छोटी राशि हस्तांतरित करने के लिए कहा जाएगा।
साथ ही, पुरस्कार का दावा करने के लिए फ़िशिंग साइट पर जाने वाला एक लिंक भेजा जा सकता है।
अपनी सुरक्षा कैसे करें
मुफ्त पनीर में विश्वास मत करो। बस ऐसे अनुरोधों को अनदेखा करें या बिल्ट-इन सोशल मीडिया टूल्स का उपयोग करके शिकायत करें। ऐसा करने के लिए, खाता पृष्ठ पर जाएं, "उपयोगकर्ता के बारे में शिकायत करें" बटन पर क्लिक करें और अपील का कारण लिखें। मॉडरेटर सेवासामाजिक नेटवर्क जानकारी की समीक्षा करेगा।
अपरिचित लिंक पर क्लिक न करें, खासकर अगर वे goo.gl, bit.ly और अन्य लिंक शॉर्टिंग सेवाओं का उपयोग करके बनाए गए हैं। हालांकि, आप UnTinyURL सेवा का उपयोग करके लिंक को डिक्रिप्ट कर सकते हैं।
मान लें कि आपको किसी सोशल नेटवर्क पर फ़ोन या टैबलेट की लाभदायक बिक्री के बारे में एक संदेश प्राप्त हुआ है। भाग्य पर विश्वास न करें और खरीद के लिए तुरंत भुगतान करें। यदि आप भुगतान गेटवे फॉर्म वाले किसी पृष्ठ पर आए हैं, तो ध्यान से जांच लें कि डोमेन सही है और पीसीआई डीएसएस मानक का उल्लेख किया गया है। आप पेमेंट गेटवे के तकनीकी समर्थन पर भुगतान फॉर्म की शुद्धता की जांच कर सकते हैं। ऐसा करने के लिए, बस उसे ई-मेल से संपर्क करें। उदाहरण के लिए, भुगतान प्रदाताओं PayOnline और Fondy की वेबसाइटों पर, ग्राहक सहायता सेवाओं के ईमेल पते सूचीबद्ध हैं।
4. "सौ फेंको"
घोटाले पीड़ित के परिचितों और दोस्तों को खाते में पैसे ट्रांसफर करने के लिए कहने के लिए हैक किए गए पेज का इस्तेमाल करते हैं। अब न केवल स्थानान्तरण के लिए अनुरोध भेजे जाते हैं, बल्कि बैंक कार्डों की तस्वीरें भी भेजी जाती हैं, जिन पर ग्राफिक संपादक का उपयोग करके हैक किए गए खाते के मालिक का नाम और उपनाम लगाया जाता है।
एक नियम के रूप में, हमलावर तत्काल धन हस्तांतरित करने के लिए कहते हैं, क्योंकि वे खाते पर नियंत्रण खोने से डरते हैं। अक्सर अनुरोधों में मनोवैज्ञानिक दबाव के तत्व होते हैं और एक निरंतर अनुस्मारक होता है कि सब कुछ तत्काल करने की आवश्यकता है। जालसाज संचार के इतिहास का पहले से ही अध्ययन कर सकते हैं और यहां तक कि केवल आपके नाम या उपनाम से ज्ञात पतों का भी उपयोग कर सकते हैं।
अपनी सुरक्षा कैसे करें
किसी दोस्त को कॉल करें और सीधे पूछें कि क्या उन्हें पैसे की जरूरत है। तो आप सुनिश्चित करेंअनुरोध की सत्यता और आप पृष्ठ के हैकिंग के बारे में तुरंत चेतावनी दे सकते हैं।
यदि आप उस व्यक्ति को अच्छी तरह जानते हैं जिसका अकाउंट हैक किया गया था, तो भाषण के तरीके पर ध्यान दें। सबसे अधिक संभावना है, हमलावर के पास अपनी संचार शैली को पूरी तरह से कॉपी करने का समय नहीं होगा और वह उसके लिए असामान्य भाषण के आंकड़ों का उपयोग करेगा।
बैंक कार्ड की फोटो पर ध्यान दें। आप एक ग्राफिक संपादक में खराब-गुणवत्ता वाले प्रसंस्करण द्वारा नकली की गणना कर सकते हैं: अक्षर "कूदेंगे", आद्याक्षर कार्ड की वैधता तिथि के साथ एक ही पंक्ति पर नहीं होंगे, और कभी-कभी वे कार्ड की वैधता को भी ओवरलैप करेंगे।
सोशल मीडिया से बचे
दिसंबर 2014 से दिसंबर 2016 तक, सोशल इंजीनियरिंग का उपयोग करने वाले उपयोगकर्ताओं पर हमलों की संख्या में 11 गुना वृद्धि हुई। 37.6% हमलों का उद्देश्य बैंक कार्ड की जानकारी सहित व्यक्तिगत डेटा की चोरी करना था।
ZeroFOX के शोध के अनुसार, फेसबुक पर 41.2%, Google+ पर 21.6% और ट्विटर पर 19.7% हमले हुए। सामाजिक नेटवर्क VKontakte को अध्ययन में शामिल नहीं किया गया था।
विशेषज्ञों ने 7 लोकप्रिय सोशल मीडिया घोटाले की रणनीति की पहचान की:
- फर्जी पृष्ठ सत्यापन। सोशल नेटवर्क की ओर से जालसाज एक "सत्यापित" पृष्ठ का प्रतिष्ठित चेकमार्क प्राप्त करने की पेशकश करते हैं। पीड़ितों को डेटा चोरी के लिए विशेष रूप से तैयार किए गए पेज का पता भेजा जाता है।
- लक्षित विज्ञापनों का उपयोग करके नकली लिंक फैलाना। हमलावर कम कीमत वाले पेज पर उपयोगकर्ताओं को आकर्षित करने और नकली सामान बेचने के लिए एक विज्ञापन बनाते हैं।
- प्रसिद्ध ब्रांड ग्राहक सेवा की नकल। हमलावर खुद को बड़े ब्रांडों की तकनीकी सहायता सेवाओं के रूप में प्रच्छन्न करते हैं और अपने ग्राहकों से गोपनीय जानकारी प्राप्त करते हैं।
- पुराने खातों का उपयोग करना। सोशल मीडिया नियंत्रणों को बायपास करने के लिए हमलावर अपनी सेटिंग बदलकर पुराने खातों का उपयोग कर सकते हैं।
- ऑनलाइन स्टोर और ब्रांड के नकली पेज। हमलावर ऑनलाइन स्टोर के सामुदायिक पृष्ठों को धोखा देते हैं और उपयोगकर्ताओं को प्राधिकरण, लॉगिन डेटा चोरी करने या नकली सामान बेचने के लिए फ़िशिंग पृष्ठों पर ले जाते हैं।
- फर्जी प्रचार। कार्रवाई में भाग लेने के लिए, हमलावर कथित रूप से भागीदारी के लिए एक ईमेल या फोटो मांग सकते हैं, जिसे बाद में अवैध कार्यों में इस्तेमाल किया जा सकता है।
- वित्तीय धोखाधड़ी। हमलावर केवल भोले-भाले उपयोगकर्ताओं से पैसे चुराकर छोटी अवधि में बढ़ी हुई आय की पेशकश करते हैं।
- एचआर कंपनियों के फर्जी पेज। कुछ स्कैमर्स बड़ी कंपनियों की आधिकारिक शैली की नकल करते हैं और नौकरी के आवेदन पर विचार करने के लिए भुगतान की मांग करते हैं।
सोशल इंजीनियरिंग से खुद को बचाने का एक ही तरीका है - ज्ञान। इसलिए, आपको कंप्यूटर सुरक्षा के नियमों को अच्छी तरह से सीखने की जरूरत है और बहुत उदार प्रस्तावों पर विश्वास नहीं करना चाहिए।