इंटरनेट (Internet) हमारे लिए नया बेसिक सर्विस बन गया है. खासतौर पर कोरोना वायरस (coronavirus) महामारी के दौरान जहां लोग अपने प्रियजनों के साथ जुड़े रहने की कोशिश कर रहे हैं, वहीं इंटरनेट के बढ़ते इस्तेमाल ने हैकर्स और वर्चुअल अटैकर्स (virtual attackers) के लिए यूज़र्स पर साइबर अटैक (cyber attack) करने का काम आसान कर दिया है. भारत के पास दूसरा सबसे बड़ा इंटरनेट यूज़र बेस (internet user base) है, जो डेटा और यूज़र्स की संख्या के मामले में दिन-प्रतिदिन विस्तार कर रहा है. इसलिए, उद्यमों (entrprises) और सरकारी एजेंसियों (government agencies) के लिए ये आवश्यक है कि किसी भी तरह के डेटा ब्रीच (data breach) से बचने के लिए नेटवर्क में मौजूद हाई-लेवेल सिक्योरिटी (high-level security) सुनिश्चित करें और किसी भी तरह की खामियों को ठीक करें.
लेकिन क्या होगा अगर आप या आपका संगठन साइबर सिक्योरिटी के हमले का शिकार हो जाए? या फिर आप साइबर सिक्योरिटी के हमलों को कैसे रोक सकते हैं और अपने आप को सिक्योर रख सकते हैं? आइए जानें कुछ बेसिक बातें, जिन्हें आपको अपनी ऑनलाइन सेफ्टी सुनिश्चित करने के लिए पता होना चाहिए…
क्या होता है Cybersecurity Attack?
जिस तरह एक क्षेत्र पर कब्जा करने के लिए लड़ाई लड़ी जाती है, उसी तरह डिजिटल दुनिया में एक नेटवर्क तक पहुंच हासिल करने के लिए साइबर हमले किए जाते हैं. किसी सिस्टम का एक्सेस और डेटा पर कंट्रोल पाने करने के लिए हैकर्स अनैतिक साधनों का इस्तेमाल करते हैं.
ये हमलावर एक कमजोर सिस्टम पर हमला करने और उस पर कंट्रोल पाने के लिए मैलिशियस कोड के कॉम्बिनेशन का इस्तेमाल करते हैं.
साइबर सिक्योरिटी अटैक कई तरह के होते है. इसमें मैलवेयर, फिशिंग अटैक, डेनायल-ऑफ-सर्विस (DoS), मैन-इन-द-मिडिल (MITM) आदि शामिल हैं, जो सिस्टम को हैक करने, क्रिप्टोकरेंसी के रूप में पैसे की मांग के लिए या फिर डार्क वेब पर डेटा बेचते के लिए इस्तेमाल किया जाता है
साइबर अटैक के कितने टाइप के होते हैं?
Phishing:
ये हैकर्स द्वारा इस्तेमाल किए जाने वाले ऑनलाइन अटैक का सबसे आम तरीका है. फ़िशिंग में हमलावर खुद को एक विश्वसनीय सोर्स की तरह पेश करता है और एक मैलिशियस ईमेल भेजता है जो पहली नज़र में वैध लगता है. इस तरह का असली दिखने वाला ईमेल भेजने के पीछे का हैकर का यूज़र्स का नाम, पासवर्ड, क्रेडिट कार्ड और बाकी बैंकिंग डिटेल हासिट करने का मकसद होता है.
एक सामान्य फ़िशिंग हमले का एक उदाहरण आपके सोशल मीडिया अकाउंट के पासवर्ड की एक्सपायर के बारे में एक ईमेल हो सकता है. ईमेल में एक लिंक शामिल होने की संभावना होती है जो पहली बार में वैध लगती है, लेकिन अगर ध्यान से देखा जाए, तो आपको इसकी स्पेलिंग में कुछ हेरफेर दिखाई दे सकता है.
मान लें कि हैकर इंस्टाग्राम के तरफ से होने का दिखावा करता है और पासवर्ड एक्सपायरी मेल भेजता है. इस मामले में, URL में Instagarm/Instagrom/Instagam, आदि के रूप में इंस्टाग्राम का नाम लिखा हो सकता है. इसके अलावा एक संभावना ये भी है कि कुछ ऐसी ईमेल आईडी भी आ सकती है- ‘[email protected]’, जो ऑफिशियल इंस्टाग्राम कॉन्टैक्ट नहीं है.
Smishing:
स्मिशिंग फ़िशिंग अटैक करने का एक ऐसा तरीका है जो कि आमतौर पर एक SMS के ज़रिए से किया जाता है. आमतौर पर SMS दावा करता है कि यूज़र ने एक लॉटरी जीती है और उसे पाने के लिए यूज़र को अपनी डिटेल देने की ज़रूरत होती है. अगर आप ऐसे लिंक पर क्लिक करते हैं, तो वेबसाइट (जो वैध भी दिख सकती है) आपकी सहमति के बिना आपके निजी जानकारी को चुरा सकती है. ये ज़रूरी है कि आप ऐसे ईमेल को ध्यान से पढ़ें और प्रतीत होने वाले संदिग्ध URL पर क्लिक करने से बचें.
Malware:
ये एक मैलिशियस सॉफ्टवेयर होता है, जैसा कि नाम से पता चलता है कि एक सॉफ्टवेयर है जो पीड़ित के डेटा तक एक्सेस पाने के लिए पेलोड का इस्तेमाल करता है. ये सॉफ्टवेयर एक प्रोग्राम इंस्टॉल करता है जिसमें कई तरह के मैलवेयर जैसे रैंसमवेयर, स्पाईवेयर, ट्रोजन, वर्म्स इत्यादि शामिल रहते हैं, जो कि सिस्टम या नेटवर्क को डैमेज करने या सिस्टम के डेटा को डिलीट और हाइजैक करने के लिए डिज़ाइन किया जाता है.
रैनसमवेयर सबसे अधिक इस्तेमाल किया जाने वाला मैलवेयर है जो डेटा चोरी करने के लिए इस्तेमाल किया जाता है. एक बार मैलवेयर सिस्टम में इंस्टॉल हो जाने पर, ये संवेदनशील जानकारी का शिकार करता है और इसे एन्क्रिप्ट करता है. फिर सिस्टम पर एक पॉप-अप मैसेज फिरौती के लिए कहता है. अगर शिकार फिरौती देने से मना कर देता है तो हैकर्स अक्सर डेटा डिलीट करने या उसे ऑनलाइन बेचने की धमकी देते हैं. इसे बाद अगर वह मांगी गई राशि दे दे तो पीड़ित के अपने डेटा का फिर से एक्सेस करने की संभावना रहती है, हालांकि कोई गारंटी नहीं है हैकर आपका डेटा वापस दे दे या फिर उन्हें अपने सिस्टम से डिलीट कर दे.
Denial of Service (DoS): DoS अटैक एक ब्रूट फोर्स अटैक है जिसका उद्देश्य किसी सिस्टम या वेबसाइट के ट्रैफिक को कम करना और इसे ऑफलाइन करना है. हमलावर अत्यधिक ट्रैफ़िक के साथ एक सिस्टम या वेबसाइट पर बाढ़ ला सकते हैं या एक क्रैश को ट्रिगर करने वाली परिवर्तित जानकारी भेज सकते हैं, जिससे ये बाकी के एक्सेस से बाहर हो जाए.
कंप्यूटर नेटवर्क में कंप्यूटर नेटवर्क में अटैकर DoS अटैक के एक डिस्ट्रिब्यूटेड DoS (DDoS) नाम का इस्तेमाल कर सकते हैं. DoS की तरह, DDoS मुख्य सर्वर से जुड़े कई सिस्टम से अत्यधिक ट्रैफ़िक के साथ बैंडविड्थ को सैचुरेट करता है और इस प्रकार नेटवर्क की क्लॉगिंग करता है और फिर इसे नीचे लाता है. इस तरह के अटैक का लक्ष्य ये सुनिश्चित करना है कि पीड़ित नेटवर्क या वेबसाइट का ट्रैफ़िक कम हो जाए या इसे बाकी नेटवर्क को टारगेट करने के लिए इस्तेमाल करें.
Man-in-the-Middle (MITM):
इसमें हमलावर दो पार्टी के बीच एक संचार को प्रकट करता है. ये पार्टियां दो यूज़र्स या एक यूज़र और एक एप्लिकेशन या एक सिस्टम के बीच हो सकती हैं. हमलावर खुद को दो संस्थाओं में से एक के रूप में प्रस्तुत करता है, जिससे यह प्रतीत होता है कि दोनों वैध पक्ष एक दूसरे के साथ संवाद कर रहे हैं.
हमलावर दोनों के बीच कम्यूनिकेशन को ट्रैक करता है (जैसे कि वे बीच में बैठे हैं), इस प्रकार दोनों पक्षों के बीच शेयर की गई सभी जानकारी का एक्सेस ले लिया जाता है. ऐसे हमलों का लक्ष्य पीड़ित से व्यक्तिगत और संवेदनशील जानकारी प्राप्त करना है, जिसमें आम तौर पर बैंकिंग और वित्त संबंधी जानकारी शामिल होती है.
इस तरह के हमलों से बचने के लिए, सुनिश्चित करें कि आप एक सुरक्षित इंटरनेट कनेक्शन से जुड़े हैं. HTTPS प्रोटोकॉल वाली वेबसाइट पर ही जाएं जो किसी भी तरह के स्पूफिंग हमलों से बचने के लिए विभिन्न एन्क्रिप्शन लेवेल का इस्तेमाल करता है.
SQL Injection and Cross-Site Scripting (XSS):
एक SQL इंजेक्शन हमले में, हैकर संवेदनशील जानकारी प्राप्त करने के लिए एक कमजोर वेबसाइट के डेटाबेस पर हमला करता है. हमलावर किसी भी डेटाबेस की SQL कमजोरियों को लक्षित करने के लिए मैलिशियस कोड का इस्तेमाल करता है, इस प्रकार सफल कार्यान्वयन के लिए डेटाबेस में संग्रहीत सभी डेटा तक पहुंच प्राप्त करता है.
XSS हमले के मामले में, हमलावर वेब एप्लिकेशन को टारगेट करता है जो एक वेब ब्राउज़र को मैलिशिस कोड डिलीवर करता है. वेब ब्राउज़र एक्जीक्यूशन के लिए एक पुल के रूप में काम करता है और कोड सिर्फ तभी इंजेक्ट किया जाता है जब यूज़र हमले वाली वेबसाइट पर जाता है. इस तरह के हमलों के दौरान, संवेदनशील जानकारी जो उपयोगकर्ता के वेबसाइट पर प्रवेश करती है, उसे बिना किसी वेबसाइट या यूज़र्स के ज्ञान के हाईजैक कर लिया जा सकता है.
Cyber Attacks से खुद को कैसे सुरक्षित रखें?
>>फोरम या वेबसाइट्स पर अपनी संवेदनशील जानकारी जैसे ईमेल आईडी, पासवर्ड, क्रेडिट कार्ड की डिटेल आदि शेयर न करें.
>> सुनिश्चित करें कि आपका पासवर्ड कठीन हो और ऐसा कुछ न हो जिसका आसानी से अंदाज़ा लगाया जा सके. उदाहरण के लिए ज़रूरी अकाउंट के लिए अपने नाम, जन्मतिथि या 12345 जैसे कॉमन पासवर्ड का इस्तेमाल करने से बचें. इसके बजाय अलग-अलग कैरेक्टर और नंबर के कॉम्बिनेशन का इस्तेमाल करें.
>>लिंक पर क्लिक करने से पहले, सुनिश्चित करें कि वेबसाइट वैध है. मैसेज में या URL में किसी भी तरह की स्पेलिंग की गलतियों की जांच करें.
>> अपने सिस्टम को लेटेस्ट सॉफ्टवेयर अपडेट के साथ अपने अपडेट करें. ये अपडेट मौजूदा बग्स को ठीक करने के उद्देश्य से हैं और सिस्टम की सुरक्षा को भी बेहतर बनाते हैं.
>> भरोसेमंद एंटी-वायरस सॉफ्टेवेयर का इस्तेमाल करके अपने सिस्टम को बार स्कैन करते रहें.
>> स्पैम मैसेज और ईमेल को न खोलें और न ही जवाब दें.
>> ओपन वाई-फाई के इस्तेमाल से बचें. ये नेटवर्क सुरक्षित नहीं होते हैं और हैकर्स आसानी से आपके डेटा तक पहुंच प्राप्त करने के लिए एक मैलिशियस कोड इंजेक्ट कर सकते हैं.
>> एक वर्चुअल प्राइवेट नेटवर्क (वीपीएन) का इस्तेमाल करें जो आपके और वेबसाइट के बीच एक सुरक्षित टनल बनाता है