What is social engineering, The art of human hacking in hindi

What is social engineering the art of human hacking in Hindi




दोस्तों Security दो side वाला एक सिक्का है. एक तरफ से, हम आराम और आश्वासन की भावना की तलाश करते हैं और दूसरी तरफ से, चोर, हैकर और वैंडल gap की तलाश में रहते हैं.

Social engineering मे attacker अपने victim के बारे में अलग अलग सोर्स से ज्यादा से ज्यादा जानकारी जुटाटा है और एसमे attacker और टारगेट system या network के बीच कोई interaction नहीं होता है. यह एक तरह का non technical attack होता है.

सोशल इंजीनियरिंग को सूचना प्रकट करने के लक्ष्य को समझाने की कला के रूप में माना जाता हैयह लक्ष्य के साथ शारीरिक रूप से वन-टू-वन इंटरेक्शन हो सकता है या किसी भी प्लेटफ़ॉर्म जैसे सोशल मीडिया के लिए एक लोकप्रिय प्लेटफ़ॉर्म हो सकता है. तथ्य यह है कि लोग लापरवाह हैं, या उनके द्वारा सोशल मीडिया पर शेयर की जाने वाली मूल्यवान जानकारी के महत्व से अनजान हैं. 

Trust हम इंसानो की सबसे बड़ी vulnerability है. ट्रस्ट से गोपनीयता की हानि होती ही है और हैकर से भी खतरा हो सकता है. एक उदाहरण यह है कि हमे जीतने भी धोखाधड़ी के कॉल हैकर्स से आते हैं वे यह दावा करते हैं कि वे सुरक्षा चिंता के लिए बैंक से कॉल कर रहे हैं और क्रेडिट कार्ड का विवरण मांगते हैं. यदि हैकर लक्ष्य को हासिल करने में विश्वास रखता है और विश्वास हासिल करता है तो पीड़ित व्यक्ति अपने detail को साझा करेगा और इसलिए संबंधित बैंक से उसे धन की हानि भी हो सकती है.

Phase of social engineering attack


सोशल इंजीनियरिंग हमले जटिल हमले नहीं होते हैं जिनके लिए मजबूत तकनीकी ज्ञान की आवश्यकता होती है. एक हमलावर non technical व्यक्ति भी हो सकता है जैसा कि पहले परिभाषित किया गया है कि यह लोगों से जानकारी चुराने का एक कार्य है. हालाँकि, सोशल इंजीनियरिंग हमले निम्न चरणों द्वारा किए जाते हैं:

1. Research




Research चरण में लक्ष्य organizations के बारे में जानकारी का एक संग्रह शामिल होता है. यह डंपस्टर डाइविंग, organizations की वेबसाइटों को स्कैन करके, इंटरनेट पर जानकारी प्राप्त करके , लक्ष्य organization के कर्मचारी से जानकारी इकट्ठा करके एकत्र किया जा सकता है. 

2. Select target 


Target चरण के चयन में, हमलावर किसी संगठन के अन्य कर्मचारी के बीच target का चयन करता है. एक frusted target अधिक पसंद किया जाता है क्योंकि उससे जानकारी प्रकट करना आसान होगा.

3.Relationship


रिलेशनशिप चरण में लक्ष्य के साथ संबंध बनाना शामिल है जिस तरह से वह वास्तव में लक्ष्य में इरादे की पहचान नहीं कर सका, वह हमलावर पर भरोसा करेगा. लक्ष्य और हमलावर के बीच अधिक विश्वास स्तर जानकारी को प्रकट करना आसान होगा

4.Exploit


संवेदनशील जानकारी जैसे कि उपयोगकर्ता नाम, पासवर्ड, नेटवर्क, सूचना आदि के संग्रह द्वारा संबंधों को exploit  करना.


 ज्ञान बढ़ाये 

Types of social engineering attack

Social engineering अटैक अलग अलग technique से performe किया जा सकता है. अलग अलग सोशल इंजिनियरिंग अटैक और टैक्नीक कुछ एस तरह से है 

1.Impersonation


Impersonation एक मानव-आधारित सामाजिक इंजीनियरिंग तकनीक है. प्रतिरूपण का अर्थ है किसी का या किसी चीज़ का दिखावा. सोशल इंजीनियरिंग में प्रतिरूपण करना एक हमलावर को एक वैध उपयोगकर्ता होने या एक अधिकृत व्यक्ति होने का नाटक करने का दिखावा है. यह प्रतिरूपण या तो व्यक्तिगत रूप से या संचार चैनल के पीछे हो सकता है जैसे कि ईमेल, टेलीफोन के साथ संचार करते समय. 

2.Eavesdropping and shoulder surfing


एवेसड्रॉपिंग एक ऐसी तकनीक है जिसमें हमलावर की बातचीत को गंभीरता से सुनकर जानकारी का पता चलता है. इसमें केवल बातचीत सुनना, ही शामिल नहीं है या बिना सूचना के किसी भी स्रोत को पढ़ना या एक्सेस करना भी शामिल है. 

3. Dumpster diving


डंपस्टर डाइविंग कचरे में खजाने की तलाश की प्रक्रिया है. यह तकनीक पुरानी है लेकिन फिर भी प्रभावी है. इसमें प्रिंटर के कचरा, उपयोगकर्ता डेस्क, कंपनी के ट्रैश को फोन बिल, संपर्क जानकारी, वित्तीय जानकारी, source कोड, और अन्य सहायक सामग्री खोजने के लिए target ट्रैश तक का पहुंच शामिल है. 

4. Reverse social engineering 



रिवर्स सोशल इंजीनियरिंग हमले के लिए हमलावर और पीड़ित की बातचीत की आवश्यकता होती है, जहां एक हमलावर को समस्या होने के लक्ष्य को आश्वस्त करता है कि भविष्य में समस्या हो सकती है. यदि पीड़ित आश्वस्त है कि वह हमलावर द्वारा आवश्यक जानकारी प्रदान करेगा. रिवर्स सोशल इंजीनियरिंग निम्नलिखित चरणों के माध्यम से किया जाता है:

a. एक हमलावर टारगेट के system को नुकसान पहुँचाता है या known vulnerability की पहचान करता है. 

b.Attacker समस्याओं के समाधान के लिए अपने आप को एक authorize व्यक्ति के रूप में विज्ञापित करता है. 

c. Attacker target का विश्वास हासिल करता है और संवेदनशील जानकारी तक पहुंच प्राप्त करता है. 

d.Upon सफल रिवर्स सोशल इंजीनियरिंग, उपयोगकर्ता को अक्सर मदद के लिए हमलावर मिल सकता है. 

5.Piggybacking और Tailgating


ये दोनों समान तकनीक हैं. पिग्गीबैकिंग वह तकनीक है जिसमें unauthorized व्यक्ति किसी प्रतिबंधित क्षेत्र में प्रवेश पाने के लिए किसी authorized व्यक्ति की प्रतीक्षा करता है, जबकि टेलगेटिंग वह तकनीक है जिसमें unauthorized व्यक्ति authorized व्यक्ति का अनुसरण करके प्रतिबंधित क्षेत्र में पहुंच बनाता है, जिससे फर्जी आईडी बनाकर चौकियों को पार करते हुए करीब से गुजरना, Tailgating करना आसान हो जाता है. 

Gathering information from website


कॉर्पोरेट या व्यक्तिगत वेबसाइटें सूचना का एक बड़ा हिस्सा प्रदान कर सकती हैं. 
पहली बात यह है कि एक अच्छा सोशल इंजीनियर अक्सर उतना डेटा इकट्ठा करता है जितना वह कर सकता है
कंपनी या व्यक्ति की वेबसाइट से कर सकते हैं तथा वेबसाइट पर कुछ गुणवत्ता समय बिताने से उसे उस वेबसाइट के बारे में बहुत कुछ जानकारी मिल जाती है जैसे कि 


  • वो क्या करते है
  • उत्पाद और सेवाएं जो वे प्रदान करते हैं
  • Physical place
  • नौकरी की रिक्तियां
  • संपर्क संख्या
  • अधिकारियों या निदेशक मंडल पर आत्मकथाएँ
  • Support forum
  • ईमेल नामकरण conventions


विशेष शब्द या वाक्यांश जो पासवर्ड प्रोफाइलिंग में मदद कर सकते हैं लोगों की व्यक्तिगत वेबसाइटों को देखना भी आश्चर्यजनक है क्योंकि वे अपने जीवन के बारे में लगभग हर अंतरंग विस्तार से जोड़ेंगे - बच्चे, मकान, नौकरी, और बहुत कुछ. इस जानकारी को वर्गों में सूचीबद्ध किया जाना चाहिए क्योंकि यह अक्सर इस सूची से कुछ होगा जो attack में उपयोग किया जाता है. कई बार कंपनी के कर्मचारी एक ही मंचों, शौक सूचियों या सोशल मीडिया साइटों का हिस्सा होंगे.


ज्ञान बढ़ाये 



यदि आप लिंक्डइन या फेसबुक पर एक कर्मचारी पाते हैं, तो संभावना है कि कई और भी हैं. उस सभी डेटा को इकट्ठा करने की कोशिश करना वास्तव में एक सोशल इंजीनियर को कंपनी के साथ-साथ कर्मचारियों को भी प्रोफाइल करने में मदद कर सकता है. कई कर्मचारी अपने सोशल मीडिया आउटलेट्स में अपने नौकरी के शीर्षक के बारे में बात करेंगे. यह एक सोशल इंजीनियर को यह पता लगाने में मदद कर सकता है कि एक विभाग में कितने लोग हो सकते हैं और विभाग कैसे ऑपरेट हो रहा हैं.

Search engine


search engine
search engine


Johnny Long ने penetration tester के लिए Google हैकिंग नामक एक प्रसिद्ध पुस्तक लिखी और इस पुस्तक में माध्यम से वास्तव में Google के पास मौजूद जानकारी की अद्भुत डेटा ने लिए कई लोगों की आँखें खोल दीं. Google क्षमा करता है लेकिन यह कभी नहीं भूलता है, और इसकी तुलना Oracle से की गई है. जब तक आपको पता है कि google से कैसे पूछना है, तो यह आपको सबसे ज्यादा कुछ भी बता सकता है जो आप जानना चाहते हैं.

जॉनी ने "Google डॉर्क", या एक स्ट्रिंग जिसे वे Google में खोज करने के लिए उपयोग किया जा सकता है, की एक सूची विकसित की, ताकि किसी कंपनी के बारे में जानकारी मिल सके. उदाहरण के लिए यदि आप टाइप करते हैं

microsoft.com filetype: pdf  तो आपको हर उस फ़ाइल की एक सूची दी जाएगी जिसमें PDF का विस्तार है जो microsoft.com डोमेन पर है. खोज शब्दों से परिचित होना जो आपके target पर फ़ाइलों का पता लगाने में आपकी मदद कर सकते हैं, सूचना एकत्र करने का एक बहुत महत्वपूर्ण हिस्सा है.

Social media


social media
social media

कई कंपनियों ने हाल ही में सोशल मीडिया को अपनाया है. यह सस्ता marketing है जो बड़ी संख्या में संभावित ग्राहकों को छूता है. यह उस कंपनी की जानकारी का एक और stream है जो व्यावहारिक जानकारी के breadcrumbs प्रदान कर सकती है.

कंपनियां घटनाओं, नए उत्पादों, प्रेस advertising , और कहानियों पर समाचार प्रकाशित करती हैं जो उन्हें वर्तमान घटनाओं से संबंधित कर सकती हैं. हाल ही में, social नेटवर्क ने अपने स्वयं के दिमाग ले लिया है. जब कोई एक सफल हो जाता है तो ऐसा लगता है कि कुछ और पॉप अप आते हैं जो समान तकनीक का उपयोग करते हैं. Twitter, Blippy, PleaseRobMe, ICanStalkU, Facebook, LinkedIn, MySpace, और अन्य जैसी साइटों के साथ, आप विस्तृत रूप में लोगों के जीवन और ठिकाने के बारे में जानकारी पा सकते हैं.


User site,Blog,और भी जगहो से 

user blog site
user site

User साइटें जैसे ब्लॉग, विकी, और ऑनलाइन वीडियो न केवल target कंपनी के बारे में जानकारी प्रदान कर सकते हैं, बल्कि content पोस्ट करने वाले उपयोगकर्ता (उपयोगकर्ताओं) के माध्यम से अधिक व्यक्तिगत कनेक्शन भी प्रदान करते हैं. एक असंतुष्ट कर्मचारी, जो अपनी कंपनी की समस्याओं के बारे में ब्लॉगिंग कर रहा है, वह समान राय या समस्याओं वाले किसी दूसरे व्यक्ति से सहानुभूति रखने के लिए अतिसंवेदनशील हो सकता है. किसी भी तरह से, उपयोगकर्ता हमेशा किसी को भी देखने और पढ़ने के लिए वेब पर अधिक मात्रा में डेटा पोस्ट कर रहे हैं.

ज्ञान बढ़ाये 


सोशल इंजीनियरिंग किसी भी व्यक्ति पर अपने सोशल नेटवर्किंग अकाउंट के जरिए की जा सकती है. अधिकांश जानकारी उनके द्वारा ली जा सकती है. आपका फोन नंबर आपके पते पर आपके परिवार के सदस्यों के विवरण, प्रत्येक और सब कुछ आपके प्रोफ़ाइल पर उपलब्ध है. हो सकता है कि आपको लगता है कि आपके खाते पर कोई बहुमूल्य जानकारी उपलब्ध नहीं है, लेकिन एक हैकर प्रत्येक और हर मिनट का विवरण निकाल सकता है और exploit के लिए उपयोग कर सकता है.

3 Comments

Post a Comment

Previous Post Next Post