साइबर अपराध में सोशल इंजीनियरिंग तकनीकें

संदर्भ 

साइबर अपराधियों द्वारा सोशल इंजीनियरिंग विधियों का उपयोग करके उपयोगकर्ताओं को ठगने के नए साधन के रूप में दुर्भावनापूर्ण एंड्रॉइड पैकेज प्रारूप (APK) फाइलों का उपयोग किया जा रहा है।

संबंधित तथ्य 

• साइबर धोखाधड़ी के एक हालिया मामले में, एक महिला ने दावा किया कि बंगलूरू हवाई अड्डे के लाउंज में व्हाट्सऐप पर APK फाइल के माध्यम से अपने आईफोन पर एक ऐप डाउनलोड करने के बाद उसे 1 लाख रुपये तक का नुकसान हुआ।
  • सोशल इंजीनियरिंग तकनीक का उपयोग दुर्भावनापूर्ण ऐप्स को डाउनलोड करने के लिए किया गया था, जिसके द्वारा डिवाइस तक पहुँच बनाई गई थी और संभवतः कॉल फॉरवर्ड सक्षम किया गया था।

साइबर अपराध में सोशल इंजीनियरिंग के बारे में

• सोशल इंजीनियरिंग एक साइबर अपराध तकनीक है, जो उपयोगकर्ताओं को संवेदनशील जानकारी प्रकट करने या सुरक्षा गलतियाँ करने के लिए मनोवैज्ञानिक बदलाव एवं मानवीय भावनाओं को धोखा देने का उपयोग करती है।

• सामान्य तकनीकें
  • फिशिंग (Phishing): ये ईमेल एवं टेक्स्ट संदेश होते हैं, जिनका उद्देश्य पीड़ितों में तात्कालिकता की भावना उत्पन्न करना या उन्हें संवेदनशील जानकारी प्रकट करने, दुर्भावनापूर्ण वेबसाइटों के लिंक पर क्लिक करने अथवा मैलवेयर वाले अनुलग्नकों को खोलने के लिए प्रेरित करना है।
    • उदाहरण: किसी ऑनलाइन सेवा के उपयोगकर्ताओं को भेजा गया एक ईमेल, जिसमें उन्हें नीति उल्लंघन के बारे में सचेत किया जाता है, जिसके लिए उन्हें तत्काल कार्रवाई करनी होती है, जैसे कि पासवर्ड बदलना।
  • बैटिंग (Baiting): एक ऐसी तकनीक, जो पीड़ितों को जाल में फँसाने के लिए झूठे वादे का उपयोग करती है, जो उनकी व्यक्तिगत जानकारी चुरा लेती है या उनके सिस्टम को मैलवेयर से संक्रमित कर देती है।
    • उदाहरण: बैटिंग आमतौर पर उन क्षेत्रों में मैलवेयर (आमतौर पर मैलवेयर-संक्रमित फ्लैश ड्राइव) को फैलाने के लिए फिजिकल मीडिया का उपयोग करता है, जहाँ संभावित पीड़ितों को उन्हें देखना निश्चित है (उदाहरण के लिए, बाथरूम, लिफ्ट इत्यादि)। इसके अलावा प्रलोभन के ऑनलाइन रूपों में लुभावने विज्ञापन शामिल होते हैं, जो दुर्भावनापूर्ण साइटों तक ले जाते हैं।
  • स्केयरवेयर (Scareware): एक ऐसी तकनीकम, जिसमें यूजर के सिस्टम  में झूठे संदेशों एवं धमकियों को भेजा जाता है ताकि वे ऐसा सॉफ्टवेयर इंस्टॉल कर लें, जो या तो मैलवेयर है अथवा जिसका कोई वास्तविक लाभ नहीं है।
    • उदाहरण: वेब सर्फिंग के दौरान ब्राउजर में दिखाई देने वाले पॉपअप बैनर एक सामान्य उदाहरण हैं, जो ऐसे टेक्स्ट को प्रदर्शित करते हैं जैसे, ‘आपका कंप्यूटर हानिकारक स्पाइवेयर प्रोग्राम से संक्रमित हो सकता है।’ 
  • प्रीटेक्सटिंग (Pretexting): एक तकनीक, जिसमें झूठ बोलकर पीड़ित का विश्वास हासिल किया जाता है, अक्सर यह दिखावा करके कि उसे किसी महत्त्वपूर्ण कार्य को करने के लिए संवेदनशील जानकारी की आवश्यकता है।
  • प्रतिदान (Quid pro quo): एक तकनीक जो लोगों की अच्छे कार्यों के प्रति प्रतिक्रिया करने की प्रवृत्ति का लाभ उठाती है।
    • उदाहरण के लिए, एक हमलावर पीड़ित को अपने एंटीवायरस सॉफ्टवेयर को बंद करने के बदले में मुफ्त तकनीकी सहायता की पेशकश कर सकता है। 
  • डीपफेक (Deep Fakes): एक तकनीक जो वास्तविक लोगों की नकल करने वाले यथार्थवादी लेकिन नकली ऑडियो, वीडियो या चित्र बनाने के लिए कृत्रिम बुद्धिमत्ता (AI) का उपयोग करती है। 
    • वाटरिंग होल अटैक (Watering Hole Attack): एक लक्षित तकनीक जिसमें एक ऐसी वेबसाइट से समझौता करना शामिल है, जिस पर लोगों के एक विशेष समूह द्वारा दौरा किए जाने की संभावना है।

भारत में साइबर अपराध वर्ष 2023 में बैंक खातों से छेड़छाड़ के मामलों की संख्या में भारत विश्व स्तर पर पाँचवें स्थान पर था, जहाँ 5.3 मिलियन खातों की जानकारी लीक होने की संभावना है तथा नागरिक प्रत्येक मिनट साइबर अपराधियों के कारण लगभग 1.3 से 1.5 लाख रुपये गँवा रहे हैं। नेशनल साइबर क्राइम रिपोर्टिंग पोर्टल (NCRP) के अनुसार, वर्ष 2023 में डिजिटल वित्तीय धोखाधड़ी के पीड़ितों द्वारा कम-से-कम ₹10,319 करोड़ का नुकसान होने की सूचना मिली है, जिसमें अब तक 5,252 संदिग्ध URL रिपोर्ट किए गए हैं। भारतीय साइबर क्राइम कोऑर्डिनेशन सेंटर (I4C) की एक रिपोर्ट में कहा गया है कि पिछले तीन वर्षों में डिजिटल वित्तीय धोखाधड़ी ₹1.25 लाख करोड़ तक पहुँच गई है।   वित्त पर संसदीय स्थायी समिति की रिपोर्ट ‘साइबर सुरक्षा एवं साइबर/व्हाइट काॅलर क्राइम की बढ़ती घटनाएँ’ में कहा गया है कि वित्त वर्ष 2023 में पर्यवेक्षण संस्थाओं (SE) द्वारा रिपोर्ट की गई घरेलू धोखाधड़ी कुल ₹2,537.35 करोड़ थी। हमलों को रोकने के उपाय मानकीकरण: सभी बैंकों को वास्तविक के रूप में पहचान करने के लिए अपने ग्राहक सेवा नंबर की शुरुआत में ‘160’ लगाने के लिए कहा गया है। तीन अंकों का नंबर 10 अंकों के मोबाइल नंबर का हिस्सा होगा एवं बिना नंबर के किसी भी कॉल को नागरिकों द्वारा नहीं उठाया जाना चाहिए। URL फिशिंग धोखाधड़ी: भारत के सभी बैंकों के URL में .bnk.in होगा एवं वित्तीय संस्थानों के यूआरएल में .fin.in होगा। व्हाइट लिस्टिंग (White Listing): सभी दूरसंचार ऑपरेटर नागरिकों को संदेशों (SMS सहित) के माध्यम से भेजे गए लिंक को ‘व्हाइट-लिस्ट’ करेंगे। जो लिंक व्हाइट-लिस्ट नहीं हैं, उन्हें ऑपरेटर स्तर पर निपटाया जाएगा और वे ग्राहकों तक नहीं पहुँचेंगे। ‘नो योर कस्टमर’ (KYC) प्रक्रियाओं को मजबूत करना, निरीक्षण एवं ऑडिट में सुधार करना तथा विनियमन का अनुपालन सुनिश्चित करना।

इसकी व्यापकता के कारण

• सुरक्षा ज्ञान का अभाव: कई कर्मचारियों में इस प्रकार के हमलों के विरुद्ध खुद को पहचानने एवं उनका बचाव करने के लिए ज्ञान का अभाव है क्योंकि सोशल इंजीनियरिंग हमले मानवीय कमजोरियों का लाभ उठाने के लिए डिजाइन किए गए हैं।
  • सोशल मीडिया उपस्थिति: सोशल इंजीनियर धोखाधड़ी एवं हेरफेर का उपयोग करके खुद को दोस्त या परिवार के सदस्य के रूप में प्रस्तुत करते हैं अथवा बैंक या सरकारी एजेंसी जैसे किसी विश्वसनीय संगठन से होने का दिखावा करते हैं, जो अक्सर सक्रिय सोशल मीडिया उपस्थिति वाले लोगों को लक्षित करते हैं।
  • लालच की अपील: वर्ष 2018 का कुख्यात ईमेल नाइजीरियाई प्रिंस घोटाला लालच की मानवीय प्रकृति को बढ़ावा देने का एक उदाहरण है। इस घोटाले में, एक नाइजीरियाई शाही व्यक्ति प्राप्तकर्ता के बैंक खाते की जानकारी या एक छोटी-सी अग्रिम फीस के बदले में एक बड़ा वित्तीय इनाम देने का दावा करता है।
  • उदारता की अपील: यह पीड़ितों के बेहतर स्वभाव का भी लाभ उठा सकता है, जैसे किसी मित्र को तकनीकी सहायता प्रदान करना या सर्वेक्षण में भाग लेने के लिए कहना, यह दावा करना कि प्राप्तकर्ता का पोस्ट वायरल हो गया है और किसी फर्जी वेबसाइट या मैलवेयर डाउनलोड का नकली लिंक प्रदान करना।
• सोशल इंजीनियरिंग रोकथाम
  • जानकारी की दोबारा जाँच करना: संदिग्ध या अज्ञात स्रोतों से आए ईमेल एवं अटैचमेंट को न खोलना। साथ ही संदेह होने पर हमेशा अन्य स्रोतों, जैसे टेलीफोन के माध्यम से या सीधे सेवा प्रदाता की साइट से ईमेल में समाचार को क्रॉस-चेक करना तथा पुष्टि करना।
  • मल्टीफैक्टर ऑथेंटिकेशन का उपयोग करना: मल्टी फैक्टर ऑथेंटिकेशन का उपयोग करने से सिस्टम से समझौता होने की स्थिति में आपके खाते की सुरक्षा सुनिश्चित करने में मदद मिलती है क्योंकि उपयोगकर्ता क्रेडेंशियल हमलावरों द्वारा माँगी जाने वाली सबसे मूल्यवान जानकारी में से एक है।
  • अद्यतन एंटीवायरस/एंटीमैलवेयर सॉफ्टवेयर: यह सुनिश्चित करने के लिए समय-समय पर जाँच करते रहें कि अपडेट लागू हो गए हैं तथा संभावित संक्रमणों के लिए अपने सिस्टम को स्कैन करते रहना।
  • साइबर सुरक्षा जागरूकता: विभिन्न प्रकार के सामाजिक इंजीनियरिंग घोटालों पर सामान्य शिक्षा तथा संगठन को मजबूत करने एवं मानव जोखिम को कम करने के लिए फिशिंग सिमुलेटर, प्रशिक्षण वीडियो और साइबर सुरक्षा आकलन जैसे निःशुल्क उपकरणों का उपयोग करना।
  • प्रशिक्षण मॉड्यूल: सामाजिक इंजीनियरिंग जागरूकता प्रशिक्षण मॉडल निरंतर समर्थन प्रदान करने के लिए एनिमेटेड वीडियो, इंटरैक्टिव ऑनलाइन प्रशिक्षण, प्रबंधित सुरक्षा सेवाएँ, माइक्रोलर्निंग मॉड्यूल और फिशिंग सिमुलेशन का उपयोग करता है।

‘एंड्रॉइड पैकेज फॉर्मेट’ या ‘एंड्रॉइड पैकेज किट’ फाइलों (APKs) के बारे में APKs फाइलों के प्रारूप में होते हैं, जिनका उपयोग Android ऐप्स वितरित करने और इंस्टॉल करने के लिए करता है। एक APK फाइल में वह सारा डेटा होता है, जिसकी किसी ऐप को जरूरत होती है, जिसमें सॉफ्टवेयर प्रोग्राम के सभी कोड, संपत्तियाँ और संसाधन शामिल होते हैं। सभी Android ऐप्स या तो Google Play Store से डाउनलोड किए जाते हैं या मैन्युअल रूप से APK फाइलों का उपयोग करते हैं। प्रकृति: APK एक आर्काइव फाइल (इसमें कई फाइलें होती हैं, साथ ही उनके बारे में कुछ मेटाडेटा भी होता है, जैसे: ZIP फाइलें) है  और यह JAR (जावा आर्काइव) फाइल प्रारूप का एक प्रकार है। सभी APK मूल रूप से ZIP फाइलें हैं, लेकिन APK के रूप में ठीक से कार्य करने के लिए उनमें अतिरिक्त जानकारी होनी चाहिए। इसलिए सभी APK, ZIP हैं, लेकिन सभी ZIP, APK नहीं हैं। घटक  DEX फाइलें: संकलित कोड जो ऐप चलाने के लिए आवश्यक है। संसाधन: बाहरी तत्त्व जैसे चित्र, स्ट्रिंग एवं XML फाइलें। मेनिफेस्ट फाइल: ऐप की अनुमतियों, सुविधाओं एवं आवश्यकताओं की घोषणा करती है।  एंड्रॉइड पैकेज किट फाइल खोलने का तरीका एंड्रॉइड: ऐप्स को एंड्रॉइड फोन पर Google Play Store के माध्यम से या मैन्युअल रूप से डाउनलोड किया जा सकता है।  मैन्युअल रूप से: उपयोगकर्ता को सबसे पहले एंड्रॉइड ऑपरेटिंग सिस्टम सेटिंग्स में अज्ञात स्रोतों से डाउनलोड को सक्षम करना होगा और फिर इसे किसी अन्य फाइल की तरह डाउनलोड करना होगा और अनुरोध पर खोलना होगा। विंडोज 11 एवं macOS: उपयोगकर्ता एंड्रॉइड के लिए विंडोज सबसिस्टम का उपयोग करके मैन्युअल रूप से APK फाइलें इंस्टॉल कर सकते हैं, जिससे उपयोगकर्ता अमेजन ऐपस्टोर पर उपलब्ध एंड्रॉइड एप्लिकेशन डाउनलोड कर सकते हैं।  ब्लूस्टैक्स जैसे एंड्रॉइड एमुलेटर का उपयोग विंडोज OS पर APK फाइलें खोलने के लिए भी किया जा सकता है।  iOS डिवाइस: APK फाइलें आमतौर पर iOS डिवाइस पर इंस्टॉल नहीं की जा सकती हैं, लेकिन iPhone उपयोगकर्ता iOS के भीतर एक छिपी हुई सेटिंग को सक्षम करके उपयोगकर्ताओं को डेवलपर्स के ऐप्स के बीटा या अप्रकाशित संस्करणों का परीक्षण करने की अनुमति देते हैं। एप्पल का स्विफ्ट SDK स्क्रीन शेयरिंग की भी अनुमति देता है (इन-ऐप एवं बैकग्राउंड दोनों में)।

DOWNLOAD PDF