फ़िशिंग एक हैकिंग का तरीका है जिससे यूजर के पासवर्ड या फिर बैंक डिटेल्स जैसी गुप्त जानकारी को चोरी किया जाता है।
जिस प्रकार मछली पकडने के लिये कॉटे में चारा लगाकर डाला जाता है और चारा खाने के लालच या धोखे में आकर मछली कॉटें में फंस जाती है। उसी प्रकार फ़िशिंग भी हैकर्स द्वारा इन्टरनेट पर नकली वेबसाइट या ईमेल के माध्यम से इन्टरनेट यूजर्स के साथ की गयी धोखेबाजी को कहते हैं। जिसमें वह आपकी निजी जानकारी को धोखेबाजी के माध्यम से चुरा लेते हैं और उसका गलत उपयोग करते हैं।
फ़िशिंग कैसे काम करता है?
फ़िशिंग का काम करने का तरीका साधारण है। जैसे की मानो आपको एक खत आता है आपके दोस्त के नाम से जो की आपसे कुछ चीजों की मांग करता है। लेकिन असल मे वो लेटर आपके दोस्त ने नहीं बल्कि किसी और ने भेज था।
ठीक उसी तरह – कोई भी यूजर आकार आपको लिंक भेजता है – और कहता है की लोगइन करो। अगर आप उस लिंक से लोगइन करते हो तो आपका यूजर नेम और पासवर्ड चुरा लिया जा सकता है। इसी लिए आपको लिंक्स को ध्यान से परखने की आवश्यकता है।
फ़िशिंग अलग अलग तरीकों के हो सकते है। जैसे की –
- स्पीयर फिशिंग
- क्लोन फिशिंग
- व्हैलिंग
- लिंक मैनीपुलेशन
- फ़िल्टर उत्क्रमण
- वेबसाइट जालसाजी
- गुप्त पुनर्निर्देशन
- सामाजिक इंजीनियरिंग (Social Engineering)
फ़िशिंग के प्रकार
1. ईमेल / स्पैम
सबसे आम फ़िशिंग तकनीक का उपयोग करके, एक ही ईमेल लाखों उपयोगकर्ताओं को व्यक्तिगत विवरण भरने के अनुरोध के साथ भेजा जाता है। ये विवरण फिशर्स द्वारा उनकी अवैध गतिविधियों के लिए उपयोग किए जाएंगे। अधिकांश संदेशों में एक जरूरी सूचना होती है जिसके लिए उपयोगकर्ता को खाता जानकारी अपडेट करने, विवरण बदलने या खातों को सत्यापित करने के लिए क्रेडेंशियल दर्ज करने की आवश्यकता होती है। कभी-कभी, उन्हें ईमेल में प्रदान किए गए लिंक के माध्यम से एक नई सेवा तक पहुंचने के लिए एक फॉर्म भरने के लिए कहा जा सकता है।
2. लिंक हेरफेर
लिंक जोड़तोड़ वह तकनीक है जिसमें फिशर एक False वेबसाइट का लिंक भेजता है। जब उपयोगकर्ता भ्रामक लिंक पर क्लिक करता है, तो यह लिंक में उल्लिखित वेबसाइट के बजाय फ़िशर की वेबसाइट को खोलता है। वास्तविक पते को देखने के लिए लिंक पर माउस को हॉवर करने से उपयोगकर्ताओं को लिंक हेरफेर के लिए गिरने से रोकता है।
जैसे की अगर कोई पेज आपको फेस्बूक लोगइन करने को कहती है तो आपको जांच करनी चाहिए की URL facebook.com पर ही हो।
आगर वो faceboook.com या फिर facbook.com जैसे हो , तो वो फिशिंग websites है जिससे आपको बचना चाहिए।
3. मैलवेयर
मैलवेयर से जुड़े फ़िशिंग स्कैम को उपयोगकर्ता के कंप्यूटर पर चलाने की आवश्यकता होती है। मैलवेयर आमतौर पर फिशर्स द्वारा उपयोगकर्ता को भेजे गए ईमेल से जुड़ा होता है। एक बार जब आप लिंक पर क्लिक करते हैं, तो मैलवेयर काम करना शुरू कर देगा। कभी-कभी, मैलवेयर डाउनलोड करने योग्य फ़ाइलों से भी जुड़ा हो सकता है। इसी लिए हमेशा ईमेल से जुड़ी advertisements को ध्यान से परखे।
4. ट्रोजन
ट्रोजन हॉर्स एक प्रकार का मैलवेयर है जो उपयोगकर्ता को एक ऐसी कार्रवाई के साथ गुमराह करने के लिए डिज़ाइन किया गया है जो वैध दिखता है, लेकिन वास्तव में स्थानीय मशीन के माध्यम से क्रेडेंशियल्स एकत्र करने के लिए उपयोगकर्ता खाते में अनधिकृत पहुंच की अनुमति देता है। अधिग्रहित जानकारी फिर साइबर अपराधियों को प्रेषित की जाती है।
5. विशिंग (वॉयस फ़िशिंग)
फोन फ़िशिंग में, फ़िशर उपयोगकर्ता को फ़ोन कॉल करता है और उपयोगकर्ता को एक नंबर डायल करने के लिए कहता है। उद्देश्य फोन के माध्यम से बैंक खाते की व्यक्तिगत जानकारी प्राप्त करना है। फोन फिशिंग ज्यादातर एक फर्जी कॉलर आईडी के साथ किया जाता है।
6. स्मिशिंग (एसएमएस फ़िशिंग)
लघु संदेश सेवा (एसएमएस), टेलीफोन आधारित पाठ संदेश सेवा के माध्यम से आयोजित फ़िशिंग। उदाहरण के लिए, एक मुस्कुराता हुआ पाठ, एक लिंक के माध्यम से व्यक्तिगत जानकारी को प्रकट करने में एक पीड़ित को लुभाने का प्रयास करता है जो एक फ़िशिंग वेबसाइट की ओर जाता है।
7. सामग्री इंजेक्शन
कंटेंट इंजेक्शन वह तकनीक है जहाँ फ़िशर किसी विश्वसनीय वेबसाइट के पृष्ठ पर सामग्री का एक हिस्सा बदलता है। यह वैध वेबसाइट के बाहर एक पृष्ठ पर जाने के लिए उपयोगकर्ता को गुमराह करने के लिए किया जाता है जहां उपयोगकर्ता को फिर व्यक्तिगत जानकारी दर्ज करने के लिए कहा जाता है।
8. क्लोन फिशिंग
क्लोन फ़िशिंग एक प्रकार का फ़िशिंग हमला है, जिसके द्वारा एक वैध, और पूर्व में वितरित, एक अनुलग्नक या लिंक वाले ईमेल में इसकी सामग्री और प्राप्तकर्ता का पता (एसएएस) लिया जाता है और लगभग एक समान या क्लोन ईमेल बनाने के लिए उपयोग किया जाता है।
ईमेल के अंदर लगाव या लिंक को एक दुर्भावनापूर्ण संस्करण से बदल दिया जाता है और फिर मूल प्रेषक से आने के लिए ईमेल पते से धोखा दिया जाता है। यह मूल या अपडेट किए गए संस्करण को मूल के पुन: भेजने का दावा कर सकता है। यह तकनीक पहले से संक्रमित मशीन या ईमेल धारक जिस पर साइबर अपराधियों ने हमला किया है के ईमेल खाता के द्वारा की जाती है |
9. अन्य तकनीक
एक और हमले मे सफलतापूर्वक ग्राहक को बैंक की वैध वेबसाइट पर अग्रेषित करना है, फिर पृष्ठ के शीर्ष पर क्रेडेंशियल्स का अनुरोध करने के लिए एक पॉपअप विंडो को स्थापित करना है जिससे कई प्रयोक्ताओं को लगता है कि बैंक इस संवेदनशील जानकारी का अनुरोध कर रहे हैं।
यह विधि चुपचाप उपयोगकर्ता को प्रभावित साइट पर रीडायरेक्ट करती है। यह तकनीक अधिकांश फ़िशिंग तकनीकों के लिए रिवर्स में संचालित करती है, क्योंकि यह उपयोगकर्ता को सीधे धोखाधड़ी साइट पर नहीं लेती है, बल्कि ब्राउज़र के खुले टैब में से एक में नकली पृष्ठ को लोड करता है।
एक फ़िशर नकली वायरलेस नेटवर्क बनाता है जो एक वैध सार्वजनिक नेटवर्क के समान दिखता है जो कि हवाई अड्डों, होटल या कॉफी की दुकानों जैसे सार्वजनिक स्थानों में पाई जा सकती है।
जब भी कोई व्यक्ति फर्जी नेटवर्क पर लॉग इन करता है, तो धोखेबाज पासवर्ड और / या क्रेडिट कार्ड की जानकारी प्राप्त करने की कोशिश करते हैं।
तो दोस्तों ये रहे कुछ आम फिशिंग तरीके, अब हम देखते है की किस तरह फ़िशिंग से बच जा सकता है।
आप नीचे विडिओ देख सकते है जिसमे phishing को हिन्दी मे ठीक से explain किया है।
क्या न करें –
किसी अंजान स्रोत से प्राप्त ई-मेल के किसी भी लिंक को क्लिक न करें। इसमें दुर्भावनापूर्ण कोड (malicious code) या ‘’फिश’’के हमले का प्रयास हो सकता है।
पॉप-अप विंडो के रूप में आए पेज पर किसी भी प्रकार की कोई जानकारी नही दें।
कभी भी अपना पासवर्ड फोन पर या ई-मेल से प्राप्त अनपेक्षित अनुरोध पर नहीं बताएं।
हमेशा याद रखें कि जैसे पासवर्ड, पिन (PIN), टिन (TIN) आदि की जानकारी पूरी तरह से गोपनीय है तथा बैंक के कर्मचारी/सेवा कार्मिक भी इसकी माँग नहीं करते हैं। इसलिए ऐसी जानकारियां मांगे जाने पर भी किसी को न दें।