फिशिंग

मुक्त ज्ञानकोश विकिपीडिया से
नेविगेशन पर जाएँ खोज पर जाएँ
फ़िशिंग ईमेल का एक उदाहरण, जिसमे इसे एक बैंक (कल्पित) द्वारा भेजी गयी ईमेल का रूप दिया गया है। इसमें प्रेषक प्राप्तकर्ता को फंसा कर उसकी गोपनीय जानकारी का खुलासा फ़िशर की वेबसाइट पर उसकी "पुष्टि" करवाकर कर रहा है।

जिस प्रकार मछली पकडने के लिये कॉटे में चारा लगाकर डाला जाता है और चारा खाने के लालच या धोखे में आकर मछली कॉटें में फंस जाती है। उसी प्रकार फ़िशिंग भी हैकर्स द्वारा इन्‍टरनेट पर नकली वेबसाइट  या ईमेल के माध्‍यम से इन्‍टरनेट यूजर्स के साथ की गयी धोखेबाजी को कहते हैं। जिसमें वह आपकी निजी जानकारी को धोखेबाजी  के माध्‍यम से चुरा लेते हैं और उसका गलत उपयोग करते हैं 

इलेक्ट्रॉनिक संचार में फ़िशिंग या फिशिंग (अंग्रेजी:Phishing) या इलेक्ट्रोनिक जालसाज़ी, एक ऐसा कार्य है जिसमें किसी विश्वसनीय इकाई का मुखौटा धारण कर उपयोगकर्ता नाम (प्रयोक्ता नाम), पासवर्ड (कूटशब्द) और क्रेडिट कार्ड का विवरण (और कभी-कभी, परोक्ष रूप से, पैसा) जैसी विभिन्न जानकारियां हासिल करने का प्रयास किया जाता है। अशंकित जनता को लुभाने के लिए यह संचार आमतौर पर, लोकप्रिय सामाजिक वेब साइटों, नीलामी साइटों, बैंकों, ऑनलाइन भुगतान प्रोसेसर या आईटी प्रशासकों के नाम पर किया जाता है।

आमतौर पर फ़िशिंग ईमेल स्पूफिंग या त्वरित संदेश द्वारा किया जाता है और अक्सर उपयोगकर्ताओं को एक नकली वेबसाइट जिसका रूप और अनुभव बिल्कुल असली वेबसाइट (वैध वेबसाइट) के समान होता है पर, अपने विवरण दर्ज करने के लिए निर्देशित किया जाता है। फ़िशिंग ईमेलों में मैलवेयर से संक्रमित वेबसाइटों की कड़ियां हो सकती हैं। फ़िशिंग सामाजिक इंजीनियरिंग तकनीक का एक उदाहरण है जिसका इस्तेमाल कर वर्तमान वेब सुरक्षा प्रौद्योगिकियों के घटिया प्रयोज्य का लाभ उठाते हुए उपयोगकर्ताओं को धोखा दिया जाता है।

फ़िशिंग की घटनाओं की संख्या में हुई वृद्धि को देखते हुए और इन पर अंकुश लगाने के लिए विभिन्न उपाय जैसे कि इनके विरुद्ध कानून, उपयोगकर्ता प्रशिक्षण, सार्वजनिक जागरूकता और तकनीकी सुरक्षा को सुदृढ़ करना आदि को अपनाया जा रहा है। फ़िशिंग तकनीक को 1987 में विस्तार से वर्णित किया गया था और फ़िशिंग शब्द का पहला दर्ज उपयोग 1995 में ए एस टी कंप्यूटर्स के जेसन शान्नोन द्वारा किया गया था।

क्‍या है फिशिंग हमला

यह अपराधी फ़िशिंग के माध्‍यम से आपको नकली ईमेल या संदेश भेजते हैं, जो किसी प्रतिष्ठित कम्‍पनी, आपकी बैंक, आपकी क्रेडिट कार्ड कम्‍पनी, ऑनलाइन शॉपिंग की तरह मिलते-जुलते होते हैं, अगर आप सतर्क नहीं हैं तो आप इनके झॉसे में जल्‍द ही आ जाते हैं। इन नकली ईमेल या संदेश का उद्देश्‍य से आपकी पर्सनल आइडेंटिफाइएबल इन्फ़ॉर्मेशन को चुराना है। पर्सनल आइडेंटिफाइएबल इन्फ़ॉर्मेशन के अन्‍तर्गत आपकी निजी जानकारियॉ आती है जैसे - 

1.                 आपका नाम 

2.                 आपकी ईमेल यूजर आई0डी

3.                 आपका पासवर्ड 

4.                 आपका मोबाइल नम्‍बर या फोन नम्‍बर

5.                 आपका पता

6.                 बैंक खाता नम्‍बर

7.                 एटीएम कार्ड, डेबिट कार्ड तथा क्रेडिट कार्ड नम्‍बर 

8.                 एटीएम कार्ड, डेबिट कार्ड तथा क्रेडिट कार्ड आदि का वेलिडेशन कोड

9.                 आपकी जन्‍मतिथि 

फिशिंग के प्रकार

स्पीयर फिशिंग -

ये एक E-mail Spoofing attack होता है | ये एक specific organization या फिर individual मतलब व्यक्तीगत लोगो की confidential information हासिल करने के लिये किया जाता है | स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है।

यह फिशिंग तकनीकी हैकर्स मे काफी लोकप्रिय है | लगभग 90 प्रतिशत हमले इसी तकनीकी के द्वारा ही किया जाता है | इसमें हैकर्स द्वारा पूर्व निर्धारित कंपनी या लोगो की ब्याक्तिगत सूचनाओ को एकत्रित किया जाता है |

क्लोन फिशिंग -

क्लोन फ़िशिंग एक प्रकार का फ़िशिंग हमला है, जिसके द्वारा एक वैध, और पूर्व में वितरित, एक अनुलग्नक या लिंक वाले ईमेल में इसकी सामग्री और प्राप्तकर्ता का पता (एसएएस) लिया जाता है और लगभग एक समान या क्लोन ईमेल बनाने के लिए उपयोग किया जाता है। ईमेल के अंदर लगाव या लिंक को एक दुर्भावनापूर्ण संस्करण से बदल दिया जाता है और फिर मूल प्रेषक से आने के लिए ईमेल पते से धोखा दिया जाता है। यह मूल या अपडेट किए गए संस्करण को मूल के पुन: भेजने का दावा कर सकता है। यह तकनीक पहले से संक्रमित मशीन या ईमेल धारक जिस पर साइबर अपराधियों ने हमला किया है के ईमेल खाता के द्वारा की जाती है |

व्हैलिंग -

कई फ़िशिंग हमलों को विशेष रूप से वरिष्ठ अधिकारियों और व्यवसायों के भीतर अन्य हाई-प्रोफाइल लक्ष्यों पर निर्देशित किया गया है, और इस तरह के हमलों के लिए व्हेलिंग शब्द को गढ़ा गया है। एक व्हेलिंग हमले मे ईमेल की सामग्री अक्सर एक कानूनी प्रतिवेदन, ग्राहक शिकायत या कार्यकारी मुद्दे के रूप में लिखी जाती है। इस मे ईमेल को इस तरह बनाया जाता है की उससे यहाँ प्रतीत होता है की की यह ईमेल किसी उच्च अधिकारी द्वारा भेजी गई हो। व्हेलिंग फिशर्स इसमें लोगो की जानकारी ईमेल और विशेष सॉफ्टवेर के माध्यम से एकत्रित कर लेते है |

लिंक मैनीपुलेशन -

फ़िशिंग के अधिकांश तरीकों का उपयोग किसी एक ईमेल में लिंक बनाने के लिए डिज़ाइन किए गए कुछ तकनीकी धोखे का उपयोग करते हैं | गलत वर्तनी वाले यूआरएल या उपडोमेन का इस्तेमाल आम तौर पर फिशर द्वारा इस्तेमाल किया जाता है। इसमे एक संदिग्ध यूआरएल में, ऐसा प्रतीत होता है जैसे कि यूआरएल आपको आपकी बैंक वेबसाइट के किसी अनुभाग में ले जाएगा; जबकि ऐसा नहीं होकर क्लिक किया गया लिंक हेकेर्स के द्वारा चाही गई हेकिंग साईट पर ले जाता है। एक और आम चाल एक लिंक के लिए प्रदर्शित टेक्स्ट एक विश्वसनीय गंतव्य का सुझाव देती है, जब वास्तव में लिंक 'फिशर्स साइट पर जाता है |

यूआरएल के साथ एक और समस्या वेब ब्राउजर में अंतरराष्ट्रीयकृत डोमेन नाम (आईडीएन) को संभालने में मिली है, जो अलग-अलग, संभावित रूप से दुर्भावनापूर्ण, वेबसाइटों के समान वेब पते की अनुमति दे सकती है जिसे आईडीएन स्पूफिंग या होमफोग्राफ हमला कहा जाता है, फ़िशर्स ने विश्वसनीय डोमेन के साथ दुर्भावनापूर्ण यूआरएल को छिपाने के लिए भरोसेमंद संगठनों की वेबसाइटों पर ओपन यूआरएल रीडायरेक्टर का उपयोग करके हमला करते है |

फ़िल्टर उत्क्रमण -

फिशर्स ने फ़िशिंग ईमेल में आमतौर पर उपयोग किए गए टेक्स्ट को खोजने के लिए और एंटी फ़िशिंग फ़िल्टरों के लिए कठिन बनाने के लिए टेक्स्ट  की बजाय छवियों का उपयोग करना शुरू कर दिया है। हालांकि, इसने अधिक परिष्कृत एंटी फ़िशिंग फ़िल्टर के विकास के लिए प्रेरित किया है जो चित्रों में छिपे हुए पाठ को पुनर्प्राप्त करने में सक्षम हैं। ऑप्टिकली छवि को स्कैन करने और उसे फ़िल्टर करने के लिए ये फिल्टर ओसीआर (ऑप्टिकल कैरेक्टर मान्यता) का उपयोग करते हैं। 

वेबसाइट जालसाजी -

एक बार जब कोई शिकार फ़िशिंग वेबसाइट पर जाता है, तो एड्रेस बार को बदलने के लिए कुछ फ़िशिंग स्कैम जावास्क्रिप्ट कमांड का उपयोग करते हैं। यह या तो एड्रेस बार पर एक वैध यूआरएल की तस्वीर रखकर या मूल बार को बंद करके और वैध यूआरएल के साथ एक नया खोलकर किया जाता है। एक हमलावर शिकार के खिलाफ विश्वसनीय वेबसाइट की अपनी लिपियों में भी खामियों का इस्तेमाल कर सकता है। इस प्रकार के हमलों को क्रॉस-साइट स्क्रिप्टिंग के रूप में जाना जाता है | उपयोगकर्ता को अपने बैंक या सेवा के स्वयं के वेब पेज पर साइन इन करने के निर्देश देते हैं, जहां वेब पते से सब कुछ सही दिखाई देता है हकीकत में, वेबसाइट के लिए लिंक को हमले करने के लिए तैयार किया जाता है, जिससे विशेषज्ञ ज्ञान के बिना समझना कठिन होता है। एक सार्वभौमिक एमआईटीएम फ़िशिंग किट, 2007 में खोजी गई, एक साधारण-से-उपयोग अंतरफलक प्रदान करता है जो एक फ़िशर को वेबसाइटों को ठोस रूप से पुन: पेश करने और नकली साइट पर दर्ज किए गए लॉग-इन विवरणों को कैप्चर करने की अनुमति देता है।फ़िशिंग-संबंधित पाठ के लिए वेबसाइट स्कैन करने वाली एंटी फ़िशिंग तकनीकों से बचने के लिए, फ़िशर्स ने फ़्लैश-आधारित वेबसाइट (फ़्लेशिंग के रूप में जाना जाने वाला एक तकनीक) का उपयोग करना शुरू कर दिया है। ये असली वेबसाइट की तरह दिखते हैं, लेकिन एक मल्टीमीडिया ऑब्जेक्ट में टेक्स्ट छुपाएं हुए रहती है |

गुप्त पुनर्निर्देशन

गुप्त पुनर्निर्देशन फ़िशिंग आक्रमणों को निष्पादित करने के लिए एक सूक्ष्म विधि है जो लिंक को वैध दिखता है, लेकिन वास्तव में एक हमलावर की वेबसाइट पर शिकार को पुनर्निर्देशित करता है। आमतौर पर किसी प्रभावित साइट के डोमेन के आधार पर लॉग-इन पॉपअप के तहत किया जाता है। यह अक्सर तृतीय-पक्ष अनुप्रयोग वेबसाइटों में खुली रीडायरेक्ट का उपयोग करता है। सामान्य फ़िशिंग प्रयासों को स्थान देना आसान हो सकता है क्योंकि दुर्भावनापूर्ण पृष्ठ का URL आमतौर पर वास्तविक साइट लिंक से अलग होगा। गुप्त रीडायरेक्ट के लिए, एक हमलावर साइट को दुर्भावनापूर्ण लॉगिन पॉपअप संवाद बॉक्स के साथ भ्रष्ट करने के बजाय वास्तविक वेबसाइट का उपयोग कर सकता है। इससे गुप्त रीडायरेक्ट दूसरों से भिन्न होता है। इन सूचनाओं में ईमेल पता, जन्म तिथि, संपर्क और कार्य इतिहास शामिल हो सकता है। हमलावर मेलबॉक्स, ऑनलाइन उपस्थिति और मित्रों की सूची सहित अधिक संवेदनशील जानकारी प्राप्त कर सकता है। इससे भी बदतर, हमलावर उपयोगकर्ता के खाते को नियंत्रित और संचालित कर सकता है। हमलावर द्वारा नियंत्रित वेबसाइट पर पुनर्निर्देशित किया जाएगा।

सामाजिक इंजीनियरिंग

विविध तकनीकी और सामाजिक कारणों से विभिन्न प्रकार की अप्रत्याशित सामग्री पर क्लिक करने के लिए उपयोगकर्ताओं को प्रोत्साहित किया जा सकता है।

फोन फिशिंग

सभी फ़िशिंग हमलों के लिए एक नकली वेबसाइट की आवश्यकता नहीं है बैंक से होने का दावा करने वाले संदेश उपयोगकर्ताओं को अपने बैंक खातों की समस्याओं के बारे में फोन नंबर डायल करने के लिए कहते थे। एक बार फोन नंबर (फ़िशर के स्वामित्व वाले, और आईपी सेवा पर एक आवाज से उपलब्ध कराया गया) डायल किया गया, संकेत देता है कि उपयोगकर्ता अपना खाता नंबर और पिन दर्ज करें वाशिंग (वॉइस फ़िशिंग) कभी-कभी नकली कॉलर-आईडी डेटा का इस्तेमाल करता है ताकि ये दर्शाने के लिए कि कॉल एक विश्वसनीय संगठन से आती है। एसएमएस फिशिंग सेलफोन पाठ संदेश का उपयोग करता है ताकि लोगों को अपनी निजी जानकारी का खुलासा किया जा सके।

अन्य तकनीक

एक और हमले मे सफलतापूर्वक ग्राहक को बैंक की वैध वेबसाइट पर अग्रेषित करना है, फिर पृष्ठ के शीर्ष पर क्रेडेंशियल्स का अनुरोध करने के लिए एक पॉपअप विंडो को स्थापित करना है जिससे कई प्रयोक्ताओं को लगता है कि बैंक इस संवेदनशील जानकारी का अनुरोध कर रहे हैं। यह विधि चुपचाप उपयोगकर्ता को प्रभावित साइट पर रीडायरेक्ट करती है। यह तकनीक अधिकांश फ़िशिंग तकनीकों के लिए रिवर्स में संचालित करती है, क्योंकि यह उपयोगकर्ता को सीधे धोखाधड़ी साइट पर नहीं लेती है, बल्कि ब्राउज़र के खुले टैब में से एक में नकली पृष्ठ को लोड करता है। एक फ़िशर नकली वायरलेस नेटवर्क बनाता है जो एक वैध सार्वजनिक नेटवर्क के समान दिखता है जो कि हवाई अड्डों, होटल या कॉफी की दुकानों जैसे सार्वजनिक स्थानों में पाई जा सकती है। जब भी कोई व्यक्ति फर्जी नेटवर्क पर लॉग इन करता है, तो धोखेबाज पासवर्ड और / या क्रेडिट कार्ड की जानकारी प्राप्त करने की कोशिश करते हैं।

कार्य पद्धति:

  • फ़िशिंग से ग्राहकों की व्यक्तिगत पहचान संबंधी डाटा एवं खातों संबंधी वित्तीय जानकारियां चुराने के लिए सोशल इंजीनियरिंग और तकनीकी छल दोनों का प्रयोग किया जाताहै।
  • ग्राहक को एक फर्जी ई-मेल प्राप्त होता है जिसमें इंटरनेट का पता वैध प्रतीत होता है।
  • ई-मेल में ग्राहक को मेल में उपलब्ध एक हाइपरलिंक पर क्लिक करने के लिए कहा जाता है।
  • हाइपरलिंक पर क्लिक करते ही वह ग्राहक को एक फर्जी वेब साइट पर ले जाता है जो वास्तविक साइट के समान दिखती है।
  • प्राय: यह ई-मेल उनकी बातों का अनुपालन करने पर इनाम देने का वादा करती हैं या न मानने पर पेनल्टी डालने की चेतावनी दी जाती है।
  • ग्राहक को अपनी व्यक्तिगत जानकारी जैसे कि पासवर्ड, क्रेडिट कार्ड और बैंक खाता संख्या आदि को अद्यतन करने के लिए कहा जाता है।
  • ग्राहक विश्वास में अपनी व्यक्तिगत जानकारियां दे देता है और ‘’सबमिट ’’ बटन पर क्लिक करता है।
  • उसे error page दिखाई देता है।
  • ग्राहक फ़िशिंग का शिकार हो जाता है।   

क्या न करें:

  • किसी अंजान स्रोत से प्राप्त ई-मेल के किसी भी लिंक को क्लिक न करें। इसमें दुर्भावनापूर्ण कोड (malicious code) या ‘’फिश’’के हमले का प्रयास हो सकता है।
  • पॉप-अप विंडो के रूप में आए पेज पर किसी भी प्रकार की कोई जानकारी नही दें।
  • कभी भी अपना पासवर्ड फोन पर या ई-मेल से प्राप्त अनपेक्षित अनुरोध पर नहीं बताएं।
  • हमेशा याद रखें कि जैसे पासवर्ड, पिन (PIN), टिन (TIN) आदि की जानकारी पूरी तरह से गोपनीय है तथा बैंक के कर्मचारी/सेवा कार्मिक भी इसकी माँग नहीं करते हैं। इसलिए ऐसी जानकारियां मांगे जाने पर भी किसी को न दें।

क्या करें:

  • हमेशा एड्रेस बार में सही यूआरएल टाइप कर साईट को लॉग-ऑन करें।
  • आपका यूजर आईडी एवं पासवर्ड केवल अधिकृत लॉग-इन पेज पर ही दें।
  • अपना यूजर आईडी एवं पासवर्ड डालने से पूर्व कृपया सुनिश्चित कर लें कि लॉग-इन पेज का यूआरएल ‘https://’ से प्रारम्भ हो रहा है ‘http:// से नहीं। ‘एस’ से आशय है सुरक्षित (Secured) तथा यह दर्शाता है कि वेब पेज में एंक्रिप्शन का प्रयोग हो रहा है।
  • कृपया ब्राउसर एवं वेरीसाइन प्रमाण पत्र के दाईं ओर नीचे लॉक ( )का चिन्ह भी देखें।
  • अपनी व्यक्तिगत जानकारी फोन या इंटरनेट पर केवल तभी दें जब कॉल या सैशन आपने प्रारम्भ किया हो अथवा सहकर्मी को पूरी तरह से जानते हों।
  • कृपया याद रखिए कि बैंक कभी भी ई-मेल द्वारा आपके खाते की जानकारियां नहीं माँगता है।    

आप क्या करेंगें यदि आप गलती से अपना पासवर्ड/पिन/टिन आदि बता देते हैं।

यदि आप महसूस करते हैं कि फ़िशिंग से अथवा आपने अपनी व्यक्तिगत जानकारी किसी गलत स्थान पर दे दी है, तो जोखिम को कम करने के उपाय के रूप में निम्नलिखित कार्य तुरंत करें।

  • अपनी यूजर एक्सेस को तुरंत लॉक कर दें। लॉक करने के लिए यहाँ क्लिक करें।
  • बैंक को रिपोर्ट करें। 
  • अपनी खाता विवरणी की जांच करें तथा सुनिश्चित करें कि यह पूरी तरह से ठीक है।
  • गलत प्रविष्टियां बैंक को सूचित करें।
  • जोखिम को न्यूनतम करने के लिए बैंक द्वारा प्रदत्त अन्य क्षतिपूरक नियंत्रणों का उपयोग करें। जैसे डिमांड ड्राफ्ट तथा तृतीय पक्षों के लिए सीमा को शून्य कर दें। उच्च सुरक्षा को सक्रिय करें आदि।

फिशींग से कैसे बचे  : –

  • आपके ईमेल के इनबॉक्स मे कोई भी आने से रोक तो नही सकते | तो आपको एक काम करना है | आपके inbox चाहे untrusted मेल आये तो उस मेल या फिर msg की लिंक click न करे | मतलब उसे आप open ही ना करे अगर किसी वजह से आप open कर लेते है | तो आप उस लिंक का मतलब जिस भी फेक website स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है। से मेल आया है | उस website का spelling आप जरूर चेक करे | वो आपको original website स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है। से मिलता जुलता हो सकता है | लेकीन original नही होगा |
  • सन्दर्भ स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है।

इन्हें भी देखें

बाहरी कड़ियाँ

एस.बी.आई. बैंक