- प्रकाश हुमागाईं
विश्व परिवेशमा भइरहेको विज्ञान र प्रविधिको तीव्र विकाससँगै अपराधको दायरा पनि फराकिलो बन्दै गएको छ । यसैको प्रतिफलस्वरुप साइबर हमलाको खतरा दिनानुदिन बढ्दो क्रममा रहेको देखिन्छ । विभिन्न किसिमका साइबर हमलाहरुको जोखिम बढ्दै गएको अवस्था र यसबाट हुनसक्ने क्षतिबाट बच्नको लागि पूर्वतयारीमा जुट्नुपर्ने आवश्यकता सर्वत्र महसुस गर्न थालिएको छ ।
पछिल्लो केही घटनाहरुलाई हेर्ने हो भने नेपालको साइबर स्पेस खतरामा रहेको यथेष्ट आधारहरु भेट्टाउन सकिन्छ । देश–विदेशबाट नेपालको साइबर स्पेसमा कम्प्युटर, मोबाइल र अन्य विभिन्न नेटवर्कबाट आक्रमण हुने क्रम रोकिएको छैन । यी र यस्ता अवस्थालाई अध्ययन गर्ने हो भने नेपाल साइबर अपराधको हब बन्दै जान सक्ने सम्भाव्यतालाई पनि नकार्न सकिँदैन । त्यसैले आजको दिनमा राष्ट्रिय साइबर स्पेस सुरक्षित राख्न साइबर सुरक्षासम्बन्धी विभिन्न सचेतना सर्वसाधारणमा पुर्याउन अत्यन्त आवश्यक भइसकेको छ ।
डिजिटल मिडियाको प्रयोग गरी इन्टरनेटको माध्यमबाट भ्रामक वेबसाइट, इमेल, विज्ञापन, मेसेजिङ लगायत अन्य विभिन्न आकर्षक लिङ्कहरुमार्फत प्रयोगकर्ताहरुलाई झुक्याई युजरनेम, पासवर्ड, क्रेडिट कार्ड, पिनलगायत अन्य व्यक्तिगत तथा अति संवेदनशील गोग्य जानकारीहरुको चोरी गर्ने प्रयासलाई फिसिङ भनिन्छ । प्रायः ह्याकरहरुले फिसिङ लिङ्क फैलाउन इमेल, एस्.एम.एस् भाइबर, वाट्सएप्स् मेसेन्जरजस्ता प्लेटफर्मको प्रयोग गर्दछन् । ह्याकरहरुले यस्ता प्लेटफर्म प्रयोग गरी प्रयोगकर्तालाई फिसिङ लिङ्क क्लिक गर्ने, विभिन्न सूचना फारममा भर्ने तथा लग इन गर्नेजस्ता कार्यहरु गर्न लगाउने गर्दछन् । यसरी भरिएका सूचना ह्याकरले प्राप्त गरी प्रयोगकर्तालाई थाहा नै नदिईकन सूचनाको चोरी गरिरहेका हुन्छन् । फिसिङ इमेलसम्बन्धी जानकारी नभएको तथा आकर्षक प्रलोभनमा परेर एकपटक पनि नसोची क्लिक गर्दा प्रगोगकर्ता ह्याकरको निशानामा पर्न सक्छन् । अतः फिसिङ इमेल चिन्ने तरिका र अपनाउनुपर्ने उपायहरु निम्नानुसार छन् :
- अज्ञात व्यक्ति वा समूहबाट आशा नगरिएको इमेल प्राप्त भएमा ती इमेलहरुलाई नखोल्ने, त्यस्ता वेबसाइटहरुमा भएको वा इमेलमा प्राप्त भएको शंकास्पद लिङ्क तथा अटो पप्अप्सहरुमा क्लिक नगर्ने । बम्पर उपहार जितेको, निःशुल्क विदेश भ्रमणजस्ता लोभ्याउने इमेल प्राप्त भएमा त्यसमा क्लिक नगर्ने र उक्त इमेल डिलिट गर्ने ।
- फिसिङ इमेलमा ह्याकरले ओरिजिनल लोगो, डिजाइन, प्रेषकको सही नाम, मोबाइल नं. लगायतका अन्य विवरण प्रयोग गरेको हुन सक्छ । तर प्रयोगकर्ताले प्रेषकको विवरण मात्र नभई इमेल एड्रेस पनि राम्रोसँग हेर्नुपर्छ । प्रायः फिसिङ इमेलमा संस्थागत इमेल ठेगाना नभई उस्तै–उस्तै झुक्याउने सार्वजनिक इमेल डोमेनबाट पठाइएको हुनसक्छ ।
- संस्थाको मातहत रहेको कुनै एक इमेल ह्याक भएमा त्यसको माध्यमबाट अन्यलाई इमेल पठाउँदा प्रयोगकर्ता अझ बढी झुक्किन्छन् । संस्थाकै इमेल डोमेनबाट अप्रत्यासित वा शंकास्पद इमेल आएमा समेत सजग रहनुपर्छ र कुनै लिङ्क गर्नुअघि वा केही डाउनलोड अर्नुअघि प्रेषकलाई सम्पर्क गर्ने र उसैले उक्त इमेल पठाएको हो कि हैन, एकिन गर्ने बानी बसाल्नुपर्छ ।
- फिसिङ इमेल प्रायः अशुद्ध शब्दहरु र नमिल्दो व्याकरणबाट पनि पत्ता लगाउन सकिन्छ ।
- फिसिङ इमेल त्यसमा भएको लिङ्कबाट पनि पत्ता लगाउन सकिन्छ । कम्प्युटरमा माउसलाई लिङ्कमाथि होभर गर्दा गन्तव्य ठेगाना ब्राउजरको तल एक सानो ट्याबमा देखिन्छ । मोबाइलमा लिङ्कलाई थिचेर होल्ड गर्दा एउटा पप्हप्प बक्स खुल्छ, जसमा गन्तव्य ठेगाना लेखिएको हुन्छ । गन्तव्य ठेगाना संस्थागत डोमेनभन्दा फरक वा शंकास्पद छ भने उक्त इमेल फिसिङ इमेल हुन सक्छ ।
सार्वजनिक स्थलमा उपलब्ध भएको निःशुल्क वाईफाई सेवा हामी सबै प्रयोग गर्न रुचाउछौँ । तर यस प्रकारको निःशुल्क वाईफाई सेवा प्रदान गरेको नक्कल पारी ह्याकरहरुले हाम्रो सूचना प्रविधिजन्य उपकरणहरुको समेत अनाधिकृत पहुँच पुर्याउन सक्ने हुँदा सबै निःशुल्क वाईफाई सुरक्षित भने हँुदैनन् । ह्याकरहरुले निःशुल्क वाईफाई सेवामार्फत हामीले इन्टरनेटमा प्रयोग गरिरहेको सम्पूर्ण सूचना हासिल गर्ने, कनेक्ट भएका डिभाइसहरुमा फिसिङ पेज खोलिदिने, मालवेर फैलाउने लगायतका जोखिमहरु सृजना गर्न सक्छन् । फ्री वाईफाई कनेक्ट गर्न खोज्दा एप्स डाउनलोड गर्न पप्अप्प आउँछ । सो एप्लिकेसन इन्स्टल गरी त्यसबाट फ्री वाईफाई प्रयोग गरेमा हामी फिसिङको फन्दामा पर्न सक्छौँ । निःशुल्क वाईफाई सेवा प्रयोग गर्ने सुरक्षित तरिका यस प्रकार छ :
- पार्क, एयरपोर्ट, हस्पिटल लगायतका सार्वजनिक स्थलहरुमा हामीले धेरै निःशुल्क वाईफाई सेवा देख्न सक्छौँ । यस्तो अवस्थामा आफूलाई थाहा भएको इन्टरनेट सेवाप्रदायकले वितरण गरेको वाईफाई मात्र प्रयोग गर्ने ।
- पासवर्डरहित वाईफाई सेवाहरु बढी जोखिमपूर्ण हुने हुँदा त्यस प्रकारको निःशुल्क वाईफाइमा कनेक्ट नगर्ने ।
- अविश्वसनीय निःशुल्क वाईफाई सेवाबाट इन्टरनेटमा व्यक्तिगत विवरण, कार्यरत संस्थासँग सम्बन्धित डाटाहरु, अनलाइन बैंकिङ कारोबार लगायतका संवेदनशील कार्यहरु नगर्ने ।
- अविश्वसनीय वाईफाई सेवा प्रयोग गर्नै परेछ भने पनि भी.पी.एन्. सेवाको प्रयोग गरी आफ्नो मुख्य काम फत्ते गरेपश्चात् तुरुन्त डिस्कनेक्ट गर्ने ।
- अविश्वसनीय वाईफाई सेवा प्रयोग गर्दा आफैं कुनै प्रकारको पप्अप्प, विज्ञापन खुल्छ भने त्यसलाई ओपन नगर्ने । साथै, आफ्नो चाहना विपरीत कुनै एप्लिकेसन डाउनलोड नगर्ने र यदि डाउनलोड भइहालेछ भने पनि इन्स्टल नगरी तुरुन्तै डिलिट गरिहाल्ने ।
हामीले प्रयोग गर्ने पेनड्राइभ, सीडी, डीभीडी, एक्टर्नल हार्ड डिस्क सम्पूर्णलाई एकमुष्टरुपमा रिमुभेवल स्टोरेज डिभाइस भनिन्छ । ह्याकरहरुले रिमुभेवल स्टोरेज डिभाइसहरुलाई विभिन्न तरिकाबाट ह्याकिङ गर्ने औजारको रुपमा प्रयोग गर्दछन् । मालवेर फैलाउने तथा कम्प्युटरलाई भौतिक रुपमा नै क्षति पुर्याई नचल्ने अवस्थामा पुर्याउनसमेत रिमुभेवल स्टोरेज डिभाइसहरु सक्षम हुन्छन् । हामीले जति नै मजबुत नेटवर्क सुरक्षा प्रणालीको प्रयोग गरे तापनि रिमुभेवल स्टोरेज डिभाइसहरुले यस्ता सबै किसिमका नेटवर्क सुरक्षा प्रणालीलाई बाइपास गरी ह्याकरलाई प्रयोगकर्ताको डिभाइसमा सहजै पहुँच दिन्छ ।
रिमुभेवल स्टोरेज डिभाइसको जथाभावी प्रयोग गर्दा भाइरस मात्र नभई अन्य विभिन्न किसिमको जोखिम आउन सक्छ । हामीले रिमुभेवल स्टोरेज डिभाइस प्रयोग गर्दा सुरक्षित रहन अपनाउनुपर्ने उपायहरु निक्न छन् :
- कार्यालय प्रयोजनका कम्प्युटरहरुमा पेनड्राइभ, सीडी, डीभीडी, एक्सटर्नल हार्डडिस्क लगायतका रिमुभेवल स्टोरेज डिभाइसहरु सकेसम्म प्रयोग नगर्ने ।
- रिमुभेवल डिभाइसहरु कन्नेक्ट गर्दा अटोमेटिक रुपमा मालवेरको लागि स्क्यान गर्ने सेटिङ मिलाउने ।
- कम्प्युटरमा एन्टिभाइरस सफ्टवेयर इन्स्टल गर्ने र यसलाई सधैँ अप टु डेट राख्ने ।
- कम्प्युटरको फायरवाल सधैँ अन राख्ने ।
- कम्प्युटरको अपरेटिङ सिस्टमलाई अप टु डेट राख्ने ।
साइबर अपराधीहरुले आधिकारिक निकाय वा विश्वसनीय पात्रको रुपमा प्रस्तुत भई हामीलाई झुक्याई हाम्रो संवेदनशील सूचना हासिल गर्ने कार्यलाई सोसियल इन्जिनियरिङ भनिन्छ । यस प्रकारको साइबर हमलामा प्राविधिक ज्ञान धेरै नचाहिने हुँदा यो साइबर अपराधीहरुको प्रयोग गर्र्न एक प्रचलित माध्यम बनेको छ । यस प्रकारको हमला कम्प्युटरबाट मात्र नभई फोन, मेसेज, सामाजिक सञ्चाल र प्रत्यक्षरुपमै व्यक्तिबाट समेत हुन सक्छ । प्रायः सोसियल इन्जिनियरिङमा साइबर अपराधीले न हाम्रो डिजिटल उपकरणमा अनाधिकृत पहुँच पु¥याएको हुन्छ, न त कोही हाम्रो घरमा अवैधरुपमा प्रवेश गरेको हुन्छ, उल्टै हामीलाई प्रलोभन वा प्रभावमा पारी हामीबाट नै उनीहरुले सूचना हासिल गर्छन् ।
ह्याकरहरुले सोसियल इन्जिनियरिङ विभिन्न तरिकाले गरिरहेका हुन्छन् । बैंकको खाताको म्याद सकियो, पुनः सुचारु गर्न दिइएको फारम भर्नुहोस् भनी भ्रामक मेसेज पठाई व्यक्तिगत संवेदनशील सूचना मागेर हासिल गर्ने, कार्यालय प्रमुखले पठाएको जस्तो नक्कल गरी इमेल पठाई कार्यालयको सूचना चुहावट गर्ने, एकैछिन् मात्र प्रयोग गर्छु भनी मोबाइल वा ल्यापटप लगायतका उपकरण माग्ने र गोप्यरुपमा हानिकारक एप्लिकेसनहरु हाली व्यक्तिगत सूचना चोरी गर्ने जस्ता उदाहरण केही प्रचलित सोसियल इन्जिनियरिङ अभ्यासहरु हुन् । याद राख्नुहोस्, बैंक तथा वित्तीय संस्थाहरुले कहिल्यै पनि संवेदनशील विवरणहरु फोन वा इमेलबाट माग्दैनन् । यी र यस्ता साइबर अपराधको सिकार बन्नबाट बच्न अपनाउनुपर्ने विभिन्न तरिकाहरु यस प्रकार छन् :
- अपरिचित व्यक्तिहरुको अगाडि कहिल्यै पनि आफ्नो व्यक्तिगत कुराहरु गर्नुहुँदैन । त्यस्तै सार्वजनिक स्थलहरुमा आफ्नो पैसाको कारोबारसम्बन्धी कुराहरु कहिल्यै गर्नुहुँदैन ।
- बैंक तथा वित्तीय संस्थाहरुको पासवर्ड, ओ.टी.पी. डेबिट वा क्रेडिट कार्डको पछाडि रहेको सी.भी.भी नम्बर र पिन नम्बरजस्ता संवेदनशील सूचना कहिल्यै पनि फोन, मेसेज वा इमेलबाट माग्दैनन् । यस्ता माध्यमबाट कसैले संवेदनशील सूचना मागेमा सधैँ दोहोरो जाँच गर्नुपर्छ । केही क्षणको भूलले तपाईंको जीवनभरिको कमाइ बर्बाद हुन सक्छ ।
- भूलवश यस प्रकारको अपराधको सिकार भैहालेछौँ भने सर्वप्रथम सम्बन्धित बैंकमा सम्पर्क गरेर आफ्नो खाता वा सोसँग सम्बन्धित सम्पूर्ण सेवाहरु बन्द गर्नुपर्छ । त्यसपश्चात् आफ्नो खाताबाट भएको कारोबारको स्टेटमेन्ट बैंकबाट झिकी तुरुन्त नजिकैको प्रहरी कार्यालयमा उजुरी गर्नुपर्छ ।
- कोही अपरिचित व्यक्तिले आफैं कुनै सेवाप्रदायक वा आधिकारिक निकाय हो भनी हामीबाट कुनै सूचना माग्छ वा कुनै कार्य गर्न लगाउँछ भने हरहमेसा सो व्यक्ति असली हो भनी प्रमाणीकरण गर्नुपर्छ । कार्यालयको वास्तविक फोनमा कल गरेर बुझ्ने, परिचय पत्र जाँच गर्ने, स्वयम् व्यक्तिलाई नै फोन गरेर उसले पठाएको असामान्य मेसेजबारे बुझ्ने जस्ता अभ्यासले हामी सोसियल इन्जिनियरिङबाट बच्न सक्छौँ ।
- धेरै सोच्न समय नदिई जानकारी हासिल गर्न अत्याउने, अति जरुरी वा आपतकालीन किसिमको वातावरण सिर्जना गर्ने, नीति नियमहरु उल्लघंन गर्न लगाउने, बढी उत्सुक वा जिज्ञासु भई जानकारी हासिल गर्न खोज्ने जस्ता शैलीहरु प्रायः सोसियल इन्जिनियरिङमा प्रयोग हुने हुँदा यस प्रकारका अवस्थामा सजग रहनुपर्छ । आफूले चिनैकै व्यक्ति भएको अवस्थामा समेत दोहोरो जाँच गरेर एकिन गर्दा ठूलो नोक्सानबाट बच्न सकिन्छ ।
‘यो मलाई हुनेछैन’, ‘मलाई लक्षित गरेर ह्याकरले के नै हासिल गर्छ र ?’ ‘म त असुरक्षित वेबसाइट प्रयोग गर्दिन, त्यसैले म सुरक्षित छु’ जस्ता सोच राख्नुभएमा त्यसले तपाईंलाई ठूलो नोक्सन पुर्याउन सक्छ । साइबर अपराधीहरुले प्रयोगकर्तालाई लक्षित गर्दा कुनै किसिमका भेदभाव गर्दैनन् । याद गर्नुहोस्, सबै गल्तीहरुलाई पुनः सच्याउन सकिँदैन । साइबर अपराध तथा हमलाको जोखिमलाई न्यूनीकरण, निराकरण तथा यसबाट उत्पन्न हुनसक्ने परिस्थितिको समाधानका लागि स्वयम् प्रयोगकर्ता नै सचेत रहनु आवश्यक छ । स्मरण रहोस्, साइबर सुरक्षाको सबैभन्दा कमजोर कडी प्रयोगकर्ता स्वयम् नै हो । तसर्थ यस सचेतनामूलक लेखबाट प्राप्त ज्ञान र साइबर स्पेसमा अपनाउनुपर्ने उत्कृष्ट अभ्यासलाई पूर्णरुपमा पालना गरौँ । आफूले जानेका कुरा अरुलाई पनि सिकाऔँ र एक सभ्य समाज निर्माणमा अग्रसर हौँ ।
प्रतिक्रिया