डिजिटल सुरक्षा र मानवीय कमजोरीहरूको अध्ययनमा रुचि राख्नेहरूका लागि “सोसियल इन्जिनियरिङस् मानव ह्याकिङको विज्ञान”(Social Engineering: The Science of Human Hacking) अत्यन्तै उपयोगी पुस्तक हो । अमेरिकी लेखक क्रिस्टोफर हेडनागीद्वारा(Christopher Hadnagy) लिखित यो पुस्तकमा सरल र व्यावहारिक भाषामा सोसियल इन्जिनियरिङको जटिलता यसको पहिचान र रोकथाम बारे विस्तृत रुपमा प्रकाश पारिएको छ ।
सामाजिक इन्जिनियरिङ (Social Engineering) एक प्रकारको साइबर आक्रमणको विधि हो । यसमा आक्रमणकारीहरूले मानिसहरूको मानसिकता, भावना र विश्वासलाई प्रयोग गरेर संवेदनशील जानकारी प्राप्त गर्ने प्रयास गर्छन्। यस विधिमा अपराधीहरुले मनोवैज्ञानिक छलकपटको माध्यमबाट व्यक्तिहरूलाई धोका दिएर संवेदनशील जानकारी प्राप्त गर्ने वा सुरक्षा प्रणालीलाई तोड्ने प्रयास गर्छन । यस विधिमा आक्रमणकारीहरूले प्रविधिको प्रयोग भन्दा ज्यादा मानिसको मनोविज्ञान, सोच्ने प्रक्रिया, गतिविधि, आवश्यकता र रुचीका विषयमा जानकारीहरु प्राप्त गरेर विभिन्न छलकपट र प्रलोभनहरू देखाई इन्टरनेटका विविध सेवा प्रयोग गर्ने व्यक्तिहरूलाई ठगी गर्छन्। सामाजिक इन्जिनियरिङको प्रयोगले व्यक्तिगत, आर्थिक र संगठात्मक स्तरमा ठूलो क्षति पुर्याउन सक्छन्।
पुस्तकमा लेखक हेडनागीले सामाजिक इन्जिनियरिङका विभिन्न प्रकारहरू जस्तै फिसिङ, प्रिटेक्सिङ, बाइटिङ, टेलगेटिङ, स्केयरवेर, डम्पस्टर डाइभिङ, क्विड प्रो क्वो आदिलाई विस्तृत रूपमा व्याख्या गरेका छन्। यसका लागि आक्रमणकारीहरुले प्रभाव, सामाजिक प्रतिष्ठा, डरको प्रयोग लगायतका मानिसलाई सहजै प्रभावित पार्न सक्ने विभिन्न मनोवैज्ञानिक विधिहरुको प्रयोग गर्ने कुरा उल्लेख गरेका छन् ।
सामाजिक इन्जिनियरिङको प्रयोग गरेर ठगी गर्नेहरुले विभिन्न चरणमा काम गर्ने कुरा लेखकले उल्लेख गरेका छन् । आक्रमणकारीले पहिले कुनै व्यक्तको पृष्ठभूमि जानकारी संकलन गर्छन् । यसमा सामाजिक सञ्जाल, वेवसाइटहरू र अन्य स्रोतहरूबाट जानकारी प्राप्त हुन्छ। आक्रमणकारीले लक्षित व्यक्तिसँग सम्पर्क गर्छन् र विश्वास कायम गर्छन्। यो सम्पर्क इमेल, फोन, वा सन्देश मार्फत हुन सक्छ। सम्भावित प्रवेश बिन्दुहरू र कमजोर सुरक्षा प्रोटोकलहरू, पीडितको विश्वास जित्नको लागि प्रिटेक्सिङ लगायतका विधिहरू प्रयोग गर्छन्। आक्रमणकारीले लक्षित व्यक्तिको विश्वास जितेपछि संवेदनशील जानकारी प्राप्त गर्न प्रयास गर्छन्। जानकारी प्राप्त गरेपछि सम्पर्क बन्द गर्छन् र प्राप्त जानकारीको दुरुपयोग गरेर ठगी गर्छन् ।
आक्रमणका प्रकारहरू
पुस्तकमा विभिन्न सामाजिक इन्जिनियरिङ आक्रमणका प्रकारहरू वर्णन गरिएको छ:
-फिसिङ (Phishing): फिसिङ भनेको ईमेल वा टेक्स्ट सन्देशहरूको माध्यमबाट संवेदनशील जानकारी प्राप्त गर्ने प्रयास हो। यसमा आक्रमणकारीले विश्वासिलो स्रोतको नक्कल गरेर सन्देश पठाउँछन् । सन्देश प्राप्तकर्तालाई विश्वास लाग्ने गरी कुनै वेवसाइट वा इमेल वा सामाजिक सञ्जालका साथीहरुको पेज तयार गरी धोका दिएर संवेदनशील जानकारी जस्तै पासवर्ड वा क्रेडिट कार्ड विवरण प्रदान गर्न बाध्य बनाउँछन् ।
-प्रिटेक्सिङ (Pretexting): प्रिटेक्सिङ भनेको झूटा कहानी बनाएर जानकारी संकलन गर्ने विधि हो। यसमा आक्रमणकारीले विश्वासको वातावरण सिर्जना गरेर आवश्यक जानकारी प्राप्त गर्छन् । कुनै व्यक्ति वा बैंक कर्मचारीको रूपमा प्रस्तुत भएर ग्राहकको व्यक्तिगत विवरण संकलन गर्छन्। र त्यसको दुरुपयोग गरेर ठगी गर्छन् ।
-स्केयरवेर (Scareware): स्केयरवेरमा पीडितलाई उसको कम्प्युटरमा भाइरस छ भनेर गलत जानकारी दिइन्छ र यसलाई हटाउनको लागि विशेष सफ्टवेयर किन्ने सल्लाह दिन्छन्। यस्तै सफ्टवेर मार्फत जानकारीहरु समेत संकलन गरेर ठगी गरिन्छ ।
-क्विड प्रो क्वो (Quid Pro Quo): क्विड प्रो क्वोमा आक्रमणकारीले सेवाको सट्टा संवेदनशील जानकारी माग्छन्। उदाहरणका लागि, कुनै व्यक्तिले प्राविधिक सहायता दिने बहानामा पीडितको लगिन क्रेडेन्सियल माग्छ र ठगी गर्छ ।
-स्मिशिङ (Smishing): यो फिशिङको एउटा प्रकार हो जसमा आक्रमणकारीहरूले एसएमएस सन्देशहरूको माध्यमबाट ठगी गर्छन्। यी सन्देशहरूले व्यक्तिलाई कहीं क्लिक गर्न वा व्यक्तिगत जानकारी दिन प्रेरित गर्छ।
-भिशिङ(Vishing): भिशिङमा आक्रमणकारीहरूले टेलिफोन कलहरू प्रयोग गरेर व्यक्तिहरूलाई ठगी गर्छन्। यस्ता कलहरू विश्वासयोग्य स्रोतबाट आएको झैं देखिन्छ र संवेदनशील जानकारी माग्छन्।
-बेटिङ (Baiting): बेटिङमा आक्रमणकारीहरूले व्यक्तिहरूलाई प्रलोभन देखाएर जानकारी प्राप्त गर्छन्। उदाहरणका लागि, कुनै निःशुल्क सफ्टवेयर डाउनलोड गर्न आग्रह गरेर त्यसमा भाइरस वा सफ्टवेर संलग्न गरिन्छ। अनि त्यसमार्फत ठगीको प्रयास गरिन्छ ।
सोसियल इन्जिनियरिङ मार्फत हुने ठगीबाट जोगिन हेडनागीले शिक्षा र चेतना, सुरक्षा प्रोटोकलहरूको प्रयोग, सामाजिक मिडिया व्यवस्थापन, भौतिक सुरक्षा र एन्टिभाइरस सफ्टवेयरहरूको नियमित अपडेट जस्ता विभिन्न रोकथामका उपायहरू पनि सुझएका छन् । उनले दुई चरणमा प्रमाणिकरण गर्ने मजबूत पासवर्ड र नियमित सुरक्षा परीक्षणहरूको प्रयोग गर्न, सोसियल मिडियामा व्यक्तिगत जानकारीहरु कम भन्दा कम दिन, शंकास्पद स्रोतबाट आएको इमेल सकेसम्म नखोल्न सुझाएका छन् ।
यस्तै गरी एन्टिभाइरस र अन्य सफ्टवेयर स्वचालित रुपमा अपडेट गर्न, आफ्नो प्रणालीमा सम्भावित संक्रमणहरूको लागि दैनिक स्क्यान गर्न, डेटाहरु नियमित रूपमा ब्याकअप गर्न, अरुका ग्क्द्य उपकरणहरू आफ्नो कम्प्युटरमा नजोड्ने लगायतका सुझाव दिएका छन् ।
समग्रमा भन्नु पर्दा यो पुस्तक सुरक्षा ब्यावसायी, आईटी कर्मचारी लगायत इन्टरनेटका आम प्रयोगकर्ताहरुका लागि महपूर्ण श्रोत सामग्री सावित हुने देखिन्छ । यो पुस्तक अनलाईनमा पिडिएफमा पनि उपलब्ध छ ।
प्रतिक्रिया