Daily Hot Topic in Hindi

भारत में फ़िशिंग हमले

GS-3: मुख्य परीक्षा-आंतरिक सुरक्षा

प्रश्न : मानवीय त्रुटि और तीसरे पक्ष की कमजोरियों की भूमिका पर जोर देते हुए फ़िशिंग हमलों की सफलता के कारणों का विश्लेषण करें।

Question : Analyze the reasons for the success of phishing attacks, emphasizing the role of human error and third-party vulnerabilities.

 

बुनियादी अवधारणा : फिशिंग हमला एक तरह का ऑनलाइन धोखा होता है, जहां कोई जालसाज़ (hacker) आपको किसी भरोसेमंद संस्थान (जैसे बैंक, क्रेडिट कार्ड कंपनी, सोशल मीडिया साइट) से भेजा हुआ नकली ईमेल या टेक्स्ट संदेश भेजकर आपकी निजी जानकारी चुराने की कोशिश करता है. ये हमलावर आपको किसी चीज़ से डराकर या लालच देकर जल्दबाज़ी में कोई कदम उठाने के लिए मजबूर करते हैं.

आइए एक उदाहरण से इसे समझते हैं:

• आपको अपने बैंक से एक ईमेल मिलता है (ऐसा लगता है) जिसमें लिखा होता है कि आपका खाता असुरक्षित हो गया है और आपको तुरंत अपने खाते की जानकारी सत्यापित करने की आवश्यकता है. ईमेल में एक लिंक भी दिया होता है.
• यह एक फिशिंग हमला हो सकता है! असली बैंक आपको कभी भी इस तरह से सीधे आपके खाते की जानकारी मांगने के लिए नहीं कहेगा.
• अगर आप लिंक पर क्लिक कर देते हैं, तो आपको एक नकली वेबसाइट पर ले जाया जाएगा जो असली बैंक की वेबसाइट से बिल्कुल मिलती-जुलती दिखती होगी. वहां आपको अपने यूजरनेम, पासवर्ड और ओटीपी जैसी संवेदनशील जानकारी डालने के लिए कहा जाएगा.
• अगर आप यह जानकारी डाल देते हैं, तो जालसाज़ आपकी जानकारी चुरा लेंगे और आपके बैंक खाते का गलत इस्तेमाल कर सकते हैं.

 

संदर्भ:

• वेरिज़ोन बिजनेस द्वारा 2024 के डेटा उल्लंघन जांच रिपोर्ट के अनुसार, भारत फ़िशिंग हमलों से प्रभावित प्रमुख देशों में से एक है।

मुख्य निष्कर्ष (APAC क्षेत्र):

• प्रमुख हमला प्रकार: जासूसी (डाटा चोरी) – 25% हमले, यूरोप (6%) और उत्तरी अमेरिका (4%) की तुलना में काफी अधिक।
• आम उल्लंघन तकनीकें: सिस्टम घुसपैठ, सामाजिक इंजीनियरिंग और बुनियादी वेब एप्लिकेशन हमले (उल्लंघनों का 95%)।
• चोरी हुआ डेटा: क्रेडेंशियल्स (69%), आंतरिक डेटा (37%) और गोपनीय जानकारी (24%)।

फ़िशिंग क्या है?

• एक साइबर हमला जो किसी विश्वसनीय स्रोत का रूप धारकर संवेदनशील जानकारी (उपयोगकर्ता नाम, पासवर्ड, बैंक विवरण आदि) चुराने का प्रयास करता है।

फ़िशिंग की सफलता के कारण:

• मानवीय त्रुटि: 68% उल्लंघनों में मानवीय त्रुटि या सामाजिक इंजीनियरिंग हमले शामिल होते हैं।
• थर्ड-पार्टी कमजोरियाँ: 15% उल्लंघनों में समझौता किए गए डेटा संरक्षक, सॉफ़्टवेयर या आपूर्ति श्रृंखलाएं शामिल होती हैं।

सरकारी पहल:

• सूचना प्रौद्योगिकी अधिनियम, 2000 (धारा 43, 66, 70, 74): हैकिंग और साइबर अपराधों से संबंधित।
• भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल (CERT-In): साइबर खतरों और जवां प्रतिबंधों पर अलर्ट और सलाह जारी करता है।
• राष्ट्रीय साइबर समन्वय केंद्र (NCCC): साइबर खतरों के बारे में स्थितिजन्य जागरूकता पैदा करता है और सूचना साझाकरण की सुविधा देता है।
• साइबर स्वच्छता केंद्र: दुर्भावनापूर्ण प्रोग्रामों का पता लगाता है और उन्हें हटाने के लिए निःशुल्क उपकरण प्रदान करता है।
• भारत राष्ट्रीय साइबर सुरक्षा अभ्यास 2023 (भारत NCX): साइबर संकट प्रबंधन कौशल में सुधार करता है।
• चक्षु सुविधा: संचार साथी पोर्टल पर संदिग्ध संचार (कॉल, एसएमएस, व्हाट्सएप) की रिपोर्ट करने के लिए नागरिकों को प्रोत्साहित करता है।

अंतर्राष्ट्रीय उपाय:

• बुडापेस्ट कन्वेंशन: साइबर अपराध पर पहली अंतर्राष्ट्रीय संधि (भारत हस्ताक्षरकर्ता नहीं है)।
• असाइन किए गए नामों और संख्याओं के लिए इंटरनेट निगम (ICANN): इंटरनेट गवर्नेंस (डोमेन नाम आदि) के लिए अमेरिका स्थित संगठन।
• इंटरनेट गवर्नेंस फोरम: इंटरनेट गवर्नेंस मुद्दों पर बहु-हितधारक नीति संवाद के लिए संयुक्त राष्ट्र मंच।

निष्कर्ष:

• कर्मचारियों की संवेदनशीलता के कारण भारत को फ़िशिंग हमलों से एक बड़ी चुनौती का सामना करना पड़ता है।
• हालांकि, रिपोर्टिंग प्रथाओं में सुधार हो रहा है, अब 20% उपयोगकर्ता फ़िशिंग प्रयासों की पहचान कर रहे हैं और उनकी रिपोर्ट कर रहे हैं।