اپنی حفاظت کو سبوتاژ نہ کریں ، اپنے صارفین کو تربیت دیں

میرا خیال ہے کہ پہلی مرتبہ جب میں نے فشنگ ای میل کو دیکھا تھا 2000 میں واپس آیا تھا جب میں اولیور رسٹ کے ساتھ ایک ٹیسٹنگ پروجیکٹ پر کام کر رہا تھا ، جو اب پی سی میگ کا بزنس ایڈیٹر ہے۔ ایک صبح ہم دونوں کو سبجیکٹ لائن کے ساتھ ای میل موصول ہوئی ، "میں آپ سے محبت کرتا ہوں" ، جو ای میل کی باڈی بھی تھا اور اس میں ایک منسلک بھی تھا۔ ہم دونوں کو فوری طور پر معلوم تھا کہ ای میل کو جعلی ہونا چاہئے کیونکہ ، میگزین کے ایڈیٹرز کی حیثیت سے ، ہم جانتے تھے کہ کوئی بھی ہم سے پیار نہیں کرتا ہے۔ ہم نے منسلکہ پر کلک نہیں کیا۔ ہم در حقیقت انسانی فائر والز کی حیثیت سے کام کر رہے تھے۔ ہم نے دیکھا کہ ایک جعلی ای میل کو پہچان لیا ہے ، اور ہم نے اسے ہمارے کمپیوٹر اور باقی نیٹ ورک میں پھیلانے کی بجائے اسے حذف کردیا۔

تب بھی ، اس طرح کے حملوں کو ہیکر سیٹ نے "سوشل انجینئرنگ" کہا تھا۔ آج کل ، فشنگ ای میلز اس طرح کے استحصال کا سب سے مشہور ورژن ہیں۔ ان کا مقصد بنیادی طور پر سکیورٹی کی سندیں چھیننا ہے لیکن وہ دیگر قسم کے مالویئر ، خاص طور پر رینسم ویئر کی فراہمی کے قابل بھی ہیں۔ لیکن یہ بات قابل غور ہے کہ فشینگ کے علاوہ دیگر قسم کی سوشل انجینئرنگ کے حملے بھی ہیں ، جن میں کچھ ایسے بھی شامل ہیں جہاں حملہ جسمانی طور پر ڈیجیٹل ہونے کی بجائے ہوتا ہے۔

انسان: پھر بھی حملہ کرنے کا ایک معروف ویکٹر

فشنگ ای میلز کی بڑے پیمانے پر جانے کی وجہ یہ ہے کہ وہ بہت عام ہیں۔ ابھی تک ، یہ کہنا مناسب ہے کہ ای میل اکاؤنٹ والے کسی کو بھی کسی وقت فشنگ ای میل موصول ہوگا۔ یہ ای میل اکثر آپ کے بینک ، آپ کے کریڈٹ کارڈ کمپنی ، یا آپ کے اکثر کاروبار سے آنے کا بہانہ کرتا ہے۔ لیکن ای میلز کو فش کرنا آپ کی تنظیم کے لئے بھی خطرہ ثابت ہوسکتا ہے کیونکہ حملہ آور آپ کے ملازمین کو آپ کے خلاف استعمال کرنے کی کوشش کرتے ہیں۔ اس حملے کا ایک اور ابتدائی ورژن فیکسنگ کے سنہری دور میں آیا تھا جب حملہ آور صرف ان کمپنیوں کے لئے انوائس فیکس کرتے تھے جو کبھی بھی بڑی کمپنیوں کو نہیں پیش کی جاتی تھیں ، اس امید پر کہ مصروف ایگزیکٹو انہیں آسانی سے ادائیگی کے لئے جمع کرادیں گے۔

فشنگ حیرت انگیز طور پر موثر ہے۔ گذشتہ سال 560 ڈیٹا کی خلاف ورزیوں پر نظر ڈالنے والی لاء فرم بیکر ہوسٹلر کے ایک مطالعے کے مطابق ، ڈیٹا سیکیورٹی کے واقعات کی سب سے بڑی وجہ فشنگ ہی ہے۔

بدقسمتی سے ، ٹیکنالوجی فشنگ حملوں سے دوچار نہیں ہوئی۔ اگرچہ بہت سارے حفاظتی آلات اور سوفٹویئر پیکجز موجود ہیں جو بدنیتی پر مبنی ای میلز کو فلٹر کرنے کے لئے تیار کیے گئے ہیں ، فشینگ ای میلز تیار کرنے والے برے لوگ اس بات کو یقینی بنانے کے لئے سخت کوشش کر رہے ہیں کہ ان کے حملے درار سے پھسل جائیں۔ سائرن کے مطالعے سے پتہ چلتا ہے کہ ای میل اسکیننگ میں بدنیتی پر مبنی ای میلز کی تلاش میں ناکامی کی شرح 10.5 فیصد ہے۔ یہاں تک کہ چھوٹے چھوٹے کاروبار (SMB) میں ، اس سے بہت ساری ای میلز شامل ہوسکتی ہیں ، اور ان میں سے کوئی بھی جس میں سوشل انجینئرنگ حملہ ہوتا ہے وہ آپ کی تنظیم کے لئے خطرہ ثابت ہوسکتا ہے۔ اور یہ کوئی عام خطرہ نہیں ہے جیسا کہ زیادہ تر مالویئر کا معاملہ ہوتا ہے جو آپ کے اختتامی نقطہ نگاہ سے حفاظت کے اقدامات کو چھپانے میں کامیاب ہوتا ہے ، لیکن اس سے بھی زیادہ سنگین قسم جو خاص طور پر آپ کے انتہائی قیمتی ڈیٹا اور ڈیجیٹل وسائل کو نشانہ بناتی ہے۔

مجھے نوین بی 4 کے بانی اور سی ای او اسٹو سجوورمان سے بات چیت کے دوران سائرن رپورٹ سے آگاہ کیا گیا ، جو ایک کمپنی ہے جو انسانی وسائل (ایچ آر) کے پیشہ ور افراد کو سیکیورٹی بیداری سکھانے میں مدد دے سکتی ہے۔ یہ سیجرمین ہی تھا جس نے "ہیومن فائر وال" کی اصطلاح پیش کی اور جس نے "ہیومین ہیکنگ" پر بھی تبادلہ خیال کیا۔ ان کی تجویز یہ ہے کہ تنظیمیں کچھ مستقل تربیت کے ذریعہ سوشیل انجینئرنگ حملوں کی تاثیر کو روک سکتی ہیں یا اسے کم کرسکتی ہیں جو اس انداز سے کی گئیں ہیں جو آپ کے عملے کو بھی اس مسئلے کو حل کرنے میں مشغول ہیں۔

یقینا ، بہت سی تنظیموں میں سیکیورٹی سے متعلق آگاہی کے تربیتی سیشن ہوتے ہیں۔ آپ شاید ان میں سے متعدد ملاقاتوں میں رہے ہوں گے جن میں پرانی کافی کو باسی ڈونٹس کے ساتھ جوڑا بنایا گیا ہے جبکہ ایچ آر کے ذریعہ رکھے جانے والے ایک ٹھیکیدار نے آپ کو یہ بتانے کے بغیر کہ آپ فشیل ای میلز کے لئے گرنا نہیں چاہتے ہیں 15 منٹ صرف کرتے ہیں۔ حقیقت میں یہ بتائے بغیر کہ وہ کیا ہیں یا کیا کرنا ہے۔ آپ کو لگتا ہے کہ آپ کو ایک مل گیا ہے۔ ہاں ، وہ ملاقاتیں۔

جو سوجرمین نے بہتر کام کرنے کی تجویز پیش کی ہے وہ ایک انٹرایکٹو ٹریننگ کا ماحول پیدا کرنا ہے جس میں آپ کو فشینگ کے حقیقی ای میلز تک رسائی حاصل ہے جہاں آپ ان کی جانچ کرسکتے ہیں۔ شاید کسی گروپ کی کوشش ہو جس میں ہر شخص فشنگ ای میلز کی نشاندہی کرنے والے عوامل کو دیکھنے کی کوشش کرتا ہو ، جیسے ناقص ہجے ، ایسے پتے جو تقریبا اصلی نظر آتے ہیں ، یا درخواستوں سے ، جو معائنے کے وقت ، معنی نہیں رکھتے (جیسے فوری منتقلی کی درخواست کرنا) نامعلوم وصول کنندہ کو کارپوریٹ فنڈز)۔

سوشل انجینئرنگ کے خلاف دفاع کرنا

لیکن سجوورمان نے یہ بھی بتایا کہ یہاں ایک سے زیادہ قسم کی سوشل انجینئرنگ ہے۔ وہ نون 4 ویب سائٹ پر مفت ٹولز کا ایک مجموعہ پیش کرتا ہے جسے کمپنیاں اپنے ملازمین کو سیکھنے میں مدد کے لئے استعمال کرسکتی ہیں۔ انہوں نے مندرجہ ذیل نو اقدامات کا بھی مشورہ دیا جو کمپنیاں سوشل انجینئرنگ کے حملوں سے لڑنے کے لئے اٹھاسکتی ہیں۔

• اپنے عملے کو جب وہ دیکھتے ہیں تو انہیں سوشل انجینئرنگ کے حملوں کی شناخت کرنے کی تربیت دے کر ہیومن فائر وال بنائیں۔
• اپنے ملازمین کو انگلیوں پر رکھنے کے لئے بار بار ، مصنوعی سوشل انجینئرنگ ٹیسٹ کروائیں۔
• فشنگ سیکیورٹی ٹیسٹ کروائیں۔ نولب 4 ایک مفت ہے۔
• سی ای او دھوکہ دہی کی تلاش میں رہیں۔ یہ وہ حملے ہیں جس میں حملہ آوروں نے ایک جعلی ای میل تیار کی ہے جو سی ای او یا دوسرے اعلی عہدیدار کی طرف سے ظاہر ہوتا ہے ، جو فوری طور پر رقم کی منتقلی جیسے اقدامات کو ہدایت کرتا ہے۔ آپ یہ جاننے کے ل check چیک کرسکتے ہیں کہ کیا آپ کے ڈومین کو نول بی 4 سے مفت ٹول استعمال کرکے جعل سازی کی جاسکتی ہے۔
• اپنے ملازمین کو مصنوعی فشنگ ای میلز بھیجیں اور ایک لنک شامل کریں جو آپ کو آگاہ کرے گا اگر وہ لنک دب گیا ہے۔ اس پر نظر رکھیں کہ کون سے ملازمین اس کے ل fall گرتے ہیں اور جو اس کے لئے پڑتے ہیں ان پر ایک سے زیادہ مرتبہ تربیت دیتے ہیں۔
• "واشگنگ" کے ل prepared تیار رہیں جو ایک قسم کی وائس میل سوشل انجینئرنگ ہے جس میں ایسے پیغامات باقی رہ گئے ہیں جو آپ کے ملازمین سے کارروائی کرنے کی کوشش کریں۔ یہ قانون نافذ کرنے والے اداروں ، انٹرنل ریونیو سروس (IRS) ، یا مائیکروسافٹ ٹیک کی مدد سے بھی ہوسکتی ہیں۔ یقینی بنائیں کہ آپ کے ملازمین ان کالوں کو واپس کرنا نہیں جانتے ہیں۔
• اپنے ملازمین کو "ٹیکسٹ فشنگ" یا "ایس ایم آئی شِنگ (ایس ایم ایس فشینگ)" پر متنبہ کریں ، جو ای میل فشینگ کی طرح ہے لیکن ٹیکسٹ پیغامات کے ساتھ۔ اس معاملے میں ، لنک کو ان کے موبائل فون سے حساس معلومات جیسے رابطہ کی فہرستوں کو حاصل کرنے کے ل. تیار کیا گیا ہے۔ انہیں تربیت دی جانی چاہئے کہ ٹیکسٹ پیغامات میں روابط کو ہاتھ نہ لگائیں ، چاہے وہ دوستوں سے ہی ہوں۔
• یونیورسل سیریل بس (یو ایس بی) کے حملے حیرت انگیز طور پر موثر ہیں اور وہ ایئر گیپڈ نیٹ ورکس کو گھسانے کا ایک قابل اعتماد طریقہ ہیں۔ جس طرح سے یہ کام کرتا ہے وہ یہ ہے کہ کوئی آپ کے ملازمین کے ذریعہ بار بار آرام دہ کمرے ، پارکنگ یا دیگر جگہوں پر پڑی USB میموری کی لاٹھی چھوڑ دیتا ہے۔ ہوسکتا ہے کہ اس چھڑی پر لوگو orں یا لیبلوں کو دلانے والے ہوں۔ جب ملازمین انہیں ایک آسان کمپیوٹر میں ڈھونڈیں اور داخل کریں - اور اگر وہ انہیں دوسری صورت میں نہیں سکھا رہے ہیں. تب ان میں موجود مالویئر آپ کے نیٹ ورک میں آجاتا ہے۔ اس طرح اسٹکس نیٹویئر نے ایرانی جوہری پروگرام میں دخل اندازی کی۔ اس کے بارے میں بھی جانچنے کے لئے نولب 4 کے پاس ایک مفت ٹول موجود ہے۔
• پیکیج حملہ حیرت انگیز طور پر بھی موثر ہے۔ یہ وہ جگہ ہے جہاں کوئی خانوں کے بوجھ (یا کبھی کبھی پیزا) کے ساتھ دکھاتا ہے اور داخل ہونے کو کہتے ہیں تاکہ ان کی فراہمی ہوسکے۔ جب آپ تلاش نہیں کر رہے ہیں تو ، وہ ایک USB آلہ قریبی کمپیوٹر میں سلپ کردیتے ہیں۔ آپ کے ملازمین کو مصنوعی حملے کرکے تربیت دینے کی ضرورت ہے۔ آپ انہیں اس کی تربیت دے کر حوصلہ افزائی کرسکتے ہیں اور پھر اگر پیزا ٹھیک ہوجائیں تو شیئر کریں۔

جیسا کہ آپ دیکھ سکتے ہیں ، سوشل انجینئرنگ ایک حقیقی چیلنج ہوسکتا ہے اور یہ آپ کی خودمختاری سے کہیں زیادہ کارآمد ہوسکتا ہے۔ اس سے لڑنے کا واحد طریقہ یہ ہے کہ اپنے ملازمین کو اس طرح کے حملوں کی نشاندہی کرنے اور ان کو پکارنے میں سرگرمی سے شامل ہوجائیں۔ ٹھیک ہو گیا ، آپ کے ملازمین واقعتا the اس عمل سے لطف اندوز ہوں گے - اور شاید انھیں کچھ مفت پیزا بھی مل جائے گا۔