રાતના સવા બે વાગ્યાનો સમય છે. એક મલ્ટિનેશનલ કંપનીમાં નવાસવા આવેલા જુનિયર મેનેજરનો મોબાઈલ વાગે છે. પથારીમાંથી સફાળા જાગીને જુએ છે તો કંપનીનો નંબર દેખાય છે. વાતચીત કરતાં ખબર પડે છે કે કંપનીના ડેટા સિક્યોરિટી સેન્ટરમાં ઈમરજન્સી એલર્ટ આવેલ છે, જેથી કંપનીના હાઈ-પ્રોફાઈલ લોકોનો ડેટા સુરક્ષિત કરવા માટે આઈટી વિભાગે તાત્કાલિક યુઝર્સના આઈડી પાસવર્ડ ચેન્જ કરવા પડે એમ છે. મેનેજર સાહેબ પાસવર્ડ બદલવા માટે જરૂરી બધી દ વિગતો જણાવીને સૂઈ જાય છે.
સવારે ઓફિસ પહોચતાં ખબર પડે છે કે કંપનીમાં એવો કોઈ એલર્ટ આવ્યો જ નહોતો! મેનેજરને ભાન થાય છે કે તેમની ભૂલને કારણે કંપનીનો બધો જ ખાનગી, ઓફિશિયલ ડેટા ચોરાઈ ગયો છે. મેનેજરને ખ્યાલ આવે છે કે પોતે સાયબર ક્રિમિનલ્સ દ્વારા સોશિયલ એન્જિનીયરિંગનો શિકાર બન્યા છે.
શું છે સોશિયલ એન્જિનીયરિંગ?
પહેલી વાર નામ સાંભળનાર મિત્રોને લાગશે કે એન્જિનીયરિંગની કોઈ શાખા હશે! વાસ્તવમાં, સોશિયલ એન્જિનીયરિંગ એ એક પ્રકારની ખાસ કળા છે, જેના દ્વારા સાયબર ક્રિમિનલ્સ કોઈ પણ વ્યક્તિને ભોળવીને, વિશ્વાસમાં લઈને પોતાને જોઈતી માહિતી મેળવી લે છે અને તેના ઉપયોગ વડે પોતાના ટાર્ગેટને નુકસાન કરી શકે છે. આવા પ્રકારના કામમાં કોઈ ખાસ ટૂલ કે સોફ્ટવેરની જરૂર પડતી નથી કે ના તો કોઈ ખાસ ટેકનિકલ નોલેજની. માત્ર વાક્ચાતુર્ય દ્વારા જોઈતી માહિતી મેળવી લેવામાં આવે છે.
સોશિયલ એન્જિનીયરિંગ વિષે આમ તો આ આખું મેગેઝિન ભરાય એટલી ટેકનિક, ઉદાહરણો અને કેસ નોંધાયેલા છે, પરંતુ આપણે માત્ર તેના વિશે બેઝિક સમજ અને સાવધાનીના ઉદેશ સાથે જરૂરી અને ગંભીર ઉદાહરણો પર ચર્ચા કરીશું.
સોશિયલ એન્જિનીયરિંગ પાછળનો સાયબર ક્રિમિનલ્સનો મુખ્ય હેતુ ટાર્ગેટની કમ્પ્યુટર સિસ્ટમ અને નેટવર્ક ઇન્ફ્રાસ્ટ્રક્ચર વિશેની માહિતી મેળવવાનો હોય છે. જયારે કોઈ હેકિંગ ટૂલ કે ટેકનિક કામ ના આવે ત્યારે સોશિયલ એન્જિનીયરિંગ ટેકનિક દ્વારા કોઈ કંપનીની લોગ-ઇનન ઇન્ફર્મેશન, બિઝનેસ ઇન્ફર્મેશન, બેન્કિંગ ઇન્ફર્મેશન વગેરે મેળવવામાં આવે છે.
કેવી રીતે થાય છે સોશિયલ એન્જિનીયરિંગ?
ચાલો જાણીએ કઈ કઈ રીતે સાયબર ક્રિમિનલ્સ સોશિયલ એન્જિનીયરિંગ દ્વારા માહિતી કઢાવવામાં ઉસ્તાદ હોય છે.
1) ટેલિકોલિંગ ફ્રોડ : ભારતમાં ટેલિફોન રેગ્યુલેટરી ઓથોરિટી ઓફ ઇન્ડિયા (ટ્રાઇ) દ્વારા ઘણા અંકુશો મૂકવામાં આવ્યા હોવા છતાં, ઘણી બધી રીતે માર્કેટિંગ કંપનીઓ પાસે આપણા ફોન નંબર આવી જ જતા હોય છે. સાયબર ક્રિમિનલ્સ આવા નંબરોનો એક આખો કલાસિફાઈડ ડેટાબેઝ બ્લેક કે વ્હાઈટ માર્કેટમાંથી ઉઠાવીને શિકાર શોધવાનું ચાલુ કરે છે.
દા. ત., કોઈ વ્યક્તિએ ઓનલાઈન કોઈ લોન માટે પૂછપરછ કરી હોય તો તેમાં તેના નામ, નંબર, મેઈલ આઇડી, પ્રોફેશનલ ડીટેઇલ, સેલેરી વગેરે વગેરે માહિતી આપેલી હોય છે. હવે આવા લોન ઈચ્છુક વ્યક્તિઓનો એક અખો ડેટાબેઝ તૈયાર થાય છે જે અમુક ફાયનાન્શિયલ કંપનીઓને કોલિંગ માટે વેચવામાં આવે છે. આવો ડેટાબેઝ સાયબર ક્રિમિનલ્સના હાથમાં આવતાં જ તે લોકો પોતાનો શિકાર શોધવાનું ચાલુ કરે છે અને કમનસીબે 100 એ 1-2 વ્યક્તિઓ તેમને એવી મળી જતા હોય છે જેને અલગ અલગ ફાયનાન્સ સ્કીમ સમજાવીને તેની પાસેથી એડવાન્સ ફીના નામ પર અમુક રકમ પડાવીને તેઓ ગાયબ થઇ જાય છે. આ એક નાનકડું ઉદાહરણ છે. આ જ રીતે જોબ પોર્ટલ્સ પરથી માહિતી મેળવીને પણ પૈસા પડાવતા હોય છે.
આ સિવાયનું એક ઉદાહરણ આ લેખની શરૂઆતમાં જ આપેલું છે.
2) ઓનલાઈન ફ્રોડ:
આ પ્રકારની ટેકનિકમાં ઓનલાઈન ચેટિંગ, ઈ-મેઇલ કે કંપની દ્વારા ઉપયોગમાં લેવાતી અન્ય કોઈ ટેકનિકથી કોઈ ઇન્ફર્મેશન કઢાવવામાં આવે છે. મોટા ભાગે આવા ફ્રોડ હરીફ કંપની પાસેથી કોઈ ડીટેઇલ મેળવવા અથવા તો તેની વર્ક સ્ટ્રેટેજી સમજવા માટે પણ કરવામાં આવે છે. જેમાં કંપનીના કોઈ સામાન્ય કર્મચારીથી માંડીને પ્રતિષ્ઠિત ઓફિસરને યેન કેન પ્રકારે ભોળવીને માહિતી કઢાવાય છે. આ સિવાય ઓનલાઈન લકી ડ્રો, બિઝનેસ લોન, જોબ પોર્ટલ વગેરે દ્વારા ટાર્ગેટ પાસેથી માહિતી મેળવી લેવાતી હોય છે.
3) ડમ્પસ્ટર ડાઈવિંગ :-
થોડા સમય પહેલાં ટીવી પર હિસ્ટ્રી-૧૮ ચેનલ પર પર એક રસપ્રદ શો આવતો હતો. આ શોનો એન્કર મેકડોનાલ્ડ્સ, ડોમિનોઝ, સબવે જેવી મોટી ફૂડચેઈનને ચેલેન્જ કરતો કે ‘તમે જે ફૂડ આઈટમ બનાવો છો તેવા જ અદ્દલ સ્વાદવાળી આઈટમ હું પણ બનાવી શકું’. હવે આ માટે તે અલગ અલગ ચેઈન રેસ્ટોરાંમાં જઈને ત્યાંના કર્મચારીઓને તેની પ્રોડક્ટના વખાણ કરી, વાતોમાં ભોળવીને અમુક અમુક રેસિપી કે કાચા માલની મહિતી કાઢવી લેતો. ત્યાર બાદ જયારે રેસ્ટોરાં બંધ થાય ત્યારે તેના ડસ્ટબિનમાંથી કામની વસ્તુઓ જેમ કે મસાલા, તેલ વગેરેનાં ખાલી ખોખાં શોધી, તે બજારમાંથી લાવીને જે તે કંપની જેવું જ બર્ગર કે પીઝા બનાવતો. આ તો થઇ ફૂડ પ્રોડક્ટની વાત.
હવે ઇન્ફર્મેશન માટે સાયબર ક્રિમિનલ્સ પણ આ રીતે ડમ્પસ્ટર ડાઈવિંગની ટેકનિક વાપરીને કંપનીના ડસ્ટબિનમાંથી કે કોઈ કર્મચારીના રીસાયકલ બિનમાંથી ડેટા ચોરી શકે છે. કેટલીક વાર કંપનીમાંથી કાઢી મુકાયેલા કર્મચારીની મદદ લઈને પણ ઇન્ફર્મેશન મેળવી લેવાતી હોય છે. આ સિવાય મોટા ભાગે કેટલીક કંપનીઓ પેપરવર્ક પછી તેની ઇન્ફર્મેશનનો સુરક્ષિત નિકાલ નથી કરતી જેને લીધે કેટલાંક ડોક્યુમેન્ટ્સ ઉપયોગ પછી ડસ્ટબિનમાં ફેંકી દેતા હોય છે જેનો ઉપયોગ હરીફ કંપની કરી શકે છે.
“એક છોટા સા સુરાગ પૂરે જહાજ કો ડૂબા સકતા હૈ ”તેમ નાની સરખી લાપરવાહીથી બિઝનેસને મોટું નુકસાન થઇ શકે છે.
આપને જાણીને આશ્ચર્ય થશે કે વિદેશોમાં મોટી મોટી કંપનીઓ પોતાની હરીફ કંપનીઓની ક્લિનિંગ કોન્ટ્રાક્ટ કંપનીઓ પાસેથી ડસ્ટબિનનો બધો કચરો સામાન્યથી ઊંચા ભાવે ખરીદી લેતી હોય છે અને તેમાંથી કોઈ માહિતી મેળવવાનો પ્રયત્ન કરતી હોય છે.
મિત્રો, ડમ્પસ્ટર ડાઈવિંગ માત્ર કંપનીઓમાં જ થાય એવું જરૂરી નથી. . આજકલ ઓફિસ, ફ્લેટ્સમાં નીચે ગ્રાઉન્ડફ્લોર પર લગાવેલા ખુલ્લા લેટરબોક્સમાંથી પણ ઘણી વાર અગત્યનાં બેંક પેપર્સ કે અન્ય ડોક્યુમેન્ટ્સનો પણ માહિતી મેળવવા માટે ગેરઉપયોગ થઇ શકે છે.
4) શોલ્ડર સર્ફિંગ
એક વાર એક કંપનીના બેંક એકાઉન્ટમાંથી 15 મિલિયન ડોલરની ઉઠાંતરીનો બનાવ બનેલો. ઇન્વેસ્ટીગેશન ટીમે તપાસ પછી જે તે ચોરને પકડ્યો ત્યારે ચોંકાવનારી વિગત બહાર આવી. કંપનીના ફાઈનાન્સ મેનેજર રજા પર હતા તે દરમિયાન, તે એક બીચ પર આરામથી લેપટોપમાં કંપનીનું કામ કરી રહ્યા હતા ત્યારે તેની પાછળ, બીચ પરની હોટેલના રૂમમાંથી પેલો ચોર દૂરબીન વડે તેના લેપટોપ પર નજર રાખતો હતો. તેમાં મેનેજરે જે આઈડી અને પાસવર્ડ નાખ્યો તે પેલાએ જોઈ લીધો અને ખેલખતમ. ચોર તો પકડાઈ ગયો પણ મેનેજરને ફરજમાં બેદરકારી બદલ કંપનીમાંથી પાણીચું આપી દેવામાં આવ્યું.
તમે ઓફિસમાં કોઈ અગત્યનું કામ કરી રહ્યા હો અથવા તો કોઈ ખાસ પ્રોજેક્ટ પર કામ કરી રહ્યા હો તો આજુબાજુમાં કોઈ પ્રોજેક્ટ બહારની વ્યક્તિ કે અજાણી વ્યક્તિ હોય તો તેને દૂર રાખવી જોઈએ જેથી તમારા સ્ક્રીન પર શું ચાલી રહ્યું છે તેની માહિતી અન્ય સુધી ના પહોચે. આ જ વાતનું ધ્યાન પાસવર્ડ ટાઈપ કરતી વખતે પણ રાખવું જોઈએ.
5) રીવર્સ સોશિયલ એન્જિનીયરિંગ
રીવર્સ સોશિયલ એન્જિનીયરિંગ એવી ટેકનિક છે જે મોટા ભાગે સફળ થાય છે. આપનામાંથી ઘણાને એવો કોલ આવતો હશે, જેમાં કોલર તમારી બેંકના કસ્ટમર એક્ઝિક્યુટિવની સ્ટાઈલમાં તમને તમારા જ બેંક એકાઉન્ટની ઉપરછલ્લી વિગતો આપીને તેમાં સિક્યોરિટી ફીચર્સ અપડેટ કરવાના હેતુથી પાસવર્ડ માગે છે અને સાથે સાથે ‘‘જો તમે અત્યારે પીન નંબર નહીં કહો તો કાર્ડ બ્લોક થઇ જશે’’ એમ કહીને ડરાવવામાં પણ આવે છે. આ ટેકનિક “વિશિંગ-wishing ” તરીકે પણ ઓળખાય છે.
આ પ્રકારની ટેકનિકમાં સાયબર ક્રિમિનલ્સ પાસે પહેલેથી જ અમુક ડેટા હોય છે જેના દ્વારા તે ટાર્ગેટને પોતાની વિશ્વસનીયતાની ખાતરી આપે છે અને એકદમ પ્રોફેશનલ લેવલના વાક્ચાતુર્ય વડે ટાર્ગેટ પાસેથી પોતાને જોઈતી માહિતી કાઢવી લે છે.
જો આપે ‘‘યે ઝિંદગી ના મિલેગી દોબારા’’ ફિલ્મ જોઈ હશે તો તેના શરૂઆતના એક દૃશ્યમાં અભિનેતા અભય દેઓલ ઋત્વિક રોશનની વાત જાણવા માટે કહે છે ‘‘મુજે તુમ્હારે બારે મેં કુછ પતા ચલા હૈ’’ અને પોતે ખરેખર કંઈ જાણતો ન હોવા છતાં, આખી વાત સામેની વ્યક્તિ પાસેથી કાઢવી લે છે. હોલીવૂડની ફિલ્મ ‘કેચ મી ઇફ યુ કેન’માં પણ કંઈક આવું જ દૃશ્ય હતું. ઉપરાંત કોઈ ઇન્ફર્મેશન માટે ટાર્ગેટને બ્લેક મેઈલ કરવું એ પણ આ ટેકનિકમાં ગણી શકાય.
6) પર્સ્યુએશન ટેકનિક :-
અંગત અને પ્રોફેશનલ બંને લાઈફમાં વ્યક્તિના એક કે અનેક સાથે વિશ્વાસના સંબંધ હોય છે. કોઈ બે મિત્રો, કોઈ બે સહકર્મચારી, કોઈ સમદુખિયા, વચ્ચે ઘણી વાર અમુક ખાનગી માહિતીની આપલે થતી હોય છે. ઓફિસમાં રોજ આપની સાથે લંચ લેતો હોય, ચાની કીટલી પર અને કેટલીક વાર ખાસ પાર્ટીમાં પણ આપની સાથે જ હોય તેવી નજીકની વ્યક્તિ સાથે પણ અમુક માહિતી શેર કરતાં ચાર વાર વિચારવું જોઈએ. બની શકે કે વિશ્વાસમાં આવીને આપેલી ખાનગી ઇન્ફર્મેશનનો ગેરઉપયોગ ક્યાંક તમને જ નુકસાનમાં મૂકી દે.
=================================================
મિત્રો આપણે સોશિયલ એન્જિનીયરિંગની કેટલીક મુખ્ય ટેકનિક વિષે જાણ્યું. તો ચાલો હવે જાણીએ કે આ ટેકનિકના મુખ્ય ટાર્ગેટ કોણ કોણ હોઈ શકે.
આમ તો કંપનીની ઇન્ફર્મેશન સાચવવાની જવાબદારી દરેક કર્મચારીની હોય છે પરંતુ કેટલાંક એવાં સોફ્ટ ટાર્ગેટ છે જેમના દ્વારા કંપનીની અમુક મહત્વપૂર્ણ જાણકારી લીક થવાનો ખતરો રહે છે. જેમ કે ,
● હેલ્પ ડેસ્ક
● આઈટી એડમિન
● રીસેપ્શનિસ્ટ
● ટેલિફોન ઓપરેટર
● હ્યુમન રિસોર્સ ડિપાર્ટમેન્ટના કર્મચારીઓ
● રીસર્ચ એન્ડ ડેવલપમેન્ટ ડિપાર્ટમેન્ટના કર્મચારીઓ
● સેલ્સ એક્ઝિક્યુટિવ વગેરે.
આ જોખમને નિવારવા માટે કંપની દ્વારા તેમને આઈટી સિક્યુરિટી અને સોશિયલ એન્જિનીયરિંગનાં જોખમ તથા તેનાથી કઈ રીતે બચી શકાય તેની તાલીમ આપવી આવશ્યક છે.
કેવી રીતે બચીશું?
હવે જાણીએ સોશિયલ એન્જિનીયરિંગથી બચવાની ટેકનિક. આમ તો ઉપરનાં બધાં ઉદાહરણોમાં જાણ્યું તેમ કોઈ ખાસ ટેકનોલોજી કે ટેકનિક વિના, બિલકુલ સાદી રીતે લોકોને સોશિયલ એન્જિનીયરિંગના શિકાર બનાવવામાં આવે છે. તો એનાથી બચવા માટે પણ આપણે કોમન સેન્સ જ ઉપયોગમાં લેવી રહી.
● ટેલિફોનિક વાતચીત વખતે ક્રોસ ઇન્ક્વાયરી કરી બધી જ ખાતરી કાર્ય બાદ પોતાની ઓળખાણ અંગે વધુ માહિતી આપો. તેમાં પણ બેન્કિંગ ઇન્ફર્મેશન કે કંપનીની કોઈ ખાનગી પ્રોજેક્ટ જેવી વાતો કરવાનું ટાળવું. વાતચીત વખતે સામેની વ્યક્તિ તરફથી પણ પૂરતો અને સંતોષકારક જવાબ ના મળે અથવા તો જરાય પણ શંકા ઉપજે તો વાત કરવાનું ટાળવું.
● ઓનલાઈન ફ્રોડથી બચવા માટે સિસ્ટમમાં અપડેટેડ એન્ડિવાઈરસ, એડ-બ્લોક સોફ્ટવેર ઇન્સ્ટોલ કરવા જોઈએ જેથી તમારા ધ્યાન બહાર કોઈ સ્પાયવેર તમારા સિસ્ટમનો ડેટા લઇ ના શકે. કોઈ વેબસાઈટ પહેલી વાર વિઝિટ કરો છો તેનું ડોમેઈન નેમ બરાબર યાદ રાખવું અને ભળતા નામ વળી વેબસાઈટને બ્લોક કરો. કોઈ પણ લોટરી, ઓકશન, જોબ વગેરેની સ્કીમથી દૂર રહેવું.
● કંપનીના બધા બિનજરૂરી ડોક્યુમેન્ટ ઉપયોગ બાદ શ્રેડર મશીનમાં નાખવા. સીડી, ડીવીડી, મેગ્નેટિક ટેપ્સનો નાશ પણ સાવધાનીપૂર્વક કરવો જેથી દુરુપયોગ ના થાય. ઘર કે ઓફિસના લેટર બોક્સ પર લોક લગાવવું અને તેને નિયમિત ચેક કરતા રહેવું.
● આપની વેબસાઈટ પર જરૂરી હોય તેટલી જ ઇન્ફર્મેશન મુકીને વધારાની નકામી ઇન્ફર્મેશન કાઢી નાખવી.
● ગૂગલે પર તમારું નામ કે તમારી કંપનીનું નામ સર્ચ કરતા રહો અને જાણો કે તમારા અંગે કોઈ બિનજરૂરી કે વધારાની વિગત તો નથી દેખાતી ને ? જો હોય તો તેને હટાવવાનાં પગલાં લો.
● બતાવવાના દાંત જુદા અને ચાવવાના જુદા એ કહેવત ને યાદ રાખીને દરેકની સાથે અંગત કે ઓફિશ્યલ વાતની ચર્ચા કરવાનું ટાળો.
અંતે એટલું કહીશું કે ટેકનોલોજી, સોફ્ટવેર આ બધા પોતપોતાનું કામ કરશે પણ દરેકની અમુક મર્યાદા છે જયારે માનવીય તર્ક અને બુદ્ધિની કદાચ કોઈ મર્યાદા નથી. અને કમનસીબે સાયબર ક્રિમિનલ્સ આ વાત જાણે છે એટલે “નેહલે પે દેહલા” નો આ ખેલ ચાલતો જ રહેવાનો છે. આપણી ઇન્ફર્મેશન સિક્યુરિટી અંગે આપણે કેટલા સતર્ક છીએ તે આપણા હાથની જ વાત છે – સજાગ રહો, સલામત રહો!
હેલો, .
ReplyDeleteહું જીવન સમય આપે છે જે એક ખાનગી લોન આપનાર મિસ્ટર ફિલિપ કેન છું
વગેરે વ્યક્તિઓ માટે તક લોન, બિઝનેસ કંપનીઓ , વીમા છે
જો તમે કોઇ નાણાકીય મુશ્કેલી અથવા લોન જરૂર રોકાણ અથવા તમે
બનાવવા માટે આગળ કોઈ અમે અહીં છે, કારણ કે તમારા બીલ શોધવા ચૂકવવા લોન જરૂર
તમારા બધા નાણાકીય સમસ્યાઓ ભૂતકાળ ની વસ્તુ. અમે તમામ પ્રકારના તક આપે છે
અપફ્રન્ટ ફી વગર 2% દર સાથે કોઈપણ ચલણ સંપ્રદાય માં લોન.
હું તમને અમે કરવા માટે તૈયાર છે કે જણાવવા માટે આ મહાન માધ્યમ નો ઉપયોગ કરવા માંગો છો
તમારા નાણાંકીય સમસ્યા એ છે કે ઉકેલવા માટે લોન કોઇ પણ પ્રકારની સાથે તમે મદદ કરે છે.
હા, તો પછી E-philipkenloan@gmail.com મારફતે હવે પાછા મળી , તો
વધુ વિગતો માટે, તમે ખૂબ સ્વાગત છે ...