सामजिक अभियांत्रिकी (सुरक्षा): Difference between revisions

From Vigyanwiki
(Created page with "{{short description|Psychological manipulation of people into performing actions or divulging confidential information}} {{Use dmy dates|date=August 2020}} File:OPSEC alert...")
 
No edit summary
 
(11 intermediate revisions by 6 users not shown)
Line 4: Line 4:
[[File:OPSEC alert -- What is social engineering....jpg|thumb|400px|[[OPSEC]] अलर्ट|alt=आम आदमी की शर्तों में सामाजिक इंजीनियरिंग की परिभाषा]]
[[File:OPSEC alert -- What is social engineering....jpg|thumb|400px|[[OPSEC]] अलर्ट|alt=आम आदमी की शर्तों में सामाजिक इंजीनियरिंग की परिभाषा]]
{{Information security}}
{{Information security}}
[[सूचना सुरक्षा]] के संदर्भ में, सोशल इंजीनियरिंग लोगों के कार्यों को करने या [[गोपनीयता]] प्रकट करने के लिए [[मनोवैज्ञानिक हेरफेर]] है। यह सामाजिक विज्ञान के भीतर सामाजिक इंजीनियरिंग से भिन्न है, जो गोपनीय जानकारी के प्रकटीकरण से संबंधित नहीं है। सूचना एकत्र करने, धोखाधड़ी, या सिस्टम एक्सेस के उद्देश्य से एक प्रकार की [[विश्वास चाल]], यह एक पारंपरिक चोर से अलग है कि यह अक्सर एक अधिक जटिल धोखाधड़ी योजना में कई चरणों में से एक है।<ref>{{cite book|url=https://books.google.com/books?id=ILaY4jBWXfcC|title=सुरक्षा इंजीनियरिंग: भरोसेमंद वितरित सिस्टम बनाने के लिए एक गाइड|last=Anderson|first=Ross J.|publisher=Wiley|year=2008|isbn=978-0-470-06852-6|edition=2nd|location=Indianapolis, IN|page=1040|author-link=Ross J. Anderson}} Chapter 2, page 17</ref>
[[सूचना सुरक्षा]] के संदर्भ में, सामाजिक अभियांत्रिकी लोगों के कार्यों को करने या [[गोपनीयता]] प्रकट करने के लिए [[मनोवैज्ञानिक हेरफेर|मनोवैज्ञानिक परिचालन]] है। यह सामाजिक विज्ञान के अंतर्गत सामाजिक अभियांत्रिकी से अलग है, जो गोपनीय जानकारी के प्रकटीकरण से संबंधित नहीं है। सूचना एकत्र करने, धोखाधड़ी, या सिस्टम अभिगमन के उद्देश्य से एक प्रकार की [[विश्वास चाल|विश्वसनीय चाल]] कहा जा सकता है, यह एक पारंपरिक धोखाधड़ी से अलग है क्योकि यह प्रायः एक अधिक जटिल धोखाधड़ी योजना में कई चरणों में से एक है।<ref>{{cite book|url=https://books.google.com/books?id=ILaY4jBWXfcC|title=सुरक्षा इंजीनियरिंग: भरोसेमंद वितरित सिस्टम बनाने के लिए एक गाइड|last=Anderson|first=Ross J.|publisher=Wiley|year=2008|isbn=978-0-470-06852-6|edition=2nd|location=Indianapolis, IN|page=1040|author-link=Ross J. Anderson}} Chapter 2, page 17</ref>इसे किसी कार्य के रूप में भी परिभाषित किया गया है जो किसी व्यक्ति को ऐसी कार्रवाई करने के लिए प्रभावित करता है जो उनके सर्वोत्तम लाभ में हो या न हो।<ref>{{Cite news|url=https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/|title=सामाजिक इंजीनियरिंग परिभाषित|work=Security Through Education|access-date=3 October 2021|language=en-TH}}</ref>  
इसे किसी भी कार्य के रूप में भी परिभाषित किया गया है जो किसी व्यक्ति को ऐसी कार्रवाई करने के लिए प्रभावित करता है जो उनके सर्वोत्तम हित में हो या न हो।<ref>{{Cite news|url=https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/|title=सामाजिक इंजीनियरिंग परिभाषित|work=Security Through Education|access-date=3 October 2021|language=en-TH}}</ref> सोशल इंजीनियरिंग का एक उदाहरण अधिकांश वेबसाइटों पर पासवर्ड भूल जाने की क्रिया का उपयोग है, जिसमें लॉगिन की आवश्यकता होती है। एक दुर्भावनापूर्ण हमलावर को उपयोगकर्ता के खाते तक पूर्ण पहुंच प्रदान करने के लिए एक अनुचित रूप से सुरक्षित पासवर्ड-पुनर्प्राप्ति प्रणाली का उपयोग किया जा सकता है, जबकि मूल उपयोगकर्ता खाते तक पहुंच खो देगा।
 
सामाजिक अभियांत्रिकी का एक उदाहरण अधिकांश वेबसाइटों पर पासवर्ड (संकेत शब्द) भूल जाने की क्रिया का उपयोग है, जिसमें लॉगिन की आवश्यकता होती है। एक दुर्भावनापूर्ण क्षति पहुंचाने वाले व्यक्ति को उपयोगकर्ता के खाते तक पूर्ण पहुंच प्रदान करने के लिए एक अनुचित रूप से सुरक्षित पासवर्ड-पुनर्प्राप्ति प्रणाली का उपयोग किया जा सकता है, जबकि मूल उपयोगकर्ता खाते तक नहीं पहुंच पाएगा।


== सूचना सुरक्षा संस्कृति ==
== सूचना सुरक्षा संस्कृति ==
कर्मचारियों के व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव पड़ सकता है। सांस्कृतिक अवधारणाएं संगठन के विभिन्न हिस्सों को प्रभावी ढंग से काम करने में मदद कर सकती हैं या किसी संगठन के भीतर सूचना सुरक्षा की दिशा में प्रभावशीलता के खिलाफ काम कर सकती हैं। संगठनात्मक संस्कृति और सूचना सुरक्षा संस्कृति के बीच संबंधों की खोज सूचना सुरक्षा संस्कृति की निम्नलिखित परिभाषा प्रदान करती है: ISC एक संगठन में व्यवहार के पैटर्न की समग्रता है जो सभी प्रकार की जानकारी की सुरक्षा में योगदान करती है।<ref>Lim, Joo S., et al. "[https://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=ism Exploring the Relationship between Organizational Culture and Information Security Culture]." Australian Information Security Management Conference.</ref>
कर्मचारियों के व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव पड़ सकता है। सांस्कृतिक अवधारणाएं संगठन के विभिन्न हिस्सों को प्रभावी ढंग से काम करने में मदद कर सकती हैं या किसी संगठन के अंतर्गत सूचना सुरक्षा की दिशा में प्रभावशीलता के विरूद्व काम कर सकती हैं। संगठनात्मक संस्कृति और सूचना सुरक्षा संस्कृति के बीच संबंधों की तलाश सूचना सुरक्षा संस्कृति की निम्नलिखित परिभाषा प्रदान करती हैI ISC एक संगठन में व्यवहार के पैटर्न की समग्रता है जो सभी प्रकार की जानकारी की सुरक्षा में योगदान करती है।<ref>Lim, Joo S., et al. "[https://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=ism Exploring the Relationship between Organizational Culture and Information Security Culture]." Australian Information Security Management Conference.</ref>
एंडरसन और रीमर्स (2014) ने पाया कि कर्मचारी अक्सर खुद को संगठन सूचना सुरक्षा प्रयास के हिस्से के रूप में नहीं देखते हैं और अक्सर ऐसी कार्रवाइयां करते हैं जो संगठनात्मक सूचना सुरक्षा सर्वोत्तम हितों की उपेक्षा करते हैं।<ref name="Andersson & Reimers 2014">Andersson, D., Reimers, K. and Barretto, C. (March 2014). [https://nsuworks.nova.edu/gscis_facarticles/529/ Post-Secondary Education Network Security: Results of Addressing the End-User Challenge].publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)</ref> अनुसंधान से पता चलता है कि सूचना सुरक्षा संस्कृति में लगातार सुधार की आवश्यकता है। सूचना सुरक्षा संस्कृति में विश्लेषण से परिवर्तन तक, लेखकों ने टिप्पणी की कि यह कभी न खत्म होने वाली प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का चक्र है। उनका सुझाव है कि सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पांच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, परिचालन योजना, कार्यान्वयन और मूल्यांकन के बाद।<ref name="Schlienger, Thomas 2003">{{cite journal | last1 = Schlienger | first1 = Thomas | last2 = Teufel | first2 = Stephanie | year = 2003 | title = सूचना सुरक्षा संस्कृति-विश्लेषण से परिवर्तन तक| url =https://www.researchgate.net/publication/220102979 | journal = South African Computer Journal | volume = 31 | pages = 46–52 }}</ref>
 
*पूर्व-मूल्यांकन: कर्मचारियों के भीतर सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और वर्तमान सुरक्षा नीति का विश्लेषण करना।
एंडरसन और रीमर्स (2014) ने यह पाया कि कर्मचारी प्रायः खुद को संगठन सूचना सुरक्षा प्रयास के हिस्से के रूप में नहीं देखते हैं और प्रायः ऐसी कार्रवाइयां करते हैं जो संगठनात्मक सूचना सुरक्षा सर्वोत्तम हितों को नज़रअंदाज़ करते हैं।<ref name="Andersson & Reimers 2014">Andersson, D., Reimers, K. and Barretto, C. (March 2014). [https://nsuworks.nova.edu/gscis_facarticles/529/ Post-Secondary Education Network Security: Results of Addressing the End-User Challenge].publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)</ref> अनुसंधान से पता चलता है कि सूचना सुरक्षा संस्कृति में लगातार सुधार की आवश्यकता है। सूचना सुरक्षा संस्कृति में विश्लेषण से परिवर्तन तक, लेखकों ने टिप्पणी की कि यह कभी न खत्म होने वाली प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का चक्र है। उनका सुझाव है कि सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पांच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, परिचालन योजना, कार्यान्वयन और मूल्यांकन।<ref name="Schlienger, Thomas 2003">{{cite journal | last1 = Schlienger | first1 = Thomas | last2 = Teufel | first2 = Stephanie | year = 2003 | title = सूचना सुरक्षा संस्कृति-विश्लेषण से परिवर्तन तक| url =https://www.researchgate.net/publication/220102979 | journal = South African Computer Journal | volume = 31 | pages = 46–52 }}</ref>
*रणनीतिक योजना: एक बेहतर जागरूकता-कार्यक्रम के साथ आने के लिए, हमें स्पष्ट लक्ष्य निर्धारित करने की आवश्यकता है। क्लस्टरिंग लोग इसे प्राप्त करने में सहायक होते हैं।
*पूर्व-मूल्यांकन: कर्मचारियों के अंतर्गत सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और वर्तमान सुरक्षा नीति का विश्लेषण करना।
*ऑपरेशनल प्लानिंग: आंतरिक संचार, प्रबंधन-बाय-इन और सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम के आधार पर एक अच्छी सुरक्षा संस्कृति स्थापित करें।<ref name="Schlienger, Thomas 2003"/>*कार्यान्वयन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए। वे प्रबंधन की प्रतिबद्धता, संगठनात्मक सदस्यों के साथ संचार, सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम और कर्मचारियों की प्रतिबद्धता हैं।<ref name="Schlienger, Thomas 2003"/>
*रणनीतिक योजना: एक बेहतर जागरूकता-कार्यक्रम के साथ आने के लिए, हमें स्पष्ट लक्ष्य निर्धारित करने की आवश्यकता है। गुच्छन लोग इसे प्राप्त करने में सहायक होते हैं।
*संक्रियात्मक आयोजन : आंतरिक संचार, प्रबंधन-बाय-इन और सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम के आधार पर एक अच्छी सुरक्षा संस्कृति स्थापित करें।<ref name="Schlienger, Thomas 2003" />*
*कार्यान्वयन और मूल्यांकन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए। वे प्रबंधन की प्रतिबद्धता, संगठनात्मक सदस्यों के साथ संचार, सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम और कर्मचारियों की प्रतिबद्धता हैं।<ref name="Schlienger, Thomas 2003" />
 
'''<br /><big>तकनीक और शर्तें</big>'''


सभी सामाजिक अभियांत्रिकी तकनीकें मानव निर्णय लेने की विशिष्ट विशेषताओं पर आधारित होती हैं जिन्हें [[संज्ञानात्मक पूर्वाग्रहों की सूची]] के रूप में जाना जाता है।<ref>Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.</ref><ref>{{Cite journal|last=Kirdemir|first=Baris|date=2019|title=साइबरस्पेस में शत्रुतापूर्ण प्रभाव और उभरते संज्ञानात्मक खतरे|publisher=Centre for Economics and Foreign Policy Studies|url=https://www.jstor.org/stable/resrep21052}}</ref> इन पूर्वाग्रहों, जिन्हें कभी-कभी मानव हार्डवेयर में बग( वायरस) कहा जाता है, "खतरे की तकनीक बनाने के लिए विभिन्न संयोजनों में उपयोग किए जाते हैं, जिनमें से कुछ नीचे सूचीबद्ध हैं। सामाजिक अभियांत्रिकी में उपयोग किए गए खतरों का उपयोग कर्मचारियों की गोपनीय जानकारी चुराने के लिए किया जा सकता है। सामाजिक अभियांत्रिकी का सबसे साधारण प्रकार फोन पर होता है। सामाजिक अभियांत्रिकी खतरों के अन्य उदाहरण अपराधियों, फायर मार्शलों और तकनीकज्ञ के रूप में प्रस्तुत करने वाले अपराधी हैं, जो किसी का ध्यान नहीं जाते क्योंकि वे कंपनी के रहस्य चुराते हैं।


== तकनीक और शर्तें ==
सामाजिक अभियांत्रिकी का एक उदाहरण एक व्यक्ति है जो एक इमारत में चलता है और कंपनी के बुलेटिन में एक आधिकारिक-दिखने वाली घोषणा पोस्ट करता है जो कहता है कि सहायता केंद्र के लिए संख्या बदल गया है। इसलिए, जब कर्मचारी मदद के लिए कॉल करते हैं तो व्यक्ति उनसे उनके पासवर्ड और आईडी मांगता है जिससे कंपनी की निजी जानकारी तक पहुंचने की क्षमता प्राप्त होती है। सामाजिक अभियांत्रिकी का एक और उदाहरण यह होगा कि हैकर [[सोशल नेटवर्किंग साइट|सामाजिक नेटवर्किंग साइट]] पर लक्ष्य से संपर्क करता है और लक्ष्य के साथ बातचीत शुरू करता है। धीरे-धीरे हैकर लक्ष्य का विश्वास हासिल कर लेता है और फिर उस भरोसे का उपयोग पासवर्ड या बैंक खाते के विवरण जैसी संवेदनशील जानकारी तक पहुंचने के लिए करता है।<ref>{{Cite journal|last=Hatfield|first=Joseph M|date=June 2019|title=वर्चुअस ह्यूमन हैकिंग: द एथिक्स ऑफ़ सोशल इंजीनियरिंग इन पेनेट्रेशन-टेस्टिंग|journal=Computers & Security|volume=83|pages=354–366|doi=10.1016/j.cose.2019.02.012|s2cid=86565713}}</ref>
सभी सामाजिक इंजीनियरिंग तकनीकें मानव निर्णय लेने की विशिष्ट विशेषताओं पर आधारित होती हैं जिन्हें [[संज्ञानात्मक पूर्वाग्रहों की सूची]] के रूप में जाना जाता है।<ref>Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.</ref><ref>{{Cite journal|last=Kirdemir|first=Baris|date=2019|title=साइबरस्पेस में शत्रुतापूर्ण प्रभाव और उभरते संज्ञानात्मक खतरे|publisher=Centre for Economics and Foreign Policy Studies|url=https://www.jstor.org/stable/resrep21052}}</ref> इन पूर्वाग्रहों, जिन्हें कभी-कभी मानव हार्डवेयर में बग कहा जाता है, "हमले की तकनीक बनाने के लिए विभिन्न संयोजनों में उपयोग किए जाते हैं, जिनमें से कुछ नीचे सूचीबद्ध हैं। सोशल इंजीनियरिंग में इस्तेमाल किए गए हमलों का इस्तेमाल कर्मचारियों की गोपनीय जानकारी चुराने के लिए किया जा सकता है। सोशल इंजीनियरिंग का सबसे आम प्रकार फोन पर होता है। सोशल इंजीनियरिंग हमलों के अन्य उदाहरण अपराधियों, फायर मार्शलों और तकनीशियनों के रूप में प्रस्तुत करने वाले अपराधी हैं, जो किसी का ध्यान नहीं जाते क्योंकि वे कंपनी के रहस्य चुराते हैं।


सोशल इंजीनियरिंग का एक उदाहरण एक व्यक्ति है जो एक इमारत में चलता है और कंपनी के बुलेटिन में एक आधिकारिक-दिखने वाली घोषणा पोस्ट करता है जो कहता है कि हेल्प डेस्क के लिए नंबर बदल गया है। इसलिए, जब कर्मचारी मदद के लिए कॉल करते हैं तो व्यक्ति उनसे उनके पासवर्ड और आईडी मांगता है जिससे कंपनी की निजी जानकारी तक पहुंचने की क्षमता प्राप्त होती है।
सामाजिक अभियांत्रिकी [[रॉबर्ट सियालडिनी]] द्वारा स्थापित प्रभाव के छह सिद्धांतों पर बहुत अधिक निर्भर करता है। सियालदिनी के प्रभाव का सिद्धांत छह प्रमुख सिद्धांतों पर आधारित है: पारस्परिकता, प्रतिबद्धता और निरंतरता, सामाजिक प्रमाण, अधिकार, पसंद, विरलता।
सोशल इंजीनियरिंग का एक और उदाहरण यह होगा कि हैकर [[सोशल नेटवर्किंग साइट]] पर लक्ष्य से संपर्क करता है और लक्ष्य के साथ बातचीत शुरू करता है। धीरे-धीरे हैकर लक्ष्य का विश्वास हासिल कर लेता है और फिर उस भरोसे का उपयोग पासवर्ड या बैंक खाते के विवरण जैसी संवेदनशील जानकारी तक पहुंचने के लिए करता है।<ref>{{Cite journal|last=Hatfield|first=Joseph M|date=June 2019|title=वर्चुअस ह्यूमन हैकिंग: द एथिक्स ऑफ़ सोशल इंजीनियरिंग इन पेनेट्रेशन-टेस्टिंग|journal=Computers & Security|volume=83|pages=354–366|doi=10.1016/j.cose.2019.02.012|s2cid=86565713}}</ref>
सोशल इंजीनियरिंग [[रॉबर्ट सियालडिनी]] द्वारा स्थापित प्रभाव के छह सिद्धांतों पर बहुत अधिक निर्भर करता है। Cialdini के प्रभाव का सिद्धांत छह प्रमुख सिद्धांतों पर आधारित है: पारस्परिकता, प्रतिबद्धता और निरंतरता, सामाजिक प्रमाण, अधिकार, पसंद, बिखराव।


=== छह प्रमुख सिद्धांत ===
=== छह प्रमुख सिद्धांत ===


==== प्राधिकरण ====
==== प्राधिकरण ====
सोशल इंजीनियरिंग में, हमलावर पीड़ित से पालन की संभावना बढ़ाने के लिए अधिकार के रूप में प्रस्तुत कर सकता है।
सामाजिक अभियांत्रिकी में, क्षति पहुंचाने वाले व्यक्ति पीड़ित से लगाव की संभावना बढ़ाने के लिए अधिकार के रूप में प्रस्तुत कर सकता है।


==== धमकाना ====
==== धमकाना ====
{{Main articles|Intimidation}}
{{Main articles|धमकी}}
हमलावर (संभावित रूप से प्रच्छन्न) सूचित करता है या संकेत करता है कि यदि कुछ कार्य नहीं किए जाते हैं तो नकारात्मक परिणाम होंगे। परिणामों में सूक्ष्म डराने-धमकाने वाले वाक्यांश शामिल हो सकते हैं जैसे कि मैं आपके प्रबंधक को और भी बुरा बताऊंगा।
 
क्षति पहुंचाने वाले व्यक्ति (संभावित रूप से प्रच्छन्न) सूचित करता है या संकेत करता है कि यदि कुछ कार्य नहीं किए जाते हैं तो नकारात्मक परिणाम होंगे। परिणामों में सूक्ष्म डराने-धमकाने वाले वाक्यांश सम्मिलित हो सकते हैं जैसे कि मैं आपके प्रबंधक को और भी बुरा बताऊंगा।


==== आम सहमति/सामाजिक प्रमाण ====
==== साधारण सहमति/सामाजिक प्रमाण ====
{{Main articles|Social proof}}
{{Main articles|सामाजिक प्रमाण}}
लोग वही करेंगे जो वे दूसरों को करते हुए देखते हैं। उदाहरण के लिए, एक प्रयोग में{{Which one|date=February 2022}}, एक या अधिक संघी आकाश की ओर देखेंगे; तमाशबीन लोग तब आकाश में देखते थे कि वे क्या खो रहे थे। एक बिंदु पर यह प्रयोग निरस्त कर दिया गया, क्योंकि इतने सारे लोग ऊपर देख रहे थे कि उन्होंने यातायात रोक दिया। [[अनुरूपता (मनोविज्ञान)]] और ऐश अनुरूपता प्रयोग देखें।
लोग वही करेंगे जो वे दूसरों को करते हुए देखते हैं। उदाहरण के लिए, एक प्रयोग में{{Which one|date=February 2022}}, एक या अधिक संघी आकाश की ओर देखेंगे; तमाशबीन लोग तब आकाश में देखते थे कि वे क्या भूल हे थे। एक बिंदु पर यह प्रयोग निरस्त कर दिया गया, क्योंकि इतने सारे लोग ऊपर देख रहे थे कि उन्होंने यातायात रोक दिया। [[अनुरूपता (मनोविज्ञान)]] और ऐश अनुरूपता प्रयोग देखें।


====कमी ====
====कमी ====
{{Main articles|Scarcity (social psychology)}}
{{Main articles|कमी (सामाजिक मनोविज्ञान)}}
कथित कमी [[मांग]] उत्पन्न करेगी। आपूर्ति के अंतिम समय में सामान्य विज्ञापन मुहावरा बिखराव की भावना का लाभ उठाता है।
कथित कमी [[मांग]] उत्पन्न करेगी। आपूर्ति के अंतिम समय में सामान्य विज्ञापन मुहावरा बिखराव की भावना का लाभ उठाता है।


==== उतावलापन ====
==== उतावलापन ====
बिखराव से जुड़े, हमलावर सामाजिक इंजीनियरिंग के समय-आधारित मनोवैज्ञानिक सिद्धांत के रूप में तात्कालिकता का उपयोग करते हैं। उदाहरण के लिए, यह कहना कि ऑफर सीमित समय के लिए उपलब्ध हैं, केवल अत्यावश्यकता की भावना से बिक्री को प्रोत्साहित करता है।
बिखराव से जुड़े, क्षति पहुंचाने वाले व्यक्ति सामाजिक अभियांत्रिकी के समय-आधारित मनोवैज्ञानिक सिद्धांत के रूप में तात्कालिकता का उपयोग करते हैं। उदाहरण के लिए, यह कहना कि ऑफर सीमित समय के लिए उपलब्ध हैं, केवल अत्यावश्यकता की भावना से बिक्री को प्रोत्साहित करता है।


==== परिचित/पसंद ====
==== परिचित/पसंद ====
{{Main article|Friendship}}
{{Main article|दोस्ती}}
लोग जिन लोगों को पसंद करते हैं उनके द्वारा आसानी से राजी हो जाते हैं। Cialdini [[Tupperware]] के विपणन का हवाला देती है जिसे अब [[संक्रामक विपणन]] कहा जा सकता है। लोगों को खरीदने की अधिक संभावना थी अगर वे उस व्यक्ति को पसंद करते थे जो उन्हें बेच रहा था। अधिक आकर्षक लोगों के पक्ष में कई पूर्वाग्रहों पर चर्चा की गई है। [[शारीरिक आकर्षण स्टीरियोटाइप]] देखें।
 
लोग जिन लोगों को पसंद करते हैं उनके द्वारा आसानी से राजी हो जाते हैं। [[Tupperware]] के विपणन का हवाला देती है जिसे अब [[संक्रामक विपणन]] कहा जा सकता है। लोगों को खरीदने की अधिक संभावना थी अगर वे उस व्यक्ति को पसंद करते थे जो उन्हें बेच रहा था। अधिक आकर्षक लोगों के पक्ष में कई पूर्वाग्रहों पर चर्चा की गई है। [[शारीरिक आकर्षण स्टीरियोटाइप|संरचनात्मक आकर्षण स्टीरियोटाइप]] देखें।


=== चार सोशल इंजीनियरिंग वैक्टर ===
=== चार सामाजिक अभियांत्रिकी संवाहक  ===


====विशिंग====
====विशिंग====
विशिंग, अन्यथा [[आवाज फ़िशिंग]] के रूप में जाना जाता है, वित्तीय पुरस्कार के उद्देश्य से जनता से निजी व्यक्तिगत और वित्तीय जानकारी तक पहुंच प्राप्त करने के लिए [[पीएसटीएन]] पर सोशल इंजीनियरिंग का उपयोग करने का आपराधिक अभ्यास है।<ref>{{Cite journal|last1=Choi|first1=Kwan|last2=Lee|first2=Ju-lak|last3=Chun|first3=Yong-tae|date=2017-05-01|title=वॉयस फिशिंग फ्रॉड और इसके तौर-तरीके|url=http://link.springer.com/10.1057/sj.2014.49|journal=Security Journal|language=en|volume=30|issue=2|pages=454–466|doi=10.1057/sj.2014.49|s2cid=154080668|issn=0955-1662}}</ref> यह लक्षित संगठन पर अधिक विस्तृत [[खुफिया विश्लेषण]] एकत्र करने के लिए टोही उद्देश्यों के लिए हमलावरों द्वारा भी नियोजित किया जाता है।
विशिंग, अन्यथा [[आवाज फ़िशिंग]] के रूप में जाना जाता है, वित्तीय पुरस्कार के उद्देश्य से जनता से निजी व्यक्तिगत और वित्तीय जानकारी तक पहुंच प्राप्त करने के लिए [[पीएसटीएन]] पर सामाजिक अभियांत्रिकी का उपयोग करने का आपराधिक अभ्यास है।<ref>{{Cite journal|last1=Choi|first1=Kwan|last2=Lee|first2=Ju-lak|last3=Chun|first3=Yong-tae|date=2017-05-01|title=वॉयस फिशिंग फ्रॉड और इसके तौर-तरीके|url=http://link.springer.com/10.1057/sj.2014.49|journal=Security Journal|language=en|volume=30|issue=2|pages=454–466|doi=10.1057/sj.2014.49|s2cid=154080668|issn=0955-1662}}</ref> यह लक्षित संगठन पर अधिक विस्तृत [[खुफिया विश्लेषण]] एकत्र करने के लिए परीक्षण करने के उद्देश्यों के लिए क्षति पहुंचाने वाले व्यक्तिों द्वारा भी नियोजित किया जाता है।
 
'''फ़िशिंग'''
{{Main|फ़िशिंग}}


फ़िशिंग ===
फ़िशिंग धोखाधड़ी से निजी जानकारी प्राप्त करने की एक तकनीक है। सामान्यतः, फ़िशर एक ई-मेल भेजता है जो एक वैध व्यवसाय-एक बैंक, या [[क्रेडिट कार्ड]] कंपनी से आता है- सूचना के सत्यापन का अनुरोध करता है और कुछ नुकसान से बचने की चेतावनी देता है यदि यह प्रदान नहीं किया गया है। ई-मेल में पर धोखाधड़ी वेब पेज का एक लिंक होता है जो वैध लगता है—कंपनी के लोगो और सामग्री के साथ—और इसमें घर के पते से लेकर [[एटीएम कार्ड]] की [[व्यक्तिगत पहचान संख्या]] या [[क्रेडिट कार्ड नंबर|क्रेडिट कार्ड]] संख्या तक सब कुछ अनुरोध करने वाला एक प्ररूप होता है। उदाहरण के लिए, 2003 में, एक फ़िशिंग घोटाला हुआ था जिसमें उपयोगकर्ताओं को ईबे से कथित रूप से ईमेल प्राप्त हुए थे, जिसमें दावा किया गया था कि उपयोगकर्ता का खाता निलंबित होने वाला था, जब तक कि क्रेडिट कार्ड को आधुनिक बनाने करने के लिए प्रदान किए गए लिंक पर क्लिक नहीं किया गया था (ऐसी जानकारी जो वास्तविक ईबे के पास पहले से थी)।<ref>{{Cite news|last=Austen|first=Ian|date=2005-03-07|title=ईबे पर, ई-मेल फिशर्स एक अच्छी तरह से भरा हुआ तालाब ढूंढते हैं|language=en-US|work=The New York Times|url=https://www.nytimes.com/2005/03/07/technology/on-ebay-email-phishers-find-a-wellstocked-pond.html|access-date=2021-05-01|issn=0362-4331}}</ref> किसी वैध संगठन के एचटीएमएल कोड और लोगो की नकल करके नकली वेबसाइट को प्रामाणिक दिखाना अपेक्षाकृत सरल है। घोटाले ने कुछ लोगों को यह सोचने पर मजबूर कर दिया कि ईबे उन्हें दिए गए लिंक पर क्लिक करके अपनी खाता जानकारी को आधुनिक करने की आवश्यकता है। लोगों के बहुत बड़े समूहों को अंधाधुंध रूप से अपसंदेशन करके, फ़िशर उन प्राप्तकर्ताओं के छोटे प्रतिशत (फिर भी बड़ी संख्या) से संवेदनशील वित्तीय जानकारी प्राप्त करने में गिना जाता है जिनके पास पहले से ही ईबे खाते हैं और वे भी घोटाले के शिकार हो जाते हैं।
{{Main|Phishing}}
फ़िशिंग धोखाधड़ी से निजी जानकारी प्राप्त करने की एक तकनीक है। आमतौर पर, फ़िशर एक ई-मेल भेजता है जो एक वैध व्यवसाय-एक बैंक, या [[क्रेडिट कार्ड]] कंपनी से आता है- सूचना के सत्यापन का अनुरोध करता है और कुछ नुकसान से बचने की चेतावनी देता है यदि यह प्रदान नहीं किया गया है। ई-मेल में आमतौर पर कपटपूर्ण वेब पेज का एक लिंक होता है जो वैध लगता है—कंपनी के लोगो और सामग्री के साथ—और इसमें घर के पते से लेकर [[एटीएम कार्ड]] की [[व्यक्तिगत पहचान संख्या]] या [[क्रेडिट कार्ड नंबर]] तक सब कुछ अनुरोध करने वाला एक फॉर्म होता है। उदाहरण के लिए, 2003 में, एक फ़िशिंग घोटाला हुआ था जिसमें उपयोगकर्ताओं को ईबे से कथित रूप से ईमेल प्राप्त हुए थे, जिसमें दावा किया गया था कि उपयोगकर्ता का खाता निलंबित होने वाला था, जब तक कि क्रेडिट कार्ड को अपडेट करने के लिए प्रदान किए गए लिंक पर क्लिक नहीं किया गया था (ऐसी जानकारी जो वास्तविक ईबे के पास पहले से थी)।<ref>{{Cite news|last=Austen|first=Ian|date=2005-03-07|title=ईबे पर, ई-मेल फिशर्स एक अच्छी तरह से भरा हुआ तालाब ढूंढते हैं|language=en-US|work=The New York Times|url=https://www.nytimes.com/2005/03/07/technology/on-ebay-email-phishers-find-a-wellstocked-pond.html|access-date=2021-05-01|issn=0362-4331}}</ref> किसी वैध संगठन के HTML कोड और लोगो की नकल करके नकली वेबसाइट को प्रामाणिक दिखाना अपेक्षाकृत सरल है। घोटाले ने कुछ लोगों को यह सोचने पर मजबूर कर दिया कि ईबे उन्हें दिए गए लिंक पर क्लिक करके अपनी खाता जानकारी अपडेट करने की आवश्यकता है। लोगों के बहुत बड़े समूहों को अंधाधुंध रूप से [[स्पैमिंग]] करके, फ़िशर उन प्राप्तकर्ताओं के छोटे प्रतिशत (फिर भी बड़ी संख्या) से संवेदनशील वित्तीय जानकारी प्राप्त करने में गिना जाता है जिनके पास पहले से ही ईबे खाते हैं और वे भी घोटाले के शिकार हो जाते हैं।


==== स्मिशिंग ====
==== स्मिशिंग ====
पीड़ितों को आकर्षित करने के लिए [[एसएमएस]] टेक्स्ट मैसेजिंग का उपयोग करने का कार्य, जिसे स्मिशिंग के रूप में भी जाना जाता है।<ref>{{Cite journal |last1=Steinmetz |first1=Kevin F. |last2=Holt |first2=Thomas J. |date=2022-08-05 |title=सोशल इंजीनियरिंग के लिए गिरना: सोशल इंजीनियरिंग नीति अनुशंसाओं का एक गुणात्मक विश्लेषण|url=http://journals.sagepub.com/doi/10.1177/08944393221117501 |journal=Social Science Computer Review |language=en |pages=089443932211175 |doi=10.1177/08944393221117501 |s2cid=251420893 |issn=0894-4393}}</ref> [[फ़िशिंग]] की तरह यह किसी दुर्भावनापूर्ण लिंक पर क्लिक करना या जानकारी प्रकट करना हो सकता है। उदाहरण टेक्स्ट संदेश हैं जो एक सामान्य वाहक (जैसे FedEx) से होने का दावा करते हैं, जो एक पैकेज प्रदान किए गए लिंक के साथ ट्रांज़िट में है।
पीड़ितों को आकर्षित करने के लिए [[एसएमएस]] टेक्स्ट मैसेजिंग का उपयोग करने का कार्य, जिसे स्मिशिंग के रूप में भी जाना जाता है।<ref>{{Cite journal |last1=Steinmetz |first1=Kevin F. |last2=Holt |first2=Thomas J. |date=2022-08-05 |title=सोशल इंजीनियरिंग के लिए गिरना: सोशल इंजीनियरिंग नीति अनुशंसाओं का एक गुणात्मक विश्लेषण|url=http://journals.sagepub.com/doi/10.1177/08944393221117501 |journal=Social Science Computer Review |language=en |pages=089443932211175 |doi=10.1177/08944393221117501 |s2cid=251420893 |issn=0894-4393}}</ref> [[फ़िशिंग]] की तरह यह किसी दुर्भावनापूर्ण लिंक पर क्लिक करना या जानकारी प्रकट करना हो सकता है। उदाहरण टेक्स्ट संदेश हैं जो एक सामान्य वाहक (जैसे फ़ेडेक्स) होने का दावा करते हैं, जो एक पैकेज प्रदान किए गए लिंक के साथ संक्रमण में है।


==== प्रतिरूपण ====
==== प्रतिरूपण ====
किसी सिस्टम या बिल्डिंग में शारीरिक रूप से पहुंच प्राप्त करने के लक्ष्य के साथ कोई अन्य व्यक्ति होने का नाटक करना या दिखावा करना। [[सिम स्वैप घोटाला]] धोखाधड़ी में प्रतिरूपण का उपयोग किया जाता है।
किसी सिस्टम या ईमारत में संरचनात्मक रूप से पहुंच प्राप्त करने के लक्ष्य के साथ कोई अन्य व्यक्ति होने का नाटक करना या दिखावा करना। [[सिम स्वैप घोटाला]] धोखाधड़ी में प्रतिरूपण का उपयोग किया जाता है।


== अन्य अवधारणाएं ==
== अन्य अवधारणाएं ==


===बहाना ===
===बहाना ===
{{Main|Pretexting}}
{{Main|बहाना}}
प्रीटेक्स्टिंग (adj. pretextual) एक लक्षित शिकार को इस तरह से संलग्न करने के लिए एक आविष्कृत परिदृश्य ([[बहाना]]) बनाने और उपयोग करने का कार्य है जिससे पीड़ित द्वारा जानकारी प्रकट करने या ऐसे कार्य करने की संभावना बढ़ जाती है जो सामान्य परिस्थितियों में असंभव होगा।<ref>The story of HP pretexting scandal with discussion is available at {{cite web|url=https://www.scribd.com/doc/62262162/HP-Pretexting-Scandal|title=HP Pretexting Scandal by Faraz Davani|date=14 August 2011|via=Scribd|access-date=15 August 2011|first1=Faraz|last1=Davani}}</ref> एक विस्तृत झूठ, इसमें अक्सर कुछ पूर्व अनुसंधान या सेटअप शामिल होता है और लक्ष्य के मन में वैधता स्थापित करने के लिए प्रतिरूपण (जैसे, जन्म तिथि, [[सामाजिक सुरक्षा संख्या]], अंतिम बिल राशि) के लिए इस जानकारी का उपयोग होता है।<ref>"[http://www.ftc.gov/bcp/edu/pubs/consumer/credit/cre10.shtm Pretexting: Your Personal Information Revealed]", [[Federal Trade Commission]]</ref> एक पृष्ठभूमि के रूप में, प्रीटेक्स्टिंग को सोशल इंजीनियरिंग के पहले विकास के रूप में व्याख्यायित किया जा सकता है, और सामाजिक इंजीनियरिंग के रूप में विकसित होना जारी है, जिसमें वर्तमान समय की तकनीकें शामिल हैं। प्रीटेक्स्टिंग के वर्तमान और पिछले उदाहरण इस विकास को प्रदर्शित करते हैं।
एक लक्षित शिकार को इस तरह से संलग्न करने के लिए एक आविष्कृत परिदृश्य बनाने और उपयोग करने का कार्य है जिससे पीड़ित द्वारा जानकारी प्रकट करने या ऐसे कार्य करने की संभावना बढ़ जाती है जो सामान्य परिस्थितियों में असंभव होगा।<ref>The story of HP pretexting scandal with discussion is available at {{cite web|url=https://www.scribd.com/doc/62262162/HP-Pretexting-Scandal|title=HP Pretexting Scandal by Faraz Davani|date=14 August 2011|via=Scribd|access-date=15 August 2011|first1=Faraz|last1=Davani}}</ref> एक व्यापक झूठ, इसमें प्रायः कुछ पूर्व अनुसंधान या व्यवस्था सम्मिलित होता है और लक्ष्य के मन में वैधता स्थापित करने के लिए प्रतिरूपण (जैसे, जन्म तिथि, [[सामाजिक सुरक्षा संख्या]], अंतिम बिल राशि) के लिए इस जानकारी का उपयोग होता है।<ref>"[http://www.ftc.gov/bcp/edu/pubs/consumer/credit/cre10.shtm Pretexting: Your Personal Information Revealed]", [[Federal Trade Commission]]</ref> एक पृष्ठभूमि के रूप में,बहाना को सामाजिक अभियांत्रिकी के पहले विकास के रूप में व्याख्यायित किया जा सकता है, सामाजिक अभियांत्रिकी के रूप में विकसित होना जारी है, जिसमें वर्तमान समय की तकनीकें सम्मिलित हैं। बहाना व्यक्त करना वर्तमान और पिछले उदाहरण के इस विकास को प्रदर्शित करते हैं।


इस तकनीक का उपयोग किसी व्यवसाय को ग्राहकों की जानकारी का खुलासा करने के साथ-साथ निजी जांचकर्ताओं द्वारा सीधे कंपनी सेवा प्रतिनिधियों से टेलीफोन रिकॉर्ड, उपयोगिता रिकॉर्ड, बैंकिंग रिकॉर्ड और अन्य जानकारी प्राप्त करने के लिए किया जा सकता है।<ref name="द सीरियल स्वैटर">{{cite news|url=https://www.nytimes.com/2015/11/29/magazine/the-serial-swatter.html|title=द सीरियल स्वैटर|newspaper=[[The New York Times]]|last1=Fagone|first1=Jason|access-date=25 November 2015|date=24 November 2015}}</ref> जानकारी का उपयोग प्रबंधक के साथ कठिन पूछताछ के तहत और भी अधिक वैधता स्थापित करने के लिए किया जा सकता है, उदाहरण के लिए, खाता परिवर्तन करने, विशिष्ट शेष राशि प्राप्त करने आदि के लिए।
इस तकनीक का उपयोग किसी व्यवसाय को ग्राहकों की जानकारी का प्रकट करने के साथ-साथ निजी जांचकर्ताओं द्वारा सीधे कंपनी सेवा प्रतिनिधियों से टेलीफोन रिकॉर्ड, उपयोगिता रिकॉर्ड, बैंकिंग रिकॉर्ड और अन्य जानकारी प्राप्त करने के लिए किया जा सकता है।<ref name="द सीरियल स्वैटर">{{cite news|url=https://www.nytimes.com/2015/11/29/magazine/the-serial-swatter.html|title=द सीरियल स्वैटर|newspaper=[[The New York Times]]|last1=Fagone|first1=Jason|access-date=25 November 2015|date=24 November 2015}}</ref> जानकारी का उपयोग प्रबंधक के साथ कठिन पूछताछ के तहत और भी अधिक वैधता स्थापित करने के लिए किया जा सकता है, उदाहरण के लिए, खाता परिवर्तन करने, विशिष्ट शेष राशि प्राप्त करने आदि के लिए।


प्रीटेक्स्टिंग का उपयोग सहकर्मियों, पुलिस, बैंक, कर अधिकारियों, पादरियों, बीमा जांचकर्ताओं- या किसी अन्य व्यक्ति का प्रतिरूपण करने के लिए भी किया जा सकता है, जो लक्षित पीड़ित के मन में कथित अधिकार या जानने का अधिकार हो सकता है। प्रीटेक्स्टर को केवल उन प्रश्नों के उत्तर तैयार करने चाहिए जो पीड़ित द्वारा पूछे जा सकते हैं। कुछ मामलों में, केवल एक आवाज़ की ज़रूरत होती है जो आधिकारिक लगती है, एक ईमानदार स्वर, और एक पूर्ववर्ती परिदृश्य बनाने के लिए अपने पैरों पर सोचने की क्षमता।
बहाना का उपयोग सहकर्मियों, पुलिस, बैंक, कर अधिकारियों, पादरियों, बीमा जांचकर्ताओं- या किसी अन्य व्यक्ति का प्रतिरूपण करने के लिए भी किया जा सकता है, जो लक्षित पीड़ित के मन में कथित अधिकार या जानने का अधिकार हो सकता है। बहाना बनाने वाले को केवल उन प्रश्नों के उत्तर तैयार करने चाहिए जो पीड़ित द्वारा पूछे जा सकते हैं। कुछ मामलों में, केवल एक आवाज़ की ज़रूरत होती है जो आधिकारिक लगती है, एक ईमानदार स्वर, और एक पूर्ववर्ती परिदृश्य बनाने के लिए अपने पैरों पर सोचने की क्षमता।


===विशिंग===
===विशिंग===
{{Main|Voice phishing}}
{{Main|वॉयस फिशिंग}}
फोन फ़िशिंग (या [[विशिंग]]) एक बैंक या अन्य संस्था के आईवीआर सिस्टम की एक वैध-ध्वनि वाली प्रति को फिर से बनाने के लिए एक दुष्ट [[इंटरएक्टिव वॉयस रिस्पांस]] (आईवीआर) प्रणाली का उपयोग करता है। पीड़ित को जानकारी सत्यापित करने के लिए प्रदान किए गए (आदर्श रूप से टोल फ्री) नंबर के माध्यम से बैंक में कॉल करने के लिए (आमतौर पर फ़िशिंग ई-मेल के माध्यम से) संकेत दिया जाता है। एक विशिष्ट विशिंग प्रणाली लॉग-इन को लगातार अस्वीकार कर देगी, यह सुनिश्चित करते हुए कि पीड़ित कई बार पिन या पासवर्ड दर्ज करता है, अक्सर कई अलग-अलग पासवर्ड का खुलासा करता है। अधिक उन्नत प्रणालियां पीड़ित को हमलावर/धोखाधड़ी करने वाले को स्थानांतरित करती हैं, जो पीड़ित से आगे की पूछताछ के लिए ग्राहक सेवा एजेंट या [[सुरक्षा]] विशेषज्ञ के रूप में प्रस्तुत करता है।
फोन फ़िशिंग (या [[विशिंग]]) एक बैंक या अन्य संस्था के आईवीआर सिस्टम की एक वैध-ध्वनि वाली प्रति को फिर से बनाने के लिए एक अवांछित [[इंटरएक्टिव वॉयस रिस्पांस]] (आईवीआर) प्रणाली का उपयोग करता है। पीड़ित को जानकारी सत्यापित करने के लिए प्रदान किए गए (आदर्श रूप से टोल फ्री) संख्या के माध्यम से बैंक में कॉल करने के लिए (पर फ़िशिंग ई-मेल के माध्यम से) संकेत दिया जाता है। एक विशिष्ट विशिंग प्रणाली लॉग-इन को लगातार अस्वीकार कर देगी, यह सुनिश्चित करते हुए कि पीड़ित कई बार पिन या पासवर्ड दर्ज करता है, प्रायः कई अलग-अलग पासवर्ड का खुलासा करता है। अधिक उन्नत प्रणालियां पीड़ित को क्षति पहुंचाने वाले व्यक्ति/धोखाधड़ी करने वाले को स्थानांतरित करती हैं, जो पीड़ित से आगे की पूछताछ के लिए ग्राहक सेवा एजेंट या [[सुरक्षा]] विशेषज्ञ के रूप में प्रस्तुत करता है।


=== स्पीयर फ़िशिंग ===
=== स्पीयर फ़िशिंग ===
{{Main|Spear phishing}}
{{Main|स्पीयर फ़िशिंग}}
हालांकि फ़िशिंग के समान, स्पीयर फ़िशिंग एक ऐसी तकनीक है जो कुछ अंतिम उपयोगकर्ताओं को अत्यधिक अनुकूलित ईमेल भेजकर धोखाधड़ी से निजी जानकारी प्राप्त करती है। यह फ़िशिंग हमलों के बीच मुख्य अंतर है क्योंकि फ़िशिंग अभियान सामान्यीकृत ईमेल की उच्च मात्रा को इस अपेक्षा के साथ भेजने पर ध्यान केंद्रित करते हैं कि केवल कुछ ही लोग प्रतिक्रिया देंगे। दूसरी ओर, स्पीयर-फ़िशिंग ईमेल में हमलावर को अपने लक्ष्य पर अतिरिक्त शोध करने की आवश्यकता होती है ताकि अंतिम उपयोगकर्ताओं को अनुरोधित गतिविधियों को करने के लिए बरगलाया जा सके। भाला-फ़िशिंग हमलों की सफलता दर फ़िशिंग हमलों की तुलना में काफी अधिक है, लगभग 70% संभावित प्रयासों की तुलना में लगभग 3% फ़िशिंग ईमेल खोलने वाले लोग। जब उपयोगकर्ता वास्तव में ईमेल खोलते हैं तो फ़िशिंग ईमेल में अपेक्षाकृत मामूली 5% सफलता दर होती है, जब किसी स्पीयर-फ़िशिंग हमले की 50% सफलता दर की तुलना में लिंक या अटैचमेंट पर क्लिक किया जाता है।<ref name="भाला-फ़िशिंग हमलों के वास्तविक खतरे">{{cite web|url=https://www.fireeye.com/current-threats/best-defense-against-spear-phishing-attacks.html|title=भाला-फ़िशिंग हमलों के वास्तविक खतरे|year=2016|publisher=FireEye|access-date=9 October 2016}}</ref>
 
स्पीयर-फ़िशिंग की सफलता काफी हद तक [[OSINT]] (ओपन-सोर्स इंटेलिजेंस) की मात्रा और गुणवत्ता पर निर्भर करती है जिसे हमलावर प्राप्त कर सकता है। [[सामाजिक मीडिया]] खाता गतिविधि OSINT के स्रोत का एक उदाहरण है।
हालांकि फ़िशिंग के समान, स्पीयर फ़िशिंग एक ऐसी तकनीक है जो कुछ अंतिम उपयोगकर्ताओं को अत्यधिक अनुकूलित ईमेल भेजकर धोखाधड़ी से निजी जानकारी प्राप्त करती है। यह फ़िशिंग खतरों के बीच मुख्य अंतर है क्योंकि फ़िशिंग अभियान सामान्यीकृत ईमेल की उच्च मात्रा को इस अपेक्षा के साथ भेजने पर ध्यान केंद्रित करते हैं कि केवल कुछ ही लोग प्रतिक्रिया देंगे। दूसरी ओर, स्पीयर-फ़िशिंग ईमेल में क्षति पहुंचाने वाले व्यक्ति को अपने लक्ष्य पर अतिरिक्त शोध करने की आवश्यकता होती है ताकि अंतिम उपयोगकर्ताओं को अनुरोधित गतिविधियों को करने के लिए सम्पादित किया जा सके। स्पीयर-फ़िशिंग खतरों की सफलता दर फ़िशिंग खतरों की तुलना में काफी अधिक है, लगभग 70% संभावित प्रयासों की तुलना में लगभग 3% फ़िशिंग ईमेल खोलने वाले लोग है। जब उपयोगकर्ता वास्तव में ईमेल खोलते हैं तो फ़िशिंग ईमेल में अपेक्षाकृत मामूली 5% सफलता दर होती है, जब किसी स्पीयर-फ़िशिंग खतरे की 50% सफलता दर की तुलना में लिंक या संलग्नक पर क्लिक किया जाता है।<ref name="भाला-फ़िशिंग हमलों के वास्तविक खतरे">{{cite web|url=https://www.fireeye.com/current-threats/best-defense-against-spear-phishing-attacks.html|title=भाला-फ़िशिंग हमलों के वास्तविक खतरे|year=2016|publisher=FireEye|access-date=9 October 2016}}</ref>
 
स्पीयर-फ़िशिंग की सफलता काफी हद तक [[OSINT|ओ एस आई एन टी]] (खुला स्त्रोत बुद्धिमत्ता) की मात्रा और गुणवत्ता पर निर्भर करती है जिसे क्षति पहुंचाने वाले व्यक्ति प्राप्त कर सकता है। [[सामाजिक मीडिया]] खाता गतिविधि ओ एस एन आई टी के स्रोत का एक उदाहरण है।


=== जल जमाव ===
=== जल जमाव ===
{{Main|Watering hole attack}}
{{Main|वाटरिंग होल पर हमला}}
वाटर होलिंग एक लक्षित सामाजिक इंजीनियरिंग रणनीति है जो उपयोगकर्ताओं द्वारा नियमित रूप से देखी जाने वाली वेबसाइटों पर उनके भरोसे का लाभ उठाती है। पीड़ित उन कामों को करने में सुरक्षित महसूस करता है जो वह दूसरी स्थिति में नहीं करेगा। एक सावधान व्यक्ति, उदाहरण के लिए, जानबूझकर एक अवांछित ईमेल में एक लिंक पर क्लिक करने से बच सकता है, लेकिन वही व्यक्ति उस वेबसाइट पर एक लिंक का अनुसरण करने में संकोच नहीं करेगा जिस पर वे अक्सर जाते हैं। तो, हमलावर एक पसंदीदा पानी के छेद पर अवांछित शिकार के लिए एक जाल तैयार करता है। कुछ (माना जाता है) बहुत सुरक्षित प्रणालियों तक पहुंच प्राप्त करने के लिए इस रणनीति का सफलतापूर्वक उपयोग किया गया है।<ref name="Forbes.com watering hole attack">{{cite web|url=https://www.invincea.com/2015/02/chinese-espionage-campaign-compromises-forbes/|title=वाटरिंग होल स्टाइल अटैक में अमेरिकी रक्षा, वित्तीय सेवा कंपनियों को लक्षित करने के लिए चीनी जासूसी अभियान Forbes.com से समझौता करता है|date=10 February 2015|publisher=invincea.com|access-date=23 February 2017}}</ref>
 
हमलावर लक्षित करने के लिए किसी समूह या व्यक्तियों की पहचान करके निकल सकता है। तैयारी में उन वेबसाइटों के बारे में जानकारी एकत्र करना शामिल है जिन्हें लक्ष्य अक्सर सुरक्षित प्रणाली से देखते हैं। जानकारी एकत्र करना पुष्टि करता है कि लक्ष्य वेबसाइटों पर जाते हैं और यह कि सिस्टम ऐसी यात्राओं की अनुमति देता है। इसके बाद हमलावर इन वेबसाइटों की भेद्यता के लिए कोड इंजेक्ट करने के लिए परीक्षण करता है जो किसी विज़िटर के सिस्टम को [[मैलवेयर]] से संक्रमित कर सकता है। इंजेक्ट किए गए कोड ट्रैप और मैलवेयर को विशिष्ट लक्ष्य समूह और उनके द्वारा उपयोग की जाने वाली विशिष्ट प्रणालियों के अनुरूप बनाया जा सकता है। समय के साथ, लक्षित समूह के एक या अधिक सदस्य संक्रमित हो जाएंगे और हमलावर सुरक्षित प्रणाली तक पहुंच प्राप्त कर सकता है।
जल जमाव एक लक्षित सामाजिक अभियांत्रिकी रणनीति है जो उपयोगकर्ताओं द्वारा नियमित रूप से देखी जाने वाली वेबसाइटों पर उनके भरोसे का लाभ उठाती है। पीड़ित उन कामों को करने में सुरक्षित महसूस करता है जो वह दूसरी स्थिति में नहीं करेगा। एक सावधान व्यक्ति, उदाहरण के लिए, जानबूझकर एक अवांछित ईमेल में एक लिंक पर क्लिक करने से बच सकता है, लेकिन वही व्यक्ति उस वेबसाइट पर एक लिंक का अनुसरण करने में संकोच नहीं करेगा जिस पर वे प्रायः जाते हैं। तो, क्षति पहुंचाने वाले व्यक्ति एक पसंदीदा पानी के छेद पर अवांछित शिकार के लिए एक जाल तैयार करता है। कुछ (माना जाता है) बहुत सुरक्षित प्रणालियों तक पहुंच प्राप्त करने के लिए इस रणनीति का सफलतापूर्वक उपयोग किया गया है।<ref name="Forbes.com watering hole attack">{{cite web|url=https://www.invincea.com/2015/02/chinese-espionage-campaign-compromises-forbes/|title=वाटरिंग होल स्टाइल अटैक में अमेरिकी रक्षा, वित्तीय सेवा कंपनियों को लक्षित करने के लिए चीनी जासूसी अभियान Forbes.com से समझौता करता है|date=10 February 2015|publisher=invincea.com|access-date=23 February 2017}}</ref>
 
क्षति पहुंचाने वाले व्यक्ति लक्ष्य बनाने के लिए किसी समूह या व्यक्तियों की पहचान करके निकल सकता है, उन वेबसाइटों के बारे में जानकारी एकत्र करना सम्मिलित है जिन्हें लक्ष्य प्रायः सुरक्षित प्रणाली से देखते हैं। जानकारी एकत्र करना पुष्टि करता है कि लक्ष्य वेबसाइटों पर जाते हैं और यह कि सिस्टम ऐसी यात्राओं की अनुमति देता है। इसके बाद क्षति पहुंचाने वाले व्यक्ति इन वेबसाइटों की भेद्यता के लिए कोड इंजेक्ट करने के लिए परीक्षण करता है जो किसी विज़िटर के सिस्टम को [[मैलवेयर]] से संक्रमित कर सकता है। इंजेक्ट किए गए कोड ट्रैप और मैलवेयर को विशिष्ट लक्ष्य समूह और उनके द्वारा उपयोग की जाने वाली विशिष्ट प्रणालियों के अनुरूप बनाया जा सकता है। समय के साथ, लक्षित समूह के एक या अधिक सदस्य संक्रमित हो जाएंगे और क्षति पहुंचाने वाले व्यक्ति सुरक्षित प्रणाली तक पहुंच प्राप्त कर सकता है।


=== बैटिंग ===
=== बैटिंग ===
बैटिंग वास्तविक दुनिया के [[ट्रोजन हॉर्स]] की तरह है जो भौतिक मीडिया का उपयोग करता है और शिकार की जिज्ञासा या लालच पर निर्भर करता है।<ref name="सोशल इंजीनियरिंग, यूएसबी वे">{{cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=सोशल इंजीनियरिंग, यूएसबी वे|date=7 June 2006|publisher=Light Reading Inc|archive-url=https://web.archive.org/web/20060713134051/http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|archive-date=13 July 2006|url-status=dead|access-date=23 April 2014}}</ref> इस हमले (कंप्यूटिंग) में, हमलावर मैलवेयर-संक्रमित [[फ्लॉपी डिस्क]], [[सीडी रॉम]], या [[यूएसबी फ्लैश ड्राइव]] को उन स्थानों पर छोड़ देते हैं जहां लोग उन्हें ढूंढेंगे (बाथरूम, लिफ्ट, फुटपाथ, पार्किंग स्थल, आदि), उन्हें वैध और जिज्ञासा-उत्तेजना देते हैं। लेबल, और पीड़ितों की प्रतीक्षा करें।
बैटिंग वास्तविक दुनिया के [[ट्रोजन हॉर्स]] की तरह है जो भौतिक मीडिया का उपयोग करता है और शिकार की जिज्ञासा या लालच पर निर्भर करता है।<ref name="सोशल इंजीनियरिंग, यूएसबी वे">{{cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=सोशल इंजीनियरिंग, यूएसबी वे|date=7 June 2006|publisher=Light Reading Inc|archive-url=https://web.archive.org/web/20060713134051/http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|archive-date=13 July 2006|url-status=dead|access-date=23 April 2014}}</ref> इस खतरे में, क्षति पहुंचाने वाले व्यक्ति मैलवेयर-संक्रमित [[फ्लॉपी डिस्क]], [[सीडी रॉम]], या [[यूएसबी फ्लैश ड्राइव]] को उन स्थानों पर छोड़ देते हैं जहां लोग उन्हें (बाथरूम, लिफ्ट, फुटपाथ, पार्किंग स्थल, आदि) वैध और जिज्ञासा, लेबल, और पीड़ितों की प्रतीक्षा करें की उत्तेजना देते हैं।


उदाहरण के लिए, एक हमलावर कॉर्पोरेट लोगो वाली एक डिस्क बना सकता है, जो लक्ष्य की वेबसाइट से उपलब्ध है, और इसे कार्यकारी वेतन सारांश Q2 2012 लेबल कर सकता है। हमलावर तब डिस्क को लिफ्ट के फर्श पर या लक्ष्य कंपनी की लॉबी में कहीं छोड़ देता है। एक अनजान कर्मचारी इसे खोज सकता है और अपनी जिज्ञासा को संतुष्ट करने के लिए डिस्क को कंप्यूटर में डाल सकता है, या एक अच्छा सामरी इसे ढूंढ सकता है और इसे कंपनी को वापस कर सकता है। किसी भी मामले में, डिस्क को कंप्यूटर में डालने से मैलवेयर इंस्टॉल हो जाता है, जिससे हमलावरों को पीड़ित के पीसी और शायद लक्ष्य कंपनी के आंतरिक [[कंप्यूटर नेटवर्क]] तक पहुंच मिल जाती है।
उदाहरण के लिए, एक क्षति पहुंचाने वाले व्यक्ति कॉर्पोरेट लोगो वाली एक डिस्क बना सकता है, जो लक्ष्य की वेबसाइट से उपलब्ध है, और इसे कार्यकारी वेतन सारांश Q2 2012 लेबल कर सकता है। क्षति पहुंचाने वाले व्यक्ति तब डिस्क को लिफ्ट के फर्श पर या लक्ष्य कंपनी की लॉबी में कहीं छोड़ देता है। एक अज्ञात कर्मचारी इसे खोज सकता है और अपनी जिज्ञासा को संतुष्ट करने के लिए डिस्क को कंप्यूटर में डाल सकता है, या एक अच्छा सामरी इसे ढूंढ सकता है और इसे कंपनी को वापस कर सकता है। किसी भी मामले में, डिस्क को कंप्यूटर में डालने से मैलवेयर इंस्टॉल हो जाता है, जिससे क्षति पहुंचाने वाले व्यक्तिों को पीड़ित के पीसी और शायद लक्ष्य कंपनी के आंतरिक [[कंप्यूटर नेटवर्क]] तक पहुंच मिल जाती है।


जब तक कंप्यूटर नियंत्रण ब्लॉक संक्रमणों को नियंत्रित नहीं करता है, प्रविष्टि पीसी ऑटो-रनिंग मीडिया से समझौता करती है। शत्रुतापूर्ण उपकरणों का भी उपयोग किया जा सकता है।<ref>{{cite web |url=http://md.hudora.de/presentations/firewire/PacSec2004.pdf |title=संग्रहीत प्रति|access-date=2 March 2012 |url-status=dead |archive-url=https://web.archive.org/web/20071011191205/http://md.hudora.de/presentations/firewire/PacSec2004.pdf |archive-date=11 October 2007}}</ref> उदाहरण के लिए, एक भाग्यशाली विजेता को एक मुफ्त [[डिजिटल ऑडियो प्लेयर]] भेजा जाता है जो किसी भी कंप्यूटर से जुड़ा होता है। एक सड़क सेब (घोड़े की [[खाद]] के लिए बोलचाल का शब्द, उपकरण की अवांछनीय प्रकृति का सुझाव देता है) अवसरवादी या विशिष्ट स्थानों पर छोड़े गए दुर्भावनापूर्ण सॉफ़्टवेयर के साथ कोई भी [[हटाने योग्य मीडिया]] है। यह अन्य मीडिया के बीच एक सीडी, डीवीडी, या यूएसबी फ्लैश ड्राइव हो सकता है। जिज्ञासु लोग इसे लेते हैं और इसे कंप्यूटर में प्लग करते हैं, होस्ट और किसी भी संलग्न नेटवर्क को संक्रमित करते हैं। फिर से, हैकर्स उन्हें आकर्षक लेबल दे सकते हैं, जैसे कर्मचारी वेतन या गोपनीय।<ref>{{Cite book|title=कंप्यूटर सुरक्षा के सिद्धांत, चौथा संस्करण (आधिकारिक कॉम्पटिया गाइड)|last1=Conklin|first1=Wm. Arthur|last2=White|first2=Greg|last3=Cothren|first3=Chuck|last4=Davis|first4=Roger|last5=Williams|first5=Dwayne|publisher=McGraw-Hill Education|year=2015|isbn=978-0071835978|location=New York|pages=193–194}}</ref>
जब तक कंप्यूटर नियंत्रण ब्लॉक संक्रमणों को नियंत्रित नहीं करता है, प्रविष्टि पीसी ऑटो-रनिंग मीडिया से समझौता करती है। शत्रुतापूर्ण उपकरणों का भी उपयोग किया जा सकता है।<ref>{{cite web |url=http://md.hudora.de/presentations/firewire/PacSec2004.pdf |title=संग्रहीत प्रति|access-date=2 March 2012 |url-status=dead |archive-url=https://web.archive.org/web/20071011191205/http://md.hudora.de/presentations/firewire/PacSec2004.pdf |archive-date=11 October 2007}}</ref> उदाहरण के लिए, एक भाग्यशाली विजेता को एक मुफ्त [[डिजिटल ऑडियो प्लेयर]] भेजा जाता है जो किसी भी कंप्यूटर से जुड़ा होता है। एक सड़क सेब (घोड़े की [[खाद]] के लिए बोलचाल का शब्द, उपकरण की अवांछनीय प्रकृति का सुझाव देता है) अवसरवादी या विशिष्ट स्थानों पर छोड़े गए दुर्भावनापूर्ण सॉफ़्टवेयर के साथ कोई भी [[हटाने योग्य मीडिया]] है। यह अन्य मीडिया के बीच एक सीडी, डीवीडी, या यूएसबी फ्लैश ड्राइव हो सकता है। जिज्ञासु लोग इसे लेते हैं और इसे कंप्यूटर में प्लग करते हैं, होस्ट और किसी भी संलग्न नेटवर्क को संक्रमित करते हैं। फिर से, हैकर्स उन्हें आकर्षक लेबल दे सकते हैं, जैसे कर्मचारी वेतन या गोपनीय।<ref>{{Cite book|title=कंप्यूटर सुरक्षा के सिद्धांत, चौथा संस्करण (आधिकारिक कॉम्पटिया गाइड)|last1=Conklin|first1=Wm. Arthur|last2=White|first2=Greg|last3=Cothren|first3=Chuck|last4=Davis|first4=Roger|last5=Williams|first5=Dwayne|publisher=McGraw-Hill Education|year=2015|isbn=978-0071835978|location=New York|pages=193–194}}</ref>
Line 94: Line 104:




===प्रतिदान===
Quid pro quo का अर्थ है किसी चीज़ के लिए कुछ:


*एक हमलावर तकनीकी सहायता से कॉल बैक करने का दावा करते हुए एक कंपनी पर रैंडम नंबरों पर कॉल करता है। आखिरकार यह व्यक्ति किसी को वैध समस्या के साथ मारा जाएगा, आभारी है कि कोई उनकी मदद करने के लिए वापस बुला रहा है। हमलावर समस्या को हल करने में मदद करेगा और इस प्रक्रिया में, उपयोगकर्ता प्रकार के आदेश होंगे जो हमलावर को पहुंच प्रदान करते हैं या मैलवेयर लॉन्च करते हैं।
'''प्रतिदान'''
 
क्विड प्रो को का अर्थ है किसी चीज़ के लिए कुछ:
 
*एक क्षति पहुंचाने वाले व्यक्ति तकनीकी सहायता से कॉल वापस करने का दावा करते हुए एक कंपनी पर रैंडम नंबरों पर कॉल करता है। आखिरकार यह व्यक्ति किसी को वैध समस्या के साथ मारा जाएगा, आभारी है कि कोई उनकी मदद करने के लिए वापस बुला रहा है। क्षति पहुंचाने वाले व्यक्ति समस्या को हल करने में मदद करेगा और इस प्रक्रिया में, उपयोगकर्ता प्रकार के आदेश होंगे जो क्षति पहुंचाने वाले व्यक्ति को पहुंच प्रदान करते हैं या मैलवेयर प्रक्षेपण(लॉन्च) करते हैं।
*2003 के एक सूचना सुरक्षा सर्वेक्षण में, 91% कार्यालय कर्मचारियों ने एक सस्ते [[कलम]] के बदले एक सर्वेक्षण प्रश्न के उत्तर में शोधकर्ताओं को जो दावा किया वह उनका [[पासवर्ड]] था।<ref>{{cite web|url=https://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/|title=कार्यालय कर्मी पासवर्ड देते हैं|last=Leyden|first=John|date=18 April 2003|work=The Register|access-date=11 April 2012}}</ref> बाद के वर्षों में इसी तरह के सर्वेक्षणों ने चॉकलेट और अन्य सस्ते प्रलोभनों का उपयोग करके समान परिणाम प्राप्त किए, हालांकि उन्होंने पासवर्ड को मान्य करने का कोई प्रयास नहीं किया।<ref>{{cite news|url=http://news.bbc.co.uk/2/hi/technology/3639679.stm|title=मीठे सौदे से पासवर्ड का पता चला|date=20 April 2004|work=BBC News|access-date=11 April 2012}}</ref>
*2003 के एक सूचना सुरक्षा सर्वेक्षण में, 91% कार्यालय कर्मचारियों ने एक सस्ते [[कलम]] के बदले एक सर्वेक्षण प्रश्न के उत्तर में शोधकर्ताओं को जो दावा किया वह उनका [[पासवर्ड]] था।<ref>{{cite web|url=https://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/|title=कार्यालय कर्मी पासवर्ड देते हैं|last=Leyden|first=John|date=18 April 2003|work=The Register|access-date=11 April 2012}}</ref> बाद के वर्षों में इसी तरह के सर्वेक्षणों ने चॉकलेट और अन्य सस्ते प्रलोभनों का उपयोग करके समान परिणाम प्राप्त किए, हालांकि उन्होंने पासवर्ड को मान्य करने का कोई प्रयास नहीं किया।<ref>{{cite news|url=http://news.bbc.co.uk/2/hi/technology/3639679.stm|title=मीठे सौदे से पासवर्ड का पता चला|date=20 April 2004|work=BBC News|access-date=11 April 2012}}</ref>


'''टेलगेटिंग'''
{{Main|पिग्गीबैकिंग (सुरक्षा)}}


=== टेलगेटिंग ===
एक क्षति पहुंचाने वाले व्यक्ति, पहुंच से बाहर का, इलेक्ट्रॉनिक अभिगम नियंत्रण, उदाहरण । [[आरएफआईडी]] कार्ड द्वारा सुरक्षित प्रतिबंधित क्षेत्र में प्रवेश की मांग कर रहा है जो बस वैध पहुंच वाले व्यक्ति के पीछे चलता है। सामान्य शिष्टाचार का पालन करते हुए, वैध व्यक्ति साधारण तौर पर क्षति पहुंचाने वाले व्यक्ति के लिए दरवाजा खुला रखेगा या क्षति पहुंचाने वाले व्यक्ति स्वयं कर्मचारी को उनके लिए दरवाजा खुला रखने के लिए कह सकते हैं। एक कर्मचारी द्वारा पूछताछ को रोकने के लिए क्षति पहुंचाने वाले व्यक्ति प्रायः मोबाइल का उपयोग करके फोन कॉल पर होने का दावा करेगा। वैध व्यक्ति कई कारणों से पहचान के लिए पूछने में असफल हो सकता है, या यह दावा स्वीकार कर सकता है कि क्षति पहुंचाने वाले व्यक्ति उचित पहचान टोकन भूल गया है या खो गया है। क्षति पहुंचाने वाले व्यक्ति पहचान टोकन पेश करने की कार्रवाई को नकली भी बना सकता है।
{{Main|Piggybacking (security)}}
एक हमलावर, अप्राप्य, इलेक्ट्रॉनिक अभिगम नियंत्रण, उदा द्वारा सुरक्षित प्रतिबंधित क्षेत्र में प्रवेश की मांग कर रहा है। [[आरएफआईडी]] कार्ड द्वारा, बस वैध पहुंच वाले व्यक्ति के पीछे चलता है। सामान्य शिष्टाचार का पालन करते हुए, वैध व्यक्ति आम तौर पर हमलावर के लिए दरवाजा खुला रखेगा या हमलावर स्वयं कर्मचारी को उनके लिए दरवाजा खुला रखने के लिए कह सकते हैं। एक कर्मचारी द्वारा पूछताछ को रोकने के लिए हमलावर अक्सर मोबाइल का उपयोग करके फोन कॉल पर होने का दावा करेगा। वैध व्यक्ति कई कारणों से पहचान के लिए पूछने में असफल हो सकता है, या यह दावा स्वीकार कर सकता है कि हमलावर उचित पहचान टोकन भूल गया है या खो गया है। हमलावर पहचान टोकन पेश करने की कार्रवाई को नकली भी बना सकता है।


=== अन्य प्रकार ===
=== अन्य प्रकार ===
आम विश्वास चालबाजों या धोखेबाजों को भी व्यापक अर्थों में सामाजिक इंजीनियर माना जा सकता है, जिसमें वे जानबूझकर लोगों को धोखा देते हैं और हेरफेर करते हैं, व्यक्तिगत लाभ प्राप्त करने के लिए मानवीय कमजोरियों का शोषण करते हैं। उदाहरण के लिए, वे आईटी धोखाधड़ी के हिस्से के रूप में सोशल इंजीनियरिंग तकनीकों का उपयोग कर सकते हैं।
साधारण विश्वास चालबाजों या धोखेबाजों को भी व्यापक अर्थों में सामाजिक इंजीनियर माना जा सकता है, जिसमें वे जानबूझकर लोगों को धोखा देते हैं और बदलाव करते हैं, व्यक्तिगत लाभ प्राप्त करने के लिए मानवीय कमजोरियों का शोषण करते हैं। उदाहरण के लिए, वे आईटी धोखाधड़ी के हिस्से के रूप में सामाजिक अभियांत्रिकी तकनीकों का उपयोग कर सकते हैं।


2000 के दशक की शुरुआत में, एक अन्य प्रकार की सोशल इंजीनियरिंग तकनीक में याहू !, [[जीमेल लगीं]], या [[हॉटमेल]] जैसे लोकप्रिय ई-मेल आईडी वाले लोगों की स्पूफिंग या हैकिंग आईडी शामिल है। इसके अतिरिक्त, स्पूफिंग के कुछ प्रयासों में पेपाल जैसे प्रमुख ऑनलाइन सेवा प्रदाताओं के ईमेल शामिल थे।<ref>{{Cite web|title=ईमेल स्पूफिंग - यह क्या है, यह कैसे काम करता है और अधिक - प्रूफपॉइंट यू.एस|url=https://www.proofpoint.com/us/threat-reference/email-spoofing|access-date=2021-10-11|website=www.proofpoint.com|date=26 February 2021|language=en}}</ref> इसने अप्रैल 2014 के प्रेषक नीति फ्रेमवर्क आरएफसी 7208 के प्रस्तावित मानक को स्पूफिंग से निपटने के साधन के रूप में [[डीएमएआरसी]] के संयोजन में प्रेरित किया। इस धोखे के लिए कई प्रेरणाओं में से हैं:
2000 के दशक की प्रारम्भ में, एक अन्य प्रकार की सामाजिक अभियांत्रिकी तकनीक में याहू !, [[जीमेल लगीं]], या [[हॉटमेल]] जैसे लोकप्रिय ई-मेल आईडी वाले लोगों की स्पूफिंग या हैकिंग आईडी सम्मिलित है। इसके अतिरिक्त, स्पूफिंग के कुछ प्रयासों में पेपाल जैसे प्रमुख ऑनलाइन सेवा प्रदाताओं के ईमेल सम्मिलित थे।<ref>{{Cite web|title=ईमेल स्पूफिंग - यह क्या है, यह कैसे काम करता है और अधिक - प्रूफपॉइंट यू.एस|url=https://www.proofpoint.com/us/threat-reference/email-spoofing|access-date=2021-10-11|website=www.proofpoint.com|date=26 February 2021|language=en}}</ref> इसने अप्रैल 2014 के प्रेषक नीति फ्रेमवर्क आरएफसी 7208 के प्रस्तावित मानक को स्पूफिंग से निपटने के साधन के रूप में [[डीएमएआरसी]] के संयोजन में प्रेरित किया। इस धोखे के लिए कई प्रेरणाओं में से हैं:


* फ़िशिंग क्रेडिट-कार्ड खाता संख्या और उनके पासवर्ड।
* फ़िशिंग क्रेडिट-कार्ड खाता संख्या और उनके पासवर्ड।
Line 114: Line 126:
* कंपनियों या संगठनों की वेबसाइटों को क्रैक करना और उनकी प्रतिष्ठा को नष्ट करना।
* कंपनियों या संगठनों की वेबसाइटों को क्रैक करना और उनकी प्रतिष्ठा को नष्ट करना।
* कंप्यूटर वायरस झांसा
* कंप्यूटर वायरस झांसा
* उपयोगकर्ताओं को अपने वेब खाते तक पहुंच की अनुमति देने के लिए [[स्व-XSS]] हमले के माध्यम से वेब ब्राउज़र के भीतर दुर्भावनापूर्ण कोड चलाने के लिए राजी करना
* उपयोगकर्ताओं को अपने वेब खाते तक पहुंच की अनुमति देने के लिए [[स्व-XSS|स्व-एक्सएसएस]] खतरे के माध्यम से वेब ब्राउज़र के अंतर्गत दुर्भावनापूर्ण कोड चलाने के लिए राजी करना


एक अन्य प्रकार है अशिक्षित या असुरक्षित डिस्प्ले और इनपुट उपकरणों की संवेदनशील जानकारी को पढ़ना, जिसे [[शोल्डर सर्फिंग (कंप्यूटर सुरक्षा)]] कहा जाता है।
एक अन्य प्रकार है अशिक्षित या असुरक्षित डिस्प्ले और इनपुट उपकरणों की संवेदनशील जानकारी को पढ़ना, जिसे [[शोल्डर सर्फिंग (कंप्यूटर सुरक्षा)]] कहा जाता है।
Line 123: Line 135:
कर्मचारियों को प्रशिक्षण: कर्मचारियों को उनकी स्थिति के लिए प्रासंगिक सुरक्षा प्रोटोकॉल में प्रशिक्षण देना। (उदाहरण के लिए, टेलगेटिंग जैसी स्थितियों में, यदि किसी व्यक्ति की पहचान सत्यापित नहीं की जा सकती है, तो कर्मचारियों को विनम्रतापूर्वक मना करने के लिए प्रशिक्षित किया जाना चाहिए।)
कर्मचारियों को प्रशिक्षण: कर्मचारियों को उनकी स्थिति के लिए प्रासंगिक सुरक्षा प्रोटोकॉल में प्रशिक्षण देना। (उदाहरण के लिए, टेलगेटिंग जैसी स्थितियों में, यदि किसी व्यक्ति की पहचान सत्यापित नहीं की जा सकती है, तो कर्मचारियों को विनम्रतापूर्वक मना करने के लिए प्रशिक्षित किया जाना चाहिए।)


मानक ढाँचा: कर्मचारी/कार्मिक स्तर पर विश्वास के ढाँचे की स्थापना (अर्थात, कब/कहाँ/क्यों/कैसे संवेदनशील जानकारी को संभाला जाना चाहिए निर्दिष्ट करें और प्रशिक्षित करें)
मानक ढाँचा: कर्मचारी/कार्मिक स्तर पर विश्वास के ढाँचे की स्थापना (अर्थात, कब/कहाँ/क्यों/कैसे संवेदनशील जानकारी को संस्पीयर जाना चाहिए निर्दिष्ट करें और प्रशिक्षित करें)


जानकारी की जांच करना: यह पहचानना कि कौन सी जानकारी संवेदनशील है और सोशल इंजीनियरिंग और सुरक्षा प्रणालियों (बिल्डिंग, कंप्यूटर सिस्टम, आदि) में खराबी के लिए इसके जोखिम का मूल्यांकन करना।
जानकारी की जांच करना: यह पहचानना कि कौन सी जानकारी संवेदनशील है और सामाजिक अभियांत्रिकी और सुरक्षा प्रणालियों (बिल्डिंग, कंप्यूटर सिस्टम, आदि) में खराबी के लिए इसके जोखिम का मूल्यांकन करना।


सुरक्षा प्रोटोकॉल: संवेदनशील जानकारी को संभालने के लिए सुरक्षा प्रोटोकॉल, नीतियों और प्रक्रियाओं की स्थापना करना।
सुरक्षा प्रोटोकॉल: संवेदनशील जानकारी को संभालने के लिए सुरक्षा प्रोटोकॉल, नीतियों और प्रक्रियाओं की स्थापना करना।
Line 131: Line 143:
इवेंट टेस्ट: सुरक्षा ढांचे के अघोषित, आवधिक परीक्षण करना।
इवेंट टेस्ट: सुरक्षा ढांचे के अघोषित, आवधिक परीक्षण करना।


इनोक्यूलेशन: समान या संबंधित प्रयासों के जोखिम के माध्यम से अनुनय प्रयासों के प्रति प्रतिरोध पैदा करके सामाजिक इंजीनियरिंग और अन्य धोखाधड़ी चाल या जाल को रोकना।<ref>Treglia, J., & Delia, M. (2017). [https://its.ny.gov/sites/default/files/documents/joe_treglia_melissa_delia.pdf Cyber Security Inoculation]. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.</ref>
इनोक्यूलेशन: समान या संबंधित प्रयासों के जोखिम के माध्यम से अनुनय प्रयासों के प्रति प्रतिरोध पैदा करके सामाजिक अभियांत्रिकी और अन्य धोखाधड़ी चाल या जाल को रोकना।<ref>Treglia, J., & Delia, M. (2017). [https://its.ny.gov/sites/default/files/documents/joe_treglia_melissa_delia.pdf Cyber Security Inoculation]. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.</ref>
समीक्षा करें: उपरोक्त चरणों की नियमित रूप से समीक्षा करना: सूचना अखंडता का कोई समाधान सही नहीं है।<ref>Mitnick, K., & Simon, W.  (2005).  "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.</ref>
समीक्षा करें: उपरोक्त चरणों की नियमित रूप से समीक्षा करना: सूचना अखंडता का कोई समाधान सही नहीं है।<ref>Mitnick, K., & Simon, W.  (2005).  "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.</ref>
अपशिष्ट प्रबंधन: एक अपशिष्ट प्रबंधन सेवा का उपयोग करना जिसमें डंपस्टर हैं जिन पर ताले लगे हैं, जिनकी चाबियां केवल अपशिष्ट प्रबंधन कंपनी और सफाई कर्मचारियों तक सीमित हैं। डंपस्टर का पता लगाना या तो कर्मचारियों को देखते हुए, ताकि इसे एक्सेस करने की कोशिश में देखे जाने या पकड़े जाने का जोखिम हो, या लॉक गेट या बाड़ के पीछे जहां व्यक्ति को डंपस्टर तक पहुंचने का प्रयास करने से पहले अतिचार करना चाहिए।<ref>Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.</ref>
अपशिष्ट प्रबंधन: एक अपशिष्ट प्रबंधन सेवा का उपयोग करना जिसमें डंपस्टर हैं जिन पर ताले लगे हैं, जिनकी चाबियां केवल अपशिष्ट प्रबंधन कंपनी और सफाई कर्मचारियों तक सीमित हैं। डंपस्टर का पता लगाना या तो कर्मचारियों को देखते हुए, ताकि इसे अभिगमनकरने की कोशिश में देखे जाने या पकड़े जाने का जोखिम हो, या लॉक गेट या बाड़ के पीछे जहां व्यक्ति को डंपस्टर तक पहुंचने का प्रयास करने से पहले अतिचार करना चाहिए।<ref>Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.</ref>
 


==सोशल इंजीनियरिंग का जीवनचक्र==


#सूचना एकत्र करना: सूचना एकत्र करना जीवनचक्र का पहला और सबसे महत्वपूर्ण चरण है। इसके लिए बहुत धैर्य और शिकार की आदतों को ध्यान से देखने की आवश्यकता होती है। यह कदम पीड़ित के हितों, [[व्यक्तिगत जानकारी]] के बारे में डेटा एकत्र करता है। यह समग्र हमले की सफलता दर निर्धारित करता है।
==सामाजिक अभियांत्रिकी का जीवनचक्र==
#पीड़ित के साथ जुड़ाव: आवश्यक मात्रा में जानकारी एकत्र करने के बाद, पीड़ित को कुछ भी अनुचित पाए बिना हमलावर पीड़ित के साथ आसानी से बातचीत शुरू कर देता है।
#अटैकिंग: यह कदम आम तौर पर लक्ष्य के साथ उलझने की लंबी अवधि के बाद होता है और इस दौरान सोशल इंजीनियरिंग का उपयोग करके लक्ष्य से जानकारी प्राप्त की जाती है। चरण में, हमलावर लक्ष्य से परिणाम प्राप्त करता है।
#क्लोजिंग इंटरेक्शन: यह अंतिम चरण है जिसमें पीड़ित पर कोई संदेह पैदा किए बिना हमलावर द्वारा संचार को धीरे-धीरे बंद करना शामिल है। इस तरह, मकसद पूरा हो जाता है और पीड़ित को शायद ही कभी पता चलता है कि हमला हुआ था।<ref>{{Cite web|url=https://blogs.gwu.edu/gwinfosec/tag/social-engineering/|title=सोशल इंजीनियरिंग - GW सूचना सुरक्षा ब्लॉग|website=blogs.gwu.edu|access-date=18 February 2020}}</ref>


#सूचना एकत्र करना: सूचना एकत्र करना जीवनचक्र का पहला और सबसे महत्वपूर्ण चरण है। इसके लिए बहुत धैर्य और शिकार की आदतों को ध्यान से देखने की आवश्यकता होती है। यह कदम पीड़ित के हितों, [[व्यक्तिगत जानकारी]] के बारे में डेटा एकत्र करता है। यह समग्र खतरे की सफलता दर निर्धारित करता है।
#पीड़ित के साथ जुड़ाव: आवश्यक मात्रा में जानकारी एकत्र करने के बाद, पीड़ित को कुछ भी अनुचित पाए बिना क्षति पहुंचाने वाले व्यक्ति पीड़ित के साथ आसानी से बातचीत शुरू कर देता है।
#अटैकिंग: यह कदम साधारण तौर पर लक्ष्य के साथ उलझने की लंबी अवधि के बाद होता है और इस दौरान सामाजिक अभियांत्रिकी का उपयोग करके लक्ष्य से जानकारी प्राप्त की जाती है। चरण में, क्षति पहुंचाने वाले व्यक्ति लक्ष्य से परिणाम प्राप्त करता है।
#क्लोजिंग इंटरेक्शन: यह अंतिम चरण है जिसमें पीड़ित पर कोई संदेह पैदा किए बिना क्षति पहुंचाने वाले व्यक्ति द्वारा संचार को धीरे-धीरे बंद करना सम्मिलित है। इस तरह, लक्ष्य पूरा हो जाता है और पीड़ित को शायद ही कभी पता चलता है कि हमला हुआ था।<ref>{{Cite web|url=https://blogs.gwu.edu/gwinfosec/tag/social-engineering/|title=सोशल इंजीनियरिंग - GW सूचना सुरक्षा ब्लॉग|website=blogs.gwu.edu|access-date=18 February 2020}}</ref>


== उल्लेखनीय सामाजिक इंजीनियर ==


'''<u>उल्लेखनीय सामाजिक इंजीनियर</u>'''
=== फ्रैंक एग्नाले जूनियर ===
=== फ्रैंक एग्नाले जूनियर ===
फ्रैंक एबगनेल|फ्रैंक अबगनले जूनियर एक अमेरिकी सुरक्षा सलाहकार हैं, जो अपनी पृष्ठभूमि के लिए एक पूर्व ठग, चेक जालसाज और पाखण्डी के रूप में जाने जाते हैं, जब वह 15 और 21 वर्ष की आयु के बीच का था। वह सबसे कुख्यात ढोंगियों में से एक बन गया,<ref>{{Cite book|url=https://books.google.com/books?id=P41ij0GoFL4C&q=Abagnale|title=सफेदपोश और कॉर्पोरेट अपराध का विश्वकोश|last=Salinger|first=Lawrence M.|date=2005|publisher=SAGE|isbn=978-0-7619-3004-4|language=en}}</ref> एक एयरलाइन पायलट, एक चिकित्सक, यू.एस. 22 साल की उम्र से पहले अबगनले दो बार पुलिस हिरासत से भाग गया (एक बार एक टैक्सी वाले एयरलाइनर से और एक बार यू.एस. संघीय जेल से)।<ref>{{Cite web|url=http://money.usnews.com/money/blogs/the-collar/2008/05/19/how-frank-abagnale-would-swindle-you|title=कैसे फ्रैंक एग्नाले आपको धोखा देगा|date=17 December 2019|website=U.S. News|url-status=live|archive-url=https://archive.today/20130428110005/http://money.usnews.com/money/blogs/the-collar/2008/05/19/how-frank-abagnale-would-swindle-you|archive-date=28 April 2013|access-date=17 December 2019}}</ref> लोकप्रिय स्टीवन स्पीलबर्ग फिल्म [[अगर तुम मुझे पकड़ सकते हो तो पकड़ो]] उनके जीवन पर आधारित है।
फ्रैंक एबगनेल।फ्रैंक अबगनले जूनियर एक अमेरिकी सुरक्षा सलाहकार हैं, जो अपनी पृष्ठभूमि के लिए एक पूर्व ठग, चेक जालसाज और पाखण्डी के रूप में जाने जाते हैं, जब वह 15 और 21 वर्ष की आयु के बीच का था। वह सबसे कुख्यात ढोंगियों में से एक बन गया,<ref>{{Cite book|url=https://books.google.com/books?id=P41ij0GoFL4C&q=Abagnale|title=सफेदपोश और कॉर्पोरेट अपराध का विश्वकोश|last=Salinger|first=Lawrence M.|date=2005|publisher=SAGE|isbn=978-0-7619-3004-4|language=en}}</ref> एक एयरलाइन पायलट, एक चिकित्सक, यू.एस. 22 साल की उम्र से पहले अबगनले दो बार पुलिस हिरासत से भाग गया (एक बार एक टैक्सी वाले एयरलाइनर से और एक बार यू.एस. संघीय जेल से)।<ref>{{Cite web|url=http://money.usnews.com/money/blogs/the-collar/2008/05/19/how-frank-abagnale-would-swindle-you|title=कैसे फ्रैंक एग्नाले आपको धोखा देगा|date=17 December 2019|website=U.S. News|url-status=live|archive-url=https://archive.today/20130428110005/http://money.usnews.com/money/blogs/the-collar/2008/05/19/how-frank-abagnale-would-swindle-you|archive-date=28 April 2013|access-date=17 December 2019}}</ref> लोकप्रिय स्टीवन स्पीलबर्ग फिल्म [[अगर तुम मुझे पकड़ सकते हो तो पकड़ो]] उनके जीवन पर आधारित है।


=== [[केविन मिटनिक]] ===
=== [[केविन मिटनिक]] ===
Line 154: Line 165:
}}</ref>
}}</ref>


[[सुसान हेडली]]


=== [[सुसान हेडली]] ===
सुसान हेडली 1970 के दशक के अंत और 1980 के दशक की प्रारम्भ में सक्रिय एक अमेरिकी हैकर थी, जो सामाजिक अभियांत्रिकी, प्रीटेक्सटिंग और [[मनोवैज्ञानिक तोड़फोड़]] में अपनी विशेषज्ञता के लिए व्यापक रूप से सम्मानित थी।<ref>{{cite web|title=DEF CON III अभिलेखागार - सुसान थंडर कीनोट|url=https://www.defcon.org/html/defcon-3/defcon-3.html|website=DEF CON|access-date=12 August 2017}}</ref> वह सैन्य कंप्यूटर सिस्टम में सेंध लगाने की अपनी विशेषता के लिए जानी जाती थी, जिसमें प्रायः सैन्य कर्मियों के साथ बिस्तर पर जाना और सोते समय उपयोगकर्ता नाम और पासवर्ड के लिए उनके कपड़ों की जांच करना सम्मिलित था।<ref name="cdne">{{cite web |url=http://home.c2i.net/nirgendwo/cdne/ch14web.htm |title=सीडीएनई अध्याय 14 - महिला हैकर्स?|access-date=6 January 2007 |url-status=dead |archive-url=https://archive.today/20010417040854/http://home.c2i.net/nirgendwo/cdne/ch14web.htm |archive-date=17 April 2001}}</ref> वह लॉस एंजिल्स में केविन मिटनिक और लुईस डी पायने के साथ घबराहट में सम्मिलित हो गई, लेकिन बाद में गिरने के बाद यूएस लीजिंग में सिस्टम फाइलों को मिटाने के लिए उन्हें फंसाया गया, जिससे मिटनिक की पहली सजा हुई। वह पेशेवर पोकर से सेवानिवृत्त हुईं।<ref>{{cite journal|last1=Hafner|first1=Katie|title=केविन मिटनिक, अनप्लग्ड|journal=Esquire|date=August 1995|volume=124|issue=2|pages=80(9)|url=http://www.tomandmaria.com/ST297/Readings/mitnick%20esquire.htm}}</ref>
सुसान हेडली 1970 के दशक के अंत और 1980 के दशक की शुरुआत में सक्रिय एक अमेरिकी हैकर थी, जो सोशल इंजीनियरिंग, प्रीटेक्सटिंग और [[मनोवैज्ञानिक तोड़फोड़]] में अपनी विशेषज्ञता के लिए व्यापक रूप से सम्मानित थी।<ref>{{cite web|title=DEF CON III अभिलेखागार - सुसान थंडर कीनोट|url=https://www.defcon.org/html/defcon-3/defcon-3.html|website=DEF CON|access-date=12 August 2017}}</ref> वह सैन्य कंप्यूटर सिस्टम में सेंध लगाने की अपनी विशेषता के लिए जानी जाती थी, जिसमें अक्सर सैन्य कर्मियों के साथ बिस्तर पर जाना और सोते समय उपयोगकर्ता नाम और पासवर्ड के लिए उनके कपड़ों की जांच करना शामिल था।<ref name="cdne">{{cite web |url=http://home.c2i.net/nirgendwo/cdne/ch14web.htm |title=सीडीएनई अध्याय 14 - महिला हैकर्स?|access-date=6 January 2007 |url-status=dead |archive-url=https://archive.today/20010417040854/http://home.c2i.net/nirgendwo/cdne/ch14web.htm |archive-date=17 April 2001}}</ref> वह लॉस एंजिल्स में केविन मिटनिक और लुईस डी पायने के साथ घबराहट में शामिल हो गई, लेकिन बाद में गिरने के बाद यूएस लीजिंग में सिस्टम फाइलों को मिटाने के लिए उन्हें फंसाया गया, जिससे मिटनिक की पहली सजा हुई। वह पेशेवर पोकर से सेवानिवृत्त हुईं।<ref>{{cite journal|last1=Hafner|first1=Katie|title=केविन मिटनिक, अनप्लग्ड|journal=Esquire|date=August 1995|volume=124|issue=2|pages=80(9)|url=http://www.tomandmaria.com/ST297/Readings/mitnick%20esquire.htm}}</ref>


'''जेम्स लिंटन'''


=== जेम्स लिंटन ===
[[जेम्स Linton (हैकर)|जेम्स लिंटन (हैकर)]] एक ब्रिटिश हैकर और सामाजिक इंजीनियर हैं, जिन्होंने 2017 में प्रमुख बैंकों के सीईओ और ट्रम्प व्हाइट हाउस प्रशासन के सदस्यों सहित ईमेल पर कई तरह के लक्ष्यों को चकमा देने के लिए OSINT और स्पीयर फ़िशिंग तकनीकों का उपयोग किया था। उसके बाद वह ईमेल सुरक्षा में काम करने के लिए गया, जहां उसने विशिष्ट खतरे की खुफिया जानकारी एकत्र करने के लिए BEC (बिजनेस ईमेल समझौता) खतरे वाले अभिनेताओं को सामाजिक रूप से इंजीनियर किया।
[[जेम्स Linton (हैकर)]] एक ब्रिटिश हैकर और सोशल इंजीनियर हैं, जिन्होंने 2017 में प्रमुख बैंकों के सीईओ और ट्रम्प व्हाइट हाउस प्रशासन के सदस्यों सहित ईमेल पर कई तरह के लक्ष्यों को चकमा देने के लिए OSINT और स्पीयर फ़िशिंग तकनीकों का इस्तेमाल किया था। उसके बाद वह ईमेल सुरक्षा में काम करने के लिए गया, जहां उसने विशिष्ट खतरे की खुफिया जानकारी एकत्र करने के लिए BEC (बिजनेस ईमेल समझौता) खतरे वाले अभिनेताओं को सामाजिक रूप से इंजीनियर किया।


=== माइक रिडपथ ===
=== माइक रिडपथ ===
माइक रिडपथ सुरक्षा सलाहकार, प्रकाशित लेखक और वक्ता। W00w00 के पिछले सदस्य। सोशल इंजीनियरिंग [[शांत बुलावा]] के लिए तकनीक और रणनीति पर जोर देता है। अपनी बातचीत के बाद उल्लेखनीय बन गया जहां वह रिकॉर्डेड कॉल चलाएगा और फोन और अपने लाइव प्रदर्शनों के माध्यम से पासवर्ड प्राप्त करने के लिए वह क्या कर रहा था, इस पर अपनी विचार प्रक्रिया को समझाएगा।<ref>{{cite book|url=https://books.google.com/books?id=8Wa9AwAAQBAJ|title=सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन|date=16 May 2013|publisher=Scorpio Net Security Services|isbn=9789351261827 |accessdate=11 April 2012}}</ref><ref>{{cite journal|url=https://www.academia.edu/2548183|title=मोबाइल उपकरण और सेना: उपयोगी उपकरण या महत्वपूर्ण खतरा|journal=Proceedings of the 4Th Workshop on Ict Uses in Warfare and the Safeguarding of Peace 2012 (Iwsp 2012) and Journal of Information Warfare |date=|publisher=academia.edu|accessdate=11 May 2013|last1=Niekerk |first1=Brett van }}</ref><ref>{{cite web|url=https://www.youtube.com/watch?v=uAb0si2u8eI|title=सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन|date=|publisher=YouTube|accessdate=11 April 2012}}</ref><ref>{{cite web|url=http://www.ustream.tv/recorded/17736407|title=BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM। सम्मेलन|date=7 October 2011|publisher=Ustream.tv|accessdate=11 April 2012|archive-date=4 August 2012|archive-url=https://web.archive.org/web/20120804183916/http://www.ustream.tv/recorded/17736407|url-status=dead}}</ref><ref>{{cite web|url=http://www.brighttalk.com/webcast/170/34997|title=स्वचालित सामाजिक इंजीनियरिंग|date=29 September 2011|publisher=BrightTALK|accessdate=11 April 2012}}</ref> एक बच्चे के रूप में रिद्पथ बदीर ब्रदर्स के साथ जुड़ा हुआ था और व्यापक रूप से लोकप्रिय भूमिगत [[ezines]] के साथ अपने लेखों के लिए फ़्रीकिंग और [[हैकर (कंप्यूटर सुरक्षा)]] समुदाय के भीतर जाना जाता था, जैसे कि Oki 900s, ब्लूबॉक्सिंग[[प्रसारण संकेत घुसपैठ]] घुसपैठ और संशोधित करने पर Phrack, B4B0 और 9x। आरसीएमएसी।<ref>{{cite news|url=http://revistaie.ase.ro/content/70/01%20-%20Greavu,%20Serban.pdf|title=सोशल इंजीनियरिंग एक सामान्य दृष्टिकोण|date=|publisher=Informatica Economica journal|accessdate=11 Jan 2015}}</ref><ref>{{cite news|url=https://www.google.com/books/edition/Cyber_Crime/cePEDwAAQBAJ?hl=en&gbpv=0|title=साइबर अपराध|date=|publisher=Hays|accessdate=11 Jan 2020}}</ref>
माइक रिडपथ सुरक्षा सलाहकार, प्रकाशित लेखक और वक्ता W00w00 के पिछले सदस्य सामाजिक अभियांत्रिकी [[शांत बुलावा]] के लिए तकनीक और रणनीति पर जोर देता है। अपनी बातचीत के बाद उल्लेखनीय बन गया जहां वह रिकॉर्डेड कॉल चलाएगा और फोन और अपने लाइव प्रदर्शनों के माध्यम से पासवर्ड प्राप्त करने के लिए वह क्या कर रहा था, इस पर अपनी विचार प्रक्रिया को समझाएगा।<ref>{{cite book|url=https://books.google.com/books?id=8Wa9AwAAQBAJ|title=सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन|date=16 May 2013|publisher=Scorpio Net Security Services|isbn=9789351261827 |accessdate=11 April 2012}}</ref><ref>{{cite journal|url=https://www.academia.edu/2548183|title=मोबाइल उपकरण और सेना: उपयोगी उपकरण या महत्वपूर्ण खतरा|journal=Proceedings of the 4Th Workshop on Ict Uses in Warfare and the Safeguarding of Peace 2012 (Iwsp 2012) and Journal of Information Warfare |date=|publisher=academia.edu|accessdate=11 May 2013|last1=Niekerk |first1=Brett van }}</ref><ref>{{cite web|url=https://www.youtube.com/watch?v=uAb0si2u8eI|title=सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन|date=|publisher=YouTube|accessdate=11 April 2012}}</ref><ref>{{cite web|url=http://www.ustream.tv/recorded/17736407|title=BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM। सम्मेलन|date=7 October 2011|publisher=Ustream.tv|accessdate=11 April 2012|archive-date=4 August 2012|archive-url=https://web.archive.org/web/20120804183916/http://www.ustream.tv/recorded/17736407|url-status=dead}}</ref><ref>{{cite web|url=http://www.brighttalk.com/webcast/170/34997|title=स्वचालित सामाजिक इंजीनियरिंग|date=29 September 2011|publisher=BrightTALK|accessdate=11 April 2012}}</ref> एक बच्चे के रूप में रिद्पथ बदीर ब्रदर्स के साथ जुड़ा हुआ था और व्यापक रूप से लोकप्रिय भूमिगत [[ezines]] के साथ अपने लेखों के लिए फ़्रीकिंग और [[हैकर (कंप्यूटर सुरक्षा)]] समुदाय के अंतर्गत जाना जाता था, जैसे कि Oki 900s, ब्लूबॉक्सिंग [[प्रसारण संकेत घुसपैठ]] घुसपैठ और संशोधित करने पर Phrack, B4B0 और 9x। आरसीएमएसी।<ref>{{cite news|url=http://revistaie.ase.ro/content/70/01%20-%20Greavu,%20Serban.pdf|title=सोशल इंजीनियरिंग एक सामान्य दृष्टिकोण|date=|publisher=Informatica Economica journal|accessdate=11 Jan 2015}}</ref><ref>{{cite news|url=https://www.google.com/books/edition/Cyber_Crime/cePEDwAAQBAJ?hl=en&gbpv=0|title=साइबर अपराध|date=|publisher=Hays|accessdate=11 Jan 2020}}</ref>


'''बदिर ब्रदर्स'''


===बदिर ब्रदर्स===
भाई रेमी, मुज़ेर, और शादे बदीर- जो सभी जन्म से अंधे थे- 1990 के दशक में [[इजराइल]] में सामाजिक अभियांत्रिकी, आवाज प्रतिरूपण और [[ताज़ा करने योग्य ब्रेल डिस्प्ले]] दिए थे। ब्रेल-डिस्प्ले कंप्यूटर का उपयोग करके एक व्यापक फोन और कंप्यूटर धोखाधड़ी योजना स्थापित करने में कामयाब रहे।<ref>{{cite magazine|url=https://www.wired.com/wired/archive/12.02/phreaks_pr.html|title=वायर्ड 12.02: थ्री ब्लाइंड फ़्रेक्स|date=14 June 1999|magazine=Wired|access-date=11 April 2012}}</ref><ref>{{cite journal|url=http://library.nic.in/e-journalNew/Dataquest/Archives/DQNov2012-Oct13/dq_i1_feb13/dq_i1_feb13/64%20-%20Social%20Engineering%20A%20Young%20Hacker's%20Tale.pdf|title=सोशल इंजीनियरिंग एक युवा हैकर की कहानी।|date=15 February 2013|access-date=13 January 2020}}</ref>
भाई रेमी, मुज़ेर, और शादे बदीर- जो सभी जन्म से अंधे थे- 1990 के दशक में [[इजराइल]] में सोशल इंजीनियरिंग, आवाज प्रतिरूपण और [[ताज़ा करने योग्य ब्रेल डिस्प्ले]] | ब्रेल-डिस्प्ले कंप्यूटर का उपयोग करके एक व्यापक फोन और कंप्यूटर धोखाधड़ी योजना स्थापित करने में कामयाब रहे।<ref>{{cite magazine|url=https://www.wired.com/wired/archive/12.02/phreaks_pr.html|title=वायर्ड 12.02: थ्री ब्लाइंड फ़्रेक्स|date=14 June 1999|magazine=Wired|access-date=11 April 2012}}</ref><ref>{{cite journal|url=http://library.nic.in/e-journalNew/Dataquest/Archives/DQNov2012-Oct13/dq_i1_feb13/dq_i1_feb13/64%20-%20Social%20Engineering%20A%20Young%20Hacker's%20Tale.pdf|title=सोशल इंजीनियरिंग एक युवा हैकर की कहानी।|date=15 February 2013|access-date=13 January 2020}}</ref>


'''क्रिस्टोफर जे. हडनागी'''


===क्रिस्टोफर जे. हडनागी===
क्रिस्टोफर जे. हडनागी एक अमेरिकी सामाजिक इंजीनियर और सूचना प्रौद्योगिकी सुरक्षा सलाहकार हैं। उन्हें सामाजिक अभियांत्रिकी और साइबर सुरक्षा पर 4 पुस्तकों के लेखक के रूप में जाना जाता है<ref name="BookAuthority">{{cite web | title=अब तक की 43 सर्वश्रेष्ठ सामाजिक इंजीनियरिंग पुस्तकें| website=BookAuthority | url=https://bookauthority.org/books/best-social-engineering-books | access-date=22 January 2020}}</ref><ref name="rsa">{{cite web | author=\ | title=बेन्स बुक ऑफ द मंथ रिव्यू ऑफ सोशल इंजीनियरिंग द साइंस ऑफ ह्यूमन हैकिंग| website=RSA Conference | date=31 August 2018 | url=http://www.rsaconference.com/industry-topics/blog/bens-book-of-the-month-review-of-social-engineering-the-science-of-human-hacking | access-date=22 January 2020}}</ref><ref name="ethical">{{cite web | title=पुस्तक समीक्षा: सोशल इंजीनियरिंग: मानव हैकिंग का विज्ञान| website=The Ethical Hacker Network | date=26 July 2018 | url=https://www.ethicalhacker.net/features/book-reviews/book-review-social-engineering-the-science-of-human-hacking/ | access-date=22 January 2020}}</ref><ref name="Isaca">{{cite web | last1=Hadnagy | first1=Christopher | last2=Fincher | first2=Michele | title=फ़िशिंग डार्क वाटर्स: द ऑफ़ेंसिव एंड डिफेंसिव साइड्स ऑफ़ मैलिशियस ई-मेल्स| website=ISACA | date=22 January 2020 | url=https://www.isaca.org/Journal/archives/2016/volume-2/Pages/phishing-dark-waters-the-offensive-and-defensive-sides-of-malicious-e-mails.aspx | access-date=22 January 2020}}</ref> और इनोसेंट लाइव्स फाउंडेशन के संस्थापक, एक संगठन जो सूचना सुरक्षा विशेषज्ञों की सहायता लेने, ओपन-सोर्स इंटेलिजेंस (OSINT) से डेटा का उपयोग करने और कानून प्रवर्तन के साथ सहयोग करने जैसी विभिन्न सुरक्षा तकनीकों का उपयोग करके बाल तस्करी को पता लगाने और पहचानने में मदद करता है।<ref>[https://wtvr.com/2019/09/03/protect-your-kids-from-online-threats/ "WTVR:"Protect Your Kids from Online Threats"]</ref><ref name="CNN">{{cite news|last=Larson|first=Selena|title=हैकर बाल शिकारियों को बेनकाब करने के लिए संगठन बनाता है|url=https://money.cnn.com/2017/08/14/technology/business/innocent-lives-foundation-hackers-child-predators/index.html |access-date=14 November 2019|publisher=CNN|date=14 August 2017}}</ref>
क्रिस्टोफर जे. हडनागी एक अमेरिकी सामाजिक इंजीनियर और सूचना प्रौद्योगिकी सुरक्षा सलाहकार हैं। उन्हें सोशल इंजीनियरिंग और साइबर सुरक्षा पर 4 पुस्तकों के लेखक के रूप में जाना जाता है<ref name="BookAuthority">{{cite web | title=अब तक की 43 सर्वश्रेष्ठ सामाजिक इंजीनियरिंग पुस्तकें| website=BookAuthority | url=https://bookauthority.org/books/best-social-engineering-books | access-date=22 January 2020}}</ref><ref name="rsa">{{cite web | author=\ | title=बेन्स बुक ऑफ द मंथ रिव्यू ऑफ सोशल इंजीनियरिंग द साइंस ऑफ ह्यूमन हैकिंग| website=RSA Conference | date=31 August 2018 | url=http://www.rsaconference.com/industry-topics/blog/bens-book-of-the-month-review-of-social-engineering-the-science-of-human-hacking | access-date=22 January 2020}}</ref><ref name="ethical">{{cite web | title=पुस्तक समीक्षा: सोशल इंजीनियरिंग: मानव हैकिंग का विज्ञान| website=The Ethical Hacker Network | date=26 July 2018 | url=https://www.ethicalhacker.net/features/book-reviews/book-review-social-engineering-the-science-of-human-hacking/ | access-date=22 January 2020}}</ref><ref name="Isaca">{{cite web | last1=Hadnagy | first1=Christopher | last2=Fincher | first2=Michele | title=फ़िशिंग डार्क वाटर्स: द ऑफ़ेंसिव एंड डिफेंसिव साइड्स ऑफ़ मैलिशियस ई-मेल्स| website=ISACA | date=22 January 2020 | url=https://www.isaca.org/Journal/archives/2016/volume-2/Pages/phishing-dark-waters-the-offensive-and-defensive-sides-of-malicious-e-mails.aspx | access-date=22 January 2020}}</ref> और इनोसेंट लाइव्स फाउंडेशन के संस्थापक, एक संगठन जो सूचना सुरक्षा विशेषज्ञों की सहायता लेने, ओपन-सोर्स इंटेलिजेंस (OSINT) से डेटा का उपयोग करने और कानून प्रवर्तन के साथ सहयोग करने जैसी विभिन्न सुरक्षा तकनीकों का उपयोग करके बाल तस्करी को ट्रैक करने और पहचानने में मदद करता है।<ref>[https://wtvr.com/2019/09/03/protect-your-kids-from-online-threats/ "WTVR:"Protect Your Kids from Online Threats"]</ref><ref name="CNN">{{cite news|last=Larson|first=Selena|title=हैकर बाल शिकारियों को बेनकाब करने के लिए संगठन बनाता है|url=https://money.cnn.com/2017/08/14/technology/business/innocent-lives-foundation-hackers-child-predators/index.html |access-date=14 November 2019|publisher=CNN|date=14 August 2017}}</ref>


'''<u>कानून</u>'''


== कानून ==
साधारण कानून में, प्रीटेक्स्टिंग गोपनीयता का आक्रमण है जो विनियोग का अपकृत्य है।<ref>Restatement 2d of Torts § 652C.</ref>
आम कानून में, प्रीटेक्स्टिंग गोपनीयता का आक्रमण है जो विनियोग का अपकृत्य है।<ref>Restatement 2d of Torts § 652C.</ref>


'''टेलीफोन रिकॉर्ड के बहाने'''


=== टेलीफोन रिकॉर्ड के बहाने ===
दिसंबर 2006 में, [[संयुक्त राज्य कांग्रेस]] ने एक सीनेट प्रायोजित बिल को मंजूरी दी, जिसमें टेलीफोन रिकॉर्ड के बहाने को $250,000 तक के जुर्माने और व्यक्तियों के लिए दस साल की जेल (या कंपनियों के लिए $500,000 तक का जुर्माना) के साथ एक संघीय बना दिया गया। इस पर 12 जनवरी 2007 को राष्ट्रपति जॉर्ज डब्ल्यू बुश ने हस्ताक्षर किए थे।<ref>{{cite web|url=https://www.congress.gov/bill/109th-congress/house-bill/4709/|title=कांग्रेस ने बहानेबाजी की|work=109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006 |year=2007}}</ref>
दिसंबर 2006 में, [[संयुक्त राज्य कांग्रेस]] ने एक सीनेट प्रायोजित बिल को मंजूरी दी, जिसमें टेलीफोन रिकॉर्ड के बहाने को $250,000 तक के जुर्माने और व्यक्तियों के लिए दस साल की जेल (या कंपनियों के लिए $500,000 तक का जुर्माना) के साथ एक संघीय गुंडागर्दी बना दिया गया। इस पर 12 जनवरी 2007 को राष्ट्रपति जॉर्ज डब्ल्यू बुश ने हस्ताक्षर किए थे।<ref>{{cite web|url=https://www.congress.gov/bill/109th-congress/house-bill/4709/|title=कांग्रेस ने बहानेबाजी की|work=109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006 |year=2007}}</ref>


'''संघीय कानून'''


=== संघीय कानून ===
1999 ग्राम-लीच-ब्लीली अधिनियम जीएलबीए यू.एस. संघीय कानून संयुक्त राज्य अमेरिका की एक संघीय सरकार है, जो विशेष रूप से संघीय कानूनों के तहत दंडनीय अवैध कार्य के रूप में बैंकिंग रिकॉर्ड के बहाने को संबोधित करता है। जब एक व्यावसायिक इकाई जैसे कि एक निजी अन्वेषक, एसआईयू बीमा अन्वेषक, या एक समायोजक किसी भी प्रकार के धोखे का संचालन करता है, तो यह [[संघीय व्यापार आयोग]] (FTC) के अधिकार के अंतर्गत आता है। इस संघीय एजेंसी के पास यह सुनिश्चित करने का दायित्व और अधिकार है कि उपभोक्ता किसी भी अनुचित या भ्रामक व्यावसायिक प्रथाओं के अधीन नहीं हैं। अमेरिकी [[संघीय व्यापार आयोग अधिनियम]], संघीय व्यापार आयोग अधिनियम की धारा 5 में कहा गया है:
1999 ग्राम-लीच-ब्लीली अधिनियम | जीएलबीए संयुक्त राज्य अमेरिका की एक संघीय सरकार है|यू.एस. संघीय कानून जो विशेष रूप से संघीय कानूनों के तहत दंडनीय अवैध कार्य के रूप में बैंकिंग रिकॉर्ड के बहाने को संबोधित करता है। जब एक व्यावसायिक इकाई जैसे कि एक निजी अन्वेषक, SIU बीमा अन्वेषक, या एक समायोजक किसी भी प्रकार के धोखे का संचालन करता है, तो यह [[संघीय व्यापार आयोग]] (FTC) के अधिकार के अंतर्गत आता है। इस संघीय एजेंसी के पास यह सुनिश्चित करने का दायित्व और अधिकार है कि उपभोक्ता किसी भी अनुचित या भ्रामक व्यावसायिक प्रथाओं के अधीन नहीं हैं। अमेरिकी [[संघीय व्यापार आयोग अधिनियम]], संघीय व्यापार आयोग अधिनियम की धारा 5 में कहा गया है:
  जब भी आयोग के पास यह विश्वास करने का कारण होगा कि कोई भी व्यक्ति, साझेदारी, या निगम प्रतिस्पर्धा के किसी अनुचित तरीके या अनुचित या भ्रामक कार्य या व्यवहार का वाणिज्य में या प्रभावित कर रहा है, और यदि आयोग को यह प्रतीत होता है कि एक कार्यवाही उसके द्वारा उसके संबंध में जनता के हित में होगा, यह ऐसे व्यक्ति, साझेदारी, या निगम को उस संबंध में अपने आरोपों को बताते हुए एक शिकायत जारी करेगा और तामील करेगा।
  जब भी आयोग के पास यह विश्वास करने का कारण होगा कि कोई भी व्यक्ति, साझेदारी, या निगम प्रतिस्पर्धा के किसी अनुचित तरीके या अनुचित या भ्रामक कार्य या व्यवहार का वाणिज्य में या प्रभावित कर रहा है या कर रहा है, और यदि आयोग को यह प्रतीत होता है कि एक कार्यवाही उसके द्वारा उसके संबंध में जनता के हित में होगा, यह ऐसे व्यक्ति, साझेदारी, या निगम को उस संबंध में अपने आरोपों को बताते हुए एक शिकायत जारी करेगा और तामील करेगा।


क़ानून कहता है कि जब कोई वित्तीय संस्थान या उपभोक्ता से कोई व्यक्तिगत, गैर-सार्वजनिक जानकारी प्राप्त करता है, तो उनकी कार्रवाई क़ानून के अधीन होती है। यह वित्तीय संस्थान के साथ उपभोक्ता के संबंध से संबंधित है। उदाहरण के लिए, उपभोक्ता के बैंक से उपभोक्ता का पता प्राप्त करने के लिए या उपभोक्ता को अपने बैंक के नाम का खुलासा करने के लिए झूठे बहाने का उपयोग करने वाला एक बहाना कवर किया जाएगा। निर्धारित करने वाला सिद्धांत यह है कि प्रीटेक्सिंग केवल तब होती है जब झूठी प्रस्तुतियों के माध्यम से जानकारी प्राप्त की जाती है।
क़ानून कहता है कि जब कोई वित्तीय संस्थान या उपभोक्ता से कोई व्यक्तिगत, गैर-सार्वजनिक जानकारी प्राप्त करता है, तो उनकी कार्रवाई क़ानून के अधीन होती है। यह वित्तीय संस्थान के साथ उपभोक्ता के संबंध से संबंधित है। उदाहरण के लिए, उपभोक्ता के बैंक से उपभोक्ता का पता प्राप्त करने के लिए या उपभोक्ता को अपने बैंक के नाम का खुलासा करने के लिए झूठे बहाने का उपयोग करने वाला एक बहाना कवर किया जाएगा। निर्धारित करने वाला सिद्धांत यह है कि प्रीटेक्सिंग केवल तब होती है जब झूठी प्रस्तुतियों के माध्यम से जानकारी प्राप्त की जाती है।
Line 190: Line 201:
जबकि सेल टेलीफोन रिकॉर्ड की बिक्री ने महत्वपूर्ण मीडिया का ध्यान आकर्षित किया है, और दूरसंचार रिकॉर्ड वर्तमान में [[संयुक्त राज्य अमेरिका की सीनेट]] के समक्ष दो बिलों का फोकस हैं, सार्वजनिक बाजार में कई अन्य प्रकार के निजी रिकॉर्ड खरीदे और बेचे जा रहे हैं। सेल फोन रिकॉर्ड, वायरलाइन रिकॉर्ड और कॉलिंग कार्ड से जुड़े रिकॉर्ड के लिए कई विज्ञापनों के साथ-साथ विज्ञापित किया जाता है। जैसे-जैसे लोग वीओआईपी टेलीफोनों की ओर शिफ्ट होते हैं, यह मान लेना सुरक्षित है कि उन रिकॉर्डों को बिक्री के लिए भी पेश किया जाएगा। वर्तमान में, टेलीफोन रिकॉर्ड बेचना कानूनी है, लेकिन उन्हें प्राप्त करना अवैध है।<ref>Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. {{ISBN|0-471-23712-4}}</ref>
जबकि सेल टेलीफोन रिकॉर्ड की बिक्री ने महत्वपूर्ण मीडिया का ध्यान आकर्षित किया है, और दूरसंचार रिकॉर्ड वर्तमान में [[संयुक्त राज्य अमेरिका की सीनेट]] के समक्ष दो बिलों का फोकस हैं, सार्वजनिक बाजार में कई अन्य प्रकार के निजी रिकॉर्ड खरीदे और बेचे जा रहे हैं। सेल फोन रिकॉर्ड, वायरलाइन रिकॉर्ड और कॉलिंग कार्ड से जुड़े रिकॉर्ड के लिए कई विज्ञापनों के साथ-साथ विज्ञापित किया जाता है। जैसे-जैसे लोग वीओआईपी टेलीफोनों की ओर शिफ्ट होते हैं, यह मान लेना सुरक्षित है कि उन रिकॉर्डों को बिक्री के लिए भी पेश किया जाएगा। वर्तमान में, टेलीफोन रिकॉर्ड बेचना कानूनी है, लेकिन उन्हें प्राप्त करना अवैध है।<ref>Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. {{ISBN|0-471-23712-4}}</ref>


'''प्रथम स्रोत सूचना विशेषज्ञ'''


===प्रथम स्रोत सूचना विशेषज्ञ ===
दूरसंचार और इंटरनेट पर ऊर्जा और वाणिज्य उपसमिति के अध्यक्ष, यू.एस. प्रतिनिधि [[फ्रेड अप्टन]] (आर-कलामज़ू, मिशिगन, मिशिगन), ने ऊर्जा और वाणिज्य उपसमिति की सुनवाई के दौरान इंटरनेट पर व्यक्तिगत मोबाइल फोन रिकॉर्ड तक आसान पहुंच पर चिंता व्यक्त की। ऑन फोन रिकॉर्ड्स फॉर सेल: ''व्हाई आर नॉट फोन रेकॉर्ड्स फ्रॉम प्रेटेक्सटिंग?'' [[इलिनोइस]] एक ऑनलाइन रिकॉर्ड ब्रोकर पर मुकदमा करने वाला पहला राज्य बन गया जब अटॉर्नी जनरल लिसा मैडिगन ने फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स, इंक. पर मुकदमा दायर किया। मैडिगन के कार्यालय की एक प्रवक्ता ने कहा . सूट की एक प्रति के अनुसार, फ्लोरिडा स्थित कंपनी कई वेब साइटों का संचालन करती है जो मोबाइल टेलीफोन रिकॉर्ड बेचती हैं। फ़्लोरिडा और [[मिसौरी]] के अटॉर्नी जनरल ने जल्दी से मैडिगन के नेतृत्व का अनुसरण किया, प्रथम स्रोत सूचना विशेषज्ञों के विरुद्ध और, मिसौरी के मामले में, एक अन्य रिकॉर्ड ब्रोकर - फ़र्स्ट डेटा सॉल्यूशंस, इंक. के विरुद्ध क्रमशः मुकदमा दायर किया।
दूरसंचार और इंटरनेट पर ऊर्जा और वाणिज्य उपसमिति के अध्यक्ष, यू.एस. प्रतिनिधि [[फ्रेड अप्टन]] (आर-कलामज़ू, मिशिगन, मिशिगन), ने हाउस एनर्जी एंड कॉमर्स कमेटी की सुनवाई के दौरान इंटरनेट पर व्यक्तिगत मोबाइल फोन रिकॉर्ड तक आसान पहुंच पर चिंता व्यक्त की। ऑन फोन रिकॉर्ड्स फॉर सेल: ''व्हाई आर नॉट फोन रेकॉर्ड्स फ्रॉम प्रेटेक्सटिंग?'' [[इलिनोइस]] एक ऑनलाइन रिकॉर्ड ब्रोकर पर मुकदमा करने वाला पहला राज्य बन गया जब अटॉर्नी जनरल लिसा मैडिगन ने फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स, इंक. पर मुकदमा दायर किया। मैडिगन के कार्यालय की एक प्रवक्ता ने कहा . सूट की एक प्रति के अनुसार, फ्लोरिडा स्थित कंपनी कई वेब साइटों का संचालन करती है जो मोबाइल टेलीफोन रिकॉर्ड बेचती हैं। फ़्लोरिडा और [[मिसौरी]] के अटॉर्नी जनरल ने जल्दी से मैडिगन के नेतृत्व का अनुसरण किया, प्रथम स्रोत सूचना विशेषज्ञों के विरुद्ध और, मिसौरी के मामले में, एक अन्य रिकॉर्ड ब्रोकर - फ़र्स्ट डेटा सॉल्यूशंस, इंक. के विरुद्ध क्रमशः मुकदमा दायर किया।


T-Mobile, Verizon, और Cingular सहित कई वायरलेस प्रदाताओं ने रिकॉर्ड ब्रोकर्स के खिलाफ पहले के मुकदमे दायर किए, जिसमें Cingular ने फर्स्ट डेटा सॉल्यूशंस और फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स के खिलाफ निषेधाज्ञा जीत ली। अमेरिकी सीनेटर [[चार्ल्स शूमर]] (डी-न्यूयॉर्क) ने फरवरी 2006 में अभ्यास को रोकने के उद्देश्य से कानून पेश किया। 2006 का उपभोक्ता टेलीफोन रिकॉर्ड संरक्षण अधिनियम मोबाइल फोन, [[लैंडलाइन]] और [[वौइस् ओवर इंटरनेट प्रोटोकॉल]] (वीओआईपी) ग्राहकों के रिकॉर्ड को चोरी करने और बेचने के लिए गुंडागर्दी आपराधिक कानून दंड बनाएगा।
टी-मोबाइल, वेरिज़ोन,और सिंगुलर सहित कई वायरलेस प्रदाताओं ने रिकॉर्ड ब्रोकर्स के खिलाफ पहले के मुकदमे दायर किए, जिसमें सिंगुलर ने फर्स्ट डेटा सॉल्यूशंस और फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स के खिलाफ निषेधाज्ञा जीत ली। अमेरिकी सीनेटर [[चार्ल्स शूमर]] (डी-न्यूयॉर्क) ने फरवरी 2006 में अभ्यास को रोकने के उद्देश्य से कानून पेश किया। 2006 का उपभोक्ता टेलीफोन रिकॉर्ड संरक्षण अधिनियम मोबाइल फोन, [[लैंडलाइन]] और [[वौइस् ओवर इंटरनेट प्रोटोकॉल]] (वीओआईपी) ग्राहकों के रिकॉर्ड को चोरी करने और बेचने के लिए धोखाधड़ी आपराधिक कानून दंड बनाएगा।


=== हेवलेट पैकार्ड ===
=== हेवलेट पैकार्ड ===
हेवलेट पैकर्ड की पूर्व अध्यक्ष पेट्रीसिया सी. डन ने बताया कि एचपी बोर्ड ने एक निजी जांच कंपनी को यह पता लगाने के लिए नियुक्त किया कि बोर्ड के भीतर लीक के लिए कौन जिम्मेदार था। डन ने स्वीकार किया कि कंपनी ने बोर्ड के सदस्यों और पत्रकारों के टेलीफोन रिकॉर्ड मांगने के बहाने बहाने की प्रथा का इस्तेमाल किया। चेयरमैन डन ने बाद में इस अधिनियम के लिए माफी मांगी और बोर्ड के सदस्यों द्वारा वांछित होने पर बोर्ड से हटने की पेशकश की।<ref name="com">[http://news.cnet.com/HP-chairman-Use-of-pretexting-embarrassing/2100-1014_3-6113715.html?tag=nefd.lede HP chairman: Use of pretexting 'embarrassing'] Stephen Shankland, 8 September 2006 1:08 PM PDT ''[[CNET]] News.com''</ref> संघीय कानून के विपरीत, कैलिफोर्निया कानून विशेष रूप से इस तरह के बहानेबाजी को प्रतिबंधित करता है। डन पर लगाए गए चार गुंडागर्दी के आरोपों को खारिज कर दिया गया।<ref>{{cite web|url=http://news.cnet.com/Calif.-court-drops-charges-against-Dunn/2100-1014_3-6167187.html|title=कैलिफोर्निया की अदालत ने डन के खिलाफ आरोप हटा दिए|date=14 March 2007|publisher=CNET|access-date=11 April 2012}}</ref>
हेवलेट पैकर्ड की पूर्व अध्यक्ष पेट्रीसिया सी. डन ने बताया कि एचपी बोर्ड ने एक निजी जांच कंपनी को यह पता लगाने के लिए नियुक्त किया कि बोर्ड के अंतर्गत लीक के लिए कौन जिम्मेदार था। डन ने स्वीकार किया कि कंपनी ने बोर्ड के सदस्यों और पत्रकारों के टेलीफोन रिकॉर्ड मांगने के बहाने बहाने की प्रथा का उपयोग किया। चेयरमैन डन ने बाद में इस अधिनियम के लिए माफी मांगी और बोर्ड के सदस्यों द्वारा वांछित होने पर बोर्ड से हटने की पेशकश की।<ref name="com">[http://news.cnet.com/HP-chairman-Use-of-pretexting-embarrassing/2100-1014_3-6113715.html?tag=nefd.lede HP chairman: Use of pretexting 'embarrassing'] Stephen Shankland, 8 September 2006 1:08 PM PDT ''[[CNET]] News.com''</ref> संघीय कानून के विपरीत, कैलिफोर्निया कानून विशेष रूप से इस तरह के बहानेबाजी को प्रतिबंधित करता है। डन पर लगाए गए चार धोखाधड़ी के आरोपों को खारिज कर दिया गया।<ref>{{cite web|url=http://news.cnet.com/Calif.-court-drops-charges-against-Dunn/2100-1014_3-6167187.html|title=कैलिफोर्निया की अदालत ने डन के खिलाफ आरोप हटा दिए|date=14 March 2007|publisher=CNET|access-date=11 April 2012}}</ref>




== निवारक उपाय ==
== निवारक उपाय ==
कुछ सावधानियां बरतने से सोशल इंजीनियरिंग धोखाधड़ी का शिकार होने का जोखिम कम हो जाता है। जो सावधानियां बरती जा सकती हैं वे इस प्रकार हैं:
कुछ सावधानियां बरतने से सामाजिक अभियांत्रिकी धोखाधड़ी का शिकार होने का जोखिम कम हो जाता है। जो सावधानियां बरती जा सकती हैं वे इस प्रकार हैं:


* उन प्रस्तावों से अवगत रहें जो सच होने के लिए बहुत अच्छे लगते हैं।
* उन प्रस्तावों से अवगत रहें जो सच होने के लिए बहुत अच्छे लगते हैं।
* मल्टीफैक्टर ऑथेंटिकेशन का इस्तेमाल करें।
* बहु-कारक प्रमाणीकरण का उपयोग करें।
* अज्ञात स्रोतों से अटैचमेंट पर क्लिक करने से बचें।
* अज्ञात स्रोतों से संलग्नक पर क्लिक करने से बचें।
* ईमेल, फोन या टेक्स्ट संदेशों के माध्यम से किसी को भी व्यक्तिगत या वित्तीय जानकारी (जैसे क्रेडिट कार्ड की जानकारी, सामाजिक सुरक्षा नंबर, या बैंक खाते की जानकारी) नहीं देना।
* ईमेल, फोन या टेक्स्ट संदेशों के माध्यम से किसी को भी व्यक्तिगत या वित्तीय जानकारी (जैसे क्रेडिट कार्ड की जानकारी, सामाजिक सुरक्षा नंबर, या बैंक खाते की जानकारी) नहीं देना।
* [[स्पैम छांटना]] सॉफ़्टवेयर का उपयोग।
* [[स्पैम छांटना|स्पैम फ़िल्टर]] सॉफ़्टवेयर का उपयोग।
* ऐसे लोगों से दोस्ती करने से बचें जिन्हें आप असल जिंदगी में नहीं जानते।
* ऐसे लोगों से दोस्ती करने से बचें जिन्हें आप वास्तविक जिंदगी में नहीं जानते।
* बच्चों को किसी विश्वसनीय वयस्क से संपर्क करना सिखाएं यदि उन्हें इंटरनेट पर धमकाया जा रहा है ([[साइबर-धमकी]]) या ऑनलाइन किसी भी चीज से खतरा महसूस हो रहा है।<ref>{{Cite web|url=https://www.imperva.com/learn/application-security/social-engineering-attack/|title=सोशल इंजीनियरिंग क्या है {{!}} हमले की तकनीक और रोकथाम के तरीके {{!}} इम्पर्वा|website=Learning Center|language=en-US|access-date=18 February 2020}}</ref>
* बच्चों को किसी विश्वसनीय वयस्क से संपर्क करना सिखाएं यदि उन्हें इंटरनेट पर धमकाया जा रहा है ([[साइबर-धमकी]]) या ऑनलाइन किसी भी चीज से खतरा महसूस हो रहा है।<ref>{{Cite web|url=https://www.imperva.com/learn/application-security/social-engineering-attack/|title=सोशल इंजीनियरिंग क्या है {{!}} हमले की तकनीक और रोकथाम के तरीके {{!}} इम्पर्वा|website=Learning Center|language=en-US|access-date=18 February 2020}}</ref>
* तत्काल निर्णय न लें, लेकिन जब भी संभव हो [https://www.takefive-stopfraud.org.uk/ 5 मिनट का समय लें] प्रस्तुत की गई जानकारी का मूल्यांकन करें।
* तत्काल निर्णय न लें, लेकिन जब भी संभव हो [https://www.takefive-stopfraud.org.uk/ 5 मिनट का समय लें] प्रस्तुत की गई जानकारी का मूल्यांकन करें।
Line 214: Line 225:
== यह भी देखें ==
== यह भी देखें ==


* {{annotated link|Certified Social Engineering Prevention Specialist}} (सीएसईपीएस)
* {{annotated link|सर्टिफाइड सोशल इंजीनियरिंग प्रिवेंशन स्पेशलिस्ट}} (सीएसईपीएस)
* {{annotated link|Code Shikara}}
* {{annotated link|कोड शिकारा}}
* {{annotated link|Confidence trick}}
* {{annotated link|विश्वास चाल}}
* {{annotated link|Countermeasure (computer)}}
* {{annotated link|प्रत्युपाय (कंप्यूटर)}}
* {{annotated link|Cyber-HUMINT}}
* {{annotated link|साइबर-ह्युमिंट}}
* {{annotated link|Cyberheist}}
* {{annotated link|साइबरहिस्ट}}
* {{annotated link|Inoculation theory}}
* {{annotated link|इनोक्यूलेशन सिद्धांत}}
* {{annotated link|Internet Security Awareness Training}}
* {{annotated link|इंटरनेट सुरक्षा जागरूकता प्रशिक्षण}}
* {{annotated link|IT risk}}
* {{annotated link|आईटी जोखिम}}
* {{annotated link|Media prank}}एस, जो अक्सर समान रणनीति का उपयोग करते हैं (हालांकि आमतौर पर आपराधिक उद्देश्यों के लिए नहीं)
* {{annotated link|मीडिया शरारत}}एस, जो प्रायः समान रणनीति का उपयोग करते हैं (हालांकि पर आपराधिक उद्देश्यों के लिए नहीं)
* {{annotated link|Penetration test}}
* {{annotated link|प्रवेश परीक्षा}}
* {{annotated link|Phishing}}
* {{annotated link|फ़िशिंग}}
* {{annotated link|Physical information security}}
* {{annotated link|भौतिक सूचना सुरक्षा}}
* {{annotated link|Piggybacking (security)}}
* {{annotated link|पिग्गीबैकिंग (सुरक्षा)}}
* {{annotated link|SMS phishing}}
* {{annotated link|एसएमएस फ़िशिंग}}
* {{annotated link|Threat (computer)}}
* {{annotated link|खतरा (कंप्यूटर)}}
* {{annotated link|Voice phishing}}
* {{annotated link|वॉयस फिशिंग}}
* {{annotated link|Vulnerability (computing)}}
* {{annotated link|भेद्यता (कंप्यूटिंग)}}
*[[साइबर सुरक्षा जागरूकता]]
*[[साइबर सुरक्षा जागरूकता]]


Line 254: Line 265:




==इस पेज में लापता आंतरिक लिंक की सूची==
*निर्णय लेना
*Asch अनुरूपता प्रयोग
*सैनिक परीक्षण
*नुकसान निवारण
*EBAY
*क्रेडिट कार्ड कंपनी
*बहाना
*लेट जाना
*निजी अन्वेषक
*हमला (कंप्यूटिंग)
*पहुँच नियंत्रण
*पेपैल
*प्रेषक नीति ढांचा
*वायरस का झांसा
*जानकारी एकट्टा करना
*देवदूत
*freaking
*w00w00
*सामान्य विधि
*घोर अपराध
*फौजदारी कानून
==बाहरी संबंध==
==बाहरी संबंध==
{{Commons category|Social engineering (security)}}
{{Commons category|Social engineering (security)}}
Line 288: Line 275:
{{Authority control}}
{{Authority control}}


{{DEFAULTSORT:Social Engineering - Information Security}}[[Category:सोशल इंजीनियरिंग (कंप्यूटर सुरक्षा)| ]]
{{DEFAULTSORT:Social Engineering - Information Security}}
[[Category: साइबर अपराध]]
 


[[Category: Machine Translated Page]]
[[Category:All articles with specifically marked weasel-worded phrases|Social Engineering - Information Security]]
[[Category:Created On 16/12/2022]]
[[Category:Articles with hatnote templates targeting a nonexistent page|Social Engineering - Information Security]]
[[Category:Articles with invalid date parameter in template|Social Engineering - Information Security]]
[[Category:Articles with short description|Social Engineering - Information Security]]
[[Category:Articles with specifically marked weasel-worded phrases from February 2022|Social Engineering - Information Security]]
[[Category:CS1 English-language sources (en)]]
[[Category:CS1 errors]]
[[Category:CS1 français-language sources (fr)|Social Engineering - Information Security]]
[[Category:CS1 maint|Social Engineering - Information Security]]
[[Category:CS1 Ελληνικά-language sources (el)|Social Engineering - Information Security]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates|Social Engineering - Information Security]]
[[Category:Created On 16/12/2022|Social Engineering - Information Security]]
[[Category:Exclude in print|Social Engineering - Information Security]]
[[Category:Interwiki category linking templates|Social Engineering - Information Security]]
[[Category:Interwiki link templates|Social Engineering - Information Security]]
[[Category:Machine Translated Page|Social Engineering - Information Security]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists|Social Engineering - Information Security]]
[[Category:Pages with script errors|Social Engineering - Information Security]]
[[Category:Short description with empty Wikidata description|Social Engineering - Information Security]]
[[Category:Sidebars with styles needing conversion|Social Engineering - Information Security]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates Vigyan Ready|Social Engineering - Information Security]]
[[Category:Templates based on the Citation/CS1 Lua module|Social Engineering - Information Security]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats|Social Engineering - Information Security]]
[[Category:Templates that add a tracking category|Social Engineering - Information Security]]
[[Category:Templates that are not mobile friendly|Social Engineering - Information Security]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData|Social Engineering - Information Security]]
[[Category:Use dmy dates from August 2020|Social Engineering - Information Security]]
[[Category:Wikimedia Commons templates|Social Engineering - Information Security]]
[[Category:Wikipedia fully protected templates|Cite web]]
[[Category:Wikipedia metatemplates|Social Engineering - Information Security]]
[[Category:साइबर अपराध|Social Engineering - Information Security]]
[[Category:सोशल इंजीनियरिंग (कंप्यूटर सुरक्षा)| ]]

Latest revision as of 09:27, 28 December 2022

आम आदमी की शर्तों में सामाजिक इंजीनियरिंग की परिभाषा
OPSEC अलर्ट

सूचना सुरक्षा के संदर्भ में, सामाजिक अभियांत्रिकी लोगों के कार्यों को करने या गोपनीयता प्रकट करने के लिए मनोवैज्ञानिक परिचालन है। यह सामाजिक विज्ञान के अंतर्गत सामाजिक अभियांत्रिकी से अलग है, जो गोपनीय जानकारी के प्रकटीकरण से संबंधित नहीं है। सूचना एकत्र करने, धोखाधड़ी, या सिस्टम अभिगमन के उद्देश्य से एक प्रकार की विश्वसनीय चाल कहा जा सकता है, यह एक पारंपरिक धोखाधड़ी से अलग है क्योकि यह प्रायः एक अधिक जटिल धोखाधड़ी योजना में कई चरणों में से एक है।[1]इसे किसी कार्य के रूप में भी परिभाषित किया गया है जो किसी व्यक्ति को ऐसी कार्रवाई करने के लिए प्रभावित करता है जो उनके सर्वोत्तम लाभ में हो या न हो।[2]

सामाजिक अभियांत्रिकी का एक उदाहरण अधिकांश वेबसाइटों पर पासवर्ड (संकेत शब्द) भूल जाने की क्रिया का उपयोग है, जिसमें लॉगिन की आवश्यकता होती है। एक दुर्भावनापूर्ण क्षति पहुंचाने वाले व्यक्ति को उपयोगकर्ता के खाते तक पूर्ण पहुंच प्रदान करने के लिए एक अनुचित रूप से सुरक्षित पासवर्ड-पुनर्प्राप्ति प्रणाली का उपयोग किया जा सकता है, जबकि मूल उपयोगकर्ता खाते तक नहीं पहुंच पाएगा।

सूचना सुरक्षा संस्कृति

कर्मचारियों के व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव पड़ सकता है। सांस्कृतिक अवधारणाएं संगठन के विभिन्न हिस्सों को प्रभावी ढंग से काम करने में मदद कर सकती हैं या किसी संगठन के अंतर्गत सूचना सुरक्षा की दिशा में प्रभावशीलता के विरूद्व काम कर सकती हैं। संगठनात्मक संस्कृति और सूचना सुरक्षा संस्कृति के बीच संबंधों की तलाश सूचना सुरक्षा संस्कृति की निम्नलिखित परिभाषा प्रदान करती हैI ISC एक संगठन में व्यवहार के पैटर्न की समग्रता है जो सभी प्रकार की जानकारी की सुरक्षा में योगदान करती है।[3]

एंडरसन और रीमर्स (2014) ने यह पाया कि कर्मचारी प्रायः खुद को संगठन सूचना सुरक्षा प्रयास के हिस्से के रूप में नहीं देखते हैं और प्रायः ऐसी कार्रवाइयां करते हैं जो संगठनात्मक सूचना सुरक्षा सर्वोत्तम हितों को नज़रअंदाज़ करते हैं।[4] अनुसंधान से पता चलता है कि सूचना सुरक्षा संस्कृति में लगातार सुधार की आवश्यकता है। सूचना सुरक्षा संस्कृति में विश्लेषण से परिवर्तन तक, लेखकों ने टिप्पणी की कि यह कभी न खत्म होने वाली प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का चक्र है। उनका सुझाव है कि सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पांच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, परिचालन योजना, कार्यान्वयन और मूल्यांकन।[5]

  • पूर्व-मूल्यांकन: कर्मचारियों के अंतर्गत सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और वर्तमान सुरक्षा नीति का विश्लेषण करना।
  • रणनीतिक योजना: एक बेहतर जागरूकता-कार्यक्रम के साथ आने के लिए, हमें स्पष्ट लक्ष्य निर्धारित करने की आवश्यकता है। गुच्छन लोग इसे प्राप्त करने में सहायक होते हैं।
  • संक्रियात्मक आयोजन : आंतरिक संचार, प्रबंधन-बाय-इन और सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम के आधार पर एक अच्छी सुरक्षा संस्कृति स्थापित करें।[5]*
  • कार्यान्वयन और मूल्यांकन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए। वे प्रबंधन की प्रतिबद्धता, संगठनात्मक सदस्यों के साथ संचार, सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम और कर्मचारियों की प्रतिबद्धता हैं।[5]


तकनीक और शर्तें

सभी सामाजिक अभियांत्रिकी तकनीकें मानव निर्णय लेने की विशिष्ट विशेषताओं पर आधारित होती हैं जिन्हें संज्ञानात्मक पूर्वाग्रहों की सूची के रूप में जाना जाता है।[6][7] इन पूर्वाग्रहों, जिन्हें कभी-कभी मानव हार्डवेयर में बग( वायरस) कहा जाता है, "खतरे की तकनीक बनाने के लिए विभिन्न संयोजनों में उपयोग किए जाते हैं, जिनमें से कुछ नीचे सूचीबद्ध हैं। सामाजिक अभियांत्रिकी में उपयोग किए गए खतरों का उपयोग कर्मचारियों की गोपनीय जानकारी चुराने के लिए किया जा सकता है। सामाजिक अभियांत्रिकी का सबसे साधारण प्रकार फोन पर होता है। सामाजिक अभियांत्रिकी खतरों के अन्य उदाहरण अपराधियों, फायर मार्शलों और तकनीकज्ञ के रूप में प्रस्तुत करने वाले अपराधी हैं, जो किसी का ध्यान नहीं जाते क्योंकि वे कंपनी के रहस्य चुराते हैं।

सामाजिक अभियांत्रिकी का एक उदाहरण एक व्यक्ति है जो एक इमारत में चलता है और कंपनी के बुलेटिन में एक आधिकारिक-दिखने वाली घोषणा पोस्ट करता है जो कहता है कि सहायता केंद्र के लिए संख्या बदल गया है। इसलिए, जब कर्मचारी मदद के लिए कॉल करते हैं तो व्यक्ति उनसे उनके पासवर्ड और आईडी मांगता है जिससे कंपनी की निजी जानकारी तक पहुंचने की क्षमता प्राप्त होती है। सामाजिक अभियांत्रिकी का एक और उदाहरण यह होगा कि हैकर सामाजिक नेटवर्किंग साइट पर लक्ष्य से संपर्क करता है और लक्ष्य के साथ बातचीत शुरू करता है। धीरे-धीरे हैकर लक्ष्य का विश्वास हासिल कर लेता है और फिर उस भरोसे का उपयोग पासवर्ड या बैंक खाते के विवरण जैसी संवेदनशील जानकारी तक पहुंचने के लिए करता है।[8]

सामाजिक अभियांत्रिकी रॉबर्ट सियालडिनी द्वारा स्थापित प्रभाव के छह सिद्धांतों पर बहुत अधिक निर्भर करता है। सियालदिनी के प्रभाव का सिद्धांत छह प्रमुख सिद्धांतों पर आधारित है: पारस्परिकता, प्रतिबद्धता और निरंतरता, सामाजिक प्रमाण, अधिकार, पसंद, विरलता।

छह प्रमुख सिद्धांत

प्राधिकरण

सामाजिक अभियांत्रिकी में, क्षति पहुंचाने वाले व्यक्ति पीड़ित से लगाव की संभावना बढ़ाने के लिए अधिकार के रूप में प्रस्तुत कर सकता है।

धमकाना

क्षति पहुंचाने वाले व्यक्ति (संभावित रूप से प्रच्छन्न) सूचित करता है या संकेत करता है कि यदि कुछ कार्य नहीं किए जाते हैं तो नकारात्मक परिणाम होंगे। परिणामों में सूक्ष्म डराने-धमकाने वाले वाक्यांश सम्मिलित हो सकते हैं जैसे कि मैं आपके प्रबंधक को और भी बुरा बताऊंगा।

साधारण सहमति/सामाजिक प्रमाण

लोग वही करेंगे जो वे दूसरों को करते हुए देखते हैं। उदाहरण के लिए, एक प्रयोग में[which?], एक या अधिक संघी आकाश की ओर देखेंगे; तमाशबीन लोग तब आकाश में देखते थे कि वे क्या भूल हे थे। एक बिंदु पर यह प्रयोग निरस्त कर दिया गया, क्योंकि इतने सारे लोग ऊपर देख रहे थे कि उन्होंने यातायात रोक दिया। अनुरूपता (मनोविज्ञान) और ऐश अनुरूपता प्रयोग देखें।

कमी

कथित कमी मांग उत्पन्न करेगी। आपूर्ति के अंतिम समय में सामान्य विज्ञापन मुहावरा बिखराव की भावना का लाभ उठाता है।

उतावलापन

बिखराव से जुड़े, क्षति पहुंचाने वाले व्यक्ति सामाजिक अभियांत्रिकी के समय-आधारित मनोवैज्ञानिक सिद्धांत के रूप में तात्कालिकता का उपयोग करते हैं। उदाहरण के लिए, यह कहना कि ऑफर सीमित समय के लिए उपलब्ध हैं, केवल अत्यावश्यकता की भावना से बिक्री को प्रोत्साहित करता है।

परिचित/पसंद

लोग जिन लोगों को पसंद करते हैं उनके द्वारा आसानी से राजी हो जाते हैं। Tupperware के विपणन का हवाला देती है जिसे अब संक्रामक विपणन कहा जा सकता है। लोगों को खरीदने की अधिक संभावना थी अगर वे उस व्यक्ति को पसंद करते थे जो उन्हें बेच रहा था। अधिक आकर्षक लोगों के पक्ष में कई पूर्वाग्रहों पर चर्चा की गई है। संरचनात्मक आकर्षण स्टीरियोटाइप देखें।

चार सामाजिक अभियांत्रिकी संवाहक 

विशिंग

विशिंग, अन्यथा आवाज फ़िशिंग के रूप में जाना जाता है, वित्तीय पुरस्कार के उद्देश्य से जनता से निजी व्यक्तिगत और वित्तीय जानकारी तक पहुंच प्राप्त करने के लिए पीएसटीएन पर सामाजिक अभियांत्रिकी का उपयोग करने का आपराधिक अभ्यास है।[9] यह लक्षित संगठन पर अधिक विस्तृत खुफिया विश्लेषण एकत्र करने के लिए परीक्षण करने के उद्देश्यों के लिए क्षति पहुंचाने वाले व्यक्तिों द्वारा भी नियोजित किया जाता है।

फ़िशिंग

फ़िशिंग धोखाधड़ी से निजी जानकारी प्राप्त करने की एक तकनीक है। सामान्यतः, फ़िशर एक ई-मेल भेजता है जो एक वैध व्यवसाय-एक बैंक, या क्रेडिट कार्ड कंपनी से आता है- सूचना के सत्यापन का अनुरोध करता है और कुछ नुकसान से बचने की चेतावनी देता है यदि यह प्रदान नहीं किया गया है। ई-मेल में पर धोखाधड़ी वेब पेज का एक लिंक होता है जो वैध लगता है—कंपनी के लोगो और सामग्री के साथ—और इसमें घर के पते से लेकर एटीएम कार्ड की व्यक्तिगत पहचान संख्या या क्रेडिट कार्ड संख्या तक सब कुछ अनुरोध करने वाला एक प्ररूप होता है। उदाहरण के लिए, 2003 में, एक फ़िशिंग घोटाला हुआ था जिसमें उपयोगकर्ताओं को ईबे से कथित रूप से ईमेल प्राप्त हुए थे, जिसमें दावा किया गया था कि उपयोगकर्ता का खाता निलंबित होने वाला था, जब तक कि क्रेडिट कार्ड को आधुनिक बनाने करने के लिए प्रदान किए गए लिंक पर क्लिक नहीं किया गया था (ऐसी जानकारी जो वास्तविक ईबे के पास पहले से थी)।[10] किसी वैध संगठन के एचटीएमएल कोड और लोगो की नकल करके नकली वेबसाइट को प्रामाणिक दिखाना अपेक्षाकृत सरल है। घोटाले ने कुछ लोगों को यह सोचने पर मजबूर कर दिया कि ईबे उन्हें दिए गए लिंक पर क्लिक करके अपनी खाता जानकारी को आधुनिक करने की आवश्यकता है। लोगों के बहुत बड़े समूहों को अंधाधुंध रूप से अपसंदेशन करके, फ़िशर उन प्राप्तकर्ताओं के छोटे प्रतिशत (फिर भी बड़ी संख्या) से संवेदनशील वित्तीय जानकारी प्राप्त करने में गिना जाता है जिनके पास पहले से ही ईबे खाते हैं और वे भी घोटाले के शिकार हो जाते हैं।

स्मिशिंग

पीड़ितों को आकर्षित करने के लिए एसएमएस टेक्स्ट मैसेजिंग का उपयोग करने का कार्य, जिसे स्मिशिंग के रूप में भी जाना जाता है।[11] फ़िशिंग की तरह यह किसी दुर्भावनापूर्ण लिंक पर क्लिक करना या जानकारी प्रकट करना हो सकता है। उदाहरण टेक्स्ट संदेश हैं जो एक सामान्य वाहक (जैसे फ़ेडेक्स) होने का दावा करते हैं, जो एक पैकेज प्रदान किए गए लिंक के साथ संक्रमण में है।

प्रतिरूपण

किसी सिस्टम या ईमारत में संरचनात्मक रूप से पहुंच प्राप्त करने के लक्ष्य के साथ कोई अन्य व्यक्ति होने का नाटक करना या दिखावा करना। सिम स्वैप घोटाला धोखाधड़ी में प्रतिरूपण का उपयोग किया जाता है।

अन्य अवधारणाएं

बहाना

एक लक्षित शिकार को इस तरह से संलग्न करने के लिए एक आविष्कृत परिदृश्य बनाने और उपयोग करने का कार्य है जिससे पीड़ित द्वारा जानकारी प्रकट करने या ऐसे कार्य करने की संभावना बढ़ जाती है जो सामान्य परिस्थितियों में असंभव होगा।[12] एक व्यापक झूठ, इसमें प्रायः कुछ पूर्व अनुसंधान या व्यवस्था सम्मिलित होता है और लक्ष्य के मन में वैधता स्थापित करने के लिए प्रतिरूपण (जैसे, जन्म तिथि, सामाजिक सुरक्षा संख्या, अंतिम बिल राशि) के लिए इस जानकारी का उपयोग होता है।[13] एक पृष्ठभूमि के रूप में,बहाना को सामाजिक अभियांत्रिकी के पहले विकास के रूप में व्याख्यायित किया जा सकता है, सामाजिक अभियांत्रिकी के रूप में विकसित होना जारी है, जिसमें वर्तमान समय की तकनीकें सम्मिलित हैं। बहाना व्यक्त करना वर्तमान और पिछले उदाहरण के इस विकास को प्रदर्शित करते हैं।

इस तकनीक का उपयोग किसी व्यवसाय को ग्राहकों की जानकारी का प्रकट करने के साथ-साथ निजी जांचकर्ताओं द्वारा सीधे कंपनी सेवा प्रतिनिधियों से टेलीफोन रिकॉर्ड, उपयोगिता रिकॉर्ड, बैंकिंग रिकॉर्ड और अन्य जानकारी प्राप्त करने के लिए किया जा सकता है।[14] जानकारी का उपयोग प्रबंधक के साथ कठिन पूछताछ के तहत और भी अधिक वैधता स्थापित करने के लिए किया जा सकता है, उदाहरण के लिए, खाता परिवर्तन करने, विशिष्ट शेष राशि प्राप्त करने आदि के लिए।

बहाना का उपयोग सहकर्मियों, पुलिस, बैंक, कर अधिकारियों, पादरियों, बीमा जांचकर्ताओं- या किसी अन्य व्यक्ति का प्रतिरूपण करने के लिए भी किया जा सकता है, जो लक्षित पीड़ित के मन में कथित अधिकार या जानने का अधिकार हो सकता है। बहाना बनाने वाले को केवल उन प्रश्नों के उत्तर तैयार करने चाहिए जो पीड़ित द्वारा पूछे जा सकते हैं। कुछ मामलों में, केवल एक आवाज़ की ज़रूरत होती है जो आधिकारिक लगती है, एक ईमानदार स्वर, और एक पूर्ववर्ती परिदृश्य बनाने के लिए अपने पैरों पर सोचने की क्षमता।

विशिंग

फोन फ़िशिंग (या विशिंग) एक बैंक या अन्य संस्था के आईवीआर सिस्टम की एक वैध-ध्वनि वाली प्रति को फिर से बनाने के लिए एक अवांछित इंटरएक्टिव वॉयस रिस्पांस (आईवीआर) प्रणाली का उपयोग करता है। पीड़ित को जानकारी सत्यापित करने के लिए प्रदान किए गए (आदर्श रूप से टोल फ्री) संख्या के माध्यम से बैंक में कॉल करने के लिए (पर फ़िशिंग ई-मेल के माध्यम से) संकेत दिया जाता है। एक विशिष्ट विशिंग प्रणाली लॉग-इन को लगातार अस्वीकार कर देगी, यह सुनिश्चित करते हुए कि पीड़ित कई बार पिन या पासवर्ड दर्ज करता है, प्रायः कई अलग-अलग पासवर्ड का खुलासा करता है। अधिक उन्नत प्रणालियां पीड़ित को क्षति पहुंचाने वाले व्यक्ति/धोखाधड़ी करने वाले को स्थानांतरित करती हैं, जो पीड़ित से आगे की पूछताछ के लिए ग्राहक सेवा एजेंट या सुरक्षा विशेषज्ञ के रूप में प्रस्तुत करता है।

स्पीयर फ़िशिंग

हालांकि फ़िशिंग के समान, स्पीयर फ़िशिंग एक ऐसी तकनीक है जो कुछ अंतिम उपयोगकर्ताओं को अत्यधिक अनुकूलित ईमेल भेजकर धोखाधड़ी से निजी जानकारी प्राप्त करती है। यह फ़िशिंग खतरों के बीच मुख्य अंतर है क्योंकि फ़िशिंग अभियान सामान्यीकृत ईमेल की उच्च मात्रा को इस अपेक्षा के साथ भेजने पर ध्यान केंद्रित करते हैं कि केवल कुछ ही लोग प्रतिक्रिया देंगे। दूसरी ओर, स्पीयर-फ़िशिंग ईमेल में क्षति पहुंचाने वाले व्यक्ति को अपने लक्ष्य पर अतिरिक्त शोध करने की आवश्यकता होती है ताकि अंतिम उपयोगकर्ताओं को अनुरोधित गतिविधियों को करने के लिए सम्पादित किया जा सके। स्पीयर-फ़िशिंग खतरों की सफलता दर फ़िशिंग खतरों की तुलना में काफी अधिक है, लगभग 70% संभावित प्रयासों की तुलना में लगभग 3% फ़िशिंग ईमेल खोलने वाले लोग है। जब उपयोगकर्ता वास्तव में ईमेल खोलते हैं तो फ़िशिंग ईमेल में अपेक्षाकृत मामूली 5% सफलता दर होती है, जब किसी स्पीयर-फ़िशिंग खतरे की 50% सफलता दर की तुलना में लिंक या संलग्नक पर क्लिक किया जाता है।[15]

स्पीयर-फ़िशिंग की सफलता काफी हद तक ओ एस आई एन टी (खुला स्त्रोत बुद्धिमत्ता) की मात्रा और गुणवत्ता पर निर्भर करती है जिसे क्षति पहुंचाने वाले व्यक्ति प्राप्त कर सकता है। सामाजिक मीडिया खाता गतिविधि ओ एस एन आई टी के स्रोत का एक उदाहरण है।

जल जमाव

जल जमाव एक लक्षित सामाजिक अभियांत्रिकी रणनीति है जो उपयोगकर्ताओं द्वारा नियमित रूप से देखी जाने वाली वेबसाइटों पर उनके भरोसे का लाभ उठाती है। पीड़ित उन कामों को करने में सुरक्षित महसूस करता है जो वह दूसरी स्थिति में नहीं करेगा। एक सावधान व्यक्ति, उदाहरण के लिए, जानबूझकर एक अवांछित ईमेल में एक लिंक पर क्लिक करने से बच सकता है, लेकिन वही व्यक्ति उस वेबसाइट पर एक लिंक का अनुसरण करने में संकोच नहीं करेगा जिस पर वे प्रायः जाते हैं। तो, क्षति पहुंचाने वाले व्यक्ति एक पसंदीदा पानी के छेद पर अवांछित शिकार के लिए एक जाल तैयार करता है। कुछ (माना जाता है) बहुत सुरक्षित प्रणालियों तक पहुंच प्राप्त करने के लिए इस रणनीति का सफलतापूर्वक उपयोग किया गया है।[16]

क्षति पहुंचाने वाले व्यक्ति लक्ष्य बनाने के लिए किसी समूह या व्यक्तियों की पहचान करके निकल सकता है, उन वेबसाइटों के बारे में जानकारी एकत्र करना सम्मिलित है जिन्हें लक्ष्य प्रायः सुरक्षित प्रणाली से देखते हैं। जानकारी एकत्र करना पुष्टि करता है कि लक्ष्य वेबसाइटों पर जाते हैं और यह कि सिस्टम ऐसी यात्राओं की अनुमति देता है। इसके बाद क्षति पहुंचाने वाले व्यक्ति इन वेबसाइटों की भेद्यता के लिए कोड इंजेक्ट करने के लिए परीक्षण करता है जो किसी विज़िटर के सिस्टम को मैलवेयर से संक्रमित कर सकता है। इंजेक्ट किए गए कोड ट्रैप और मैलवेयर को विशिष्ट लक्ष्य समूह और उनके द्वारा उपयोग की जाने वाली विशिष्ट प्रणालियों के अनुरूप बनाया जा सकता है। समय के साथ, लक्षित समूह के एक या अधिक सदस्य संक्रमित हो जाएंगे और क्षति पहुंचाने वाले व्यक्ति सुरक्षित प्रणाली तक पहुंच प्राप्त कर सकता है।

बैटिंग

बैटिंग वास्तविक दुनिया के ट्रोजन हॉर्स की तरह है जो भौतिक मीडिया का उपयोग करता है और शिकार की जिज्ञासा या लालच पर निर्भर करता है।[17] इस खतरे में, क्षति पहुंचाने वाले व्यक्ति मैलवेयर-संक्रमित फ्लॉपी डिस्क, सीडी रॉम, या यूएसबी फ्लैश ड्राइव को उन स्थानों पर छोड़ देते हैं जहां लोग उन्हें (बाथरूम, लिफ्ट, फुटपाथ, पार्किंग स्थल, आदि) वैध और जिज्ञासा, लेबल, और पीड़ितों की प्रतीक्षा करें की उत्तेजना देते हैं।

उदाहरण के लिए, एक क्षति पहुंचाने वाले व्यक्ति कॉर्पोरेट लोगो वाली एक डिस्क बना सकता है, जो लक्ष्य की वेबसाइट से उपलब्ध है, और इसे कार्यकारी वेतन सारांश Q2 2012 लेबल कर सकता है। क्षति पहुंचाने वाले व्यक्ति तब डिस्क को लिफ्ट के फर्श पर या लक्ष्य कंपनी की लॉबी में कहीं छोड़ देता है। एक अज्ञात कर्मचारी इसे खोज सकता है और अपनी जिज्ञासा को संतुष्ट करने के लिए डिस्क को कंप्यूटर में डाल सकता है, या एक अच्छा सामरी इसे ढूंढ सकता है और इसे कंपनी को वापस कर सकता है। किसी भी मामले में, डिस्क को कंप्यूटर में डालने से मैलवेयर इंस्टॉल हो जाता है, जिससे क्षति पहुंचाने वाले व्यक्तिों को पीड़ित के पीसी और शायद लक्ष्य कंपनी के आंतरिक कंप्यूटर नेटवर्क तक पहुंच मिल जाती है।

जब तक कंप्यूटर नियंत्रण ब्लॉक संक्रमणों को नियंत्रित नहीं करता है, प्रविष्टि पीसी ऑटो-रनिंग मीडिया से समझौता करती है। शत्रुतापूर्ण उपकरणों का भी उपयोग किया जा सकता है।[18] उदाहरण के लिए, एक भाग्यशाली विजेता को एक मुफ्त डिजिटल ऑडियो प्लेयर भेजा जाता है जो किसी भी कंप्यूटर से जुड़ा होता है। एक सड़क सेब (घोड़े की खाद के लिए बोलचाल का शब्द, उपकरण की अवांछनीय प्रकृति का सुझाव देता है) अवसरवादी या विशिष्ट स्थानों पर छोड़े गए दुर्भावनापूर्ण सॉफ़्टवेयर के साथ कोई भी हटाने योग्य मीडिया है। यह अन्य मीडिया के बीच एक सीडी, डीवीडी, या यूएसबी फ्लैश ड्राइव हो सकता है। जिज्ञासु लोग इसे लेते हैं और इसे कंप्यूटर में प्लग करते हैं, होस्ट और किसी भी संलग्न नेटवर्क को संक्रमित करते हैं। फिर से, हैकर्स उन्हें आकर्षक लेबल दे सकते हैं, जैसे कर्मचारी वेतन या गोपनीय।[19] 2016 में किए गए एक अध्ययन में शोधकर्ताओं ने इलिनोइस विश्वविद्यालय के परिसर के आसपास 297 यूएसबी ड्राइव गिराए थे। ड्राइव में वे फ़ाइलें थीं जो शोधकर्ताओं के स्वामित्व वाले वेबपृष्ठों से जुड़ी थीं। शोधकर्ता यह देखने में सक्षम थे कि उनमें से कितनी ड्राइव में फाइलें खोली गई थीं, लेकिन यह नहीं कि कितने बिना फाइल खोले कंप्यूटर में डाली गई थीं। गिराए गए 297 ड्राइव में से 290 (98%) को उठा लिया गया और उनमें से 135 (45%) को होम कॉल कर दिया गया।[20]


प्रतिदान

क्विड प्रो को का अर्थ है किसी चीज़ के लिए कुछ:

  • एक क्षति पहुंचाने वाले व्यक्ति तकनीकी सहायता से कॉल वापस करने का दावा करते हुए एक कंपनी पर रैंडम नंबरों पर कॉल करता है। आखिरकार यह व्यक्ति किसी को वैध समस्या के साथ मारा जाएगा, आभारी है कि कोई उनकी मदद करने के लिए वापस बुला रहा है। क्षति पहुंचाने वाले व्यक्ति समस्या को हल करने में मदद करेगा और इस प्रक्रिया में, उपयोगकर्ता प्रकार के आदेश होंगे जो क्षति पहुंचाने वाले व्यक्ति को पहुंच प्रदान करते हैं या मैलवेयर प्रक्षेपण(लॉन्च) करते हैं।
  • 2003 के एक सूचना सुरक्षा सर्वेक्षण में, 91% कार्यालय कर्मचारियों ने एक सस्ते कलम के बदले एक सर्वेक्षण प्रश्न के उत्तर में शोधकर्ताओं को जो दावा किया वह उनका पासवर्ड था।[21] बाद के वर्षों में इसी तरह के सर्वेक्षणों ने चॉकलेट और अन्य सस्ते प्रलोभनों का उपयोग करके समान परिणाम प्राप्त किए, हालांकि उन्होंने पासवर्ड को मान्य करने का कोई प्रयास नहीं किया।[22]

टेलगेटिंग

एक क्षति पहुंचाने वाले व्यक्ति, पहुंच से बाहर का, इलेक्ट्रॉनिक अभिगम नियंत्रण, उदाहरण । आरएफआईडी कार्ड द्वारा सुरक्षित प्रतिबंधित क्षेत्र में प्रवेश की मांग कर रहा है जो बस वैध पहुंच वाले व्यक्ति के पीछे चलता है। सामान्य शिष्टाचार का पालन करते हुए, वैध व्यक्ति साधारण तौर पर क्षति पहुंचाने वाले व्यक्ति के लिए दरवाजा खुला रखेगा या क्षति पहुंचाने वाले व्यक्ति स्वयं कर्मचारी को उनके लिए दरवाजा खुला रखने के लिए कह सकते हैं। एक कर्मचारी द्वारा पूछताछ को रोकने के लिए क्षति पहुंचाने वाले व्यक्ति प्रायः मोबाइल का उपयोग करके फोन कॉल पर होने का दावा करेगा। वैध व्यक्ति कई कारणों से पहचान के लिए पूछने में असफल हो सकता है, या यह दावा स्वीकार कर सकता है कि क्षति पहुंचाने वाले व्यक्ति उचित पहचान टोकन भूल गया है या खो गया है। क्षति पहुंचाने वाले व्यक्ति पहचान टोकन पेश करने की कार्रवाई को नकली भी बना सकता है।

अन्य प्रकार

साधारण विश्वास चालबाजों या धोखेबाजों को भी व्यापक अर्थों में सामाजिक इंजीनियर माना जा सकता है, जिसमें वे जानबूझकर लोगों को धोखा देते हैं और बदलाव करते हैं, व्यक्तिगत लाभ प्राप्त करने के लिए मानवीय कमजोरियों का शोषण करते हैं। उदाहरण के लिए, वे आईटी धोखाधड़ी के हिस्से के रूप में सामाजिक अभियांत्रिकी तकनीकों का उपयोग कर सकते हैं।

2000 के दशक की प्रारम्भ में, एक अन्य प्रकार की सामाजिक अभियांत्रिकी तकनीक में याहू !, जीमेल लगीं, या हॉटमेल जैसे लोकप्रिय ई-मेल आईडी वाले लोगों की स्पूफिंग या हैकिंग आईडी सम्मिलित है। इसके अतिरिक्त, स्पूफिंग के कुछ प्रयासों में पेपाल जैसे प्रमुख ऑनलाइन सेवा प्रदाताओं के ईमेल सम्मिलित थे।[23] इसने अप्रैल 2014 के प्रेषक नीति फ्रेमवर्क आरएफसी 7208 के प्रस्तावित मानक को स्पूफिंग से निपटने के साधन के रूप में डीएमएआरसी के संयोजन में प्रेरित किया। इस धोखे के लिए कई प्रेरणाओं में से हैं:

  • फ़िशिंग क्रेडिट-कार्ड खाता संख्या और उनके पासवर्ड।
  • निजी ई-मेल और चैट इतिहास को क्रैक करना, और धन उगाही करने और व्यक्तियों के बीच अविश्वास पैदा करने से पहले सामान्य संपादन तकनीकों का उपयोग करके उनमें हेरफेर करना।
  • कंपनियों या संगठनों की वेबसाइटों को क्रैक करना और उनकी प्रतिष्ठा को नष्ट करना।
  • कंप्यूटर वायरस झांसा
  • उपयोगकर्ताओं को अपने वेब खाते तक पहुंच की अनुमति देने के लिए स्व-एक्सएसएस खतरे के माध्यम से वेब ब्राउज़र के अंतर्गत दुर्भावनापूर्ण कोड चलाने के लिए राजी करना

एक अन्य प्रकार है अशिक्षित या असुरक्षित डिस्प्ले और इनपुट उपकरणों की संवेदनशील जानकारी को पढ़ना, जिसे शोल्डर सर्फिंग (कंप्यूटर सुरक्षा) कहा जाता है।

प्रतिवाद

संगठन अपने सुरक्षा जोखिमों को कम करते हैं:

कर्मचारियों को प्रशिक्षण: कर्मचारियों को उनकी स्थिति के लिए प्रासंगिक सुरक्षा प्रोटोकॉल में प्रशिक्षण देना। (उदाहरण के लिए, टेलगेटिंग जैसी स्थितियों में, यदि किसी व्यक्ति की पहचान सत्यापित नहीं की जा सकती है, तो कर्मचारियों को विनम्रतापूर्वक मना करने के लिए प्रशिक्षित किया जाना चाहिए।)

मानक ढाँचा: कर्मचारी/कार्मिक स्तर पर विश्वास के ढाँचे की स्थापना (अर्थात, कब/कहाँ/क्यों/कैसे संवेदनशील जानकारी को संस्पीयर जाना चाहिए निर्दिष्ट करें और प्रशिक्षित करें)

जानकारी की जांच करना: यह पहचानना कि कौन सी जानकारी संवेदनशील है और सामाजिक अभियांत्रिकी और सुरक्षा प्रणालियों (बिल्डिंग, कंप्यूटर सिस्टम, आदि) में खराबी के लिए इसके जोखिम का मूल्यांकन करना।

सुरक्षा प्रोटोकॉल: संवेदनशील जानकारी को संभालने के लिए सुरक्षा प्रोटोकॉल, नीतियों और प्रक्रियाओं की स्थापना करना।

इवेंट टेस्ट: सुरक्षा ढांचे के अघोषित, आवधिक परीक्षण करना।

इनोक्यूलेशन: समान या संबंधित प्रयासों के जोखिम के माध्यम से अनुनय प्रयासों के प्रति प्रतिरोध पैदा करके सामाजिक अभियांत्रिकी और अन्य धोखाधड़ी चाल या जाल को रोकना।[24] समीक्षा करें: उपरोक्त चरणों की नियमित रूप से समीक्षा करना: सूचना अखंडता का कोई समाधान सही नहीं है।[25] अपशिष्ट प्रबंधन: एक अपशिष्ट प्रबंधन सेवा का उपयोग करना जिसमें डंपस्टर हैं जिन पर ताले लगे हैं, जिनकी चाबियां केवल अपशिष्ट प्रबंधन कंपनी और सफाई कर्मचारियों तक सीमित हैं। डंपस्टर का पता लगाना या तो कर्मचारियों को देखते हुए, ताकि इसे अभिगमनकरने की कोशिश में देखे जाने या पकड़े जाने का जोखिम हो, या लॉक गेट या बाड़ के पीछे जहां व्यक्ति को डंपस्टर तक पहुंचने का प्रयास करने से पहले अतिचार करना चाहिए।[26]


सामाजिक अभियांत्रिकी का जीवनचक्र

  1. सूचना एकत्र करना: सूचना एकत्र करना जीवनचक्र का पहला और सबसे महत्वपूर्ण चरण है। इसके लिए बहुत धैर्य और शिकार की आदतों को ध्यान से देखने की आवश्यकता होती है। यह कदम पीड़ित के हितों, व्यक्तिगत जानकारी के बारे में डेटा एकत्र करता है। यह समग्र खतरे की सफलता दर निर्धारित करता है।
  2. पीड़ित के साथ जुड़ाव: आवश्यक मात्रा में जानकारी एकत्र करने के बाद, पीड़ित को कुछ भी अनुचित पाए बिना क्षति पहुंचाने वाले व्यक्ति पीड़ित के साथ आसानी से बातचीत शुरू कर देता है।
  3. अटैकिंग: यह कदम साधारण तौर पर लक्ष्य के साथ उलझने की लंबी अवधि के बाद होता है और इस दौरान सामाजिक अभियांत्रिकी का उपयोग करके लक्ष्य से जानकारी प्राप्त की जाती है। चरण में, क्षति पहुंचाने वाले व्यक्ति लक्ष्य से परिणाम प्राप्त करता है।
  4. क्लोजिंग इंटरेक्शन: यह अंतिम चरण है जिसमें पीड़ित पर कोई संदेह पैदा किए बिना क्षति पहुंचाने वाले व्यक्ति द्वारा संचार को धीरे-धीरे बंद करना सम्मिलित है। इस तरह, लक्ष्य पूरा हो जाता है और पीड़ित को शायद ही कभी पता चलता है कि हमला हुआ था।[27]


उल्लेखनीय सामाजिक इंजीनियर

फ्रैंक एग्नाले जूनियर

फ्रैंक एबगनेल।फ्रैंक अबगनले जूनियर एक अमेरिकी सुरक्षा सलाहकार हैं, जो अपनी पृष्ठभूमि के लिए एक पूर्व ठग, चेक जालसाज और पाखण्डी के रूप में जाने जाते हैं, जब वह 15 और 21 वर्ष की आयु के बीच का था। वह सबसे कुख्यात ढोंगियों में से एक बन गया,[28] एक एयरलाइन पायलट, एक चिकित्सक, यू.एस. 22 साल की उम्र से पहले अबगनले दो बार पुलिस हिरासत से भाग गया (एक बार एक टैक्सी वाले एयरलाइनर से और एक बार यू.एस. संघीय जेल से)।[29] लोकप्रिय स्टीवन स्पीलबर्ग फिल्म अगर तुम मुझे पकड़ सकते हो तो पकड़ो उनके जीवन पर आधारित है।

केविन मिटनिक

केविन मिटनिक एक अमेरिकी कंप्यूटर सुरक्षा सलाहकार, लेखक और हैकर हैं, जो अपनी हाई-प्रोफाइल 1995 की गिरफ्तारी और बाद में विभिन्न कंप्यूटर और संचार संबंधी अपराधों के लिए पांच साल की सजा के लिए जाने जाते हैं।[30]

सुसान हेडली

सुसान हेडली 1970 के दशक के अंत और 1980 के दशक की प्रारम्भ में सक्रिय एक अमेरिकी हैकर थी, जो सामाजिक अभियांत्रिकी, प्रीटेक्सटिंग और मनोवैज्ञानिक तोड़फोड़ में अपनी विशेषज्ञता के लिए व्यापक रूप से सम्मानित थी।[31] वह सैन्य कंप्यूटर सिस्टम में सेंध लगाने की अपनी विशेषता के लिए जानी जाती थी, जिसमें प्रायः सैन्य कर्मियों के साथ बिस्तर पर जाना और सोते समय उपयोगकर्ता नाम और पासवर्ड के लिए उनके कपड़ों की जांच करना सम्मिलित था।[32] वह लॉस एंजिल्स में केविन मिटनिक और लुईस डी पायने के साथ घबराहट में सम्मिलित हो गई, लेकिन बाद में गिरने के बाद यूएस लीजिंग में सिस्टम फाइलों को मिटाने के लिए उन्हें फंसाया गया, जिससे मिटनिक की पहली सजा हुई। वह पेशेवर पोकर से सेवानिवृत्त हुईं।[33]

जेम्स लिंटन

जेम्स लिंटन (हैकर) एक ब्रिटिश हैकर और सामाजिक इंजीनियर हैं, जिन्होंने 2017 में प्रमुख बैंकों के सीईओ और ट्रम्प व्हाइट हाउस प्रशासन के सदस्यों सहित ईमेल पर कई तरह के लक्ष्यों को चकमा देने के लिए OSINT और स्पीयर फ़िशिंग तकनीकों का उपयोग किया था। उसके बाद वह ईमेल सुरक्षा में काम करने के लिए गया, जहां उसने विशिष्ट खतरे की खुफिया जानकारी एकत्र करने के लिए BEC (बिजनेस ईमेल समझौता) खतरे वाले अभिनेताओं को सामाजिक रूप से इंजीनियर किया।

माइक रिडपथ

माइक रिडपथ सुरक्षा सलाहकार, प्रकाशित लेखक और वक्ता W00w00 के पिछले सदस्य सामाजिक अभियांत्रिकी शांत बुलावा के लिए तकनीक और रणनीति पर जोर देता है। अपनी बातचीत के बाद उल्लेखनीय बन गया जहां वह रिकॉर्डेड कॉल चलाएगा और फोन और अपने लाइव प्रदर्शनों के माध्यम से पासवर्ड प्राप्त करने के लिए वह क्या कर रहा था, इस पर अपनी विचार प्रक्रिया को समझाएगा।[34][35][36][37][38] एक बच्चे के रूप में रिद्पथ बदीर ब्रदर्स के साथ जुड़ा हुआ था और व्यापक रूप से लोकप्रिय भूमिगत ezines के साथ अपने लेखों के लिए फ़्रीकिंग और हैकर (कंप्यूटर सुरक्षा) समुदाय के अंतर्गत जाना जाता था, जैसे कि Oki 900s, ब्लूबॉक्सिंग प्रसारण संकेत घुसपैठ घुसपैठ और संशोधित करने पर Phrack, B4B0 और 9x। आरसीएमएसी।[39][40]

बदिर ब्रदर्स

भाई रेमी, मुज़ेर, और शादे बदीर- जो सभी जन्म से अंधे थे- 1990 के दशक में इजराइल में सामाजिक अभियांत्रिकी, आवाज प्रतिरूपण और ताज़ा करने योग्य ब्रेल डिस्प्ले दिए थे। ब्रेल-डिस्प्ले कंप्यूटर का उपयोग करके एक व्यापक फोन और कंप्यूटर धोखाधड़ी योजना स्थापित करने में कामयाब रहे।[41][42]

क्रिस्टोफर जे. हडनागी

क्रिस्टोफर जे. हडनागी एक अमेरिकी सामाजिक इंजीनियर और सूचना प्रौद्योगिकी सुरक्षा सलाहकार हैं। उन्हें सामाजिक अभियांत्रिकी और साइबर सुरक्षा पर 4 पुस्तकों के लेखक के रूप में जाना जाता है[43][44][45][46] और इनोसेंट लाइव्स फाउंडेशन के संस्थापक, एक संगठन जो सूचना सुरक्षा विशेषज्ञों की सहायता लेने, ओपन-सोर्स इंटेलिजेंस (OSINT) से डेटा का उपयोग करने और कानून प्रवर्तन के साथ सहयोग करने जैसी विभिन्न सुरक्षा तकनीकों का उपयोग करके बाल तस्करी को पता लगाने और पहचानने में मदद करता है।[47][48]

कानून

साधारण कानून में, प्रीटेक्स्टिंग गोपनीयता का आक्रमण है जो विनियोग का अपकृत्य है।[49]

टेलीफोन रिकॉर्ड के बहाने

दिसंबर 2006 में, संयुक्त राज्य कांग्रेस ने एक सीनेट प्रायोजित बिल को मंजूरी दी, जिसमें टेलीफोन रिकॉर्ड के बहाने को $250,000 तक के जुर्माने और व्यक्तियों के लिए दस साल की जेल (या कंपनियों के लिए $500,000 तक का जुर्माना) के साथ एक संघीय बना दिया गया। इस पर 12 जनवरी 2007 को राष्ट्रपति जॉर्ज डब्ल्यू बुश ने हस्ताक्षर किए थे।[50]

संघीय कानून

1999 ग्राम-लीच-ब्लीली अधिनियम जीएलबीए यू.एस. संघीय कानून संयुक्त राज्य अमेरिका की एक संघीय सरकार है, जो विशेष रूप से संघीय कानूनों के तहत दंडनीय अवैध कार्य के रूप में बैंकिंग रिकॉर्ड के बहाने को संबोधित करता है। जब एक व्यावसायिक इकाई जैसे कि एक निजी अन्वेषक, एसआईयू बीमा अन्वेषक, या एक समायोजक किसी भी प्रकार के धोखे का संचालन करता है, तो यह संघीय व्यापार आयोग (FTC) के अधिकार के अंतर्गत आता है। इस संघीय एजेंसी के पास यह सुनिश्चित करने का दायित्व और अधिकार है कि उपभोक्ता किसी भी अनुचित या भ्रामक व्यावसायिक प्रथाओं के अधीन नहीं हैं। अमेरिकी संघीय व्यापार आयोग अधिनियम, संघीय व्यापार आयोग अधिनियम की धारा 5 में कहा गया है:

जब भी आयोग के पास यह विश्वास करने का कारण होगा कि कोई भी व्यक्ति, साझेदारी, या निगम प्रतिस्पर्धा के किसी अनुचित तरीके या अनुचित या भ्रामक कार्य या व्यवहार का वाणिज्य में या प्रभावित कर रहा है, और यदि आयोग को यह प्रतीत होता है कि एक कार्यवाही उसके द्वारा उसके संबंध में जनता के हित में होगा, यह ऐसे व्यक्ति, साझेदारी, या निगम को उस संबंध में अपने आरोपों को बताते हुए एक शिकायत जारी करेगा और तामील करेगा।

क़ानून कहता है कि जब कोई वित्तीय संस्थान या उपभोक्ता से कोई व्यक्तिगत, गैर-सार्वजनिक जानकारी प्राप्त करता है, तो उनकी कार्रवाई क़ानून के अधीन होती है। यह वित्तीय संस्थान के साथ उपभोक्ता के संबंध से संबंधित है। उदाहरण के लिए, उपभोक्ता के बैंक से उपभोक्ता का पता प्राप्त करने के लिए या उपभोक्ता को अपने बैंक के नाम का खुलासा करने के लिए झूठे बहाने का उपयोग करने वाला एक बहाना कवर किया जाएगा। निर्धारित करने वाला सिद्धांत यह है कि प्रीटेक्सिंग केवल तब होती है जब झूठी प्रस्तुतियों के माध्यम से जानकारी प्राप्त की जाती है।

जबकि सेल टेलीफोन रिकॉर्ड की बिक्री ने महत्वपूर्ण मीडिया का ध्यान आकर्षित किया है, और दूरसंचार रिकॉर्ड वर्तमान में संयुक्त राज्य अमेरिका की सीनेट के समक्ष दो बिलों का फोकस हैं, सार्वजनिक बाजार में कई अन्य प्रकार के निजी रिकॉर्ड खरीदे और बेचे जा रहे हैं। सेल फोन रिकॉर्ड, वायरलाइन रिकॉर्ड और कॉलिंग कार्ड से जुड़े रिकॉर्ड के लिए कई विज्ञापनों के साथ-साथ विज्ञापित किया जाता है। जैसे-जैसे लोग वीओआईपी टेलीफोनों की ओर शिफ्ट होते हैं, यह मान लेना सुरक्षित है कि उन रिकॉर्डों को बिक्री के लिए भी पेश किया जाएगा। वर्तमान में, टेलीफोन रिकॉर्ड बेचना कानूनी है, लेकिन उन्हें प्राप्त करना अवैध है।[51]

प्रथम स्रोत सूचना विशेषज्ञ

दूरसंचार और इंटरनेट पर ऊर्जा और वाणिज्य उपसमिति के अध्यक्ष, यू.एस. प्रतिनिधि फ्रेड अप्टन (आर-कलामज़ू, मिशिगन, मिशिगन), ने ऊर्जा और वाणिज्य उपसमिति की सुनवाई के दौरान इंटरनेट पर व्यक्तिगत मोबाइल फोन रिकॉर्ड तक आसान पहुंच पर चिंता व्यक्त की। ऑन फोन रिकॉर्ड्स फॉर सेल: व्हाई आर नॉट फोन रेकॉर्ड्स फ्रॉम प्रेटेक्सटिंग? इलिनोइस एक ऑनलाइन रिकॉर्ड ब्रोकर पर मुकदमा करने वाला पहला राज्य बन गया जब अटॉर्नी जनरल लिसा मैडिगन ने फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स, इंक. पर मुकदमा दायर किया। मैडिगन के कार्यालय की एक प्रवक्ता ने कहा . सूट की एक प्रति के अनुसार, फ्लोरिडा स्थित कंपनी कई वेब साइटों का संचालन करती है जो मोबाइल टेलीफोन रिकॉर्ड बेचती हैं। फ़्लोरिडा और मिसौरी के अटॉर्नी जनरल ने जल्दी से मैडिगन के नेतृत्व का अनुसरण किया, प्रथम स्रोत सूचना विशेषज्ञों के विरुद्ध और, मिसौरी के मामले में, एक अन्य रिकॉर्ड ब्रोकर - फ़र्स्ट डेटा सॉल्यूशंस, इंक. के विरुद्ध क्रमशः मुकदमा दायर किया।

टी-मोबाइल, वेरिज़ोन,और सिंगुलर सहित कई वायरलेस प्रदाताओं ने रिकॉर्ड ब्रोकर्स के खिलाफ पहले के मुकदमे दायर किए, जिसमें सिंगुलर ने फर्स्ट डेटा सॉल्यूशंस और फर्स्ट सोर्स इंफॉर्मेशन स्पेशलिस्ट्स के खिलाफ निषेधाज्ञा जीत ली। अमेरिकी सीनेटर चार्ल्स शूमर (डी-न्यूयॉर्क) ने फरवरी 2006 में अभ्यास को रोकने के उद्देश्य से कानून पेश किया। 2006 का उपभोक्ता टेलीफोन रिकॉर्ड संरक्षण अधिनियम मोबाइल फोन, लैंडलाइन और वौइस् ओवर इंटरनेट प्रोटोकॉल (वीओआईपी) ग्राहकों के रिकॉर्ड को चोरी करने और बेचने के लिए धोखाधड़ी आपराधिक कानून दंड बनाएगा।

हेवलेट पैकार्ड

हेवलेट पैकर्ड की पूर्व अध्यक्ष पेट्रीसिया सी. डन ने बताया कि एचपी बोर्ड ने एक निजी जांच कंपनी को यह पता लगाने के लिए नियुक्त किया कि बोर्ड के अंतर्गत लीक के लिए कौन जिम्मेदार था। डन ने स्वीकार किया कि कंपनी ने बोर्ड के सदस्यों और पत्रकारों के टेलीफोन रिकॉर्ड मांगने के बहाने बहाने की प्रथा का उपयोग किया। चेयरमैन डन ने बाद में इस अधिनियम के लिए माफी मांगी और बोर्ड के सदस्यों द्वारा वांछित होने पर बोर्ड से हटने की पेशकश की।[52] संघीय कानून के विपरीत, कैलिफोर्निया कानून विशेष रूप से इस तरह के बहानेबाजी को प्रतिबंधित करता है। डन पर लगाए गए चार धोखाधड़ी के आरोपों को खारिज कर दिया गया।[53]


निवारक उपाय

कुछ सावधानियां बरतने से सामाजिक अभियांत्रिकी धोखाधड़ी का शिकार होने का जोखिम कम हो जाता है। जो सावधानियां बरती जा सकती हैं वे इस प्रकार हैं:

  • उन प्रस्तावों से अवगत रहें जो सच होने के लिए बहुत अच्छे लगते हैं।
  • बहु-कारक प्रमाणीकरण का उपयोग करें।
  • अज्ञात स्रोतों से संलग्नक पर क्लिक करने से बचें।
  • ईमेल, फोन या टेक्स्ट संदेशों के माध्यम से किसी को भी व्यक्तिगत या वित्तीय जानकारी (जैसे क्रेडिट कार्ड की जानकारी, सामाजिक सुरक्षा नंबर, या बैंक खाते की जानकारी) नहीं देना।
  • स्पैम फ़िल्टर सॉफ़्टवेयर का उपयोग।
  • ऐसे लोगों से दोस्ती करने से बचें जिन्हें आप वास्तविक जिंदगी में नहीं जानते।
  • बच्चों को किसी विश्वसनीय वयस्क से संपर्क करना सिखाएं यदि उन्हें इंटरनेट पर धमकाया जा रहा है (साइबर-धमकी) या ऑनलाइन किसी भी चीज से खतरा महसूस हो रहा है।[54]
  • तत्काल निर्णय न लें, लेकिन जब भी संभव हो 5 मिनट का समय लें प्रस्तुत की गई जानकारी का मूल्यांकन करें।

यह भी देखें

संदर्भ

  1. Anderson, Ross J. (2008). सुरक्षा इंजीनियरिंग: भरोसेमंद वितरित सिस्टम बनाने के लिए एक गाइड (2nd ed.). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17
  2. "सामाजिक इंजीनियरिंग परिभाषित". Security Through Education (in English). Retrieved 3 October 2021.
  3. Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
  4. Andersson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
  5. 5.0 5.1 5.2 Schlienger, Thomas; Teufel, Stephanie (2003). "सूचना सुरक्षा संस्कृति-विश्लेषण से परिवर्तन तक". South African Computer Journal. 31: 46–52.
  6. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  7. Kirdemir, Baris (2019). "साइबरस्पेस में शत्रुतापूर्ण प्रभाव और उभरते संज्ञानात्मक खतरे". Centre for Economics and Foreign Policy Studies. {{cite journal}}: Cite journal requires |journal= (help)
  8. Hatfield, Joseph M (June 2019). "वर्चुअस ह्यूमन हैकिंग: द एथिक्स ऑफ़ सोशल इंजीनियरिंग इन पेनेट्रेशन-टेस्टिंग". Computers & Security. 83: 354–366. doi:10.1016/j.cose.2019.02.012. S2CID 86565713.
  9. Choi, Kwan; Lee, Ju-lak; Chun, Yong-tae (1 May 2017). "वॉयस फिशिंग फ्रॉड और इसके तौर-तरीके". Security Journal (in English). 30 (2): 454–466. doi:10.1057/sj.2014.49. ISSN 0955-1662. S2CID 154080668.
  10. Austen, Ian (7 March 2005). "ईबे पर, ई-मेल फिशर्स एक अच्छी तरह से भरा हुआ तालाब ढूंढते हैं". The New York Times (in English). ISSN 0362-4331. Retrieved 1 May 2021.
  11. Steinmetz, Kevin F.; Holt, Thomas J. (5 August 2022). "सोशल इंजीनियरिंग के लिए गिरना: सोशल इंजीनियरिंग नीति अनुशंसाओं का एक गुणात्मक विश्लेषण". Social Science Computer Review (in English): 089443932211175. doi:10.1177/08944393221117501. ISSN 0894-4393. S2CID 251420893.
  12. The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Retrieved 15 August 2011 – via Scribd.
  13. "Pretexting: Your Personal Information Revealed", Federal Trade Commission
  14. Fagone, Jason (24 November 2015). "द सीरियल स्वैटर". The New York Times. Retrieved 25 November 2015.
  15. "भाला-फ़िशिंग हमलों के वास्तविक खतरे". FireEye. 2016. Retrieved 9 October 2016.
  16. "वाटरिंग होल स्टाइल अटैक में अमेरिकी रक्षा, वित्तीय सेवा कंपनियों को लक्षित करने के लिए चीनी जासूसी अभियान Forbes.com से समझौता करता है". invincea.com. 10 February 2015. Retrieved 23 February 2017.
  17. "सोशल इंजीनियरिंग, यूएसबी वे". Light Reading Inc. 7 June 2006. Archived from the original on 13 July 2006. Retrieved 23 April 2014.
  18. "संग्रहीत प्रति" (PDF). Archived from the original (PDF) on 11 October 2007. Retrieved 2 March 2012.
  19. Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). कंप्यूटर सुरक्षा के सिद्धांत, चौथा संस्करण (आधिकारिक कॉम्पटिया गाइड). New York: McGraw-Hill Education. pp. 193–194. ISBN 978-0071835978.
  20. Raywood, Dan (4 August 2016). "#भूसा ड्रॉप्ड उसब एक्सपेरिमेंट डिटेल्ड". info security. Retrieved 28 July 2017.
  21. Leyden, John (18 April 2003). "कार्यालय कर्मी पासवर्ड देते हैं". The Register. Retrieved 11 April 2012.
  22. "मीठे सौदे से पासवर्ड का पता चला". BBC News. 20 April 2004. Retrieved 11 April 2012.
  23. "ईमेल स्पूफिंग - यह क्या है, यह कैसे काम करता है और अधिक - प्रूफपॉइंट यू.एस". www.proofpoint.com (in English). 26 February 2021. Retrieved 11 October 2021.
  24. Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.
  25. Mitnick, K., & Simon, W. (2005). "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.
  26. Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.
  27. "सोशल इंजीनियरिंग - GW सूचना सुरक्षा ब्लॉग". blogs.gwu.edu. Retrieved 18 February 2020.
  28. Salinger, Lawrence M. (2005). सफेदपोश और कॉर्पोरेट अपराध का विश्वकोश (in English). SAGE. ISBN 978-0-7619-3004-4.
  29. "कैसे फ्रैंक एग्नाले आपको धोखा देगा". U.S. News. 17 December 2019. Archived from the original on 28 April 2013. Retrieved 17 December 2019.
  30. "केविन मिटनिक को क़रीब चार साल की सज़ा; कंप्यूटर हैकर ने उन पीड़ित कंपनियों को हर्जाना देने का आदेश दिया जिनके सिस्टम से समझौता किया गया था" (Press release). United States Attorney's Office, Central District of California. 9 August 1999. Archived from the original on 13 June 2013.
  31. "DEF CON III अभिलेखागार - सुसान थंडर कीनोट". DEF CON. Retrieved 12 August 2017.
  32. "सीडीएनई अध्याय 14 - महिला हैकर्स?". Archived from the original on 17 April 2001. Retrieved 6 January 2007.
  33. Hafner, Katie (August 1995). "केविन मिटनिक, अनप्लग्ड". Esquire. 124 (2): 80(9).
  34. सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन. Scorpio Net Security Services. 16 May 2013. ISBN 9789351261827. Retrieved 11 April 2012.
  35. Niekerk, Brett van. "मोबाइल उपकरण और सेना: उपयोगी उपकरण या महत्वपूर्ण खतरा". Proceedings of the 4Th Workshop on Ict Uses in Warfare and the Safeguarding of Peace 2012 (Iwsp 2012) and Journal of Information Warfare. academia.edu. Retrieved 11 May 2013.
  36. "सोशल इंजीनियरिंग: मैनिपुलेटिंग द ह्यूमन". YouTube. Retrieved 11 April 2012.
  37. "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM। सम्मेलन". Ustream.tv. 7 October 2011. Archived from the original on 4 August 2012. Retrieved 11 April 2012.
  38. "स्वचालित सामाजिक इंजीनियरिंग". BrightTALK. 29 September 2011. Retrieved 11 April 2012.
  39. "सोशल इंजीनियरिंग एक सामान्य दृष्टिकोण" (PDF). Informatica Economica journal. Retrieved 11 January 2015.
  40. "साइबर अपराध". Hays. Retrieved 11 January 2020.
  41. "वायर्ड 12.02: थ्री ब्लाइंड फ़्रेक्स". Wired. 14 June 1999. Retrieved 11 April 2012.
  42. "सोशल इंजीनियरिंग एक युवा हैकर की कहानी।" (PDF). 15 February 2013. Retrieved 13 January 2020. {{cite journal}}: Cite journal requires |journal= (help)
  43. "अब तक की 43 सर्वश्रेष्ठ सामाजिक इंजीनियरिंग पुस्तकें". BookAuthority. Retrieved 22 January 2020.
  44. \ (31 August 2018). "बेन्स बुक ऑफ द मंथ रिव्यू ऑफ सोशल इंजीनियरिंग द साइंस ऑफ ह्यूमन हैकिंग". RSA Conference. Retrieved 22 January 2020.{{cite web}}: CS1 maint: numeric names: authors list (link)
  45. "पुस्तक समीक्षा: सोशल इंजीनियरिंग: मानव हैकिंग का विज्ञान". The Ethical Hacker Network. 26 July 2018. Retrieved 22 January 2020.
  46. Hadnagy, Christopher; Fincher, Michele (22 January 2020). "फ़िशिंग डार्क वाटर्स: द ऑफ़ेंसिव एंड डिफेंसिव साइड्स ऑफ़ मैलिशियस ई-मेल्स". ISACA. Retrieved 22 January 2020.
  47. "WTVR:"Protect Your Kids from Online Threats"
  48. Larson, Selena (14 August 2017). "हैकर बाल शिकारियों को बेनकाब करने के लिए संगठन बनाता है". CNN. Retrieved 14 November 2019.
  49. Restatement 2d of Torts § 652C.
  50. "कांग्रेस ने बहानेबाजी की". 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006. 2007.
  51. Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4
  52. HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 8 September 2006 1:08 PM PDT CNET News.com
  53. "कैलिफोर्निया की अदालत ने डन के खिलाफ आरोप हटा दिए". CNET. 14 March 2007. Retrieved 11 April 2012.
  54. "सोशल इंजीनियरिंग क्या है | हमले की तकनीक और रोकथाम के तरीके | इम्पर्वा". Learning Center (in English). Retrieved 18 February 2020.


अग्रिम पठन


बाहरी संबंध