सामाजिक सञ्जालमा भुलेर पनि पोस्ट नगर्नुहोस् यस्ता सामग्री, नत्र अकाउन्ट नै ह्याक होला
असार ३०, २०८० १६:२९
काठमाडौं । आफूले दैनिक जीवनमा भोग्दै आएका कुराहरू फोटो, भिडिओ वा टेक्स्टका रूपमा सामाजिक सञ्जालमा राख्ने कुरा नौलो होइन । तर, के तपाईंलाई थाहा छ, तपाईंलाई सामान्य लागेर शेयर गरेका कुराहरूले नै तपाईंको डिभाइस, सिस्टम वा कुनै पनि सामाजिक सञ्जालका अकाउन्ट ह्याक हुन सक्छ ।
कुनै पनि व्यक्तिको सूचना सङ्कलन गर्नुपर्यो भने सामाजिक सञ्जाल उपयुक्त प्लेटफर्म हो । ह्याकरले यसैको फाइदा उठाएर सामाजिक सञ्जालबाट तपाईंका विभिन्न सूचनाहरू सङ्कलन गर्छन् । तपाईंले आफूलाई सामान्य लागेर शेयर गरेका कुनै पनि फोटो, भिडिओ वा टेक्स्टले कसरी तपाईंको सिस्टम ह्याक गर्न सक्छ भन्ने कुराको उदाहरण दिएर प्रस्ट बनाउन खोजेका छौँ:
ह्याकिङको पहिलो खुड्किलो हो- सूचना सङ्कलन
कुनै पनि सिस्टममा आक्रमण गर्नुअघि ह्याकरहरू सूचना सङ्कलनको काम गर्छन् । यो प्रक्रियाका लागि कहिले मिनेट पनि लाग्दैन भने कहिले घण्टा, दिन, महिना र वर्षौं पनि लाग्न सक्छ ।
यो समय टार्गेट (निशाना) गरिएको सिस्टमको क्षमतामा निर्भर हुन्छ । विशेषगरी उक्त सिस्टमलाई कसरी व्यवस्थित गरिएको छ, सुरक्षाका लागि के-कस्ता तरिका अपनाइएको छ भन्ने कुराले सिस्टमको क्षमता कस्तो छ भन्ने दर्शाउँछ ।
सिस्टममा टार्गेट गर्नु अथवा आक्रमण गर्न थाल्नु भनेको सिस्टममा भएको कमजोरी पत्ता लगाउनु हो । सिस्टममा भएको कमजोरी पत्ता लगाइसकेपछि आक्रमण गर्ने रणनीति बनाएर उपयुक्त समय मिलाई सिस्टममा अट्याक गर्ने गरिन्छ ।
उदाहरणका लागि मान्नुस्, 'piditketomah' युजरनेम भएको इन्स्टाग्राम प्रयोगकर्ता छ । उक्त प्रयोगकर्तासँग कुनै एउटा ईमेल अकाउन्ट पनि छ ।
त्यो ‘पीडित केटो म’ले घुम्नका लागि कतै जाने योजना बनायो र त्यसका लागि उसले प्लेन टिकेट खरिद गर्यो । घुम्न जाँदा मान्छे पक्कै पनि उत्सुक हुन्छ नै । त्यसपछि उ आफ्नो प्लेन टिकेटको फोटो खिच्छ र इन्स्टाग्राममा पोस्ट गर्छ ।
‘पीडित केटो म’ले अपलोड गरेको फोटोको टिकेटमा केही भाग देखिन्छ र केही भाग फ्रेमभन्दा बाहिर पर्छ । सूचना सङ्कलन गरिरहेको ह्याकरले उक्त पोस्ट देख्छ ।
ह्याकरले खोजेको जानकारी सबै टिकेटको फोटोबाट पाइयो भने त भइहाल्यो । तर, पाएन भने पनि उसले सो टिकेट कुन एयरलाइन्स कम्पनीको हो भन्ने कुरा पत्ता लगाउँछ । किनभने हरेक एयरलाइन्स कम्पनीकाे टिकेट भिन्नाभिन्नै हुन्छ ।
त्यसपछि ह्याकरले टिकेटमा भएको डिस्क्रिप्सन मजाले पढ्छ । यदि ‘पीडित केटो म’ले फ्लाइटको मिति र समय नै खुलाएको छ भने त ह्याकरलाई सहज भइहाल्यो । खुलाएको छैन भने पनि ह्याकरका लागि त्यो गाह्रो काम होइन । सबैभन्दा पहिले ह्याकर एयरलाइन्सको वेबसाइटमा गई फ्लाइट टाइमबारे विश्लेषण गर्छ । यहाँबाट ह्याकर टिकेटको फोटो शेयर गर्ने ‘पीडित केटो म’को फ्लाइट टाइमबारे अनुमान लगाउँछ ।
यति भइसकेपछि ह्याकर ‘पीडित केटो म’को लाई ह्याक गर्ने योजना बनाउँछ । उता पीडित केटो म भने पोस्टमा कति लाइक वा कमेन्ट आयो भन्ने हेर्दै बसिरहन्छ ।
झुक्याउन प्रयोग हुने तरिका र टुलहरू
माथि उल्लेख गरिएका सूचना पाइसकेपछि ह्याकरले सो फ्लाइट टिकेट खोज्न गुगलको सहायता लिन्छ । त्यसपछि उसले गुगल डोर्किङ प्रयोग गर्छ । यो एउटा त्यस्तो तरिका हो, जहाँबाट आफूलाई आवश्यक फाइल एक्सटेन्सन सर्च गर्न सकिन्छ ।
यो सन्दर्भमा ह्याकर ‘पीडित केटो म’को फ्लाइट कम्पनीको टिकेटको पीडिएफ फाइल खोज्छ । र, उक्त पीडिएफ फाइलमा ‘पीडित केटो म’का विवरण राख्छ । केही ह्याकरहरूले टार्गेट गरेको प्रयोगकर्तालाई सोसल इन्जिनियरिङद्वारा सोझै आक्रमण गर्छन् ।
यो सन्दर्भमा ह्याकर केही फरक गर्न खोज्छ । त्यसका लागि ह्याकर वास्तविक जस्तै देखिने ईमेल एड्रेस तयार पार्छ । त्यसपछि एडिट गरिएको पीडीएफमा मालवेयर समावेश गर्छ । र ‘पीडित केटो म’लाई ईमेल पठाउँछ । यदि ‘पीडित केटो म’ले ईमेल खोल्यो भने ह्याकरको टार्गेट पूरा हुन्छ ।
यस्तोमा ह्याकरले फ्लाइटको समय र मिति थाहा पाएको छ भने ईमेल वास्तविक जस्तै देखिने बनाउँछ । र, सामान्य व्यक्तिले त्यो ईमेल छुट्याउन सक्दैन । यदि ह्याकर आफैले सो फ्लाइट कम्पनीबाट पहिले ईमेल पाइसकेको छ भने उसले कम्पनीले कस्तो ईमेल पठाउँछ भन्ने थाहा पाएको हुन्छ । र, एचटीएमएल लेआउट र स्टाइल प्रयोग गरी नक्कली ईमेल तयार पार्छ ।
यसरी नक्कली ईमेल तयार पारिसकेपछि ह्याकरलाई कम्पनीको डोमेन नेमको ईमेल चाहिन्छ । तर, कुनै पनि कम्पनीको डोमेन नेमको ईमेल एड्रेस पाउन त्यति सम्भव हुँदैन । त्यसैले ह्याकरले फ्लाइट कम्पनीको जस्तै डोमेन भएको ईमेल एड्रेस बनाउ खोज्छ । यस्तोमा कुनै सामान्य ईमेल एड्रेसका अघि कम्पनीको नाम उल्लेख गरिएको सबडोमेन राखि ईमेल तयार पारिन्छ ।
यस्तो ईमेल एड्रेस लामो हुने भएकाले प्रयोगकर्ताले पछाडिको कम्पनीको नाम र डोमेन एक्सटेन्सन देख्दैनन् । यसरी जतिसुकै सचेत व्यक्ति भए पनि वास्तविक फ्लाइट कम्पनीले ईमेल पठाएको हो भन्ने विश्वास गर्छन् । यतिबेलासम्म ह्याकरले ईमेल पठाइसकेको हुँदैन । किनभने उनीहरूका लागि अझै एउटा प्रक्रिया बाँकी नै हुन्छ । त्यो हो ‘पीडित केटो म’को ईमेल एड्रेस ।
यसका लागि ह्याकरले फर्गेट पासवर्डको अप्सन प्रयोग गर्छ । त्यसो गर्दा ह्याकरले टार्गेट गरेको प्रयोगकर्ताको ईमेलको डोमेन नेम (@जिमेल डटकम, @टेकपाना डटकम, @फेसबुक डटकम @एक्जाम्पल डटकम) पत्ता लगाउँछ ।
यदि ‘पीडित केटो म’को ईमेल डोमेन example.com छ भने उसको ईमेल एड्रेश (p**********[email protected]) यस्तो देखिन्छ । त्यसपछि ह्याकरलाई * भएको ठाउँमा iditjketoma छ भन्ने पत्ता लगाउन केही गाह्रो हुँदैन । यसरी ‘पीडित केटो म’को इमेल एड्रेश ([email protected]) हो भन्ने कुरा पत्ता लाग्छ । यदि यसरी पत्ता लागेन भने पनि ह्याकरले गुगल डोर्किङको प्रयोग गर्छ । यसरी ह्याकरले ‘पीडित केटो म’को ईमेल एड्रेस पत्ता लगाउँछ ।
अब ‘पीडित केटो म’को तर्फबाट कस्तो देखिन्छ त ?
यता पीडित केटो म घुम्न जाने कुराले बढी नै उत्सुक हुन्छ । तर, एक्कासि फ्लाइट कम्पनीको अर्जेन्ट ईमेल आएपछि ऊ अत्तालिन्छ । फ्लाइट कम्पनीबाट आएको जस्तो देखिने ईमेलमा सबै विवरणहरू ‘पीडित केटो म’ले राखेको जस्तै देखिन्छ । त्यसपछि ऊ फ्लाइट कम्पनीबाटै आएको ईमेल हो भन्ने भ्रममा पर्छ ।
आफ्नो महत्त्वपूर्ण फ्लाइट भएकाले ‘पीडित केटो म’ उक्त ईमेल ध्यान दिएर पढ्छ । र, अन्तिममा एउटा लिङ्क राखिएको हुन्छ । जसमा थप विवरण राख्न भनिएको हुन्छ । पीडितले लिङ्कमा क्लिक गर्नासाथ ह्याकर उसको सिस्टममा प्रवेश गर्छ । र, आफूले चाहे जस्तै गरी सिस्टम नियन्त्रणमा लिन्छ ।
यसबाट के बुझ्न सकिन्छ ?
हामीमध्ये प्रायः सबै ‘पीडित केटो म’ भन्दा फरक छैनौं । त्यसैले सबै यस्तो नयाँ तरिकाको स्क्यामबाट सचेत हुनुपर्छ । हामीले सामाजिक सञ्जालमा शेयर गरेको सामान्य विवरणले सामाजिक सञ्जाल ह्याक हुने, बैंकमा जम्मा गरेको रकम रित्तिने जोखिम बढी हुन्छ ।
त्यसैले व्यक्तिगत र नितान्त आफ्नो जीवनका कुराहरू सामाजिक सञ्जालमा राख्दा ख्याल गर्नुपर्छ । आज नहोला तर ह्याकरले तपाईंको सबै सूचना सङ्कलन गरी ह्याकिङको तयारी गरिरहेका हुनसक्छन् । आफूलाई फाइदा हुने मौका छोपी उनीहरू तपाईंको डिभाइस वा अन्य सिस्टम ह्याक गर्छन् ।
पछिल्लो अध्यावधिक: असार ३०, २०८० १६:२९
