کیا ہے معاشرتی انجینرنگ? 11 مثالیں جن پر نگاہ رکھنا ہے۔ 

کی میز کے مندرجات

معاشرتی انجینرنگ

ویسے بھی سوشل انجینئرنگ کیا ہے؟

سوشل انجینئرنگ سے مراد لوگوں کو ان کی خفیہ معلومات نکالنے کے لیے جوڑ توڑ کا عمل ہے۔ مجرم جس قسم کی معلومات تلاش کرتے ہیں وہ مختلف ہو سکتی ہے۔ عام طور پر، افراد کو ان کے بینک کی تفصیلات یا ان کے اکاؤنٹ کے پاس ورڈز کے لیے نشانہ بنایا جاتا ہے۔ مجرم متاثرہ کے کمپیوٹر تک رسائی حاصل کرنے کی بھی کوشش کرتے ہیں تاکہ وہ نقصان دہ سافٹ ویئر انسٹال کریں۔ یہ سافٹ ویئر پھر ان کی مدد کرتا ہے کہ وہ کسی بھی معلومات کو نکال سکیں جس کی انہیں ضرورت ہو۔   

مجرم سوشل انجینئرنگ کے ہتھکنڈے استعمال کرتے ہیں کیونکہ کسی شخص کا اعتماد حاصل کرکے ان کا استحصال کرنا اور اسے اپنی ذاتی تفصیلات ترک کرنے پر راضی کرنا اکثر آسان ہوتا ہے۔ یہ کسی کے علم کے بغیر کسی کے کمپیوٹر میں براہ راست ہیک کرنے سے زیادہ آسان طریقہ ہے۔

سوشل انجینئرنگ کی مثالیں۔

سوشل انجینئرنگ کے مختلف طریقوں سے آگاہ ہو کر آپ اپنی بہتر حفاظت کر سکیں گے۔ 

1. بہانہ کرنا

بہانہ اس وقت استعمال کیا جاتا ہے جب مجرم کسی اہم کام کو انجام دینے کے لیے متاثرہ سے حساس معلومات تک رسائی حاصل کرنا چاہتا ہے۔ حملہ آور کئی احتیاط سے تیار کردہ جھوٹ کے ذریعے معلومات حاصل کرنے کی کوشش کرتا ہے۔  

مجرم متاثرہ کے ساتھ اعتماد قائم کرنے سے شروع ہوتا ہے۔ یہ ان کے دوستوں، ساتھیوں، بینک حکام، پولیس، یا دیگر حکام کی نقالی کرکے کیا جا سکتا ہے جو ایسی حساس معلومات طلب کر سکتے ہیں۔ حملہ آور اپنی شناخت کی تصدیق کے بہانے ان سے کئی سوالات پوچھتا ہے اور اس عمل میں ذاتی ڈیٹا اکٹھا کرتا ہے۔  

یہ طریقہ کسی شخص سے ہر قسم کی ذاتی اور سرکاری تفصیلات نکالنے کے لیے استعمال ہوتا ہے۔ اس طرح کی معلومات میں ذاتی پتے، سوشل سیکیورٹی نمبر، فون نمبر، فون ریکارڈ، بینک کی تفصیلات، عملے کی چھٹیوں کی تاریخیں، کاروبار سے متعلق سیکیورٹی معلومات وغیرہ شامل ہو سکتی ہیں۔

بہانہ سوشل انجینئرنگ

2. موڑ چوری

یہ اسکام کی ایک قسم ہے جو عام طور پر کورئیر اور ٹرانسپورٹ کمپنیوں کو نشانہ بنایا جاتا ہے۔ مجرم ٹارگٹ کمپنی کو اپنا ڈیلیوری پیکج اصل میں مطلوبہ جگہ سے مختلف ڈیلیوری مقام پر فراہم کرنے پر مجبور کرنے کی کوشش کرتا ہے۔ اس تکنیک کا استعمال قیمتی سامان چوری کرنے کے لیے کیا جاتا ہے جو ڈاک کے ذریعے پہنچایا جا رہا ہے۔  

یہ گھوٹالہ آف لائن اور آن لائن دونوں طرح سے انجام دیا جا سکتا ہے۔ پیکجوں کو لے جانے والے اہلکاروں سے رابطہ کیا جا سکتا ہے اور انہیں کسی دوسرے مقام پر ڈلیوری چھوڑنے کے لیے قائل کیا جا سکتا ہے۔ حملہ آور آن لائن ڈیلیوری سسٹم تک بھی رسائی حاصل کر سکتے ہیں۔ اس کے بعد وہ ترسیل کے شیڈول کو روک سکتے ہیں اور اس میں ردوبدل کر سکتے ہیں۔

3. فشنگ

فشنگ سوشل انجینئرنگ کی مقبول ترین شکلوں میں سے ایک ہے۔ جعل سازی کے گھوٹالوں میں ای میل اور ٹیکسٹ پیغامات شامل ہوتے ہیں جو متاثرین میں تجسس، خوف، یا عجلت کا احساس پیدا کر سکتے ہیں۔ متن یا ای میل انہیں ان لنکس پر کلک کرنے پر اکساتا ہے جو نقصان دہ ویب سائٹس یا منسلکات کی طرف لے جائیں گے جو ان کے آلات پر میلویئر انسٹال کریں گے۔  

مثال کے طور پر، ایک آن لائن سروس کے صارفین کو ایک ای میل موصول ہو سکتا ہے جس میں یہ دعوی کیا گیا ہے کہ پالیسی میں ایک تبدیلی ہوئی ہے جس کے لیے انہیں فوری طور پر اپنے پاس ورڈ تبدیل کرنے کی ضرورت ہے۔ میل میں ایک غیر قانونی ویب سائٹ کا لنک ہوگا جو اصل ویب سائٹ سے مماثل ہے۔ اس کے بعد صارف اپنے اکاؤنٹ کی اسناد کو اس ویب سائٹ میں داخل کرے گا، اسے جائز سمجھ کر۔ ان کی تفصیلات جمع کرانے پر مجرم تک معلومات تک رسائی ہو جائے گی۔

کریڈٹ کارڈ فشنگ

4. سپیئر فشنگ

یہ ایک قسم کی فشنگ اسکینڈل ہے جو کسی خاص فرد یا تنظیم کو زیادہ نشانہ بنایا جاتا ہے۔ حملہ آور اپنے پیغامات کو ملازمت کی پوزیشنوں، خصوصیات اور شکار سے متعلق معاہدوں کی بنیاد پر اپنی مرضی کے مطابق بناتا ہے، تاکہ وہ زیادہ حقیقی معلوم ہوں۔ سپیئر فشنگ کے لیے مجرم کی طرف سے زیادہ محنت درکار ہوتی ہے اور اس میں باقاعدہ فشنگ سے بہت زیادہ وقت لگ سکتا ہے۔ تاہم، ان کی شناخت کرنا مشکل ہے اور ان کی کامیابی کی شرح بہتر ہے۔  

 

مثال کے طور پر، کسی تنظیم پر سپیئر فشنگ کی کوشش کرنے والا حملہ آور فرم کے آئی ٹی کنسلٹنٹ کی نقالی کرنے والے ملازم کو ای میل بھیجے گا۔ ای میل کو اس طرح سے فریم کیا جائے گا جو بالکل اسی طرح ہے جس طرح کنسلٹنٹ کرتا ہے۔ یہ وصول کنندہ کو دھوکہ دینے کے لیے کافی مستند معلوم ہوگا۔ ای میل ملازم کو ایک بدنیتی پر مبنی ویب پیج کا لنک فراہم کرکے اپنا پاس ورڈ تبدیل کرنے کا اشارہ کرے گا جو ان کی معلومات کو ریکارڈ کرکے حملہ آور کو بھیجے گا۔

5. واٹر ہولنگ

واٹر ہولنگ اسکینڈل بھروسہ مند ویب سائٹس کا فائدہ اٹھاتا ہے جنہیں بہت سے لوگ باقاعدگی سے دیکھتے ہیں۔ مجرم لوگوں کے ٹارگٹڈ گروپ کے بارے میں معلومات اکٹھا کرے گا تاکہ اس بات کا تعین کیا جا سکے کہ وہ اکثر کن ویب سائٹس پر جاتے ہیں۔ اس کے بعد ان ویب سائٹس کو کمزوریوں کے لیے جانچا جائے گا۔ وقت کے ساتھ، اس گروپ کے ایک یا زیادہ ممبران متاثر ہو جائیں گے۔ اس کے بعد حملہ آور ان متاثرہ صارفین کے محفوظ نظام تک رسائی حاصل کر سکے گا۔  

یہ نام اس مشابہت سے آیا ہے کہ جب جانور پیاس لگتے ہیں تو اپنے قابل اعتماد مقامات پر جمع ہو کر پانی پیتے ہیں۔ وہ احتیاطی تدابیر کے بارے میں دو بار نہیں سوچتے۔ شکاریوں کو اس کا علم ہوتا ہے، اس لیے وہ قریب ہی انتظار کرتے ہیں، جب ان کا محافظ نیچے ہوتا ہے تو ان پر حملہ کرنے کے لیے تیار رہتے ہیں۔ ڈیجیٹل زمین کی تزئین میں واٹر ہولنگ کو ایک ہی وقت میں کمزور صارفین کے گروپ پر کچھ انتہائی تباہ کن حملے کرنے کے لیے استعمال کیا جا سکتا ہے۔  

6. بیت کرنا

جیسا کہ نام سے ظاہر ہے، بیٹنگ میں شکار کے تجسس یا لالچ کو متحرک کرنے کے لیے جھوٹے وعدے کا استعمال شامل ہے۔ شکار کو ایک ڈیجیٹل جال میں پھنسایا جاتا ہے جو مجرم کو ان کی ذاتی تفصیلات چوری کرنے یا ان کے سسٹم میں میلویئر انسٹال کرنے میں مدد کرے گا۔  

بیٹنگ آن لائن اور آف لائن دونوں ذرائع سے ہو سکتی ہے۔ آف لائن مثال کے طور پر، مجرم فلیش ڈرائیو کی شکل میں چارہ چھوڑ سکتا ہے جو نمایاں مقامات پر میلویئر سے متاثر ہوا ہے۔ یہ ٹارگٹڈ کمپنی کی لفٹ، باتھ روم، پارکنگ لاٹ وغیرہ ہو سکتی ہے۔ فلیش ڈرائیو اس پر مستند نظر آئے گی، جس سے شکار اسے لے جائے گا اور اسے اپنے کام یا گھر کے کمپیوٹر میں ڈال دے گا۔ فلیش ڈرائیو خود بخود سسٹم میں میلویئر برآمد کرے گی۔ 

بیٹنگ کی آن لائن شکلیں پرکشش اور دلکش اشتہارات کی شکل میں ہوسکتی ہیں جو متاثرین کو اس پر کلک کرنے کی ترغیب دیں گی۔ یہ لنک بدنیتی پر مبنی پروگرام ڈاؤن لوڈ کر سکتا ہے، جو پھر ان کے کمپیوٹر کو میلویئر سے متاثر کر دے گا۔  

کاٹنا

7. Quid Pro Quo

کوئڈ پرو کو اٹیک کا مطلب ہے "کچھ کے بدلے کچھ" حملہ۔ یہ بیٹنگ تکنیک کا ایک تغیر ہے۔ متاثرین کو فائدے کے وعدے کے ساتھ لالچ دینے کے بجائے، ایک quid pro quo حملہ سروس کا وعدہ کرتا ہے اگر کوئی خاص کارروائی عمل میں لائی گئی ہو۔ حملہ آور شکار کو رسائی یا معلومات کے بدلے جعلی فائدہ پیش کرتا ہے۔  

اس حملے کی سب سے عام شکل اس وقت ہوتی ہے جب کوئی مجرم کسی کمپنی کے آئی ٹی عملے کی نقالی کرتا ہے۔ مجرم پھر کمپنی کے ملازمین سے رابطہ کرتا ہے اور انہیں نیا سافٹ ویئر یا سسٹم اپ گریڈ کرنے کی پیشکش کرتا ہے۔ اس کے بعد ملازم سے کہا جائے گا کہ وہ اپنے اینٹی وائرس سافٹ ویئر کو غیر فعال کرے یا اگر وہ اپ گریڈ کرنا چاہتے ہیں تو نقصان دہ سافٹ ویئر انسٹال کریں۔ 

آج ہی AWS پر GoPhish مفت آزمائیں۔

8. ٹیلگیٹنگ

ٹیلگیٹنگ حملے کو پگی بیکنگ بھی کہا جاتا ہے۔ اس میں ایک ایسے محدود مقام کے اندر داخلے کے خواہاں مجرم کو شامل کیا جاتا ہے جس کے پاس تصدیق کے مناسب اقدامات نہیں ہوتے ہیں۔ مجرم کسی دوسرے شخص کے پیچھے چل کر رسائی حاصل کر سکتا ہے جسے علاقے میں داخل ہونے کا اختیار دیا گیا ہو۔  

مثال کے طور پر، مجرم ڈلیوری ڈرائیور کی نقالی کرسکتا ہے جس کے ہاتھ پیکجوں سے بھرے ہوں۔ وہ دروازے میں داخل ہونے کے لیے ایک مجاز ملازم کا انتظار کر رہا ہے۔ جعلی ڈیلیوری کرنے والا آدمی پھر ملازم سے کہتا ہے کہ وہ اس کے لیے دروازہ روکے، اس طرح اسے بغیر کسی اجازت کے رسائی کی اجازت دی جائے۔

9. ہنی ٹریپ

اس چال میں مجرم آن لائن پرکشش شخص ہونے کا بہانہ کرنا شامل ہے۔ وہ شخص ان کے اہداف سے دوستی کرتا ہے اور ان کے ساتھ ایک آن لائن تعلقات کو جعلی بناتا ہے۔ پھر مجرم اپنے متاثرین کی ذاتی تفصیلات نکالنے، ان سے رقم ادھار لینے، یا انہیں اپنے کمپیوٹر میں میلویئر انسٹال کرنے کے لیے اس تعلق کا فائدہ اٹھاتا ہے۔  

'ہنی ٹریپ' کا نام پرانے جاسوسی حربوں سے آیا ہے جہاں خواتین کو مردوں کو نشانہ بنانے کے لیے استعمال کیا جاتا تھا۔

10. بدمعاش

روگ سافٹ ویئر روگ اینٹی میلویئر، روگ سکینر، روگ سکیر ویئر، اینٹی اسپائی ویئر وغیرہ کی شکل میں ظاہر ہو سکتا ہے۔ اس قسم کا کمپیوٹر میلویئر صارفین کو ایک مصنوعی یا جعلی سافٹ ویئر کی ادائیگی میں گمراہ کرتا ہے جس نے میلویئر کو ہٹانے کا وعدہ کیا تھا۔ بدمعاش سیکورٹی سافٹ ویئر حالیہ برسوں میں ایک بڑھتی ہوئی تشویش بن گیا ہے. ایک غیر مشتبہ صارف آسانی سے ایسے سافٹ ویئر کا شکار ہو سکتا ہے، جو کہ وافر مقدار میں دستیاب ہے۔

11. میلویئر

میلویئر حملے کا مقصد شکار کو اپنے سسٹمز میں میلویئر انسٹال کرنا ہے۔ حملہ آور انسانی جذبات سے کھلواڑ کرتا ہے تاکہ شکار کو اپنے کمپیوٹر میں میلویئر کی اجازت دے۔ اس تکنیک میں فشنگ پیغامات بھیجنے کے لیے فوری پیغامات، ٹیکسٹ پیغامات، سوشل میڈیا، ای میل وغیرہ کا استعمال شامل ہے۔ یہ پیغامات شکار کو ایک ایسے لنک پر کلک کرنے کے لیے پھنساتے ہیں جو میلویئر پر مشتمل ایک ویب سائٹ کھول دے گا۔  

پیغامات کے لیے اکثر خوفناک حربے استعمال کیے جاتے ہیں۔ وہ کہہ سکتے ہیں کہ آپ کے اکاؤنٹ میں کچھ گڑبڑ ہے اور آپ کو اپنے اکاؤنٹ میں لاگ ان کرنے کے لیے فوری طور پر فراہم کردہ لنک پر کلک کرنا چاہیے۔ اس کے بعد لنک آپ کو ایک فائل ڈاؤن لوڈ کرے گا جس کے ذریعے آپ کے کمپیوٹر پر میلویئر انسٹال ہو جائے گا۔

میلویئر

آگاہ رہیں، محفوظ رہیں

اپنے آپ کو باخبر رکھنا خود کو اس سے بچانے کی طرف پہلا قدم ہے۔ سوشل انجینئرنگ کے حملے. ایک بنیادی ٹِپ یہ ہے کہ آپ کے پاس ورڈ یا مالی معلومات مانگنے والے کسی بھی پیغام کو نظر انداز کریں۔ ایسی ای میلز کو جھنڈا لگانے کے لیے آپ سپیم فلٹرز استعمال کر سکتے ہیں جو آپ کی ای میل سروسز کے ساتھ آتے ہیں۔ ایک قابل اعتماد اینٹی وائرس سافٹ ویئر حاصل کرنے سے آپ کے سسٹم کو مزید محفوظ بنانے میں بھی مدد ملے گی۔ 

آج ہی AWS پر GoPhish مفت آزمائیں۔

سروسز

ہماری کمپنی

ہمارے ایڈریس

ہیل بائٹس

9511 کوئنز گارڈ سی ٹی۔

لوریل، ایم ڈی 20723

فون: (732) 771-9995

ای میل: info@hailbytes.com

حل

سیکیورٹی کے اکثر پوچھے گئے سوالات

سوشل میڈیا