हैकिंग के टॉप 10 तरीके जो आपको पता होने चाहिए

क्या आप इस बात से चिंतित हैं कि हैकर्स कितने खतरनाक हो सकते हैं? यहां हैकिंग के शीर्ष तरीके और उनसे होने वाले खतरे हैं।
हैकर

इंटरनेट प्रौद्योगिकियों के विकास ने कई विकास और व्यावसायिक अवसरों के साथ-साथ मिलान करने के लिए नई हैकिंग विधियों को लाया है।

निजी सोशल मीडिया उपयोगकर्ताओं से लेकर छोटे व्यवसायों और बड़े निगमों तक, आधुनिक हैकर के शिकार लोगों की संख्या बहुत बड़ी है।

इसलिए यह आपके हित में है कि वर्ल्ड वाइड वेब पर संभावित खतरों का अंदाजा लगाया जाए, साथ ही उन सुरक्षा खतरों को कम करने के लिए सही जानकारी हासिल की जाए। यह पोस्ट कुछ प्रकाश डालता है।

शीर्ष हैकिंग के तरीके

यहां हैकिंग के शीर्ष तरीके दिए गए हैं:

1. सोशल इंजीनियरिंग

सोशल इंजीनियरिंग एक संभावित शिकार को महत्वपूर्ण जानकारी प्रकट करने या कुछ ऐसी कार्रवाइयां करने के लिए हेरफेर करने की प्रक्रिया है जो हमलावर को आवश्यक पहुंच प्रदान करेगी। सोशल इंजीनियरिंग से संपर्क करने के कई तरीके हैं, जैसे पीड़ित को फोन पर कॉल करना और संवेदनशील जानकारी का अनुरोध करना। इस विधि को कहा जाता है विशिंग और इसका उपयोग अक्सर ऐसे पीड़ितों से बैंकिंग जानकारी एकत्र करने के लिए किया जाता है, जो मानते हैं कि एक वास्तविक बैंक कर्मचारी दूसरे छोर पर है।

एक और लोकप्रिय तरीका है फ़िशिंग, और टेलीफोन पद्धति की तरह ही, इसमें प्रतिरूपण भी शामिल है। यहां, यह एक नकली बैंकिंग वेबसाइट हो सकती है जो मूल बैंक की वेबसाइट की तरह 100% दिखती है। पीड़ित को नकली साइट के लिंक के साथ एक ईमेल या टेक्स्ट प्राप्त होता है, जिसमें उससे सुरक्षा उद्देश्यों के लिए अपने विवरण को तत्काल अपडेट करने का अनुरोध किया जाता है। हालांकि, नकली साइट पर दर्ज की गई सभी जानकारी हमलावर द्वारा कॉपी की जाती है और पीड़ित के खाते को खाली करने के लिए उपयोग की जाती है।

अन्य तरीकों में हैकर का पीड़ित से मित्रता करना और धीरे-धीरे आवश्यक जानकारी तक पहुंच प्राप्त करना, या किसी सरकारी कर्मचारी, बॉस, या सुरक्षा एजेंट जैसे किसी प्राधिकरण व्यक्ति का प्रतिरूपण करना शामिल है ताकि पीड़ित को जानकारी प्रकट करने के लिए धमकाया जा सके।

सोशल इंजीनियरिंग का शिकार बनने से बचने के तरीकों में अजनबियों पर भरोसा न करना, हमेशा यह सुनिश्चित करना शामिल है कि आप सही वेबसाइट पर हैं, जिसमें "https://” और कभी भी अपना पासवर्ड या पिन कोड न दें, चाहे कुछ भी हो।

2. छिपकर बातें करना

हैकिंग का एक और खतरनाक तरीका है ईव्सड्रॉपिंग। यह खतरनाक है क्योंकि इसके बारे में जाने के कई तरीके हैं और हैकर द्वारा प्राप्त की जा सकने वाली जानकारी की कोई सीमा नहीं है।

उदाहरण विधियों में नेटवर्क विश्लेषक सॉफ़्टवेयर का उपयोग करके जानकारी निकालने के लिए नेटवर्क के पैकेट को सूँघना शामिल है जैसे Wireshark. दूसरा तरीका है पीड़ित के कंप्यूटर या स्मार्टफोन पर एक छोटा ऐप इंस्टॉल करना जो हर कीस्ट्रोक को लॉग करता है या सभी टेक्स्ट संचार को कैप्चर करता है।

अन्य छिपकर बातें सुनने के तरीकों में बीच-बीच में हमले शामिल हैं जो एक हैकर को दो पक्षों को जानकारी रिले करने देते हैं, जबकि उनका मानना ​​​​है कि वे सीधे संवाद कर रहे हैं। उदाहरण के लिए, जीएसएम नेटवर्क स्वचालित रूप से सबसे मजबूत सिग्नल से जुड़ते हैं, इसलिए किसी विशेष नेटवर्क के जीएसएम टावर को धोखा देकर, उस क्षेत्र के सभी मोबाइल फोन स्वचालित रूप से हैकर से जुड़ जाते हैं और अपनी जानकारी को उसके सिस्टम के माध्यम से पास कर देते हैं।

3. सत्र और कुकी अपहरण

ब्राउज़र और ऐप्स सर्वर का उपयोग करके संचार करते हैं सत्र। सर्वर के साथ सत्र में प्रवेश करने के लिए, उपयोगकर्ता को पहले लॉगिन/पासवर्ड कॉम्बो और संभवतः 2-कारक प्रमाणीकरण का उपयोग करके खुद को पहचानना होगा। जब उपयोगकर्ता की पहचान सत्यापित हो जाती है, तो सर्वर उपयोगकर्ता के ब्राउज़र के साथ एक सत्र शुरू करता है, जिसके दौरान उपयोगकर्ता के लॉग ऑफ होने तक किसी और सत्यापन की आवश्यकता नहीं होती है।

यहां एक छोटी सी समस्या यह है कि सर्वर एक स्टोर करेगा कुकी प्रमाणीकृत उपयोगकर्ता की मशीन पर या यूआरएल में सत्र आईडी जोड़ें, ऐसा कुछ कहें यह उपयोगकर्ता जाने के लिए अच्छा है, आपको बहाव मिलता है। लेकिन समस्या यह है कि, यदि कोई हैकर उन कुकीज़ या सत्र आईडी को चुरा सकता है, तो वह उस प्रतिबंधित वातावरण तक पहुंच प्राप्त कर लेता है, जिसमें पीड़ित को प्रवेश करने के लिए प्रमाणित करना होता है। फिर वह पोस्ट कर सकता है, पैसे ट्रांसफर कर सकता है, या जो कुछ भी उसे पसंद है वह कर सकता है।

अब, इसे प्राप्त करने के कई तरीके हैं:

  1. XSS या क्रॉस-साइट स्क्रिप्टिंग - इसमें पीड़ित को किसी वैध साइट के लिंक पर क्लिक करने के लिए धोखा देना शामिल है, लेकिन इसमें उस वैध साइट के लिए उसकी कुकीज़ चुराने और उन्हें हैकर की साइट पर भेजने के लिए जावास्क्रिप्ट कोड शामिल है।
  2. सत्र सूँघना - हैकर सत्र और कुकी जानकारी को इंटरसेप्ट करने के लिए Wireshark जैसे नेटवर्क स्निफ़र्स का उपयोग कर सकता है।
  3. सत्र निर्धारण - हमलावर पीड़ित को एक लिंक भेजता है जिसमें एक सत्र आईडी होता है। यदि पीड़ित लॉग इन करता है और सिस्टम एक नया सत्र आईडी बनाने में विफल रहता है, तो हैकर उसी सत्र आईडी का उपयोग लॉग ऑन करने के लिए भी कर सकता है। यहां समाधान यह है कि सिस्टम प्रत्येक लॉगिन के बाद हमेशा एक नया सत्र आईडी जेनरेट करे।
  4. सत्र दान - एक हैकर एक वैध साइट में लॉग इन करता है, फिर एक पीड़ित को सत्र डेटा के साथ एक लिंक भेजता है, जिससे उसे जानकारी अपडेट करने के लिए कहा जाता है। पीड़ित यह देखेगा कि वह लॉग इन है और यदि वह यह नोटिस करने में विफल रहता है कि यह उसका खाता नहीं है, तो वह संवेदनशील जानकारी इनपुट कर सकता है, जिसे हैकर बाद में चुरा सकता है। एक उपाय यह है कि जब आप काम पूरा कर लें तो हमेशा लॉग आउट करें।

4. एक्सएसएस और सीएसआरएफ

जैसा कि ऊपर उल्लेख किया गया है, XSS का अर्थ क्रॉस-साइट स्क्रिप्टिंग है, जबकि CSRF का अर्थ क्रॉस-साइट अनुरोध जालसाजी है। आपको यहां ध्यान देना चाहिए कि XSS सामान्य कुकी चोरी से परे है, क्योंकि यह एक पृष्ठ पर एक स्क्रिप्ट चलाने के बारे में है जिस पर पीड़ित अन्य, कम विश्वसनीय वेबसाइटों से जुड़ते समय भरोसा करता है।

एक पीड़ित को लॉग इन करने, प्रमाणित होने या XSS हमले के लिए गिरने के लिए कोई कार्रवाई करने की आवश्यकता नहीं है, जो आमतौर पर स्वचालित होता है। सीएसआरएफ के लिए, हालांकि, पीड़ित को किसी विशेष वेबसाइट पर लॉग इन करना होगा और इसके अतिरिक्त कार्रवाई करनी होगी, जैसे कि एक बटन पर क्लिक करना।

उदाहरण के लिए, विक्टिम-बॉब को अपने बैंक की वेबसाइट पर लॉग इन किया जाता है, फिर कुछ उसका ध्यान भटकाता है, और वह एक वेबसाइट पर आता है जो एक पेशकश करता है मकाऊ के लिए नि: शुल्क अवकाश, उसे बस बटन पर क्लिक करना है। एक बार जब वह इसे क्लिक करता है, तो वेबसाइट उसके बैंक को धन हस्तांतरण अनुरोध प्रस्तुत करती है, और चूंकि उसका बैंक के साथ एक सक्रिय सत्र है, इसलिए यह हो सकता है। 

सभी हमलावर की वेबसाइट को सही फ़ील्ड के साथ बैंक में निर्देशित एक फॉर्म बनाने की आवश्यकता है, जैसे:

5. हॉटस्पॉट हनीपोट

कभी वेब एक्सेस करने के लिए फ्री वाईफाई का इस्तेमाल किया? आशा है कि आपने अपनी सुरक्षा के लिए एक वीपीएन (वर्चुअल प्राइवेट नेटवर्क) का इस्तेमाल किया, वरना आप हनीपोट के शिकार हो सकते थे।

यह योजना इस प्रकार है: एक हैकर मुफ्त में वेब पर सर्फिंग करने वालों से पासवर्ड और अन्य कीमती सामानों की कटाई करने के लिए एक पैकेट स्निफर के साथ एक मुफ्त वाईफाई हॉटस्पॉट सेट करता है। कुछ ने नकली कंपनी हॉटस्पॉट भी स्थापित किए, जैसे कि आप कॉफी की दुकानों, हवाई अड्डों और रेस्तरां में पाएंगे।

ऐसे हैक्स से बचने के लिए, बस फ्री हॉटस्पॉट से दूर रहें, या अगर आपको सार्वजनिक वाईफाई का उपयोग करना है तो वीपीएन का उपयोग करें।

6. जानवर बल

एक क्रूर बल हमला सभी संभावित उपयोगकर्ता नाम और पासवर्ड संयोजनों को आजमाकर पीड़ित के खाते में लॉग इन करने का प्रयास है। यह संभव के रूप में कई कुंजियों का प्रयास करके एक एल्गोरिथ्म के टूटने का भी उल्लेख कर सकता है।

काली लिनक्सलोकप्रिय हैकर ऑपरेटिंग सिस्टम, ब्रूट फोर्स टूल्स के साथ आता है जैसे कि जॉन द रिपर, एनक्रैक, और हीड्रा. शब्द सूचियाँ भी हैं, जो शब्दकोश हमलों में सहायता करती हैं। इनमें शब्दकोश के सबसे लोकप्रिय पासवर्ड और शब्दों की सूची है, जैसे बंदर, 12345, mysecretpassword, 00000,  और इतना पर.

क्रूर बल के हमलों से बचने के तरीकों में लॉगिन पृष्ठ पर कैप्चा जोड़ना, लॉगिन प्रयासों की संख्या को सीमित करना और सुरक्षित पासवर्ड के उपयोग को लागू करना शामिल है - 8 वर्ण या अधिक, प्रतीकों, संख्याओं और ऊपरी और निचले-केस के संयोजन के साथ पत्र।

7. डॉस और डीडीओएस

डीओएस का मतलब है सेवा से वंचित हमला, जबकि DDoS का मतलब है सेवा से वंचित करना वितरित हमला। यहां उद्देश्य एक कंप्यूटर सिस्टम, जैसे सर्वर, को इतने अनुरोधों से अभिभूत करना है, कि यह आगे के अनुरोधों को पूरा करने में असमर्थ हो जाता है - ऑफ़लाइन हो जाता है।

DoS एक ही मशीन से आता है और इसका पता लगाना और ब्लॉक करना आसान है। दूसरी ओर DDoS कई कंप्यूटरों से आता है और यह एक बॉटनेट हो सकता है जो दुनिया भर में फैला हुआ है, जो अक्सर मैलवेयर से संक्रमित कंप्यूटर से उत्पन्न होता है।

आपको ध्यान देना चाहिए कि इस सूची के अधिकांश अन्य तरीकों के विपरीत, DDoS हमलों का उद्देश्य पीड़ित के कंप्यूटर पर दुर्भावनापूर्ण कोड को चुराना या निष्पादित करना नहीं है। बल्कि, उनका उपयोग व्यावसायिक सर्वरों को घेराबंदी के तहत रखने के लिए किया जाता है, क्योंकि ये कंपनियां तब तक अपनी सेवाएं जारी रख सकती हैं जब तक कि फिरौती का भुगतान नहीं किया जाता है।

DDoS हमलों से बचने का सबसे सरल तरीका एक वेब होस्ट का उपयोग करना है जिसमें प्रस्तावित पैकेज में DDoS सुरक्षा शामिल है।

8. लक्षित और गैर-लक्षित वेबसाइट हमले

एक लक्षित हमला एक ऐसा हमला है जो विशेष रूप से पीड़ित की वेबसाइट पर लक्षित होता है, जबकि एक गैर-लक्षित हमला एक वेबसाइट पर होता है क्योंकि हमलावर एक सामान्य सॉफ्टवेयर कमजोरी का फायदा उठा रहा था।

उदाहरण के लिए, वर्डप्रेस वेबसाइटें गैर-लक्षित हमलों के लिए प्रवण होती हैं, विशेष रूप से पुराने, अन-अपडेट किए गए संस्करणों पर चलने वाली। हमलावर एक ऐसे शोषण का पता लगाता है जो किसी विशेष प्लेटफ़ॉर्म, संस्करण या विकास ढांचे के साथ काम करता है, फिर प्लेटफ़ॉर्म का उपयोग करने वाले वेबसाइट पतों की एक सूची के माध्यम से शोषण चलाता है, यह देखने के लिए कि कौन से टूटते हैं।

लक्षित हमलों के लिए, हैकर पीड़ित की वेबसाइट को जानने में थोड़ा और समय व्यतीत करेगा, और यह कुछ दिनों से लेकर कई महीनों तक कहीं भी हो सकता है। लक्षित हमले आमतौर पर अधिक खतरनाक होते हैं और विशेष रूप से बड़ी फर्मों के लिए विनाशकारी हो सकते हैं।

9। एसक्यूएल इंजेक्षन

LulzSec 2011 में सोनी PlayStation नेटवर्क के सर्वर में सेंध लगाई और 1 मिलियन पासवर्ड चुरा लिए, उन्होंने ऑपरेशन को एक साधारण SQL इंजेक्शन हैक के रूप में वर्णित किया।

SQL इंजेक्शन एक वेबसाइट के अनुरोध पते में SQL भाषा निर्देशों को जोड़ने का कार्य है, इस उम्मीद में कि प्रोग्रामर ऐसे संभावित हानिकारक इनपुट को साफ नहीं करता है। और जब SQLi काम करता है, हैकर अक्सर डेटाबेस तक व्यवस्थापक पहुंच प्राप्त करता है, जैसा कि सोनी में हुआ था।

लोकप्रिय प्लेटफार्मों और ढांचे के नवीनतम संस्करणों का उपयोग करके एसक्यूएल इंजेक्शन को रोकना संभव है। हालांकि, स्वयं निर्माण करने वालों को उचित इनपुट सत्यापन, तैयार बयानों के उपयोग, संग्रहीत प्रक्रियाओं और भेद्यता स्कैनिंग पर ध्यान देना होगा।

10. प्लगइन कमजोरियाँ

वर्डप्रेस जैसे लोकप्रिय प्लेटफार्मों के साथ मुख्य सुरक्षा मुद्दों के अलावा, जिसे अक्सर नवीनतम सॉफ़्टवेयर संस्करणों में अपग्रेड करके टाला जा सकता है, दूसरी ओर, प्लगइन्स, एक बड़ा हैकिंग खतरा पैदा कर सकता है।

वर्डप्रेस इकोसिस्टम में 50,000 से अधिक प्लगइन्स हैं, और हर एक संभावित सुरक्षा जोखिम पैदा करता है, क्योंकि अधिकांश वर्तमान वर्डप्रेस हैक इन प्लगइन कमजोरियों से आते हैं।

हालांकि यहां 100% सुरक्षा संभव नहीं है, फिर भी आप केवल उच्च रेटिंग वाले उच्च-गुणवत्ता वाले प्लगइन्स को चुनकर प्लगइन भेद्यता के खिलाफ वेबसाइट की सुरक्षा में सुधार कर सकते हैं। फिर नियमित रूप से कोर सिस्टम और प्लगइन अपडेट करें, और पुरानी थीम या किसी भी प्रकार के एक्सटेंशन का उपयोग करने से बचें।

निष्कर्ष

हमने हैकर्स के शीर्ष 10 तरीकों को सूचीबद्ध किया है और आपने उनके कारणों और संभावित रोकथाम के तरीकों को देखा है। जैसा कि आपने भी निष्कर्ष निकाला होगा, हैकिंग कंप्यूटर की दुनिया का हिस्सा है, इसलिए हैक के खतरों पर हमेशा विचार किया जाना चाहिए। 

हालाँकि, इन खतरों से अवगत होने और जहाँ आवश्यक हो, सही सुरक्षा उपायों को लागू करने से, आप भी हैक होने के अपने जोखिम को काफी कम कर सकते हैं।

ननमदी ओकेके

ननमदी ओकेके

ननमदी ओकेके एक कंप्यूटर उत्साही हैं जो पुस्तकों की एक विस्तृत श्रृंखला को पढ़ना पसंद करते हैं। उसे विंडोज़/मैक पर लिनक्स के लिए प्राथमिकता है और वह उपयोग कर रहा है
अपने शुरुआती दिनों से उबंटू। आप उसे ट्विटर पर पकड़ सकते हैं बोंगोट्रैक्स

लेख: 211

तकनीकी सामान प्राप्त करें

तकनीकी रुझान, स्टार्टअप रुझान, समीक्षाएं, ऑनलाइन आय, वेब टूल और मार्केटिंग एक या दो बार मासिक

संबंधित आलेख

एक जवाब लिखें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड इस तरह चिह्नित हैं *