हैकिंग के टॉप 10 तरीके जो आपको पता होने चाहिए

क्या आप इस बात से चिंतित हैं कि हैकर्स कितने खतरनाक हो सकते हैं? यहाँ शीर्ष हैकिंग विधियाँ और उनसे होने वाले खतरे बताए गए हैं।

इंटरनेट प्रौद्योगिकियों के विकास से अनेक विकास और व्यावसायिक अवसर आए हैं, साथ ही साथ नई हैकिंग विधियां भी सामने आई हैं।

निजी सोशल मीडिया उपयोगकर्ताओं से लेकर छोटे व्यवसायों और बड़ी कंपनियों तक, आधुनिक हैकरों के शिकारों की श्रेणी बहुत बड़ी है।

इसलिए यह आपके हित में है कि आप वर्ल्ड वाइड वेब पर छिपे संभावित खतरों के बारे में जानकारी प्राप्त करें, साथ ही उन सुरक्षा खतरों को कम करने के लिए सही जानकारी प्राप्त करें। यह पोस्ट कुछ प्रकाश डालती है।

शीर्ष हैकिंग विधियाँ

यहां शीर्ष हैकिंग विधियां दी गई हैं:

1. सोशल इंजीनियरिंग

सोशल इंजीनियरिंग एक ऐसी प्रक्रिया है जिसमें संभावित शिकार को महत्वपूर्ण जानकारी देने या कुछ ऐसी कार्रवाई करने के लिए प्रेरित किया जाता है जिससे हमलावर को आवश्यक पहुँच मिल सके। सोशल इंजीनियरिंग के कई तरीके हैं, जैसे पीड़ित को फ़ोन पर कॉल करना और संवेदनशील जानकारी माँगना। इस विधि को कहा जाता है विशिंग और इसका प्रयोग प्रायः अनजान पीड़ितों से बैंकिंग जानकारी एकत्रित करने के लिए किया जाता है, जो यह मानते हैं कि दूसरी तरफ एक वास्तविक बैंक कर्मचारी है।

एक और लोकप्रिय तरीका है फ़िशिंग, और टेलीफोन विधि की तरह ही, इसमें प्रतिरूपण शामिल है। यहाँ, यह एक नकली बैंकिंग वेबसाइट हो सकती है जो 100% मूल बैंक की वेबसाइट जैसी दिखती है। पीड़ित को नकली साइट के लिंक के साथ एक ईमेल या टेक्स्ट प्राप्त होता है, जिसमें उसे सुरक्षा उद्देश्यों के लिए अपने विवरण को तत्काल अपडेट करने का अनुरोध किया जाता है। हालाँकि, नकली साइट पर दर्ज की गई सभी जानकारी हमलावर द्वारा कॉपी की जाती है और पीड़ित के खाते को खाली करने के लिए उपयोग की जाती है।

अन्य तरीकों में हैकर द्वारा पीड़ित से मित्रता करना और धीरे-धीरे आवश्यक जानकारी प्राप्त करना, या किसी सरकारी कर्मचारी, बॉस या सुरक्षा एजेंट जैसे अधिकारी का रूप धारण करके पीड़ित को डराकर जानकारी देने के लिए मजबूर करना शामिल है।

सोशल इंजीनियरिंग का शिकार बनने से बचने के तरीकों में अजनबियों पर भरोसा न करना, हमेशा यह सुनिश्चित करना शामिल है कि आप सही वेबसाइट पर हैं।https://” और चाहे कुछ भी हो, अपना पासवर्ड या पिन कोड कभी न बताएं।

2. छिपकर सुनना

एक और खतरनाक हैकिंग तरीका है ईव्सड्रॉपिंग। यह खतरनाक है क्योंकि इसके लिए कई तरीके हैं और हैकर द्वारा प्राप्त की जा सकने वाली जानकारी की कोई सीमा नहीं है।

उदाहरण विधियों में नेटवर्क विश्लेषक सॉफ्टवेयर जैसे नेटवर्क के पैकेट को सूँघकर जानकारी निकालना शामिल है Wiresharkदूसरा तरीका यह है कि पीड़ित के कंप्यूटर या स्मार्टफोन पर एक छोटा सा ऐप इंस्टॉल कर दिया जाए जो हर कीस्ट्रोक को रिकॉर्ड कर ले या सभी टेक्स्ट संचार को कैप्चर कर ले।

अन्य गुप्तचर विधियों में मैन-इन-द-मिडल हमले शामिल हैं जो हैकर को दो पक्षों को जानकारी रिले करने देते हैं, जबकि उन्हें लगता है कि वे सीधे संवाद कर रहे हैं। उदाहरण के लिए, GSM नेटवर्क स्वचालित रूप से सबसे मजबूत सिग्नल से जुड़ते हैं, इसलिए किसी विशेष नेटवर्क के GSM टावर को स्पूफ करके, उस क्षेत्र के सभी मोबाइल फ़ोन स्वचालित रूप से हैकर से जुड़ जाते हैं और अपनी जानकारी उसके सिस्टम से पास कर देते हैं।

ब्राउज़र और ऐप्स सर्वर के साथ संचार करते हैं सत्र। सर्वर के साथ सत्र में शामिल होने के लिए, उपयोगकर्ता को पहले लॉगिन/पासवर्ड कॉम्बो और संभवतः 2-कारक प्रमाणीकरण का उपयोग करके खुद को पहचानना होगा। जब उपयोगकर्ता की पहचान सत्यापित हो जाती है, तो सर्वर उपयोगकर्ता के ब्राउज़र के साथ एक सत्र शुरू करता है, जिसके दौरान उपयोगकर्ता के लॉग ऑफ होने तक किसी और सत्यापन की आवश्यकता नहीं होती है।

यहां एक छोटी सी समस्या यह है कि सर्वर एक संग्रहीत करेगा कुकी प्रमाणीकृत उपयोगकर्ता की मशीन पर या URL में सत्र ID जोड़कर कुछ ऐसा कहें यह उपयोगकर्ता जाने के लिए अच्छा है, आप समझ गए होंगे। लेकिन समस्या यह है कि अगर कोई हैकर उन कुकीज़ या सेशन आईडी को चुरा लेता है, तो वह उस प्रतिबंधित वातावरण तक पहुँच प्राप्त कर लेता है, जिसमें प्रवेश करने के लिए पीड़ित को प्रमाणित होना पड़ता है। फिर वह पोस्ट कर सकता है, पैसे ट्रांसफर कर सकता है, या जो भी वह चाहे कर सकता है।

अब, इसे प्राप्त करने के कई तरीके हैं:

  1. XSS या क्रॉस-साइट स्क्रिप्टिंग - इसमें पीड़ित को किसी वैध साइट के लिंक पर क्लिक करने के लिए धोखा दिया जाता है, लेकिन इसमें जावास्क्रिप्ट कोड शामिल होता है जो उस वैध साइट के लिए उसकी कुकीज़ चुरा लेता है और उन्हें हैकर की साइट पर भेज देता है।
  2. सत्र सूँघना – हैकर सत्र और कुकी जानकारी को रोकने के लिए वायरशार्क जैसे नेटवर्क स्निफर्स का उपयोग कर सकता है।
  3. सत्र निर्धारण - हमलावर पीड़ित को एक लिंक भेजता है जिसमें एक सत्र आईडी होती है। यदि पीड़ित लॉग इन करता है और सिस्टम एक नया सत्र आईडी बनाने में विफल रहता है, तो हैकर लॉग ऑन करने के लिए उसी सत्र आईडी का उपयोग कर सकता है। यहां समाधान यह है कि सिस्टम प्रत्येक लॉगिन के बाद हमेशा एक नया सत्र आईडी बनाए।
  4. सत्र दान - एक हैकर किसी वैध साइट पर लॉग इन करता है, फिर पीड़ित को सत्र डेटा के साथ एक लिंक भेजता है, जिसमें उसे जानकारी अपडेट करने के लिए कहा जाता है। पीड़ित देखेगा कि वह लॉग इन है और अगर वह यह नोटिस करने में विफल रहता है कि यह उसका खाता नहीं है, तो वह संवेदनशील जानकारी इनपुट कर सकता है, जिसे हैकर बाद में चुरा सकता है। एक समाधान यह है कि जब आप काम पूरा कर लें तो हमेशा लॉग आउट करें।

4. एक्सएसएस और सीएसआरएफ

जैसा कि पहले ही ऊपर उल्लेख किया गया है, XSS का मतलब क्रॉस-साइट स्क्रिप्टिंग है, जबकि CSRF का मतलब क्रॉस-साइट रिक्वेस्ट फ़ॉर्जरी है। आपको यहाँ ध्यान देना चाहिए कि XSS सामान्य कुकी चोरी से परे है, क्योंकि यह एक ऐसे पेज पर स्क्रिप्ट चलाने के बारे में है जिस पर पीड़ित भरोसा करता है जबकि अन्य, कम भरोसेमंद वेबसाइटों से जुड़ता है।

XSS हमले के लिए पीड़ित को लॉग इन करने, प्रमाणित होने या कोई कार्रवाई करने की आवश्यकता नहीं होती है, जो आमतौर पर स्वचालित होता है। हालाँकि, CSRF के लिए, पीड़ित को किसी विशेष वेबसाइट पर लॉग इन करना पड़ता है और इसके अलावा कोई कार्रवाई करनी पड़ती है, जैसे कि किसी बटन पर क्लिक करना।

उदाहरण के लिए, पीड़ित बॉब अपने बैंक की वेबसाइट पर लॉग इन है, तभी कुछ उसका ध्यान भटकाता है, और वह एक ऐसी वेबसाइट पर पहुंच जाता है जो एक बैंक खाता खोलने की पेशकश कर रही है। मकाऊ में मुफ्त छुट्टी, उसे बस बटन पर क्लिक करना है। हालाँकि, एक बार जब वह इसे क्लिक करता है, तो वेबसाइट उसके बैंक को धन हस्तांतरण अनुरोध भेजती है, और चूँकि उसका बैंक के साथ एक सक्रिय सत्र है, इसलिए यह हो सकता है। 

हमलावर की वेबसाइट को बस बैंक को निर्देशित करने वाला एक फॉर्म बनाना होता है, जिसमें सही फ़ील्ड हों, जैसे:

5. हॉटस्पॉट हनीपोट

क्या आपने कभी वेब एक्सेस करने के लिए फ्री वाई-फाई का इस्तेमाल किया है? उम्मीद है कि आपने खुद को सुरक्षित रखने के लिए VPN (वर्चुअल प्राइवेट नेटवर्क) का इस्तेमाल किया होगा, वरना आप हनीपोट के शिकार हो सकते थे।

यह योजना इस प्रकार है: एक हैकर एक पैकेट स्निफर के साथ एक निःशुल्क वाईफ़ाई हॉटस्पॉट स्थापित करता है, ताकि वेब पर मुफ्त में सर्फिंग करने वालों से पासवर्ड और अन्य मूल्यवान जानकारी प्राप्त कर सके। कुछ लोग तो नकली कंपनी हॉटस्पॉट भी स्थापित करते हैं, जैसे कि आप कॉफी शॉप, हवाई अड्डों और रेस्तरां में पा सकते हैं।

ऐसी हैकिंग से बचने के लिए, मुफ्त हॉटस्पॉट से दूर रहें, या यदि आपको सार्वजनिक वाईफाई का उपयोग करना है तो वीपीएन का उपयोग करें।

6. जानवर बल

ब्रूट फोर्स अटैक में पीड़ित के अकाउंट में लॉग इन करने के लिए सभी संभव यूजरनेम और पासवर्ड संयोजनों का इस्तेमाल किया जाता है। यह किसी एल्गोरिदम को क्रैक करने के लिए भी इस्तेमाल किया जा सकता है, जिसमें यथासंभव अधिक से अधिक कुंजियों का इस्तेमाल किया जाता है।

काली लिनक्सलोकप्रिय हैकर ऑपरेटिंग सिस्टम, ब्रूट फोर्स टूल्स के साथ आता है जैसे जॉन द रिपर, एनक्रैक, और हीड्रा. शब्द सूचियाँ भी हैं, जो शब्दकोश हमलों में सहायता करती हैं। इनमें शब्दकोश से सबसे लोकप्रिय पासवर्ड और शब्दों की सूची होती है, जैसे बंदर, 12345, माईसीक्रेटपासवर्ड, 00000,  और इतना पर.

क्रूर बल हमलों से बचने के तरीकों में लॉगिन पृष्ठ पर कैप्चा जोड़ना, लॉगिन प्रयासों की संख्या सीमित करना, तथा सुरक्षित पासवर्ड का उपयोग लागू करना शामिल है - 8 अक्षर या अधिक, प्रतीकों, संख्याओं, तथा बड़े और छोटे अक्षरों के संयोजन के साथ।

7. डीओएस और डीडीओएस

DoS का मतलब है सेवा से वंचित हमला, जबकि DDoS का मतलब है सेवा से वंचित करना वितरित हमला। यहाँ उद्देश्य किसी कंप्यूटर सिस्टम, जैसे कि सर्वर, को इतने सारे अनुरोधों से अभिभूत करना है, कि वह आगे के अनुरोधों को पूरा करने में असमर्थ हो जाए - ऑफ़लाइन हो जाए।

DoS एक ही मशीन से आता है और इसे पहचानना और ब्लॉक करना आसान है। दूसरी ओर DDoS कई कंप्यूटरों से आता है और यह एक बॉटनेट हो सकता है जो दुनिया भर में फैला हुआ है, अक्सर मैलवेयर से संक्रमित कंप्यूटरों से उत्पन्न होता है।

आपको ध्यान देना चाहिए कि इस सूची में मौजूद अन्य तरीकों के विपरीत, DDoS हमलों का उद्देश्य पीड़ित के कंप्यूटर पर दुर्भावनापूर्ण कोड को चुराना या निष्पादित करना नहीं है। बल्कि, इनका उपयोग व्यावसायिक सर्वरों को घेरे में रखने के लिए किया जाता है, क्योंकि ये कंपनियाँ फिरौती का भुगतान किए जाने तक अपनी सेवाएँ जारी रख सकती हैं।

DDoS हमलों से बचने का सबसे सरल तरीका एक ऐसे वेब होस्ट का उपयोग करना है जिसमें प्रस्तावित पैकेज में DDoS सुरक्षा शामिल हो।

8. लक्षित और गैर-लक्षित वेबसाइट हमले

लक्षित हमला वह हमला होता है जो विशेष रूप से पीड़ित की वेबसाइट पर लक्षित होता है, जबकि गैर-लक्षित हमला किसी वेबसाइट पर इसलिए होता है क्योंकि हमलावर किसी सामान्य सॉफ्टवेयर की कमजोरी का फायदा उठा रहा होता है।

उदाहरण के लिए, वर्डप्रेस वेबसाइटें गैर-लक्षित हमलों के लिए प्रवण हैं, खासकर वे जो पुराने, बिना अपडेट किए गए संस्करणों पर चल रही हैं। हमलावर एक शोषण की खोज करता है जो किसी विशेष प्लेटफ़ॉर्म, संस्करण या विकास ढांचे के साथ काम करता है, फिर प्लेटफ़ॉर्म का उपयोग करने वाले वेबसाइट पतों की सूची के माध्यम से शोषण चलाता है, यह देखने के लिए कि कौन से टूटते हैं।

लक्षित हमलों के लिए, हैकर पीड़ित की वेबसाइट को जानने में थोड़ा अधिक समय लगाएगा, और यह कुछ दिनों से लेकर कई महीनों तक कहीं भी हो सकता है। लक्षित हमले आमतौर पर अधिक खतरनाक होते हैं और विनाशकारी हो सकते हैं, खासकर बड़ी फर्मों के लिए।

9। एसक्यूएल इंजेक्षन

LulzSec 2011 में जब सोनी प्लेस्टेशन नेटवर्क के सर्वर में सेंध लगाई गई और 1 लाख पासवर्ड चुराए गए, तो उन्होंने इस ऑपरेशन को एक साधारण SQL इंजेक्शन हैक बताया।

SQL इंजेक्शन एक ऐसी क्रिया है जिसमें किसी वेबसाइट के अनुरोध पते में SQL भाषा निर्देश जोड़े जाते हैं, इस उम्मीद में कि प्रोग्रामर ने ऐसे संभावित हानिकारक इनपुट को साफ़ नहीं किया है। और जब SQLi काम करता है, तो हैकर अक्सर डेटाबेस तक एडमिन एक्सेस प्राप्त कर लेता है, जैसा कि सोनी के साथ हुआ था।

SQL इंजेक्शन को रोकना लोकप्रिय प्लेटफ़ॉर्म और फ़्रेमवर्क के नवीनतम संस्करणों का उपयोग करके संभव है। हालाँकि, खुद से निर्माण करने वालों को उचित इनपुट सत्यापन, तैयार कथनों के उपयोग, संग्रहीत प्रक्रियाओं और भेद्यता स्कैनिंग पर ध्यान केंद्रित करना होगा।

10. प्लगइन कमज़ोरियाँ

वर्डप्रेस जैसे लोकप्रिय प्लेटफार्मों के साथ मुख्य सुरक्षा मुद्दों के अलावा, जिन्हें अक्सर नवीनतम सॉफ्टवेयर संस्करणों में अपग्रेड करके टाला जा सकता है, दूसरी ओर, प्लगइन्स एक प्रमुख हैकिंग खतरा पैदा कर सकते हैं।

वर्डप्रेस पारिस्थितिकी तंत्र में 50,000 से अधिक प्लगइन्स हैं, और उनमें से प्रत्येक एक संभावित सुरक्षा जोखिम पैदा करता है, क्योंकि वर्तमान वर्डप्रेस हैकिंग का अधिकांश हिस्सा इन प्लगइन कमजोरियों से आता है।

हालाँकि यहाँ 100% सुरक्षा संभव नहीं है, फिर भी आप केवल उच्च रेटिंग वाले शीर्ष-गुणवत्ता वाले प्लगइन्स चुनकर प्लगइन भेद्यता के विरुद्ध वेबसाइट की सुरक्षा में सुधार कर सकते हैं। फिर नियमित रूप से कोर सिस्टम और प्लगइन अपडेट करें, और किसी भी तरह के पुराने थीम या एक्सटेंशन का उपयोग करने से बचें।

निष्कर्ष

हमने हैकर्स के शीर्ष 10 तरीकों को सूचीबद्ध किया है और आपने उनके कारणों और संभावित रोकथाम के तरीकों को देखा है। जैसा कि आपने भी निष्कर्ष निकाला होगा, हैकिंग कंप्यूटर की दुनिया का हिस्सा है, इसलिए हैकिंग के खतरों को हमेशा ध्यान में रखना चाहिए। 

हालाँकि, इन खतरों के प्रति जागरूक होकर और जहाँ आवश्यक हो, उचित सुरक्षा उपाय लागू करके, आप भी हैक होने के अपने जोखिम को काफी हद तक कम कर सकते हैं।

Nnamdi Okeke

ननमदी ओकेके

ननमदी ओकेके एक कंप्यूटर उत्साही हैं जो पुस्तकों की एक विस्तृत श्रृंखला को पढ़ना पसंद करते हैं। उसे विंडोज़/मैक पर लिनक्स के लिए प्राथमिकता है और वह उपयोग कर रहा है
अपने शुरुआती दिनों से उबंटू। आप उसे ट्विटर पर पकड़ सकते हैं बोंगोट्रैक्स

लेख: 278

तकनीकी सामान प्राप्त करें

तकनीकी रुझान, स्टार्टअप रुझान, समीक्षाएं, ऑनलाइन आय, वेब टूल और मार्केटिंग एक या दो बार मासिक

एक जवाब लिखें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड इस तरह चिह्नित हैं *