फिशिंग (Phishing))
फिशिंग एक प्रकार का सोशल इंजीनियरिंग अटैक है, जिसका उपयोग अक्सर युजर डेटा की चोरी करने के लिए किया जाता है, जिसमें लॉगिन क्रिडेन्शियल्स तथा क्रेडिट कार्ड नम्बर्स सम्मिलित है। यह तब होता है, जब एक अटैकर किसी ट्रस्टेड एन्टिटी के रूप में विक्टिम को ईमेल, इंस्टेन्ट मैसेज या टेक्स्ट मैसेज ओपन करने के रूप में धोखा देता है। प्राप्तकर्ता को मेलिशियस लिंक पर क्लिक करने के रूप में धोखा दिया जाता है, जो मालवेयर के इन्स्टॉलेशन का कारण बन सकता है, रेन्समवेयर अटैक के हिस्से के रूप में सिस्टम को फ्रीज किया जा सकता है या सेन्सिटिव इन्फॉर्मेशन को उजागर किया जा सकता है। अटैक के विनाशकारी परिणाम हो सकते हैं। व्यक्तियों के लिए, इसमें अनआथोराइज्ड खरीदारी, धन की चोरी या आइडेन्टिटी थेफ्ट सम्मिलित है।
इसके साथ ही, फिशिंग का उपयोग अक्सर कॉर्पोरेट या गवर्नमेनन्टल नेटवर्क में एक बड़े अटैक के हिस्से के रूप में पैर जमाने के लिए किया जाता है, जैसे कि एक एडवान्स्ड परिसिस्टेन्ट थ्रेट (API) इवेन्ट इसके बाद के सिनेरियो में, सिक्योरिटी पैरीमीटर्स को बायपास करने, एक क्लोस्ड एन्वायर्नमेन्ट में मालवेयर डिस्ट्रिब्युट करना या सिक्योर्ड डेटा को एक्सेस करने के लिए प्रिविलेज प्राप्त करने के लिए एम्प्लॉयीज से समझौता किया जाता है।
फिशिंग अटैक्स, सामान्य तौर पर मेल या अन्य इलेक्ट्रॉनिक कम्युनिकेशन मेथड्स पर निर्भर करते हैं, जिसमें सोशल नेटवर्क पर भेजे गए डायरेक्ट मैसेजेस, SMS, टेक्स्ट मैसेजेस तथा अन्य इन्स्टेन्ट मैसेजिंग मोड्स सम्मिलित हैं। फिशर्स सोशल इंजीनियरिंग तथा अन्य पब्लिक सोसेंस का उपयोग कर सकते हैं, जिसमें विक्टिम की पर्सनल तथा वर्क हिस्ट्री के बारे में बैकग्राउंड की जानकारी एकत्रित करने के लिए सोशल मीडिया नेटवर्क्स, जैसे लिंक्डइन, फेसबुक तथा ट्विटर सम्मिलित है।
प्रि-फिशिंग अटैक रिकनेसेन्स पोटेन्शल विक्टिम्स के नाम, जॉब टाइटल्स तथा ईमेल एड्रेसेस के साथ-साथ उनके कलीग्स तथा उनके आर्गेनाइजेशन्स में प्रमुख एम्प्लॉयीज की जानकारी को उजागर करता है। इस जानकारी का उपयोग विश्वसनीय ईमेल तैयार करने के लिये किया जा सकता है। टार्गेटेड अटैक्स में एडवान्स्ड पर्सिस्टेन्ट थ्रेट (APT) ग्रुप्स द्वारा किए गए अटैक सम्मिलित है, जो सामान्य तौर पर एक फिशिंग ईमेल से शुरू होते हैं, जिसमें एक मैलिशियस लिक या अटैचमेन्ट सम्मिलित होता है।
हालांकि, कई फिशिंग ईमेल्स खराब तरीके से लिखे जाते हैं और स्पष्ट रूप से फैल होते हैं। साइबर क्रिमिनल ग्रुप्स तेजी से इन्हीं टेक्निक्स का उपयोग कर रहे हैं, जिसका उपयोग प्रोफेशनल मार्केटर्स सबसे प्रभावी प्रकार के मैसेजेस की पहचान करने के लिए करते हैं। ये मैसेजेस वो फिशिंग हुक्स होते हैं, जो हाइएस्ट ओपन या क्लिक-ध्रु रेट प्राप्त करते हैं और फेसबुक पोस्ट्स पर अधिकतम लाइक्स जनरेट करते हैं। फिशिंग कैम्पेन्स अक्सर मेजर इवेन्ट्स, हॉलीडेज तथा एनिवर्सरीज या सच्ची तथा काल्पनिक दोनो तरह की ब्रेकिंग न्यूज का लाभ उठाते हैं।
सामान्य तौर पर, विक्टिम को एक मैसेज प्राप्त होता है, जो किसी जाने-पहचाने कॉन्टेक्ट या आर्गेनाइजेशन द्वारा भेजा गया प्रतीत होता है। अटैक या तो मेलिशिस फाइल अटैचमेन्ट के माध्यम से किया जाता है, जिसमें फिशिंग सॉफ्टवेयर होता है, या मेलिशियस वेबसाइट्स से कनेक्ट होने वाली लिंक के माध्यम से किया जाता है। किसी भी केस में, इसका उद्देश्य युजर की डिवाइस पर मालवेयर इन्स्टॉल करना या विक्टिम को पर्सनल तथा फाइनेन्शियल इन्फॉर्मेशन, जैसे पासवर्ड, अकाउंट ID या क्रेडिट कार्ड डिटेल्स प्रकट करने के रूप में धोखा देने के लिए इन्स्टॉल्ड मेलिशियस वेबसाइट पर निर्देशित करता है।
