संगणकीय अ-तांत्रिक प्रक्रियेचा वापर करून, लोकांना मानसशास्त्रीय पद्धतीने हाताळून त्यांची अत्यंत गोपनीय माहिती विविध प्रक्रियेद्वारे प्राप्त करण्याच्या प्रक्रियेला संगणकीय सामाजिक अभियांत्रिकी ही परिभाषा वापरतात. लोकांशी आंतरक्रिया करीत असतांना हॅकर (अवैधरित्या माहितीचा कब्जा मिळविणारा; अवैध कब्जेदार, संगणकीय माहिती तस्कर; Hacker) वापरकर्त्यास दोषभावनायुक्त कृती करण्यास लावून सुरक्षितेत चुका करतो किंवा अत्यंत गोपनीय माहिती हॅकरला देतो. अ-तांत्रिक प्रक्रियेमध्ये वापरकर्त्यास आमिष दाखवून (Baiting), भीतीदायक मजकूर पाठवून (Scareware), बहाणा करून (Pretexting), ई-मेलवर मजकूर पाठवून जाळ्यात अडकविणे (Phishing), लक्षित जाळे घालणे (Spear phishing) इत्यादींचा समावेश होतो.
सामाजिक अभियांत्रिकी ही सॉफ्टवेअर (आज्ञांकन; Software) आणि परिचालन प्रणाली (Operating system) यांना भेदण्याऐवजी मानवी चुकांवर अवलंबून असते.
हॅकस दूरध्वनीद्वारे विविध क्लृप्त्यांद्वारे वापरकर्त्याला कोणत्याही धोक्याची जाणीव नाही असे भासवून, त्याची अत्यंत गोपनीय माहिती त्यांच्या ओळख व संकेतशब्दासहित प्राप्त करून घेतो. सामाजिक अभियांत्रिकी मुख्यत: माहिती प्रणालीच्या सुरक्षितेतील कल्पना आणि प्रक्रियांतील कमतरता आणि त्याबद्दल असलेल्या कमी जागृकता याबाबींना लक्ष्य करते.
सामाजिक रचना (सोशल इंजिनिअरींग) सायबर गुन्हेगारद्वारे नियुक्त केलेल्या तंत्रज्ञानाचे एक प्रकार आहे, ज्याने संशयास्पद उपयोगकर्त्यांना त्यांच्या गोपनीय डेटा पाठविण्याकरता, मालवेयरसह त्यांचे संगणक संक्रमित करून किंवा संक्रमित साइटचे दुवे (लिंक्स) उघडण्याकरिता आरेखित केले आहे. याव्यतिरिक्त, हॅकर्स वापरकर्त्याच्या ज्ञानाच्या कमतरतेचा फायदा घेण्याचा प्रयत्न करू शकतात, कारण अनेक ग्राहक आणि कर्मचारी वैयक्तिक डेटाचे पूर्ण मूल्य लक्षात घेत नाही आणि त्यांना तो डेटाचे कसे संरक्षण करावे हे माहित नसते. ही कमकुवतता फक्त हल्ला झाल्यानंतर आढळते. यामध्येच एका हल्लामध्ये अनेक लहान हल्ले सामील असू शकतात, त्यांपैकी प्रत्येक विसंगत असू शकतो. उदा., समजा तुमच्या एका मित्राचा फेसबुक खात्याचे एका अवैध कब्जेदाराने कब्जा मिळविला आणि त्या खात्यावरून तुम्हाला एखादा संदेश येतो. ते तुमच्या मित्राचे खाते असल्यामुळे तुम्ही त्या पाठविलेल्या संदेशावर विश्वास ठेवता आणि त्या संदेशमध्ये एखादी दुवा असते त्यावरची कळ दाबतात तेव्हा मालवेअर विषाणूमुळे तुमची संगणक प्रणाली संक्रमित होते आणि यामुळे सायबर गुन्हेगार तुमच्या संगणक प्रणालीला नियंत्रित करून संगणकावरील महत्त्वाची माहिती चोरी करतो.
सामाजिक अभियांत्रिकी ही एक कला आहे, ज्यामध्ये लोकांकडून खूप चलाखीने त्यांची गोपनीय माहिती काढून घेतली जाते. परंतु संगणकावर काम करीत असतांना खालीलप्रमाणे सावधगिरी बाळगल्यास होणाऱ्या धोक्यापासून तसेच फसवणुकीपासून वाचता येते. १. संशयास्पद स्रोताकडून आलेले ई-मेल आणि जोडण्या उघडू नयेत २. बहुपर्यायी प्रमाणीकरणाचा वापर करणे. ३. संगणकावरील आकर्षक प्रलोभनापासून सावध रहा. ४. संगणकावरील अँटीव्हायरस/अँटीमालवेअर सॉफ्टवेअर अद्ययावत ठेवणे.
ई-मेल प्रमाणेच असणारे महाजालक अगदी हुबेहूब दिसते. पण त्यात काही महत्त्वाच्या गोष्टी आहेत, ज्या आपण लगेच ओळखू शकतो. सगळ्यात महत्त्वाचे म्हणजे महाजालकाचे नाव. महाजालकाचा युआरएल (URL; Uniform Resourse Locator; एकसमान स्रोत निर्धारी) अतिशय महत्त्वाचा असतो. समजा आपले फेसबुक खाते उघडे असणार, तर www.facebook.com असेच युआरएल असणार. काही वेळा ते fackbook.com किंवा facebook.ccm किंवा तत्सम काही केलेले असते. म्हणजेच अधिकृत स्पेलिंगमध्ये काहीतरी बदल करून फसवले जाते. महाजालकाच्या नावासोबतचा शिष्टाचार (प्रोटोकॉल) महत्त्वाचा असतो, http आहे की https. https हा secure म्हणजे सुरक्षित असतो आणि हिरव्या रंगात दाखवलेला दिसतो. त्यासाठी SSL सर्टिफिकेट घेतलेले असते. अनधिकृत महाजालकाच्या पृष्ठावर तसे नसते.
सामाजिक पुनर्अभियांत्रिकी (Social Re-engineering)
सामाजिक अभियांत्रिकीचा एक अतिशय अद्वितीय प्रकार आहे. सामाजिक अभियांत्रिकीमध्ये गोपनीय माहिती प्राप्त करण्यासाठी हल्लेखोर बळीकडे जातो. तर याउलट सामाजिक पुनर्अभियांत्रिकीमध्ये बळी अज्ञाताने हल्लेखोराकडे जातो.
आपल्याला असे वाटेल की, कोणी स्वतःहून आक्रमण कर्त्याकडे का जावे? त्याला माहिती का द्यावी? पण ही क्लृप्ती आक्रमण कर्त्यासाठी प्रथम एक पारंपरिक हल्ला असतो, जो पीडित व्यक्तीला विश्वास ठेवण्यास बळी पाडतात. ते असे मानतात की हल्लेखोर कायदेशीर संघटनाचा एक भाग आहे, उदा., समर्थन सेवा, जी पीडितांना मदत पुरविते. पीडितांना हे समजत नाही की, ज्या व्यक्ती त्यांना मदतीसाठी संपर्क करतात ते आक्रमणकर्त्यासारखे असतात. याउलट आक्रमणांच्या स्वरूपामुळे हे अवैध कब्जेदार पीडितांकडून सामान्य सामाजिक अभियांत्रिकी हल्ल्यांपेक्षा अधिक माहिती प्राप्त करू शकतात. आक्रमणकर्त्याकडे तात्काळ कायदेशीरपणा असतो, कारण पीडित हल्लेखोरांकडे जात असतो. त्यामुळे हे पारंपरिक सामाजिक अभियांत्रिकी हल्ल्यापासून वेगळे आहे, पारंपरिक सामाजिक अभियांत्रिकी हल्ला, ज्यामध्ये आक्रमणकर्त्यासाठी सर्वात कठीण बाब असते, ती बळीच्या मनामध्ये कायदेशीर स्पष्टता प्राप्त करणे. पर्यायाने सामाजिक पुनर्अभियांत्रिकी सोपा पर्याय आहे, परंतु ते यशस्वीरित्यापूर्ण करणे कठीण आहे.
कळीचे शब्द : #hacker, #cyberattack.
संदर्भ :
- http://www.ittoday.info/AIMS/DSM/82-10-43.pdf
- https://www.incapsula.com/web-application-security/social-engineering-attack.html
- http://ehindistudy.com/2015/11/05/what-is-social-engineering-in-hindi/
समीक्षक : अक्षय व्यंकटराव क्षीरसागर.