Spear Phishing - स्पीयर फ़िशिंग का क्या मतलब है?

स्पीयर फ़िशिंग एक प्रकार का सोशल इंजीनियरिंग साइबर हमला है जो किसी विशिष्ट व्यक्ति या व्यक्तियों के छोटे समूह को लक्षित करता है। इस प्रकार के दुर्भावनापूर्ण शोषण का लक्ष्य पीड़ित को हमलावर की ओर से वांछित कार्रवाई करने के लिए धोखा देना है।

पीड़ित तक पहुँचने से पहले, स्पीयर फ़िशर कंपनी की वेबसाइटों और सार्वजनिक डेटाबेस, साथ ही लिंक्डइन और अन्य सोशल मीडिया प्लेटफ़ॉर्म से अपने इच्छित शिकार के बारे में जानकारी इकट्ठा करने में समय लगाता है।

शोध का उपयोग उन विवरणों को प्रदान करने के लिए किया जाता है जो हमलावर को किसी विश्वसनीय व्यक्ति या संगठन का प्रतिरूपण करने में मदद करेंगे जिससे लक्ष्य परिचित है। यह रणनीति इस संभावना को काफी हद तक बढ़ाती है कि प्राप्तकर्ता वांछित कार्रवाई करेगा।

स्पीयर फ़िशिंग बनाम फ़िशिंग

फ़िशिंग, जो साइबर अपराधियों के लिए सबसे लोकप्रिय हमले वैक्टर में से एक है, स्पीयर फ़िशिंग की तुलना में कम व्यक्तिगत है।

व्यापक जाल बिछाने और बड़ी संख्या में फ़िशिंग संदेश भेजने के बजाय, एक स्पीयर फ़िशर किसी विशिष्ट व्यक्ति या संस्था का प्रतिरूपण करेगा जिसे लक्ष्य जानता है और जिस पर भरोसा करता है और अपने लक्ष्य के सहकर्मियों, पर्यवेक्षकों या व्यावसायिक भागीदारों के नामों का उपयोग करके अपने संदेशों को वैध बना सकता है। वैयक्तिकरण का स्तर गहरा हो सकता है और हमले को अधिक विश्वसनीय बनाने के लिए हाल की घटनाओं, साझा अनुभवों, कंपनी की शब्दावली या आंतरिक परियोजनाओं का संदर्भ दे सकता है।

हमलावर द्वारा अपने पत्राचार को वैयक्तिकृत करने में किया गया अतिरिक्त प्रयास धोखाधड़ी वाले स्पीयर फ़िशिंग संदेशों को पहचानना मुश्किल बना देता है। यह भी प्राथमिक कारण है कि इस प्रकार के हमले के सामान्य फ़िशिंग कारनामों की तुलना में सांख्यिकीय रूप से तीन गुना अधिक सफल होने की संभावना है।

स्पीयर फ़िशिंग हमलों के प्रकार
स्पीयर फ़िशिंग हमलों के कई अलग-अलग प्रकार हैं। कुछ सबसे आम हमले वैक्टर में शामिल हैं:

बिजनेस ईमेल समझौता (BEC): इस प्रकार के हमले में संभावित पीड़ित को एक अत्यधिक व्यक्तिगत ईमेल भेजना शामिल है जो किसी वैध व्यावसायिक भागीदार या विक्रेता से प्रतीत होता है।

वाटरिंग होल अटैक: इस प्रकार के हमले में एक वेबसाइट को संक्रमित करना शामिल है जिसे पीड़ित अक्सर देखता है और फिर एक संदेश भेजकर उसका अनुसरण करता है जो पीड़ित को किसी वैध-लगने वाले कारण से वेबसाइट पर जाने का निर्देश देता है।

स्मिशिंग: इस प्रकार का हमला मोबाइल डिवाइस के माध्यम से पीड़ित से संपर्क करने के लिए टेक्स्ट मैसेज (SMS) का उपयोग करता है।

विशिंग: इस प्रकार का हमला पीड़ित तक पहुँचने के लिए वॉयस मैसेज का उपयोग करता है। कॉल करने वाला पीड़ित के किसी परिचित का प्रतिरूपण करने के लिए आर्टिफिशियल इंटेलिजेंस (AI) वॉयस क्लोनिंग का उपयोग कर सकता है और उसे फ़ोन पर संवेदनशील जानकारी प्रदान करने के लिए धोखा दे सकता है।

सीईओ धोखाधड़ी: इस प्रकार के हमले में, साइबर अपराधी किसी संगठन के उच्च-श्रेणी के कार्यकारी अधिकारी का रूप धारण कर लेता है, ताकि पीड़ित से कोई ऐसा काम करवाया जा सके, जिसे वे संगठन के निचले स्तर के किसी व्यक्ति के लिए करने से मना कर सकते हैं।

व्हेलिंग: इस प्रकार के स्पीयर फ़िशिंग में, हमलावर किसी संगठन की “बड़ी मछली” के पीछे जाता है। इन व्यक्तियों के पास अक्सर उच्च-स्तरीय विशेषाधिकार और गोपनीय और महत्वपूर्ण डेटा तक पहुँच होती है।