सावधान इन सामान्य तरीके से वेबसाइटें हैक की जाती हैं |

सभी वेबसाइट साइबर अपराधियों के लिए लोकप्रिय लक्ष्य हैं। डेटा चोरी, रिमोट एक्सेस या मैलवेयर वितरण के लिए सोशल मीडिया आउटलेट ऑनलाइन खुदरा विक्रेताओं फ़ाइल-साझाकरण सेवाओं और विभिन्न प्रकार की ऑनलाइन सेवाओं से समझौता किया जा सकता है। लेकिन यह कैसे किया जाता है? साइबर अपराधी वेबसाइटों में घुसपैठ करने के लिए किन तरीकों का इस्तेमाल करते हैं?

1. ब्रूट फ़ोर्स अटैक्स

ब्रूट फ़ोर्स हमलों में क्रिप्टोग्राफी के माध्यम से ट्रायल-एंड-एरर पद्धति का उपयोग शामिल है| जो हैकर्स को साइट में अपना रास्ता बनाने की अनुमति देता है। क्रिप्टोग्राफी डेटा को सुरक्षित रूप से संग्रहीत करने की अनुमति देती है| लेकिन इसमें कोड को हल करने की प्रक्रिया भी शामिल होती है| और यह वह तत्व है| जिस पर साइबर अपराधियों का ध्यान केंद्रित होता है। क्रिप्टोग्राफी का उपयोग करते हुए एक हैकर पासवर्ड लॉगिन क्रेडेंशियल और डिक्रिप्शन कुंजियों का अनुमान लगाने का प्रयास कर सकता है। इस पद्धति का उपयोग छिपे हुए वेब पेजों को खोजने के लिए भी किया जा सकता है।

यदि दिया गया पासवर्ड विशेष रूप से सरल है| और कमजोर है| तो हमलावर को इसे सफलतापूर्वक क्रैक करने के लिए ब्रूट फाॅर्स का उपयोग करने में केवल कुछ मिनट लग सकते हैं। यही कारण है| कि क्रैकिंग प्रक्रिया को और अधिक कठिन बनाने के लिए अधिक जटिल लॉगिन क्रेडेंशियल होना बेहतर है।

2. सोशल इंजीनियरिंग

सोशल इंजीनियरिंग एक ऐसा शब्द है| जो फ़िशिंग, प्रीटेक्स्टिंग और बैटिंग सहित साइबर हमलों की एक विस्तृत श्रृंखला तक फैला हुआ है।

फ़िशिंग साइबर अपराध का एक विशेष रूप से लोकप्रिय रूप है| जिसमें दुर्भावनापूर्ण लिंक और अटैचमेंट्स के माध्यम से डेटा की चोरी या मैलवेयर का प्रसार शामिल है। तो यह कैसे काम करता है? मान लें कि अन्नू को इंस्टाग्राम से एक ईमेल मिलता है|  जिसमें कहा गया है| कि उसे किसी महत्वपूर्ण कारण से अपने खाते में लॉग इन करना होगा | हो सकता है कि उसे रहस्यमय तरीके से साइन आउट कर दिया गया हो या उसे किसी तरह का निलंबन मिला हो। ईमेल अक्सर बताता है कि समस्या क्या है|  आमतौर पर घोटाले में तेजी लाने की तत्काल भावना के साथ।

ईमेल में अन्नू को एक लिंक प्रदान किया जाएगा | जिस पर क्लिक करने के लिए उसे लॉगिन पृष्ठ पर जाने के लिए कहा गया है। यहां वह साइन इन करने के लिए अपनी साख दर्ज कर सकती है। हालांकि यह आधिकारिक इंस्टाग्राम लॉगिन पेज नहीं है|  बल्कि एक दुर्भावनापूर्ण फ़िशिंग साइट है| जिसे अन्नू द्वारा दर्ज किए गए किसी भी डेटा को चुराने के लिए डिज़ाइन किया गया है। एक बार जब वह अपनी लॉगिन क्रेडेंशियल प्रदान करती है| तो हमलावर उनका उपयोग अपने खाते में लॉग इन करने के लिए कर सकता है| और जो चाहे कर सकता है।

फ़िशिंग घोटालों का उपयोग अक्सर वित्तीय खातों सोशल मीडिया और कॉर्पोरेट वेबसाइटों को हैक करने के लिए किया जाता है। उदाहरण के लिए हमलावर किसी दिए गए संगठन के कर्मचारी को उनके कार्य प्रमाण-पत्रों को चुराने और पेशेवर खातों तक पहुँचने के लिए लक्षित कर सकता है।

3. SQL इंजेक्शन

जैसा कि नाम से पता चलता है| SQL इंजेक्शन (SQLIs) साइबर अपराधियों को एक दुर्भावनापूर्ण SQL कमांड निष्पादित करने और निजी जानकारी वाले बैकएंड डेटाबेस से समझौता करने की अनुमति देता है। इस तरह के हमले अविश्वसनीय रूप से हानिकारक हो सकते हैं| और चिंताजनक रूप से लोकप्रिय हैं।

SQL इंजेक्शन के तीन मुख्य प्रकार हैं: ब्लाइंड, इन-बैंड और आउट-ऑफ-बैंड।

एक ब्लाइंड एसक्यूएल (Blind SQL) इंजेक्शन हमलावर को निजी डेटा तक सीधी पहुंच नहीं देता है| लेकिन सर्वर से सही और गलत सवाल पूछकर HTTP प्रतिक्रियाओं जैसे कुछ विवरणों का विश्लेषण करने की अनुमति देता है। इससे हमलावर को सर्वर की संरचना का अंदाजा हो सकता है।

इन-बैंड SQL इंजेक्शन इन तीन प्रकारों में सबसे लोकप्रिय हैं| क्योंकि इन्हें सफलतापूर्वक पूरा करना सबसे आसान है। इस तरह के हमले में खतरा कर्ता हमले को अंजाम देने और लक्षित डेटा को पुनः प्राप्त करने के लिए संचार के एक ही चैनल का उपयोग करेगा।

आउट-ऑफ़-बैंड SQL इंजेक्शन हमलों में हमलावर अपराध को लॉन्च करने और निष्पादित करने के लिए उसी चैनल का उपयोग नहीं कर सकता है। इसके बजाय सर्वर लक्षित डेटा को फिजिकल एंडपॉइंट डिवाइस पर भेजता है| जिस पर HTTPS या DNS अनुरोधों के माध्यम से हमलावर का नियंत्रण होता है।

4. की-लॉगर और स्पाइवेयर

की-लॉगर का उपयोग करके एक हमलावर संक्रमित डिवाइस या सर्वर पर किए गए सभी कीस्ट्रोक्स को लॉग कर सकता है। यह एक तरह का मॉनिटरिंग सॉफ्टवेयर प्रोग्राम है| जो डेटा चोरी में बहुत लोकप्रिय है। उदाहरण के लिए यदि कीलॉगर सक्रिय होने पर कोई अपने भुगतान कार्ड विवरण दर्ज करता है| तो दुर्भावनापूर्ण ऑपरेटर कार्ड स्वामी की अनुमति के बिना पैसे खर्च करने के लिए उस डेटा का उपयोग करने में सक्षम होगा। वेबसाइटों के संदर्भ में हमलावर एक कीलॉगर के साथ एक वेबसाइट व्यवस्थापक की निगरानी करके लॉग इन करने और एक्सेस प्राप्त करने के लिए आवश्यक क्रेडेंशियल्स को बंद करने में सक्षम हो सकता है।

कीलॉगर्स एक प्रकार के स्पाईवेयर हैं| और स्पाईवेयर खुद एडवेयर और ट्रोजन सहित कई रूपों में आ सकते हैं।

5. मैन-इन-द-मिडल अटैक

मैन-इन-द-मिडिल (MitM) हमले में एक दुर्भावनापूर्ण अभिनेता निजी सत्रों पर ध्यान देता है। हमलावर मूल्यवान डेटा तक पहुँचने के लिए खुद को एक उपयोगकर्ता और एक एप्लिकेशन के बीच रखेगा | जिसका उपयोग वे अपने लाभ के लिए कर सकते हैं। वैकल्पिक रूप से हमलावर केवल छिपकर बातें सुनने के बजाय एक वैध पक्ष होने का दिखावा कर सकता है।

क्योंकि इस इंटरसेप्टेड डेटा का एक बहुत कुछ एसएसएल या टीएलएस कनेक्शन के माध्यम से एन्क्रिप्ट किया जा सकता है| फिर हमलावर को उक्त डेटा को व्याख्या करने योग्य बनाने के लिए इस कनेक्शन को तोड़ने का तरीका खोजने की आवश्यकता होगी। यदि दुर्भावनापूर्ण अभिनेता इस डेटा को पढ़ने योग्य बनाने का प्रबंधन करता है|  तो कहें कि एसएसएल स्ट्रिपिंग के माध्यम से वे इसका उपयोग वेबसाइटों, खातों, एप्लिकेशन आदि को हैक करने के लिए कर सकते हैं।

6. रिमोट कोड एक्सेक्यूशन

रिमोट कोड एक्ज़ीक्यूशन (RCE) शब्द बहुत आत्म-व्याख्यात्मक है। इसमें सुरक्षा भेद्यता के माध्यम से दूरस्थ स्थान से दुर्भावनापूर्ण कंप्यूटर कोड का निष्पादन शामिल है। रिमोट कोड का निष्पादन एक स्थानीय नेटवर्क या इंटरनेट के माध्यम से किया जा सकता है। यह हमलावर को भौतिक पहुंच के बिना लक्षित डिवाइस में घुसपैठ करने की अनुमति देता है।

आरसीई भेद्यता (RCE vulnerability) का फायदा उठाकर एक हमलावर संवेदनशील डेटा चुरा सकता है| और विक्टिम के कंप्यूटर पर अनधिकृत कार्य कर सकता है। इस तरह के हमले के गंभीर परिणाम हो सकते हैं| यही वजह है कि आरसीई (RCE) की कमजोरियों को बहुत गंभीरता से लिया जाता है| या कम से कम होना चाहिए |

7. थर्ड-पार्टी एक्सप्लॉइट्स (Third-Party Exploits)

थर्ड-पार्टी विक्रेताओं का उपयोग दुनिया भर में हजारों कंपनियों द्वारा किया जाता है|  विशेष रूप से डिजिटल क्षेत्र में। कई एप्लिकेशन ऑनलाइन व्यवसायों के लिए थर्ड-पार्टी के रूप में काम करते हैं| चाहे वह भुगतान संसाधित करने लॉगिन प्रमाणित करने या सुरक्षा उपकरण प्रदान करने के लिए हो। लेकिन तीसरे पक्ष के विक्रेताओं का उनकी ग्राहक वेबसाइटों तक पहुँचने के लिए शोषण किया जा सकता है।

यदि किसी थर्ड-पार्टी विक्रेता के पास किसी प्रकार की सुरक्षा भेद्यता है| जैसे बग तो हमलावर उसका लाभ उठा सकते हैं। कुछ थर्ड-पार्टी एप्लिकेशन और सेवाओं में बहुत कम सुरक्षा उपाय होते हैं| जिसका अर्थ है| कि वे हैकर्स के लिए एक खुला द्वार हैं। इसके माध्यम से एक वेबसाइट का संवेदनशील डेटा पुनर्प्राप्ति के लिए हमलावर के सामने आ सकता है। यहां तक ​​कि अगर वेबसाइट उच्च अंत सुरक्षा सुविधाओं को नियोजित करती है| तो थर्ड-पार्टी के विक्रेताओं का उपयोग अभी भी एक कमजोर स्थान के रूप में कार्य कर सकता है।

हैकर्स विभिन्न तरीकों से वेबसाइटों का शोषण कर सकते हैं|

दुर्भाग्य से वेबसाइटें और खाते अभी भी हमलों के संपर्क में हैं| भले ही हम सही सुरक्षा उपायों को बनाए रखते हों। जैसे-जैसे साइबर अपराधी अपने तरीके विकसित करते हैं| वैसे-वैसे रेड फ्लैग को पकड़ना और हमले को रोकना मुश्किल हो जाता है। लेकिन साइबर अपराधियों द्वारा उपयोग की जाने वाली रणनीति के बारे में जागरूक होना और यथासंभव स्वयं को बचाने के लिए सही सुरक्षा प्रथाओं को लागू करना महत्वपूर्ण है।