এই নিবন্ধে আমরা "সামাজিক প্রকৌশল" ধারণার দিকে মনোযোগ দেব। শব্দটির একটি সাধারণ সংজ্ঞা এখানে বিবেচনা করা হবে। এই ধারণার প্রতিষ্ঠাতা কে ছিলেন সে সম্পর্কেও আমরা জানব। আক্রমণকারীদের দ্বারা ব্যবহৃত সামাজিক প্রকৌশলের প্রধান পদ্ধতিগুলি সম্পর্কে আলাদাভাবে কথা বলা যাক৷
পরিচয়
পদ্ধতি যা আপনাকে একজন ব্যক্তির আচরণ সংশোধন করতে এবং প্রযুক্তিগত সরঞ্জামের সেট ব্যবহার না করে তার কার্যকলাপ পরিচালনা করতে দেয় সামাজিক প্রকৌশলের সাধারণ ধারণা। সমস্ত পদ্ধতি এই দাবির উপর ভিত্তি করে যে মানব ফ্যাক্টরটি যে কোনও সিস্টেমের সবচেয়ে ধ্বংসাত্মক দুর্বলতা। প্রায়শই এই ধারণাটিকে অবৈধ কার্যকলাপের স্তরে বিবেচনা করা হয়, যার মাধ্যমে অপরাধী একটি অসাধু উপায়ে বিষয়-শিকারের কাছ থেকে তথ্য পাওয়ার লক্ষ্যে একটি ক্রিয়া সম্পাদন করে। উদাহরণস্বরূপ, এটি কোনো ধরনের ম্যানিপুলেশন হতে পারে। যাইহোক, সামাজিক প্রকৌশল বৈধ কর্মকাণ্ডে মানুষ ব্যবহার করে। আজ অবধি, এটি প্রায়শই সংবেদনশীল বা সংবেদনশীল তথ্য সহ সংস্থানগুলি অ্যাক্সেস করতে ব্যবহৃত হয়৷
প্রতিষ্ঠাতা
সামাজিক প্রকৌশলের প্রতিষ্ঠাতা হলেন কেভিন মিটনিক। যাইহোক, ধারণাটি নিজেই সমাজবিজ্ঞান থেকে আমাদের কাছে এসেছে। এটি প্রয়োগকৃত সামাজিক দ্বারা ব্যবহৃত পদ্ধতির একটি সাধারণ সেট বোঝায়। বিজ্ঞান সাংগঠনিক কাঠামো পরিবর্তনের উপর দৃষ্টি নিবদ্ধ করে যা মানুষের আচরণ নির্ধারণ করতে পারে এবং এর উপর নিয়ন্ত্রণ অনুশীলন করতে পারে। কেভিন মিটনিককে এই বিজ্ঞানের প্রতিষ্ঠাতা হিসাবে বিবেচনা করা যেতে পারে, কারণ তিনিই সামাজিককে জনপ্রিয় করেছিলেন। 21 শতকের প্রথম দশকে ইঞ্জিনিয়ারিং। কেভিন নিজে আগে একজন হ্যাকার ছিলেন যিনি অবৈধভাবে বিভিন্ন ডাটাবেসে প্রবেশ করেছিলেন। তিনি যুক্তি দিয়েছিলেন যে মানব ফ্যাক্টর হল যেকোন স্তরের জটিলতা এবং সংগঠনের সিস্টেমের সবচেয়ে ঝুঁকিপূর্ণ বিন্দু৷
যদি আমরা গোপনীয় ডেটা ব্যবহার করার অধিকার (প্রায়শই অবৈধ) পাওয়ার উপায় হিসাবে সামাজিক প্রকৌশল পদ্ধতি সম্পর্কে কথা বলি, আমরা বলতে পারি যে সেগুলি দীর্ঘকাল ধরে পরিচিত। যাইহোক, কে. মিটনিকই তাদের অর্থ এবং প্রয়োগের বিশেষত্বের গুরুত্ব জানাতে সক্ষম হয়েছিলেন।
ফিশিং এবং অস্তিত্বহীন লিঙ্ক
সামাজিক প্রকৌশলের যেকোনো কৌশল জ্ঞানীয় বিকৃতির উপস্থিতির উপর ভিত্তি করে। আচরণগত ত্রুটিগুলি একজন দক্ষ প্রকৌশলীর হাতে একটি "সরঞ্জাম" হয়ে ওঠে, যারা ভবিষ্যতে গুরুত্বপূর্ণ তথ্য পাওয়ার লক্ষ্যে একটি আক্রমণ তৈরি করতে পারে। সামাজিক প্রকৌশল পদ্ধতির মধ্যে, ফিশিং এবং অস্তিত্বহীন লিঙ্কগুলিকে আলাদা করা হয়৷
ফিশিং হল একটি অনলাইন স্ক্যাম যা ব্যবহারকারীর নাম এবং পাসওয়ার্ডের মতো ব্যক্তিগত তথ্য পাওয়ার জন্য ডিজাইন করা হয়েছে৷
অবিস্তৃত লিঙ্ক - এমন একটি লিঙ্ক ব্যবহার করে যা প্রাপককে নির্দিষ্টভাবে প্রলুব্ধ করবেসুবিধাগুলি যা এটিতে ক্লিক করে এবং একটি নির্দিষ্ট সাইটে গিয়ে প্রাপ্ত করা যেতে পারে। প্রায়শই, বড় কোম্পানির নাম ব্যবহার করা হয়, তাদের নামের সাথে সূক্ষ্ম সমন্বয় করে। ভুক্তভোগী, লিঙ্কটিতে ক্লিক করার মাধ্যমে, "স্বেচ্ছায়" আক্রমণকারীর কাছে তাদের ব্যক্তিগত তথ্য স্থানান্তর করবে৷
ব্র্যান্ড, ত্রুটিপূর্ণ অ্যান্টিভাইরাস এবং একটি জাল লটারি ব্যবহার করার পদ্ধতি
সোশ্যাল ইঞ্জিনিয়ারিং ব্র্যান্ড নাম স্ক্যাম, ত্রুটিপূর্ণ অ্যান্টিভাইরাস এবং জাল লটারিও ব্যবহার করে৷
"জালিয়াতি এবং ব্র্যান্ডস" - প্রতারণার একটি পদ্ধতি, যা ফিশিং বিভাগেরও অন্তর্ভুক্ত৷ এর মধ্যে এমন ইমেল এবং ওয়েবসাইটগুলি অন্তর্ভুক্ত রয়েছে যেখানে একটি বড় এবং/অথবা "হাইপড" কোম্পানির নাম রয়েছে৷ একটি নির্দিষ্ট প্রতিযোগিতায় বিজয়ের বিজ্ঞপ্তি সহ তাদের পেজ থেকে বার্তা পাঠানো হয়। এর পরে, আপনাকে গুরুত্বপূর্ণ অ্যাকাউন্ট তথ্য প্রবেশ করতে হবে এবং এটি চুরি করতে হবে। এছাড়াও, এই ধরনের প্রতারণা ফোনের মাধ্যমে করা যেতে পারে।
জাল লটারি - এমন একটি পদ্ধতি যাতে শিকারের কাছে একটি বার্তা পাঠানো হয় যাতে তিনি (ক) লটারি জিতেছেন। প্রায়শই, সতর্কতাটি বড় কর্পোরেশনের নাম ব্যবহার করে মুখোশ দেওয়া হয়৷
নকল অ্যান্টিভাইরাস হল সফ্টওয়্যার স্ক্যাম৷ এটি অ্যান্টিভাইরাসের মতো দেখতে প্রোগ্রাম ব্যবহার করে। যাইহোক, বাস্তবে, তারা একটি নির্দিষ্ট হুমকি সম্পর্কে মিথ্যা বিজ্ঞপ্তি তৈরি করে। তারা ব্যবহারকারীদের লেনদেনের ক্ষেত্রে প্রলুব্ধ করার চেষ্টা করে৷
ভিশিং, ফ্র্যাকিং এবং ভান করা
নতুনদের জন্য সোশ্যাল ইঞ্জিনিয়ারিং সম্পর্কে কথা বলার সময়, আমাদের ভিশিং, ফ্রেকিং এবং ছলনা করার কথাও বলা উচিত।
ভিশিং হল এক প্রকার প্রতারণা যা টেলিফোন নেটওয়ার্ক ব্যবহার করে। এটি পূর্ব-রেকর্ড করা ভয়েস মেসেজ ব্যবহার করে, যার উদ্দেশ্য হল ব্যাঙ্কিং স্ট্রাকচার বা অন্য কোন IVR সিস্টেমের "অফিসিয়াল কল" পুনরায় তৈরি করা। প্রায়শই, কোন তথ্য নিশ্চিত করার জন্য তাদের একটি ব্যবহারকারীর নাম এবং / অথবা পাসওয়ার্ড লিখতে বলা হয়। অন্য কথায়, সিস্টেমের জন্য পিন কোড বা পাসওয়ার্ড ব্যবহার করে ব্যবহারকারীর দ্বারা প্রমাণীকরণ প্রয়োজন।
ফ্রেকিং হল ফোন কেলেঙ্কারির আরেকটি রূপ। এটি একটি হ্যাকিং সিস্টেম যা সাউন্ড ম্যানিপুলেশন এবং টোন ডায়ালিং ব্যবহার করে৷
অভিজ্ঞতা হল একটি পূর্বপরিকল্পিত পরিকল্পনা ব্যবহার করে আক্রমণ, যার সারমর্ম হল অন্য বিষয়কে উপস্থাপন করা। প্রতারণা করার একটি অত্যন্ত কঠিন উপায়, কারণ এর জন্য সতর্ক প্রস্তুতির প্রয়োজন৷
কুইড প্রো কো এবং রোড অ্যাপল পদ্ধতি
সোশ্যাল ইঞ্জিনিয়ারিং তত্ত্ব হল একটি বহুমুখী ডাটাবেস যাতে প্রতারণা এবং ম্যানিপুলেশন উভয় পদ্ধতির পাশাপাশি তাদের সাথে মোকাবিলা করার উপায় রয়েছে। অনুপ্রবেশকারীদের প্রধান কাজ, একটি নিয়ম হিসাবে, মূল্যবান তথ্য বের করা।
অন্যান্য ধরনের স্ক্যামের মধ্যে রয়েছে: quid pro quo, রোড অ্যাপল, শোল্ডার সার্ফিং, ওপেন সোর্স এবং রিভার্স সোশ্যাল মিডিয়া। প্রকৌশল।
Quid-pro-quo (ল্যাটিন থেকে - "এর জন্য") - একটি কোম্পানী বা ফার্ম থেকে তথ্য বের করার একটি প্রচেষ্টা। এটি ফোনে তার সাথে যোগাযোগ করে বা ই-মেইলে বার্তা পাঠানোর মাধ্যমে ঘটে। প্রায়শই, আক্রমণকারীকর্মচারী হওয়ার ভান করা। সমর্থন, যা কর্মচারীর কর্মক্ষেত্রে একটি নির্দিষ্ট সমস্যার উপস্থিতি রিপোর্ট করে। তারপরে তারা এটি ঠিক করার উপায়গুলি সুপারিশ করে, উদাহরণস্বরূপ সফ্টওয়্যার ইনস্টল করে৷ সফ্টওয়্যারটি ত্রুটিপূর্ণ বলে প্রমাণিত হয় এবং অপরাধকে প্রচার করে৷
The Road Apple হল একটি আক্রমণ পদ্ধতি যা একটি ট্রোজান ঘোড়ার ধারণার উপর ভিত্তি করে তৈরি। এর সারমর্ম একটি ভৌত মাধ্যম ব্যবহার এবং তথ্যের প্রতিস্থাপনের মধ্যে রয়েছে। উদাহরণস্বরূপ, তারা একটি নির্দিষ্ট "ভাল" সহ একটি মেমরি কার্ড সরবরাহ করতে পারে যা শিকারের দৃষ্টি আকর্ষণ করবে, ফাইলটি খুলতে এবং ব্যবহার করার ইচ্ছা সৃষ্টি করবে বা ফ্ল্যাশ ড্রাইভের নথিতে নির্দেশিত লিঙ্কগুলি অনুসরণ করবে। "রোড অ্যাপল" অবজেক্টটি সামাজিক জায়গায় ফেলে দেওয়া হয় এবং অনুপ্রবেশকারীর পরিকল্পনা কিছু বিষয় দ্বারা বাস্তবায়িত না হওয়া পর্যন্ত অপেক্ষা করা হয়৷
উন্মুক্ত উত্স থেকে তথ্য সংগ্রহ করা এবং অনুসন্ধান করা হল একটি কেলেঙ্কারী যেখানে ডেটা অধিগ্রহণ করা হয় মনোবিজ্ঞানের পদ্ধতি, সামান্য জিনিস লক্ষ্য করার ক্ষমতা এবং উপলব্ধ ডেটা বিশ্লেষণের উপর ভিত্তি করে, উদাহরণস্বরূপ, একটি সামাজিক নেটওয়ার্কের পৃষ্ঠাগুলি। এটি সামাজিক প্রকৌশলের একটি মোটামুটি নতুন উপায়৷
শোল্ডার সার্ফিং এবং রিভার্স সোশ্যাল। প্রকৌশল
"শোল্ডার সার্ফিং" ধারণাটি আক্ষরিক অর্থে একটি বিষয়কে লাইভ দেখা হিসাবে নিজেকে সংজ্ঞায়িত করে। এই ধরনের ডেটা ফিশিংয়ের মাধ্যমে, আক্রমণকারী সর্বজনীন স্থানে যায়, যেমন একটি ক্যাফে, বিমানবন্দর, ট্রেন স্টেশন এবং লোকেদের অনুসরণ করে৷
এই পদ্ধতিটিকে অবমূল্যায়ন করবেন না, কারণ অনেক সমীক্ষা এবং গবেষণা দেখায় যে একজন মনোযোগী ব্যক্তি অনেক গোপনীয়তা পেতে পারেনশুধুমাত্র পর্যবেক্ষণের মাধ্যমে তথ্য।
সোশ্যাল ইঞ্জিনিয়ারিং (সমাজতাত্ত্বিক জ্ঞানের স্তর হিসাবে) ডেটা "ক্যাপচার" করার একটি মাধ্যম। ডেটা পাওয়ার উপায় রয়েছে যেখানে শিকার নিজেই আক্রমণকারীকে প্রয়োজনীয় তথ্য সরবরাহ করবে। তবে, এটি সমাজের মঙ্গলও করতে পারে৷
উল্টো সামাজিক প্রকৌশল এই বিজ্ঞানের আরেকটি পদ্ধতি। আমরা উপরে যে ক্ষেত্রে উল্লেখ করেছি সেই ক্ষেত্রে এই শব্দটির ব্যবহার উপযুক্ত হয়ে ওঠে: শিকার নিজেই আক্রমণকারীকে প্রয়োজনীয় তথ্য সরবরাহ করবে। এই বক্তব্যটিকে অযৌক্তিক হিসাবে নেওয়া উচিত নয়। আসল বিষয়টি হল যে কার্যকলাপের নির্দিষ্ট ক্ষেত্রগুলিতে কর্তৃপক্ষের অধিকারী বিষয়গুলি প্রায়শই বিষয়ের নিজস্ব সিদ্ধান্তে সনাক্তকরণ ডেটাতে অ্যাক্সেস পায়। এখানে ভিত্তি হল আস্থা।
মনে রাখা গুরুত্বপূর্ণ! সহায়তা কর্মীরা কখনই ব্যবহারকারীর কাছে পাসওয়ার্ড চাইবেন না, উদাহরণস্বরূপ।
তথ্য এবং সুরক্ষা
সামাজিক প্রকৌশল প্রশিক্ষণ ব্যক্তিগত উদ্যোগের ভিত্তিতে বা বিশেষ প্রশিক্ষণ কর্মসূচিতে ব্যবহৃত সুবিধার ভিত্তিতে ব্যক্তি দ্বারা করা যেতে পারে৷
অপরাধীরা বিভিন্ন ধরনের প্রতারণা ব্যবহার করতে পারে, যার মধ্যে হেরফের থেকে শুরু করে অলসতা, নির্বোধতা, ব্যবহারকারীর সৌজন্য ইত্যাদি। শিকারের অভাবের কারণে এই ধরনের আক্রমণ থেকে নিজেকে রক্ষা করা অত্যন্ত কঠিন। সচেতনতা যে তিনি) প্রতারণা করেছেন। বিপদের এই স্তরে তাদের ডেটা রক্ষার জন্য বিভিন্ন সংস্থা এবং সংস্থাগুলি প্রায়শই সাধারণ তথ্যের মূল্যায়নে নিযুক্ত থাকে। পরবর্তী পদক্ষেপটি প্রয়োজনীয় সংহত করানিরাপত্তা নীতির সুরক্ষা।
উদাহরণ
গ্লোবাল ফিশিং মেলিং এর ক্ষেত্রে সোশ্যাল ইঞ্জিনিয়ারিং (এর কাজ) এর একটি উদাহরণ হল একটি ঘটনা যা 2003 সালে ঘটেছিল৷ এই স্ক্যামের সময় ইবে ব্যবহারকারীদের ইমেল পাঠানো হয়েছিল। তারা দাবি করেছে যে তাদের অ্যাকাউন্টগুলি ব্লক করা হয়েছে। ব্লকিং বাতিল করার জন্য, অ্যাকাউন্ট ডেটা পুনরায় প্রবেশ করা প্রয়োজন ছিল। তবে চিঠিগুলো জাল ছিল। তারা অফিসিয়ালের মতো একটি পৃষ্ঠায় অনুবাদ করেছে, কিন্তু জাল। বিশেষজ্ঞের অনুমান অনুসারে, ক্ষতি খুব বেশি উল্লেখযোগ্য ছিল না (এক মিলিয়ন ডলারের কম)।
দায়িত্বের সংজ্ঞা
সামাজিক প্রকৌশলের ব্যবহার কিছু ক্ষেত্রে শাস্তিযোগ্য হতে পারে। মার্কিন যুক্তরাষ্ট্রের মতো বেশ কয়েকটি দেশে, অজুহাত দেখানো (অন্য ব্যক্তির ছদ্মবেশী করে প্রতারণা) গোপনীয়তার আক্রমণের সাথে সমান। যাইহোক, এটি আইন দ্বারা শাস্তিযোগ্য হতে পারে যদি অজুহাতের সময় প্রাপ্ত তথ্য বিষয় বা সংস্থার দৃষ্টিকোণ থেকে গোপনীয় হয়। একটি টেলিফোন কথোপকথন রেকর্ড করা (একটি সামাজিক প্রকৌশল পদ্ধতি হিসাবে) আইন দ্বারাও প্রয়োজন এবং এর জন্য $250,000 জরিমানা বা ব্যক্তির জন্য দশ বছর পর্যন্ত কারাদণ্ডের প্রয়োজন৷ ব্যক্তি আইনি সত্তাকে $500,000 দিতে হবে; সময়সীমা একই রয়ে গেছে।