सोशल इंजीनियरिंग (फ़िशिंग और धोखाधड़ी वाली साइटें)

साेशल इंजीनियरिंग, ऐसा कॉन्टेंट होता है जिसका इस्तेमाल करके, साइट पर आने वाले लाेगाें काे गुमराह किया जाता है. साथ ही, ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है. इन गतिविधियों में गाेपनीय जानकारी शेयर करना या सॉफ़्टवेयर डाउनलाेड करना शामिल है. अगर Google को आपकी वेबसाइट में सोशल इंजीनियरिंग वाला कॉन्टेंट मिलता है, तो Chrome ब्राउज़र आपकी वेबसाइट पर आने वाले लोगों को, "यह साइट सुरक्षित नहीं है" की चेतावनी दिखा सकता है. Search Console में सुरक्षा की समस्याओं की जानकारी देने वाली रिपोर्ट देखकर, यह पता लगाया जा सकता है कि आपकी साइट के किसी पेज पर, सोशल इंजीनियरिंग वाला कॉन्टेंट तो नहीं है.

सुरक्षा की समस्याओं की जानकारी देने वाली रिपोर्ट खोलें

जब वेब पर आने वाले लोगों को, गुमराह करके ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है, तो उसे साेशल इंजीनियरिंग हमला कहते हैं.

सोशल इंजीनियरिंग के ज़रिए, कई तरह से नुकसान पहुंचाया जा सकता है:

फ़िशिंग: इसमें साइट पर आने वाले लाेगाें काे गुमराह करके, उनकी निजी जानकारी हासिल कर ली जाती है. जैसे, पासवर्ड, फ़ोन नंबर या सोशल सिक्योरिटी नंबर. ऐसा करने के लिए, कॉन्टेंट को इस तरह दिखाया या पेश किया जाता है जिससे वह भरोसेमंद लगने लगता है. उदाहरण के लिए, कॉन्टेंट को किसी ब्राउज़र, ऑपरेटिंग सिस्टम, बैंक से जुड़े या सरकारी साइट के कॉन्टेंट की तरह दिखाना.
धोखाधड़ी वाला कॉन्टेंट: यह कॉन्टेंट आपको गुमराह करके ऐसे काम कराने की कोशिश करते हैं जाे सिर्फ़ भराेसेमंद साइटों पर किए जाते हैं. उदाहरण के लिए, कोई पासवर्ड शेयर करना, तकनीकी सहायता के लिए कॉल करना, और सॉफ़्टवेयर डाउनलोड करना. इसके अलावा, इस कॉन्टेंट में ऐसे विज्ञापन भी शामिल हो सकते हैं जो डिवाइस का सॉफ़्टवेयर पुराना होने का झूठा दावा करके, अनचाहा सॉफ़्टवेयर इंस्टॉल करने के लिए कहते हैं.
ठीक से लेबल न की गई तीसरे पक्ष की सेवाएं: तीसरे पक्ष की सेवा, एक ऐसी सेवा है जिसमें किसी कंपनी या व्यक्ति की साइट या सेवा को, उनकी ओर से कोई और चलाता है. अगर आपने (तीसरा पक्ष) यह जानकारी नहीं दी है कि आपको किसी और (पहला पक्ष) ने साइट चलाने के लिए चुना है, तो उसे सोशल इंजीनियरिंग के तौर पर फ़्लैग किया जा सकता है. उदाहरण के लिए, अगर आपने (पहला पक्ष) अपनी चैरिटी (दान) वाली वेबसाइट पर मिलने वाले दान को मैनेज करने के लिए दूसरी वेबसाइट (तीसरा पक्ष) का इस्तेमाल किया है, तो आपको साफ़ तौर पर बताना होगा कि आपकी साइट पर मिलने वाले दान को मैनेज करने के लिए वह प्लैटफ़ॉर्म तीसरे पक्ष के तौर पर काम कर रहा है. ऐसा न करने पर इसे सोशल इंजीनियरिंग माना जा सकता है.

Google सुरक्षित ब्राउज़िंग की सुविधा, वेब पर आने वाले लोगों को चेतावनी देकर ऐसे पेजाें पर जाने से राेकती है जिनमें साेशल इंजीनियरिंग वाला कॉन्टेंट मौजूद होता है.

वेब पेजों पर सोशल इंजीनियरिंग वाला कॉन्टेंट मौजूद है. ऐसा तब माना जाता है, जब वे:

आपके डिवाइस या ब्राउज़र या किसी वेबसाइट जैसी किसी भरोसेमंद इकाई की नकल करते हैं या वैसा व्यवहार करते हैं
इसके अलावा, आपको गुमराह करके ऐसे काम कराने की कोशिश करते हैं जाे सिर्फ़ भराेसेमंद साइटों पर किए जाते हैं. जैसे, कोई पासवर्ड शेयर करना, तकनीकी सहायता के लिए कॉल करना, और सॉफ़्टवेयर डाउनलोड करना.

किसी सुरक्षित वेबसाइट पर, एम्बेड किए गए कॉन्टेंट में भी सोशल इंजीनियरिंग दिख सकती है. आम तौर पर, विज्ञापनों में ऐसा होता है. एम्बेड किए गए साेशल इंजीनियरिंग वाले कॉन्टेंट से, हाेस्ट पेज की नीति का उल्लंघन हाेता है.

कभी-कभी होस्ट पेज पर, लोगों को एम्बेड किया गया सोशल इंजीनियरिंग वाला कॉन्टेंट दिख सकता है, जैसा कि इन उदाहरणों में दिखाया गया है. अन्य मामलों में, होस्ट साइट पर कोई विज्ञापन नहीं दिखता. हालांकि, होस्ट साइट पर मौजूद कॉन्टेंट, पॉप-अप, पॉप-अंडर या दूसरी तरह के रीडायरेक्ट के ज़रिए, लोगों को सोशल इंजीनियरिंग वाले पेजों पर ले जाता है. दोनों ही मामलों में, ऐसे एम्बेड किए गए सोशल इंजीनियरिंग वाले कॉन्टेंट से, होस्ट पेज की नीति का उल्लंघन होता है.

मेरी साइट पर सोशल इंजीनियरिंग वाला कॉन्टेंट नहीं है!

धोखाधड़ी वाला सोशल इंजीनियरिंग कॉन्टेंट, पेज में एम्बेड किए गए रिसॉर्स के ज़रिए शामिल किया जा सकता है. जैसे, इमेज, तीसरे-पक्ष के कॉम्पोनेंट या विज्ञापन. ऐसे धोखाधड़ी वाले कॉन्टेंट, साइट पर आने वाले लोगों को गुमराह करके, उनसे अनचाहे सॉफ़्टवेयर डाउनलोड कराए जा सकते हैं.

इसके अलावा, हैकर साइटों को कंट्रोल करके, उनका इस्तेमाल सोशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने के लिए कर सकते हैं. हैकर, साइट पर मौजूद कॉन्टेंट को बदल सकते हैं या साइट में नए पेज जोड़ सकते हैं. आम तौर पर, उनका मकसद साइट पर आने वाले लोगों को गुमराह करके, उनसे क्रेडिट कार्ड नंबर जैसी निजी जानकारी हासिल करना होता है. Search Console में सुरक्षा से जुड़ी समस्याओं की जानकारी देने वाली रिपोर्ट से, यह पता लगाया जा सकता है कि आपकी साइट की पहचान, सोशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने वाली साइट के तौर पर की गई है या नहीं.

अगर आपको लगता है कि आपकी साइट हैक की गई है, तो हैक की गई साइटों के लिए सहायता देखें.

सोशल इंजीनियरिंग से जुड़े उल्लंघनों के उदाहरण

धोखाधड़ी वाले कॉन्टेंट के उदाहरण

यहां ऐसे पेजों के उदाहरण दिए गए हैं जिन पर सोशल इंजीनियरिंग वाली गतिविधियां होती हैं:

सोशल इंजीनियरिंग वाले ऐसे पॉप-अप जो लोगों से अनचाहा ऐप्लिकेशन इंस्टॉल करवाने की कोशिश करते हैं — धोखाधड़ी वाले ऐसे पॉप-अप जो लोगों को गुमराह करके, उनसे मैलवेयर इंस्टॉल कराते हैं.

सोशल इंजीनियरिंग के ऐसे उदाहरण जो दावा करते हैं कि आपको ब्राउज़र अपडेट करने की ज़रूरत है — धोखाधड़ी वाले ऐसे पॉपअप जो ब्राउज़र अपडेट करने में लोगों की मदद करने का दावा करते हैं

Google खाते का नकली लॉग इन पेज — Google खाते का नकली लॉगिन पेज

धोखाधड़ी वाले यूआरएल को ध्यान से देखें. इसी तरह की अन्य फ़िशिंग साइटें भी धोखाधड़ी करके, आपसे क्रेडिट कार्ड नंबर जैसी निजी जानकारी ले सकती हैं. आम तौर पर, फ़िशिंग साइटें बिलकुल असली साइट की तरह दिखती हैं—इसलिए, देख लें कि पता बार में यूआरएल सही है या नहीं. साथ ही, यह भी देखें कि वेबसाइट https:// से शुरू होती हो.

धोखाधड़ी वाले विज्ञापन के उदाहरण

एम्बेड किए गए विज्ञापनों में धोखाधड़ी वाले कॉन्टेंट के कुछ उदाहरण यहां दिए गए हैं. ये विज्ञापन, विज्ञापनों की तरह नहीं दिखते, बल्कि पेज इंटरफ़ेस के हिस्से के रूप में दिखते हैं.

धोखाधड़ी वाला ऐसा विज्ञापन जो पेज पर एक मीडिया प्लेयर अपडेट होने का दावा करता है — धोखाधड़ी वाले ऐसे पॉप-अप जो लोगों का सॉफ़्टवेयर पुराना होने का दावा करते हैं.

धोखाधड़ी वाला ऐसा विज्ञापन जो ज़रूरी कॉम्पोनेंट का इंस्टॉलर होने का दावा करता है — धोखाधड़ी वाले ऐसे पॉप-अप जो FLV डेवलपर की ओर से होने का दावा करते हैं

धोखाधड़ी वाले ऐसे विज्ञापन जो होस्ट पेज पर प्लेबैक के कंट्रोलर बटन होने का दावा करते हैं — पेज पर ऐक्शन बटन की तरह दिखने वाले विज्ञापन.

समस्या को हल करना

अगर आपकी साइट को सोशल इंजीनियरिंग के कॉन्टेंट (धोखाधड़ी वाले कॉन्टेंट) वाली साइट के तौर पर फ़्लैग किया गया है, तो यह देख लें कि आपके पेज पर, इनमें से कोई भी गतिविधि तो नहीं होती. इसके बाद, यह तरीका अपनाएं:

Search Console में देखें.
- Search Console पर, इस बात की पुष्टि करें कि आप ही अपनी साइट के मालिक हैं. साथ ही, साइट पर किसी भी ऐसे नए मालिक को नहीं जोड़ा गया है जो भरोसेमंद न हो.
- सुरक्षा की समस्याओं की जानकारी देने वाली रिपोर्ट देखकर पता लगाएं कि कहीं आपकी साइट को धोखाधड़ी वाली साइट की सूची में तो नहीं डाल दिया गया है. 'धोखाधड़ी वाला कॉन्टेंट' शब्द, साेशल इंजीनियरिंग की शिकायत करने के लिए इस्तेमाल किया जाता है. अगर रिपोर्ट में सैंपल के तौर पर फ़्लैग किए गए यूआरएल शामिल हैं, तो रिपोर्ट में दिए गए कुछ यूआरएल पर जाएं. इसके लिए, ऐसे कंप्यूटर का इस्तेमाल करें जो आपकी वेबसाइट को होस्ट करने वाले नेटवर्क में शामिल न हो. ऐसा इसलिए, क्योंकि चालाक हैकरों को अगर लगता है कि वेबसाइट पर आया व्यक्ति उसका मालिक है, तो तो वे हमले बंद कर सकते हैं.
  
  अगर रिपोर्ट में सैंपल यूआरएल नहीं दिए गए हैं और आपको यकीन है कि आपकी साइट में सोशल इंजीनियरिंग (धोखाधड़ी वाला कॉन्टेंट) नहीं है, तो सुरक्षा की समस्याओं की जानकारी देने वाली रिपोर्ट में सुरक्षा समीक्षा का अनुरोध करें
धोखाधड़ी वाला कॉन्टेंट हटाएं. यह देख लें कि आपकी साइट के किसी भी पेज पर धोखाधड़ी वाला कॉन्टेंट मौजूद न हो. अगर आपको लगता है कि सुरक्षित ब्राउज़िंग ने किसी वेब पेज पर गड़बड़ी का पता लगाया है, तो इसकी शिकायत करें.
अपनी साइट में शामिल तीसरे पक्ष के रिसॉर्स की जांच करें. यह देख लें कि आपकी साइट के किसी भी पेज पर मौजूद विज्ञापनों, इमेज या पेज पर एम्बेड किए गए तीसरे पक्ष के रिसॉर्स में धोखाधड़ी वाला कॉन्टेंट शामिल न हो.
- ध्यान रखें कि विज्ञापन नेटवर्क वाली कंपनियां, आपकी साइट पर दिखाए जाने वाले विज्ञापन बदल सकती हैं. इसलिए, आपको सोशल इंजीनियरिंग वाले विज्ञापन देखने के लिए, साइट के पेज को कई बार रीफ्रे़श करने की ज़रूरत पड़ सकती है.
- कुछ विज्ञापन, मोबाइल डिवाइस और डेस्कटॉप कंप्यूटर पर अलग-अलग तरह से दिख सकते हैं. यूआरएल की जांच करने वाला टूल का इस्तेमाल करके, अपनी साइट को मोबाइल और डेस्कटॉप, दोनों वर्शन में देखा जा सकता है.
- अपनी साइट पर इस्तेमाल की जाने वाली, पैसे चुकाकर ली जाने वाली सेवाएं जैसी किसी तीसरे पक्ष की सेवाओं के लिए, तीसरे पक्ष की सेवा से जुड़े दिशा-निर्देशों का पालन करें.
समीक्षा के लिए अनुरोध करें. अपनी साइट से सोशल इंजीनियरिंग वाला सारा कॉन्टेंट हटाने के बाद, सुरक्षा से जुड़ी समस्याओं की जानकारी देने वाली रिपोर्ट में सुरक्षा की समीक्षा का अनुरोध किया जा सकता है. साइट की समीक्षा करने में कई दिन लग सकते हैं.

तीसरे पक्ष की सेवा को शामिल करने से जुड़े दिशा-निर्देश

अगर आपने अपनी साइट में तीसरे पक्ष की सेवाओं को शामिल किया है, तो अपनी साइट को सोशल इंजीनियरिंग के तौर पर लेबल किए जाने से बचाने के लिए, यहां दी गई शर्तों का पालन करें:

तीसरे पक्ष की साइट को हर पेज पर, अपने ब्रैंड को साफ़ तौर पर शामिल करना होगा. ब्रैंड इस तरह से दिखाया जाना चाहिए कि लोग समझ पाएं कि साइट को कौन ऑपरेट करता है. उदाहरण के लिए, पेज के सबसे ऊपर तीसरे पक्ष के ब्रैंड का नाम शामिल करना.
हर उस पेज पर जिसमें पहले पक्ष की ब्रैंडिंग दिखती है, यह जानकारी ज़रूर दें कि पहला और तीसरा पक्ष एक-दूसरे से कैसे जुड़े हैं. साथ ही, ज़्यादा जानकारी के लिए लिंक भी दें. उदाहरण के लिए, यह स्टेटमेंट देखें:
यह सेवा, Example.charities.com के लिए Example.com पर होस्ट की गई है. ज़्यादा जानकारी.

इस्तेमाल करने के लिहाज़ से किसी साइट को तब अच्छा माना जाता है, जब किसी एक पेज को देखकर लोगों को यह समझ आ जाए कि वे किस साइट पर हैं. साथ ही, किसी भी पेज पर उन्हें यह पता चल जाए कि पहला और तीसरा पक्ष किस तरह से एक-दूसरे से जुड़े हैं.

अगर आप Search Console के उपयोगकर्ता हैं और आपकी साइट पर सुरक्षा से जुड़ी कोई समस्या बार-बार आ रही है या आपको सुरक्षा से जुड़ी किसी समस्या का हल ढूंढने में मुश्किल हो रही है, तो हमें इस बात की जानकारी दें.

सुरक्षा से जुड़ी समस्या की शिकायत करें

सोशल इंजीनियरिंग क्या है?

एम्बेड किए गए कॉन्टेंट में सोशल इंजीनियरिंग