सोशल इंजीनियरिंग (फ़िशिंग और धोखाधड़ी वाली साइटें)

साेशल इंजीनियरिंग ऐसा कॉन्टेंट होता है जो साइट पर आने वाले लाेगाें काे गुमराह करने के लिए इस्तेमाल किया जाता है. इस कॉन्टेंट के ज़रिए, लोगों से ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है. इन गतिविधियों में, गाेपनीय जानकारी शेयर करना या सॉफ़्टवेयर डाउनलाेड करना शामिल है. अगर Google को आपकी वेबसाइट में साेशल इंजीनियरिंग वाला कॉन्टेंट मिलता है, तो Chrome ब्राउज़र इस्तेमाल करके आपकी वेबसाइट पर आने वालों को, "आप धोखाधड़ी वाली साइट पर जाने की कोशिश कर रहे हैं" की चेतावनी दिख सकती है. आप, सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर यह पता लगा सकते हैं कि आपकी साइट के किसी पेज पर, साेशल इंजीनियरिंग वाला कॉन्टेंट तो नहीं है.

खास जानकारी

साेशल इंजीनियरिंग क्या है?

जब वेब पर आने वाले लोगों को, गुमराह करके ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है, तो उसे साेशल इंजीनियरिंग हमला कहते हैं.

साेशल इंजीनियरिंग के ज़रिए, कई तरह से नुकसान पहुंचाया जा सकता है:

  • फ़िशिंग: इसमें साइट पर आने वाले लाेगाें काे गुमराह करके, उनकी निजी जानकारी ले ली जाती है. उदाहरण के लिए, पासवर्ड, फ़ोन नंबर या क्रेडिट कार्ड की जानकारी. ऐसा करने के लिए, कॉन्टेंट को इस तरह दिखाया या पेश किया जाता है जिससे वह भरोसेमंद लगता है. उदाहरण के लिए, कॉन्टेंट को किसी ब्राउज़र, ऑपरेटिंग सिस्टम, बैंक से जुड़े या सरकारी साइट के कॉन्टेंट की तरह दिखाना.
  • धाेखाधड़ी वाला कॉन्टेंट: यह कॉन्टेंट आपको गुमराह करके, ऐसे काम कराने की कोशिश करता है जाे आप सिर्फ़ किसी भराेसेमंद साइट पर ही करेंगे. उदाहरण के लिए, पासवर्ड शेयर करना, तकनीकी सहायता के नंबर पर कॉल करना, और सॉफ़्टवेयर डाउनलोड करना. इसके अलावा, इस कॉन्टेंट में ऐसे विज्ञापन भी शामिल हो सकते हैं जो डिवाइस का सॉफ़्टवेयर पुराना हाेने का झूठा दावा करके, अनचाहा सॉफ़्टवेयर इंस्टॉल करने के लिए कहते हों.
  • ठीक से लेबल न की गई तीसरे पक्ष की सेवाएं: तीसरे पक्ष की सेवा ऐसी सेवा हाेती है जिसमें किसी कंपनी या व्यक्ति की साइट या सेवा को, उसकी ओर से कोई और चलाता है. अगर आप (तीसरा पक्ष) यह जानकारी नहीं देते हैं कि आप किसी और (पहला पक्ष) की ओर से उनकी साइट को चलाते हैं, तो उसे साेशल इंजीनियरिंग के तौर पर फ़्लैग किया जा सकता है. उदाहरण के लिए, अगर आप (पहला पक्ष) दान से जुड़ी अपनी साइट पर मिलने वाले दान हैंडल करने के लिए, दान मैनेज करने वाली वेबसाइट (तीसरे पक्ष) का इस्तेमाल करते हैं, तो आपको (पहले पक्ष को) साफ़ तौर पर बताना हाेगा कि वह प्लैटफ़ॉर्म, उसकी साइट की ओर से काम करने वाले तीसरे पक्ष का है. अगर साइट यह जानकारी नहीं देती है, ताे इसे साेशल इंजीनियरिंग माना जा सकता है.

Google Safe Browsing की सुविधा, वेब पर आने वाले लोगों को चेतावनी देकर ऐसे पेजाें पर जाने से राेकती है जिन पर साेशल इंजीनियरिंग वाला कॉन्टेंट मौजूद रहता है.

वेब पेजों पर सोशल इंजीनियरिंग वाला कॉन्टेंट मौजूद है, ऐसा तब माना जाता है जब वे:

  • किसी भराेसेमंद इकाई की तरह काम करें या वैसे ही दिखें. उदाहरण के लिए, आपके डिवाइस या ब्राउज़र या किसी वेबसाइट की तरह या
  • आपको गुमराह करके ऐसा काम कराने की कोशिश करें जाे आप सिर्फ़ किसी भराेसेमंद इकाई के लिए करेंगे. उदाहरण के लिए, पासवर्ड शेयर करना, तकनीकी सहायता के नंबर पर कॉल करना या सॉफ़्टवेयर डाउनलोड करना.

एम्बेड किए गए कॉन्टेंट में साेशल इंजीनियरिंग

किसी सुरक्षित वेबसाइट पर, एम्बेड किए गए कॉन्टेंट में भी साेशल इंजीनियरिंग दिख सकती है. आम तौर पर, विज्ञापनों में ऐसा होता है. एम्बेड किए गए साेशल इंजीनियरिंग वाले कॉन्टेंट से, हाेस्ट पेज की नीति का उल्लंघन हाेता है.

कभी-कभी उपयाेगकर्ताओं काे, साेशल इंजीनियरिंग वाला कॉन्टेंट, हाेस्ट पेज पर एम्बेड किया गया दिखता है. जैसा, नीचे दिए गए उदाहरणों में दिखाया गया है. दूसरे मामलों में, होस्ट साइट पर कोई विज्ञापन नहीं दिखता. हालांकि, होस्ट साइट पर मौजूद कॉन्टेंट उपयोगकर्ताओं को पॉप-अप, पॉप-अंडर या दूसरी तरह के रीडायरेक्ट के ज़रिए, सोशल इंजीनियरिंग वाले पेजों पर ले जाता है. दोनों ही मामलों में, ऐसे एम्बेड किए गए साेशल इंजीनियरिंग वाले कॉन्टेंट से, होस्ट पेज की नीति का उल्लंघन होता है.

मेरी साइट पर साेशल इंजीनियरिंग वाला कॉन्टेंट नहीं है!

धोखाधड़ी वाले साेशल इंजीनियरिंग के कॉन्टेंट को, पेज में एम्बेड किए गए रिसॉर्स के ज़रिए शामिल किया जा सकता है. जैसे: इमेज, तीसरे पक्ष के कॉम्पोनेंट या विज्ञापन. साइट पर आने वाले लाेगाें को धोखाधड़ी वाले इस तरह के कॉन्टेंट से गुमराह करके, उनसे अनचाहे सॉफ़्टवेयर डाउनलोड कराए जा सकते हैं.

इसके अलावा, हैकर साइटों का कंट्रोल अपने हाथों में ले सकते हैं और उन साइटों का इस्तेमाल साेशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने के लिए कर सकते हैं. हैकर, साइट पर मौजूद कॉन्टेंट को बदल सकते हैं या साइट में नए पेज जोड़ सकते हैं. आम तौर पर, उनका मकसद साइट पर आने वाले लाेगाें से धोखाधड़ी करके, उनसे क्रेडिट कार्ड नंबर जैसी निजी जानकारी हासिल करना होता है. आप Search Console में सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर इसका पता लगा सकते हैं कि क्या आपकी साइट की पहचान, साेशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने वाली साइट के तौर पर की गई है.

अगर आपको लगता है कि आपकी साइट हैक की गई है, तो हैक की गई साइटों के लिए सहायता पाने के बारे में लेख देखें.

साेशल इंजीनियरिंग उल्लंघनों के उदाहरण

धाेखाधड़ी वाले कॉन्टेंट के उदाहरण

यहां ऐसे पेजाें के उदाहरण दिए गए हैं जिन पर साेशल इंजीनियरिंग वाली गतिविधियां हाेती हैं:

सोशल इंजीनियरिंग वाले ऐसे पॉप-अप जो लोगों से अनचाहा ऐप्लिकेशन इंस्टॉल करवाने की कोशिश करते हैं.
धोखाधड़ी वाले ऐसे पॉप-अप जो लोगों को गुमराह करके, उनसे मैलवेयर इंस्टॉल कराते हैं.
सोशल इंजीनियरिंग के ऐसे उदाहरण जो दावा करते हैं कि आपको ब्राउज़र अपडेट करने की ज़रूरत है.
धोखाधड़ी वाले ऐसे पॉप-अप जो ब्राउज़र अपडेट करने में लोगों की मदद करने का दावा करते हैं
Google के नकली लॉगिन पेज. धोखाधड़ी वाले यूआरएल पर ध्यान दें. इसी तरह की दूसरी फ़िशिंग साइटें भी धोखाधड़ी करके आपसे क्रेडिट कार्ड नंबर जैसी निजी जानकारी ले सकती हैं. आम तौर पर, फ़िशिंग साइटें बिल्कुल असली साइट की तरह दिखती हैं - इसलिए, देख लें कि पता बार पर दिया गया यूआरएल सही है या नहीं. साथ ही, यह भी देखें कि वेबसाइट https:// से शुरू होती है या नहीं

धाेखाधड़ी वाले विज्ञापन के उदाहरण

विज्ञापनों में एम्बेड किए गए धोखाधड़ी वाले कॉन्टेंट के कुछ उदाहरण यहां दिए गए हैं. ये विज्ञापन, विज्ञापनों की तरह नहीं दिखते, बल्कि पेज इंटरफ़ेस के हिस्से के रूप में दिखते हैं.

धोखाधड़ी वाला ऐसा विज्ञापन जो पेज पर एक मीडिया प्लेयर अपडेट होने का दावा करता है.
धोखाधड़ी वाले ऐसे पॉप-अप जाे उपयोगकर्ता का सॉफ़्टवेयर पुराना होने का दावा करते हैं.
धोखाधड़ी वाला ऐसा विज्ञापन जो ज़रूरी कॉम्पोनेंट का इंस्टॉलर होने का दावा करता है.
धोखाधड़ी वाले ऐसे पॉप-अप जो FLV डेवलपर से आने का दावा करते हैं
धोखाधड़ी वाले ऐसे विज्ञापन जो होस्ट पेज पर कंट्रोलर बटन होने का दावा करते हैं.
पेज पर ऐक्शन बटन की तरह दिखने वाले विज्ञापन.

समस्या काे हल करना

अगर आपकी साइट को साेशल इंजीनियरिंग के कॉन्टेंट (धोखाधड़ी वाले कॉन्टेंट) वाली साइट के तौर पर फ़्लैग किया गया है, तो यह देख लें कि आपके पेज पर, ऊपर दी गई काेई भी गतिविधि तो नहीं हाेती. इसके बाद, इन निर्देशाें का पालन करें:

  1. Search Console के ज़रिए जांचें.
    • Search Console पर इस बात की पुष्टि करें कि आप ही अपनी साइट के मालिक हैं और साइट पर किसी भी ऐसे नए मालिक को जोड़ा नहीं गया है जो भरोसेमंद नहीं है.
    • सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर पता लगाएं कि आपकी साइट पर धाेखाधड़ी वाला कॉन्टेंट ताे मौजूद नहीं है. 'धाेखाधड़ी वाला कॉन्टेंट', साेशल इंजीनियरिंग की शिकायत करने के लिए इस्तेमाल किया जाने वाला वाक्यांश है. रिपोर्ट में, कुछ सैंपल यूआरएल पर जाएं जिन्हें फ़्लैग किया गया हो, लेकिन ऐसा कंप्यूटर इस्तेमाल करें जो आपकी वेबसाइट दिखाने वाले नेटवर्क के अंदर न हो (अगर चालाक हैकरों को ऐसा लगता है कि वेबसाइट पर आने वाला व्यक्ति उस साइट का मालिक है, तो वे अपने हमले रोक सकते हैं).
  2. धोखाधड़ी वाला कॉन्टेंट हटाएं. देख लें कि आपकी साइट के किसी भी पेज में धोखाधड़ी वाला कॉन्टेंट न हो. अगर आपको लगता है कि Safe Browsing की मदद से किसी वेब पेज पर गड़बड़ी का पता चला है, तो कृपया यहां उसकी शिकायत करें.
  3. अपनी साइट में शामिल तीसरे पक्ष के रिसॉर्स की जांच करें. देख लें कि आपकी साइट के किसी भी पेज पर मौजूद विज्ञापन, इमेज या एम्बेड किए गए तीसरे पक्ष के रिसॉर्स में, धोखाधड़ी वाला कॉन्टेंट न हो.
    • ध्यान दें कि विज्ञापन नेटवर्क कंपनियां, आपकी साइट के पेजों पर दिखाए जाने वाले विज्ञापनों को, बदल-बदलकर दिखा सकती हैं. इसलिए, साेशल इंजीनियरिंग वाला विज्ञापन देखने के लिए, शायद आपको दो-चार बार पेज रीफ़्रेश करना पड़े.
    • कुछ विज्ञापन, मोबाइल डिवाइस और डेस्कटॉप कंप्यूटर पर अलग-अलग तरह से दिख सकते हैं. आप यूआरएल की जांच करने वाले टूल का इस्तेमाल करके, अपनी साइट को मोबाइल और डेस्कटॉप, दोनों वर्शन में देख सकते हैं.
    • अपनी साइट पर इस्तेमाल की जाने वाली पेमेंट सेवाओं जैसी किसी तीसरे पक्ष की सेवा के लिए, नीचे दिए गए तीसरे पक्ष की सेवा से जुड़े दिशा-निर्देशों का पालन करें.
  4. समीक्षा के लिए अनुरोध करें. अपनी साइट से साेशल इंजीनियरिंग वाला सारा कॉन्टेंट हटाने के बाद, आप सुरक्षा से जुड़ी समस्याओं की रिपोर्ट में सुरक्षा की समीक्षा का अनुरोध कर सकते हैं. साइट की समीक्षा करने में कई दिन लग सकते हैं.

तीसरे पक्ष की सेवा के लिए दिशा-निर्देश

अगर आप अपनी साइट में तीसरे पक्ष की सेवाओं काे शामिल करते हैं, तो अपनी साइट काे सोशल इंजीनियरिंग के रूप में लेबल किए जाने से बचने के लिए, नीचे दी गई शर्तों को पूरा करना हाेगा:

  • तीसरे पक्ष की साइट को हर पेज पर, अपने ब्रैंड को साफ़ तौर पर शामिल करना चाहिए. ब्रैंड इस तरह से दिखाया जाना चाहिए कि उपयोगकर्ता समझ सकें कि साइट काे कौन ऑपरेट करता है. उदाहरण के लिए, पेज पर सबसे ऊपर तीसरे पक्ष के ब्रैंड का नाम शामिल करना.
  • हर उस पेज पर जिसमें पहले पक्ष की ब्रैंडिंग दिखती है, यह जानकारी ज़रूर दें कि पहला और तीसरा पक्ष एक-दूसरे से कैसे जुड़े हैं. साथ ही, ज़्यादा जानकारी के लिए एक लिंक भी दें. उदाहरण के लिए, यह वाक्य देख सकते हैं:

यह सेवा, Example.charities.com की ओर से Example.com पर होस्ट की गई है. ज़्यादा जानकारी

इस्तेमाल करने के लिहाज़ से किसी साइट को तब अच्छा माना जाता है, जब सिर्फ़ एक पेज देखकर लोगों को यह समझ आ जाए कि वे किस साइट पर हैं. साथ ही, किसी भी पेज पर उन्हें यह पता चल जाए कि पहला और तीसरा पक्ष एक-दूसरे से किस तरह जुड़े हुए हैं.

सबसे सही तरीका: अगर आप चाहते हैं कि काेई तीसरा पक्ष आपकी साइट के लिए बुनियादी सहायता सेवा दे, तो इसका सबसे सही तरीका है कि उस सेवा के लिए, उद्योग के मानकाें के हिसाब से तीसरा पक्ष चुनें. उदाहरण के लिए, अपनी साइट पर उपयोगकर्ता की पहचान की पुष्टि करने की प्रक्रिया काे खुद मैनेज करने के बजाय, आपको OAuth का इस्तेमाल करना चाहिए.