सोशल इंजीनियरिंग (फ़िशिंग और धोखाधड़ी वाली साइटें)

सोशल इंजीनियरिंग ऐसा कॉन्टेंट होता है जिससे साइट पर आने वाले लोगों को गुमराह किया जाता है. उनसे ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है. इन गतिविधियों में, गोपनीय जानकारी शेयर करना या सॉफ़्टवेयर डाउनलोड करना शामिल है. अगर Google को आपकी वेबसाइट में सोशल इंजीनियरिंग वाला कॉन्टेंट मिलता है, तो Chrome ब्राउज़र आपकी वेबसाइट पर आने वाले लोगों को, "आप धोखाधड़ी वाली साइट पर जाने की कोशिश कर रहे हैं" की चेतावनी दिखा सकता है. आप सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर, यह पता लगा सकते हैं कि आपकी साइट के किसी पेज पर, सोशल इंजीनियरिंग वाला कॉन्टेंट तो नहीं है.

सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट खोलें

सोशल इंजीनियरिंग क्या है?

जब वेब पर आने वाले लोगों को, गुमराह करके ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है, तो उसे साेशल इंजीनियरिंग हमला कहते हैं.

सोशल इंजीनियरिंग के ज़रिए, कई तरह से नुकसान पहुंचाया जा सकता है:

  • फ़िशिंग: इसमें साइट पर आने वाले लोगों को गुमराह करके, उनकी निजी जानकारी ले ली जाती है. उदाहरण के लिए, पासवर्ड, फ़ोन नंबर या क्रेडिट कार्ड की जानकारी. ऐसा करने के लिए, कॉन्टेंट को इस तरह दिखाया या पेश किया जाता है जिससे वह भरोसेमंद लगता है. उदाहरण के लिए, कॉन्टेंट को किसी ब्राउज़र, ऑपरेटिंग सिस्टम, बैंक से जुड़े या सरकारी साइट के कॉन्टेंट की तरह दिखाना.
  • धोखाधड़ी वाला कॉन्टेंट: यह कॉन्टेंट आपको गुमराह करके ऐसे काम कराने की कोशिश करता है जाे आप सिर्फ़ किसी भराेसेमंद साइट पर ही करेंगे. उदाहरण के लिए, कोई पासवर्ड शेयर करना, तकनीकी सहायता के लिए कॉल करना, और सॉफ़्टवेयर डाउनलोड करना. इसके अलावा, इस कॉन्टेंट में ऐसे विज्ञापन भी शामिल हो सकते हैं जो डिवाइस का सॉफ़्टवेयर पुराना होने का झूठा दावा करके, अनचाहा सॉफ़्टवेयर इंस्टॉल करने के लिए कहते हैं.
  • ठीक से लेबल न की गई तीसरे पक्ष की सेवाएं: तीसरे पक्ष की सेवा, ऐसी सेवा हाेती है जिसमें किसी कंपनी या व्यक्ति की साइट या सेवा को, उनकी ओर से कोई और चलाता है. अगर आप (तीसरा पक्ष) यह जानकारी नहीं देते हैं कि आप किसी दूसरे (पहला पक्ष) की ओर से उनकी साइट को चलाते हैं, तो उसे सोशल इंजीनियरिंग के तौर पर फ़्लैग किया जा सकता है. उदाहरण के लिए, अगर आप (पहला पक्ष) अपनी चैरिटी (दान) वेबसाइट पर मिलने वाले दान के लिए, उसे मैनेज करने वाली वेबसाइट (तीसरा पक्ष) का इस्तेमाल करते हैं, तो आपको साफ़ तौर पर बताना होगा कि वह प्लैटफ़ॉर्म, उसकी साइट की ओर से काम करने वाले तीसरे पक्ष का है. ऐसा न करने पर इसे सोशल इंजीनियरिंग माना जा सकता है.

Google सुरक्षित ब्राउज़िंग की सुविधा, वेब पर आने वाले लोगों को चेतावनी देकर ऐसे पेजाें पर जाने से राेकती है जिन पर साेशल इंजीनियरिंग वाला कॉन्टेंट मौजूद रहता है.

वेब पेजों पर सोशल इंजीनियरिंग वाला कॉन्टेंट मौजूद है, ऐसा तब माना जाता है, जब वे:

  • आपके डिवाइस या ब्राउज़र या किसी वेबसाइट जैसी किसी भरोसेमंद इकाई की नकल करते हैं या उस जैसा व्यवहार करते हैं या फिर
  • आपको गुमराह करके ऐसा काम कराने की कोशिश करते हैं जो आप सिर्फ़ किसी भरोसेमंद इकाई के लिए करेंगे. उदाहरण के लिए, कोई पासवर्ड शेयर करना, तकनीकी सहायता के किसी नंबर पर कॉल करना या सॉफ़्टवेयर डाउनलोड करना.

एम्बेड किए गए कॉन्टेंट में सोशल इंजीनियरिंग

किसी सुरक्षित वेबसाइट पर, एम्बेड किए गए कॉन्टेंट में भी सोशल इंजीनियरिंग दिख सकती है. आम तौर पर, विज्ञापनों में ऐसा होता है. एम्बेड किए गए साेशल इंजीनियरिंग वाले कॉन्टेंट से, हाेस्ट पेज की नीति का उल्लंघन हाेता है.

कभी-कभी उपयोगकर्ताओं को, एम्बेड किया गया सोशल इंजीनियरिंग वाला कॉन्टेंट, होस्ट पेज पर दिख सकता है. जैसा कि इन उदाहरणों में दिखाया गया है. दूसरे मामलों में, होस्ट साइट पर कोई विज्ञापन नहीं दिखता. हालांकि, होस्ट साइट पर मौजूद कॉन्टेंट, पॉप-अप, पॉप-अंडर या दूसरी तरह के रीडायरेक्ट के ज़रिए, उपयोगकर्ताओं को सोशल इंजीनियरिंग वाले पेजों पर ले जाता है. दोनों ही मामलों में, ऐसे एम्बेड किए गए सोशल इंजीनियरिंग वाले कॉन्टेंट से, होस्ट पेज की नीति का उल्लंघन होता है.

मेरी साइट पर सोशल इंजीनियरिंग वाला कॉन्टेंट नहीं है!

धोखाधड़ी वाला सोशल इंजीनियरिंग कॉन्टेंट, पेज में एम्बेड (जोड़े) किए गए रिसॉर्स के ज़रिए शामिल किया जा सकता है. जैसे, इमेज, तीसरे-पक्ष के कॉम्पोनेंट या विज्ञापन. साइट पर आने वाले लोगों को धोखाधड़ी वाले इस तरह के कॉन्टेंट से गुमराह करके, उनसे अनचाहे सॉफ़्टवेयर डाउनलोड कराए जा सकते हैं.

इसके अलावा, हैकर साइटों का कंट्रोल अपने हाथों में ले सकते हैं और उन साइटों का इस्तेमाल सोशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने के लिए कर सकते हैं. हैकर, साइट पर मौजूद कॉन्टेंट को बदल सकते हैं या साइट में नए पेज जोड़ सकते हैं. आम तौर पर, उनका मकसद साइट पर आने वाले लोगों को गुमराह करके, उनसे क्रेडिट कार्ड नंबर जैसी निजी जानकारी हासिल करना होता है. आप Search Console में सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर, यह पता लगा सकते हैं कि क्या आपकी साइट की पहचान, सोशल इंजीनियरिंग वाले कॉन्टेंट को होस्ट या शेयर करने वाली साइट के तौर पर की गई है.

अगर आपको लगता है कि आपकी साइट हैक की गई है, तो हैक की गई साइटों के लिए सहायता पाने के बारे में लेख देखें.

सोशल इंजीनियरिंग से जुड़े उल्लंघनों के उदाहरण

धोखाधड़ी वाले कॉन्टेंट के उदाहरण

यहां ऐसे पेजों के उदाहरण दिए गए हैं जिन पर सोशल इंजीनियरिंग वाली गतिविधियां होती हैं:

सोशल इंजीनियरिंग वाले ऐसे पॉप-अप जो लोगों से अनचाहा ऐप्लिकेशन इंस्टॉल करवाने की कोशिश करते हैं
धोखाधड़ी वाले ऐसे पॉप-अप जो लोगों को गुमराह करके, उनसे मैलवेयर इंस्टॉल कराते हैं.

सोशल इंजीनियरिंग के ऐसे उदाहरण जो दावा करते हैं कि आपको ब्राउज़र अपडेट करने की ज़रूरत है
धोखाधड़ी वाले पॉपअप, जो उपयोगकर्ता को उनका ब्राउज़र अपडेट करने में मदद करने का दावा करते हैं

Google खाते का नकली लॉग इन पेज
Google खाते का नकली लॉग इन पेज

धोखाधड़ी वाले विज्ञापन के उदाहरण

एम्बेड किए गए विज्ञापनों में धोखाधड़ी वाले कॉन्टेंट के कुछ उदाहरण यहां दिए गए हैं. ये विज्ञापन, विज्ञापनों की तरह नहीं दिखते, बल्कि पेज इंटरफ़ेस के हिस्से के रूप में दिखते हैं.

धोखाधड़ी वाला ऐसा विज्ञापन जो पेज पर एक मीडिया प्लेयर अपडेट होने का दावा करता है
धोखाधड़ी वाले ऐसे पॉप-अप जो उपयोगकर्ता का सॉफ़्टवेयर पुराना होने का दावा करते हैं.

धोखाधड़ी वाला ऐसा विज्ञापन जो ज़रूरी कॉम्पोनेंट का इंस्टॉलर होने का दावा करता है
धोखाधड़ी वाला पॉपअप, जो FLV डेवलपर की ओर से होने का दावा करता है

धोखाधड़ी वाले ऐसे विज्ञापन जो होस्ट पेज पर प्लेबैक के कंट्रोलर बटन होने का दावा करते हैं
ऐसे विज्ञापन जो पेज पर ऐक्शन बटन की तरह दिखते हैं.

समस्या को हल करना

अगर आपकी साइट को सोशल इंजीनियरिंग के कॉन्टेंट (धोखाधड़ी वाले कॉन्टेंट) वाली साइट के तौर पर फ़्लैग किया गया है, तो यह पक्का करें कि आपके पेज पर, ऊपर दी गई कोई भी गतिविधि तो नहीं होती. इसके बाद, इन निर्देशाें का पालन करें:

  1. Search Console की मदद से जांच करें.
    • Search Console पर, इस बात की पुष्टि करें कि आप ही अपनी साइट के मालिक हैं. साथ ही, साइट पर किसी भी ऐसे नए मालिक को नहीं जोड़ा गया है जो भरोसेमंद न हो.
    • सुरक्षा से जुड़ी समस्याओं की रिपोर्ट देखकर पता लगाएं कि कहीं आपकी साइट को धोखाधड़ी वाली साइट की सूची में तो नहीं डाल दिया गया है. 'धोखाधड़ी वाला कॉन्टेंट' शब्द, साेशल इंजीनियरिंग की शिकायत करने के लिए इस्तेमाल किया जाता है. रिपोर्ट में फ़्लैग किए गए यूआरएल के कुछ नमूनों पर जाएं, लेकिन ऐसा कंप्यूटर इस्तेमाल करें जो आपकी वेबसाइट को होस्ट करने वाले नेटवर्क में शामिल न हो. ऐसा इसलिए, क्योंकि अगर चालाक हैकरों को ऐसा लगता है कि वेबसाइट पर आने वाला व्यक्ति उस साइट का मालिक है, तो वे अपने हमले रोक सकते हैं.
  2. धोखाधड़ी वाला कॉन्टेंट हटाएं. यह पक्का कर लें कि आपकी साइट के किसी भी पेज पर धोखाधड़ी वाला कॉन्टेंट मौजूद न हो. अगर आपको लगता है कि 'सुरक्षित ब्राउज़िंग' सुविधा ने गलती से किसी वेब पेज की पहचान, गड़बड़ी वाले पेज के रूप में कर दी है, तो इसकी शिकायत करें.
  3. अपनी साइट में शामिल तीसरे पक्ष के रिसॉर्स की जांच करें. यह देख लें कि आपकी साइट के किसी भी पेज पर मौजूद विज्ञापनों, इमेज या पेज पर, एम्बेड किए गए तीसरे पक्ष के रिसॉर्स में धोखाधड़ी वाला कॉन्टेंट शामिल न हो.
    • ध्यान रखें कि विज्ञापन नेटवर्क वाली कंपनियां, आपकी साइट पर दिखाए जाने वाले विज्ञापन बदल सकती हैं. इसलिए, आपको सोशल इंजीनियरिंग वाले विज्ञापन देखने के लिए, साइट के पेज को कई बार रीफ्रे़श करने की ज़रूरत पड़ सकती है.
    • कुछ विज्ञापन, मोबाइल डिवाइस और डेस्कटॉप कंप्यूटर पर अलग-अलग तरह से दिख सकते हैं. आप यूआरएल की जांच करने वाला टूल इस्तेमाल करके, अपनी साइट को मोबाइल और डेस्कटॉप, दोनों वर्शन में देख सकते हैं.
    • अपनी साइट पर इस्तेमाल की जाने वाली, पैसे देकर ली जाने वाली सेवा जैसी किसी तीसरे पक्ष की सेवा के लिए, नीचे दिए गए तीसरे पक्ष की सेवा से जुड़े दिशा-निर्देशों का पालन करें.
  4. समीक्षा के लिए अनुरोध करें. अपनी साइट से सोशल इंजीनियरिंग वाला सारा कॉन्टेंट हटाने के बाद, आप सुरक्षा से जुड़ी समस्याओं की रिपोर्ट में सुरक्षा की समीक्षा का अनुरोध कर सकते हैं. साइट की समीक्षा करने में कई दिन लग सकते हैं.

तीसरे पक्ष की सेवा को शामिल करने से जुड़े दिशा-निर्देश

अगर आप अपनी साइट में तीसरे पक्ष की सेवाओं को शामिल करते हैं, तो हमारी सलाह है कि अपनी साइट को सोशल इंजीनियरिंग के रूप में लेबल किए जाने से बचाने के लिए, यहां दी गई शर्तों को पूरा करें:

  • तीसरे पक्ष की साइट को हर पेज पर, अपने ब्रैंड को साफ़ तौर पर शामिल करना होगा. यह ब्रैंड इस तरह से दिखाया जाना चाहिए कि उपयोगकर्ता समझ पाएं कि साइट को कौन ऑपरेट करता है. उदाहरण के लिए, पेज के सबसे ऊपर तीसरे पक्ष के ब्रैंड का नाम शामिल करना.
  • हर उस पेज पर जिसमें पहले पक्ष की ब्रैंडिंग दिखती है, यह जानकारी ज़रूर दें कि पहला और तीसरा पक्ष एक-दूसरे से कैसे जुड़े हैं. साथ ही, ज़्यादा जानकारी के लिए एक लिंक भी दें. उदाहरण के लिए, यह बयान देख सकते हैं:

    यह सेवा, Example.charities.com के लिए Example.com पर होस्ट की गई है. ज़्यादा जानकारी.

इस्तेमाल करने के लिहाज़ से किसी साइट को तब अच्छा माना जाता है, जब किसी एक पेज को देखकर उपयोगकर्ता यह समझ जाए कि वह किस साइट पर है. साथ ही, किसी भी पेज पर उसे यह पता चल जाए कि पहला और तीसरा पक्ष किस तरह जुड़े हुए हैं.