सोशल इंजीनियरिंग (फ़िशिंग और धोखाधड़ी वाली साइटें)

साेशल इंजीनियरिंग ऐसी सामग्री होती है जिसके ज़रिए साइट पर आने वाले लाेगाें काे गुमराह किया जाता है. ऐसा करके उनसे इस तरह की गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है. इन गतिविधियों में गाेपनीय जानकारी शेयर करना या काेई सॉफ़्टवेयर डाउनलाेड करना शामिल है. अगर Google को आपकी वेबसाइट में साेशल इंजीनियरिंग वाली सामग्री मिलती है, तो Chrome ब्राउज़र इस्तेमाल करके साइट पर आने वाले लाेगाें को "आप धोखाधड़ी वाली साइट पर जाने की कोशिश कर रहे हैं" चेतावनी दिखाई दे सकती है. आप सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट देखकर यह जाँच कर सकते हैं कि आपकी साइट के किसी पेज पर साेशल इंजीनियरिंग वाली सामग्री है या नहीं.

सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट खोलें

खास जानकारी

साेशल इंजीनियरिंग क्या है?

जब इंटरनेट इस्तेमाल करने वाले लोगों को गुमराह करके ऐसी गतिविधियां कराने की कोशिश की जाती है जिनसे उन्हें खतरा हो सकता है, तो उसे साेशल इंजीनियरिंग के ज़रिए नुकसान पहुंचाना कहा जाता है.

साेशल इंजीनियरिंग के ज़रिए कई तरह से नुकसान पहुंचाया जा सकता है:

  • फ़िशिंग: इसमें साइट पर आने वाले लाेगाें काे गुमराह करके उनकी निजी जानकारी (उदाहरण के लिए, पासवर्ड, फ़ोन नंबर या क्रेडिट कार्ड की जानकारी) पता कर ली जाती है. ऐसा करने के लिए, सामग्री को इस तरह दिखाया या पेश किया जाता है जिससे वह बिल्कुल भरोसेमंद मालूम पड़ती है. उदाहरण के लिए, यह किसी ब्राउज़र, ऑपरेटिंग सिस्टम, बैंक से जुड़ी या सरकारी सामग्री की तरह दिखाई दे सकती है या काम कर सकती है.
  • धाेखाधड़ी वाली सामग्री: यह सामग्री आपको गुमराह करके ऐसे काम कराती है जाे आप सिर्फ़ किसी भराेसेमंद सामग्री पर ही करेंगे — उदाहरण के लिए, कोई पासवर्ड शेयर करना, तकनीकी सहायता के लिए कॉल करना, सॉफ़्टवेयर डाउनलोड करना. इस सामग्री में ऐसे विज्ञापन भी शामिल हो सकते हैं, जो डिवाइस का सॉफ़्टवेयर पुराना हाेने का झूठा दावा करके अनचाहा सॉफ़्टवेयर इंस्टॉल करने के लिए कहते हैं.
  • ठीक से लेबल न की गईं तीसरे पक्ष की सेवाएं: तीसरे पक्ष की सेवा वह सेवा हाेती है जिसमें किसी कंपनी या व्यक्ति की ओर से साइट या सेवा को कोई और चलाता है. अगर आप (तीसरा पक्ष) यह जानकारी नहीं देते हैं कि आप किसी की ओर से साइट को चलाते हैं, तो उसे साेशल इंजीनियरिंग के तौर पर फ़्लैग किया जा सकता है. उदाहरण के लिए, आप (पहला पक्ष) दान से जुड़ी अपनी साइट के दान काे प्रबंधित करने के लिए, दान का प्रबंधन करने वाली वेबसाइट (तीसरे पक्ष) का इस्तेमाल करते हैं. ऐसे में, पहले पक्ष को साफ़ तौर पर यह बताना हाेगा कि यह प्लैटफ़ॉर्म उसकी साइट की ओर से काम करने वाले तीसरे पक्ष का है. अगर साइट यह जानकारी नहीं देती है, ताे इसे साेशल इंजीनियरिंग माना जा सकता है.

Google सुरक्षित ब्राउज़िंग की मदद से वेब उपयाेगकर्ताओं काे चेतावनी देकर ऐसे पेजाें पर जाने से राेका जाता है जिन पर हमेशा साेशल इंजीनियरिंग वाली सामग्री मौजूद रहती है.

वेब पेजों पर सोशल इंजीनियरिंग वाली सामग्री तब मानी जाती है जब वे:

  • किसी भराेसेमंद चीज़ की तरह काम करें या दिखाई दें — जैसे आपके डिवाइस, ब्राउज़र या किसी वेबसाइट की तरह, या
  • यह सामग्री आपको गुमराह करके ऐसा काम कराती है, जाे आप सिर्फ़ किसी भराेसेमंद सामग्री पर ही करते — उदाहरण के लिए, कोई पासवर्ड शेयर करना, तकनीकी सहायता के किसी नंबर पर कॉल करना या सॉफ़्टवेयर डाउनलोड करना.

एम्बेड की गई सामग्री में साेशल इंजीनियरिंग

किसी सुरक्षित वेबसाइट पर एम्बेड की गई सामग्री में भी साेशल इंजीनियरिंग दिखाई दे सकती है. आम तौर पर, ऐसा विज्ञापनों में होता है. एम्बेड की गई साेशल इंजीनियरिंग वाली सामग्री से हाेस्ट पेज की नीति का उल्लंघन हाेता है.

कभी-कभी हाेस्ट पेज पर उपयाेगकर्ताओं काे एम्बेड की गई साेशल इंजीनियरिंग वाली सामग्री दिखाई देती है, जैसा नीचे दिए गए उदाहरणों में दिखाया गया है. दूसरे मामलों में, होस्ट साइट पर कोई विज्ञापन तो दिखाई नहीं देता, लेकिन ऐसी सामग्री उपयोगकर्ताओं को पॉप-अप, पॉप-अंडर या दूसरे प्रकार से रीडायरेक्ट करके सोशल इंजीनियरिंग वाले पेजों पर ले जाती है. दोनों ही मामलों में, इस प्रकार से एम्बेड की गई साेशल इंजीनियरिंग वाली सामग्री से होस्ट पेज की नीति का उल्लंघन होता है.

मेरी साइट पर साेशल इंजीनियरिंग वाली सामग्री नहीं है!

धोखाधड़ी वाली साेशल इंजीनियरिंग की सामग्री को पेज में एम्बेड किए गए संसाधनों के ज़रिए शामिल किया जा सकता है, जैसे इमेज, तीसरे-पक्ष की सामग्रियां या विज्ञापन. साइट पर आने वाले लाेगाें को धोखाधड़ी वाली इस तरह की सामग्री से गुमराह करके उनसे अनचाहे सॉफ़्टवेयर डाउनलोड कराए जाते हैं. 

इसके अलावा, नुकसान न पहुंचाने वाली साइटों को हैकर नियंत्रित कर सकते हैं और उनका इस्तेमाल साेशल इंजीनियरिंग वाली सामग्री को होस्ट या शेयर करने के लिए कर सकते हैं. साइट की सामग्री को हैकर बदल सकते हैं या साइट में अलग से पेज जोड़ सकते हैं. आम तौर पर, इनका मकसद साइट पर आने वाले लाेगाें से धोखाधड़ी करके उनके क्रेडिट कार्ड नंबर जैसी निजी जानकारी लेना होता है. आप Search Console में सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट देख सकते हैं. आप इससे यह भी पता लगा सकते हैं कि क्या आपकी साइट की ऐसी साइट के रूप में पहचान की गई है, जो साेशल इंजीनियरिंग वाली सामग्री को होस्ट या शेयर करती है.

अगर आपको लगता है कि आपकी साइट हैक की गई है, तो हैक की गई साइटों के लिए सहायता पाने के बारे में लेख देखें.

साेशल इंजीनियरिंग वाली सामग्री के उदाहरण

धाेखाधड़ी वाली सामग्री के उदाहरण

यहां ऐसे पेजाें के उदाहरण दिए गए हैं जिन पर साेशल इंजीनियरिंग वाली गतिविधियां हाेती हैं:

Social engineering popup that tries to make the user install an unwanted application.
धोखाधड़ी वाले पॉपअप, जो उपयोगकर्ताओं को गुमराह करके उनसे मैलवेयर इंस्टॉल कराते हैं.
Example of social engineering attempt claiming a browser update is required
धोखाधड़ी वाले पॉपअप, जो उपयोगकर्ता को उनका ब्राउज़र अपडेट करने में मदद करने का दावा करते हैं
Google खाते में लॉग इन करने का नकली पेज. गुमराह करने वाले यूआरएल पर ध्यान दें. इस तरह की दूसरी फ़िशिंग साइटें आपकाे गुमराह करके आपके क्रेडिट कार्ड की जानकारी जैसी निजी जानकारी ले सकती हैं. फ़िशिंग साइटें बिल्कुल असली साइट की तरह दिखाई दे सकती हैं - इसलिए, पता बार काे देखकर जाँच लें कि यूआरएल सही है या नहीं. साथ ही, यह भी देख लें कि वेबसाइट https:// से शुरू होती हो

धाेखाधड़ी वाले विज्ञापन के उदाहरण

यहां पर विज्ञापनों में एम्बेड की गई धोखाधड़ी वाली सामग्री के कुछ उदाहरण दिए गए हैं. ये विज्ञापन, विज्ञापनों के तौर पर न दिखकर पेज के इंटरफ़ेस के हिस्से के रूप में दिखाई देते हैं.

Deceptive ad claiming to be a media player update on the page.
धोखाधड़ी वाला पॉपअप, जाे उपयोगकर्ता का सॉफ़्टवेयर पुराना होने का दावा करता है.
Deceptive ad claiming to be an installer for a required component.
धोखाधड़ी वाला पॉपअप, जाे एफ़एलवी डेवलपर की ओर से होने का दावा करता है
Deceptive ads claiming to be playback controller buttons on the host page.
गुमराह करने वाले विज्ञापन, जाे पेज पर कार्रवाई करने वाले बटन के रूप में दिखाई देते हैं.

समस्या काे हल करना

अगर आपकी साइट को साेशल इंजीनियरिंग की सामग्री वाली साइट के तौर पर फ़्लैग किया गया है, तो यह देख लें कि आपके पेज पर ऊपर दी गई काेई भी गतिविधि नहीं हाेती है. इसके बाद, इन निर्देशाें का पालन करें:

  1. Search Console के ज़रिए जाँचें
    • Search Console के ज़रिए इस बात की पुष्टि करें कि आप ही अपनी साइट के मालिक हैं और साइट पर किसी भी ऐसे नए मालिक को जोड़ा नहीं गया है, जो भरोसेमंद नहीं है.
    • सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट की जाँच करके देखें कि आपकी साइट पर धाेखाधड़ी वाली सामग्री (साेशल इंजीनियरिंग की शिकायत करने के लिए इस्तेमाल किया जाने वाला वाक्यांश) ताे नहीं है. रिपोर्ट में फ़्लैग किए गए कुछ यूआरएल पर जाएं, लेकिन इसके लिए उस कंप्यूटर का इस्तेमाल करें, जो आपकी वेबसाइट वाले नेटवर्क के अंदर न हो (अगर चालाक हैकर को लगता है कि साइट पर आने वाला व्यक्ति साइट का वेबमास्टर है, तो वे धाेखाधड़ी वाली सामग्री हटा सकते हैं).
  2. धोखाधड़ी वाली सामग्री हटाएं. देख लें कि आपकी साइट के किसी भी पेज में धोखाधड़ी वाली सामग्री न हो. अगर आपको लगता है कि सुरक्षित ब्राउज़िंग के ज़रिए किसी वेब पेज में गड़बड़ी मिली है, तो कृपया यहां उसकी शिकायत करें.
  3. अपनी साइट में शामिल तीसरे पक्ष के संसाधनों की जाँच करें. देख लें कि आपकी साइट के किसी भी पेज पर मौजूद विज्ञापन, इमेज या एम्बेड किए गए तीसरे पक्ष के संसाधनाें में धोखाधड़ी वाली सामग्री न हो.
    • ध्यान दें कि विज्ञापन नेटवर्क वाली कंपनियां आपकी साइट पर दिखाए जाने वाले विज्ञापनों को बदल सकती हैं. इसलिए, शायद आपकाे साेशल इंजीनियरिंग वाला विज्ञापन देखने के लिए पेज काे एक-दाे बार रीफ़्रेश करना पड़े.
    • कुछ विज्ञापन मोबाइल डिवाइस और डेस्कटॉप कंप्यूटर पर अलग तरीके से दिखाई दे सकते हैं. आप अपनी साइट को मोबाइल और डेस्कटॉप दोनों वर्शन में देखने के लिए यूआरएल की जाँच करने वाले टूल का इस्तेमाल कर सकते हैं.
    • अपनी साइट पर इस्तेमाल की जाने वाली भुगतान की सेवाओं जैसी किसी तीसरे पक्ष की सेवा के लिए, नीचे दिए गए तीसरे पक्ष की सेवा से जुड़े दिशा-निर्देशों का पालन करें.
  4. समीक्षा के लिए अनुरोध करें. अपनी साइट से सभी साेशल इंजीनियरिंग वाली सामग्री निकालने के बाद, आप सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट में सुरक्षा से जुड़ी समीक्षा के लिए अनुरोध कर सकते हैं. समीक्षा में कई दिन लग सकते हैं.

तीसरे-पक्ष के लिए दिशा-निर्देश

अगर आप अपनी साइट में तीसरे पक्ष की सेवाओं काे शामिल करते हैं, तो अपनी साइट काे सोशल इंजीनियरिंग के रूप में लेबल किए जाने से बचने के लिए नीचे दी गईं शर्तों को पूरा करना हाेगा:

  • तीसरे पक्ष की साइट के हर पेज पर अपने ब्रैंड को साफ़ तौर पर शामिल किया जाना चाहिए. इससे उपयोगकर्ता काे यह पता चल पाता है कि साइट काे कौन चला रहा है. उदाहरण के लिए, पेज पर सबसे ऊपर तीसरे पक्ष के ब्रैंड का नाम शामिल करना.
  • जिस पेज पर पहले पक्ष की जानकारी है, उस पर साफ़ तौर पर बताएं कि पहले और तीसरे पक्ष किस तरह जुड़े हैं और इसकी ज़्यादा जानकारी के लिए लिंक भी दें.  उदाहरण के लिए, यह वाक्य देख सकते हैं:

      Example.charities.com की ओर से इस सेवा काे Example.com हाेस्ट करती है. ज़्यादा जानकारी

इस्तेमाल करने के लिहाज़ से किसी साइट को अच्छा तब माना जाता है जब सिर्फ़ एक पेज देखने पर उपयाेगकर्ता यह समझ जाए कि वह किस साइट पर है. साथ ही, किसी भी पेज पर उसे यह पता चल जाए कि पहला और तीसरा पक्ष किस तरह जुड़े हुए हैं.

सबसे अच्छा तरीका: अगर आप चाहते हैं कि काेई तीसरा पक्ष आपकी साइट के लिए सहायता सेवा के तौर पर काम करे, तो इसका सबसे अच्छा तरीका है कि उस सेवा के लिए उद्योग के मानकाें के हिसाब से तीसरे पक्ष काे चुनें. उदाहरण के लिए, अपनी साइट पर उपयोगकर्ता की पुष्टि की प्रक्रिया काे प्रबंधित करने के लिए, पुष्टि की प्रक्रिया खुद प्रबंधित करने के बजाय OAuth का इस्तेमाल करना चाहिए.
क्या यह उपयोगी था?
हम उसे किस तरह बेहतर बना सकते हैं?