चुराए गए कर्मचारी प्रमाण-पत्र हमलावरों के लिए कंपनी के बुनियादी ढांचे में घुसपैठ करने के सबसे प्रभावी तरीकों में से एक हैं। 2022 में मोबाइल फ़िशिंग हमलों की संख्या पहले से कहीं अधिक थी।
एक बार जब उनके पास किसी भी खाते की साख हो जाती है, तो उनके लिए सुरक्षा उपायों को दरकिनार करना और संवेदनशील डेटा तक पहुंच प्राप्त करना बहुत आसान हो जाता है। लेकिन हमलावरों को ये साख कैसे मिलती है? कई मामलों में, उत्तर मोबाइल फ़िशिंग है। लुकआउट द्वारा एक वैश्विक अध्ययन, "द ग्लोबल स्टेट ऑफ़ मोबाइल फ़िशिंग रिपोर्ट" में पाया गया कि 2022 में मोबाइल फ़िशिंग हमलों की संख्या सर्वकालिक उच्च स्तर पर थी: तीन व्यक्तिगत उपकरणों में से एक और तीन कॉर्पोरेट उपकरणों में से एक कम से कम एक से प्रभावित था हमले को हर तिमाही में निलंबित कर दिया गया। यह प्रवृत्ति 2023 की पहली तिमाही में बेरोकटोक जारी रही।
कैसे BYOD ने फ़िशिंग परिदृश्य को बदल दिया है
हाइब्रिड कार्य वातावरण और ब्रिंग-योर-ओन-डिवाइस (बीओओडी) नीतियां वृद्धि के दो कारण हो सकते हैं। कंपनियों को यह स्वीकार करना पड़ा है कि व्यावसायिक उद्देश्यों के लिए व्यक्तिगत मोबाइल उपकरणों का तेजी से उपयोग किया जा रहा है। हालांकि, यह याद रखना महत्वपूर्ण है कि कोई भी मोबाइल डिवाइस - व्यक्तिगत या कॉर्पोरेट, प्रबंधित या अप्रबंधित, आईओएस या एंड्रॉइड - फ़िशिंग प्रयासों के लिए असुरक्षित है।
स्मार्टफोन और टैबलेट ने कर्मचारियों के लिए कहीं से भी उत्पादक बनना आसान बना दिया है, लेकिन वे आईटी और सुरक्षा टीमों के लिए नई चुनौतियां भी लाए हैं। BYOD नीतियों का मतलब है कि पहले से कहीं अधिक लोग काम के लिए अपने निजी उपकरणों का उपयोग कर रहे हैं। इसका अर्थ है कि व्यक्तिगत कारणों से इन उपकरणों का उपयोग करते समय वे जिन जोखिमों का सामना करते हैं, वे भी कंपनी के लिए जोखिम पैदा करते हैं। कॉर्पोरेट के स्वामित्व वाले उपकरणों की तुलना में आईटी और सुरक्षा टीमों की इन उपकरणों में काफी कम दृश्यता है, जिसका अर्थ है कि इन बढ़े हुए जोखिमों को नियंत्रित करना कठिन है।
कर्मचारियों के निजी उपकरणों पर लक्षित हमले
इन कारकों का मतलब है कि कॉर्पोरेट वातावरण में घुसने के लिए हमलावर अब उपयोगकर्ताओं के निजी उपकरणों को निशाना बना रहे हैं। एक कर्मचारी सोशल मीडिया, व्हाट्सएप या ईमेल जैसे निजी चैनलों के माध्यम से सोशल इंजीनियरिंग के हमले का शिकार हो सकता है। एक बार ऐसा होने पर, हमलावर अपने नियोक्ता के नेटवर्क या डेटा तक पहुंच प्राप्त कर सकते हैं। यह एक बार होने वाली घटना भी नहीं है, जिसमें लुकआउट डेटा दिखाता है कि 2022 तक, 50 प्रतिशत से अधिक व्यक्तिगत उपकरणों को प्रति तिमाही कम से कम एक बार मोबाइल फ़िशिंग हमले के किसी न किसी रूप में उजागर किया गया है।
लाखों दांव पर हैं
जब कर्मचारी फ़िशिंग घोटाले के लिए आते हैं तो केवल डेटा ही जोखिम नहीं होता है। लुकआउट का अनुमान है कि 5.000 कर्मचारियों वाली कंपनियों के लिए एक सफल फ़िशिंग हमले का अधिकतम वित्तीय प्रभाव बढ़कर लगभग $XNUMX मिलियन हो गया है। बीमा, बैंकिंग और कानूनी जैसे अत्यधिक विनियमित उद्योगों को सबसे आकर्षक बाजार माना जाता है और वे बड़ी मात्रा में संवेदनशील डेटा रखने के कारण विशेष रूप से हमलों के प्रति संवेदनशील होते हैं।
ये उच्च लागतें ऐसे समय में आई हैं जब फ़िशिंग हमले सर्वकालिक उच्च स्तर पर हैं। 2020 की तुलना में, कॉर्पोरेट उपकरणों पर फ़िशिंग हमलों की संख्या अब 10 प्रतिशत अधिक है और व्यक्तिगत उपकरणों पर 20 प्रतिशत अधिक है। इसके अलावा, लोग फ़िशिंग लिंक पर 2020 की तुलना में अधिक बार क्लिक कर रहे हैं, जिसका अर्थ यह हो सकता है कि हमलावर प्रामाणिक दिखने वाले संदेशों को बनाने में बेहतर हो रहे हैं। पहले से कहीं अधिक जोखिम और अधिक धन के साथ, संगठनों को अपने डेटा की सुरक्षा के लिए अपनी सुरक्षा रणनीतियों को अनुकूलित करना चाहिए।
मोबाइल फ़िशिंग खतरों से डेटा को सुरक्षित रखें
मोबाइल फ़िशिंग परिदृश्य पहले से कहीं अधिक विश्वासघाती है, विशेष रूप से रिमोट वर्किंग बढ़ने के साथ। IT और सुरक्षा टीमों को ऐसी रणनीतियाँ बनानी चाहिए जो उन्हें सभी कर्मचारी उपकरणों पर फ़िशिंग हमलों से उत्पन्न डेटा जोखिमों की कल्पना करने, उनका पता लगाने और उन्हें कम करने में सक्षम बनाती हैं। यह इस बात पर ध्यान दिए बिना लागू होता है कि डिवाइस कंपनी के स्वामित्व वाले हैं या निजी। जीरो ट्रस्ट सिद्धांत और एसएएसई (सिक्योर एक्सेस सर्विस एज) पर आधारित सही रणनीति के साथ, हाइब्रिड वर्किंग वर्ल्ड को सुरक्षित बनाना संभव है।
“क्लाउड-आधारित सुरक्षा प्लेटफ़ॉर्म के माध्यम से ऑन-डिवाइस और एआई-संचालित फ़िशिंग डिटेक्शन से हमलों को रोकना संभव हो जाता है, जहाँ वे शुरू होते हैं। इस तरह का एक सुरक्षा समाधान उपयोगकर्ताओं को कॉर्पोरेट और व्यक्तिगत उपकरणों दोनों पर फ़िशिंग वेबसाइटों से जुड़ने से रोकता है," लुकआउट में ग्लोबल एमएसएसपी सॉल्यूशंस आर्किटेक्ट साशा स्पैंगेनबर्ग ने कहा। “इस तरह का समाधान किसी भी मोबाइल ऐप के माध्यम से फ़िशिंग हमलों का पता लगाता है और ब्लॉक करता है और कर्मचारियों को क्रेडेंशियल प्रकट करने या दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड करने से रोकता है। यदि हाइब्रिड कार्य एक वास्तविकता है तो मोबाइल फ़िशिंग खतरों से सुरक्षा एक प्राथमिकता होनी चाहिए।”
लुकआउट डॉट कॉम पर अधिक
लुकआउट के बारे में लुकआउट के सह-संस्थापक जॉन हेरिंग, केविन महाफ़ी और जेम्स बर्गेस 2007 में तेजी से जुड़ी हुई दुनिया द्वारा उत्पन्न सुरक्षा और गोपनीयता जोखिमों से लोगों की रक्षा करने के लक्ष्य के साथ एक साथ आए। स्मार्टफोन हर किसी की जेब में होने से पहले ही, उन्होंने महसूस किया कि गतिशीलता का हमारे काम करने और जीने के तरीके पर गहरा प्रभाव पड़ेगा।