मानव संसाधन विभाग प्राधिकरण अनुरोध घोटाला
कार्य-संबंधी संदेशों की समीक्षा करते समय सावधानी बरतना ज़रूरी है, खासकर जब साइबर अपराधी संवेदनशील जानकारी तक पहुँच पाने के लिए आंतरिक विभागों का रूप धारण कर रहे हैं। इस रणनीति का एक ताज़ा उदाहरण मानव संसाधन विभाग प्राधिकरण अनुरोध घोटाला है, जो खाता क्रेडेंशियल्स चुराने और कॉर्पोरेट सिस्टम से समझौता करने के लिए रचा गया एक फ़िशिंग ऑपरेशन है।
विषयसूची
मानव संसाधन के नाम पर एक भ्रामक संदेश
सुरक्षा शोधकर्ताओं द्वारा जाँचे गए धोखाधड़ी वाले ईमेल, किसी कंपनी के मानव संसाधन विभाग की आंतरिक सूचनाओं के रूप में प्रस्तुत किए जाते हैं। इन्हें कर्मचारियों के विकास के आगामी चरण से संबंधित अपडेट के रूप में प्रस्तुत किया जाता है और दावा किया जाता है कि प्राप्तकर्ता को नए वेतन ढाँचे, अवकाश नीति संशोधनों और वेतन समायोजनों की समीक्षा करनी होगी। विषय पंक्ति अक्सर 'मानव संसाधन प्राधिकरण अनुरोध: 2025 के लिए नीति अपडेट' जैसी होती है, हालाँकि सटीक शब्द अलग-अलग होते हैं।
इन संदेशों में दिए गए हर दावे, भले ही वे विश्वसनीय लग रहे हों, मनगढ़ंत हैं। ये ईमेल प्राप्तकर्ता के नियोक्ता, मानव संसाधन विभाग, या किसी वैध कंपनी, संगठन या सेवा प्रदाता से संबंधित नहीं हैं। बल्कि, ये ईमेल लॉग-इन पोर्टल जैसे दिखने वाले फ़िशिंग पेजों की ओर आकर्षित करने के लिए डिज़ाइन किए गए हैं। ये नकली वेबसाइटें पासवर्ड हासिल करने और स्कैमर्स को उनके कार्यस्थल के खातों तक पूरी पहुँच प्रदान करने के लिए बनाई जाती हैं।
साइबर अपराधी कार्यस्थल खातों को क्यों निशाना बनाते हैं?
किसी कर्मचारी के खाते में प्रवेश पाना हमलावरों के लिए बेहद महत्वपूर्ण होता है। व्यावसायिक संचार में अक्सर गोपनीय डेटा, परिचालन विवरण, वित्तीय रिकॉर्ड और आंतरिक सेवाओं तक पहुँच लिंक होते हैं। एक बार अपराधी इन क्रेडेंशियल्स को प्राप्त कर लेते हैं, तो वे इनका सीधे तौर पर दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग कर सकते हैं या इन्हें अन्य ख़तरा पैदा करने वाले लोगों को बेच सकते हैं।
समझौता किए गए खातों से उत्पन्न जोखिम
- संवेदनशील व्यावसायिक जानकारी का उजागर होना और रैनसमवेयर या ट्रोजन संक्रमण सहित मैलवेयर प्रकोप का जोखिम बढ़ना
- क्लाउड स्टोरेज, फ़ाइल-शेयरिंग टूल, प्रोजेक्ट प्रबंधन सिस्टम या कॉर्पोरेट सोशल मीडिया खातों जैसे कनेक्टेड प्लेटफ़ॉर्म तक अनधिकृत पहुँच
सही पहुंच के साथ, घोटालेबाज पीड़ित का रूप धारण करके पैसे मांग सकते हैं, दुर्भावनापूर्ण फाइलें साझा कर सकते हैं, या सहकर्मियों, साझेदारों और ग्राहकों तक धोखाधड़ी वाली सामग्री फैला सकते हैं।
एक सफल हमले के संभावित परिणाम
- वित्तीय चोरी, धोखाधड़ी वाले लेनदेन, या डिजिटल वॉलेट का दुरुपयोग
- पहचान धोखाधड़ी और प्रतिरूपण
- दीर्घकालिक गोपनीयता प्रभाव और संभावित कॉर्पोरेट डेटा उल्लंघन
इन फ़िशिंग ईमेल के पीछे की रणनीति
हालाँकि कई लोग स्पैम में स्पष्ट त्रुटियाँ होने की उम्मीद करते हैं, ये घोटाले अक्सर परिष्कृत और पेशेवर तरीके से लिखे जाते हैं। ये प्रामाणिक दिखने के लिए जानबूझकर कॉर्पोरेट लहजे और ब्रांडिंग की नकल करते हैं। हमलावर ऐसे ईमेल विभिन्न प्रकार की धोखाधड़ी को बढ़ावा देने और हानिकारक अटैचमेंट या एम्बेडेड लिंक के माध्यम से मैलवेयर भेजने के लिए फैलाते हैं।
इन अभियानों में प्रयुक्त दुर्भावनापूर्ण फ़ाइलों में निष्पादन योग्य प्रोग्राम, अभिलेखागार, दस्तावेज़, जावास्क्रिप्ट फ़ाइलें, या अन्य प्रारूप शामिल हो सकते हैं। इनमें से कुछ फ़ाइलें खोले जाने पर स्वचालित रूप से सक्रिय हो जाती हैं, जबकि अन्य को सहभागिता की आवश्यकता होती है, जैसे कि Office फ़ाइलों में मैक्रोज़ सक्षम करना या OneNote दस्तावेज़ों में एम्बेडेड आइटम पर क्लिक करना।
पीड़ितों के साथ क्या होता है
मानव संसाधन विभाग के प्राधिकरण अनुरोध घोटाले के शिकार लोगों को भारी नुकसान का सामना करना पड़ सकता है। चोरी किए गए क्रेडेंशियल्स अपराधियों को व्यापक नेटवर्क में घुसपैठ करने, अतिरिक्त डेटा चुराने और मैलवेयर तैनात करने का मौका देते हैं। इसके परिणामस्वरूप होने वाले नुकसान में अक्सर गोपनीयता भंग, सिस्टम से समझौता, वित्तीय नुकसान और पहचान की चोरी शामिल होती है।
अगर किसी ने पहले ही अपने खाते का विवरण दे दिया है, तो तुरंत कार्रवाई ज़रूरी है। सभी संभावित रूप से प्रभावित खातों के पासवर्ड अपडेट करने और उन सेवाओं की आधिकारिक सहायता टीमों से संपर्क करने की पुरज़ोर सिफ़ारिश की जाती है।
यहां तक कि नियमित या आंतरिक स्रोत से प्राप्त ईमेल के मामले में भी सतर्क रहना आधुनिक फिशिंग खतरों के खिलाफ सबसे प्रभावी बचावों में से एक है।
System Messages
The following system messages may be associated with मानव संसाधन विभाग प्राधिकरण अनुरोध घोटाला:
Subject: HR Authorization Request: Policy Updates for 2025 |
