Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

यदि आप ज्ञान उपयोगिता को अधिकतम करना चाहते हैं, लेकिन गोपनीयता कानूनों के अनुरूप रहें, तो आपको इन दोनों के बीच सही स्थिरता की खोज करनी चाहिए।

आपके ज्ञान संचालन में क्या मदद करेगा?

गोपनीयता बढ़ाने वाले अनुप्रयुक्त विज्ञान, संक्षेप में पीईटी के रूप में संदर्भित। हालांकि पीईटी नियंत्रकों को जीडीपीआर, सीसीपीए और अन्य कानूनों के दायरे से छूट नहीं देते हैं, लेकिन वे ज्ञान प्रसंस्करण के दौरान सुरक्षा को बढ़ाते हैं। कई पीईटी प्रकार हैं और प्रत्येक तकनीक एक अद्वितीय उपयोग के मामले में कार्य करती है।

इस लेख पर, आप अध्ययन करेंगे:

  • गोपनीयता बढ़ाने वाले अनुप्रयुक्त विज्ञान (पीईटी) क्या हैं?
  • पीईटी के प्रकार।
  • अपने उपयोग के मामले में सही गोपनीयता-बढ़ाने वाली तकनीक का निर्णय कैसे करें।

पीईटी क्या हैं?

गोपनीयता-बढ़ाने वाली जानकारी एक समय अवधि है जिसमें कई रणनीतियां शामिल होती हैं जो आपको गोपनीयता और ज्ञान गोपनीयता की रक्षा करने की अनुमति देती हैं। प्रत्येक आंतरिक और बाहरी फर्म कार्यों में ज्ञान उपयोगिता को अधिकतम करते हुए, नाजुक ज्ञान प्रसंस्करण को कारगर बनाने के लिए पीईटी का उपयोग करें।

पीईटी जैसे प्राथमिक ज्ञान सुरक्षा विचारों का सम्मान करते हैं:

  • वैधता
  • इक्विटी और पारदर्शिता
  • उद्देश्य सीमा
  • सूचना न्यूनीकरण
  • शुद्धता
  • भंडारण सीमा
  • ईमानदारी और गोपनीयता
  • जवाबदेही

पीईटी कई वर्षों से व्यवसाय में हैं लेकिन सुरक्षा और गोपनीयता अनुपालन के आसपास बढ़ती चेतना के कारण मान्यता प्राप्त हुई है। आप उनमें से कुछ से अवगत हो सकते हैं, साथ में विज्ञापन-ब्लॉक, टोर नेटवर्क, गुमनामी, छद्म नाम या कृत्रिम ज्ञान।

पीईटी का उपयोग कब करें? मान लीजिए कि आप तीसरी घटना के साथ एक बड़ा ज्ञान उपक्रम चलाना चाहते हैं लेकिन आप अपने ज्ञान को उजागर नहीं करना चाहते हैं। इस मामले में, कई पीईटी आपको सहयोग करने की अनुमति देंगे क्योंकि आपके ज्ञान में सुरक्षा का एक अतिरिक्त चरण हो सकता है।

आइए विवरणों में गोता लगाएँ।

गोपनीयता बढ़ाने वाले अनुप्रयुक्त विज्ञान के प्रकार

पीईटी ने कई संगठनों के लिए अपने ज्ञान की रक्षा करने का सबसे अच्छा मार्ग प्रशस्त किया। हालाँकि तकनीकी विकास इतना तेज़ है, आप आम तौर पर एक से अधिक, स्टैंडअलोन रिज़ॉल्यूशन के लिए विभिन्न पीईटी का मिश्रण चाहते हैं।

यहां पीईटी की एक गहन सूची है जो आपके ज्ञान कार्यों में उपयोगी हो सकती है।

पीईटी प्रकार के बीच, आप पाएंगे:

  1. पारगमन और विश्राम में एन्क्रिप्शन
  2. डी-पहचान के तरीके: टोकनकरण या के-अनामता
  3. छद्मनामीकरण
  4. एआई-जनित कृत्रिम ज्ञान
  5. एन्क्रिप्टेड मूल्यांकन: होमोमोर्फिक एन्क्रिप्शन
  6. विश्वसनीय निष्पादन वातावरण (टीईई)
  7. अनाम कंप्यूटिंग: सुरक्षित बहु-पक्षीय गणना, फ़ेडरेटेड विश्लेषण
  8. डिफरेंशियल प्राइवेसी
1. पारगमन में और छूट पर एन्क्रिप्शन

एन्क्रिप्शन का अर्थ आमतौर पर जानकारी को कोडित ज्ञान में बदलना है जो इस ज्ञान को सुरक्षित करता है। जब तक आपके पास एक गूढ़ कुंजी नहीं होगी, तब तक आपने इसे दर्ज नहीं किया था।

पारगमन में एन्क्रिप्शन ज्ञान की गोपनीयता सुनिश्चित करता है जब ज्ञान हस्तांतरण पर होता है – पूरे वेब पर या पूरी तरह से अलग नेटवर्क पर। चूंकि पारगमन में ज्ञान अक्सर बहुत कम सुरक्षित होता है, आप इसे सुरक्षित रखने के लिए पारगमन में एन्क्रिप्शन चाहते हैं।

विश्राम पर एन्क्रिप्शन इसका मतलब है कि आप अपने ज्ञान की रक्षा करते हैं जो तीसरे पक्ष के बादल या आंतरिक परिवेश पर बैठता है। इस प्रकार का एन्क्रिप्शन सुनिश्चित करता है कि आपका ज्ञान लीक, हैक या एक्सफ़िल्टरेशन से सुरक्षित है।

2. डी-पहचान के तरीके

डी-आइडेंटिफिकेशन के तरीके ज्ञान को इस तरह से संशोधित करने पर निर्भर करते हैं कि लोगों के बारे में विवरण एक डेटासेट में कम मात्रा में दिखाई देता है। हालांकि के जवाब में डेटा नैतिकता और नवाचार केंद्रये विधियां वास्तव में ज्ञान की गोपनीयता को बचाने के लिए तंत्र नहीं हैं।

डी-पहचान विधियों के बीच, आप पाएंगे:

  • टोकनाइजेशन – यादृच्छिक मूल्यों के साथ विशेष मूल्यों को बदलना
  • ठीक है गुमनामी – डेटा को गतिशील रूप से मास्किंग करना ताकि किसी व्यक्ति की जानकारी के कारक डेटासेट में “छिपा” जाए जिससे किसी व्यक्ति विशेष को स्थापित करना कठिन हो जाता है
3. छद्म नामकरण

यह एक नॉलेज मास्किंग विधि है जो किसी व्यक्ति की पहचान को छद्म नाम से फ़ील्ड बदलकर डेटासेट में छुपाती है। हालांकि छद्मनामकरण कई परिस्थितियों में सहायक होता है, एक छद्म नाम वाले डेटासेट में PII शामिल होता है जिसे फिर से पहचाना जा सकता है इस प्रकार ऐसा ज्ञान GDPR का विषय है।

4. एआई-जनित कृत्रिम ज्ञान

कृत्रिम ज्ञान कृत्रिम रूप से उत्पन्न ज्ञान है जो अद्वितीय डेटासेट के पैटर्न, स्थिरता और संरचना को दर्शाता है। इस पीईटी में एक विशाल क्षमता है क्योंकि गोपनीयता-संरक्षण कृत्रिम ज्ञान में निजी ज्ञान शामिल नहीं है और इस प्रकार किसी भी उपक्रम में उपयोग किया जा सकता है जिसके लिए बड़ी मात्रा में उच्च गुणवत्ता वाले ज्ञान की आवश्यकता होती है।

यदि आप तृतीय-पक्ष योगदानकर्ताओं के साथ सहयोग करना चाहते हैं, सिंथेटिक डेटा ज्ञान क्षमता को अनलॉक करता है क्योंकि यह GDPR CCPA, या LGPD का विषय नहीं है।

5. एन्क्रिप्टेड मूल्यांकन

होमोमोर्फिक एन्क्रिप्शन

होमोमोर्फिक एन्क्रिप्शन में, आप तृतीय-पक्ष को एन्क्रिप्टेड प्रकार में ज्ञान के पाठ्यक्रम और विश्लेषण के लिए सक्षम करते हैं। एक ज्ञान नियंत्रक के रूप में, आप उन्हें ज्ञान भेजते हैं और एन्क्रिप्टेड ज्ञान पर गणना के लिए तत्पर रहते हैं। बाद में, गणनाओं के परिणाम प्राप्त करने के बाद, आप संभवतः ज्ञान को डिक्रिप्ट कर सकते हैं और परिणाम देख सकते हैं।

एन्क्रिप्शन के विपरीत जो पारगमन या विश्राम में काम करता है, होमोमोर्फिक एन्क्रिप्शन ज्ञान के दौरान काम करता है। इस पीईटी की सिद्धांत अवधारणा कई बाहरी, तीसरे अवसर निगमों के साथ सहयोग करना या क्लाउड परिवेश में संरक्षित और अनुपालन तरीके से ज्ञान को संरक्षित करना है।

6. विश्वसनीय निष्पादन वातावरण (टीईई)

इस तकनीक पर, आप मूल लैपटॉप के प्रोसेसर और स्मृति से “संरक्षित” {हार्डवेयर} विभाजन बनाते हैं। पूरे टीईई परिवेश में रखी गई जानकारी को सिद्धांत प्रोसेसर से एक्सेस नहीं किया जा सकता है और इन वातावरणों के बीच संचार एन्क्रिप्ट किया गया है, इस प्रकार संरक्षित है।

आप एक ज्ञान नियंत्रक के रूप में अनएन्क्रिप्टेड ज्ञान पर टीईई के अंदर तीसरी घटनाओं को कार्य करने दे सकते हैं, हालांकि आपके पास एक दूसरे के बीच विश्वास का एक निश्चित चरण होना चाहिए कि परिवेश उचित और सुरक्षित रूप से तैयार है। टीईई के परिणामस्वरूप आप अनएन्क्रिप्टेड ज्ञान पर कार्यरत हैं, यह होमोमोर्फिक एन्क्रिप्शन की तुलना में जल्दी है। थोड़ी देर में, आपको केवल डिक्रिप्शन कुंजी के साथ ज्ञान प्रकट करना होगा।

उन लोगों के लिए जो बाहरी घटना पर पूरी तरह से विश्वास नहीं करते हैं जिनके साथ आप सहयोग कर रहे हैं, उनके लिए होमोमोर्फिक एन्क्रिप्शन तकनीक का उपयोग करने की ओर झुकना बेहतर है।

7. अनाम कंप्यूटिंग

सुरक्षित बहु-पक्षीय संगणना

यह कई निगमों को एक ज्ञान उपक्रम पर सहयोग करने देता है जबकि कोई भी दूसरों के इनपुट से कुछ अध्ययन नहीं कर सकता है। यह आपको नाजुक ज्ञान का खुलासा किए बिना उपक्रम मूल्य का लाभ उठाते हुए गोपनीयता और सुरक्षा की रक्षा करने की अनुमति देता है।

फ़ेडरेटेड एनालिटिक्स

यह एक क्षेत्र के परिवेश में एक कंप्यूटर प्रोग्राम को क्रियान्वित करने और बाद में मूल घटना के परिणामों को बोलने पर केंद्रित है। फ़ेडरेटेड अध्ययन फ़ेडरेटेड मूल्यांकन का हिस्सा है और इसमें वितरित डेटासेट पर फ़ैशन का अध्ययन करने वाली कोचिंग मशीन शामिल है। यह पूरी तरह से गोपनीयता-वृद्धि तकनीक नहीं है – यह एमएल प्रशिक्षण पाठ्यक्रम के माध्यम से ज्ञान का खुलासा नहीं करने के बारे में अतिरिक्त है।

8. डिफरेंशियल प्राइवेसी

डिफरेंशियल प्राइवेसी (DP) एक ऐसा ढांचा है, जिसका मतलब है कि आप लोगों के बारे में विवरण छिपाते हुए कुछ डेटासेट के बारे में जानकारी साझा कर सकते हैं। डीपी में, आप डेटासेट में गोपनीयता की एक परत जोड़ते हैं ताकि यह सार्वजनिक हिस्से के लिए उपलब्ध हो।

सुरक्षा की यह परत एक एल्गोरिथम के प्रवेश ज्ञान (मूल अंतर गोपनीयता) या आउटपुट (अंतर्राष्ट्रीय अंतर गोपनीयता) में जोड़ा गया शोर है।

इस शोर को जानकारी में शामिल करने से आपको गोपनीयता की एक अतिरिक्त परत मिलती है लेकिन आप उसी समय मॉडल की सटीकता खो देते हैं। इसलिए इसे सख्ती से स्थिर करें ताकि आप अपने आप को बहुत गलत या बहुत अस्पष्ट परिणामों के साथ न पाएं।

कौन से पीईटी का उपयोग करना सबसे अच्छा है

सही पीईटी (ओं) के बारे में निर्णय लेने के लिए, कई तत्वों के बारे में सोचना सबसे अच्छा है। यहां कुछ सुझाव दिए गए हैं जो आपको एक स्वीकार्य ज्ञान सुरक्षा चुनने की अनुमति दे सकते हैं:

  1. निर्धारित करें कि आप किस प्रकार के ज्ञान का उपयोग कर रहे हैं (संरचित या असंरचित)।
  2. इस बारे में सोचें कि आपको तीसरे ईवेंट के साथ जानकारी साझा करनी होगी या नहीं।
  3. रूपरेखा तैयार करें कि आप डेटासेट में प्रवेश चाहते हैं या केवल आउटपुट में।
  4. निर्धारित करें कि क्या जानकारी का उपयोग मशीन अध्ययन और सिंथेटिक खुफिया उद्देश्यों को प्रशिक्षित करने के लिए किया जा सकता है।
  5. अपनी मूल्य सीमा की गणना करें – कुछ पीईटी दूसरों की तुलना में महंगे हैं।
  6. समझें कि आपके पास कितनी गणना ऊर्जा होगी – कुछ पीईटी को बेहतर बुनियादी ढांचे की आवश्यकता होती है।
  7. तय करें कि PII (व्यक्तिगत रूप से पहचान योग्य जानकारी) को डेटासेट में सहेजा जाना चाहिए या नहीं।

यदि आप अनिश्चित हैं कि कौन सा पीईटी आपके उपयोग के मामले से मेल खाता है, तो नीचे दी गई डेस्क देखें।

उदाहरण लाभकारी पीईटी
  • आप किसी तृतीय-पक्ष इकाई को गैर-सार्वजनिक ज्ञान में प्रवेश देते हैं।
  • यह ज्ञान पीआईआई को शामिल करता है।
  • आप डेटासेट से आउटपुट (अंतर्दृष्टि) साझा कर सकते हैं।
  • वे आपके लिए प्रक्रियाएं करते हैं और गणना की जटिलता बहुत अधिक हो सकती है या विलंबता कम होनी चाहिए।
  • विश्वसनीय निष्पादन वातावरण (टीईई)
  • ऊपर जैसा ही मामला है लेकिन गणना की जटिलता कम है और कोई मजबूत विलंबता आवश्यकता नहीं है।
  • आप सूचना मूल्यांकन के परिणाम प्रकाशित करना चाहते हैं। उदाहरण के लिए, Google COVID-19 हस्तक्षेपों के जवाब में निवासियों की गतिशीलता की आदतों से संबंधित आँकड़े और विज़ुअलाइज़ेशन लॉन्च करना चाहता था।
  • उपयोगी संसाधन उन Google ग्राहकों के स्थान ज्ञान पर आधारित है, जिन्होंने स्थान ऐतिहासिक अतीत की निगरानी का विकल्प चुना है।
  • विभेदक गोपनीयता (ज्ञान एकत्रीकरण लोगों की गोपनीयता की रक्षा करता है)
  • उपरोक्त सभी लेकिन आप इस ज्ञान मूल्यांकन का उपयोग करते हुए मॉडल का अध्ययन करने वाली मशीन का अभ्यास करना चाहते हैं।
    एआई-जनित कृत्रिम ज्ञान
  • आप कई आयोजनों में सहयोग करना चाहते हैं और विश्लेषण करना चाहते हैं।
  • प्रसंस्करण दूरस्थ इकाइयों पर होगा।
  • आप इस ज्ञान पर मॉडल पढ़ने वाली मशीन का अभ्यास करना चाहते हैं लेकिन आप कोई निजी ज्ञान साझा नहीं कर सकते।
  • मिश्रित अध्ययन के साथ कृत्रिम ज्ञान का उपयोग करना
  • आप कई आयोजनों में सहयोग करना चाहते हैं और विश्लेषण करना चाहते हैं।
  • प्रसंस्करण दूरस्थ इकाइयों पर होगा।
  • आप मुख्य रूप से इस ज्ञान के आधार पर सांख्यिकीय मूल्यांकन करना चाहते हैं।
  • केवल आप गणना के परिणाम जानना चाहते हैं।
  • आप एक तीसरी घटना (ओं) के साथ सहयोग कर रहे हैं जो ज्ञान में प्रवेश करती है और साथ ही आपके उपक्रम में नाजुक ज्ञान का योगदान करती है।
  • आप उपयोगकर्ता-विशिष्ट पूर्वानुमान लगाने का लक्ष्य बना रहे हैं।
  • अंतर्दृष्टि साझा करनी है, डेटासेट नहीं।
  • सुरक्षित बहुपक्षीय गणना (यदि आपके पास अधिक संचार कीमतों के लिए मूल्य सीमा है)।
  • सूचना प्रसंस्करण निपटान, पारगमन में एन्क्रिप्शन और छूट पर (यदि आपके पास अधिक संचार कीमतों के लिए मूल्य सीमा नहीं है)।
  • इसी तरह क्योंकि उपरोक्त हालांकि आपको आउटपुट की गणना करने के लिए तीसरी घटनाओं से अतिरिक्त नाजुक ज्ञान की आवश्यकता नहीं है।
  • डी-आइडेंटिफिकेशन, नॉलेज प्रोसेसिंग सेटलमेंट, ट्रांजिट और रिलैक्सेशन में एन्क्रिप्शन।
  • आप किसी तीसरे अवसर या उपभोक्ता के साथ जानकारी साझा कर रहे हैं।
  • डेटासेट को देखा जाना चाहिए, न कि केवल अंतर्दृष्टि।
  • डेटासेट में PII शामिल नहीं है।
  • अंतर गोपनीयता, जोखिम-आधारित ज्ञान डी-पहचान और/या कृत्रिम ज्ञान और एन्क्रिप्शन के साथ पारगमन और विश्राम में (संगठित नाम, दिनांक, भौगोलिक स्थान और अतिरिक्त जैसे संरचित ज्ञान के लिए) ज्ञान एकत्रीकरण को मिलाएं।
  • जोखिम-आधारित ज्ञान डी-आइडेंटिफिकेशन और/या कृत्रिम ज्ञान को ट्रांज़िट में और आराम के समय एन्क्रिप्शन के साथ मिलाएं (फ़ोटो, मूवी, भाषण जैसे असंरचित ज्ञान के लिए)।

स्रोत: पीईटी एडॉप्शन गाइड, प्राइवेसी एन्हांसिंग टेक्नोलॉजीज डिसीजन ट्री

यदि आप डेटा उपयोगिता को अधिकतम करना चाहते हैं लेकिन #गोपनीयता नियमों का अनुपालन करते हैं, तो आपको उन दोनों के बीच सही संतुलन खोजना होगा। आपके डेटा संचालन में क्या आपकी मदद कर सकता है? गोपनीयता बढ़ाने वाली प्रौद्योगिकियां (पीईटी)। #सम्मान डेटाट्वीट करने के लिए क्लिक करें

अंत में, सही विशेषज्ञों के साथ अपने उपयोग के मामले पर बहस करने का ध्यान रखें। अधिकांश स्थितियों में, आप एकाधिक पीईटी चाहते हैं। खतरों को सीमित करने के लिए, डिजाइन द्वारा गोपनीयता को लागू करें ताकि आपके पास पहले से ही मजबूत गोपनीयता के बुनियादी सिद्धांत हों।



The Ultimate Managed Hosting Platform

Source link

Continue Reading

ताज़ा खबर

शोधकर्ताओं ने बहु-वर्षीय सामूहिक क्रेडेंशियल चोरी अभियान को चीनी हैकर्स से जोड़ा – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

Chinese Hackers

The Ultimate Managed Hosting Platform

1.31 मिलियन से अधिक ग्राहकों ने दुर्भावनापूर्ण या अवांछनीय इंटरनेट ब्राउज़र एक्सटेंशन डालने की कोशिश की, जैसे ही साइबर सुरक्षा एजेंसी कैस्पर्सकी के नए निष्कर्ष सामने आए।

“जनवरी 2020 से जून 2022 तक, ब्राउज़र एक्सटेंशन में एडवेयर छुपाकर 4.3 मिलियन से अधिक विशिष्ट ग्राहकों पर हमला किया गया था, जो दुर्भावनापूर्ण और अवांछित ऐड-ऑन से प्रभावित सभी ग्राहकों का लगभग 70% है,” कॉर्पोरेट कहा.

Kaspersky के टेलीमेट्री डेटा के अनुसार, 2022 की पहली छमाही में कम से कम 1,311,557 ग्राहक इस श्रेणी में आते हैं। इसकी तुलना में, ऐसे ग्राहकों की संख्या 2020 में 3,660,236 पर पहुंच गई, जिसे 2021 में 1,823,263 विशिष्ट ग्राहकों ने अपनाया।

अनिवार्य रूप से सबसे प्रचलित जोखिम वेबसर्च के रूप में संदर्भित एडवेयर का एक घर है, जो पीडीएफ दर्शकों और विभिन्न उपयोगिताओं के रूप में सामने आता है, और खोज प्रश्नों को इकट्ठा करने और उनका विश्लेषण करने और ग्राहकों को संबद्ध हाइपरलिंक पर पुनर्निर्देशित करने की क्षमता के साथ आता है।

वेबसर्च ब्राउज़र के प्रारंभ पृष्ठ को संशोधित करने के लिए भी उल्लेखनीय है, जिसमें एक खोज इंजन और AliExpress जैसे तृतीय-पक्ष स्रोतों के लिए बहुत सारे हाइपरलिंक शामिल हैं, जो पीड़ित द्वारा क्लिक किए जाने पर, एक्सटेंशन बिल्डरों को संबद्ध लिंक के माध्यम से पैसा कमाने में सहायता करते हैं।

“इसके अतिरिक्त, एक्सटेंशन ब्राउज़र के डिफ़ॉल्ट खोज इंजन को देखने के लिए संशोधित करता है। myway[.]कॉम, जो उपभोक्ता प्रश्नों को जब्त कर सकता है, जमा कर सकता है और उनका विश्लेषण कर सकता है,” कास्परस्की प्रसिद्ध। “उपभोक्ता की खोज के आधार पर, अधिकांश संबंधित सहयोगी वेबसाइटों को खोज परिणामों में सक्रिय रूप से प्रचारित किया जा सकता है।”

एक्सटेंशन के दूसरे सेट में AddScript नाम का एक जोखिम होता है जो वीडियो डाउनलोडर्स की आड़ में अपने दुर्भावनापूर्ण प्रदर्शन को छुपाता है। जबकि ऐड-ऑन विपणन विकल्प प्रदान करते हैं, वे अतिरिक्त रूप से किसी दूरस्थ सर्वर से संपर्क करने के लिए डिज़ाइन किए गए हैं ताकि मनमाने जावास्क्रिप्ट कोड के एक हिस्से को पुनः प्राप्त और निष्पादित किया जा सके।

अकेले एच1 2022 में एक मिलियन से अधिक ग्राहकों का सामना करने का उल्लेख किया गया है, जिसमें वेबसर्च और एडस्क्रिप्ट 876,924 और 156,698 विशिष्ट ग्राहकों पर ध्यान केंद्रित कर रहे हैं।

इसके अतिरिक्त एफबी स्टीलर जैसे सूचना-चोरी करने वाले मैलवेयर की स्थितियां भी पाई गईं, जिसका उद्देश्य लॉग-इन ग्राहकों के एफबी लॉगिन क्रेडेंशियल और सत्र कुकीज़ चोरी करना है। FB Stealer H1 2022 में 3,077 विशिष्ट संक्रमण के प्रयास के लिए जिम्मेदार है।

मैलवेयर मुख्य रूप से Google जैसे खोज इंजनों पर क्रैक किए गए सॉफ़्टवेयर प्रोग्राम की तलाश करने वाले ग्राहकों को एकल करता है, जिसमें FB Stealer को NullMixer के रूप में संदर्भित ट्रोजन के माध्यम से वितरित किया जाता है, जो SolarWinds ब्रॉडबैंड इंजीनियर्स संस्करण के अनुरूप सॉफ़्टवेयर प्रोग्राम के लिए अनौपचारिक क्रैक किए गए इंस्टॉलर के माध्यम से प्रचारित करता है।

साइबर सुरक्षा

शोधकर्ताओं ने उल्लेख किया, “एफबी स्टीयर को उपभोक्ता की तुलना में मैलवेयर द्वारा काफी हद तक रखा जाता है।” “जैसे ही ब्राउज़र में जोड़ा जाता है, यह निर्दोष और मानक दिखने वाले क्रोम एक्सटेंशन Google अनुवाद की नकल करता है।”

ये हमले आर्थिक रूप से भी प्रेरित हैं। मैलवेयर ऑपरेटर, प्रमाणीकरण कुकीज़ का रखरखाव प्राप्त करने के बाद, लक्ष्य के Fb खाते में लॉग इन करते हैं और पासवर्ड बदलकर इसे हाईजैक कर लेते हैं, पीड़ित को सफलतापूर्वक लॉक कर देते हैं। फिर हमलावर पीड़ित के साथियों से पैसे मांगने के लिए प्रवेश का दुरुपयोग कर सकते हैं।

ज़िम्पेरियम द्वारा एक मैलवेयर परिवार का खुलासा करने के एक महीने बाद यह निष्कर्ष कुछ हद तक सामने आया है एबीसीसूप जो Google क्रोम, ओपेरा और मोज़िला फ़ायरफ़ॉक्स ब्राउज़र के रूसी ग्राहकों पर ध्यान केंद्रित करने वाले एडवेयर मार्केटिंग अभियान के एक भाग के रूप में Google अनुवाद एक्सटेंशन के रूप में है।

ऑनलाइन ब्राउज़र को संक्रमणों से मुक्त बनाए रखने के लिए, यह वास्तव में उपयोगी है कि ग्राहक सॉफ़्टवेयर प्रोग्राम डाउनलोड करने, मूल्यांकन एक्सटेंशन अनुमतियों, और समय-समय पर मूल्यांकन और उन ऐड-ऑन को अनइंस्टॉल करने के लिए विश्वसनीय स्रोतों से चिपके रहते हैं जिनका “आप उपयोग नहीं करते हैं या जिन्हें आप स्वीकार नहीं करते हैं।”


[ad_2]
Source link

Continue Reading

ताज़ा खबर

इस वर्ष अब तक एक मिलियन से अधिक उपयोगकर्ताओं को लक्षित दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

Malicious Browser Extensions Targeted Over a Million Users So Far This Year

The Ultimate Managed Hosting Platform

क्लाउड कम्युनिकेशन बिग ट्विलियो ने अपने कर्मचारियों की साख पर ध्यान केंद्रित करते हुए एक लाभदायक एसएमएस फ़िशिंग हमले के बाद एक ज्ञान उल्लंघन की पुष्टि की।

ट्विलियो ने कहा कि सोशल इंजीनियरिंग हमले के लिए कुछ ही कर्मचारी गिर गए, जिससे उसके कर्मचारी खातों की सीमित संख्या की साख उजागर हो गई। खतरनाक अभिनेता ने चोरी की साख का इस्तेमाल ट्विलियो की अंदरूनी तकनीकों से समझौता करने और सुनिश्चित खरीदार जानकारी को दर्ज करने के लिए किया। ट्विलियो का कहना है कि सूचना उल्लंघन ने 125 से कम संभावनाओं को प्रभावित नहीं किया।

17 देशों में 5,000 से अधिक कर्मचारियों के साथ, Twilio पाठ्य सामग्री, ईमेल, आवाज और वीडियो के लिए प्रोग्राम योग्य API इंटरफ़ेस प्रदान करता है। कंपनी 150,000 से अधिक कंपनियों और 10 मिलियन बिल्डरों की मदद करती है। 2015 में, कंपनी ने एक प्रोग्रामेबल टू-फैक्टर ऑथेंटिकेशन सप्लायर Authy का भी अधिग्रहण किया।

ट्विलियो के उपभोक्ता आधार में एफबी, स्ट्राइप, कोका-कोला, उबेर, एयरबीएनबी, क्रिप्टो डॉट कॉम, डेल, वीएमवेयर और फिलिप्स जैसी हाई-प्रोफाइल फर्म शामिल हैं। इस प्रकार, पीड़ितों की छोटी किस्म की परवाह किए बिना हमले के व्यापक निहितार्थ हो सकते हैं।

मेनस अभिनेताओं ने ट्विलियो के एसएमएस फ़िशिंग हमले में आईटी डिवीजन का प्रतिरूपण किया

हमलावरों ने ट्विलियो के आईटी डिवीजन का प्रतिरूपण किया, अपने लक्ष्यों को सूचित किया कि उनके पासवर्ड समाप्त हो गए हैं या उनके शेड्यूल में बदलाव हो गया है।

के जवाब में ट्विलियो का बयान, फ़िशिंग संदेशों में Twilio, SSO, और Okta जैसे वाक्यांशों वाले नकली डोमेन के हाइपरलिंक थे। दुर्भावनापूर्ण URL ने पीड़ितों को एक नकली Twilio लॉगिन वेब पेज पर पुनर्निर्देशित किया, जिसने उनकी साख काटा।

“यह फ़िशिंग हाइपरलिंक की चोट का एक स्टोरीबुक केस है। समझौता किए गए क्रेडेंशियल कभी-कभी फ़िशिंग संदेश में URL से प्राप्त होते हैं … जैसे ही इसे क्लिक किया जाता है, ज्ञान हानि और चोट का चक्र शुरू हो जाता है, “जेनी वार्नर, उत्पाद विज्ञापन और विपणन के निदेशक एक्जाबीमकहा गया।

ट्विलियो का कहना है कि फ़िशिंग एसएमएस संदेशों की उत्पत्ति अमेरिकी वाहकों से हुई है। क्लाउड संचार फर्म ने इंटरनेट होस्टिंग खातों को अक्षम करने के लिए एसएमएस फ़िशिंग संदेशों और इंटरनेट होस्टिंग फर्मों को बाधित करने के लिए अमेरिकी सेवा आपूर्तिकर्ताओं से संपर्क किया।

“पाठ्य सामग्री संदेश यूएस प्रदाता नेटवर्क से उत्पन्न हुए हैं। हमने अभिनेताओं को बंद करने के लिए अमेरिकी वाहकों के साथ काम किया और इन खातों को बंद करने के लिए दुर्भावनापूर्ण URL की सेवा करने वाले इंटरनेट होस्टिंग आपूर्तिकर्ताओं के साथ काम किया, ”कंपनी ने कहा।

फिर भी, हमलावरों को कैरियर और इंटरनेट होस्टिंग आपूर्तिकर्ताओं के माध्यम से घुमाकर मार्केटिंग अभियान को बनाए रखने का निर्णय लिया गया था। इसके अलावा, वे सेलफोन नंबरों के साथ कार्यकर्ता के नामों का मिलान कर सकते हैं। इसके अतिरिक्त उन्होंने पूर्व ट्विलियो कर्मचारियों से संपर्क किया और सुझाव दिया कि वे एसएमएस फ़िशिंग हमले को प्रभावी ढंग से पहले से ही जानबूझकर करते हैं।

ज्यादातर इन तत्वों के आधार पर, कंपनी ने निष्कर्ष निकाला कि दुर्भावनापूर्ण अभिनेता अपने कार्यों के सुव्यवस्थित, सूक्ष्म और व्यवस्थित हैं।

ट्विलियो ने एसएमएस फ़िशिंग हमले या उनके द्वारा चुराए गए ज्ञान के चरित्र के लिए जिम्मेदार खतरनाक अभिनेताओं की पहचान का खुलासा नहीं किया। कंपनी आईपी पते, लागत डेटा और पहचान के प्रमाण सहित कई सूचना कारक एकत्र करती है।

क्लाउड कम्युनिकेशंस फर्म ने समझौता किए गए खातों में प्रवेश रद्द कर दिया, एक जांच शुरू की, और कानून प्रवर्तन व्यवसायों को शामिल किया। ट्विलियो ने भी प्रभावित ग्राहकों को सूचित किया। इसके अलावा, कंपनी ने सोशल इंजीनियरिंग हमलों के लिए अपने कर्मचारियों को हाई अलर्ट पर रखने के लिए आवश्यक सुरक्षा प्रशिक्षण को फिर से सक्रिय कर दिया था।

साइबर सुरक्षा इंजीलवाद के निदेशक नील जोन्स, “सामान्य साइबर सुरक्षा चेतना कोचिंग के साथ, एंटी-फ़िशिंग प्रशिक्षण और मुख्य रूप से एक उपभोक्ता के” एंटरप्राइज मस्ट नो “पर आधारित फर्म की जानकारी में प्रवेश को अत्यधिक प्रभावी निवारक हैं।” एग्नीटे, कहा गया। “आपको अपने संगठन के ग्राहकों को भी फिर से शिक्षित करना होगा कि फ़िशिंग हमले केवल ई-मेल से नहीं होते हैं।”

एसएमएस फ़िशिंग हमला केंद्रित सामग्री सामग्री आपूर्ति समुदाय आपूर्तिकर्ता Cloudflare

सामग्री सामग्री आपूर्ति समुदाय (सीडीएन) क्लाउडफ्लेयर ने पुष्टि की कि यह एक में केंद्रित था इसी तरह का एसएमएस फ़िशिंग हमला 76 कर्मचारियों पर फोकस क्लाउडफ्लेयर के तीन कर्मचारी इस चाल के लिए गिर गए और अपने पासवर्ड का खुलासा किया। बहरहाल, कंपनी के हार्डवेयर-आधारित एमएफए प्रमाणीकरण ने अनधिकृत प्रविष्टि को अवरुद्ध कर दिया।

CDN आपूर्तिकर्ता ने दुर्भावनापूर्ण डोमेन को अवरुद्ध करके, प्रभावित कर्मचारियों का पता लगाकर, उनके क्रेडेंशियल्स को रीसेट करके, और हमलावर के सर्वर को बंद करने के लिए DigitalOcean के साथ समन्वय किया और क्षेत्र को हथियाने के लिए Porkbun का जवाब दिया।

Cloudflare और Twilio ने कहा कि SMS फ़िशिंग हमले से बचाव लगभग संभव नहीं था। इसके अलावा, व्यवसाय यह तय नहीं कर सके कि दुर्भावनापूर्ण अभिनेताओं ने कर्मचारियों के सेलफोन नंबर और उनके रिश्तेदारों के लोगों को कैसे प्राप्त किया।

“डिजिटल प्रमाणीकरण आपूर्तिकर्ता ट्विलियो पर कथित साइबर हमले ने हमें याद दिलाया कि संगठनों के आईटी सुरक्षा पैकेज पूरी तरह से उनके सबसे कमजोर लिंक के समान मजबूत हैं,” जोन्स ने कहा। “यहाँ, हम देखते हैं कि कैसे सोशल इंजीनियरिंग और ‘स्मिशिंग’ तकनीकों के परिणामस्वरूप धोखाधड़ी खाता प्रविष्टि हो सकती है और अंत में एक मॉडल की लोकप्रियता को प्रभावित कर सकती है।”

जोन्स ने कहा कि हमले ने “अंतरंग, तकनीकी संबंध” कर्मचारियों को उनके सेल गैजेट्स के साथ प्रदर्शित किया।

“टवीलियो ब्रीच जिसने हैकर्स को संभावनाओं की जानकारी में प्रवेश दिया, इस बात पर प्रकाश डाला गया कि मजबूत सुरक्षा का ख्याल रखने के लिए मजबूत प्रवेश प्रशासन और बुनियादी ढांचा कितना आवश्यक है,” टिम प्रेंडरग्रास्ट, सीईओ मजबूतडीएम, कहा गया। “हमलावर लगातार अंदरूनी तकनीकों में तरीकों की तलाश में हैं क्योंकि यह उन्हें डेटाबेस में एक वीआईपी क्रॉस प्रदान करता है, और सर्वर और हर छोटी चीज फर्मों में प्रवेश को सार्वजनिक रूप से लीक करने की आवश्यकता नहीं होती है।”

SMS #phishing संदेशों में Twilio, SSO, और Okta जैसे शब्दों वाले नकली डोमेन के लिंक थे। पीड़ितों को एक नकली ट्विलियो लॉगिन पृष्ठ पर पुनर्निर्देशित किया गया, जिसने उनकी साख काटा। #साइबर सुरक्षा #सम्मान डेटाट्वीट करने के लिए क्लिक करें

उत्पाद प्रशासन के उपाध्यक्ष मार्क बोवर के जवाब में अंजुना सुरक्षाविश्वसनीय कर्मचारियों को अंदरूनी खतरों में बदलना पारंपरिक सुरक्षा नियंत्रणों को दरकिनार करने का एक कम खर्चीला और आदर्श समाधान था।

“जैसे ही अत्यधिक विशेषाधिकार के साथ, समन्वित हमलावर तबाही और चोरी शुरू कर सकते हैं – जानकारी में हेरफेर, परिचालन उद्देश्यों से कुंजी जैसी बेहद नाजुक जानकारी भी चुरा सकते हैं।”


[ad_2]
Source link

Continue Reading

ताज़ा खबर

Android सुरक्षा सुविधाओं को बायपास करने के लिए बगड्रॉप मैलवेयर विकसित करने वाले साइबर अपराधी – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

BugDrop Malware

The Ultimate Managed Hosting Platform

क्लाउड कम्युनिकेशन बिग ट्विलियो ने अपने कर्मचारियों की साख पर ध्यान केंद्रित करते हुए एक लाभदायक एसएमएस फ़िशिंग हमले के बाद एक ज्ञान उल्लंघन की पुष्टि की।

ट्विलियो ने कहा कि सोशल इंजीनियरिंग हमले के लिए कुछ ही कर्मचारी गिर गए, जिससे उसके कर्मचारी खातों की सीमित संख्या की साख उजागर हो गई। खतरनाक अभिनेता ने चोरी की साख का इस्तेमाल ट्विलियो की अंदरूनी तकनीकों से समझौता करने और सुनिश्चित खरीदार जानकारी को दर्ज करने के लिए किया। ट्विलियो का कहना है कि सूचना उल्लंघन ने 125 से कम संभावनाओं को प्रभावित नहीं किया।

17 देशों में 5,000 से अधिक कर्मचारियों के साथ, Twilio पाठ्य सामग्री, ईमेल, आवाज और वीडियो के लिए प्रोग्राम योग्य API इंटरफ़ेस प्रदान करता है। कंपनी 150,000 से अधिक कंपनियों और 10 मिलियन बिल्डरों की मदद करती है। 2015 में, कंपनी ने एक प्रोग्रामेबल टू-फैक्टर ऑथेंटिकेशन सप्लायर Authy का भी अधिग्रहण किया।

ट्विलियो के उपभोक्ता आधार में एफबी, स्ट्राइप, कोका-कोला, उबेर, एयरबीएनबी, क्रिप्टो डॉट कॉम, डेल, वीएमवेयर और फिलिप्स जैसी हाई-प्रोफाइल फर्म शामिल हैं। इस प्रकार, पीड़ितों की छोटी किस्म की परवाह किए बिना हमले के व्यापक निहितार्थ हो सकते हैं।

मेनस अभिनेताओं ने ट्विलियो के एसएमएस फ़िशिंग हमले में आईटी डिवीजन का प्रतिरूपण किया

हमलावरों ने ट्विलियो के आईटी डिवीजन का प्रतिरूपण किया, अपने लक्ष्यों को सूचित किया कि उनके पासवर्ड समाप्त हो गए हैं या उनके शेड्यूल में बदलाव हो गया है।

के जवाब में ट्विलियो का बयान, फ़िशिंग संदेशों में Twilio, SSO, और Okta जैसे वाक्यांशों वाले नकली डोमेन के हाइपरलिंक थे। दुर्भावनापूर्ण URL ने पीड़ितों को एक नकली Twilio लॉगिन वेब पेज पर पुनर्निर्देशित किया, जिसने उनकी साख काटा।

“यह फ़िशिंग हाइपरलिंक की चोट का एक स्टोरीबुक केस है। समझौता किए गए क्रेडेंशियल कभी-कभी फ़िशिंग संदेश में URL से प्राप्त होते हैं … जैसे ही इसे क्लिक किया जाता है, ज्ञान हानि और चोट का चक्र शुरू हो जाता है, “जेनी वार्नर, उत्पाद विज्ञापन और विपणन के निदेशक एक्जाबीमकहा गया।

ट्विलियो का कहना है कि फ़िशिंग एसएमएस संदेशों की उत्पत्ति अमेरिकी वाहकों से हुई है। क्लाउड संचार फर्म ने इंटरनेट होस्टिंग खातों को अक्षम करने के लिए एसएमएस फ़िशिंग संदेशों और इंटरनेट होस्टिंग फर्मों को बाधित करने के लिए अमेरिकी सेवा आपूर्तिकर्ताओं से संपर्क किया।

“पाठ्य सामग्री संदेश यूएस प्रदाता नेटवर्क से उत्पन्न हुए हैं। हमने अभिनेताओं को बंद करने के लिए अमेरिकी वाहकों के साथ काम किया और इन खातों को बंद करने के लिए दुर्भावनापूर्ण URL की सेवा करने वाले इंटरनेट होस्टिंग आपूर्तिकर्ताओं के साथ काम किया, ”कंपनी ने कहा।

फिर भी, हमलावरों को कैरियर और इंटरनेट होस्टिंग आपूर्तिकर्ताओं के माध्यम से घुमाकर मार्केटिंग अभियान को बनाए रखने का निर्णय लिया गया था। इसके अलावा, वे सेलफोन नंबरों के साथ कार्यकर्ता के नामों का मिलान कर सकते हैं। इसके अतिरिक्त उन्होंने पूर्व ट्विलियो कर्मचारियों से संपर्क किया और सुझाव दिया कि वे एसएमएस फ़िशिंग हमले को प्रभावी ढंग से पहले से ही जानबूझकर करते हैं।

ज्यादातर इन तत्वों के आधार पर, कंपनी ने निष्कर्ष निकाला कि दुर्भावनापूर्ण अभिनेता अपने कार्यों के सुव्यवस्थित, सूक्ष्म और व्यवस्थित हैं।

ट्विलियो ने एसएमएस फ़िशिंग हमले या उनके द्वारा चुराए गए ज्ञान के चरित्र के लिए जिम्मेदार खतरनाक अभिनेताओं की पहचान का खुलासा नहीं किया। कंपनी आईपी पते, लागत डेटा और पहचान के प्रमाण सहित कई सूचना कारक एकत्र करती है।

क्लाउड कम्युनिकेशंस फर्म ने समझौता किए गए खातों में प्रवेश रद्द कर दिया, एक जांच शुरू की, और कानून प्रवर्तन व्यवसायों को शामिल किया। ट्विलियो ने भी प्रभावित ग्राहकों को सूचित किया। इसके अलावा, कंपनी ने सोशल इंजीनियरिंग हमलों के लिए अपने कर्मचारियों को हाई अलर्ट पर रखने के लिए आवश्यक सुरक्षा प्रशिक्षण को फिर से सक्रिय कर दिया था।

साइबर सुरक्षा इंजीलवाद के निदेशक नील जोन्स, “सामान्य साइबर सुरक्षा चेतना कोचिंग के साथ, एंटी-फ़िशिंग प्रशिक्षण और मुख्य रूप से एक उपभोक्ता के” एंटरप्राइज मस्ट नो “पर आधारित फर्म की जानकारी में प्रवेश को अत्यधिक प्रभावी निवारक हैं।” एग्नीटे, कहा गया। “आपको अपने संगठन के ग्राहकों को भी फिर से शिक्षित करना होगा कि फ़िशिंग हमले केवल ई-मेल से नहीं होते हैं।”

एसएमएस फ़िशिंग हमला केंद्रित सामग्री सामग्री आपूर्ति समुदाय आपूर्तिकर्ता Cloudflare

सामग्री सामग्री आपूर्ति समुदाय (सीडीएन) क्लाउडफ्लेयर ने पुष्टि की कि यह एक में केंद्रित था इसी तरह का एसएमएस फ़िशिंग हमला 76 कर्मचारियों पर फोकस क्लाउडफ्लेयर के तीन कर्मचारी इस चाल के लिए गिर गए और अपने पासवर्ड का खुलासा किया। बहरहाल, कंपनी के हार्डवेयर-आधारित एमएफए प्रमाणीकरण ने अनधिकृत प्रविष्टि को अवरुद्ध कर दिया।

CDN आपूर्तिकर्ता ने दुर्भावनापूर्ण डोमेन को अवरुद्ध करके, प्रभावित कर्मचारियों का पता लगाकर, उनके क्रेडेंशियल्स को रीसेट करके, और हमलावर के सर्वर को बंद करने के लिए DigitalOcean के साथ समन्वय किया और क्षेत्र को हथियाने के लिए Porkbun का जवाब दिया।

Cloudflare और Twilio ने कहा कि SMS फ़िशिंग हमले से बचाव लगभग संभव नहीं था। इसके अलावा, व्यवसाय यह तय नहीं कर सके कि दुर्भावनापूर्ण अभिनेताओं ने कर्मचारियों के सेलफोन नंबर और उनके रिश्तेदारों के लोगों को कैसे प्राप्त किया।

“डिजिटल प्रमाणीकरण आपूर्तिकर्ता ट्विलियो पर कथित साइबर हमले ने हमें याद दिलाया कि संगठनों के आईटी सुरक्षा पैकेज पूरी तरह से उनके सबसे कमजोर लिंक के समान मजबूत हैं,” जोन्स ने कहा। “यहाँ, हम देखते हैं कि कैसे सोशल इंजीनियरिंग और ‘स्मिशिंग’ तकनीकों के परिणामस्वरूप धोखाधड़ी खाता प्रविष्टि हो सकती है और अंत में एक मॉडल की लोकप्रियता को प्रभावित कर सकती है।”

जोन्स ने कहा कि हमले ने “अंतरंग, तकनीकी संबंध” कर्मचारियों को उनके सेल गैजेट्स के साथ प्रदर्शित किया।

“टवीलियो ब्रीच जिसने हैकर्स को संभावनाओं की जानकारी में प्रवेश दिया, इस बात पर प्रकाश डाला गया कि मजबूत सुरक्षा का ख्याल रखने के लिए मजबूत प्रवेश प्रशासन और बुनियादी ढांचा कितना आवश्यक है,” टिम प्रेंडरग्रास्ट, सीईओ मजबूतडीएम, कहा गया। “हमलावर लगातार अंदरूनी तकनीकों में तरीकों की तलाश में हैं क्योंकि यह उन्हें डेटाबेस में एक वीआईपी क्रॉस प्रदान करता है, और सर्वर और हर छोटी चीज फर्मों में प्रवेश को सार्वजनिक रूप से लीक करने की आवश्यकता नहीं होती है।”

SMS #phishing संदेशों में Twilio, SSO, और Okta जैसे शब्दों वाले नकली डोमेन के लिंक थे। पीड़ितों को एक नकली ट्विलियो लॉगिन पृष्ठ पर पुनर्निर्देशित किया गया, जिसने उनकी साख काटा। #साइबर सुरक्षा #सम्मान डेटाट्वीट करने के लिए क्लिक करें

उत्पाद प्रशासन के उपाध्यक्ष मार्क बोवर के जवाब में अंजुना सुरक्षाविश्वसनीय कर्मचारियों को अंदरूनी खतरों में बदलना पारंपरिक सुरक्षा नियंत्रणों को दरकिनार करने का एक कम खर्चीला और आदर्श समाधान था।

“जैसे ही अत्यधिक विशेषाधिकार के साथ, समन्वित हमलावर तबाही और चोरी शुरू कर सकते हैं – जानकारी में हेरफेर, परिचालन उद्देश्यों से कुंजी जैसी बेहद नाजुक जानकारी भी चुरा सकते हैं।”


[ad_2]
Source link

Continue Reading
Advertisement

Trending