COMMENTARY
دفاعی حفاظتی تکنیکیں اکثر جارحانہ حملے کی حکمت عملیوں سے پیچھے رہتی ہیں، جس سے کمپنیوں کو تیزی سے تیار ہونے والے خطرات سے زیادہ خطرہ ہوتا ہے۔ یہ اکثر تباہ کن خلاف ورزیوں کی تعدد کی وضاحت کرتا ہے: حفاظتی حکمت عملی شاذ و نادر ہی نئے خطرات کے ساتھ (یا ان کی توقع میں) تیار ہوتی ہے۔
ایک تشویشناک صورت حال ہیلپ ڈیسک ہے، جو آج کی سب سے زیادہ بے نقاب تنظیمی اچیلز ہیلس میں سے ایک ہے۔ ہیلپ ڈیسک پر حملے سائبر کرائمینلز کی طرف سے ایک واضح جارحانہ کھیل ہے: بدنیتی پر مبنی اداکار چاہتے ہیں کہ اسناد نیٹ ورکس میں داخل ہوں اور بعد میں منتقل ہوں، اور ڈیسک کو پاس ورڈ لاک آؤٹ، گمشدہ آلات وغیرہ کا سامنا کرنے والے صارفین کو اسناد اور IT آلات فراہم کرنے میں مدد کریں۔ ہیلپ ڈیسک سے سمجھوتہ کرنے سے حملہ آوروں کو حساس معلومات تک رسائی مل سکتی ہے جو کمپنی کی اضافی خلاف ورزیوں کو ہوا دے سکتی ہے۔ لہذا، اس کی وجہ یہ ہے کہ ہیلپ ڈیسک حملوں کے لیے تیار ہے۔
اگرچہ بہت سی کمپنیاں سختی سے نیٹ ورک کے دائرے، اختتامی صارفین، ای میلز، اور خطرے کے تقریباً ہر محاذ کو محفوظ بنانے کی کوشش کرتی ہیں، لیکن ہیلپ ڈیسک اکثر اختلاط میں کھو جاتا ہے۔ بہت سی کمپنیوں کے پاس ایسے ملازمین کی شناخت کی توثیق کرنے کا کوئی عمل نہیں ہے جو اپنے آلات اور ڈیٹا تک رسائی میں مدد کے لیے ہیلپ ڈیسک سے رابطہ کرتے ہیں۔ بہت سے ہیلپ ڈیسک آؤٹ سورس ہوتے ہیں (اور ہو سکتا ہے ملک میں بھی نہ ہوں)، اور بہت سے لوگ شاذ و نادر ہی اپنے نام سے زیادہ صارف کی توثیق کا مطالبہ کرتے ہیں۔ یہاں تک کہ وہ لوگ جو صارف کی توثیق کے عمل کے ساتھ پروٹوکول میں بہت کم معیاری ہیں۔ کچھ صارفین سے بنیادی معلومات مانگتے ہیں، جیسے کہ تاریخ پیدائش یا پتہ؛ دوسرے کام کے ای میل ایڈریس یا آفس فون ایکسٹینشن مانگتے ہیں۔ اس قسم کی معلومات ہیکرز کے ذریعے خلاف ورزیوں یا عام ہیکنگ تکنیکوں کے ذریعے آسانی سے حاصل کی جا سکتی ہیں۔
ہیلپ ڈیسک کے طریقہ کار خطرے کی سطح کے دیگر علاقوں پر لاگو حفاظتی سختی سے بچ گئے ہیں۔ لہذا، یہ پیش قیاسی ہے کہ ہیلپ ڈیسک خطرے کے اداکاروں کے لیے توجہ کا مرکز بن گئے ہیں۔ اس سے بھی بدتر بات یہ ہے کہ حملہ آور دفاعی حکمت عملیوں میں متوقع پیشرفت کے خلاف جنریٹیو مصنوعی ذہانت (AI) ٹولز کا استعمال کرتے ہوئے اسے ایک قدم آگے بڑھا رہے ہیں۔
اسپاٹ لائٹ میں AI پر مبنی ہیلپ ڈیسک حملے کی حکمت عملی
ہیلپ ڈیسک سماجی انجینئرنگ حملے ہیں a عام ویکٹر خلاف ورزیوں اور رینسم ویئر کے حملوں کے لیے جو تباہ کن نتائج کا باعث بن سکتے ہیں۔ سوشل انجینئرنگ کے حملوں کے لیے درکار زیادہ تر معلومات آسانی سے دستیاب ہیں: LinkedIn جیسی سوشل میڈیا سائٹس ملازمین کے بارے میں ان کے نام، عہدوں اور دفتری مقامات سمیت بہت ساری معلومات فراہم کرتی ہیں۔ ہلپ ہیلپ ڈیسک کی توثیق کے طریقہ کار حملہ آوروں کے لیے پاس ورڈ دوبارہ ترتیب دینے کی درخواست کرنے والے ملازمین کی نقالی کرنا آسان بناتے ہیں، مثال کے طور پر۔
اگرچہ چھوٹی کمپنیاں اور آن سائٹ ہیلپ ڈیسک والے ملازمین کی آوازوں کو پہچاننے کا زیادہ امکان رکھتے ہیں، ڈیپ فیکس ان کو ٹرپ کر سکتے ہیں۔ وہاں ہے اوپن سورس ٹولز دستیاب ہیں۔ آڈیو تصدیقی کنٹرولز کو نظرانداز کرنے کے لیے لائیو، ڈیپ فیک آڈیو بنانے کے لیے۔ بھی ہیں۔ AI پر مبنی ڈیپ فیک ویڈیو ٹولز جو ان تنظیموں کو دھوکہ دے سکتا ہے جو ایک قدم آگے بڑھ کر صارف کی بصری توثیق کی درخواست کرتی ہیں۔ کمپنی کے سرکردہ رہنما اور دیگر جو عوامی طور پر بولتے ہیں ممکنہ طور پر گہرے نقالی کا نشانہ بنتے ہیں، کیونکہ ان کی آواز اور ویڈیو کی تصاویر اکثر آن لائن دستیاب ہوتی ہیں۔
ہیلپ ڈیسک کو سوشل انجینئرنگ سے کیسے بچایا جائے۔
پاس ورڈ دوبارہ ترتیب دینے یا اسناد جاری کرنے سے پہلے ملازم کی شناخت کی توثیق کرنے کے لیے مضبوط ہیلپ ڈیسک طریقہ کار بنانا ضروری ہے۔ کچھ سفارشات میں شامل ہیں:
-
سب تک رسائی سے انکار لیکن کمپنی کے ذریعے جانچے گئے یا کمپنی کے جاری کردہ آلات کارپوریٹ وسائل یا ایپلی کیشنز کے لیے۔ اس بات کو یقینی بنائیں کہ نیٹ ورک تک رسائی حاصل کرنے والے کسی بھی ڈیوائس کی سیکیورٹی کے لیے مناسب جانچ کی گئی ہے اور وہ سیکیورٹی کے بہترین طریقوں پر عمل پیرا ہے۔
-
جب صارف کی درخواست موصول ہوتی ہے، تو IT کو صارف کو ان کی شناخت کی تصدیق کے لیے ان کے قابل اعتماد، رجسٹرڈ ڈیوائس پر کال کرنا چاہیے۔
-
ایک ملٹی فیکٹر توثیق (MFA) ایپلیکیشن کا استعمال کرتے ہوئے ایک تصدیقی پش جاری کریں — نہ کہ SMS یا ای میل — سم کی تبدیلی کے حملوں کے خطرے کو کم کرنے کے لیے بھروسہ مند ڈیوائس پر۔ صارف سے کوڈ کو بلند آواز سے پڑھنے اور "قبول کریں" کو دبانے کو کہیں۔
-
صارف کے آلے کے سیریل نمبر کی درخواست کریں، اور نمبر کی توثیق کریں۔
-
اسمارٹ فون کو تبدیل کرنے کی درخواستوں کے لیے، اگر صارف نیا اسمارٹ فون خرید رہا ہے اور اسے مجاز یا رجسٹرڈ کروانا چاہتا ہے، تو انہیں IT کو پہلے سے مطلع کرنا چاہیے۔ جب IT جانتا ہے کہ یہ ایک منصوبہ بند واقعہ ہے، تو وہ تبدیلی کی توثیق کرنے کے لیے منتخب کردہ MFA ایپلیکیشن سے تصدیقی پش جاری کر سکتا ہے۔
-
پاس ورڈ کو دوبارہ ترتیب دینے کے لیے، ایک بار جب صارف مندرجہ بالا مراحل کو استعمال کرتے ہوئے توثیق کرتا ہے، تجویز کردہ پالیسی یہ ہے:
-
ایکٹو ڈائریکٹری اکاؤنٹ کو ایڈجسٹ کریں تاکہ پاس ورڈ عارضی طور پر "کبھی ختم نہ ہو" پر سیٹ ہو۔
-
صارف کو اپنا آخری پاس ورڈ استعمال کرنے کی ہدایت کریں اور پھر تجویز کردہ پاس ورڈ کنونشنز کا استعمال کرتے ہوئے نئے پاس ورڈ پر دوبارہ سیٹ کریں۔
-
ایکٹو ڈائرکٹری کو معیاری پاس ورڈ ختم ہونے کی پالیسیوں پر دوبارہ ترتیب دیں۔
-
IT کو کبھی بھی صارف کے پاس ورڈ نہیں معلوم ہونے چاہئیں۔
-
-
ایسے مسائل کے لیے جہاں آپ MFA پش نہیں بھیج سکتے، صارف کے ساتھ ایک ویڈیو کال شروع کریں جس میں ان کی حکومت کی طرف سے جاری کردہ ID اور ان کا کمپیوٹر اور اس کا سیریل نمبر دکھایا جائے۔
-
اس بات کو یقینی بنائیں کہ پاس ورڈز، کریش ڈمپس، اور سیشن ٹوکنز جیسا حساس ڈیٹا سروس ڈیسک کے پلیٹ فارم میں باقی نہ رہے۔
ایک نہ ختم ہونے والی جنگ جو لڑنے کے قابل ہے۔
ہیلپ ڈیسک ہیکر کے نقطہ نظر سے خطرے کی واضح لکیر ہیں۔ یہ ضروری ہے کہ ان کی حفاظت اسی فوکس اور تحفظ کی تہوں کے ساتھ کی جائے جو آپ انٹرپرائز میں کسی دوسرے خطرے کی سطح پر لاگو کریں گے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/8-strategies-defending-against-help-desk-attacks
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 10
- 12
- 7
- 8
- 9
- a
- ہمارے بارے میں
- اوپر
- قبول کریں
- تک رسائی حاصل
- تک رسائی حاصل
- اکاؤنٹ
- فعال
- ایکٹو ڈائریکٹری
- اداکار
- ایڈیشنل
- پتہ
- پتے
- عمل پیرا
- آگے بڑھانے کے
- ترقی
- کے خلاف
- AI
- تمام
- تقریبا
- an
- اور
- متوقع
- متوقع
- کوئی بھی
- درخواست
- ایپلی کیشنز
- اطلاقی
- کا اطلاق کریں
- کیا
- علاقوں
- مصنوعی
- مصنوعی ذہانت
- مصنوعی انٹیلی جنس (AI)
- AS
- پوچھنا
- اسسٹنس
- حملہ
- حملے
- آڈیو
- کی توثیق
- مجاز
- دستیاب
- بنیادی
- جنگ
- BE
- بن
- رہا
- اس سے پہلے
- BEST
- بہترین طریقوں
- سے پرے
- پیدائش
- خلاف ورزیوں
- لیکن
- by
- بائی پاس
- فون
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- کیس
- تبدیل
- منتخب کیا
- سرکل
- کوڈ
- کامن
- کمپنیاں
- کمپنی کے
- سمجھوتہ
- کمپیوٹر
- نتائج
- رابطہ کریں
- کنٹرول
- کنونشنوں
- کارپوریٹ
- ملک
- ناکام، ناکامی
- تخلیق
- اسناد
- cybercriminals
- اعداد و شمار
- تاریخ
- deepfakes
- کا دفاع
- دفاعی
- ڈیسک
- ڈیسک
- تباہ کن
- آلہ
- کے الات
- دکھانا
- آسانی سے
- آسان
- ای میل
- ای میل
- ملازم
- ملازمین
- آخر
- انجنیئرنگ
- کو یقینی بنانے کے
- انٹرپرائز
- کا سامان
- ضروری
- بھی
- واقعہ
- ہر کوئی
- تیار
- تیار ہوتا ہے
- مثال کے طور پر
- تجربہ کرنا
- ختم ہونے
- بیان کرتا ہے
- ظاہر
- ملانے
- توجہ مرکوز
- کے لئے
- فرکوےنسی
- سے
- فرنٹیئر
- ایندھن
- مزید
- پیداواری
- حاصل
- دے دو
- Go
- ہیکر
- ہیکروں
- ہیکنگ
- ہے
- اونچائی
- مدد
- HTTPS
- آئکن
- ID
- شناخت
- شناختی
- if
- تصاویر
- اہم
- in
- شامل
- سمیت
- معلومات
- شروع
- انٹیلی جنس
- مسئلہ
- مسائل
- جاری
- IT
- میں
- فوٹو
- جان
- جانتا ہے
- آخری
- تہوں
- قیادت
- رہنماؤں
- چھوڑ دیا
- کی طرح
- امکان
- لائن
- لنکڈ
- تھوڑا
- رہتے ہیں
- مقامات
- کھو
- بنا
- بدقسمتی سے
- بہت سے
- مئی..
- میڈیا
- MFA
- کم سے کم
- اختلاط
- زیادہ
- سب سے زیادہ
- منتقل
- بہت
- ملفیکٹور کی توثیق
- نام
- نام
- ضرورت
- نیٹ ورک
- نیٹ ورک
- کبھی نہیں
- نئی
- نہیں
- تعداد
- واضح
- of
- جارحانہ
- دفتر
- اکثر
- on
- ایک بار
- ایک
- آن لائن
- کھولنے
- or
- تنظیمی
- تنظیمیں
- دیگر
- دیگر
- پاس ورڈ
- پاس ورڈز
- فون
- منصوبہ بنایا
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلیں
- پوائنٹ
- نقطہ نظر
- پالیسیاں
- پالیسی
- پوزیشنوں
- طریقوں
- پیش قیاسی
- طریقہ کار
- عمل
- عمل
- مناسب طریقے سے
- حفاظت
- تحفظ
- پروٹوکول
- فراہم
- عوامی طور پر
- خریداری
- پش
- ransomware کے
- رینسم ویئر حملے
- میں تیزی سے
- کم از کم
- پڑھیں
- وجہ
- موصول
- تسلیم
- سفارشات
- رجسٹرڈ
- متبادل
- درخواست
- درخواست
- درخواستوں
- وسائل
- رسک
- مضبوط
- s
- اسی
- محفوظ بنانے
- سیکورٹی
- بھیجنے
- حساس
- سیریل
- سروس
- اجلاس
- مقرر
- ہونا چاہئے
- سائٹس
- چھوٹے
- اسمارٹ فون
- SMS
- So
- سماجی
- معاشرتی انجینرنگ
- سوشل میڈیا
- کچھ
- ماخذ
- بات
- معیار
- معیاری کاری
- کھڑا ہے
- مرحلہ
- مراحل
- حکمت عملیوں
- اس طرح
- سطح
- حکمت عملی
- لینے
- Tandem
- اہداف
- تکنیک
- کہ
- ۔
- کے بارے میں معلومات
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- ان
- اگرچہ؟
- خطرہ
- دھمکی دینے والے اداکار
- خطرات
- کے ذریعے
- کرنے کے لئے
- آج
- ٹوکن
- اوزار
- سب سے اوپر
- سفر
- قابل اعتماد
- کوشش
- اقسام
- استعمال کی شرائط
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- تصدیق کریں۔
- توثیقی
- توثیق کرنا
- توثیق
- اس بات کی تصدیق
- جانچ پڑتال
- ویڈیو
- لنک
- بصری
- وائس
- آوازیں
- خطرے کا سامنا
- اجرت
- چاہتے ہیں
- چاہتا ہے
- ویلتھ
- جب
- ڈبلیو
- ساتھ
- کام
- بدتر
- قابل
- گا
- آپ
- زیفیرنیٹ