सीधे मुख्य सामग्री पर जाएं

अजनबियों से बैडकैंडी न लें - आपके उपकरण कैसे प्रत्यारोपित किए जा सकते हैं और इसके बारे में क्या करना है


बैडकैंडी
साधारण शब्दों में बैड कैंडी क्या हो सकती है?
यह संभव है कि "बैड कैंडी" शब्द का इस्तेमाल स्कैमर्स द्वारा किया जा रहा हो, जिसका मतलब है:

'1. बैड' (Bad): शायद यह 'बकवास' या 'झूठ' (बातें) के लिए हो, या फिर किसी गलत लिंक (URL) को क्लिक कराने के लिए हो (जैसे बैट-लिंक).

2. 'कैंडी' (Candy): यह मीठी-मीठी, लुभावनी बातें और ऑफर्स (जैसे भारी डिस्काउंट, लॉटरी, नौकरी) हो सकती हैं, जो आपको आसानी से लालच दें. 
साइबर अपराधी सिस्को IOS XE उपकरणों पर 'बैडकैंडी' नामक एक इम्प्लांट लगा रहे हैं जो CVE-2023-20198 के प्रति संवेदनशील हैं। अक्टूबर 2023 से बैडकैंडी इम्प्लांट के विभिन्न रूप देखे गए हैं, और 2024 और 2025 के दौरान इसकी पुनः गतिविधि देखी जा सकती है।

BADCANDY एक कम इक्विटी वाला Lua-आधारित वेब शेल है, और साइबर ऐक्टर्स आमतौर पर CVE-2023-20198 के संबंध में डिवाइस की भेद्यता स्थिति को छिपाने के लिए समझौता होने के बाद एक गैर-स्थायी पैच लागू करते हैं। इन मामलों में, BADCANDY इम्प्लांट की उपस्थिति, CVE-2023-20198 के माध्यम से Cisco IOS XE डिवाइस के समझौता होने का संकेत देती है।

डिवाइस रीबूट होने के बाद भी BADCANDY इम्प्लांट बना नहीं रहता, हालाँकि, जहाँ किसी ऐक्टर ने अकाउंट क्रेडेंशियल्स या अन्य प्रकार की पर्सिस्टेंस एक्सेस कर ली है, वहाँ ऐक्टर डिवाइस या नेटवर्क तक पहुँच बनाए रख सकता है। पुनः-शोषण को रोकने के लिए CVE-2023-20198 का पैच लागू किया जाना चाहिए। यदि सक्षम हो, तो वेब यूज़र इंटरफ़ेस तक पहुँच भी प्रतिबंधित होनी चाहिए (नीचे सामान्य सख्तीकरण अनुभाग देखें)।

जुलाई 2025 से, ASD का आकलन है कि ऑस्ट्रेलिया में 400 से ज़्यादा डिवाइस BADCANDY से संभावित रूप से प्रभावित हैं। अक्टूबर 2025 के अंत तक, ऑस्ट्रेलिया में अभी भी 150 से ज़्यादा डिवाइस BADCANDY से प्रभावित हैं।

सीवीई-2023-20198
यह गंभीर भेद्यता सिस्को आईओएस एक्सई सॉफ्टवेयर के वेब यूजर इंटरफेस (यूआई) फीचर को प्रभावित करती है। इस भेद्यता का फायदा उठाकर कोई दूरस्थ, अप्रमाणित उपयोगकर्ता भेद्य सिस्टम पर एक अत्यधिक विशेषाधिकार प्राप्त खाता बना सकता है, जिससे वह सिस्टम पर नियंत्रण कर सकता है।

टिप्पणियाँ

इस ब्लॉग से लोकप्रिय पोस्ट

लगभग 90% साइबर हमले मानवीय भूल के कारण होते हैं, जो साइबर सुरक्षा शिक्षा और जागरूकता के महत्व पर बल देता है। साइबर फ्रॉड की जानकारी भी जीवन रक्षा दवाई है।।

क्या आप जानते है साइबर सुरक्षा ये मानवीय भूलें, जैसे फ़िशिंग ईमेल पर क्लिक करना या कमजोर पासवर्ड का उपयोग करना, साइबर अपराधियों के लिए एक आसान रास्ता प्रदान करती हैं। इस प्रकार, तकनीकी समाधानों के साथ-साथ कर्मचारियों का उचित प्रशिक्षण और सुरक्षा जागरूकता कार्यक्रम साइबर सुरक्षा में बहुत महत्वपूर्ण हैं।   मानवीय भूलों के सामान्य उदाहरण : फ़िशिंग:  दुर्भावनापूर्ण लिंक पर क्लिक करना या हानिकारक अटैचमेंट डाउनलोड करना। कमजोर पासवर्ड:  अनुमान लगाने योग्य पासवर्ड का उपयोग करना, या पासवर्ड को असुरक्षित तरीके से साझा करना या संग्रहीत करना । पैच करने में विफलता:  महत्वपूर्ण सुरक्षा अपडेट स्थापित न करना जिससे सिस्टम कमजोर हो जाता है। गलत डिलीवरी:  गोपनीय जानकारी गलती से गलत व्यक्ति को ईमेल करना। *भौतिक सुरक्षा चूक:  उपकरणों को अनलॉक छोड़ना या संवेदनशील डेटा की भौतिक प्रतियों को असुरक्षित छोड़ देना। क्यों महत्वपूर्ण है साइबर सुरक्षा शिक्षा और जागरूकता: संभावित खतरों का ज्ञान:  कर्मचारियों को फ़िशिंग, सोशल इंजीनियरिंग और मैलवेयर जैसे खतरों को पहचानने और...

मोमोस, खाए और फिर चापड़ से प्रेमिका की हत्या, पहचान छुपाने पेट्रोल डालकर लगा दिया आग, ऐसे सुलझी अंधे क़त्ल की गुत्थी... यह भी एक फ्रॉड है सावधान रहे सतर्क रहे।

  छत्तीसगढ़ के दुर्ग में मिली महिला की अधजली लाश की गुत्थी को पुलिस ने सुलझा लिया है। पुलिस ने महिला के प्रेमी को गिरफ्तार कर घटनाक्रम का खुलासा किया... दुर्ग। दुर्ग के उतई थाना में 8 दिसंबर की सुबह एक सनसनीखेज घटना सामने आई। आरोपी ने एक महिला की हत्या कर लाश को जला दिया था। घटना की सूचना मिलते ही एसएसपी विजय अग्रवाल खुद मौके पर पहुंचे थे। महिला का शव बुरी तरह से जल चुका था, जिसकी वजह से इसकी पहचान कर पाना पुलिस के लिए किसी चुनौती से कम नहीं था। चूंकि महिला की हत्या का मामला था, एसएसपी विजय अग्रवाल ने भी गंभीरता दिखाई और क्राइम, एसीसीयू व थाना पुलिस समेत 6 टीम तैयार की। टीम ने जांच शुरू की तो पता चला कि विजय बांधे नाम के व्यक्ति ने एक महीला की गुमशुदगी की शिकायत सुपेला थाने में दर्ज कराई थी। बस फिर पुलिस ने बिना देरी किये सूचक विजय बांधे को पकड़ा और उससे कड़ाई से पूछताछ की। आरोपी ज्यादा देर पुलिस को गुमराह नहीं कर पाया और हत्या करने की बात कबूल कर लिया। एसएसपी के नेतृत्व में ऐसे सुलझी अंधे कत्ल की गुत्थी दरअसल, 8 दिसम्बर की सुबह ग्राम पुरई निवासी ग्रामीण ने थाना उत्तई म...

फर्जी जॉब ऑफर से रहें सावधान! रट लें सरकार की ये बातें, कभी नहीं होगा साइबर फ्रॉड

अगर, आपके फोन पर जॉब ऑफर वाले मैसेज या कॉल आ रहे हैं तो आपको सावधान रहने की जरूरत है। इन दिनों कई ऐसे मामले सामने आए हैं, जिनमें फर्जी जॉब ऑफर के नाम पर ठगी की गई है। सरकार ने इससे बचने के तरीके बताए हैं। आज के डिजिटल दौर में नौकरी ढूंढना जितना आसान हो गया है, ऑनलाइन धोखाधड़ी का खतरा उतना ही बढ़ गया है। साइबर अपराधी अब नामी कंपनियों के नाम पर फर्जी जॉब ऑफर भेजकर लोगों से पैसे ठग रहे हैं। नेशनल साइबर क्राइम रिपोर्टिंग पोर्टल ने “ऑनलाइन जॉब फ्रॉड” को आधिकारिक अपराध की श्रेणी में रखा है, ताकि लोग इस खतरे को गंभीरता से लें। हाल के महीनों में कई ऐसे मामले सामने आए हैं, जिनमें लोगों से ट्रेनिंग, वीजा प्रोसेसिंग या बैकग्राउंड चेक के नाम पर पैसे वसूले गए। कुछ मामलों में तो भारतीय जॉब सीकर्स को विदेशों में झूठे वादों के जाल में फंसाया गया; जिससे साफ है कि अब सतर्क रहना बेहद जरूरी हो गया है। किसी के भी कंपनी के   नाम पर फर्जी जॉब ऑफर का ऐसा ही  बहुत सारे  मामला सामने आया है, जिसके बाद सरकार ने जरूरी चेतावनी जारी की है। कैसे पहचानें नौकरी फर्जी है या असली? “1.घर ब...