1. साइबर सुरक्षा के संदर्भ में, "फिशिंग" (Phishing) का तात्पर्य है:
हार्डवेयर की भौतिक चोरी।
एक भरोसेमंद इकाई के रूप में प्रच्छन्न होकर संवेदनशील जानकारी (जैसे पासवर्ड) प्राप्त करने के धोखाधड़ीपूर्ण प्रयास।
दुर्भावनापूर्ण सॉफ़्टवेयर जो डेटा को एन्क्रिप्ट करता है।
यातायात के साथ सर्वर को ओवरलोड करना।
Explanation:
फिशिंग आमतौर पर उपयोगकर्ताओं को क्रेडेंशियल प्रकट करने के लिए छलने के लिए जाली ईमेल या नकली वेबसाइटों का उपयोग करता है। यह एक "सोशल इंजीनियरिंग" हमला है।
2. टू-फैक्टर ऑथेंटिकेशन (2FA) के लिए उपयोगकर्ता को तीन प्रकार के क्रेडेंशियल्स में से दो प्रदान करने की आवश्यकता होती है। कौन सा उनमें से एक नहीं है?
कुछ आप जानते हैं (पासवर्ड/पिन)
कुछ आप चाहते हैं (इच्छा)
कुछ आप हैं (बायोमेट्रिक्स)
कुछ आपके पास है (कार्ड/फोन)
Explanation:
2FA जोड़ता है: 1. ज्ञान (पिन/पासवर्ड), 2. कब्ज़ा (कार्ड/टोकन/फोन), 3. निहितता (फिंगरप्रिंट/आइरिस)। "इच्छा" प्रमाणीकरण कारक नहीं है।
3. कंप्यूटर सुरक्षा में "ट्रोजन हॉर्स" (Trojan Horse) क्या है?
वैध सॉफ़्टवेयर के रूप में प्रच्छन्न एक दुर्भावनापूर्ण प्रोग्राम।
एक फ़ायरवॉल सेटिंग।
एक प्रकार का एंटीवायरस।
गति बढ़ाने के लिए एक हार्डवेयर डिवाइस।
Explanation:
पौराणिक लकड़ी के घोड़े की तरह, एक ट्रोजन उपयोगकर्ता को इसे स्थापित करने के लिए छलने के लिए उपयोगी/हानिरहित प्रतीत होता है, जिसके बाद यह दुर्भावनापूर्ण कोड (डेटा चोरी करना, बैकडोर बनाना) निष्पादित करता है।
4. सममित (Symmetric) और असममित (Asymmetric) एन्क्रिप्शन के बीच मुख्य अंतर क्या है?
असममित कम सुरक्षित है।
सममित एन्क्रिप्शन और डिक्रिप्शन दोनों के लिए एक ही कुंजी का उपयोग करता है; असममित एक सार्वजनिक-निजी कुंजी जोड़ी का उपयोग करता है।
सममित असममित की तुलना में धीमा है।
सममित किसी कुंजी का उपयोग नहीं करता है।
Explanation:
असममित एन्क्रिप्शन (सार्वजनिक कुंजी अवसंरचना) डिजिटल बैंकिंग सुरक्षा (जैसे SSL/TLS) के लिए महत्वपूर्ण है क्योंकि यह निजी गुप्त कुंजी साझा किए बिना डेटा के सुरक्षित आदान-प्रदान की अनुमति देता है।
5. "फार्मिंग" (Pharming) "फिशिंग" (Phishing) से कैसे भिन्न है?
कोई अंतर नहीं है।
फिशिंग ईमेल के माध्यम से पीड़ितों को नकली साइटों पर लालच देता है; फार्मिंग DNS पॉइज़निंग के माध्यम से उपयोगकर्ताओं को नकली साइटों पर पुनर्निर्देशित करता है (भले ही वे सही URL टाइप करें)।
फार्मिंग सर्वर पर हमला करता है; फिशिंग एटीएम पर हमला करता है।
फिशिंग में वॉयस कॉल शामिल हैं; फार्मिंग में एसएमएस शामिल है।
Explanation:
फार्मिंग अधिक खतरनाक है क्योंकि यह DNS (डोमेन नेम सिस्टम) सर्वर या उपयोगकर्ता की होस्ट फ़ाइल में हेरफेर करता है। भले ही उपयोगकर्ता सही वेबसाइट का पता टाइप करता है (जैसे, www.bank.com), उन्हें किसी भी संदिग्ध लिंक पर क्लिक किए बिना एक धोखाधड़ी वाली साइट पर पुनर्निर्देशित कर दिया जाता है, जिससे इसे फिशिंग की तुलना में पता लगाना कठिन हो जाता है।
6. एक "वितरित सेवा से इनकार" (DDoS) हमला एक साधारण DoS हमले से अलग है क्योंकि:
यह कई स्रोतों से लक्ष्य को बाढ़ (Flood) करने के लिए कई संक्रमित कंप्यूटरों (बोटनेट) के नेटवर्क का उपयोग करता है।
यह भौतिक रूप से सर्वर को नष्ट कर देता है।
यह हमला करने के लिए एक ही कंप्यूटर का उपयोग करता है।
यह एक साथ कई सर्वरों को लक्षित करता है।
Explanation:
DDoS हमले में, ट्रैफ़िक सैकड़ों या हजारों स्रोतों (ज़ोंबी कंप्यूटर/बॉट) से आता है, जिससे केवल एक आईपी पते को ब्लॉक करके हमले को रोकना लगभग असंभव हो जाता है। यह DDoS को साधारण DoS की तुलना में अधिक विनाशकारी और कम करने में कठिन बनाता है।
7. बैंकिंग आईटी बुनियादी ढांचे में "जीरो ट्रस्ट" (Zero Trust) सुरक्षा मॉडल किस सिद्धांत पर आधारित है?
कभी भरोसा मत करो, हमेशा सत्यापित करो।
आंतरिक कर्मचारियों पर भरोसा करें, बाहरी उपयोगकर्ताओं को सत्यापित करें।
भरोसा करो लेकिन सत्यापित करो।
उपकरणों पर भरोसा करें, उपयोगकर्ताओं को सत्यापित करें।
Explanation:
जीरो ट्रस्ट मानता है कि नेटवर्क के अंदर और बाहर दोनों जगह खतरे मौजूद हैं। इसके लिए हर व्यक्ति और डिवाइस के लिए सख्त पहचान सत्यापन की आवश्यकता होती है जो संसाधनों तक पहुंचने की कोशिश कर रहा है, चाहे वे नेटवर्क परिधि के भीतर बैठे हों या बाहर।
8. किस प्रकार का मैलवेयर कंप्यूटर सिस्टम तक पहुंच को प्रतिबंधित करता है (फ़ाइलों को एन्क्रिप्ट करता है) और प्रतिबंध को हटाने के लिए भुगतान की मांग करता है?
वर्म (Worm)
स्पाइवेयर
रैंसमवेयर
एडवेयर
Explanation:
रैंसमवेयर (जैसे WannaCry) उपयोगकर्ता के डेटा को एन्क्रिप्ट करता है और डिक्रिप्शन कुंजी के लिए फिरौती (आमतौर पर क्रिप्टो में) की मांग करता है। यह बैंकिंग डेटा उपलब्धता के लिए एक बड़ा खतरा है।
9. ट्रांसमिशन और स्टोरेज के दौरान क्रेडिट/डेबिट कार्ड डेटा को सुरक्षित करने के लिए किस मानक का उपयोग किया जाता है?
पीसीआई-डीएसएस (PCI-DSS)
आईएफआरएस 9
आईएसओ 9001
बेसल III
Explanation:
पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI-DSS) सुरक्षा मानकों का एक सेट है जिसे यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि क्रेडिट कार्ड की जानकारी स्वीकार करने, संसाधित करने, संग्रहीत करने या प्रसारित करने वाली सभी कंपनियां सुरक्षित वातावरण बनाए रखें।
10. बायोमेट्रिक प्रमाणीकरण में, "फॉल्स एक्सेप्टेंस रेट" (FAR) का क्या अर्थ है?
वह दर जिस पर सिस्टम स्कैन करने में विफल रहता है।
बायोमेट्रिक मिलान की गति।
वह दर जिस पर एक अधिकृत उपयोगकर्ता को अस्वीकार कर दिया जाता है।
वह दर जिस पर एक अनधिकृत उपयोगकर्ता को गलत तरीके से स्वीकार/सत्यापित किया जाता है।
Explanation:
FAR एक महत्वपूर्ण सुरक्षा मीट्रिक है। यह इस संभावना को मापता है कि बायोमेट्रिक सुरक्षा प्रणाली एक अनधिकृत उपयोगकर्ता द्वारा पहुंच के प्रयास को गलत तरीके से स्वीकार करेगी। उच्च-सुरक्षा बैंकिंग अनुप्रयोगों (जैसे वॉल्ट या सर्वर रूम) में, सिस्टम को बेहद कम FAR रखने के लिए ट्यून किया जाता है, भले ही इसका मतलब थोड़ा अधिक फाल्स रिजेक्शन रेट (FRR) हो।
11. "विशिंग" (Vishing) सोशल इंजीनियरिंग हमले का एक रूप है जहां:
हमलावर दुर्भावनापूर्ण लिंक के साथ एसएमएस भेजते हैं।
हमलावर भौतिक रूप से एटीएम कार्ड चोरी करते हैं।
हमलावर वेब ट्रैफ़िक को नकली साइटों पर पुनर्निर्देशित करते हैं।
हमलावर उपयोगकर्ताओं को व्यक्तिगत वित्तीय विवरण प्रकट करने के लिए छलने के लिए टेलीफोन कॉल (वॉयस) का उपयोग करते हैं।
Explanation:
विशिंग का अर्थ है "वॉयस फिशिंग"। अपराधी फोन कॉल पर बैंक अधिकारियों, RBI एजेंटों या तकनीकी सहायता के रूप में खुद को पेश करते हैं ताकि तात्कालिकता की भावना पैदा की जा सके (जैसे, "आपका कार्ड ब्लॉक हो गया है") और पीड़ितों को OTP, पिन या पासवर्ड साझा करने के लिए हेरफेर किया जा सके। स्मिशिंग में एसएमएस शामिल है; फिशिंग में ईमेल शामिल है।
12. नेटवर्क सुरक्षा में, "हनीपॉट" (Honeypot) का उद्देश्य क्या है?
सर्वर को तेज करना।
साइबर हमलावरों को आकर्षित करने और फंसाने के लिए एक डिकॉय (प्रलोभन) सिस्टम के रूप में कार्य करना ताकि उनके व्यवहार का अध्ययन किया जा सके।
पासवर्ड एन्क्रिप्ट करना।
ग्राहकों के लिए अच्छे सौदे स्टोर करना।
Explanation:
हनीपॉट सूचना प्रणालियों के अनधिकृत उपयोग के प्रयासों का पता लगाने, उन्हें हटाने या उनका प्रतिकार करने के लिए स्थापित एक सुरक्षा तंत्र है। इसमें एक कंप्यूटर, डेटा या नेटवर्क साइट शामिल होती है जो नेटवर्क का हिस्सा प्रतीत होती है, लेकिन वास्तव में अलग और निगरानी की जाती है, जो हैकर्स के लिए एक मूल्यवान लक्ष्य की तरह दिखती है।
13. एक सूचना प्रणाली (IS) ऑडिट "सिस्टम ऑडिट" और "प्रोसेस ऑडिट" के बीच अंतर करता है। प्रोसेस ऑडिट किस पर केंद्रित है?
सॉफ़्टवेयर के स्रोत कोड की जाँच करना।
फ़ायरवॉल का तकनीकी कॉन्फ़िगरेशन।
यह सत्यापित करना कि आईटी सिस्टम के आसपास व्यावसायिक प्रक्रियाओं और नियंत्रणों (SOPs) का कर्मचारियों द्वारा पालन किया जा रहा है।
UPS की बैटरी लाइफ का परीक्षण करना।
Explanation:
सिस्टम ऑडिट तकनीकी पहलुओं (हार्डवेयर, सॉफ्टवेयर, सुरक्षा सेटिंग्स) को देखता है। एक प्रोसेस ऑडिट मानव/परिचालन पहलू को देखता है—क्या उपयोगकर्ता मानक संचालन प्रक्रियाओं (SOPs) का पालन कर रहे हैं, जैसे पासवर्ड स्वच्छता, मेकर-चेकर अनुशासन, और प्राधिकरण वर्कफ़्लो।
14. RSA एल्गोरिदम किस प्रकार के एन्क्रिप्शन का एक क्लासिक उदाहरण है?
असममित (सार्वजनिक कुंजी) एन्क्रिप्शन
सममित कुंजी एन्क्रिप्शन
हैशिंग एल्गोरिदम
डेटा मास्किंग
Explanation:
RSA (Rivest–Shamir–Adleman) सबसे व्यापक रूप से उपयोग किया जाने वाला असममित एन्क्रिप्शन एल्गोरिदम है। यह दो अलग-अलग कुंजियों का उपयोग करता है: डेटा को एन्क्रिप्ट करने के लिए एक सार्वजनिक कुंजी और इसे डिक्रिप्ट करने के लिए एक निजी कुंजी । यह सुरक्षित इंटरनेट संचार (SSL/TLS) की नींव है।
15. डेटा लॉस प्रिवेंशन (DLP) समाधान बैंकों द्वारा मुख्य रूप से किसके लिए तैनात किए जाते हैं?
वायरस के लिए स्कैन करने के लिए।
इंटरनेट एक्सेस को तेज करने के लिए।
कॉर्पोरेट नेटवर्क के बाहर संवेदनशील डेटा (जैसे ग्राहक क्रेडिट कार्ड की जानकारी) के अनधिकृत संचरण का पता लगाने और रोकने के लिए।
स्पैम ईमेल को ब्लॉक करने के लिए।
Explanation:
DLP उपकरण गति में डेटा (नेटवर्क ट्रैफ़िक), आराम में डेटा (भंडारण), और उपयोग में डेटा (एंडपॉइंट) की निगरानी करते हैं ताकि यह सुनिश्चित किया जा सके कि संवेदनशील/गोपनीय डेटा लीक, ईमेल या अनधिकृत बाहरी स्थानों पर अपलोड न हो।
16. बैंकिंग सुरक्षा में "पेनिट्रेशन टेस्टिंग" (Pen Testing) का प्राथमिक उद्देश्य क्या है?
कर्मचारी इंटरनेट उपयोग की निगरानी करना।
नेटवर्क की गति की जाँच करना।
हैकर्स के करने से पहले शोषण योग्य कमजोरियों को खोजने के लिए सिस्टम पर साइबर हमले का अनुकरण (Simulate) करना।
एंटीवायरस सॉफ़्टवेयर स्थापित करना।
Explanation:
कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग (VAPT) एक सक्रिय सुरक्षा उपाय है। जबकि भेद्यता मूल्यांकन संभावित कमजोर बिंदुओं की पहचान करता है, पेनिट्रेशन टेस्टिंग सक्रिय रूप से उनका शोषण करने का प्रयास करके एक कदम आगे जाती है, यह देखने के लिए कि हमलावर सिस्टम में कितनी गहराई तक जा सकता है, जिससे बैंकों को वास्तविक हमलों से पहले छिद्रों को ठीक करने में मदद मिलती है।
17. डिजिटल सुरक्षा में, "गैर-अस्वीकृति" (Non-Repudiation) क्या सुनिश्चित करता है?
रिसीवर संदेश नहीं पढ़ सकता है।
प्रेषक संदेश/लेनदेन भेजने से इनकार नहीं कर सकता है।
संदेश एन्क्रिप्टेड है।
सिस्टम कभी विफल नहीं होता है।
Explanation:
गैर-अस्वीकृति डेटा की उत्पत्ति और अखंडता का प्रमाण प्रदान करती है। डिजिटल हस्ताक्षर गैर-अस्वीकृति प्रदान करते हैं क्योंकि केवल प्रेषक के पास हस्ताक्षर करने के लिए निजी कुंजी होती है; इस प्रकार, वे बाद में दावा नहीं कर सकते कि उन्होंने इसे नहीं भेजा।
18. "कीलॉगर" (Keylogger) एक प्रकार का स्पाइवेयर है जो:
कीबोर्ड को भौतिक रूप से लॉक करता है।
पासवर्ड और क्रेडिट कार्ड नंबर चोरी करने के लिए उपयोगकर्ता द्वारा किए गए प्रत्येक कीस्ट्रोक को रिकॉर्ड करता है।
उपयोगकर्ता को सिस्टम से लॉग आउट करता है।
कुंजियों को एन्क्रिप्ट करता है।
Explanation:
कीलॉगर पृष्ठभूमि में चुपचाप चलते हैं, कीबोर्ड पर टाइप की गई हर चीज को कैप्चर करते हैं। यह नेटबैंकिंग लॉगिन क्रेडेंशियल्स चोरी करने के लिए उपयोग की जाने वाली एक सामान्य विधि है।
19. "प्रीटेक्स्टिंग" (Pretexting) एक सोशल इंजीनियरिंग तकनीक है जहां हमलावर:
ईमेल के माध्यम से वायरस भेजता है।
पासवर्ड का अनुमान लगाता है।
पीड़ित का विश्वास हासिल करने और जानकारी प्राप्त करने के लिए एक मनगढ़ंत परिदृश्य (एक बहाना) बनाता है।
वाई-फाई हैक करता है।
Explanation:
प्रीटेक्स्टिंग में, हमलावर पीड़ित को OTP जैसे संवेदनशील डेटा को उजागर करने के लिए हेरफेर करने के लिए अधिकार में किसी और का प्रतिरूपण करता है (जैसे, "मैं बैंक के धोखाधड़ी विभाग से कॉल कर रहा हूं")।
20. मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में "इनहेरेंस" (Inherence) कारक का उदाहरण निम्नलिखित में से कौन सा है?
पासवर्ड
फिंगरप्रिंट या रेटिना स्कैन
मोबाइल पर भेजा गया ओटीपी
स्मार्ट कार्ड
Explanation:
इनहेरेंस का मतलब है कि उपयोगकर्ता "है" (बायोमेट्रिक्स)। पासवर्ड "ज्ञान" है (कुछ आप जानते हैं)। ओटीपी/कार्ड "कब्जा" है (कुछ आपके पास है)।
21. "स्पीयर फिशिंग" (Spear Phishing) एक लक्षित हमला है जहां:
लाखों यादृच्छिक उपयोगकर्ताओं को ईमेल भेजे जाते हैं।
धोखाधड़ी वाले ईमेल अनुकूलित किए जाते हैं और उन्हें अत्यधिक विश्वसनीय दिखाने के लिए किसी विशिष्ट व्यक्ति या संगठन को भेजे जाते हैं।
हैकर्स भाले से हमला करते हैं।
नेटवर्क डेटा से भर जाता है।
Explanation:
जेनेरिक फिशिंग (एक विस्तृत जाल डालना) के विपरीत, स्पीयर फिशिंग धोखे की सफलता दर को बढ़ाने के लिए व्यक्तिगत जानकारी (नाम, भूमिका) का उपयोग करके विशिष्ट पीड़ितों को लक्षित करती है।
22. ब्राउज़र एड्रेस बार में "लॉक आइकन" इंगित करता है कि कनेक्शन किसके उपयोग से सुरक्षित है:
SSL/TLS एन्क्रिप्शन
HTML
जावा
HTTP
Explanation:
SSL (सिक्योर सॉकेट लेयर) या इसका उत्तराधिकारी TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) वेब सर्वर और ब्राउज़र के बीच लिंक को एन्क्रिप्ट करता है, गोपनीयता और डेटा अखंडता सुनिश्चित करता है। यह HTTP को HTTPS में बदल देता है।