1. साइबर सुरक्षा के संदर्भ में, "फिशिंग" (Phishing) का तात्पर्य है:
यातायात के साथ सर्वर को ओवरलोड करना।
हार्डवेयर की भौतिक चोरी।
एक भरोसेमंद इकाई के रूप में प्रच्छन्न होकर संवेदनशील जानकारी (जैसे पासवर्ड) प्राप्त करने के धोखाधड़ीपूर्ण प्रयास।
दुर्भावनापूर्ण सॉफ़्टवेयर जो डेटा को एन्क्रिप्ट करता है।
Explanation:
फिशिंग आमतौर पर उपयोगकर्ताओं को क्रेडेंशियल प्रकट करने के लिए छलने के लिए जाली ईमेल या नकली वेबसाइटों का उपयोग करता है। यह एक "सोशल इंजीनियरिंग" हमला है।
2. टू-फैक्टर ऑथेंटिकेशन (2FA) के लिए उपयोगकर्ता को तीन प्रकार के क्रेडेंशियल्स में से दो प्रदान करने की आवश्यकता होती है। कौन सा उनमें से एक नहीं है?
कुछ आप हैं (बायोमेट्रिक्स)
कुछ आप जानते हैं (पासवर्ड/पिन)
कुछ आप चाहते हैं (इच्छा)
कुछ आपके पास है (कार्ड/फोन)
Explanation:
2FA जोड़ता है: 1. ज्ञान (पिन/पासवर्ड), 2. कब्ज़ा (कार्ड/टोकन/फोन), 3. निहितता (फिंगरप्रिंट/आइरिस)। "इच्छा" प्रमाणीकरण कारक नहीं है।
3. कंप्यूटर सुरक्षा में "ट्रोजन हॉर्स" (Trojan Horse) क्या है?
एक फ़ायरवॉल सेटिंग।
एक प्रकार का एंटीवायरस।
गति बढ़ाने के लिए एक हार्डवेयर डिवाइस।
वैध सॉफ़्टवेयर के रूप में प्रच्छन्न एक दुर्भावनापूर्ण प्रोग्राम।
Explanation:
पौराणिक लकड़ी के घोड़े की तरह, एक ट्रोजन उपयोगकर्ता को इसे स्थापित करने के लिए छलने के लिए उपयोगी/हानिरहित प्रतीत होता है, जिसके बाद यह दुर्भावनापूर्ण कोड (डेटा चोरी करना, बैकडोर बनाना) निष्पादित करता है।
4. सममित (Symmetric) और असममित (Asymmetric) एन्क्रिप्शन के बीच मुख्य अंतर क्या है?
सममित एन्क्रिप्शन और डिक्रिप्शन दोनों के लिए एक ही कुंजी का उपयोग करता है; असममित एक सार्वजनिक-निजी कुंजी जोड़ी का उपयोग करता है।
असममित कम सुरक्षित है।
सममित किसी कुंजी का उपयोग नहीं करता है।
सममित असममित की तुलना में धीमा है।
Explanation:
असममित एन्क्रिप्शन (सार्वजनिक कुंजी अवसंरचना) डिजिटल बैंकिंग सुरक्षा (जैसे SSL/TLS) के लिए महत्वपूर्ण है क्योंकि यह निजी गुप्त कुंजी साझा किए बिना डेटा के सुरक्षित आदान-प्रदान की अनुमति देता है।
5. "फार्मिंग" (Pharming) "फिशिंग" (Phishing) से कैसे भिन्न है?
फार्मिंग सर्वर पर हमला करता है; फिशिंग एटीएम पर हमला करता है।
फिशिंग में वॉयस कॉल शामिल हैं; फार्मिंग में एसएमएस शामिल है।
फिशिंग ईमेल के माध्यम से पीड़ितों को नकली साइटों पर लालच देता है; फार्मिंग DNS पॉइज़निंग के माध्यम से उपयोगकर्ताओं को नकली साइटों पर पुनर्निर्देशित करता है (भले ही वे सही URL टाइप करें)।
कोई अंतर नहीं है।
Explanation:
फार्मिंग अधिक खतरनाक है क्योंकि यह DNS (डोमेन नेम सिस्टम) सर्वर या उपयोगकर्ता की होस्ट फ़ाइल में हेरफेर करता है। भले ही उपयोगकर्ता सही वेबसाइट का पता टाइप करता है (जैसे, www.bank.com), उन्हें किसी भी संदिग्ध लिंक पर क्लिक किए बिना एक धोखाधड़ी वाली साइट पर पुनर्निर्देशित कर दिया जाता है, जिससे इसे फिशिंग की तुलना में पता लगाना कठिन हो जाता है।
6. एक "वितरित सेवा से इनकार" (DDoS) हमला एक साधारण DoS हमले से अलग है क्योंकि:
यह कई स्रोतों से लक्ष्य को बाढ़ (Flood) करने के लिए कई संक्रमित कंप्यूटरों (बोटनेट) के नेटवर्क का उपयोग करता है।
यह एक साथ कई सर्वरों को लक्षित करता है।
यह हमला करने के लिए एक ही कंप्यूटर का उपयोग करता है।
यह भौतिक रूप से सर्वर को नष्ट कर देता है।
Explanation:
DDoS हमले में, ट्रैफ़िक सैकड़ों या हजारों स्रोतों (ज़ोंबी कंप्यूटर/बॉट) से आता है, जिससे केवल एक आईपी पते को ब्लॉक करके हमले को रोकना लगभग असंभव हो जाता है। यह DDoS को साधारण DoS की तुलना में अधिक विनाशकारी और कम करने में कठिन बनाता है।
7. बैंकिंग आईटी बुनियादी ढांचे में "जीरो ट्रस्ट" (Zero Trust) सुरक्षा मॉडल किस सिद्धांत पर आधारित है?
उपकरणों पर भरोसा करें, उपयोगकर्ताओं को सत्यापित करें।
आंतरिक कर्मचारियों पर भरोसा करें, बाहरी उपयोगकर्ताओं को सत्यापित करें।
भरोसा करो लेकिन सत्यापित करो।
कभी भरोसा मत करो, हमेशा सत्यापित करो।
Explanation:
जीरो ट्रस्ट मानता है कि नेटवर्क के अंदर और बाहर दोनों जगह खतरे मौजूद हैं। इसके लिए हर व्यक्ति और डिवाइस के लिए सख्त पहचान सत्यापन की आवश्यकता होती है जो संसाधनों तक पहुंचने की कोशिश कर रहा है, चाहे वे नेटवर्क परिधि के भीतर बैठे हों या बाहर।
8. किस प्रकार का मैलवेयर कंप्यूटर सिस्टम तक पहुंच को प्रतिबंधित करता है (फ़ाइलों को एन्क्रिप्ट करता है) और प्रतिबंध को हटाने के लिए भुगतान की मांग करता है?
स्पाइवेयर
एडवेयर
रैंसमवेयर
वर्म (Worm)
Explanation:
रैंसमवेयर (जैसे WannaCry) उपयोगकर्ता के डेटा को एन्क्रिप्ट करता है और डिक्रिप्शन कुंजी के लिए फिरौती (आमतौर पर क्रिप्टो में) की मांग करता है। यह बैंकिंग डेटा उपलब्धता के लिए एक बड़ा खतरा है।
9. ट्रांसमिशन और स्टोरेज के दौरान क्रेडिट/डेबिट कार्ड डेटा को सुरक्षित करने के लिए किस मानक का उपयोग किया जाता है?
बेसल III
आईएफआरएस 9
पीसीआई-डीएसएस (PCI-DSS)
आईएसओ 9001
Explanation:
पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI-DSS) सुरक्षा मानकों का एक सेट है जिसे यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि क्रेडिट कार्ड की जानकारी स्वीकार करने, संसाधित करने, संग्रहीत करने या प्रसारित करने वाली सभी कंपनियां सुरक्षित वातावरण बनाए रखें।
10. बायोमेट्रिक प्रमाणीकरण में, "फॉल्स एक्सेप्टेंस रेट" (FAR) का क्या अर्थ है?
वह दर जिस पर एक अनधिकृत उपयोगकर्ता को गलत तरीके से स्वीकार/सत्यापित किया जाता है।
बायोमेट्रिक मिलान की गति।
वह दर जिस पर सिस्टम स्कैन करने में विफल रहता है।
वह दर जिस पर एक अधिकृत उपयोगकर्ता को अस्वीकार कर दिया जाता है।
Explanation:
FAR एक महत्वपूर्ण सुरक्षा मीट्रिक है। यह इस संभावना को मापता है कि बायोमेट्रिक सुरक्षा प्रणाली एक अनधिकृत उपयोगकर्ता द्वारा पहुंच के प्रयास को गलत तरीके से स्वीकार करेगी। उच्च-सुरक्षा बैंकिंग अनुप्रयोगों (जैसे वॉल्ट या सर्वर रूम) में, सिस्टम को बेहद कम FAR रखने के लिए ट्यून किया जाता है, भले ही इसका मतलब थोड़ा अधिक फाल्स रिजेक्शन रेट (FRR) हो।
11. "विशिंग" (Vishing) सोशल इंजीनियरिंग हमले का एक रूप है जहां:
हमलावर भौतिक रूप से एटीएम कार्ड चोरी करते हैं।
हमलावर उपयोगकर्ताओं को व्यक्तिगत वित्तीय विवरण प्रकट करने के लिए छलने के लिए टेलीफोन कॉल (वॉयस) का उपयोग करते हैं।
हमलावर दुर्भावनापूर्ण लिंक के साथ एसएमएस भेजते हैं।
हमलावर वेब ट्रैफ़िक को नकली साइटों पर पुनर्निर्देशित करते हैं।
Explanation:
विशिंग का अर्थ है "वॉयस फिशिंग"। अपराधी फोन कॉल पर बैंक अधिकारियों, RBI एजेंटों या तकनीकी सहायता के रूप में खुद को पेश करते हैं ताकि तात्कालिकता की भावना पैदा की जा सके (जैसे, "आपका कार्ड ब्लॉक हो गया है") और पीड़ितों को OTP, पिन या पासवर्ड साझा करने के लिए हेरफेर किया जा सके। स्मिशिंग में एसएमएस शामिल है; फिशिंग में ईमेल शामिल है।
12. नेटवर्क सुरक्षा में, "हनीपॉट" (Honeypot) का उद्देश्य क्या है?
पासवर्ड एन्क्रिप्ट करना।
साइबर हमलावरों को आकर्षित करने और फंसाने के लिए एक डिकॉय (प्रलोभन) सिस्टम के रूप में कार्य करना ताकि उनके व्यवहार का अध्ययन किया जा सके।
सर्वर को तेज करना।
ग्राहकों के लिए अच्छे सौदे स्टोर करना।
Explanation:
हनीपॉट सूचना प्रणालियों के अनधिकृत उपयोग के प्रयासों का पता लगाने, उन्हें हटाने या उनका प्रतिकार करने के लिए स्थापित एक सुरक्षा तंत्र है। इसमें एक कंप्यूटर, डेटा या नेटवर्क साइट शामिल होती है जो नेटवर्क का हिस्सा प्रतीत होती है, लेकिन वास्तव में अलग और निगरानी की जाती है, जो हैकर्स के लिए एक मूल्यवान लक्ष्य की तरह दिखती है।
13. एक सूचना प्रणाली (IS) ऑडिट "सिस्टम ऑडिट" और "प्रोसेस ऑडिट" के बीच अंतर करता है। प्रोसेस ऑडिट किस पर केंद्रित है?
सॉफ़्टवेयर के स्रोत कोड की जाँच करना।
फ़ायरवॉल का तकनीकी कॉन्फ़िगरेशन।
UPS की बैटरी लाइफ का परीक्षण करना।
यह सत्यापित करना कि आईटी सिस्टम के आसपास व्यावसायिक प्रक्रियाओं और नियंत्रणों (SOPs) का कर्मचारियों द्वारा पालन किया जा रहा है।
Explanation:
सिस्टम ऑडिट तकनीकी पहलुओं (हार्डवेयर, सॉफ्टवेयर, सुरक्षा सेटिंग्स) को देखता है। एक प्रोसेस ऑडिट मानव/परिचालन पहलू को देखता है—क्या उपयोगकर्ता मानक संचालन प्रक्रियाओं (SOPs) का पालन कर रहे हैं, जैसे पासवर्ड स्वच्छता, मेकर-चेकर अनुशासन, और प्राधिकरण वर्कफ़्लो।
14. RSA एल्गोरिदम किस प्रकार के एन्क्रिप्शन का एक क्लासिक उदाहरण है?
हैशिंग एल्गोरिदम
डेटा मास्किंग
असममित (सार्वजनिक कुंजी) एन्क्रिप्शन
सममित कुंजी एन्क्रिप्शन
Explanation:
RSA (Rivest–Shamir–Adleman) सबसे व्यापक रूप से उपयोग किया जाने वाला असममित एन्क्रिप्शन एल्गोरिदम है। यह दो अलग-अलग कुंजियों का उपयोग करता है: डेटा को एन्क्रिप्ट करने के लिए एक सार्वजनिक कुंजी और इसे डिक्रिप्ट करने के लिए एक निजी कुंजी । यह सुरक्षित इंटरनेट संचार (SSL/TLS) की नींव है।
15. डेटा लॉस प्रिवेंशन (DLP) समाधान बैंकों द्वारा मुख्य रूप से किसके लिए तैनात किए जाते हैं?
वायरस के लिए स्कैन करने के लिए।
इंटरनेट एक्सेस को तेज करने के लिए।
स्पैम ईमेल को ब्लॉक करने के लिए।
कॉर्पोरेट नेटवर्क के बाहर संवेदनशील डेटा (जैसे ग्राहक क्रेडिट कार्ड की जानकारी) के अनधिकृत संचरण का पता लगाने और रोकने के लिए।
Explanation:
DLP उपकरण गति में डेटा (नेटवर्क ट्रैफ़िक), आराम में डेटा (भंडारण), और उपयोग में डेटा (एंडपॉइंट) की निगरानी करते हैं ताकि यह सुनिश्चित किया जा सके कि संवेदनशील/गोपनीय डेटा लीक, ईमेल या अनधिकृत बाहरी स्थानों पर अपलोड न हो।
16. बैंकिंग सुरक्षा में "पेनिट्रेशन टेस्टिंग" (Pen Testing) का प्राथमिक उद्देश्य क्या है?
हैकर्स के करने से पहले शोषण योग्य कमजोरियों को खोजने के लिए सिस्टम पर साइबर हमले का अनुकरण (Simulate) करना।
नेटवर्क की गति की जाँच करना।
एंटीवायरस सॉफ़्टवेयर स्थापित करना।
कर्मचारी इंटरनेट उपयोग की निगरानी करना।
Explanation:
कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग (VAPT) एक सक्रिय सुरक्षा उपाय है। जबकि भेद्यता मूल्यांकन संभावित कमजोर बिंदुओं की पहचान करता है, पेनिट्रेशन टेस्टिंग सक्रिय रूप से उनका शोषण करने का प्रयास करके एक कदम आगे जाती है, यह देखने के लिए कि हमलावर सिस्टम में कितनी गहराई तक जा सकता है, जिससे बैंकों को वास्तविक हमलों से पहले छिद्रों को ठीक करने में मदद मिलती है।
17. डिजिटल सुरक्षा में, "गैर-अस्वीकृति" (Non-Repudiation) क्या सुनिश्चित करता है?
प्रेषक संदेश/लेनदेन भेजने से इनकार नहीं कर सकता है।
रिसीवर संदेश नहीं पढ़ सकता है।
सिस्टम कभी विफल नहीं होता है।
संदेश एन्क्रिप्टेड है।
Explanation:
गैर-अस्वीकृति डेटा की उत्पत्ति और अखंडता का प्रमाण प्रदान करती है। डिजिटल हस्ताक्षर गैर-अस्वीकृति प्रदान करते हैं क्योंकि केवल प्रेषक के पास हस्ताक्षर करने के लिए निजी कुंजी होती है; इस प्रकार, वे बाद में दावा नहीं कर सकते कि उन्होंने इसे नहीं भेजा।
18. "कीलॉगर" (Keylogger) एक प्रकार का स्पाइवेयर है जो:
पासवर्ड और क्रेडिट कार्ड नंबर चोरी करने के लिए उपयोगकर्ता द्वारा किए गए प्रत्येक कीस्ट्रोक को रिकॉर्ड करता है।
कीबोर्ड को भौतिक रूप से लॉक करता है।
कुंजियों को एन्क्रिप्ट करता है।
उपयोगकर्ता को सिस्टम से लॉग आउट करता है।
Explanation:
कीलॉगर पृष्ठभूमि में चुपचाप चलते हैं, कीबोर्ड पर टाइप की गई हर चीज को कैप्चर करते हैं। यह नेटबैंकिंग लॉगिन क्रेडेंशियल्स चोरी करने के लिए उपयोग की जाने वाली एक सामान्य विधि है।
19. "प्रीटेक्स्टिंग" (Pretexting) एक सोशल इंजीनियरिंग तकनीक है जहां हमलावर:
पीड़ित का विश्वास हासिल करने और जानकारी प्राप्त करने के लिए एक मनगढ़ंत परिदृश्य (एक बहाना) बनाता है।
पासवर्ड का अनुमान लगाता है।
वाई-फाई हैक करता है।
ईमेल के माध्यम से वायरस भेजता है।
Explanation:
प्रीटेक्स्टिंग में, हमलावर पीड़ित को OTP जैसे संवेदनशील डेटा को उजागर करने के लिए हेरफेर करने के लिए अधिकार में किसी और का प्रतिरूपण करता है (जैसे, "मैं बैंक के धोखाधड़ी विभाग से कॉल कर रहा हूं")।
20. मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में "इनहेरेंस" (Inherence) कारक का उदाहरण निम्नलिखित में से कौन सा है?
पासवर्ड
स्मार्ट कार्ड
मोबाइल पर भेजा गया ओटीपी
फिंगरप्रिंट या रेटिना स्कैन
Explanation:
इनहेरेंस का मतलब है कि उपयोगकर्ता "है" (बायोमेट्रिक्स)। पासवर्ड "ज्ञान" है (कुछ आप जानते हैं)। ओटीपी/कार्ड "कब्जा" है (कुछ आपके पास है)।
21. "स्पीयर फिशिंग" (Spear Phishing) एक लक्षित हमला है जहां:
हैकर्स भाले से हमला करते हैं।
धोखाधड़ी वाले ईमेल अनुकूलित किए जाते हैं और उन्हें अत्यधिक विश्वसनीय दिखाने के लिए किसी विशिष्ट व्यक्ति या संगठन को भेजे जाते हैं।
लाखों यादृच्छिक उपयोगकर्ताओं को ईमेल भेजे जाते हैं।
नेटवर्क डेटा से भर जाता है।
Explanation:
जेनेरिक फिशिंग (एक विस्तृत जाल डालना) के विपरीत, स्पीयर फिशिंग धोखे की सफलता दर को बढ़ाने के लिए व्यक्तिगत जानकारी (नाम, भूमिका) का उपयोग करके विशिष्ट पीड़ितों को लक्षित करती है।
22. ब्राउज़र एड्रेस बार में "लॉक आइकन" इंगित करता है कि कनेक्शन किसके उपयोग से सुरक्षित है:
HTML
HTTP
जावा
SSL/TLS एन्क्रिप्शन
Explanation:
SSL (सिक्योर सॉकेट लेयर) या इसका उत्तराधिकारी TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) वेब सर्वर और ब्राउज़र के बीच लिंक को एन्क्रिप्ट करता है, गोपनीयता और डेटा अखंडता सुनिश्चित करता है। यह HTTP को HTTPS में बदल देता है।