1. साइबर सुरक्षा के संदर्भ में, "फिशिंग" (Phishing) का तात्पर्य है:
यातायात के साथ सर्वर को ओवरलोड करना।
एक भरोसेमंद इकाई के रूप में प्रच्छन्न होकर संवेदनशील जानकारी (जैसे पासवर्ड) प्राप्त करने के धोखाधड़ीपूर्ण प्रयास।
हार्डवेयर की भौतिक चोरी।
दुर्भावनापूर्ण सॉफ़्टवेयर जो डेटा को एन्क्रिप्ट करता है।
Explanation:
फिशिंग आमतौर पर उपयोगकर्ताओं को क्रेडेंशियल प्रकट करने के लिए छलने के लिए जाली ईमेल या नकली वेबसाइटों का उपयोग करता है। यह एक "सोशल इंजीनियरिंग" हमला है।
2. टू-फैक्टर ऑथेंटिकेशन (2FA) के लिए उपयोगकर्ता को तीन प्रकार के क्रेडेंशियल्स में से दो प्रदान करने की आवश्यकता होती है। कौन सा उनमें से एक नहीं है?
कुछ आप चाहते हैं (इच्छा)
कुछ आप जानते हैं (पासवर्ड/पिन)
कुछ आप हैं (बायोमेट्रिक्स)
कुछ आपके पास है (कार्ड/फोन)
Explanation:
2FA जोड़ता है: 1. ज्ञान (पिन/पासवर्ड), 2. कब्ज़ा (कार्ड/टोकन/फोन), 3. निहितता (फिंगरप्रिंट/आइरिस)। "इच्छा" प्रमाणीकरण कारक नहीं है।
3. कंप्यूटर सुरक्षा में "ट्रोजन हॉर्स" (Trojan Horse) क्या है?
एक प्रकार का एंटीवायरस।
गति बढ़ाने के लिए एक हार्डवेयर डिवाइस।
एक फ़ायरवॉल सेटिंग।
वैध सॉफ़्टवेयर के रूप में प्रच्छन्न एक दुर्भावनापूर्ण प्रोग्राम।
Explanation:
पौराणिक लकड़ी के घोड़े की तरह, एक ट्रोजन उपयोगकर्ता को इसे स्थापित करने के लिए छलने के लिए उपयोगी/हानिरहित प्रतीत होता है, जिसके बाद यह दुर्भावनापूर्ण कोड (डेटा चोरी करना, बैकडोर बनाना) निष्पादित करता है।
4. सममित (Symmetric) और असममित (Asymmetric) एन्क्रिप्शन के बीच मुख्य अंतर क्या है?
सममित एन्क्रिप्शन और डिक्रिप्शन दोनों के लिए एक ही कुंजी का उपयोग करता है; असममित एक सार्वजनिक-निजी कुंजी जोड़ी का उपयोग करता है।
असममित कम सुरक्षित है।
सममित किसी कुंजी का उपयोग नहीं करता है।
सममित असममित की तुलना में धीमा है।
Explanation:
असममित एन्क्रिप्शन (सार्वजनिक कुंजी अवसंरचना) डिजिटल बैंकिंग सुरक्षा (जैसे SSL/TLS) के लिए महत्वपूर्ण है क्योंकि यह निजी गुप्त कुंजी साझा किए बिना डेटा के सुरक्षित आदान-प्रदान की अनुमति देता है।
5. "फार्मिंग" (Pharming) "फिशिंग" (Phishing) से कैसे भिन्न है?
फिशिंग में वॉयस कॉल शामिल हैं; फार्मिंग में एसएमएस शामिल है।
फार्मिंग सर्वर पर हमला करता है; फिशिंग एटीएम पर हमला करता है।
फिशिंग ईमेल के माध्यम से पीड़ितों को नकली साइटों पर लालच देता है; फार्मिंग DNS पॉइज़निंग के माध्यम से उपयोगकर्ताओं को नकली साइटों पर पुनर्निर्देशित करता है (भले ही वे सही URL टाइप करें)।
कोई अंतर नहीं है।
Explanation:
फार्मिंग अधिक खतरनाक है क्योंकि यह DNS (डोमेन नेम सिस्टम) सर्वर या उपयोगकर्ता की होस्ट फ़ाइल में हेरफेर करता है। भले ही उपयोगकर्ता सही वेबसाइट का पता टाइप करता है (जैसे, www.bank.com), उन्हें किसी भी संदिग्ध लिंक पर क्लिक किए बिना एक धोखाधड़ी वाली साइट पर पुनर्निर्देशित कर दिया जाता है, जिससे इसे फिशिंग की तुलना में पता लगाना कठिन हो जाता है।
6. एक "वितरित सेवा से इनकार" (DDoS) हमला एक साधारण DoS हमले से अलग है क्योंकि:
यह कई स्रोतों से लक्ष्य को बाढ़ (Flood) करने के लिए कई संक्रमित कंप्यूटरों (बोटनेट) के नेटवर्क का उपयोग करता है।
यह हमला करने के लिए एक ही कंप्यूटर का उपयोग करता है।
यह एक साथ कई सर्वरों को लक्षित करता है।
यह भौतिक रूप से सर्वर को नष्ट कर देता है।
Explanation:
DDoS हमले में, ट्रैफ़िक सैकड़ों या हजारों स्रोतों (ज़ोंबी कंप्यूटर/बॉट) से आता है, जिससे केवल एक आईपी पते को ब्लॉक करके हमले को रोकना लगभग असंभव हो जाता है। यह DDoS को साधारण DoS की तुलना में अधिक विनाशकारी और कम करने में कठिन बनाता है।
7. बैंकिंग आईटी बुनियादी ढांचे में "जीरो ट्रस्ट" (Zero Trust) सुरक्षा मॉडल किस सिद्धांत पर आधारित है?
भरोसा करो लेकिन सत्यापित करो।
कभी भरोसा मत करो, हमेशा सत्यापित करो।
उपकरणों पर भरोसा करें, उपयोगकर्ताओं को सत्यापित करें।
आंतरिक कर्मचारियों पर भरोसा करें, बाहरी उपयोगकर्ताओं को सत्यापित करें।
Explanation:
जीरो ट्रस्ट मानता है कि नेटवर्क के अंदर और बाहर दोनों जगह खतरे मौजूद हैं। इसके लिए हर व्यक्ति और डिवाइस के लिए सख्त पहचान सत्यापन की आवश्यकता होती है जो संसाधनों तक पहुंचने की कोशिश कर रहा है, चाहे वे नेटवर्क परिधि के भीतर बैठे हों या बाहर।
8. किस प्रकार का मैलवेयर कंप्यूटर सिस्टम तक पहुंच को प्रतिबंधित करता है (फ़ाइलों को एन्क्रिप्ट करता है) और प्रतिबंध को हटाने के लिए भुगतान की मांग करता है?
रैंसमवेयर
वर्म (Worm)
स्पाइवेयर
एडवेयर
Explanation:
रैंसमवेयर (जैसे WannaCry) उपयोगकर्ता के डेटा को एन्क्रिप्ट करता है और डिक्रिप्शन कुंजी के लिए फिरौती (आमतौर पर क्रिप्टो में) की मांग करता है। यह बैंकिंग डेटा उपलब्धता के लिए एक बड़ा खतरा है।
9. ट्रांसमिशन और स्टोरेज के दौरान क्रेडिट/डेबिट कार्ड डेटा को सुरक्षित करने के लिए किस मानक का उपयोग किया जाता है?
बेसल III
आईएफआरएस 9
पीसीआई-डीएसएस (PCI-DSS)
आईएसओ 9001
Explanation:
पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI-DSS) सुरक्षा मानकों का एक सेट है जिसे यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि क्रेडिट कार्ड की जानकारी स्वीकार करने, संसाधित करने, संग्रहीत करने या प्रसारित करने वाली सभी कंपनियां सुरक्षित वातावरण बनाए रखें।
10. बायोमेट्रिक प्रमाणीकरण में, "फॉल्स एक्सेप्टेंस रेट" (FAR) का क्या अर्थ है?
वह दर जिस पर एक अनधिकृत उपयोगकर्ता को गलत तरीके से स्वीकार/सत्यापित किया जाता है।
बायोमेट्रिक मिलान की गति।
वह दर जिस पर सिस्टम स्कैन करने में विफल रहता है।
वह दर जिस पर एक अधिकृत उपयोगकर्ता को अस्वीकार कर दिया जाता है।
Explanation:
FAR एक महत्वपूर्ण सुरक्षा मीट्रिक है। यह इस संभावना को मापता है कि बायोमेट्रिक सुरक्षा प्रणाली एक अनधिकृत उपयोगकर्ता द्वारा पहुंच के प्रयास को गलत तरीके से स्वीकार करेगी। उच्च-सुरक्षा बैंकिंग अनुप्रयोगों (जैसे वॉल्ट या सर्वर रूम) में, सिस्टम को बेहद कम FAR रखने के लिए ट्यून किया जाता है, भले ही इसका मतलब थोड़ा अधिक फाल्स रिजेक्शन रेट (FRR) हो।
11. "विशिंग" (Vishing) सोशल इंजीनियरिंग हमले का एक रूप है जहां:
हमलावर उपयोगकर्ताओं को व्यक्तिगत वित्तीय विवरण प्रकट करने के लिए छलने के लिए टेलीफोन कॉल (वॉयस) का उपयोग करते हैं।
हमलावर भौतिक रूप से एटीएम कार्ड चोरी करते हैं।
हमलावर वेब ट्रैफ़िक को नकली साइटों पर पुनर्निर्देशित करते हैं।
हमलावर दुर्भावनापूर्ण लिंक के साथ एसएमएस भेजते हैं।
Explanation:
विशिंग का अर्थ है "वॉयस फिशिंग"। अपराधी फोन कॉल पर बैंक अधिकारियों, RBI एजेंटों या तकनीकी सहायता के रूप में खुद को पेश करते हैं ताकि तात्कालिकता की भावना पैदा की जा सके (जैसे, "आपका कार्ड ब्लॉक हो गया है") और पीड़ितों को OTP, पिन या पासवर्ड साझा करने के लिए हेरफेर किया जा सके। स्मिशिंग में एसएमएस शामिल है; फिशिंग में ईमेल शामिल है।
12. नेटवर्क सुरक्षा में, "हनीपॉट" (Honeypot) का उद्देश्य क्या है?
सर्वर को तेज करना।
ग्राहकों के लिए अच्छे सौदे स्टोर करना।
पासवर्ड एन्क्रिप्ट करना।
साइबर हमलावरों को आकर्षित करने और फंसाने के लिए एक डिकॉय (प्रलोभन) सिस्टम के रूप में कार्य करना ताकि उनके व्यवहार का अध्ययन किया जा सके।
Explanation:
हनीपॉट सूचना प्रणालियों के अनधिकृत उपयोग के प्रयासों का पता लगाने, उन्हें हटाने या उनका प्रतिकार करने के लिए स्थापित एक सुरक्षा तंत्र है। इसमें एक कंप्यूटर, डेटा या नेटवर्क साइट शामिल होती है जो नेटवर्क का हिस्सा प्रतीत होती है, लेकिन वास्तव में अलग और निगरानी की जाती है, जो हैकर्स के लिए एक मूल्यवान लक्ष्य की तरह दिखती है।
13. एक सूचना प्रणाली (IS) ऑडिट "सिस्टम ऑडिट" और "प्रोसेस ऑडिट" के बीच अंतर करता है। प्रोसेस ऑडिट किस पर केंद्रित है?
फ़ायरवॉल का तकनीकी कॉन्फ़िगरेशन।
सॉफ़्टवेयर के स्रोत कोड की जाँच करना।
यह सत्यापित करना कि आईटी सिस्टम के आसपास व्यावसायिक प्रक्रियाओं और नियंत्रणों (SOPs) का कर्मचारियों द्वारा पालन किया जा रहा है।
UPS की बैटरी लाइफ का परीक्षण करना।
Explanation:
सिस्टम ऑडिट तकनीकी पहलुओं (हार्डवेयर, सॉफ्टवेयर, सुरक्षा सेटिंग्स) को देखता है। एक प्रोसेस ऑडिट मानव/परिचालन पहलू को देखता है—क्या उपयोगकर्ता मानक संचालन प्रक्रियाओं (SOPs) का पालन कर रहे हैं, जैसे पासवर्ड स्वच्छता, मेकर-चेकर अनुशासन, और प्राधिकरण वर्कफ़्लो।
14. RSA एल्गोरिदम किस प्रकार के एन्क्रिप्शन का एक क्लासिक उदाहरण है?
असममित (सार्वजनिक कुंजी) एन्क्रिप्शन
डेटा मास्किंग
सममित कुंजी एन्क्रिप्शन
हैशिंग एल्गोरिदम
Explanation:
RSA (Rivest–Shamir–Adleman) सबसे व्यापक रूप से उपयोग किया जाने वाला असममित एन्क्रिप्शन एल्गोरिदम है। यह दो अलग-अलग कुंजियों का उपयोग करता है: डेटा को एन्क्रिप्ट करने के लिए एक सार्वजनिक कुंजी और इसे डिक्रिप्ट करने के लिए एक निजी कुंजी । यह सुरक्षित इंटरनेट संचार (SSL/TLS) की नींव है।
15. डेटा लॉस प्रिवेंशन (DLP) समाधान बैंकों द्वारा मुख्य रूप से किसके लिए तैनात किए जाते हैं?
कॉर्पोरेट नेटवर्क के बाहर संवेदनशील डेटा (जैसे ग्राहक क्रेडिट कार्ड की जानकारी) के अनधिकृत संचरण का पता लगाने और रोकने के लिए।
इंटरनेट एक्सेस को तेज करने के लिए।
स्पैम ईमेल को ब्लॉक करने के लिए।
वायरस के लिए स्कैन करने के लिए।
Explanation:
DLP उपकरण गति में डेटा (नेटवर्क ट्रैफ़िक), आराम में डेटा (भंडारण), और उपयोग में डेटा (एंडपॉइंट) की निगरानी करते हैं ताकि यह सुनिश्चित किया जा सके कि संवेदनशील/गोपनीय डेटा लीक, ईमेल या अनधिकृत बाहरी स्थानों पर अपलोड न हो।
16. बैंकिंग सुरक्षा में "पेनिट्रेशन टेस्टिंग" (Pen Testing) का प्राथमिक उद्देश्य क्या है?
कर्मचारी इंटरनेट उपयोग की निगरानी करना।
नेटवर्क की गति की जाँच करना।
एंटीवायरस सॉफ़्टवेयर स्थापित करना।
हैकर्स के करने से पहले शोषण योग्य कमजोरियों को खोजने के लिए सिस्टम पर साइबर हमले का अनुकरण (Simulate) करना।
Explanation:
कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग (VAPT) एक सक्रिय सुरक्षा उपाय है। जबकि भेद्यता मूल्यांकन संभावित कमजोर बिंदुओं की पहचान करता है, पेनिट्रेशन टेस्टिंग सक्रिय रूप से उनका शोषण करने का प्रयास करके एक कदम आगे जाती है, यह देखने के लिए कि हमलावर सिस्टम में कितनी गहराई तक जा सकता है, जिससे बैंकों को वास्तविक हमलों से पहले छिद्रों को ठीक करने में मदद मिलती है।
17. डिजिटल सुरक्षा में, "गैर-अस्वीकृति" (Non-Repudiation) क्या सुनिश्चित करता है?
संदेश एन्क्रिप्टेड है।
सिस्टम कभी विफल नहीं होता है।
प्रेषक संदेश/लेनदेन भेजने से इनकार नहीं कर सकता है।
रिसीवर संदेश नहीं पढ़ सकता है।
Explanation:
गैर-अस्वीकृति डेटा की उत्पत्ति और अखंडता का प्रमाण प्रदान करती है। डिजिटल हस्ताक्षर गैर-अस्वीकृति प्रदान करते हैं क्योंकि केवल प्रेषक के पास हस्ताक्षर करने के लिए निजी कुंजी होती है; इस प्रकार, वे बाद में दावा नहीं कर सकते कि उन्होंने इसे नहीं भेजा।
18. "कीलॉगर" (Keylogger) एक प्रकार का स्पाइवेयर है जो:
पासवर्ड और क्रेडिट कार्ड नंबर चोरी करने के लिए उपयोगकर्ता द्वारा किए गए प्रत्येक कीस्ट्रोक को रिकॉर्ड करता है।
कीबोर्ड को भौतिक रूप से लॉक करता है।
कुंजियों को एन्क्रिप्ट करता है।
उपयोगकर्ता को सिस्टम से लॉग आउट करता है।
Explanation:
कीलॉगर पृष्ठभूमि में चुपचाप चलते हैं, कीबोर्ड पर टाइप की गई हर चीज को कैप्चर करते हैं। यह नेटबैंकिंग लॉगिन क्रेडेंशियल्स चोरी करने के लिए उपयोग की जाने वाली एक सामान्य विधि है।
19. "प्रीटेक्स्टिंग" (Pretexting) एक सोशल इंजीनियरिंग तकनीक है जहां हमलावर:
पासवर्ड का अनुमान लगाता है।
पीड़ित का विश्वास हासिल करने और जानकारी प्राप्त करने के लिए एक मनगढ़ंत परिदृश्य (एक बहाना) बनाता है।
ईमेल के माध्यम से वायरस भेजता है।
वाई-फाई हैक करता है।
Explanation:
प्रीटेक्स्टिंग में, हमलावर पीड़ित को OTP जैसे संवेदनशील डेटा को उजागर करने के लिए हेरफेर करने के लिए अधिकार में किसी और का प्रतिरूपण करता है (जैसे, "मैं बैंक के धोखाधड़ी विभाग से कॉल कर रहा हूं")।
20. मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में "इनहेरेंस" (Inherence) कारक का उदाहरण निम्नलिखित में से कौन सा है?
स्मार्ट कार्ड
मोबाइल पर भेजा गया ओटीपी
फिंगरप्रिंट या रेटिना स्कैन
पासवर्ड
Explanation:
इनहेरेंस का मतलब है कि उपयोगकर्ता "है" (बायोमेट्रिक्स)। पासवर्ड "ज्ञान" है (कुछ आप जानते हैं)। ओटीपी/कार्ड "कब्जा" है (कुछ आपके पास है)।
21. "स्पीयर फिशिंग" (Spear Phishing) एक लक्षित हमला है जहां:
लाखों यादृच्छिक उपयोगकर्ताओं को ईमेल भेजे जाते हैं।
धोखाधड़ी वाले ईमेल अनुकूलित किए जाते हैं और उन्हें अत्यधिक विश्वसनीय दिखाने के लिए किसी विशिष्ट व्यक्ति या संगठन को भेजे जाते हैं।
हैकर्स भाले से हमला करते हैं।
नेटवर्क डेटा से भर जाता है।
Explanation:
जेनेरिक फिशिंग (एक विस्तृत जाल डालना) के विपरीत, स्पीयर फिशिंग धोखे की सफलता दर को बढ़ाने के लिए व्यक्तिगत जानकारी (नाम, भूमिका) का उपयोग करके विशिष्ट पीड़ितों को लक्षित करती है।
22. ब्राउज़र एड्रेस बार में "लॉक आइकन" इंगित करता है कि कनेक्शन किसके उपयोग से सुरक्षित है:
जावा
HTTP
SSL/TLS एन्क्रिप्शन
HTML
Explanation:
SSL (सिक्योर सॉकेट लेयर) या इसका उत्तराधिकारी TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) वेब सर्वर और ब्राउज़र के बीच लिंक को एन्क्रिप्ट करता है, गोपनीयता और डेटा अखंडता सुनिश्चित करता है। यह HTTP को HTTPS में बदल देता है।