1. साइबर सुरक्षा के संदर्भ में, "फिशिंग" (Phishing) का तात्पर्य है:
एक भरोसेमंद इकाई के रूप में प्रच्छन्न होकर संवेदनशील जानकारी (जैसे पासवर्ड) प्राप्त करने के धोखाधड़ीपूर्ण प्रयास।
दुर्भावनापूर्ण सॉफ़्टवेयर जो डेटा को एन्क्रिप्ट करता है।
हार्डवेयर की भौतिक चोरी।
यातायात के साथ सर्वर को ओवरलोड करना।
Explanation:
फिशिंग आमतौर पर उपयोगकर्ताओं को क्रेडेंशियल प्रकट करने के लिए छलने के लिए जाली ईमेल या नकली वेबसाइटों का उपयोग करता है। यह एक "सोशल इंजीनियरिंग" हमला है।
2. टू-फैक्टर ऑथेंटिकेशन (2FA) के लिए उपयोगकर्ता को तीन प्रकार के क्रेडेंशियल्स में से दो प्रदान करने की आवश्यकता होती है। कौन सा उनमें से एक नहीं है?
कुछ आप चाहते हैं (इच्छा)
कुछ आप हैं (बायोमेट्रिक्स)
कुछ आप जानते हैं (पासवर्ड/पिन)
कुछ आपके पास है (कार्ड/फोन)
Explanation:
2FA जोड़ता है: 1. ज्ञान (पिन/पासवर्ड), 2. कब्ज़ा (कार्ड/टोकन/फोन), 3. निहितता (फिंगरप्रिंट/आइरिस)। "इच्छा" प्रमाणीकरण कारक नहीं है।
3. कंप्यूटर सुरक्षा में "ट्रोजन हॉर्स" (Trojan Horse) क्या है?
वैध सॉफ़्टवेयर के रूप में प्रच्छन्न एक दुर्भावनापूर्ण प्रोग्राम।
एक फ़ायरवॉल सेटिंग।
गति बढ़ाने के लिए एक हार्डवेयर डिवाइस।
एक प्रकार का एंटीवायरस।
Explanation:
पौराणिक लकड़ी के घोड़े की तरह, एक ट्रोजन उपयोगकर्ता को इसे स्थापित करने के लिए छलने के लिए उपयोगी/हानिरहित प्रतीत होता है, जिसके बाद यह दुर्भावनापूर्ण कोड (डेटा चोरी करना, बैकडोर बनाना) निष्पादित करता है।
4. सममित (Symmetric) और असममित (Asymmetric) एन्क्रिप्शन के बीच मुख्य अंतर क्या है?
सममित किसी कुंजी का उपयोग नहीं करता है।
सममित असममित की तुलना में धीमा है।
असममित कम सुरक्षित है।
सममित एन्क्रिप्शन और डिक्रिप्शन दोनों के लिए एक ही कुंजी का उपयोग करता है; असममित एक सार्वजनिक-निजी कुंजी जोड़ी का उपयोग करता है।
Explanation:
असममित एन्क्रिप्शन (सार्वजनिक कुंजी अवसंरचना) डिजिटल बैंकिंग सुरक्षा (जैसे SSL/TLS) के लिए महत्वपूर्ण है क्योंकि यह निजी गुप्त कुंजी साझा किए बिना डेटा के सुरक्षित आदान-प्रदान की अनुमति देता है।
5. "फार्मिंग" (Pharming) "फिशिंग" (Phishing) से कैसे भिन्न है?
फिशिंग ईमेल के माध्यम से पीड़ितों को नकली साइटों पर लालच देता है; फार्मिंग DNS पॉइज़निंग के माध्यम से उपयोगकर्ताओं को नकली साइटों पर पुनर्निर्देशित करता है (भले ही वे सही URL टाइप करें)।
फिशिंग में वॉयस कॉल शामिल हैं; फार्मिंग में एसएमएस शामिल है।
कोई अंतर नहीं है।
फार्मिंग सर्वर पर हमला करता है; फिशिंग एटीएम पर हमला करता है।
Explanation:
फार्मिंग अधिक खतरनाक है क्योंकि यह DNS (डोमेन नेम सिस्टम) सर्वर या उपयोगकर्ता की होस्ट फ़ाइल में हेरफेर करता है। भले ही उपयोगकर्ता सही वेबसाइट का पता टाइप करता है (जैसे, www.bank.com), उन्हें किसी भी संदिग्ध लिंक पर क्लिक किए बिना एक धोखाधड़ी वाली साइट पर पुनर्निर्देशित कर दिया जाता है, जिससे इसे फिशिंग की तुलना में पता लगाना कठिन हो जाता है।
6. एक "वितरित सेवा से इनकार" (DDoS) हमला एक साधारण DoS हमले से अलग है क्योंकि:
यह भौतिक रूप से सर्वर को नष्ट कर देता है।
यह एक साथ कई सर्वरों को लक्षित करता है।
यह हमला करने के लिए एक ही कंप्यूटर का उपयोग करता है।
यह कई स्रोतों से लक्ष्य को बाढ़ (Flood) करने के लिए कई संक्रमित कंप्यूटरों (बोटनेट) के नेटवर्क का उपयोग करता है।
Explanation:
DDoS हमले में, ट्रैफ़िक सैकड़ों या हजारों स्रोतों (ज़ोंबी कंप्यूटर/बॉट) से आता है, जिससे केवल एक आईपी पते को ब्लॉक करके हमले को रोकना लगभग असंभव हो जाता है। यह DDoS को साधारण DoS की तुलना में अधिक विनाशकारी और कम करने में कठिन बनाता है।
7. बैंकिंग आईटी बुनियादी ढांचे में "जीरो ट्रस्ट" (Zero Trust) सुरक्षा मॉडल किस सिद्धांत पर आधारित है?
कभी भरोसा मत करो, हमेशा सत्यापित करो।
भरोसा करो लेकिन सत्यापित करो।
उपकरणों पर भरोसा करें, उपयोगकर्ताओं को सत्यापित करें।
आंतरिक कर्मचारियों पर भरोसा करें, बाहरी उपयोगकर्ताओं को सत्यापित करें।
Explanation:
जीरो ट्रस्ट मानता है कि नेटवर्क के अंदर और बाहर दोनों जगह खतरे मौजूद हैं। इसके लिए हर व्यक्ति और डिवाइस के लिए सख्त पहचान सत्यापन की आवश्यकता होती है जो संसाधनों तक पहुंचने की कोशिश कर रहा है, चाहे वे नेटवर्क परिधि के भीतर बैठे हों या बाहर।
8. किस प्रकार का मैलवेयर कंप्यूटर सिस्टम तक पहुंच को प्रतिबंधित करता है (फ़ाइलों को एन्क्रिप्ट करता है) और प्रतिबंध को हटाने के लिए भुगतान की मांग करता है?
स्पाइवेयर
वर्म (Worm)
रैंसमवेयर
एडवेयर
Explanation:
रैंसमवेयर (जैसे WannaCry) उपयोगकर्ता के डेटा को एन्क्रिप्ट करता है और डिक्रिप्शन कुंजी के लिए फिरौती (आमतौर पर क्रिप्टो में) की मांग करता है। यह बैंकिंग डेटा उपलब्धता के लिए एक बड़ा खतरा है।
9. ट्रांसमिशन और स्टोरेज के दौरान क्रेडिट/डेबिट कार्ड डेटा को सुरक्षित करने के लिए किस मानक का उपयोग किया जाता है?
पीसीआई-डीएसएस (PCI-DSS)
आईएफआरएस 9
आईएसओ 9001
बेसल III
Explanation:
पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड (PCI-DSS) सुरक्षा मानकों का एक सेट है जिसे यह सुनिश्चित करने के लिए डिज़ाइन किया गया है कि क्रेडिट कार्ड की जानकारी स्वीकार करने, संसाधित करने, संग्रहीत करने या प्रसारित करने वाली सभी कंपनियां सुरक्षित वातावरण बनाए रखें।
10. बायोमेट्रिक प्रमाणीकरण में, "फॉल्स एक्सेप्टेंस रेट" (FAR) का क्या अर्थ है?
वह दर जिस पर एक अधिकृत उपयोगकर्ता को अस्वीकार कर दिया जाता है।
बायोमेट्रिक मिलान की गति।
वह दर जिस पर सिस्टम स्कैन करने में विफल रहता है।
वह दर जिस पर एक अनधिकृत उपयोगकर्ता को गलत तरीके से स्वीकार/सत्यापित किया जाता है।
Explanation:
FAR एक महत्वपूर्ण सुरक्षा मीट्रिक है। यह इस संभावना को मापता है कि बायोमेट्रिक सुरक्षा प्रणाली एक अनधिकृत उपयोगकर्ता द्वारा पहुंच के प्रयास को गलत तरीके से स्वीकार करेगी। उच्च-सुरक्षा बैंकिंग अनुप्रयोगों (जैसे वॉल्ट या सर्वर रूम) में, सिस्टम को बेहद कम FAR रखने के लिए ट्यून किया जाता है, भले ही इसका मतलब थोड़ा अधिक फाल्स रिजेक्शन रेट (FRR) हो।
11. "विशिंग" (Vishing) सोशल इंजीनियरिंग हमले का एक रूप है जहां:
हमलावर भौतिक रूप से एटीएम कार्ड चोरी करते हैं।
हमलावर वेब ट्रैफ़िक को नकली साइटों पर पुनर्निर्देशित करते हैं।
हमलावर दुर्भावनापूर्ण लिंक के साथ एसएमएस भेजते हैं।
हमलावर उपयोगकर्ताओं को व्यक्तिगत वित्तीय विवरण प्रकट करने के लिए छलने के लिए टेलीफोन कॉल (वॉयस) का उपयोग करते हैं।
Explanation:
विशिंग का अर्थ है "वॉयस फिशिंग"। अपराधी फोन कॉल पर बैंक अधिकारियों, RBI एजेंटों या तकनीकी सहायता के रूप में खुद को पेश करते हैं ताकि तात्कालिकता की भावना पैदा की जा सके (जैसे, "आपका कार्ड ब्लॉक हो गया है") और पीड़ितों को OTP, पिन या पासवर्ड साझा करने के लिए हेरफेर किया जा सके। स्मिशिंग में एसएमएस शामिल है; फिशिंग में ईमेल शामिल है।
12. नेटवर्क सुरक्षा में, "हनीपॉट" (Honeypot) का उद्देश्य क्या है?
ग्राहकों के लिए अच्छे सौदे स्टोर करना।
पासवर्ड एन्क्रिप्ट करना।
साइबर हमलावरों को आकर्षित करने और फंसाने के लिए एक डिकॉय (प्रलोभन) सिस्टम के रूप में कार्य करना ताकि उनके व्यवहार का अध्ययन किया जा सके।
सर्वर को तेज करना।
Explanation:
हनीपॉट सूचना प्रणालियों के अनधिकृत उपयोग के प्रयासों का पता लगाने, उन्हें हटाने या उनका प्रतिकार करने के लिए स्थापित एक सुरक्षा तंत्र है। इसमें एक कंप्यूटर, डेटा या नेटवर्क साइट शामिल होती है जो नेटवर्क का हिस्सा प्रतीत होती है, लेकिन वास्तव में अलग और निगरानी की जाती है, जो हैकर्स के लिए एक मूल्यवान लक्ष्य की तरह दिखती है।
13. एक सूचना प्रणाली (IS) ऑडिट "सिस्टम ऑडिट" और "प्रोसेस ऑडिट" के बीच अंतर करता है। प्रोसेस ऑडिट किस पर केंद्रित है?
सॉफ़्टवेयर के स्रोत कोड की जाँच करना।
फ़ायरवॉल का तकनीकी कॉन्फ़िगरेशन।
UPS की बैटरी लाइफ का परीक्षण करना।
यह सत्यापित करना कि आईटी सिस्टम के आसपास व्यावसायिक प्रक्रियाओं और नियंत्रणों (SOPs) का कर्मचारियों द्वारा पालन किया जा रहा है।
Explanation:
सिस्टम ऑडिट तकनीकी पहलुओं (हार्डवेयर, सॉफ्टवेयर, सुरक्षा सेटिंग्स) को देखता है। एक प्रोसेस ऑडिट मानव/परिचालन पहलू को देखता है—क्या उपयोगकर्ता मानक संचालन प्रक्रियाओं (SOPs) का पालन कर रहे हैं, जैसे पासवर्ड स्वच्छता, मेकर-चेकर अनुशासन, और प्राधिकरण वर्कफ़्लो।
14. RSA एल्गोरिदम किस प्रकार के एन्क्रिप्शन का एक क्लासिक उदाहरण है?
डेटा मास्किंग
असममित (सार्वजनिक कुंजी) एन्क्रिप्शन
सममित कुंजी एन्क्रिप्शन
हैशिंग एल्गोरिदम
Explanation:
RSA (Rivest–Shamir–Adleman) सबसे व्यापक रूप से उपयोग किया जाने वाला असममित एन्क्रिप्शन एल्गोरिदम है। यह दो अलग-अलग कुंजियों का उपयोग करता है: डेटा को एन्क्रिप्ट करने के लिए एक सार्वजनिक कुंजी और इसे डिक्रिप्ट करने के लिए एक निजी कुंजी । यह सुरक्षित इंटरनेट संचार (SSL/TLS) की नींव है।
15. डेटा लॉस प्रिवेंशन (DLP) समाधान बैंकों द्वारा मुख्य रूप से किसके लिए तैनात किए जाते हैं?
कॉर्पोरेट नेटवर्क के बाहर संवेदनशील डेटा (जैसे ग्राहक क्रेडिट कार्ड की जानकारी) के अनधिकृत संचरण का पता लगाने और रोकने के लिए।
वायरस के लिए स्कैन करने के लिए।
इंटरनेट एक्सेस को तेज करने के लिए।
स्पैम ईमेल को ब्लॉक करने के लिए।
Explanation:
DLP उपकरण गति में डेटा (नेटवर्क ट्रैफ़िक), आराम में डेटा (भंडारण), और उपयोग में डेटा (एंडपॉइंट) की निगरानी करते हैं ताकि यह सुनिश्चित किया जा सके कि संवेदनशील/गोपनीय डेटा लीक, ईमेल या अनधिकृत बाहरी स्थानों पर अपलोड न हो।
16. बैंकिंग सुरक्षा में "पेनिट्रेशन टेस्टिंग" (Pen Testing) का प्राथमिक उद्देश्य क्या है?
एंटीवायरस सॉफ़्टवेयर स्थापित करना।
कर्मचारी इंटरनेट उपयोग की निगरानी करना।
हैकर्स के करने से पहले शोषण योग्य कमजोरियों को खोजने के लिए सिस्टम पर साइबर हमले का अनुकरण (Simulate) करना।
नेटवर्क की गति की जाँच करना।
Explanation:
कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग (VAPT) एक सक्रिय सुरक्षा उपाय है। जबकि भेद्यता मूल्यांकन संभावित कमजोर बिंदुओं की पहचान करता है, पेनिट्रेशन टेस्टिंग सक्रिय रूप से उनका शोषण करने का प्रयास करके एक कदम आगे जाती है, यह देखने के लिए कि हमलावर सिस्टम में कितनी गहराई तक जा सकता है, जिससे बैंकों को वास्तविक हमलों से पहले छिद्रों को ठीक करने में मदद मिलती है।
17. डिजिटल सुरक्षा में, "गैर-अस्वीकृति" (Non-Repudiation) क्या सुनिश्चित करता है?
संदेश एन्क्रिप्टेड है।
सिस्टम कभी विफल नहीं होता है।
रिसीवर संदेश नहीं पढ़ सकता है।
प्रेषक संदेश/लेनदेन भेजने से इनकार नहीं कर सकता है।
Explanation:
गैर-अस्वीकृति डेटा की उत्पत्ति और अखंडता का प्रमाण प्रदान करती है। डिजिटल हस्ताक्षर गैर-अस्वीकृति प्रदान करते हैं क्योंकि केवल प्रेषक के पास हस्ताक्षर करने के लिए निजी कुंजी होती है; इस प्रकार, वे बाद में दावा नहीं कर सकते कि उन्होंने इसे नहीं भेजा।
18. "कीलॉगर" (Keylogger) एक प्रकार का स्पाइवेयर है जो:
कुंजियों को एन्क्रिप्ट करता है।
पासवर्ड और क्रेडिट कार्ड नंबर चोरी करने के लिए उपयोगकर्ता द्वारा किए गए प्रत्येक कीस्ट्रोक को रिकॉर्ड करता है।
कीबोर्ड को भौतिक रूप से लॉक करता है।
उपयोगकर्ता को सिस्टम से लॉग आउट करता है।
Explanation:
कीलॉगर पृष्ठभूमि में चुपचाप चलते हैं, कीबोर्ड पर टाइप की गई हर चीज को कैप्चर करते हैं। यह नेटबैंकिंग लॉगिन क्रेडेंशियल्स चोरी करने के लिए उपयोग की जाने वाली एक सामान्य विधि है।
19. "प्रीटेक्स्टिंग" (Pretexting) एक सोशल इंजीनियरिंग तकनीक है जहां हमलावर:
पासवर्ड का अनुमान लगाता है।
ईमेल के माध्यम से वायरस भेजता है।
वाई-फाई हैक करता है।
पीड़ित का विश्वास हासिल करने और जानकारी प्राप्त करने के लिए एक मनगढ़ंत परिदृश्य (एक बहाना) बनाता है।
Explanation:
प्रीटेक्स्टिंग में, हमलावर पीड़ित को OTP जैसे संवेदनशील डेटा को उजागर करने के लिए हेरफेर करने के लिए अधिकार में किसी और का प्रतिरूपण करता है (जैसे, "मैं बैंक के धोखाधड़ी विभाग से कॉल कर रहा हूं")।
20. मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में "इनहेरेंस" (Inherence) कारक का उदाहरण निम्नलिखित में से कौन सा है?
मोबाइल पर भेजा गया ओटीपी
फिंगरप्रिंट या रेटिना स्कैन
स्मार्ट कार्ड
पासवर्ड
Explanation:
इनहेरेंस का मतलब है कि उपयोगकर्ता "है" (बायोमेट्रिक्स)। पासवर्ड "ज्ञान" है (कुछ आप जानते हैं)। ओटीपी/कार्ड "कब्जा" है (कुछ आपके पास है)।
21. "स्पीयर फिशिंग" (Spear Phishing) एक लक्षित हमला है जहां:
हैकर्स भाले से हमला करते हैं।
धोखाधड़ी वाले ईमेल अनुकूलित किए जाते हैं और उन्हें अत्यधिक विश्वसनीय दिखाने के लिए किसी विशिष्ट व्यक्ति या संगठन को भेजे जाते हैं।
नेटवर्क डेटा से भर जाता है।
लाखों यादृच्छिक उपयोगकर्ताओं को ईमेल भेजे जाते हैं।
Explanation:
जेनेरिक फिशिंग (एक विस्तृत जाल डालना) के विपरीत, स्पीयर फिशिंग धोखे की सफलता दर को बढ़ाने के लिए व्यक्तिगत जानकारी (नाम, भूमिका) का उपयोग करके विशिष्ट पीड़ितों को लक्षित करती है।
22. ब्राउज़र एड्रेस बार में "लॉक आइकन" इंगित करता है कि कनेक्शन किसके उपयोग से सुरक्षित है:
HTTP
HTML
जावा
SSL/TLS एन्क्रिप्शन
Explanation:
SSL (सिक्योर सॉकेट लेयर) या इसका उत्तराधिकारी TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) वेब सर्वर और ब्राउज़र के बीच लिंक को एन्क्रिप्ट करता है, गोपनीयता और डेटा अखंडता सुनिश्चित करता है। यह HTTP को HTTPS में बदल देता है।