इमेज कैप्शन, बीबीसी को हैक करने के लिए साइबर कॉरेस्पोंडेंट जो टायडी को अपराधियाों ने एक डील ऑफर की….मेंसाइबर क्राइम की स्याह दुनिया की कई बातों की तरह, भीतरघात का अनुभव बहुत कम लोगों को होता है. और इस बारे में बहुत कम लोग बात करना चाहते हैं.लेकिन जब एक आपराधिक गिरोह ने मुझे हाल ही में एक प्रस्ताव दिया तो यह पता चला कि हैकर्स कैसे किसी संस्थान में काम करने वालों का इस्तेमाल कर सकते हैं. लेकिन मुझे हाल ही में एक अनोखा और चिंताजनक अनुभव हुआ. मुझे पता चला कि कैसे किसी संस्थान में काम करने वाले व्यक्ति का हैकिंग के लिए इस्तेमाल किया जा सकता है. मुझे एक आपराधिक गिरोह ने एक पेशकश की. “अगर आप इच्छुक हैं, तो आपके कंप्यूटर का एक्सेस देने के बदले हमें जो भी फिरौती मिलेगी, उसका 15% हम आपको दे देंगे.”यह मैसेज जुलाई में अचानक ही मुझे ‘सिग्नल’ नाम के एन्क्रिप्टेड चैट एप पर सिंडिकेट नाम के किसी व्यक्ति ने अचानक भेजा. मुझे नहीं पता था कि यह कौन है लेकिन मैं समझ गया कि यह क्या चाहता है. मुझे यह ऑफ़र दिया जा रहा था कि अगर मैं अपने लैपलॉप की मदद से इन साइबर अपराधियों की बीबीसी के सिस्टम तक पहुंचने में मदद करूं तो इससे उन्हें जो रकम मिलेगी उसका एक हिस्सा वो मुझे देंगे.वे मेरे लैपटॉप के ज़रिए बीबीसी सिस्टम तक पहुंचकर डेटा चुरा सकते थे या मालिसियस सॉफ़्टवेयर इंस्टॉल कर के बीबीसी को फिरौती के लिए परेशान कर सकते थे. इसके बदले वो मुझे गुप्त रूप से हिस्सा देते.मैंने ऐसी घटनाओं के बारे में सुन रखा था.असल में, इस अनचाहे मैसेज के कुछ दिन पहले ब्राज़ील से ख़बर आई थी कि वहां के एक आईटी कर्मचारी को हैकर्स को अपने लॉगिन जानकारी बेचने के आरोप में गिरफ़्तार किया गया था. पुलिस के मुताबिक़ इसकी वजह से एक व्यक्ति को 10 करोड़ अमेरिकी डॉलर का नुक़सान हुआ.मैंने एक वरिष्ठ बीबीसी संपादक की सलाह लेने के बाद सिंडिकेट के साथ आगे बातचीत शुरू की. दरअसल मैं यह देखने के लिए उत्सुक था कि अपराधी कैसे संभावित विश्वासघाती कर्मचारी के साथ ये संदिग्ध सौदे करते हैं. वह भी ऐसे दौर में जब दुनिया भर में साइबर हमले ताक़तवर होते जा रहे हैं और ये रोज़मर्रा के जीवन को बाधित कर रहे हैं.चैट के दौरान सिंडिकेट ने अपना नाम ‘सिन’ कर दिया. मैंने सिन को बताया कि मुझे उसके ऑफ़र में दिलचस्पी है लेकिन जानना चाहता हूँ कि ये सब कैसे होगा. उन्होंने समझाया कि अगर मैं उन्हें अपने लॉगिन डिटेल और सिक्योरिटी कोड दूँगा तो वे बीबीसी को हैक करेंगे और फिर कंपनी को बिटकॉइन में फिरौती के लिए ब्लैकमेल करेंगे. और मुझे उस भुगतान का हिस्सा मिलेगा.इसके बाद सिन ने पहले की गई 15% की पेशकश को बढ़ा दिया. “हमें नहीं पता कि बीबीसी आपको कितनी तनख़्वाह देता है. हम बीबीसी के कुल रेवेन्यू का एक फ़ीसदी निकाल लें तो आप 25% हिस्सा लेने पर तैयार हो जाएं. आपको कभी दोबारा काम करने की ज़रूरत नहीं पड़ेगी.”सिन ने अनुमान लगाया कि अगर उनकी टीम बीबीसी के सिस्टम में सफलतापूर्वक दाखिल हो गई तो वे करोड़ों की फिरौती मांग सकते हैं.बीबीसी ने सार्वजनिक रूप से यह नहीं कहा है कि वह हैकर्स को भुगतान करेगा या नहीं पर लॉ इन्फोर्समेंट एजेंसियों की सलाह है कि ऐसी स्थिति में भुगतान न किया जाए. फिर भी, हैकर्स की पेशकश जारी रही.इमेज कैप्शन, सिग्नल ऐप पर अपराधियों के साथ बातचीत के एक अंश का स्क्रीनशॉटसिन ने कहा कि मुझे करोड़ों की रकम मिल सकती है. उन्होंने ज़ोर देकर कहा, “हम इस चैट को डिलीट कर देंगे ताकि इसका कोई सुराग न बचे.”इस हैकर का दावा था कि उन्होंने पहले भी कई साइबर हमलों में कंपनी के अंदरूनी कर्मचारियों से सौदा करके बड़ी कामयाबी हासिल की है.उन्होंने इस साल हैक की गई दो कंपनियों के नाम उदाहरण के तौर पर बताए, जहाँ ऐसे सौदे हुए थे. इनमें से एक ब्रिटिश हेल्थकेयर कंपनी थी, और एक इमरजेंसी सेवा मुहैया कराने वाली अमेरिकी कंपनी.सिन ने कहा, “आपको ये जानकर हैरानी होगी कि कितने कर्मचारी हमें एक्सेस देने को तैयार हो जाते हैं.”सिन ने ख़ुद को मेडुसा नामक साइबर अपराध गिरोह का “रीच आउट मैनेजर” बताया और दावा किया कि वह गिरोह का एकमात्र अंग्रेज़ी बोलने वाला सदस्य है.मेडुसा एक रैंसमवेयर ऑपरेशन है. कोई भी अपराधी इनसे जुड़ सकता है और इस प्लेटफ़ॉर्म का इस्तेमाल कर किसी भी संगठन को हैक कर सकता है.इमेज कैप्शन, मेडुसा रैंसमवेयर गिरोह के डार्कनेट वेब साइट पर उनके शिकार बने दर्जनों संगठनों की सूची दी हुई हैसाइबर सुरक्षा कंपनी चेक पॉइंट की एक रिसर्च रिपोर्ट के अनुसार मेडुसा रैंसमवेयर गिरोह के एडमिनिस्ट्रेटर संभवतः रूस या उसके सहयोगी देशों से ऑपरेट करते हैं.रिपोर्ट के मुताबिक, “यह समूह रूस और कॉमनवेल्थ ऑफ इंडिपेंडेंट स्टेट्स के भीतर संगठनों को निशाना बनाने से बचता है और इसकी गतिविधि मुख्य रूप से रूसी भाषा के डार्क वेब फोरम पर होती है.”सिन ने गर्व से एक लिंक साझा किया जो अमेरिका ने मेडुसा के बारे में लोगों को चेतावनी देने के लिए मार्च में सार्वजनिक तौर पर जारी किया था.अमेरिकी साइबर सुरक्षा एजेंसियों ने इस चेतावनी में कहा था कि “पिछले चार साल में मेडुसा गिरोह ने 300 से अधिक संगठनों को अपना शिकार बनाया है.”सिन ने ज़ोर देकर कहा कि वे सिक्योरिटी कीज़ को गुप्त रूप से बेचने के बदले मुझे मोटी रकम देने के बारे में गंभीर हैं.मैंने कहा, “क्या पता आप कोई बच्चे हों जो मज़ाक कर रहे हों, या फिर कोई मुझे फँसाने की कोशिश कर रहा हो.”सिन ने अपने जवाब के साथ मेडुसा के डार्कनेट पते का एक लिंक भेजा और मुझे ‘टॉक्स’ के ज़रिए संपर्क करने का निमंत्रण दिया. टॉक्स साइबर अपराधियों की पसंदीदा मैसेजिंग सर्विस है. सिन का संयम जवाब देने लगा और वो मुझ पर दबाव बढ़ाने लगा.उसने एक लिंक भेजा जो एक एक्सक्लूसिव साइबर क्राइम फोरम पर मेडुसा के रिक्रूटमेंट पेज का था. उसने मुझसे कहा कि मैं 0.5 बिटकॉइन (क़रीब 55 हज़ार अमेरिकी डॉलर) हासिल करने की प्रक्रिया शुरू करूँ.यह रकम गारंटी के तौर पर थी. यानी अगर मैं अपने लॉगिन डिटेल्स सौंप देता, तो मुझे कम से कम इतनी रकम तो मिल ही जाती. सिन ने कहा, “हम मज़ाक नहीं कर रहे हैं. हमारा मीडिया में आने का कोई मक़सद नहीं है. हमें सिर्फ पैसे चाहिए और हमारे एक मैनेजर ने मुझे आपसे संपर्क करने को कहा है.”उन्होंने शायद मुझे इसलिए चुना क्योंकि उन्हें लगा कि मैं तकनीकी रूप से काफ़ी सक्षम हूँ और बीबीसी के आईटी सिस्टम में काफ़ी ऊपर तक मेरी पहुंच है. लेकिन वास्तव में ऐसा नहीं है.मुझे अब भी पूरी तरह यक़ीन नहीं है कि सिन को यह पता था कि मैं साइबर पत्रकार हूँ, न कि कोई आईटी या साइबर सुरक्षा कर्मचारी.इमेज कैप्शन, अपराधियों ने मुझे मोटी रकम देने का वादा किया उन्होंने मुझसे बीबीसी के आईटी नेटवर्क के बारे में कई सवाल पूछे. अगर मुझे इन सवालों के जवाब मालूम भी होते तो भी मैं नहीं देता.इसके बाद उन्होंने एक कंप्यूटर कोड भेजा और कहा कि मैं उसे अपने लैपटॉप पर कमांड के रूप में चलाऊँ और उन्हें बताऊँ कि इसका क्या नतीजा निकला.उनका मक़सद यह जानना था कि मुझे आईटी सिस्टम के अंदर तक कितनी पहुँच है, ताकि वे इसके अंदर घुसने के बाद अपने अगले कदम की योजना बना सकें.सिन से यहां तक कि बातचीत तीन दिनों में हुई थी. मुझे लगा कि बहुत हो चुका और मुझे अब बीबीसी की सिक्योरिटी टीम से सलाह लेनी चाहिए.ये रविवार की सुबह की बात है. मैंने सोचा था कि मैं सोमवार सुबह अपनी टीम से बात करूँगा.इसलिए मैंने सिन से वक़्त काटने के लिए, उसकी बातों को टालना शुरू किया. लेकिन सिन नाराज़ हो गया.उसने कहा, “तुम यह कब करोगे? मुझे बहुत धैर्य नहीं है.”और फिर उसने दबाव बनाते हुए कहा, “क्या तुम बहामास के समुद्र तट पर रहना नहीं चाहते?”सिन ने मुझे सोमवार की आधी रात तक की डेडलाइन दी. फिर उनका धैर्य जवाब दे गया.मेरे फोन पर अचानक टू-फैक्टर ऑथेंटिकेशन नोटिफिकेशन आने लगे.ये पॉप-अप बीबीसी की सुरक्षा लॉगिन ऐप से थे, जो मुझसे पूछ रहे थे कि क्या मैं अपने बीबीसी अकाउंट में लॉगिन करने की कोशिश कर रहा हूँ.इमेज कैप्शन, ‘मल्टीफ़ैक्टर बम अटैक’ का एक स्क्रीनशॉटजैसे ही मैंने अपना फ़ोन हाथ में लिया, स्क्रीन पर हर एक मिनट में एक नया पॉप-अप आने लगा. मुझे तुरंत समझ आ गया कि यह क्या है. यह एक हैकर तकनीक है जिसे एमएफ़ए बॉम्बिंग कहा जाता है.इसमें हमलावर बार-बार पासवर्ड रीसेट करने की कोशिश करते हैं या किसी अनजान डिवाइस से लॉगिन की कोशिश करके पीड़ित को पॉप-अप से परेशान करते हैं.आख़िरकार, पीड़ित या तो ग़लती से या फिर पॉप-अप से परेशान होकर छुटकारा पाने के लिए इसे स्वीकार कर लेता है.इस तरह के हमले का शिकार होना बेहद असहज अनुभव था. अपराधी अब तक चैट ऐप पर सीमित बातचीत को मेरे फोन की होम स्क्रीन तक ले आए थे. ऐसा महसूस हो रहा था जैसे कोई अपराधी मेरे घर के दरवाज़े को ज़ोर-ज़ोर से खटखटा रहा हो.मैं इस रणनीति में अचानक आए बदलाव से हैरान था, लेकिन इतना सावधान भी हो गया था कि दोबारा चैट खोलने की हिम्मत नहीं हुई. मुझे डर था कि कहीं गलती से “Accept” पर क्लिक न हो जाए.अगर ऐसा होता, तो हैकरों को बीबीसी के मेरे अकाउंट्स तक तुरंत पहुँच मिल जाती.सिक्योरिटी सिस्टम इसे सामान्य लॉगिन या पासवर्ड रीसेट समझती, इसलिए कोई अलर्ट नहीं आता. इसके बाद हैकर बीबीसी के संवेदनशील सिस्टम्स तक पहुँचने की कोशिश कर सकते थे.मैं एक रिपोर्टर हूँ, आईटी कर्मचारी नहीं, इसलिए मेरे पास उच्च स्तरीय एक्सेस नहीं है.लेकिन फिर भी यह स्थिति चिंताजनक थी और इसका मतलब था कि मेरा फ़ोन अब व्यावहारिक रूप से इस्तेमाल के लायक नहीं रह गया था.मैंने तुरंत बीबीसी की इंफ़ोर्मेशन सिक्योरिटी टीम को कॉल किया. ये तय हुआ कि एहतियात के तौर पर मुझे बीबीसी के सिस्टम से पूरी तरह से डिस्कनेक्ट कर दिया जाएगा. कोई ईमेल नहीं, कोई इंट्रानेट नहीं, कोई इंटरनल टूल्स या विशेषाधिकार नहीं.उसी शाम, हैकरों की ओर से मुझे एक अजीब तरह से शांत-सा मैसेज आया:”टीम माफ़ी चाहती है. हम आपके बीबीसी लॉगिन पेज का परीक्षण कर रहे थे और अगर इससे आपको कोई परेशानी हुई हो तो हमें खेद है.”मैंने उन्हें बताया कि अब मैं बीबीसी से लॉक्ड आउट हो चुका हूँ और नाराज़ हूँ. सिन ने फिर भी ज़ोर दिया कि अगर मैं चाहूँ तो सौदा अब भी संभव है.लेकिन जब मैंने कुछ दिनों तक कोई जवाब नहीं दिया, तो उन्होंने अपना सिग्नल अकाउंट डिलीट कर दिया और गायब हो गए.कुछ समय बाद मुझे बीबीसी सिस्टम में फिर से जोड़ा गया, लेकिन इस बार अतिरिक्त सुरक्षा उपायों के साथ.और अब मेरे पास एक ऐसा अनुभव है जिसमें मुझे “इंसाइडर थ्रेट अटैक” को अंदर से देखने का मौका मिला है. एक ऐसी सच्चाई जो दिखाती है कि साइबर अपराधी कैसे लगातार अपनी रणनीतियाँ बदलते रहते हैं. और कैसे यह तमाम संगठनों के लिए ऐसी जोखिम भरी चुनौती है जिसे मैंने तब तक गंभीरता से नहीं लिया था, जब तक मैंने खुद इसका अनुभव नहीं किया. बीबीसी के लिए कलेक्टिव न्यूज़रूम की ओर से प्रकाशित
Source link
‘आपको दोबारा काम नहीं करना पड़ेगा’: बीबीसी को हैक करने के लिए अपराधियों ने की रिपोर्टर को पैसे देने की पेशकश
RELATED ARTICLES
