समर्थक

सोमवार, 3 नवंबर 2014

सायबर सेक्युरिटी

आज अपने पसंदीदा विषय पर बहुत दिन बाद पोस्ट लिख रही हूँ। पढ़िए - बहुत कुछ नया पता चलेगा कम्प्यूटर सेक्युरिटी आदि आदि के बारे में :)

आइये जानते हैं एक तरह के रिस्क को।

अक्सर आपको इस तरह के मेल आदि आते हैं -

१. मैं बैंक से रिटायर होने वाला हूँ - इत्तेएएएएए सारे पैसों का अकॉउंट है जिसका मालिक जीवित नहीं , उसके कोई वारिस नहीं थे - यदि आप मेरा साथ दें और मुझे अपना अकाऊँट नंबर दें तो हम दोनों लाभान्वित हो सकते हैं।
२. आपकी इतने सारे डॉलर की लाटरी आई है - जानकारी भेजिए।
३. या फेसबुक पर घायल या बीमार बच्चे / बूढ़े / सैनिक आदि होता है - अधिकाधिक शेयर करो।
४. या किसी देवी/ देवता/ जीज़स/ साईं बाबा आदि का चित्र - शेयर करो चमत्कार होगा - न किया तो बुरा होगा आदि। अत्यंत इंट्रेस्टिंग चित्र आदि।

आपने कभी सोचा यह साइट्स कौन और क्यों चलाते हैं ? इससे उन्हें क्या और कैसे मिलता है ?

बैंक अकाउंट का किस्सा तो बहुत सिम्पल है - आप उन्हें डिटेल - दीजिये वे आपका अकाऊँट हैक कर लेंगे। और सब जमापूंजी ट्रांसफर कर लेंगे। लेकिन १ और २ से भी अधिक खतरनाक है ३/४ - जो इनता इनोसेंट लग रहा है।

इन पोस्ट्स आदि में "बैक लिंक " होते अक्सर। फेसबुक पर आप जब पिक्चर को शेयर करते हैं - तो साइट के मालिक को मेसेज जाती है कि इस व्यक्ति ने आपका पोस्ट शेयर किया आदि। हम सबने फेसबुक से ऎसी मेसेजेस प्राप्त की हैं। सर्वोत्तम तरीका है - ऐसी मेल बिना पढ़े ही डिलीट कर देना। लेकिन हम क्यूरियस होते हैं और फंस जाते हैं।

अब जब आपने / मैंने / और हम जैसे हज़ारों लाखों ने ऐसे चित्र आदि देखे / पढ़े / शेयर किये - तो हमारे मेल आय डी उन चित्रों के मालिकों को मिल गए।

अब एक उदाहरण लेते हैं इसके उपयोग का। ये लाखों आय डी "माल" हैं जो इस जानकारी का मालिक पैसे (डॉलर :) ) के लिए बेचता है। मान लीजिये "मिस्टर एक्स" एक हैकर हैं और किसी बैंक की वेबसाइट से लोगों को उल्लू बना कर पैसे हथियाने की फिराक में हैं। तो ये मिस्टर एक्स उन जानकारी विक्रेता ऎसे हज़ारों मेल आय डी खरीदेंगे - समझ लीजिये दस हज़ार आय डी के बदल १० डॉलर खर्चा आया।

अब मिस्टर एक्स को चार पांच दस जनों का स्टाफ चाहिए - और ये करोड़ों का चकमा कर सकते हैं। ये मिस्टर एक्स अपने स्टाफ में एक बढ़िया वेबसाइट डिज़ाइनर लेंगे जो किसी जाने माने बैंक (मानिए स्टेट बैंक ऑफ़ इंडिया) की वेबसाइट की हूबहू नक़ल वेबसाइट बना सके। या साइट ठीक ओरिजिनल जैसी दिखेगी - सारे बटन और फॉर्म वैसे के वैसे दीखते होंगे। अलग होगा तो नाम - जो इतनी सफाई से होगा कि अधिकाँश ग्राहक फर्क पकड़ ही न पाएं। यदि ओरिजिनल साइट का नाम (URL) है -

statebankofindia.com

तो इस नकली साइट का नाम शायद होगा - state_bank_of_india.com

तो यूआरएल देखने पर साधारण यूज़र समझेगा यह ओरिजिनल साइट ही है। समझिए इस डिज़ाइनर को मिस्टर एक्स ने ५००० डॉलर दिए और दस दिन में यह नकली साइट तैयार कर ली गयी।

अब अगला कदम होगा - उन दस हज़ार मेल आय डी पर (जो एक्स ने खरीदी थीं) एक मेल भेजा जाएगा - जिसका मेसेज होगा कि किसी गड़बड़ी के कारण आप एक बार अपने अकाउंट को वेरीफाई करवा लें। नीचे लिंक दिया - लिंक को क्लिक करें।

नीचे नकली साइट का लिंक होगा - जो हूबहू असल नाम जैसा दिखेगा - और उसे क्लिक करने पर नकली साइट खुलेगी जो हूबहू असल जैसी ही लगेगी।

अब इन दस हज़ार यूज़र में मान लीजिये की ५००० के अकाउंट स्टेट बैंक में नहीं हैं - तो वे मेल को इग्नोर कर देंगे। बाकी ५००० में से कई लोग या तो बिज़ी होंगे या समझदार और जागरूक - तो वे ऐसी मेल में मिली लिंक को इस्तेमाल नहीं करेंगे। मान लीजिये ५००० में से ३००० ने इग्नोर किया मेसेज को। बाकी २००० ?

बाकी उस लिंक को क्लिक करेंगे - २००० ग्राहक गलत लिंक पर जाएंगे - जो हूबहू बैंक की साइट की तरह दिखती है। यूज़र लोगिन करेगा - और कन्फर्म अकॉउंट डिटेल के बटन पर रेडिरेक्ट किया जाएगा। वहां कुछ जानकारियां होंगी - आपका जन्म दिन / माता / पिता / पति का नाम/ कितने - उनके नाम।

आखिर में है :

१. ओल्ड पासवर्ड
२.न्यू पासवर्ड
३. reenter न्यू पासवर्ड

यूज़र यह करेगा,और उसे मेसेज आएगा - you have successfully protected your account .

अब ग्राहक खुश है कि उसका अकाउंट सेफ है। लेकिन असल में वे सेफ हैं जिन्होंने लिंक क्लिक नहीं की थी। जिस भी यूजर ने यह किया - उसने अपना ओरिजिनल पासवर्ड नकली साइट पर दे दिया, पैन नंबर और दूसरी सब जानकारी भी। और वह सोच रहा है कि उसका पासवर्ड नया हो गया है - लेकिन असलियत में तो पुराना ही पासवर्ड असल बैंक साइट पर है।

इस बीच यही गलती करीब दो हज़ार लोगों ने की है। अब हैकर के पास करीब ४८ घंटे का समय है (क्योंकि कोई न कोई जिसने लिंक को नकली माना - बैंक को अवश्य यह सूचना देगा कि ऐसी मेल आई थी आपके बैंक से - क्या यह सच है या नहीं। तो बैंक सिक्योरिटी के इंतज़ाम करने लगेगा। करीब ४८ घंटे का समय है हैकर के पास।

इस बीच हैकर ने अपने नाम के कई फर्जी अकाउंट अपने बाकी स्टाफ के थ्रू खुलवाये हैं।

वह हैकर आपके ही पासवर्ड से आपके बैंक अकाउंट में जाएगा और आपका फोन नंबर बदलेगा जहां आपको बैंक से नोटिफिकेशन आते हैं - तो अब लाख बैंक आपको सावधान करते मेसेज भेजे - वे आप तक नहीं पहुँच सकते - क्योंकि उनके पास आपका असल फोन नंबर है ही नहीं अब। फिर वह आप का सारा रुपया अपने नकली अकाउंट में ट्रांसफर कर लेगा - उसके स्टाफ उन बैंकों में जाकर सारा रुपया निकाल लेंगे और अकाउंट बंद कर के निकल जाएंगे।

समझिए २००० यूज़र फंसे और हर एक के अकाउंट से १००० डॉलर (औसतन) का ट्रांसफर हुआ - तो हैकर ने कमाया कितना ? 2000x१००० = २,०००,००० डॉलर

खर्चा आया दस लोगो को पंद्रह दिन की तनखाह - समझिए 5000x१०व्यक्ति = ५०००० डॉलर। बाकी सारा पैसा हैकर जी का मुनाफ़ा :) और शुरुआत में जो ५००० डॉलर लगाये थे वे भी जोड़ें तो ५५००० डॉलर के इन्वेस्टमेंट में २०००००० की कमाई :)

तो जी - कहने का मतलब यह है कि - अनजान सोर्स से आये मेल लिंक्स कभी क्लिक न करें :)
जय हो :)