साइबर अपराधियों के शिकंजे में डिजिटल दुनिया

बीता हफ्ता पूरी तरह से साइबर अपराध से जुड़ी खबरों के नाम रहा। शुरुआत हुई भारत के सबसे लम्बे न्यूक्लियर पावर प्लांट, कुडनकुलम न्यूक्लियर पावर प्लांट के कंट्रोल सिस्टम में मालवेयर पाए जाने की खबर से। 28 अक्टूबर को जाने माने साइबर सिक्योरिटी रिसर्चर पुखराज सिंह ने एक रिपोर्ट से सनसनी फैला दी जिसमे जब उन्होंने दावा किया कि उनके हाथ एक डाटा लगा है जो बताता है कि भारत के सबसे नए परमाणु ऊर्जा संयंत्र को हैक कर लिया गया है। पहले भारत सरकार की तरफ से इंकार किया गया तब तक दुनिया भर के साइबर शोधकर्ताओं ने डेटा की तलाश शुरू कर दी। बाद में यानी 30 अक्टूबर को न्यूक्लियर पावर कॉरपोरेशन ऑफ इंडिया (NPCL) ने कुडनकुलम प्लांट के प्रशासनिक कंप्यूटर में मालवेयर पाए जाने की पुष्टि की। हालाँकि NPCL ने किसी भी तरह के नुकसान की आशंका को सिरे से ख़ारिज कर दिया लेकिन इस बात को कैसे ख़ारिज किया जा सकता है कि भारत के प्रतिष्ठित परमाणु प्लांट के कंट्रोल सिस्टम में मालवेयर की मौजूदगी ने भारत सरकार की साइबर सिक्योरिटी में सेंध लगा दी है। इस बार समय से उसका पता लगा लिया गया लेकिन अगली बार ऐसा न होने की गारंटी कौन देगा? परमाणु शक्ति संयंत्र में किसी वायरस की मौजूदगी और फिर उसके नतीजे में होने वाली भयावहता से कैसे इंकार किया जा सकता है ?

यहाँ यह बात जानना जरुरी है कि परमाणु ऊर्जा संयंत्र के मानक की बनावट में आमतौर पर दो अलग-अलग नेटवर्क की आवश्यकता होती है जिससे इसका संचालन होता है। एक को औद्योगिक नियंत्रण प्रणाली (आईसीएस) या परिचालन प्रौद्योगिकी (ओटी) के रूप में जाना जाता है।  यह संयंत्र में मशीनों के वास्तविक संचालन को नियंत्रित करता है, नियंत्रित परमाणु प्रतिक्रिया के द्वारा उत्पन्न की गई ऊर्जा को सुनिश्चित करने के इनपुट और आउटपुट डाटा को नियंत्रित करता है। इस नेटवर्क तक मालवेयर नहीं पहुंचा इसलिए सुरक्षित रहा।

साइबर सिक्योरिटी शोधकर्ताओं ने मालवेयर के परमाणु संयंत्र के अन्य कार्यकलापों पर निगरानी करने वाले सूचना प्रौद्योगिकी प्रणाली यानी आईटी सिस्टम में होने की तस्दीक की। मालवेयर इस सिस्टम में इसके इंटरनेट से जुड़े होने के कारण पहुँचने में सफल रहा। हैकर्स प्लांट के आईटी सिस्टम में भारी मात्रा में मौजूद डाटा तक पहुंचने में कामयाब रहे। मालवेयर के भीतर एम्बेडेड जानकारी ने पहला सुराग दिया। इसने ऑनलाइन वायरस DTrack के परिवार से होने की पुष्टि की जिसे सुरक्षित सिस्टम से डाटा उड़ाने के लिए बनाया गया है।

DTrack वही मालवेयर है जिसने कुछ साल पहले भारत के बैंकिंग सिस्टम में बड़ी हलचल मचा दी थी। इसे मालवेयर का एक नया रूप माना जाता है, जिसे जानबूझकर डाटा चोरी और जासूसी के लिए बनाया गया था। अक्टूबर 2016 में एक भारतीय निजी बैंक के एटीएम नेटवर्क पर ATM DTrack वायरस के होने का पता चला, जो पूरी बैंकिंग प्रणाली में तेजी से फैल गया था। कुछ ही महीनों में सरकार को ATM DTrack से प्रभावित लगभग 2.9 से 3.2 मिलियन क्रेडिट और डेबिट कार्ड को रद्द करना पड़ा था।

कुडनकुलम प्लांट में मालवेयर की मौजूदगी की तस्दीक करने वाले साइबर सिक्योरिटी शोधकर्ता पुखराज सिंह का कहना है कि “दुर्भाग्य से, उस समय हमने खतरे को उतनी गंभीरता से नहीं लिया जितना हमें लेना चाहिए था। कुडनकुलम प्लांट में जहाँ डाटा की चोरी हुई वहां बिना कोई भनक लगे वायरस फ़ैल गया। जब तक इसका पता चलता तब तक बहुत नुकसान हो चुका था”। पुखराज के मुताबिक न केवल डोमेन कंट्रोलर बल्कि प्लांट के आंतरिक नेटवर्क में भी हैकर्स ने सफलतापूर्वक सेंध लगा दी थी। यह भी साफ़ हुआ है कि इस मालवेयर को कुडनकुलम परमाणु ऊर्जा संयंत्र के आईटी सिस्टम के लिए ही डिज़ाइन किया गया था। किसी ने अपने आईटी सिस्टम में सफलतापूर्वक DTrack वायरस छोड़ दिया था।

इस प्रकरण से स्पष्ट है कि भारत के सबसे महत्वपूर्ण क्षेत्रों पर एक बहुत ही स्पष्ट और नया खतरा मंडरा रहा है जिसकी भयावहता को हल्के में नहीं लेना चाहिए।

डार्कनेट प्रकरण

डिजिटल और ऑनलाइन भुगतान करने वाले ग्राहकों के लिए साइबर से जुड़ी एक और खबर ने सभी के होश तब उड़ा दिया जब पता चला कि डार्क नेट पर 13 लाख से अधिक भारतीयों के बैंक विवरणों की बिक्री महज 7000 रुपये से कम की कीमत में हो रही है। आईएएनएस की एक नवीनतम रिपोर्ट में कहा गया है कि लगभग 13 लाख भारतीयों के बैंक विवरण को डार्क नेट पर बिक्री के लिए रखा गया है।

डेक्कन क्रॉनिकल की सिंगापुर स्थित कंपनी ने लगभग 13 लाख भारतीयों के डेबिट और क्रेडिट कार्ड के वृहद् डेटाबेस की खोज की। डेटाबेस का खुलासा करने वाले आईबीए समूह ने इसे इंडिया-मिक्स-न्यू -01 का नाम दिया है। पूरी फ़ाइल डार्क वेब पर दो संस्करणों में चल रही है। हैरत और दुर्भाग्यपूर्ण बात यह है कि गोपनीयता की ये जानकारियां डार्क नेट पर खुलेआम बेचीं जा रही हैं। डार्क नेट पर मौजूद सबसे कीमती डेटाबेस का पता लगाया जाता है और फिर उसे 7,000 रुपये से कम में बेंच दिया जाता है। 28 अक्टूबर से भुगतान विवरण को बेच रही इस ख़ुफ़िया दुकान का नाम है जोकर्स स्टेश ओ।

जबकि इस तरह की धोखाधड़ी का पता लगा लिया गया है फिर भी अब तक डार्कनेट के हत्थे चढ़े भारतीय बैंकों और 13 लाख बैंक खातों के विवरण का पता नहीं चल पाया है। विशेषज्ञों का कहना है कि कार्ड स्किमिंग से ये जालसाज बैंक विवरण की चोरी कर लेते हैं।

आरबीआई की एक रिपोर्ट के अनुसार, पिछले तीन वर्षों में एटीएम पर संगठित अपराध के जरिये बैंकिंग क्षेत्र को कुल 168।74 करोड़ रुपये का नुकसान हुआ। इसमें वित्त वर्ष 2016 की पहली तिमाही के आंकड़े शामिल हैं। अप्रैल और जून 2018 के बीच, उन 261 घटनाओं को दर्ज किया गया जिसमे बैंकों को 18।85 करोड़ रुपये का नुकसान हुआ।

2018 में, वैश्विक एजेंसी एफआईएस के एक सर्वेक्षण में कहा गया था कि ऑनलाइन धोखाधड़ी के शिकार दुनिया में सबसे ज़्यादा भारतीय होते हैं। सर्वेक्षण में बताया गया है कि 18% भारतीय ऑनलाइन बैंकिंग धोखाधड़ी के शिकार हुए जिसका प्रतिशत दुनिया में सबसे अधिक है। 2017 में, भाजपा मंत्री रविशंकर प्रसाद ने कहा था कि 2017 में भारत में डिजिटल धोखाधड़ी के 25,800 से अधिक मामले थे।

कमाल और परेशानी की बात यह कि सरकार के पास बैंकिग जालसाजी के मामलों के आंकड़ें तो हैं लेकिन इसके शिकार लोगों के समाधानों के आंकड़े गायब हैं। एक तरफ सरकार पारदर्शी आर्थिक नीति की वकालत करती है और डिजिटल भुगतान को बढ़ावा देने की बात करती है वहीं दूसरी तरफ उसके पास बैंकिंग जालसाजों से निपटने का कोई रोडमैप नहीं दिखाई देता है जो कि बेहद दुर्भाग्यपूर्ण है।

व्हाट्सएप स्नूपिंग  

इंडियन एक्सप्रेस में प्रकाशित खबर के मुताबिक व्हाट्सएप की पैरेंट कंपनी फेसबुक ने अमेरिका की एक अदालत में यह रिपोर्ट दर्ज की है कि इजराइल की स्पाईवेयर कंपनी पेगासस ने उसके 1400 यूजर्स की जासूसी करवाई। पेगासस का किसी सिस्टम में घुसपैठ करने का तरीका एकदम अलग है। इसमें किसी लिंक पर क्लिक करने या किसी अज्ञात फ़ोन नंबर को रिसीव करने की जरुरत नहीं है। पेगासस किसी भी व्हाट्सएप यूजर्स के स्मार्टफोन के केवल मिस्ड वीडियो कॉल के जरिये भी घुस सकता है। जिसे रोकने का इलाज अभी खुद व्हाट्सएप के पास भी नहीं है। पेगासस का यह वायरस न केवल स्मार्टफोन में सेव जानकारियों में अपनी सेंध लगता है बल्कि स्मार्टफोन के आस-पास घट रही गतिविधियों पर नज़र भी रखता है।

व्हाट्सएप का दावा है कि उसने पेगासस के इस जासूसी प्रकरण के बारे में मई में भारत सरकार को सचेत किया था। साथ ही उसने बताया कि उसके अधिकारी पिछले पांच महीनों में भारत सरकार से मिले।

सरकारी सूत्रों का यह भी कहना है कि व्हाट्सएप ने मई में सरकारी एजेंसी CERT-IN को जानकारी दी थी, लेकिन उसमे पेगासस या जासूसी का उल्लेख नहीं किया। यह भी जोर देकर कहा गया है कि साझा की गई जानकारी केवल एक तकनीकी भेद्यता के बारे में थी और इस तथ्य से कोई लेना-देना नहीं था कि भारतीय उपयोगकर्ताओं की गोपनीयता से समझौता किया गया था।

लेख की समाप्ति में एक और घटना के बारे में जान लेना जरुरी है कि 30 अक्टूबर को भाजपा शासित उत्तराखंड के शहरी विकास मंत्री मदन मोहन कौशिक का फेसबुक, ट्विटर, जीमेल और इंस्टाग्राम का अकॉउंट हैक कर लिया गया। साइबर सेल को मामले की तहक़ीक़ात करने का जिम्मा सौंपा गया है। जांच के दौरान पता चला है कि उनके अकॉउंट को हैक करने का पहला प्रयास तुर्की से किया गया था। स्लोवाकिया से किए गए दूसरे प्रयास में हैक किया जा सका।

फ़िलहाल अभी तो कुछ बड़े साइबर शिकंजों के पन्ने खुले हैं, विकीलीक्स के बाद अभी कितने और पन्ने उधड़ने बाकी हैं यह आने वाला समय बताएगा लेकिन सुझाव यह जरूर है कि अपनी सभी ज्ञानेन्द्रियों को खोलकर डिजिटल, ऑनलाइन और सोशल मीडिया का उपयोग करना मुनासिब होगा। क्योंकि कब कौन सी आँखें किस वक़्त और किस दशा में आप पर नज़र रख रही हैं इसका तुरंत पता लगाने की तकनीकी के विकसित होने में अभी समय है। साथ ही डिजिटल या ऑनलाइन भुगतान करते समय सतर्क रहें और सजग रहें।

स्पाइवेयर: साइबर अपराधियों के शिकंजे में डिजिटल दुनिया