भारत में साइबर क्राइम तेजी से बढ़ रहा है. अपराधी तरह-तरह के हथकंडे अपनाकर लोगों को अपना शिकार बना रहे हैं और आम लोगों की गाढ़ी कमाई लूट रहे हैं. ऐसे में बड़ा खुलासा हुआ है. इसमें बताया गया है कि साइबर अपराधी कथित तौर पर भारतीय सरकारी कर्मचारियों से संबंधित ईमेल आईडी के उपयोगकर्ता नाम और पासवर्ड बेच रहे हैं. अगर इन ईमेल तक पहुंचा जाए, तो ये अवैध गतिविधियों के ढेरों रास्ते खोल सकते हैं, जिसके संभावित रूप से व्यक्तियों और व्यवसायों के लिए गंभीर परिणाम हो सकते हैं.
एक निजी मंच पर एक हैकर का दावा है कि कुछ हजार रुपये में कोई भी इन सरकारी ईमेल खातों को खरीद सकता है. हैकिंग फ़ोरम पर एक पोस्ट में लिखा है, “एक बार जब आप एक्सेस खरीद लेंगे, तो आप पासवर्ड रीसेट कर पाएंगे या अपनी इच्छानुसार कुछ भी कर पाएंगे.”
लेकिन इन सरकारी ईमेल का दुरुपयोग कैसे किया जा सकता है? उदाहरण के लिए, “डिजिटल अरेस्ट” को लें. किसी व्यक्ति के नाम, फोन नंबर और पते जैसी बुनियादी जानकारी के साथ, जो अक्सर सार्वजनिक रिकॉर्ड में आसानी से उपलब्ध होती है, साइबर अपराधी कानून प्रवर्तन के रूप में लोगों को डिजिटल अरेस्ट कर सकते हैं और बड़ी रकम वसूल सकते हैं. इन दिनों “डिजिटल अरेस्ट” के रूप में जानी जाने वाली यह रणनीति ऑनलाइन धोखाधड़ी का एक आकर्षक रूप बन गई है.
अब कल्पना करें कि साइबर अपराधी क्या कर सकता है, अगर उसे पता हो कि उसके टारगेट ने क्या खरीदा, उसने किसे पैसे भेजे, उसने ऑनलाइन क्या सर्च किया, उसने कौन सी वेबसाइट देखी या उसने सोशल मीडिया पर किससे चैट की.
इस हफ्ते की शुरुआत में, अमेरिका की जांच एजेंसी एफबीआई ने चेतावनी जारी की थी कि साइबर अपराधी अमेरिकी निजी कंपनियों से जानकारी मांगने के लिए हैक किए गए सरकारी ईमेल खातों और फर्जी अदालती आदेशों या सम्मनों का उपयोग कर रहे हैं.
.gov.in ईमेल खातों की बिक्री
आजतक की ओपन-सोर्स इंटेलिजेंस (OSINT) टीम को एक निजी हैकिंग और डेटा बिक्री प्लेटफॉर्म पर तीन लिस्टिंग मिलीं, जिनमें से सबसे हाल ही में 6 नवंबर को पोस्ट की गई थी, जिसमें ईमेल आईडी और उनके पासवर्ड की बिक्री का विज्ञापन किया गया था.
टीम ने तमिलनाडु सरकार के अधिकारियों से संबंधित @tn.gov.in डोमेन वाले नौ ईमेल खातों के सैंपल्स की समीक्षा की, जिन्हें एक विक्रेता 700 ऐसे क्रेडेंशियल के एक बैच के हिस्से के रूप में पेश कर रहा था. इनमें से एक खाता एक IAS अधिकारी का प्रतीत हुआ.
हालांकि सरकार द्वारा जारी किए गए ईमेल खातों तक पहुंचने के लिए टू फैक्टर ऑथेंटिकेशन की आवश्यकता होती है, लेकिन भारत सरकार ने 2020 में राष्ट्रीय सूचना विज्ञान केंद्र (NIC) द्वारा विकसित कवच ऐप के उपयोग को अनिवार्य कर दिया. इस ऐप के लिए मूल यूजर्स को नए डिवाइसेस से किसी भी साइन-इन प्रयास को अनुमोदित करने की आवश्यकता होती है. हालांकि, ऐसा प्रतीत होता है कि हैकर्स ने इस सुरक्षा उपाय को बायपास करने का एक तरीका खोज लिया है.
आजतक के साथ सिक्योर चैट में एक अन्य साइबर अपराधी ने दावा किया कि उसने एक सरकारी ईमेल आईडी के क्रेडेंशियल के लिए $150 (लगभग ₹12,600) चार्ज किए. उसने एक प्रदर्शन के रूप में एक में लॉग इन करके इन खातों तक पहुंच साबित करने की पेशकश की. इस प्रक्रिया में हैकिंग फ़ोरम पर एक एस्क्रो सेवा शामिल है, जहां व्यवस्थापक मध्यस्थ के रूप में कार्य करते हैं, खरीदार के भुगतान को तब तक रोकते हैं जब तक कि विक्रेता सफलतापूर्वक समझौता किए गए खाते में लॉग इन नहीं कर लेता.
अन्य विक्रेता “लॉग” पेश कर रहे हैं जिसमें डेटा होता है जिसका उपयोग ईमेल उपयोगकर्ता नाम और पासवर्ड निकालने के लिए किया जा सकता है. इस साल सितंबर में एक साइबर अपराधी द्वारा फ़ोरम पोस्ट में लिखा गया था, “आज मैं भारतीय सरकार के लॉग बेचूंगा. फ़ाइल में लॉग से भरी 40,000 से अधिक लाइनें हैं.”
एफबीआई की सलाह
4 नवंबर को जारी अपनी सलाह में एफबीआई ने सबसे खतरनाक गतिविधि के बारे में चेतावनी दी थी कि एक समझौता किया गया .gov.in ईमेल अकाउंट कंपनियों को आपातकालीन डेटा अनुरोध करने में सक्षम हो सकता है, जिसमें झूठा दावा किया जाता है कि जानकारी किसी जांच के लिए या किसी की जान बचाने के लिए आवश्यक है.
एफबीआई की सलाह और हैकर पोस्ट संकेत देते हैं कि हैक किए गए सरकारी ईमेल का दुरुपयोग दूरसंचार कंपनियों से कॉल लॉग का अनुरोध करने, पैसे ऐंठने, घोटाले करने और डिजिटल गिरफ्तारी जैसे अपराधों को सुविधाजनक बनाने के लिए किया जा सकता है. कुछ हैक किए गए ईमेल का उपयोग सोशल मीडिया प्लेटफ़ॉर्म और क्रिप्टोक्यूरेंसी एक्सचेंजों से उनके उपयोगकर्ताओं के बारे में जानकारी प्राप्त करने के लिए भी किया जा सकता है.
