ഗൂഗിൾ പ്ലേ സ്റ്റോറിലൂടെ വരുന്ന ആപ്പുകൾ സുരക്ഷിതമാണെന്നായിരുന്നു ഇതുവരെയുള്ള ധാരണ. എന്നാൽ ഇതിലും വിവരം തട്ടിയെടുക്കുന്ന ഒന്നാന്തരം മാൽവെയർ പ്രോഗ്രാമുകളുണ്ടെന്നു പുതിയ ചില ഉദാഹരണങ്ങൾ തെളിയിക്കുന്നു. ഫിറ്റ്നസ്, സ്പോർട്സ്, പാചകം, ക്രിപ്റ്റോ കറൻസി എന്നുവേണ്ട, പല പേരുകളിൽ നാലു ലക്ഷത്തോളം പേർ ഡൗൺലോഡ് ചെയ്ത 40 ആപ്പുകളാണു കഴിഞ്ഞദിവസം ഗൂഗിൾ എടുത്തുകളഞ്ഞത്.
ഇൻസ്റ്റാൾ ചെയ്താൽപിന്നെ ഈ ആപ്പുകൾ സ്ക്രീനിലെവിടെയും കാണില്ല. ഫോണിന്റെ വേഗം വളരെയധികം കുറയുകയും ഇന്റർനെറ്റ് ഡേറ്റ പെട്ടെന്നു തീരുകയും ചെയ്യും. ഉപയോക്താവ് അറിയാതെ നൂറുകണക്കിനു പരസ്യങ്ങൾ ഇവ തനിയെ ക്ലിക്ക് ചെയ്യും. ആപ്പിന്റെ ഉടമകൾക്കു ലക്ഷക്കണക്കിനു രൂപയും ലഭിക്കും. ആപ്പിന്റെ ഐക്കൺ പോലും കാണാൻ കിട്ടാത്തതുകൊണ്ട് അൺ ഇൻസ്റ്റാൾ ചെയ്യാനും കഴിയില്ല. ഫോൺ പൂർണമായും ഫോർമാറ്റ് ചെയ്യുകയേ പിന്നെ രക്ഷയുള്ളൂ.
ഫെയ്സ്ബുക്കിലെ നീല ടിക്കിലും പണികിട്ടാം
കഴിഞ്ഞദിവസം, കൊച്ചിയിലുള്ള ഒരു ഫെയ്സ്ബുക് പേജ് ഉടമയ്ക്ക് ഇതുവരെ കണ്ടിട്ടില്ലാത്ത ഒരു നോട്ടിഫിക്കേഷൻ ലഭിച്ചു. വെരിഫൈഡ് ബാഡ്ജ് എന്ന അക്കൗണ്ടിനു താങ്കളുടെ പേജിലേക്ക് ആക്സസ് വേണമെന്നാണ് അറിയിപ്പ്. ഫെയ്സ്ബുക്കിലെ പേജുകൾ വെരിഫൈ ചെയ്യാനുള്ള എന്തോ സംഗതിയാണെന്ന് ഒറ്റനോട്ടത്തിൽ തോന്നും. നീല ടിക്ക് കിട്ടുമല്ലോ എന്നു ധരിച്ച് ഒകെ കൊടുത്താൽ, നിങ്ങൾ നാളുകളായി പൊന്നുപോലെ സൂക്ഷിച്ച പേജിന്റെ പൂർണനിയന്ത്രണം മറ്റൊരാളുടെ കയ്യിലെത്തുമെന്നു ചുരുക്കം. ഫെയ്സ്ബുക്കിൽനിന്നെന്ന വ്യാജേന പേജിന്റെ നിയന്ത്രണം ഏറ്റെടുക്കാനുള്ള തട്ടിപ്പുവിദ്യയാണിത്. ഒകെ കൊടുക്കുന്നതോടെ തട്ടിപ്പുകാരനു പേജിന്റെ ‘അഡ്മിൻ’ അധികാരം ലഭിക്കും. അടുത്തനിമിഷം നിങ്ങളെ പുറത്താക്കുകയും അയാൾക്കു താൽപര്യമുള്ള രീതിയിൽ പേജ് ഉപയോഗിക്കുകയും ചെയ്യും.
റെഡിറ്റ് ഹാക്ക് ചെയ്ത വിദ്യ
പാസ്വേഡുകൾ ചോർത്താൻ പല വഴികളുള്ളതിനാൽ അധികസുരക്ഷയെന്ന നിലയിൽ വൺടൈം പാസ്വേഡ് അല്ലെങ്കിൽ വെരിഫിക്കേഷൻ കോഡ് ഉപയോക്താവിന്റെ ഫോണിലേക്കു വരുന്ന ടു ഫാക്ടർ ഓതന്റിക്കേഷൻ (Two Factor Authentication) രീതി സർവസാധാരണമാണ്. പാസ്വേഡ് നൽകിയാലും മൊബൈലിലെത്തുന്ന കോഡ് കൂടി നൽകിയാലേ അക്കൗണ്ടിലേക്ക് ഒരാൾക്കു പ്രവേശിക്കാനാവൂ എന്നു ചുരുക്കം. ജിമെയിലിലും ആധാറിലുമെല്ലാം ഈ സംവിധാനമുണ്ട്.
എന്നാൽ, ഒന്നു സൂക്ഷിച്ചില്ലെങ്കിൽ ഈ രണ്ട് സുരക്ഷാസംവിധാനങ്ങളും തകർക്കാനുള്ള വിദ്യയും തട്ടിപ്പുകാരുടെ കയ്യിലുണ്ട്! പ്രമുഖ വെബ്സൈറ്റായ റെഡിറ്റ് (Reddit.com) ഹാക്ക് ചെയ്യപ്പെട്ടത് അവിടെയുള്ള ജീവനക്കാരുടെ ഫോണിലെ ടു–ഫാക്ടർ ഓതന്റിക്കേഷൻ തകർത്തിട്ടാണെന്ന റിപ്പോർട്ട് ഇന്നലെ പുറത്തുവന്നിരുന്നു.
തകർക്കുന്നത് ഇങ്ങനെ
1. ജിമെയിൽ ലോഗിൻ പേജുമായി സാദൃശ്യമുള്ള ഒരു വ്യാജ പേജ് ഉപയോക്താവിന് എസ്എംഎസ് വഴിയോ വാട്സാപ് വഴിയോ ലഭിക്കുന്നു. ഇതു തുറന്ന് യൂസർനെയിം, പാസ്വേഡ് എന്നിവ നൽകുന്നു.
2. വിവരങ്ങൾ ഞൊടിയിടയിൽ തട്ടിപ്പുകാരന്റെ സെർവറിലെത്തുന്നു.
3. തട്ടിപ്പുകാരൻ ഈ വിവരം ഗൂഗിളിന്റെ യഥാർഥ ലോഗിൻ ചെയ്യാൻ ഉപയോഗിക്കുന്നു. ഇത് ഉടനടി ചെയ്യാൻ പ്രത്യേക പ്രോഗ്രാമുകളുണ്ട്.
4. ഗൂഗിളിൽനിന്നു വെരിഫിക്കേഷൻ എസ്എംഎസ് ഉപയോക്താവിന്റെ ഫോണിലെത്തുന്നു. ഇത് തട്ടിപ്പുകാരൻ ലോഗിൻ ചെയ്തപ്പോൾ വന്നതാണെന്ന് ഉപയോക്താവറിയുന്നില്ല.
5. മൊബൈൽ ഫോണിലെ കോഡ് നൽകാനെന്നപേരിൽ ഉപയോക്താവിനു മുന്നിലെത്തുന്ന പേജും വ്യാജം. എന്നാൽ, ഗൂഗിളിൽനിന്നെത്തുന്ന യഥാർഥ എസ്എംഎസ് വിശ്വസിച്ചു കോഡ് ടൈപ് ചെയ്യുന്നു.
6. കോഡ് ലഭിക്കുന്നതും തട്ടിപ്പുകാരന്റെ പക്കൽത്തന്നെ.
7. അയാൾ മുൻപു ലഭിച്ച പാസ്വേഡും ഇപ്പോൾ ലഭിച്ച വെരിഫിക്കേഷൻ കോഡും ഉപയോഗിച്ചു നിങ്ങളുടെ ഇമെയിൽ ഇൻബോക്സ് തുറക്കുന്നു.
ഓൺലൈൻ ബാങ്ക് തട്ടിപ്പിനിരയായാൽ?
∙ അദ്യ മിനിറ്റുകൾ നിർണായകം. ഒരു നിമിഷം പോലും പാഴാക്കാതെ സൈബർ സെല്ലുമായോ സൈബർ പൊലീസ് സ്റ്റേഷനുമായോ ബന്ധപ്പെടുകയോ അല്ലെങ്കിൽ, ക്രൈം സ്റ്റോപ്പർ നമ്പറായ 1090ൽ ബന്ധപ്പെടുകയോ ചെയ്യുക. സ്റ്റേഷനിൽ പോകണമെന്നില്ല.
∙ കാർഡ് നമ്പർ, ട്രാൻസാക്ഷൻ നമ്പർ, നഷ്ടമായ തുക, ബാങ്ക് തുടങ്ങിയ വിവരങ്ങൾ ഉടൻ പൊലീസിനു കൈമാറണം. ബാങ്കിൽനിന്നു ലഭിക്കുന്ന മെസേജിൽ ഈ വിവരങ്ങളുണ്ടാകും. ഇതിന്റെ സ്ക്രീൻഷോട്ട് അയയ്ക്കാം.
∙ എല്ലാ സൈബർ സ്റ്റേഷനുകളിലെയും തിരഞ്ഞെടുക്കപ്പെട്ട അംഗങ്ങൾ തിരുവനന്തപുരത്തെ സൈബർഡോമിനു കീഴിലുള്ള പ്രത്യേക വാട്സാപ് ഗ്രൂപ്പിൽ അംഗങ്ങളാണ്. ഇതിൽ പരാതി ഉടൻ അപ്ഡേറ്റ് ചെയ്യുന്നു.
∙ ഗ്രൂപ്പിൽ അംഗങ്ങളായ വിവിധ ബാങ്കുകളുടെയും വോലറ്റുകളുടെയും നോഡൽ ഓഫിസർമാർ നിശ്ചിത ഇടപാടുകൾ റദ്ദാക്കാൻ നിർദേശിക്കും.
∙ ഇടപാടു താൽക്കാലികമായി മരവിപ്പിച്ചെന്ന് ഉറപ്പാക്കിയശേഷം കേസ് റജിസ്റ്റർ ചെയ്യാനായി സമീപ സ്റ്റേഷനിൽ നേരിട്ടു പരാതി നൽകാം.
സൈബർ ഡോം
സ്വകാര്യ പങ്കാളിത്തത്തോടെ സൈബർ സുരക്ഷാരംഗത്തു ഗവേഷണം നടത്താനുള്ള കേരള പൊലീസിന്റെ സംവിധാനമാണു സൈബർഡോം. ടെക്നോപാർക്ക് കേന്ദ്രമാക്കി പ്രവർത്തിക്കുന്ന സൈബർഡോമുമായി എണ്ണൂറോളം ഐടി വിദഗ്ധരാണു പ്രതിഫലം വാങ്ങാതെ സഹകരിക്കുന്നത്. സൈബർ ഇന്റലിജൻസ്, സൈബർ സെക്യൂരിറ്റി, ഇൻസിഡന്റ് റെസ്പോൺസ്, സൈബർ ഫൊറൻസിക്സ് തുടങ്ങിയവയിലാണു സൈബർഡോം ശ്രദ്ധിക്കുന്നത്.
ഗവേഷണത്തിനപ്പുറത്തു നിയമനടപടികൾ സ്വീകരിക്കാനുള്ള അധികാരം സൈബർഡോമിനില്ല. ഓൺലൈൻ ബാങ്ക് തട്ടിപ്പുകളിൽ ഇരയായവരുടെ പണം തിരിച്ചുപിടിക്കാൻ സൈബർഡോം ഒരുക്കിയ ‘കേരള മോഡൽ’ വാട്സാപ് സംവിധാനം രാജ്യവ്യാപകമായി നടപ്പാക്കാൻ റിസർവ് ബാങ്ക് കഴിഞ്ഞമാസം തീരുമാനിച്ചിരുന്നു.
ബഗ് ബൗണ്ടി
ഗൂഗിൾ, മൈക്രോസോഫ്റ്റ്, ആപ്പിൾ തുടങ്ങിയ പ്രമുഖ രാജ്യാന്തര ബ്രാൻഡുകളുടെ സൈറ്റുകളിലെ സുരക്ഷാവീഴ്ചകൾ ചൂണ്ടിക്കാട്ടുന്നവർക്ക് അവർ റിവാഡ് പോയിന്റ്, പ്രശംസാപത്രം എന്നിവയ്ക്കു പുറമേ പ്രതിഫലവും നൽകാറുണ്ട്. ബഗ് ബൗണ്ടി എന്നാണിതിനെ വിളിക്കുന്നത്. സൈറ്റുകളുടെ സുരക്ഷ വർധിക്കുന്നതിനൊപ്പം എത്തിക്കൽ ഹാക്കർമാർക്ക് ഇതു പ്രോത്സാഹനവും വരുമാനമാർഗവുമാണ്. എന്നാൽ, ഇന്ത്യയിലെ പ്രമുഖ ബ്രാൻഡുകളോ ബാങ്കുകളോ സർക്കാരിന്റെ അതിപ്രധാന വെബ്സൈറ്റുകളോ ഇപ്പോഴും ഈ രീതി അവലംബിച്ചിട്ടില്ല. സുരക്ഷ സംബന്ധിച്ച് ഇന്ത്യയിലെ സൈറ്റുകൾ പഠനം നടത്തുന്നതും ചുരുക്കമാണ്.
പ്ലസ് ടു വിദ്യാർഥികളുടെ ഡേറ്റ 4000 രൂപയ്ക്ക് വിൽപനയ്ക്ക്
വിവിധ സംസ്ഥാനങ്ങളിലെ എൻജിനീയറിങ്, മെഡിക്കൽ, നിയമ വിദ്യാർഥികളുടെ ആധാർ നമ്പർ അടക്കമുള്ള വ്യക്തിവിവരങ്ങൾ 2,000 മുതൽ 35,000 രൂപ വരെ നിരക്കിൽ ഓൺലൈനായി വിൽക്കുന്നുണ്ടെന്നറിഞ്ഞാണ് ഒരു വെബ്സൈറ്റിൽ നൽകിയ വിലാസത്തിൽ ഇമെയിൽ അയച്ചത്. ഞൊടിയിടയിൽ മറുപടിയെത്തി; വെബ്സൈറ്റിൽ പ്രസിദ്ധീകരിക്കാത്ത ഒരുപിടി വിവരങ്ങൾ ലിസ്റ്റ് ആയും ഒപ്പം അയച്ചിട്ടുണ്ട്. ഇഷ്ടമുള്ളതു തിരഞ്ഞെടുക്കാം. ഒരു ഡിജിറ്റൽ മാർക്കറ്റിങ് ഏജൻസിയിൽനിന്നാണെന്ന മട്ടിലാണ് ഇവരെ സമീപിച്ചത്.
കേരളത്തിൽനിന്നുള്ള വിവരമുണ്ടോയെന്നു ചോദിച്ചപ്പോൾ അടുത്തനിമിഷം ഒരു എക്സൽ ഷീറ്റെത്തി. കഴിഞ്ഞവർഷം കേരളത്തിൽ പ്ലസ്ടു വിജയിച്ച കുട്ടികളുടെ വിവരങ്ങളാണു നിറയെ. ഇപ്പോൾ അയച്ചതു സാംപിൾ ഡേറ്റയാണെന്നും പണമടച്ചാൽ ഒറിജിനൽ പിന്നാലെയെത്തും എന്നുമായിരുന്നു അറിയിപ്പ്. 44,000 വിദ്യാർഥികളുടെ വിവരങ്ങൾ അടങ്ങിയ ഡേറ്റാബേസിന് 4,000 രൂപയാണു റേറ്റ്. പണമടയ്ക്കേണ്ട ബാങ്ക് അക്കൗണ്ട് വിവരങ്ങളും ഉടനടി മെയിൽ ബോക്സിലെത്തി. ഡൽഹിയിലെ സ്പെയ്സ് എഡ്ജ് ടെക്നോളജീസ് എന്ന പേരിലുള്ള അക്കൗണ്ടാണിത്. 4,000 രൂപ കൂടുതലാണെന്നും 1,000 രൂപ കുറയ്ക്കാമോ എന്നും ചോദിച്ചപ്പോൾ ഒകെ പറഞ്ഞു. എങ്ങനെയെങ്കിലും കച്ചവടം നടന്നാൽ മതിയെന്ന മട്ടിലായി!
നീറ്റ് പരീക്ഷയിൽ കേരളത്തിൽനിന്നു പങ്കെടുത്ത 10,000 പേരുടെ വിവരങ്ങൾക്കു വില 2,000 രൂപയാണ്. കർണാടകയിലെ 48,000 പേരുടെ വിവരങ്ങൾക്കു 2,500 രൂപയും. സാംപിൾ ഡേറ്റാ ഷീറ്റുകൾ കണ്ട് ബോധ്യപ്പെട്ടശേഷം മാത്രം വാങ്ങിയാൽ മതിയാകും! ഈ വിവരങ്ങളെല്ലാം സർവകലാശാലകളിൽനിന്നോ വിദ്യാഭ്യാസ സ്ഥാപനങ്ങളിൽനിന്നോ പുറത്തുപോയതാണെന്ന് ഒറ്റനോട്ടത്തിൽത്തന്നെ വ്യക്തമാകും.
വ്യാജ അക്കൗണ്ട് വിൽക്കുന്ന സംഘങ്ങൾ: എൻ.ബിജു (സിഐ, തിരുവനന്തപുരം സൈബർ പൊലീസ് സ്റ്റേഷൻ)
കേരളത്തിൽനിന്നുൾപ്പെടെ ഓൺലൈൻ ബാങ്കിങ് വഴി തട്ടിയെടുക്കുന്ന പണം നിക്ഷേപിക്കാൻ 45,000 – 50,000 രൂപ നിരക്കിൽ വ്യാജ ബാങ്ക് അക്കൗണ്ടുകൾ വിൽക്കുന്ന സംഘങ്ങളുണ്ടെന്ന വിവരമാണ് ഒരു പ്രതിയെ തേടിയുള്ള യാത്രയിൽ ഡൽഹിയിൽനിന്ന് ആദ്യം ലഭിച്ചത്. ഈ അക്കൗണ്ടുകളിലെ വിലാസം, ഇതൊന്നുമറിയാത്ത ഏതെങ്കിലും പാവങ്ങളുടേതായിരിക്കും. 450 മുതൽ 1,000 രൂപ വരെ കൊടുത്താൽ വ്യാജവിലാസത്തിലുള്ള സിമ്മും വാങ്ങാം.
ഇവയുപയോഗിച്ചു കോൾ സെന്റർ ബിസിനസ് പോലെയാണു തട്ടിപ്പുസംഘങ്ങൾ ഡൽഹിയിലെ നോയിഡ, മാളവ്യ നഗർ എന്നിവിടങ്ങളിൽ പ്രവർത്തിച്ചിരുന്നത്. കേരളത്തിലുള്ള ആളെയാണു വിളിക്കുന്നതെങ്കിൽ ചെന്നൈയിലെ കോൾ സെന്ററിൽനിന്നാണെന്നു പറയും. ഒപ്പം തമിഴ് ചുവയുള്ള സംസാരരീതിയായിരിക്കും. ആന്ധ്ര സ്വദേശിയെയാണു വിളിക്കുന്നതെങ്കിൽ തെലുങ്ക് കലർന്ന സംസാരരീതിയുമായിരിക്കും.
അഞ്ചു വർഷം: ഒരു ലക്ഷം കോടിയുടെ തട്ടിപ്പ്
രാജ്യത്തെ ബാങ്ക് തട്ടിപ്പുകളുടെ ആഴവും പരപ്പും മനസ്സിലാക്കാൻ രണ്ടരമാസം മുൻപ് ആർബിഐ പുറത്തുവിട്ട കണക്കുകൾ നോക്കിയാൽ മതി. അഞ്ചു വർഷത്തിനിടെ 1,00,718 കോടി രൂപയുടെ തട്ടിപ്പാണ് ഇന്ത്യയിലെ ബാങ്കുകളിൽ നടന്നിരിക്കുന്നത്.
ഒരു ലക്ഷം രൂപയ്ക്കു മുകളിലുള്ള 23,866 തട്ടിപ്പുകേസുകളാണ് ഇക്കാലയളവിൽ റജിസ്റ്റർ ചെയ്തിരിക്കുന്നത്. സൈബർ തട്ടിപ്പുകളും കോർപറേറ്റ് തട്ടിപ്പുകളും ഉൾപ്പെടെയാണിത്. ഒരു ലക്ഷത്തിൽ താഴെയുള്ള കേസുകൾ ഇതിനു പുറമേയാണ്. 2017-18 സാമ്പത്തിക വർഷത്തിൽ മാത്രം, 28,459 കോടിയുടെ തട്ടിപ്പുകളാണ് ആർബിഐയിൽ റിപ്പോർട്ട് ചെയ്യപ്പെട്ടിരിക്കുന്നത്.
