सिम स्वाइप गरी ह्याकरले सामाजिक सञ्जालदेखि मोबाइल बैंकिङसम्म पहुँच बनाउन सक्ने !

अमेरिका जस्तो विकसित देशका दूरसञ्चार कम्पनीमै सिम कार्ड स्वाइपिङ (प्रयोगकर्ताको मोबाइल नम्बर नै अर्को सिममा सारेर सिममाथि पहुँच बनाउने कार्य) आक्रमणको खतरामा रहेको पाइएको छ । प्रिन्सटन विश्वविद्यालयको एउटा प्राज्ञिक शोधले आक्रमणकारीले सेवाप्रदायक कम्पनीका कर्मचारीलाई झुक्याएर तथा प्रलोभनमा पारेर प्रयोगकर्ताको फोन नम्बर आफूबाट नियन्त्रित सिम कार्डमा परिवर्तन गराउन सक्ने जोखिम औँल्याएको हो । 

आक्रमणकारीले यसबाट प्रयोगकर्ताकाको पासवर्डहरु रिसेट गर्नसक्छन् । प्रयोगकर्ताको संवेदनशिल अनलाइन अकाउन्टहरु सामाजिक सञ्जाल, इमेल इनबक्स, ई-बैंकिङ पोर्टल, मोबाइल वालेट आदिमा आदीमा पहुँच पुर्‍याउन सक्छन् । प्रिन्सटनका प्राज्ञहरुले गत वर्षभर अमेरिकाका पाँचओटै दूरसञ्चार सेवा प्रदायकहरुका कर्मचारीहरुमाथि स्टिङ अप्रेसन गरेको थियो ।

अपरेसनका क्रममा कर्मचारीहरुले पर्याप्त परिचय बिना प्रयोगकर्ताको फोन नम्बर अर्को सिममा परिवर्तन गर्न दिन्छन् कि दिदैँनन् भनेर हेरिएको थियो । अनुसन्धान टोलीका अनुसार पाँचै अमेरिकी दुरसञ्चार कम्पनीहरु एटी एण्ड टी, ट्रयाकफोन, यूएस मोबाइल र भेरिजोन वायरलेसले आफ्ना ग्राहक सेवा केन्द्रमा कमजोर किसिमको प्रक्रिया प्रयोग गरिरहेको पाइएको छ । 

यसअलावा अनुसन्धान टोलीले त्यस्ता १४० ओटा अनलाइन सेवाहरुमा निरिक्षण गरेको जहाँ त्यस्ता आक्रमणकारीले  प्रयोगकर्ताको अकाउन्ट ह्याक गर्न सिम स्वाइपको गर्न सक्छन् । अनुसन्धान प्रतिवेदन अनुसार १४० मध्ये १७ ओटा वेबसाइटहरु यो मामिलामा जोखिमपूर्ण पाइएका थिए ।

अनुसन्धान टोलीले पाँच कम्पनीमाथिको स्टिङ अपरेसनमा प्रत्येक टेलिकमको १० ओटा अकाउन्ट बनाएको थियो । प्रत्येक अकाउन्टका लागि उसले ५० ओटा सिमकार्ड प्रयोग गरेको थियो । कुनै खास नम्बरमा फोन सम्पर्क गरी कल हिस्ट्री तयार गर्न यसो गरिएको थियो ।  

अप्रेसनका क्रममा टोलीले प्रत्येक कम्पनीको कस्टमर सपोर्ट सेन्टरलाई सम्पर्क गरेर एकैप्रकारको प्रक्रिया अप्नाएको थियो । अनुसन्धानकर्ता आफैले आक्रमणकारीको रुपमा कम्पनीका सपोर्ट सेन्टरहरुमा सम्पर्क गरेर सिम कार्ड परिवर्तनका लागि आग्रह गरेका थियो । त्यसक्रममा उनीहरुले नियतवश पिन र अकाउन्ट होल्डरको गलत विवरण दिएका थियो । 

गलत विवरण दिँदा समेत कर्मचारीहरुले लापरवाहीपुर्ण तरिकाले साइनअप गरेको उनीहरुले बताएका छन् ।तर पीन र अकाउन्ट होल्डरको विवरण राख्नु पर्ने पहिलो दुईओटा अथेन्टिकेसन संयन्त्र असफल भएपछि कर्मचारीले तेस्रो संयन्त्रमा अकाउन्ट होल्डरसँग पछिल्लोपटक गरेको दुईओटा फोन सम्पर्कको सूची माग गरे ।

यसमा कर्मचारीहरुलाई झुक्याउन उनीहरुसँग अर्को आईडिया थियो । जसबाट उनीहरुले प्रयोगकर्ताको फोनलाई एउटा निश्चित नम्बरमा ट्रान्सफर गरिदिए । जहाँबाट, ‘तपाईले पुरस्कार जित्नु भएको छ, कल गर्नुहोला’, ‘गलत नम्बर, यहाँ सम्पर्क गर्नुहोला’ भनियो । यसरी प्रयोगकर्तालाई झुक्याएर दुईभन्दा धेरै कल हिस्ट्री बनाईसकेपछि सिम स्वायपका लागि कम्पनीको कल सेन्टरमा झुक्याउन त्यो कल डिटेल प्रयोग गरियो ।

यसरी पाँच ओटै कम्पनीलाघ झुक्याउन सफल भएको अनुसन्धानकर्ताले बताएका छन् । नेपालमा पनि मोबाइल फोनको प्रयोग बढिरहेको छ । दिनप्रतिदिन सिमकार्ड प्रयोगकर्ताको संख्या बढ्दै गएपछि अहिले सबै किसिमको अनलाइन सेवा तथा अकाउन्टहरुमा प्रयोगकर्ताको फोन नम्बर लिंक गराउनुपर्ने अनिवार्य शर्त बनाइएको छ ।

त्यसैले अमेरिकी अनुसन्धानकर्ताको खोजले नेपाली दूरसञ्चार सेवा प्रदायक र नियमनकारी निकायलाई समेत समयमै सजग हुने मौका दिएको छ । नेपाल दूरसञ्चार प्राधिकरणका अध्यक्ष पुरुषोत्तम खनाल यस प्रकारको संभावित आक्रमणको विषयमा हालसम्म कुनै उजूरी नपरेको बताउँछन् । तर यसको जोखिमको विषयलाई लिएर भने गम्भीरताका साथ लिएर अध्ययन कार्य भइरहेको उनको भनाई छ । 

एजेन्सीको सहयोगमा

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३०

टिप्पणीहरू