उपहारको लोभ देखाएर लिङ्क क्लिक गर्न लगाउने वेबसाइटले कसरी चोर्छन् डेटा ?

 

कार्तिकेयन भि-

एकदिन मैले ह्वाट्सएपमा एउटा मेसेज पाएँ, जसमा ‘डीमार्ट’ले सित्तैमा उपहार दिइरहेको उल्लेख थियो । (नेपालको भाटभटेनी जस्तै डीमार्ट भनेको भारतको सुपरमार्केट चेन हो ।) त्यो लिङ्क ‘servio.io’ मा थियो र हेर्दा सक्कली जस्तै देखिन्थ्यो ।

म एक साइबर सुरक्षा अनुसन्धानकर्ता भएकोले मैले यसबारे थप अनुसन्धान गर्ने निर्णय गरेँ । यसबाट जे पत्ता लाग्यो त्यो निकै डरलाग्दो थियो । यो वेबसाइट मानिसहरूको व्यक्तिगत जानकारी चोर्नको लागि बनाइएको रहेछ । मैले कसरी त्यसको विश्लेषण गरेँ, कमजोरी पत्ता लगाएर ह्याक गरेँ र अन्तमा बन्द गरिदिएँ भन्नेबारे यहाँ चर्चा गरेको छु । 

पहिलो चरणः नक्कली वेबसाइटको विश्लेषण वेबसाइटमा निम्न कामहरू गर्न लगाइन्थ्यो:

१) केही असान्दर्भिक प्रश्नहरूको जवाफ दिन ।

२) एउटा उपहारको बाकस छान्न (जुन नक्कली थियो ) ।

३) यो मेसेजलाई १० जना ह्वाट्सएप कन्ट्याक्टलाई पठाउन (ठगी फैलाउनको लागि)।

४) आफ्नो पुरस्कार दाबी गर्नुहोस् (जुन कहिल्यै पाइँदैन) ।

तर मैले अरूलाई मेसेज पठाउनुको सट्टा ब्राउजरको कोडमा केही परिवर्तन गरेर त्यो चरण पार गरेँ । यसले मलाई कसैलाई स्प्याम नगरी अगाडि बढ्न मद्दत गर्यो ।

पुरस्कार पाइने भनिएको पेजमा पुगेपछि मैले सफ्टवेयर (Burp Suite) प्रयोग गरेर हेरेँ । त्यसबाट के देखियो भने उक्त वेबसाइटले मेरो विवरणसहितको जानकारी आफ्नो सर्भरमा पठाइरहेको थियो ।

दोस्रो चरणः सुरक्षा कमजोरीहरू पत्ता लगाउने

मैले वेबसाइटमा विभिन्न कमजोरीहरू खोज्न थालेँ । त्यसका लागि एसक्यूएल इन्जेक्सन प्रयोग गरेँ । असफल भयो, एड्मिन प्यानलको एक्सेस प्रयास गरेँ, त्यो पनि सकिएन । त्यसपछि ‘पुट मेथडर एक्सप्लोइट’ प्रयास गरेँ परिणाम उस्तै निस्किए । चौथो पटक ‘भर्सन बेस्ड एक्सप्लोइट’ प्रयोग गरेँ त्यो पनि असफल भयो । तर, वेबसाइट बनाउन प्रयोग भएको प्रविधि (Node.js) मा एउटा गम्भीर कमजोरी हुन सक्छ भन्ने कुरा मेरो दिमागमा आयो । यसलाई सर्भर साइड टेम्प्लेट इन्जेक्सन (SSTI) भनिन्छ ।

तेस्रो चरणः एसएसटीआई कमजोरीको प्रयोग गरी सर्भरमा पहुँच बनाउने

यो कमजोरी छ कि छैन भनेर जाँच्न मैले एउटा सानो कोड पठाएँ: karthi{{7*7}} । सर्भरले जवाफमा ‘karthi49’ फर्कायो ।

यसबाट कमजोरी भएको पक्का भयो ! अब मलाई सर्भरमाथि पूरा नियन्त्रण लिन बाटो खुल्यो । मैले एउटा यस्तो कोड (payload) बनाएँ, जसले मलाई त्यो ह्याकरको सर्भरमा सिधै एक्सेस दियो । केही सेकेन्डमै सर्भरको पूरा नियन्त्रण मेरो हातमा आयो !

चौथो चरण: सर्भरमा पूर्ण पहुँच र त्यसलाई बन्द गर्ने

सर्भरमा पहुँच पाएपछि मैले त्यहाँ भएका फाइलहरू हेरेँ । त्यहाँ मैले हजारौं पीडित प्रयोगकर्ताको चोरीएको डेटा (नाम, फोन नम्बर, ईमेल) को लग फाइल फेला पारेँ ।

यो निकै गम्भीर कुरा थियो । मानिस लोभमा परेर वा अञ्जानमै‍ ठगिएर आफ्नो व्यक्तिगत जानकारी दिइरहेका थिए ।

यो ठगीलाई रोक्न मैले सर्भरबाट सबै कुरा डिलिट गर्ने कमाण्ड (rm -rf *) चलाएँ । एकैछिनमा त्यो नक्कली डीमार्ट वेबसाइट इन्टरनेटबाट हट्यो ! 

मैले यो किन यसो गरेँ ? 

अनुमति बिना ह्याकिङ गर्नु गैरकानुनी हो । तर यो वेबसाइटले मानिसहरूको डेटा चोरेर ठगी गरिरहेको थियो । मेरा अगाडि दुई विकल्प थिए । एउटा- यसलाई बेवास्ता गर्ने र हजारौं मानिसहरूलाई ठगिन दिने । दोस्रो - कदम चाल्ने र प्रयोगकर्तालाई उनीहरूको डेटा चोरी हुनबाट जोगाउने ।

मैले दोस्रो विकल्प रोजेँ । किनभने इथिकल ह्याकरको काम नै इन्टरनेटलाई सुरक्षित बनाउनु हो ।

ह्वाट्सएप वा मेसेञ्जरमा उपहारको लोभ देखाउने, कुनै नाम चलेको कम्पनीले पैसा बाढिरहेकाले दाबी गर्नुहोस् भन्दै प्रलोभनमा पार्ने मेसेजमा विश्वास नगर्नुहोस् । तपाईंले त्यस्ता मेसेजमा क्लिक गर्नासाथ तपाईंको कन्ट्याक्टमा भएका व्यक्तिलाई स्वतः मेसेज जान्छ । र, तपाईंका कारणले अन्य प्रयोगकर्ताको डेटा पनि चोरिने सम्भावना हुन्छ । त्यसैले कुनै पनि लिङ्कमा क्लिक गर्नुअघि त्यसलाई राम्ररी जाँच्नुहोस् । उपहार दिने वा लक्की ड्रमा सहभागी हुनुहोस् भनेको छ भने त्यस्ता साइटमा शङ्का गर्नुहोस् । 

यो घटनाले के देखाउँछ भने ठगलाई नक्कली वेबसाइट बनाएर मानिसको डेटा चोर्न निकै सजिलो छ । यसबाट बच्ने सबैभन्दा राम्रो उपाय भनेको जागरुकता हो । यदि तपाईंले कहिल्यै यस्तो शंकास्पद लिङ्क देख्नुभयो भने रिपोर्ट गर्नुहोस् वा इथिकल ह्याकरलाई जानकारी दिनुहोस् ।

(यो लेख साइबर सुरक्षा अनुसन्धानकर्ता एवं क्याप्रिसिओ सेक्युरिटीजका संस्थापक कार्तिकेयन भिको मिडियम आर्टिकलबाट भावानुवाद गरिएको हो ।)

पुनश्चः नेपालमा भाटभेटनी सुपरमार्केट, नेपाल टेलिकम, राष्ट्रिय वाणिज्य बैंकले आफ्नो वार्षिक उत्सवमा उपहार दिन लागेको दाबी गर्दै नक्कली वेबसाइट बनाइ ठग्ने प्रवृत्ति छ । लेखकले माथि चर्चा गरेकै शैली नेपालमा पनि देखिन्छ । लिङ्कमा क्लिक गर्नासाथ अन्य प्रयोगकर्ताले पनि उपहार पाएको भन्दै खुसी व्यक्त गरेको कमेन्ट देखाइन्छ । तर, त्यस्तो कमेन्ट नक्कली हुन्छ । डेटा चोर्ने नियतले त्यस्तो काम गर्ने व्यक्तिले नै कमेन्ट आफैँ राखेको हुन्छ ।

चर्चित कम्पनीको नाम जोड्दै लाखौंको उपहार दिने, चिठ्ठाको बक्स छान्न लगाउने वा त्यस्तै अन्य गतिविधि गर्न लगाएको छ भने शङ्का गर्नुपर्छ । र, वेबसाइटको आधिकारिकता जान्नुपर्छ । मेसेजमा कुनै कम्पनीको नाम भएको दाबी गरिएको छ भने त्यो कम्पनीको लिङ्क यूआरएलमा के छ र वास्तविक के छ भन्ने जाँच्नुपर्ने हुन्छ । उदाहरणका लागि नेपाल टेलिकमको ‘nt-nepal-telecom.servio.io’ वा यस्तै किसिमको देखाइएको छ भने गुगलमा ‘नेपाल टेलिकम’ वा ‘Nepal Telecom’ सर्च गर्नुहोला ।

त्यसको माथिपट्टि वास्तविक लिङ्क अर्थात् ‘ntc.net.np’ देखिन्छ । हो, यसरी वास्तविक लिङ्क राखेको छ भने मात्र त्यस्ता लिङ्कलाई विश्वास गर्न सकिन्छ । तर, यस्तोमा जोखिम लिएर क्लिक गर्नुभन्दा बुझ्ने व्यक्ति वा हामी टेकपानालाई विभिन्न माध्यमबाट उक्त लिङ्क पठाउन सक्नुहुन्छ ।

पछिल्लो अध्यावधिक: साउन १०, २०८२ १२:३८

टिप्पणीहरू