You’re viewing a text-only version of this website that uses less data. View the main version of the website including all images and videos.
साइबर ठग 'सिम कार्ड' के ज़रिये कैसे लगा रहे खातों में सेंध?
- Author, जो टाइडी
- पदनाम, साइबर संवाददाता, बीबीसी वर्ल्ड सर्विस
डेटा चोरी या डेटा ब्रीच आजकल इतने आम हो गए हैं कि जब यह हमारे साथ होता है, तो यह समझना मुश्किल हो जाता है कि इस पर प्रतिक्रिया कैसे दें.
इसे नज़रअंदाज़ तो आसानी से किया जा सकता है लेकिन इसमें एक ख़तरा भी है.
डेटा चोरी का शिकार होने से आपके अपराधियों और ठगों का निशाना बनने की आशंका भी बढ़ जाती है.
सू शोर ने बीबीसी को बताया कि कैसे ठगों ने उन्हें निशाना बनाया- और हमने पाया कि उनकी जानकारी ऑनलाइन लीक हो गई थी.
बीबीसी हिंदी के व्हॉट्सऐप चैनल से जुड़ने के लिए यहाँ क्लिक करें
सू जिस हमले की शिकार हुईं उसे 'सिम स्वैप अटैक' कहा जाता है- इसमें ठग नेटवर्क ऑपरेटर को धोखा देकर यह यकीन दिला देते हैं कि वे ही असली अकाउंट होल्डर हैं, ताकि मोबाइल डिवाइस के लिए नया सिम कार्ड प्राप्त कर सकें.
ठगों ने इसका इस्तेमाल करके उनके फ़ोन के ज़रिए लगभग सभी ऑनलाइन अकाउंट्स पर कब्ज़ा कर लिया. सू ने कहा कि यह अनुभव "भयानक" था.
सू ने बताया, "ठगों ने मेरा जीमेल अकाउंट अपने कब्ज़े में ले लिया और फिर मैं अपने बैंक अकाउंट्स से भी बाहर हो गई क्योंकि वे सुरक्षा जांच को पार नहीं कर पाए."
सू के नाम पर एक क्रेडिट कार्ड भी ले लिया गया और अपराधियों ने 3,000 पाउंड से अधिक के वाउचर खरीदे.
अपने अकाउंट्स वापस हासिल करने के लिए उन्हें अपने बैंक और मोबाइल सेवा प्रदाता की शाखाओं में कई बार जाना पड़ा.
लेकिन चोर इतने पर ही नहीं रुके.
सू कहती हैं, "वे लोग मेरे व्हाट्सऐप में भी घुस गए और एक भयानक काम किया."
"उन्होंने उन हॉर्स राइडिंग ग्रुप्स, जिनमें मैं हूं, में चेतावनी देते हुए संदेश भेजे कि कुछ लोग घोड़ों को छुरे मारने के लिए आ रहे हैं."
हमने ऑनलाइन टूल्स जैसे haveibeenpwned.com और Constella Intelligence का उपयोग करके हैकर डेटाबेस खोजे, ताकि यह पता चल सके कि क्या सू की जानकारी पर पहले भी कोई संकट आया था.
उनका फोन नंबर, ईमेल एड्रेस, जन्मतिथि और असली पता सभी 2010 में जुआ प्लेटफ़ॉर्म PaddyPower और 2019 में ईमेल वैलिडेशन टूल Verifications.io में जाहिर हो चुके थे. हैक किए गए रिकॉर्ड्स में भी उनकी जानकारी शामिल थी.
साइबर फ़र्म साइलोब्रेकर की हन्ना बाउमगार्टनर ने कहा कि हमलावरों ने संभवतः पहले की डेटा चोरी में लीक हुई व्यक्तिगत जानकारी का इस्तेमाल सिम स्वैप अटैक करने के लिए किया.
वह कहती हैं, "एक बार जब उन्हें सू का फ़ोन नंबर मिल गया, तो वे किसी भी सुरक्षा कोड को इंटरसेप्ट करने में सक्षम हो गए, जो उनकी पहचान सत्यापित करने के लिए उनके जीमेल अकाउंट पर भेजे जाते थे."
नेटफ़्लिक्स पर सवारी
लेकिन ऐसा भी नहीं कि ठग हमेशा बड़े पैमाने पर पैसे की चोरी ही करते हों.
ब्राज़ील की फ़्रैन ने बीबीसी को बताया कि उन्होंने देखा कि किसी यूज़र ने उनके नेटफ़्लिक्स अकाउंट पर रजिस्टर किया था- और उनकी मासिक सदस्यता बढ़ा दी थी.
उन्होंने कहा, "मेरे पेमेंट कार्ड पर 9.90 डॉलर का बिल आया, जबकि मैंने यह खरीदारी नहीं की थी."
"मैंने तुरंत अपने परिवार से संपर्क कर पूछा कि क्या किसी ने हमारे साझा अकाउंट में नया प्रोफ़ाइल जोड़ा है, लेकिन सबने इससे इनकार किया."
फ़्रैन एक आम ठगी की शिकार हुईं, जिसमें उनका नेटफ़्लिक्स अकाउंट किसी फ़्रीलोडर ने हाइजैक कर लिया.
यह स्पष्ट नहीं है कि हाइजैकर्स ने उनके अकाउंट में कैसे प्रवेश किया. साइबर अपराध की धुंधली दुनिया का मतलब यह है कि इसमें तय करना मुश्किल है कि क्या इस ठगी का संबंध किसी डेटा चोरी से है.
लेकिन वेबसाइट haveibeenpwned.com के इस्तेमाल से हमें पता चला कि फ़्रैन का ईमेल पता डेटा चोरी की कम से कम चार घटनाओं का शिकार हुआ था, जिनमें शामिल हैं इंटरनेट आर्काइव (2024), ट्रेलोव (2024), डेस्कॉमप्लिका (2021), और वॉटपैड (2020).
उन्होंने अपने नेटफ़्लिक्स अकाउंट के लिए जो पासवर्ड इस्तेमाल किया था, वह सार्वजनिक रूप से ज्ञात डेटाबेस में नहीं है, लेकिन दूसरे में हो सकता है.
साइबर सुरक्षा कंपनी हडसन रॉक के सह-संस्थापक अलोन गैल कहते हैं, "क्रैक किए गए नेटफ़्लिक्स, डिज़्नी और स्पॉटिफ़ाई अकाउंट्स का एक बड़ा बाज़ार है."
"यह साइबर अपराध के लिए एक आसान प्रवेश बिंदु है, जो एक कंपनी के डेटा लीक को व्यापक और लगातार होने वाले दुरुपयोग में बदल देता है."
टू फ़ैक्टर ऑथेंटिफ़िकेशन भी बेकार
ठग अक्सर चोरी की गई निजी जानकारी को सार्वजनिक जानकारी के साथ मिला देते हैं.
लिया, जो अपना असली नाम नहीं बताना चाहतीं, एक छोटा व्यवसाय चलाती हैं. वह फ़ेसबुक विज्ञापनों का उपयोग करती हैं और हाल ही में लंबे समय से चल रहे एक घोटाले का शिकार हुईं, जो ज़ाहिर तौर पर वियतनाम से शुरू हुआ था.
वह बताती हैं, "मुझे '[email protected]' से एक फ़िशिंग ईमेल मिला जिसमें कहा गया था कि मुझे एक रिफंड मिलना है. मैंने लिंक पर क्लिक किया और नकली मेटा पेज पर अपना ब्यौरा दर्ज किया, और ठगों ने मेरे बिज़नेस अकाउंट पर कब्ज़ा कर लिया, बावजूद इसके कि मेरे पास 2-फैक्टर ऑथेंटिकेशन था."
"फिर उन्होंने मेरे नाम से बाल यौन शोषण के वीडियो पोस्ट किए, जिसकी वजह से मुझे ब्लॉक कर दिया गया. मैं मेटा से शिकायत करने के लिए मैसेंजर का उपयोग करने से भी वंचित हो गई थी."
जिन तीन दिनों तक वो अपना बिज़नेस अकाउंट वापस पाने की कोशिश कर रहीं थीं, ठगों ने सैकड़ों पाउंड के विज्ञापन चलाए, जिनका भुगतान लिया के पैसे से किया गया था. हालांकि अंततः उन्हें पैसे वापस मिल गए.
कॉन्स्टेला इंटेलिजेंस के अल्बर्टो कासारेस ने हैकर डेटाबेस खोजे और पाया कि लिया का ईमेल पता और अन्य विवरण ग्रेवैटार और इस साल के क्वांटस के शिकार बने थे.
वह कहते हैं, "ऐसा लगता है कि हमलावरों ने लिया के चोरी हुए निजी ईमेल एड्रेस को उनके सार्वजनिक रूप से सूचीबद्ध बिज़नेस नंबर से जोड़कर ईमेल अकाउंट पर फ़िशिंग हमला किया."
उन्होंने कहा कि हो सकता है कि यह काम हमलावरों ने खुद किया हो या ऐसा भी हो सकता है कि डेटा ब्रोकर से संभावित लक्ष्यों की सूची खरीदने के लिए भुगतान किया गया हो.
बड़े पैमाने पर डेटा चोरी
बड़े पैमाने पर डेटा चोरी से दुनिया भर में ठगी और सेकेंडरी हैक्स को बढ़ावा मिल रहा है, और सिर्फ़ 2025 में ही कई हाई-प्रोफ़ाइल हमले हुए हैं.
- 65 लाख लोगों का डेटा अप्रैल में को-ऑप में लगाई गई सेंध में चला गया.
- मार्क्स एंड स्पेन्सर भी लगभग उसी समय हैक हुआ, जिससे लाखों लोग प्रभावित हुए- हालांकि कंपनी अब तक यह बताने से इनकार कर रही है कि कितने लोग प्रभावित हुए.
- हैरॉड्स ने अपने लक्ज़री स्टोर्स के 4 लाख ग्राहकों का डेटा गंवा दिया.
- क्वांट्स एयरलाइन के हैक का असर में 57 लाख यात्रियों पर पड़ा.
प्रोटोन मेल की डेटा चोरी पर नज़र रखने वाली इकाई के अनुसार, 2025 में अब तक पहचाने जा सके स्रोतों से 794 सत्यापित चोरी के मामले सामने आए हैं. इनमें 30 करोड़ से अधिक व्यक्तिगत रिकॉर्ड उजागर हुए हैं.
फ़र्म के ईमोन मैग्वायर ने बताया, "अपराधी चोरी किए गए डेटा के लिए अच्छी कीमत चुकाते हैं क्योंकि इनसे वे लगातार धोखाधड़ी, जबरन वसूली और साइबर हमलों के जरिए मुनाफ़ा कमाते हैं,"
ग्राहकों और नियामकों को चोरी की सूचना देने के अलावा, कंपनियों के लिए ऐसे कोई साफ़ और सख़्त नियम नहीं हैं कि उन्हें पीड़ितों के लिए क्या करना चाहिए.
उदाहरण के लिए, पहले फ्री क्रेडिट मॉनिटरिंग की पेशकश आम थी.
पिछले साल, टिकटमास्टर (जिसमें डेटा चोरी से 50 करोड़ लोग प्रभावित हुए थे) ने कुछ लोगों को यह सेवा दी थी.
लेकिन इस साल कम कंपनियां ऐसा कर रही हैं. उदाहरण के लिए, मार्क्स एंड स्पेन्सर और क्वांटस ने ग्राहकों को ये सेवाएं नहीं दीं.
को-ऑप ने पीड़ितों को 10 पाउंड का वाउचर दिया- बशर्ते वे उसकी दुकानों में 40 पाउंड खर्च करें.
कुछ लोग मुआवज़ा पाने के लिए अदालतों में कोशिश कर रहे हैं, और क्लास एक्शन मुकदमों का चलन बढ़ रहा है- हालांकि इन्हें जीतना बेहद कठिन होता है क्योंकि यह साबित करना मुश्किल होता है कि व्यक्तियों पर कैसा असर पड़ा.
टी-मोबाइल ने 2021 की बड़ी डेटा चोरी से प्रभावित ग्राहकों को भुगतान करना शुरू कर दिया है, जिससे 7.6 करोड़ ग्राहक प्रभावित हुए थे.
कंपनी ने 35 करोड़ डॉलर का भुगतान करने पर सहमति जताई- जिसमें ग्राहकों को कथित रूप से 50 से 300 डॉलर तक भुगतान किए जाने थे.
बीबीसी के लिए कलेक्टिव न्यूज़रूम की ओर से प्रकाशित.
