'आपको दोबारा काम नहीं करना पड़ेगा': बीबीसी को हैक करने के लिए अपराधियों ने की रिपोर्टर को पैसे देने की पेशकश

साइबर क्राइम की स्याह दुनिया की कई बातों की तरह, भीतरघात का अनुभव बहुत कम लोगों को होता है.

और इस बारे में बहुत कम लोग बात करना चाहते हैं.

लेकिन जब एक आपराधिक गिरोह ने मुझे हाल ही में एक प्रस्ताव दिया तो यह पता चला कि हैकर्स कैसे किसी संस्थान में काम करने वालों का इस्तेमाल कर सकते हैं.

लेकिन मुझे हाल ही में एक अनोखा और चिंताजनक अनुभव हुआ. मुझे पता चला कि कैसे किसी संस्थान में काम करने वाले व्यक्ति का हैकिंग के लिए इस्तेमाल किया जा सकता है.

मुझे एक आपराधिक गिरोह ने एक पेशकश की.

"अगर आप इच्छुक हैं, तो आपके कंप्यूटर का एक्सेस देने के बदले हमें जो भी फिरौती मिलेगी, उसका 15% हम आपको दे देंगे."

यह मैसेज जुलाई में अचानक ही मुझे 'सिग्नल' नाम के एन्क्रिप्टेड चैट एप पर सिंडिकेट नाम के किसी व्यक्ति ने अचानक भेजा.

मुझे नहीं पता था कि यह कौन है लेकिन मैं समझ गया कि यह क्या चाहता है. मुझे यह ऑफ़र दिया जा रहा था कि अगर मैं अपने लैपटॉप की मदद से इन साइबर अपराधियों की बीबीसी के सिस्टम तक पहुंचने में मदद करूं तो इससे उन्हें जो रकम मिलेगी उसका एक हिस्सा वो मुझे देंगे.

वे मेरे लैपटॉप के ज़रिए बीबीसी सिस्टम तक पहुंचकर डेटा चुरा सकते थे या मालिसियस सॉफ़्टवेयर इंस्टॉल कर के बीबीसी को फिरौती के लिए परेशान कर सकते थे. इसके बदले वो मुझे गुप्त रूप से हिस्सा देते.

मैंने ऐसी घटनाओं के बारे में सुन रखा था.

असल में, इस अनचाहे मैसेज के कुछ दिन पहले ब्राज़ील से ख़बर आई थी कि वहां के एक आईटी कर्मचारी को हैकर्स को अपने लॉगिन जानकारी बेचने के आरोप में गिरफ़्तार किया गया था.

पुलिस के मुताबिक़ इसकी वजह से एक व्यक्ति को 10 करोड़ अमेरिकी डॉलर का नुक़सान हुआ.

मैंने एक वरिष्ठ बीबीसी संपादक की सलाह लेने के बाद सिंडिकेट के साथ आगे बातचीत शुरू की.

दरअसल मैं यह देखने के लिए उत्सुक था कि अपराधी कैसे संभावित विश्वासघाती कर्मचारी के साथ ये संदिग्ध सौदे करते हैं. वह भी ऐसे दौर में जब दुनिया भर में साइबर हमले ताक़तवर होते जा रहे हैं और ये रोज़मर्रा के जीवन को बाधित कर रहे हैं.

चैट के दौरान सिंडिकेट ने अपना नाम 'सिन' कर दिया. मैंने सिन को बताया कि मुझे उसके ऑफ़र में दिलचस्पी है लेकिन जानना चाहता हूँ कि ये सब कैसे होगा.

उन्होंने समझाया कि अगर मैं उन्हें अपने लॉगिन डिटेल और सिक्योरिटी कोड दूँगा तो वे बीबीसी को हैक करेंगे और फिर कंपनी को बिटकॉइन में फिरौती के लिए ब्लैकमेल करेंगे.

और मुझे उस भुगतान का हिस्सा मिलेगा.

इसके बाद सिन ने पहले की गई 15% की पेशकश को बढ़ा दिया.

"हमें नहीं पता कि बीबीसी आपको कितनी तनख़्वाह देता है. हम बीबीसी के कुल रेवेन्यू का एक फ़ीसदी निकाल लें तो आप 25% हिस्सा लेने पर तैयार हो जाएं. आपको कभी दोबारा काम करने की ज़रूरत नहीं पड़ेगी."

सिन ने अनुमान लगाया कि अगर उनकी टीम बीबीसी के सिस्टम में सफलतापूर्वक दाखिल हो गई तो वे करोड़ों की फिरौती मांग सकते हैं.

बीबीसी ने सार्वजनिक रूप से यह नहीं कहा है कि वह हैकर्स को भुगतान करेगा या नहीं पर लॉ इन्फोर्समेंट एजेंसियों की सलाह है कि ऐसी स्थिति में भुगतान न किया जाए.

फिर भी, हैकर्स की पेशकश जारी रही.

सिन ने कहा कि मुझे करोड़ों की रकम मिल सकती है. उन्होंने ज़ोर देकर कहा, "हम इस चैट को डिलीट कर देंगे ताकि इसका कोई सुराग न बचे."

इस हैकर का दावा था कि उन्होंने पहले भी कई साइबर हमलों में कंपनी के अंदरूनी कर्मचारियों से सौदा करके बड़ी कामयाबी हासिल की है.

उन्होंने इस साल हैक की गई दो कंपनियों के नाम उदाहरण के तौर पर बताए, जहाँ ऐसे सौदे हुए थे. इनमें से एक ब्रिटिश हेल्थकेयर कंपनी थी, और एक इमरजेंसी सेवा मुहैया कराने वाली अमेरिकी कंपनी.

सिन ने कहा, "आपको ये जानकर हैरानी होगी कि कितने कर्मचारी हमें एक्सेस देने को तैयार हो जाते हैं."

सिन ने ख़ुद को मेडुसा नामक साइबर अपराध गिरोह का "रीच आउट मैनेजर" बताया और दावा किया कि वह गिरोह का एकमात्र अंग्रेज़ी बोलने वाला सदस्य है.

मेडुसा एक रैंसमवेयर ऑपरेशन है. कोई भी अपराधी इनसे जुड़ सकता है और इस प्लेटफ़ॉर्म का इस्तेमाल कर किसी भी संगठन को हैक कर सकता है.

साइबर सुरक्षा कंपनी चेक पॉइंट की एक रिसर्च रिपोर्ट के अनुसार मेडुसा रैंसमवेयर गिरोह के एडमिनिस्ट्रेटर संभवतः रूस या उसके सहयोगी देशों से ऑपरेट करते हैं.

रिपोर्ट के मुताबिक, "यह समूह रूस और कॉमनवेल्थ ऑफ इंडिपेंडेंट स्टेट्स के भीतर संगठनों को निशाना बनाने से बचता है और इसकी गतिविधि मुख्य रूप से रूसी भाषा के डार्क वेब फोरम पर होती है."

सिन ने गर्व से एक लिंक साझा किया जो अमेरिका ने मेडुसा के बारे में लोगों को चेतावनी देने के लिए मार्च में सार्वजनिक तौर पर जारी किया था.

अमेरिकी साइबर सुरक्षा एजेंसियों ने इस चेतावनी में कहा था कि "पिछले चार साल में मेडुसा गिरोह ने 300 से अधिक संगठनों को अपना शिकार बनाया है."

सिन ने ज़ोर देकर कहा कि वे सिक्योरिटी कीज़ को गुप्त रूप से बेचने के बदले मुझे मोटी रकम देने के बारे में गंभीर हैं.

मैंने कहा, "क्या पता आप कोई बच्चे हों जो मज़ाक कर रहे हों, या फिर कोई मुझे फँसाने की कोशिश कर रहा हो."

सिन ने अपने जवाब के साथ मेडुसा के डार्कनेट पते का एक लिंक भेजा और मुझे 'टॉक्स' के ज़रिए संपर्क करने का निमंत्रण दिया. टॉक्स साइबर अपराधियों की पसंदीदा मैसेजिंग सर्विस है.

सिन का संयम जवाब देने लगा और वो मुझ पर दबाव बढ़ाने लगा.

उसने एक लिंक भेजा जो एक एक्सक्लूसिव साइबर क्राइम फोरम पर मेडुसा के रिक्रूटमेंट पेज का था.

उसने मुझसे कहा कि मैं 0.5 बिटकॉइन (क़रीब 55 हज़ार अमेरिकी डॉलर) हासिल करने की प्रक्रिया शुरू करूँ.

यह रकम गारंटी के तौर पर थी. यानी अगर मैं अपने लॉगिन डिटेल्स सौंप देता, तो मुझे कम से कम इतनी रकम तो मिल ही जाती.

सिन ने कहा, "हम मज़ाक नहीं कर रहे हैं. हमारा मीडिया में आने का कोई मक़सद नहीं है. हमें सिर्फ पैसे चाहिए और हमारे एक मैनेजर ने मुझे आपसे संपर्क करने को कहा है."

उन्होंने शायद मुझे इसलिए चुना क्योंकि उन्हें लगा कि मैं तकनीकी रूप से काफ़ी सक्षम हूँ और बीबीसी के आईटी सिस्टम में काफ़ी ऊपर तक मेरी पहुंच है. लेकिन वास्तव में ऐसा नहीं है.

मुझे अब भी पूरी तरह यक़ीन नहीं है कि सिन को यह पता था कि मैं साइबर पत्रकार हूँ, न कि कोई आईटी या साइबर सुरक्षा कर्मचारी.

उन्होंने मुझसे बीबीसी के आईटी नेटवर्क के बारे में कई सवाल पूछे. अगर मुझे इन सवालों के जवाब मालूम भी होते तो भी मैं नहीं देता.

इसके बाद उन्होंने एक कंप्यूटर कोड भेजा और कहा कि मैं उसे अपने लैपटॉप पर कमांड के रूप में चलाऊँ और उन्हें बताऊँ कि इसका क्या नतीजा निकला.

उनका मक़सद यह जानना था कि मुझे आईटी सिस्टम के अंदर तक कितनी पहुँच है, ताकि वे इसके अंदर घुसने के बाद अपने अगले कदम की योजना बना सकें.

सिन से यहां तक की बातचीत तीन दिनों में हुई थी. मुझे लगा कि बहुत हो चुका और मुझे अब बीबीसी की सिक्योरिटी टीम से सलाह लेनी चाहिए.

ये रविवार की सुबह की बात है. मैंने सोचा था कि मैं सोमवार सुबह अपनी टीम से बात करूँगा.

इसलिए मैंने सिन से वक़्त काटने के लिए, उसकी बातों को टालना शुरू किया. लेकिन सिन नाराज़ हो गया.

उसने कहा, "तुम यह कब करोगे? मुझे बहुत धैर्य नहीं है."

और फिर उसने दबाव बनाते हुए कहा, "क्या तुम बहामास के समुद्र तट पर रहना नहीं चाहते?"

सिन ने मुझे सोमवार की आधी रात तक की डेडलाइन दी. फिर उनका धैर्य जवाब दे गया.

मेरे फोन पर अचानक टू-फैक्टर ऑथेंटिकेशन नोटिफिकेशन आने लगे.

ये पॉप-अप बीबीसी की सुरक्षा लॉगिन ऐप से थे, जो मुझसे पूछ रहे थे कि क्या मैं अपने बीबीसी अकाउंट में लॉगिन करने की कोशिश कर रहा हूँ.

जैसे ही मैंने अपना फ़ोन हाथ में लिया, स्क्रीन पर हर एक मिनट में एक नया पॉप-अप आने लगा. मुझे तुरंत समझ आ गया कि यह क्या है. यह एक हैकर तकनीक है जिसे एमएफ़ए बॉम्बिंग कहा जाता है.

इसमें हमलावर बार-बार पासवर्ड रीसेट करने की कोशिश करते हैं या किसी अनजान डिवाइस से लॉगिन की कोशिश करके पीड़ित को पॉप-अप से परेशान करते हैं.

आख़िरकार, पीड़ित या तो ग़लती से या फिर पॉप-अप से परेशान होकर छुटकारा पाने के लिए इसे स्वीकार कर लेता है.

उबर पर साल 2022 में इसी तकनीक से साइबर हमला हुआ था.

---

इस तरह के हमले का शिकार होना बेहद असहज अनुभव था. अपराधी अब तक चैट ऐप पर सीमित बातचीत को मेरे फोन की होम स्क्रीन तक ले आए थे. ऐसा महसूस हो रहा था जैसे कोई अपराधी मेरे घर के दरवाज़े को ज़ोर-ज़ोर से खटखटा रहा हो.

मैं इस रणनीति में अचानक आए बदलाव से हैरान था, लेकिन इतना सावधान भी हो गया था कि दोबारा चैट खोलने की हिम्मत नहीं हुई. मुझे डर था कि कहीं गलती से "Accept" पर क्लिक न हो जाए.

अगर ऐसा होता, तो हैकरों को बीबीसी के मेरे अकाउंट्स तक तुरंत पहुँच मिल जाती.

सिक्योरिटी सिस्टम इसे सामान्य लॉगिन या पासवर्ड रीसेट समझती, इसलिए कोई अलर्ट नहीं आता. इसके बाद हैकर बीबीसी के संवेदनशील सिस्टम्स तक पहुँचने की कोशिश कर सकते थे.

मैं एक रिपोर्टर हूँ, आईटी कर्मचारी नहीं, इसलिए मेरे पास उच्च स्तरीय एक्सेस नहीं है.

लेकिन फिर भी यह स्थिति चिंताजनक थी और इसका मतलब था कि मेरा फ़ोन अब व्यावहारिक रूप से इस्तेमाल के लायक नहीं रह गया था.

मैंने तुरंत बीबीसी की इंफ़ोर्मेशन सिक्योरिटी टीम को कॉल किया. ये तय हुआ कि एहतियात के तौर पर मुझे बीबीसी के सिस्टम से पूरी तरह से डिस्कनेक्ट कर दिया जाएगा. कोई ईमेल नहीं, कोई इंट्रानेट नहीं, कोई इंटरनल टूल्स या विशेषाधिकार नहीं.

उसी शाम, हैकरों की ओर से मुझे एक अजीब तरह से शांत-सा मैसेज आया:

"टीम माफ़ी चाहती है. हम आपके बीबीसी लॉगिन पेज का परीक्षण कर रहे थे और अगर इससे आपको कोई परेशानी हुई हो तो हमें खेद है."

मैंने उन्हें बताया कि अब मैं बीबीसी से लॉक्ड आउट हो चुका हूँ और नाराज़ हूँ. सिन ने फिर भी ज़ोर दिया कि अगर मैं चाहूँ तो सौदा अब भी संभव है.

लेकिन जब मैंने कुछ दिनों तक कोई जवाब नहीं दिया, तो उन्होंने अपना सिग्नल अकाउंट डिलीट कर दिया और गायब हो गए.

कुछ समय बाद मुझे बीबीसी सिस्टम में फिर से जोड़ा गया, लेकिन इस बार अतिरिक्त सुरक्षा उपायों के साथ.

और अब मेरे पास एक ऐसा अनुभव है जिसमें मुझे "इंसाइडर थ्रेट अटैक" को अंदर से देखने का मौका मिला है. एक ऐसी सच्चाई जो दिखाती है कि साइबर अपराधी कैसे लगातार अपनी रणनीतियाँ बदलते रहते हैं.

और कैसे यह तमाम संगठनों के लिए ऐसी जोखिम भरी चुनौती है जिसे मैंने तब तक गंभीरता से नहीं लिया था, जब तक मैंने खुद इसका अनुभव नहीं किया.

बीबीसी के लिए कलेक्टिव न्यूज़रूम की ओर से प्रकाशित