'ඔයා ආයෙත් රස්සාවක් කරන්න ඕන නැහැ': බීබීසීය හැක් කිරීමට සයිබර් අපරාධකරුවන් පිරිසක් වාර්තාකරුවෙකුට මුදල් පිරිනැමීමට ගත් උත්සහය

සයිබර් අපරාධවල අඳුරු සෙවනැලි පිරුණු ලෝකයක ඇති බොහෝ දේ මෙන්, අභ්‍යන්තර තර්ජනයක් යනු ඉතා සුළු පිරිසකට අත්දැකීම් ඇති දෙයකි.

ඒ ගැන කතා කිරීමට කැමති අය පවා සිටින්නේ අල්ප වශයෙනි.

නමුත් මෑතකදී අපරාධ කල්ලියක් විසින් මා හට ම එවැනි යෝජනාවක් ඉදිරිපත් කරන ලද විට, හැකර්වරුන්ට යම් ආයතනයක අභ්‍යන්තර පුද්ගලයින් උපයෝගී කර ගත හැකි ආකාරය පිළිබඳ දැඩි කණස්සල්ලක් මා තුළ ඇති විය.

"ඔයා කැමති නම්, ඔයා ඔයාගේ PC එකට අපිට ඇක්සස් දුන්නොත් අපිට පුළුවන් හැම රැන්සම් පේමන්ට් එකකට ම ඔයාට 15%ක් ගෙවන්න."

ඒ, ජූලි මාසයේදී සංකේතිත (encrypted) චැට් ඇප් එකක් වන වන Signal හරහා මා වෙත Syndicate නමින් පෙනී සිටි යමෙකුගෙන් මට හදිසියේ ම ලැබුණු පණිවිඩය යි.

මේ පුද්ගලයා කවුරුන් ද යන්න සම්බන්ධයෙන් මට කිසිදු අදහසක් නොතිබූ නමුත් එය කුමක් ද යන්න මට එකවර වැටහිණි.

මාගේ ලැප්ටොප් පරිගණකය හරහා බීබීසී පද්ධති වෙත පිවිසීමට සයිබර් අපරාධකරුවන්ට උදව් කළහොත් විශාල මුදලකින් කොටසක් මා වෙත ලබා දීමට ඔවුහු සූදානම්ව සිටියහ.

ඔවුන් දත්ත සොරකම් කර හෝ දත්තවලට හානිකර මෘදුකාංයක් ස්ථාපනය කර මාගේ සේවායෝජකයාගෙන් කප්පම් ඉල්ලා සිටිනු ඇත. ඉන්පසු මා වෙත හොර රහසේ ඉන් කොටසක් ලැබෙනු ඇත.

මෙවැනි සිදුවීම් ගැන මා මීට පෙර අසා තිබිණි.

උදාහරණයක් ලෙස, මාගේ අනුදැනුමකින් තොර එම පණිවුඩය ලැබීමට දින කිහිපයකට පෙර, බ්‍රසීලයේ තොරතුරු තාක්ෂණ සේවකයෙකු තම පිවිසුම් තොරතුරු (login details) හැකර්වරුන්ට විකිණීම සම්බන්ධයෙන් අත්අඩංගුවට ගෙන තිබූ බවත්, එමගින් එහි වින්දිතයා වූ බැංකුවට ඇමෙරිකානු ඩොලර් මිලියන 100ක අලාභයක් සිදු වූ බවත් දැක්වෙන පුවතක් පළ වී තිබිණි.

බීබීසී ජ්‍යෙෂ්ඨ සංස්කාරකවරයෙකුගෙන් උපදෙස් ලබා ගැනීමෙන් පසු මම Syndicate සමග සංවාදය ඉදිරියට ගෙන යාමට පියවර ගත්තෙමි. ලොව පුරා සයිබර් ප්‍රහාර එදිනෙදා ජීවිතයට වඩාත් බලපෑම්සහගත සහ බාධාකාරී වෙමින් පවතින මොහොතක, අපරාධකරුවන් ආයතනයකට ද්‍රෝහී විය හැකි සේවකයින් සමග මෙම අනීතික ගනුදෙනු කරන්නේ කෙසේ දැයි බැලීමට මට උනන්දුවක් ඇති විය.

සංවාදය අතරතුර සිය නම වෙනස් කළ Syndicateට මා පැවසුවේ, මෙම ගනුදෙනුව සඳහා මාගේ කැමැත්තක් ඇති අතර, එය ක්‍රියාත්මක වන ආකාරය දැන ගැනීමට අවශ්‍ය බව ය.

මාගේ පිවිසුම් තොරතුරු (login details ) සහ ආරක්ෂක කේතය (security code) ඔවුන්ට ලබා දීම සිදු කළහොත් ඔවුන් බීබීසීය හැක් කර එම ආයතනයෙන් කප්පම් මුදලක් බිට්කොයින් ලෙස ලබා ගන්නා බව ඔවුහු පැහැදිලි කළහ. ඉන් කොටසක් මා වෙත ද ලැබෙනු ඇත.

මා හට ලබා දෙන මුදල ඉහළ දැමීමට ද ඔවුහු පියවර ගත්හ.

"අපි දන්නේ නැහැ බීබීසීය ඔයාට කොච්චරක් ගෙවනවා ද කියලා. අපි බීබීසීයේ මුළු ආදායමෙන් 1%ක් ගන්නකොට මොක ද කියන්නේ අපි ඔයාට 25%ක් දුන්නොත්? ඔයාට ආයෙත් කවදාවත් වැඩ කරන්න ඕන වෙන එකක් නැහැ."

බීබීසී ආයතනයේ අභ්‍යන්තර පද්ධතියට සාර්ථකව රිංගා ගතහොත් ඔහුගේ කණ්ඩායමට කෝටි ගණනක කප්පම් මුදලක් ඉල්ලා සිටිය හැකි බව Syndicate ඇස්තමේන්තු කළේ ය.

හැකර්වරුන්ට මුදල් ගෙවනවා ද නැද්ද යන්න පිළිබඳව බීබීසී ප්‍රසිද්ධියේ සිය ස්ථාවරය ප්‍රකාශයට පත් කර නොමැති නමුත් නීතිය ක්‍රියාත්මක කරන ආයතනවල උපදෙස වන්නේ මුදල් ගෙවීමෙන් වැළකී සිටින ලෙස ය.

කෙසේ වෙතත්, හැකර්වරුන් මෙම සංවාදය අඛණ්ඩව ඉදිරියට ගෙන ගියේ ය.

මා හට මිලියන ගණනක් උපයාගත හැකි බව Syndicate පැවසීය. "ඔයාව අහු වෙන්නේ නැති විදියට අපි මේ චැට් එක ඩිලීට් කරලා දානවා," එම තැනැත්තා අවධාරණය කළේ ය.

පෙර සයිබර් ප්‍රහාරවලදී ආයතනවල අභ්‍යන්තර සේවකයින් සමග ඉතා හොඳින් ගනුදෙනු කර බොහෝ සාර්ථකත්වයන් ලබා ගත් බව ඔහු පැවසීය.

සාර්ථක ගනුදෙනුවකින් පසු මෙම වසරේ හැක් කරන ලද සමාගම් දෙකක නම් ඔවුහු උදාහරණ ලෙස මාහට පැවසූහ. ඉන් එකක් එක්සත් රාජධානියේ සෞඛ්‍ය සේවා සමාගමක් වූ අතර අනෙක එක්සත් ජනපද හදිසි සේවා සපයන ආයතනයක් විය.

"අපට ඇක්සස් දෙන සේවකයින් සංඛ්‍යාව ගැන ඇහුවොත් ඔයා පුදුම වෙයි," Syndicate පැවසීය.

Syndicate පැවසුවේ, තමා 'මෙඩූසා' (Medusa) නම් සයිබර් අපරාධ කණ්ඩායමේ "සබඳතා කළමනාකරුවෙකු" බව ය. ඔහු බටහිර රටක අයෙකු බවත් කල්ලියේ සිටි එක ම ඉංග්‍රීසි කතා කරන්නා බව ත් කියා සිටියේ ය.

මෙඩූසා යනු, සයිබර් අපරාධකරුවන් සඳහා රැන්සම්වෙයාර් සේවාවක් ලෙස සපයනු ලබන වේදිකාවකි (ransomware-as-a-service operation). ඕනෑ ම අපරාධකරුවෙකුට ඔවුන්ගේ වේදිකාවේ ලියාපදිංචි වී ආයතන හැක් කිරීමට එය භාවිත කළ හැකි ය.

සයිබර් ආරක්ෂණ සමාගමක් වන CheckPointහි පර්යේෂණ වාර්තාවකට අනුව, මෙඩූසාහි පරිපාලකයින් රුසියාවේ සිට හෝ එහි මිත්‍ර රාජ්‍යයක සිට ක්‍රියාත්මක වන බව සැලකේ.

"මේ කණ්ඩායම රුසියාව සහ සෝවියට් සංගමය බිඳවැටීමෙන් පසු පිහිටුවන ලද පැරණි සෝවියට් ජනරජයන්ගේ කලාපීය සංවිධානයට අයත් රාජ්‍යයන් තුළ ඇති සංවිධාන ඉලක්ක කර ගැනීමෙන් වැළකී සිටින අතර [එහි ක්‍රියාකාරකම් ප්‍රධාන වශයෙන්] රුසියානු භාෂාවෙන් ක්‍රියාත්මක අඳුරු වෙබ් ෆෝරම්වල සිදු වේ."

මාර්තු මාසයේදී මෙඩූසා පිළිබඳ එක්සත් ජනපද ප්‍රසිද්ධ අනතුරු ඇඟවීමක ලින්ක් එකක් Syndicate මා වෙත ආඩම්බර ලීලාවෙන් එවීය. එක්සත් ජනපද සයිබර් බලධාරීන් පැවසුවේ, මෙම කණ්ඩායම ක්‍රියාකාරීව සිට වසර හතර තුළ "300කට වැඩි පිරිසක්" හැක් කර ඇති බව ය.

මාගේ රැකියා ස්ථානයේ වටිනා තොරතුරු ලබා ගැනීම සඳහා ප්‍රවේශ තොරතුරු ලබා ගැනීමට විශාල මුදලක් පිරිනැමීමේ ගනුදෙනුව විහිළුවක් නොවන බව Syndicate අවධාරණය කළේ ය.

මා මේ සංවාදයේ යෙදෙන්නේ කවුරුන් ද යන වග නොදන්නා නිසා ඒ බව තහවුරු කරන ලෙස මම Syndicateගෙන් ඉල්ලා සිටියෙමි. "ඔයාලා පොඩි ළමයි ටිකක් වෙන්න පුළුවන්. එහෙමත් නැත්නම් මාව උගුලකට අහු කර ගන්න හදන කෙනෙක් වෙන්න පුළුවන්," මම පැවසීමි.

ඔවුහු මෙඩූසා ඩාර්ක්නෙට් වෙත පිවිසීමට සබැඳියක් එවමින් ඊට ප්‍රතිචාර දැක්වූ අතර සයිබර් අපරාධකරුවන් ප්‍රිය කරන ආරක්ෂිත පණිවිඩ සේවාවක් වන Tox සමූහය හරහා ඔවුන් හා සම්බන්ධ වීමට මට ආරාධනා කළහ.

Syndicate ඉතා නොඉවසිලිවත්ව කටයුතු කළ අතර ප්‍රතිචාර දක්වන ලෙස මා වෙත දැඩි පීඩනයක් එල්ල කළේ ය.

ඔවුහු මා වෙත සයිබර් අපරාධ ෆෝරම් එකක් මගින් මෙඩූසා සමග සම්බන්ධ වීමට සබැඳියක් එවූ අතර එම කටයුතු ආරම්භ කිරීම සඳහා තැන්පතුවක් ලෙස බිට්කොයින් 0.5 (ඇ.ඩො. 55,000ක්) පමණ ගෙවන ලෙස මට පැවසූහ.

මෙය මාගේ පිවිසුම් තොරතුරු ලබා දුන් පසු අවම වශයෙන් එම මුදල හෝ මා වෙත ලබා දෙන බවට සහතික වීමට හේතු විය.

"අපි බොරු කියන්නෙවත් විහිළු කරන්නේවත් නැහැ - අපට මාධ්‍යමය අරමුණක් නැහැ, අපිට අවශ්‍ය මුදල් විතර යි. අපේ ප්‍රධාන කළමනාකරුවෙකුගේ අවශ්‍යතාව අනුව තම යි මම ඔයාව සම්බන්ධ කර ගත්තේ."

ඔවුන් මා තෝරා ගෙන ඇත්තේ, මා සතුව තාක්ෂණික දැනුම ඇති බවටත්, බීබීසී තොරතුරු තාක්ෂණ පද්ධති වෙත ප්‍රවේශ වීමට මට හැකියාව ඇති බවටත් උපකල්පනය කළ නිසා බව පෙනේ. (නමුත් මා සතුව එලෙස ප්‍රවේශ වීමේ හැකියාවක් නොමැත). මා සයිබර් වාර්තාකරුවෙකු බවත් සයිබර් ආරක්ෂණ හෝ තොරතුරු තාක්ෂණ සේවකයෙකු නොවන බවත් Syndicate දැන සිටියා ද යන්න මට තවමත් සම්පූර්ණයෙන් ම විශ්වාස නැත.

බීබීසී තොරතුරු තාක්ෂණ ජාලය ගැන ඔවුන් බොහෝ ප්‍රශ්න ඇසූ අතර ඒවා මා දැන සිටියත් ඔවුන් වෙත ලබා නොදෙන තොරතුරු විය. ඉන්පසු ඔවුහු සංකීර්ණ පරිගණක කේතයක් එවා එය මාගේ රාජකාරි ලැප්ටොප් පරිගණකයේ විධානයක් ලෙස ක්‍රියාත්මක කර එහි සඳහන් දේ නැවත වාර්තා කරන ලෙස මගෙන් ඉල්ලා සිටියහ. පද්ධතියට ඇතුළු වූ පසු ඔවුන්ගේ ඊළඟ පියවර සැලසුම් කිරීම ආරම්භ කිරීමට මට ඇති අභ්‍යන්තර තොරතුරු තාක්ෂණ ප්‍රවේශ (internal IT access) කුමක් දැයි ඔවුන්ට දැන ගැනීමට අවශ්‍ය විය.

මෙම අවස්ථාව වන විට මා දින තුනක් තිස්සේ Syndicate සමග කතා කරමින් සිට ඇති අතර, දැන් එය ප්‍රමාණවත් බවත් බීබීසීයේ තොරතුරු ආරක්ෂක විශේෂඥයින්ගෙන් අමතර උපදෙස් කිහිපයක් අවශ්‍ය බවත් මම තීරණය කළෙමි.

එය ඉරිදා උදෑසන වූ නිසා මාගේ සැලසුම වූයේ පසු දා උදෑසන මාගේ කණ්ඩායම සමග කතා කිරීමයි.

එබැවින් මා යම් කාලයක් ගත් අතර Syndicate ඉන් කෝපයට පත් විය.

"ඔයාට මේක කරන්න පුළුවන් කවද ද? මං ඉවසීමක් තියෙන කෙනෙක් නෙවෙයි," Syndicate පැවසීය.

"බහාමාස්වල වෙරළ තීරයේ ජීවත් වෙන්න ඔයා කැමති නෑ වගේ?" ඔවුහු බලපෑම් කළහ.

සඳුදා මධ්‍යම රාත්‍රිය වන තුරු ඔවුහු මට කාලය දුන්හ. පසුව ඔවුන්ගේ ඉවසීමේ සීමාව ඉක්මවා ගියේ ය.

මාගේ දුරකතනය නාද වූයේ නොනවත්වා පැමිණි two-factor authentication දැනුම් දීම් සමග ය. ඒවා මා මාගේ බීබීසී ගිණුමට ලොග් වීමට උත්සහ කරන බව තහවුරු කර ගැනීමට, බීබීසී ආරක්ෂක පිවිසුම් යෙදුමෙන් නිකුත් වුණු පණිවිඩ විය.

මා දුරකතනය අතේ තබා ගෙන සිටි මොහොතේ, තිරය සෑම මිනිත්තුවක ම පාහේ නිකුත් වුණු පණිවිඩවලින් (notifications) පිරි ඉතිරී ගියේ ය.

එය කුමක් ද යන වග මා නිසැකව ම දන සිටියේ ය. එය MFA Bombing ලෙස හඳුන්වන හැක් කිරීමේ ක්‍රමයකි. ප්‍රහාරකයෝ මුරපදය වෙනස් කරන ලෙස හෝ වෙන දා භාවිත නොකරන උපාංගයකින් ලොග් වීමට උත්සහ කරමින් මෙම පණිවිඩ වින්දිතයාට එවීම සිදු කරති.

අවසානයේ වින්දිතයා වැරදීමකින් හෝ පොප්-අප් පණිවිඩ ඉවත් කිරීමේ අරමුණින් එයට අවසර ලබා දීම සිදු කරයි. 2022 වසරේදී Uber සමාගම හැක් වුණු ප්‍රසිද්ධ ආකාරය මෙය යි.

එලෙස පණිවිඩ නොනවත්වා ලැබීම නොසන්සුන්කාරී හැඟීමක් විය. අපරාධකරුවන් චැට් ඇප් එකෙන් බැහැරව, සාපේක්ෂව වෘත්තීය මට්ටමෙන් සිදුවූ සංවාදය මාගේ දුරකනයේ හෝම් ස්ක්‍රීන් එක වෙත ගෙනවිත් තිබිණි.

උපක්‍රමය වෙනස් වීම ගැන මා ව්‍යාකූල වූ නමුත් අහම්බෙන් හෝ "accept" ක්ලික් වෙතැයි බියෙන් මම ඔවුන් සමග සංවාදයේ යෙදුණු චැට් ඇප් එක විවෘත කිරීමේදී වඩා ප්‍රවේසමෙන් කටයුතු කළෙමි. එය එසේ සිදුවුවහොත් හැකර්වරුන්ට මාගේ බීබීසී ගිණුම්වලට ක්ෂණයෙන් ප්‍රවේශ වීමට ඉඩ ලැබෙන්නට තිබිණි.

ආරක්ෂක පද්ධතිය එය අනතුරුදායක ලෙස හඳුනා නොගන්නේ එය මා වෙතින් ලැබෙන සාමාන්‍ය පිවිසුම් හෝ මුරපද වෙනස් කිරීමේ ඉල්ලීමක් මෙන් පෙනෙනු ඇති නිසා ය.

වාර්තාකරුවෙකු මිස තොරතුරු තාක්ෂණ සේවකයෙකු නොවන බැවින්, මා සතුව බීබීසී පද්ධති වෙත ප්‍රවේශ වීමේ ඉහළ මට්ටමේ අවසරයක් නොමැති නමුත් එය තවමත් කණස්සල්ලට කරුණක් වූයේ අතර මගේ දුරකතනය භාවිතයට ගත නොහැකි තත්ත්වයට පත් වූ නිසා ය.

මා බීබීසී තොරතුරු ආරක්ෂණ කණ්ඩායම ඇමතූ අතර, පූර්වාරක්ෂක පියවරක් ලෙස මා බීබීසීයේ සියලු සබඳතාවලින් මුළුමනින් ම විසන්ධි කිරීමට එකඟ වීමු.

ඊමේල් පණිවිඩ, අභ්‍යන්තර ජාලය සඳහා ප්‍රවේශය, අභ්‍යන්තර මෙවලම් හෝ කිසිදු වරප්‍රසාදයක් නොමැති තත්ත්වයකට මා පත් කෙරිණි.

හැකර්ලාගෙන් සවස ලැබුණු පණිවිඩය එතරම් කලබලකාරී එකක් නොවිණි.

"මෙම කණ්ඩායම සමාව ඇයද සිටියේ ය. අපි ඔයාගේ බීබීසී ලොගින් පේජ් එක ටෙස්ට් කළා. ඒකෙන් කරදරයක් වුණා නම් සමාවෙන්න."

මා වෙත දැන් බීබීසී පද්ධති වෙත ප්‍රවේශ වීමට නොහැකි බවත් එය මා කෝපයට පත් කර ඇති බවත් මම ඔවුන් වෙත පැහැදිලි කළෙමි. අවශ්‍ය නම් ගනුදෙනුව තවමත් එලෙස ම පවතින බව Syndicate අවධාරණය කළේ ය. නමුත් මා දින කිහිපයක් ප්‍රතිචාර නොදැක්වූ පසු, ඔවුහු ඔවුන්ගේ සිග්නල් ගිණුම මකා දමා අතුරුදන් වූහ.

මාගේ ගිණුමට අමතර ආරක්ෂාවක් ලබා දී, අවසානයේ මා බීබීසී පද්ධතියට නැවතත් ඇතුළත් කර ගැනිණි.

ඒ, ආයතනයක අභ්‍යන්තර සේවකයෙකු ලෙස තර්ජනයට ලක්වීමේ අවදානම්සහගත අත්දැකීම ද සමග ය.

මෙය සයිබර් අපරාධකරුවන් නිරන්තරයෙන් උපක්‍රම වෙනස් කරන ආකාරය පෙන්වන කණස්සල්ලට හේතු වූ පීඩාකාරී පාඩමක් වූ අතර ම මා ඉලක්කගත වූ ආයතනවලට ඇති අවදානම ද හෙළි කළේ ය.