Cyber Crime

इस तरह से साइबर ठग बैंकों को लूट लेते हैं और आसानी से भाग जाते हैं

लुटेरों को अब मास्क की जरूरत नहीं है - वे डेटा और धन को लूटने के लिए व्यापक-खुले सिस्टम सुरक्षा छेद का उपयोग करते हैं




वे दिन आते हैं जब लुटेरे स्की मास्क पहनते थे, बंदूकें और डायनामाइट ले जाते थे, और महान उत्तराधिकारियों को खींचने के लिए अपने जीवन (और बैंक कर्मचारियों के जीवन) को जोखिम में डालते थे।

आजकल, बैंकों को अभी भी लूट लिया जाता है, लेकिन आधुनिक केपर्स को अलग-अलग टूल की आवश्यकता होती है: लैपटॉप, मोबाइल फोन और तकनीकी ज्ञान पसंद के नए हथियार हैं।

हमलावरों का लक्ष्य कमजोरियों का फायदा उठाना, बैंक के सिस्टम तक पहुंच हासिल करना और निधियों की बचत करना है। इस तरह के एक हमले के परिणामस्वरूप हैकर्स 15 मिलियन डॉलर- 20 मिलियन डॉलर के साथ भाग गए और हालांकि यह घटना 2018 में हुई, महत्वपूर्ण विवरणों का खुलासा हाल ही में सैन फ्रांसिस्को में आरएसए सुरक्षा सम्मेलन के दौरान किया गया था।


How the heist happened

यहां बताया गया है कि यह सब नीचे चला गया: अप्रैल 2018 में मेक्सिको में वारिस हुआ; पीड़ित केवल एक बैंक नहीं था - एक संपूर्ण मैक्सिकन भुगतान-स्थानांतरण प्रणाली, एसपीआई, अपहृत था। लुटेरों ने संवेदनशील डेटा और धन की सुरक्षा के लिए आवश्यक अपर्याप्त प्रोटोकॉल के कारण सिस्टम सुरक्षा छिद्रों का शोषण किया।

अंदरूनी सूत्रों का दावा है कि इन भेद्यताओं का दुरुपयोग करने के लिए हैकर्स को एसपीईआई बुनियादी ढांचे के ज्ञान के अंदर होना चाहिए था, लेकिन यह तथ्य अभी भी खड़ा है कि इन चमकदार चूक ने किसी के लिए भी सिस्टम के भीतर पैर जमाने और हासिल करना आसान बना दिया होगा।

उदाहरण के लिए, कर्मचारी क्रेडेंशियल को कमजोर पासवर्ड द्वारा संरक्षित किया गया था और क्रेडेंशियल भूमिकाओं को ठीक से परिभाषित नहीं किया गया था। एक बार प्राप्त करने के बाद (फ़िशिंग, मैलवेयर या अन्य साधनों के माध्यम से), ये क्रेडेंशियल्स हैकर्स को काफी अधिक नियंत्रण हासिल करने की अनुमति देते हैं, और समय की लंबी अवधि के लिए, यदि संभव हो तो बेहतर अभ्यास संभव थे (उदाहरण के लिए, मजबूत पासवर्ड; नियमित रूप से परिवर्तित) दो-कारक प्रमाणीकरण; सीमित, भूमिका-आधारित पहुंच)।



यह इस तथ्य के साथ संयुक्त है कि नेटवर्क सेगमेंट में नहीं थे, जिसके परिणामस्वरूप एक हैकर एक समझौता किए गए खाते का उपयोग करके एसपीआई के लेनदेन सर्वर में गहरी खुदाई कर सकता था, भले ही उसका शुरुआती बिंदु बैंक के सिस्टम में से एक में हो। एक बार, वह लाखों डॉलर की प्रणाली को दूध देने वाले अवैध लेनदेन की श्रृंखला को पूरा करने के लिए आवश्यक एक विस्तृत बुनियादी ढांचा स्थापित कर सकता था।

Series of mini-robberies

हमले के लिए जिम्मेदार हैकर्स ने ठीक यही किया: उन्होंने अपने नियंत्रण में कई खातों का निर्माण किया था और मूल के रूप में नकली स्रोतों का उपयोग करके उन खातों को धन निर्देशित किया था: उदाहरण के लिए, जॉन डो, एसक्ट। नंबर 007, छद्म नाम के खाते में 100,000 पेसो (लगभग $ 5,200) भेजेगा, और एक व्यक्ति ("खच्चर") बाद में पैसे निकाल लेगा। यह कई बार खत्म हो गया था, और हैकर्स "मिनी-हेयर्स" के बहुमत को बाधित करते हुए, संख्याओं को छिपाने और हेरफेर करने में सक्षम थे, एसपीआई के ऐप में स्वयं के बग थे और स्थानान्तरण के लिए उपयुक्त सत्यापन जांच का अभाव था। सैकड़ों खच्चर की वापसी के बाद, हमला सफल रहा।

हालाँकि, सबसे बड़ी समस्या यह है कि वह स्वयं ही नहीं है। इस प्रकार की सुरक्षा विफलता के साथ संस्थानों का रवैया है। बहुत सारी कवर-अप, "आंतरिक" जांच और पर्याप्त पारदर्शिता नहीं है। उदाहरण के लिए, इस मामले को सार्वजनिक रूप से प्रकट करने के लिए एक वर्ष का समय लगा। इस बीच, अन्य लोग वही गलतियाँ दोहराते रहते हैं और साइबर अपराधी लाभ उठाते हैं।


हालांकि इस तरह के हमले जल्द ही कभी भी बंद नहीं होते हैं, लेकिन कम ही होंगे यदि संस्थानों ने अपने अनुभव साझा किए और बेहतर सुरक्षा नीतियों को लागू किया - विशेष रूप से, सिस्टम जो हैकर्स के लिए मौजूदा डेटाबेस प्रविष्टियों, जैसे वितरित खाता बही प्रौद्योगिकी, या डीएलटी को संशोधित करना बेहद मुश्किल है। हम इसे पहले से ही देख रहे हैं, लेकिन मुख्यधारा की संस्थाओं द्वारा नई तकनीक अपनाने से पहले यह कुछ समय के लिए होगा। तब तक, सावधान रहें जहां आप अपना कैश स्टैश करें और साइबर स्पेस में सुरक्षित रहें।
| Designed by Colorlib