Money चे अंतरंग

सायबर गुन्हेगारी प्रकार – भाग १०

सायबर गुन्हेगारी दिवसेंदिवस अधिकच प्रगत होत आहे. फिशिंग, व्हिशिंग आणि स्मिशिंग यांसारख्या सायबर फसवणुकीच्या प्रकारांमध्ये ‘व्हेलिंग’ (Whaling) हा अत्यंत धोकादायक प्रकार समाविष्ट होतो. हा प्रकार मुख्यतः उच्च पदस्थ व्यक्तींना (Whaling: Catching the Biggest Fish in the organization!) लक्ष्य करून त्यांच्या नावाचा/अधिकाराचा/ प्रतिष्ठेचा गैरफायदा घेत तिचा वापर त्यांची वैयक्तिक/ आर्थिक माहिती किंवा त्यांच्याकडे असणारी कंपनीतील गोपनीय माहिती चोरण्यासाठी केला जातो.

व्हेलिंग म्हणजे काय?

हॅकर्स सामान्य कर्मचार्‍यांऐवजी थेट मोठ्या कंपन्यांच्या वरिष्ठ अधिकारी, सी.ई.ओ., सी.एफ.ओ. किंवा अन्य महत्त्वाच्या व्यक्तींना लक्ष्य करतात. अशा हल्ल्यांमध्ये सायबर गुन्हेगार लक्ष्य केलेल्या व्यक्तीचे अत्यंत बारकाईने संशोधन करून त्या व्यक्तीचे अधिकार, त्यांच्याकडे असणारी कंपनीतील महत्वपूर्ण किंवा गोपनीय माहिती, संदेनशील आर्थिक माहिती मिळविण्याचा प्रयत्न करतात. त्यासाठी बनावट ईमेल, फोन कॉल्स, किंवा बनावट वेबसाईट्स (ज्या पूर्णपणे खऱ्या वाटतात) अशा माध्यमांचा वापर करतात. काहीवेळा सायबर गुन्हेगार त्या व्यक्तीच्या नावाने बनावट इमेल पाठवून (इमेल पाठविणारा व्यक्ती, खरंच लक्षित उच्च पदस्थ अधिकारी आहे भासवून) कंपनीतून माहिती चोरण्याचा प्रयत्नही करतात.

व्हेलिंग अटॅकची काही प्रसिद्ध उदाहरणे
१) स्नॅपचॅट पेरोल माहितीची चोरी: हा स्नॅपचॅटवरील हल्ला २०१६ मध्ये झाला ज्यामध्ये हल्लेखोरांनी सीईओ असल्याचे भासवत स्नॅपचॅट येथे एका उच्च रँकिंग कर्मचाऱ्याला तेथील सर्व स्टाफच्या पगाराची माहिती देण्यास सांगितले होते. ही गोपनीय माहिती सायबर गुन्हेगारांच्या हाती लागली होती.
२) ऑस्ट्रियन एरोस्पेस कंपनी FACC: FACC ही संस्था बोईंग आणि एअरबस सारख्या प्रमुख एअरलाइन्स ग्राहकांना एरोस्ट्रक्चर्स, इंजिन आणि केबिन इंटिरियर्स पुरवतात. एक वरिष्ठ कार्यकारी ईमेलचा बळी पडला जो इमेल मुख्य कार्यकारी अधिकारी – वॉल्टर स्टीफन यांच्याकडून आलेला भासविण्यात आला होता. लक्षित केलेल्या कर्मचार्‍यांनी ईमेलची सत्यता पडताळणी केली नाही, ज्यामुळे € 50 दशलक्ष एवढ्या मोठ्या प्रमाणात आर्थिक नुकसान झाले.

व्हेलिंग हल्ला कसा होतो?
१. संशोधन व माहिती गोळा करणे : हल्लेखोर सोशल मीडिया, लिंक्डइन प्रोफाइल आणि अन्य ऑनलाइन स्त्रोतांचा वापर करून टार्गेट व्यक्तीबद्दल माहिती गोळा करतात. त्यांचे इमेल, त्यांचे अधिकार, त्यांच्याकडे असू शकणारी संस्थेची गोपनीय / महत्वाची माहिती काय आहे हे हेरून ठेवतात.
२. फसवणूक करणारे ईमेल किंवा संदेश : त्यांना अत्यंत विश्वासार्ह वाटणारे बनावट ईमेल पाठवले जातात. उदा . मोठ्या व्यवहाराची विनंती, टॅक्स भरण्याची नोटीस किंवा कायदेशीर दस्तऐवजांची मागणी इ.
३. बनावट संकेतस्थळांचा वापर: ईमेलमध्ये दिलेले दुवे (Links) फसव्या संकेतस्थळांवर घेऊन जातात. जिथे लॉगिन क्रेडेन्शियल्स किंवा बँकिंग माहिती मागितली जाते आणि चोरली जाते. तिचा गैरवापर करून संस्थेची आर्थिक लुबाडणूक केली जाते.
४. तातडीने आर्थिक व्यवहार करण्यासंबंधी मागण्या: काहीवेळा, उच्च अधिकाऱ्यांच्या नावाने/बनावट इमेल वरून कर्मचार्‍यांना आर्थिक व्यवहार करण्यास सांगितले जाते. आणि वरिष्ठ अधिकाऱ्याने सांगितले आहे ह्या दबावामुळे कर्मचारी गोपनीय माहिती देतात / आर्थिक व्यवहार करतात ज्यामुळे सायबर गुन्हेगारांचा लाभ होतो.

व्हेलिंगपासून संरक्षण कसे करावे?
१. ईमेलची सत्यता पडताळा: महत्त्वाच्या व्यक्तीच्या नावाने ईमेल आल्यास तो अधिकृत असल्याची खात्री केल्याशिवाय कोणत्याही माहितीचा / पैशांचा व्यवहार करू नका. शंका असल्यास , संबंधित व्यक्ती / संस्था यांची अधीकृतता तपासण्यासाठी वेळ घ्या.
२. टू-फॅक्टर ऑथेंटिकेशन (2FA) वापरा: लॉगिनसाठी अतिरिक्त सुरक्षात्मक उपायांचा (जसे OTP) वापर करा.
३. संकेतस्थळांचे आणि ईमेल आयडीचे बारकाईने निरीक्षण करा: फसवे डोमेन आणि स्पूफिंग ईमेल सहज ओळखण्यासाठी सतर्क राहा. बरेचवेळा त्यात कॅपिटल.स्मॉल लेटर्स यांच्यात फरक असतो किंवा सहजी लक्षात न येणाऱ्या पद्धतीने लेटर्सची अदलाबदल केलेली असते.
४. कर्मचार्‍यांना सायबर सुरक्षेबद्दल प्रशिक्षण द्या: संस्थांमध्ये सायबर सुरक्षेचे नियमित प्रशिक्षण घेणे, कर्मचारी/अधिकारी वर्गास संभाव्य धोक्यांबद्दल जागरूक करणे आवश्यक आहे.

निष्कर्ष
सायबर गुन्हेगार सतत नवीन तंत्रज्ञान आणि युक्त्या वापरून मोठ्या व्यक्ती आणि संस्थांना लक्ष्य करत आहेत. त्यामुळे ‘व्हेलिंग’ सारख्या हल्ल्यांपासून सुरक्षित राहण्यासाठी खबरदारी घेणे अत्यावश्यक आहे. योग्य प्रशिक्षण, जागरूकता आणि तंत्रज्ञानाचा सुयोग्य वापर केल्यास आपण या धोक्यांपासून बचाव करू शकतो.

डॉ. रुपाली कुलकर्णी,
IT , Contents & Training Head
SWS Financial Solutions Pvt. Ltd.