अगर आप अभी तक डेबिट या क्रेडिट कार्ड फ्रॉड के शिकार नहीं हुए हैं तो आप लकी हैं। देश में कार्ड और ऑनलाइन ट्रांजेक्शन की सिक्यूरिटी की हकीकत जानने के बाद आप यही सोचेंगे। हालत यह है कि कार्ड जारी करने वाले सेंटर, पेमेंट गेटवे और कस्टमर केयर जैसी जगहों से डेटा लीक हो रहा है। कहने को डेटा एनक्रिप्टेड होता है, लेकिन यह एनक्रिप्शन ज्यादा पुख्ता नहीं होता। इसे आसानी से तोड़ा जा
सकता है। कई एटीएम मशीनों का सिक्यूरिटी प्रोटोकॉल अपडेट नहीं होता है। यह पोस्ट आप नरेशजाँगङा डॉट ब्लागस्पाट डॉट कॉम के सौजन्य से पढ़ रहे हैं। इनका हार्डवेयर एनक्रिप्शन मॉड्यूल आईटी सिक्यूरिटी डिपार्टमेंट समय-समय पर अपडेट नहीं करते हैं। 2011 से 2015 तक पांच वर्षों के दौरान देश में रजिस्टर्ड साइबर क्राइम की संख्या 5 गुना हो गई। डेबिट या एटीएम कार्ड की डाटा चोरी की घटना से यह मुद्दा एक बार फिर सुर्खियों में है। डेटा चोरी की जांच कर रहे एक विशेषज्ञ के मुताबिक क्रेडिट कार्ड की जानकारियां भी लीक हुई हैं, हालांकि कोई बैंक नाम खराब होने के डर से इसे स्वीकार नहीं कर रहा। यही वजह है कि जिन 19 बैंकों के डेटा में सेंध लगी है, उन्होंने एफआईआर तक दर्ज नहीं कराई है। वे ग्राहकों को सिर्फ पिन या कार्ड बदलने की सूचना भेज रहे हैं। इस बारे में पूछे गए सवालों के जवाब तो आरबीआई ने दिए ही एनपीसीआई ने।
सकता है। कई एटीएम मशीनों का सिक्यूरिटी प्रोटोकॉल अपडेट नहीं होता है। यह पोस्ट आप नरेशजाँगङा डॉट ब्लागस्पाट डॉट कॉम के सौजन्य से पढ़ रहे हैं। इनका हार्डवेयर एनक्रिप्शन मॉड्यूल आईटी सिक्यूरिटी डिपार्टमेंट समय-समय पर अपडेट नहीं करते हैं। 2011 से 2015 तक पांच वर्षों के दौरान देश में रजिस्टर्ड साइबर क्राइम की संख्या 5 गुना हो गई। डेबिट या एटीएम कार्ड की डाटा चोरी की घटना से यह मुद्दा एक बार फिर सुर्खियों में है। डेटा चोरी की जांच कर रहे एक विशेषज्ञ के मुताबिक क्रेडिट कार्ड की जानकारियां भी लीक हुई हैं, हालांकि कोई बैंक नाम खराब होने के डर से इसे स्वीकार नहीं कर रहा। यही वजह है कि जिन 19 बैंकों के डेटा में सेंध लगी है, उन्होंने एफआईआर तक दर्ज नहीं कराई है। वे ग्राहकों को सिर्फ पिन या कार्ड बदलने की सूचना भेज रहे हैं। इस बारे में पूछे गए सवालों के जवाब तो आरबीआई ने दिए ही एनपीसीआई ने।
कई बैंकिंग फ्रॉड की जांच कर चुके साइबर सिक्यूरिटी एक्सपर्ट मनीष चौधरी बताते हैं कि कार्ड जारी करने वाले सेंटर और कस्टमर केयर से भी डेटा लीक होता है। जयपुर के एक मामले की जांच के दौरान उन्होंने पाया कि ग्राहक ने बैंक से आए डेबिट कार्ड का लिफाफा खोला तक नहीं था, लेकिन उससे ढाई लाख रु. के ट्रांजेक्शन हो चुके थे। जाहिर है कि इसमें कार्ड की डिटेल और पासवर्ड वहां से लीक हुआ जहां से ये जारी हुए थे। उन्होंने बताया कि एक करोड़ से ज्यादा कार्डहोल्डर्स की डिटेल बाजार में उपलब्ध है।
मनीष ने कस्टमर केयर से डेटा लीक का भी एक उदाहरण दिया। इसकी जांच उन्होंने ही की थी। बीकानेर के एक शख्स ने ऑनलाइन टिकट बुक कराया। बैंक डिटेल और वन टाइम पासवर्ड (ओटीपी) डालने के बाद इंटरनेट डिसकनेक्ट हो गया। ऑनलाइन शॉपिंग प्लेटफॉर्म (मर्चेंट) पेमेंट गेटवे से जुड़े होते हैं। भुगतान से पहले पेमेंट गेटवे से मर्चेंट को सूचना जाती है। मर्चेंट के ओके करने के बाद ही ट्रांजेक्शन पेमेंट गेटवे से प्रोसेस होता है। कई बर इसी प्रोसेस के समय इंटरनेट बंद हो जाता है। यहीं से फ्रॉड शुरू होता है। कस्टमर केयर का कर्मचारी इसकी जानकारी बाहर अपने साथी को देता है। वह साथी ग्राहक को कस्टमर केयर के नाम से फोन करता है। इसमें कॉल फोर्जिंग तकनीक का इस्तेमाल होता है, जिसमें रिसीवर के स्क्रीन पर वही नंबर दिखता है, जो कॉलर चाहता है। वह व्यक्ति ग्राहक से ट्रांजेक्शन और कार्ड की डिटेल वेरिफाई कराता है और सीवीवी नंबर पूछता है। ग्राहक को शक भी नहीं होता और वह नंबर बता देता है।
जब हम मोबाइल पर कार्ड के जरिए पेमेंट करते हैं तो पहले ट्रांजेक्शन के वक्त ही एक ऑप्शन होता है 'सेव दिस कार्ड फॉर फास्टर चेकआउट'। यह पहले से 'क्लिक' यानी ओके होता है। हम इस पर ध्यान नहीं देते और उस एप में कार्ड की डिटेल सेव हो जाती है। कई फाइनेंशियल इंस्टीट्यूशन के लिए साइबर सिक्यूरिटी का काम कर चुके अभिषेक धाभाई के मुताबिक पेमेंट गेटवे के जरिए ट्रांजेक्शन होता है तो वहां भी कार्ड की डिटेल सेव होती है। उन्होंने बताया कि आरबीआई गाइडलाइंस के मुताबिक डेटा एनक्रिप्टेड (128 बिट) तो होता है, लेकिन यह एनक्रिप्शन पूरी तरह सुरक्षित नहीं। यह आसानी से डिक्रिप्ट हो सकता है। अभिषेक ने बताया कि देश में एटीएम सिक्यूरिटी गाइडलाइंस 1995 के आसपास के हैं। हमारा अपना कोई सिक्यूरिटी प्रोटोकॉल या इन्फ्रास्ट्रक्चर नहीं है। इसका संचालन विदेशी कंपनियां करती हैं। 99% पेमेंट गेटवे विदेशी हैं। इस कारण डेटा को कई जगहों से गुजरना पड़ता है। यह बीच में कहीं भी हैक हो सकता है। उन्होंने बताया कि हम सॉफ्टवेयर के मामले में अमेरिका और हार्डवेयर के मामले में चीन पर निर्भर हैं। इस बार डेटा चोरी में अमेरिका और चीन का भी नाम रहा है। ऐसे अपराध इतनी तेजी से क्यों बढ़ रहे हैं? क्योंकि सिर्फ 5% मामलों में दोषी को सजा मिलती है।
मनीष ने कस्टमर केयर से डेटा लीक का भी एक उदाहरण दिया। इसकी जांच उन्होंने ही की थी। बीकानेर के एक शख्स ने ऑनलाइन टिकट बुक कराया। बैंक डिटेल और वन टाइम पासवर्ड (ओटीपी) डालने के बाद इंटरनेट डिसकनेक्ट हो गया। ऑनलाइन शॉपिंग प्लेटफॉर्म (मर्चेंट) पेमेंट गेटवे से जुड़े होते हैं। भुगतान से पहले पेमेंट गेटवे से मर्चेंट को सूचना जाती है। मर्चेंट के ओके करने के बाद ही ट्रांजेक्शन पेमेंट गेटवे से प्रोसेस होता है। कई बर इसी प्रोसेस के समय इंटरनेट बंद हो जाता है। यहीं से फ्रॉड शुरू होता है। कस्टमर केयर का कर्मचारी इसकी जानकारी बाहर अपने साथी को देता है। वह साथी ग्राहक को कस्टमर केयर के नाम से फोन करता है। इसमें कॉल फोर्जिंग तकनीक का इस्तेमाल होता है, जिसमें रिसीवर के स्क्रीन पर वही नंबर दिखता है, जो कॉलर चाहता है। वह व्यक्ति ग्राहक से ट्रांजेक्शन और कार्ड की डिटेल वेरिफाई कराता है और सीवीवी नंबर पूछता है। ग्राहक को शक भी नहीं होता और वह नंबर बता देता है।
जब हम मोबाइल पर कार्ड के जरिए पेमेंट करते हैं तो पहले ट्रांजेक्शन के वक्त ही एक ऑप्शन होता है 'सेव दिस कार्ड फॉर फास्टर चेकआउट'। यह पहले से 'क्लिक' यानी ओके होता है। हम इस पर ध्यान नहीं देते और उस एप में कार्ड की डिटेल सेव हो जाती है। कई फाइनेंशियल इंस्टीट्यूशन के लिए साइबर सिक्यूरिटी का काम कर चुके अभिषेक धाभाई के मुताबिक पेमेंट गेटवे के जरिए ट्रांजेक्शन होता है तो वहां भी कार्ड की डिटेल सेव होती है। उन्होंने बताया कि आरबीआई गाइडलाइंस के मुताबिक डेटा एनक्रिप्टेड (128 बिट) तो होता है, लेकिन यह एनक्रिप्शन पूरी तरह सुरक्षित नहीं। यह आसानी से डिक्रिप्ट हो सकता है। अभिषेक ने बताया कि देश में एटीएम सिक्यूरिटी गाइडलाइंस 1995 के आसपास के हैं। हमारा अपना कोई सिक्यूरिटी प्रोटोकॉल या इन्फ्रास्ट्रक्चर नहीं है। इसका संचालन विदेशी कंपनियां करती हैं। 99% पेमेंट गेटवे विदेशी हैं। इस कारण डेटा को कई जगहों से गुजरना पड़ता है। यह बीच में कहीं भी हैक हो सकता है। उन्होंने बताया कि हम सॉफ्टवेयर के मामले में अमेरिका और हार्डवेयर के मामले में चीन पर निर्भर हैं। इस बार डेटा चोरी में अमेरिका और चीन का भी नाम रहा है। ऐसे अपराध इतनी तेजी से क्यों बढ़ रहे हैं? क्योंकि सिर्फ 5% मामलों में दोषी को सजा मिलती है।
मनीष के अनुसार 10 में से 8 मामले तो दर्ज ही नहीं होते। कभी दूर-दराज के इलाकों में एटीएम स्किमिंग करने वाले अपराधी इतने बेखौफ हो गए हैं कि अब वे बैंक से लगे एटीएम में भी मैग्नेटिक स्ट्रिप रीडर और कैमरा लगा रहे हैं। रीडर कार्ड की डिटेल लेता है और कैमरे में पासवर्ड रिकॉर्ड हो जाता है। अपराधी इससे कार्ड का क्लोन बना लेते हैं। वे क्लोन कार्ड का इस्तेमाल दूसरे राज्यों में करते हैं ताकि गिरफ्तारी से बचा जा सके। अभिषेक के मुताबिक सरकार, आरबीआई या जांच एजेंसियों के पास ऐसे अपराधों की जांच करने के लिए विशेषज्ञ नहीं हैं। अधिकारियों को नहीं मालूम कि करना क्या है। बैंकों में तो इनफॉर्मेशन या साइबर सिक्योरिटी के मूलभूत उपाय ही नहीं हैं। कल अगर इससे भी बड़ी वारदात होती है तो कोई कुछ नहीं कर पाएगा।
हास्यास्पद बात है कि इस बार सभी बैंक यही कह रहे हैं कि उनके नेटवर्क में कोई 'स्किमिंग' नहीं हुई, समस्या दूसरे बैंक में है। जिस हिताची पेमेंट सर्विस के बारे में कहा जा रहा है कि इसके प्लेटफॉर्म का इस्तेमाल कर हैकरों ने डाटा चोरी की, उसने भी इससे इंकार किया है। यही जवाब मास्टरकार्ड, वीजा और रुपे का है जिनके प्लेटफॉर्म पर ये कार्ड हैं। रोजाना करीब 2.5 करोड़ ट्रांजेक्शन की हैंडलिंग करने वाले एनपीसीआई ने भी कहा है कि उसके सिस्टम में कोई गड़बड़ी नहीं पाई गई है। एक बैंक के वरिष्ठ अधिकारी ने बताया कि बैंक भले ही सिस्टम दुरुस्त होने की बात कह रहे हों, अभी उनकी फोरेंसिक जांच चल रही है। जांच पूरी होने में कुछ दिन और लगेंगे। इसके बाद ही पता चलेगा कि डाटा चोरी कहां से हुई और वास्तव में कितने कार्ड प्रभावित हुए। देश में करीब 70 करोड़ डेबिट कार्ट और ढाई करोड़ क्रेडिट कार्ड हैं। रिसर्च फर्म नीलसन की एक रिपोर्ट के अनुसार 2015 में दुनियाभर में 16 बिलियन डॉलर यानी 1.06 लाख करोड़ रु. के कार्ड फ्रॉड हुए। यह सालाना 20% की रफ़्तार से बढ़ रहा है।
हास्यास्पद बात है कि इस बार सभी बैंक यही कह रहे हैं कि उनके नेटवर्क में कोई 'स्किमिंग' नहीं हुई, समस्या दूसरे बैंक में है। जिस हिताची पेमेंट सर्विस के बारे में कहा जा रहा है कि इसके प्लेटफॉर्म का इस्तेमाल कर हैकरों ने डाटा चोरी की, उसने भी इससे इंकार किया है। यही जवाब मास्टरकार्ड, वीजा और रुपे का है जिनके प्लेटफॉर्म पर ये कार्ड हैं। रोजाना करीब 2.5 करोड़ ट्रांजेक्शन की हैंडलिंग करने वाले एनपीसीआई ने भी कहा है कि उसके सिस्टम में कोई गड़बड़ी नहीं पाई गई है। एक बैंक के वरिष्ठ अधिकारी ने बताया कि बैंक भले ही सिस्टम दुरुस्त होने की बात कह रहे हों, अभी उनकी फोरेंसिक जांच चल रही है। जांच पूरी होने में कुछ दिन और लगेंगे। इसके बाद ही पता चलेगा कि डाटा चोरी कहां से हुई और वास्तव में कितने कार्ड प्रभावित हुए। देश में करीब 70 करोड़ डेबिट कार्ट और ढाई करोड़ क्रेडिट कार्ड हैं। रिसर्च फर्म नीलसन की एक रिपोर्ट के अनुसार 2015 में दुनियाभर में 16 बिलियन डॉलर यानी 1.06 लाख करोड़ रु. के कार्ड फ्रॉड हुए। यह सालाना 20% की रफ़्तार से बढ़ रहा है।
एक बैंक का एटीएम कार्ड जब दूसरे बैंक की एटीएम मशीन में इस्तेमाल होता है तो कार्ड की डिटेल पहले सेंट्रल सर्वर को जाती है। इसे 'हैंडओवर प्रोटोकॉल' से गुजरना पड़ता है। इसमें कई प्वाइंट होते हैं और डेटा कहीं से भी लीक हो सकता है। अपने बैंक के एटीएम का इस्तेमाल करने पर सूचना सिर्फ उसी बैंक के सर्वर तक जाती है।
एटीएम मशीन में मैग्नेटिक स्ट्रिप वाले डेबिट कार्ड से पूरी डिटेल जाती है। इसलिए इनका क्लोन आसानी से बनाया जा सकता है। चिप वाले कार्ड में डाटा एनक्रिप्टेड होता है। इसमें ट्रांजैक्शन के बाद सिर्फ यूनीक कोड ट्रांसमिट होता है। जानकारी हासिल करने के लिए उसे डिकोड करना पड़ेगा। इसलिए ये ज्यादा सुरक्षित होते हैं।
फ्रॉड का एक नया तरीका यह भी है: एटीएम और क्रेडिट कार्ड्स पर रेडियो फ्रीक्वेंसी आईडेंटिफिकेशन चिप लगी होती है। इसे रीड कर कई जानकारियां चोरी की जा सकती हैं। इसीलिए दुनियाभर में सिक्यूरिटी एजेंसीज और जानकार लोगों को आरएफआईडी रीडर डिवाइसेज से बचने की सलाह दे रहे हैं। यह डिवाइस कहां लगी हुई हैं, यह पता चल पाना मुश्किल है। इस डिवाइस की मदद से कोई भी आपसे दूर बैठे हुए भी आपके कार्ड की जानकारियां कार्ड पर लगी चिप से चुरा सकता हैं। भारत में अभी ऐसे मामले सामने नहीं आए हैं। लेकिन विदेशों में तो अब आरएफआईडी-ब्लॉकिंग वॉलेट भी बिक रहे हैं।
Post published at www.nareshjangra.blogspot.com
साभार: जागरण समाचार
For getting Job-alerts and Education News, join our Facebook Group “EMPLOYMENT BULLETIN” by clicking HERE. Please like our Facebook Page HARSAMACHAR for other important updates from each and every field.