साइबर ठग 'सिम कार्ड' के ज़रिये कैसे लगा रहे खातों में सेंध?
डेटा चोरी या डेटा ब्रीच आजकल इतने आम हो गए हैं कि जब यह हमारे साथ होता है, तो यह समझना मुश्किल हो जाता है कि इस पर प्रतिक्रिया कैसे दें.
इसे नज़रअंदाज़ तो आसानी से किया जा सकता है लेकिन इसमें एक ख़तरा भी है.
डेटा चोरी का शिकार होने से आपके अपराधियों और ठगों का निशाना बनने की आशंका भी बढ़ जाती है.
सू शोर ने बीबीसी को बताया कि कैसे ठगों ने उन्हें निशाना बनाया- और हमने पाया कि उनकी जानकारी ऑनलाइन लीक हो गई थी.
बीबीसी हिंदी के व्हॉट्सऐप चैनल से जुड़ने के लिए यहाँ क्लिक करें
सू जिस हमले की शिकार हुईं उसे 'सिम स्वैप अटैक' कहा जाता है- इसमें ठग नेटवर्क ऑपरेटर को धोखा देकर यह यकीन दिला देते हैं कि वे ही असली अकाउंट होल्डर हैं, ताकि मोबाइल डिवाइस के लिए नया सिम कार्ड प्राप्त कर सकें.
ठगों ने इसका इस्तेमाल करके उनके फ़ोन के ज़रिए लगभग सभी ऑनलाइन अकाउंट्स पर कब्ज़ा कर लिया. सू ने कहा कि यह अनुभव "भयानक" था.
सू ने बताया, "ठगों ने मेरा जीमेल अकाउंट अपने कब्ज़े में ले लिया और फिर मैं अपने बैंक अकाउंट्स से भी बाहर हो गई क्योंकि वे सुरक्षा जांच को पार नहीं कर पाए."
सू के नाम पर एक क्रेडिट कार्ड भी ले लिया गया और अपराधियों ने 3,000 पाउंड से अधिक के वाउचर खरीदे.
अपने अकाउंट्स वापस हासिल करने के लिए उन्हें अपने बैंक और मोबाइल सेवा प्रदाता की शाखाओं में कई बार जाना पड़ा.
लेकिन चोर इतने पर ही नहीं रुके.
सू कहती हैं, "वे लोग मेरे व्हाट्सऐप में भी घुस गए और एक भयानक काम किया."
"उन्होंने उन हॉर्स राइडिंग ग्रुप्स, जिनमें मैं हूं, में चेतावनी देते हुए संदेश भेजे कि कुछ लोग घोड़ों को छुरे मारने के लिए आ रहे हैं."
हमने ऑनलाइन टूल्स जैसे haveibeenpwned.com और Constella Intelligence का उपयोग करके हैकर डेटाबेस खोजे, ताकि यह पता चल सके कि क्या सू की जानकारी पर पहले भी कोई संकट आया था.
उनका फोन नंबर, ईमेल एड्रेस, जन्मतिथि और असली पता सभी 2010 में जुआ प्लेटफ़ॉर्म PaddyPower और 2019 में ईमेल वैलिडेशन टूल Verifications.io में जाहिर हो चुके थे. हैक किए गए रिकॉर्ड्स में भी उनकी जानकारी शामिल थी.
साइबर फ़र्म साइलोब्रेकर की हन्ना बाउमगार्टनर ने कहा कि हमलावरों ने संभवतः पहले की डेटा चोरी में लीक हुई व्यक्तिगत जानकारी का इस्तेमाल सिम स्वैप अटैक करने के लिए किया.
वह कहती हैं, "एक बार जब उन्हें सू का फ़ोन नंबर मिल गया, तो वे किसी भी सुरक्षा कोड को इंटरसेप्ट करने में सक्षम हो गए, जो उनकी पहचान सत्यापित करने के लिए उनके जीमेल अकाउंट पर भेजे जाते थे."
नेटफ़्लिक्स पर सवारी
लेकिन ऐसा भी नहीं कि ठग हमेशा बड़े पैमाने पर पैसे की चोरी ही करते हों.
ब्राज़ील की फ़्रैन ने बीबीसी को बताया कि उन्होंने देखा कि किसी यूज़र ने उनके नेटफ़्लिक्स अकाउंट पर रजिस्टर किया था- और उनकी मासिक सदस्यता बढ़ा दी थी.
उन्होंने कहा, "मेरे पेमेंट कार्ड पर 9.90 डॉलर का बिल आया, जबकि मैंने यह खरीदारी नहीं की थी."
"मैंने तुरंत अपने परिवार से संपर्क कर पूछा कि क्या किसी ने हमारे साझा अकाउंट में नया प्रोफ़ाइल जोड़ा है, लेकिन सबने इससे इनकार किया."
फ़्रैन एक आम ठगी की शिकार हुईं, जिसमें उनका नेटफ़्लिक्स अकाउंट किसी फ़्रीलोडर ने हाइजैक कर लिया.
यह स्पष्ट नहीं है कि हाइजैकर्स ने उनके अकाउंट में कैसे प्रवेश किया. साइबर अपराध की धुंधली दुनिया का मतलब यह है कि इसमें तय करना मुश्किल है कि क्या इस ठगी का संबंध किसी डेटा चोरी से है.
लेकिन वेबसाइट haveibeenpwned.com के इस्तेमाल से हमें पता चला कि फ़्रैन का ईमेल पता डेटा चोरी की कम से कम चार घटनाओं का शिकार हुआ था, जिनमें शामिल हैं इंटरनेट आर्काइव (2024), ट्रेलोव (2024), डेस्कॉमप्लिका (2021), और वॉटपैड (2020).
उन्होंने अपने नेटफ़्लिक्स अकाउंट के लिए जो पासवर्ड इस्तेमाल किया था, वह सार्वजनिक रूप से ज्ञात डेटाबेस में नहीं है, लेकिन दूसरे में हो सकता है.
साइबर सुरक्षा कंपनी हडसन रॉक के सह-संस्थापक अलोन गैल कहते हैं, "क्रैक किए गए नेटफ़्लिक्स, डिज़्नी और स्पॉटिफ़ाई अकाउंट्स का एक बड़ा बाज़ार है."
"यह साइबर अपराध के लिए एक आसान प्रवेश बिंदु है, जो एक कंपनी के डेटा लीक को व्यापक और लगातार होने वाले दुरुपयोग में बदल देता है."
टू फ़ैक्टर ऑथेंटिफ़िकेशन भी बेकार
इमेज स्रोत, Hudson Rock
ठग अक्सर चोरी की गई निजी जानकारी को सार्वजनिक जानकारी के साथ मिला देते हैं.
लिया, जो अपना असली नाम नहीं बताना चाहतीं, एक छोटा व्यवसाय चलाती हैं. वह फ़ेसबुक विज्ञापनों का उपयोग करती हैं और हाल ही में लंबे समय से चल रहे एक घोटाले का शिकार हुईं, जो ज़ाहिर तौर पर वियतनाम से शुरू हुआ था.
वह बताती हैं, "मुझे 'notifications@facebookmail.com' से एक फ़िशिंग ईमेल मिला जिसमें कहा गया था कि मुझे एक रिफंड मिलना है. मैंने लिंक पर क्लिक किया और नकली मेटा पेज पर अपना ब्यौरा दर्ज किया, और ठगों ने मेरे बिज़नेस अकाउंट पर कब्ज़ा कर लिया, बावजूद इसके कि मेरे पास 2-फैक्टर ऑथेंटिकेशन था."
"फिर उन्होंने मेरे नाम से बाल यौन शोषण के वीडियो पोस्ट किए, जिसकी वजह से मुझे ब्लॉक कर दिया गया. मैं मेटा से शिकायत करने के लिए मैसेंजर का उपयोग करने से भी वंचित हो गई थी."
जिन तीन दिनों तक वो अपना बिज़नेस अकाउंट वापस पाने की कोशिश कर रहीं थीं, ठगों ने सैकड़ों पाउंड के विज्ञापन चलाए, जिनका भुगतान लिया के पैसे से किया गया था. हालांकि अंततः उन्हें पैसे वापस मिल गए.
कॉन्स्टेला इंटेलिजेंस के अल्बर्टो कासारेस ने हैकर डेटाबेस खोजे और पाया कि लिया का ईमेल पता और अन्य विवरण ग्रेवैटार और इस साल के क्वांटस के शिकार बने थे.
वह कहते हैं, "ऐसा लगता है कि हमलावरों ने लिया के चोरी हुए निजी ईमेल एड्रेस को उनके सार्वजनिक रूप से सूचीबद्ध बिज़नेस नंबर से जोड़कर ईमेल अकाउंट पर फ़िशिंग हमला किया."
उन्होंने कहा कि हो सकता है कि यह काम हमलावरों ने खुद किया हो या ऐसा भी हो सकता है कि डेटा ब्रोकर से संभावित लक्ष्यों की सूची खरीदने के लिए भुगतान किया गया हो.
बड़े पैमाने पर डेटा चोरी
बड़े पैमाने पर डेटा चोरी से दुनिया भर में ठगी और सेकेंडरी हैक्स को बढ़ावा मिल रहा है, और सिर्फ़ 2025 में ही कई हाई-प्रोफ़ाइल हमले हुए हैं.
- 65 लाख लोगों का डेटा अप्रैल में को-ऑप में लगाई गई सेंध में चला गया.
- मार्क्स एंड स्पेन्सर भी लगभग उसी समय हैक हुआ, जिससे लाखों लोग प्रभावित हुए- हालांकि कंपनी अब तक यह बताने से इनकार कर रही है कि कितने लोग प्रभावित हुए.
- हैरॉड्स ने अपने लक्ज़री स्टोर्स के 4 लाख ग्राहकों का डेटा गंवा दिया.
- क्वांट्स एयरलाइन के हैक का असर में 57 लाख यात्रियों पर पड़ा.
प्रोटोन मेल की डेटा चोरी पर नज़र रखने वाली इकाई के अनुसार, 2025 में अब तक पहचाने जा सके स्रोतों से 794 सत्यापित चोरी के मामले सामने आए हैं. इनमें 30 करोड़ से अधिक व्यक्तिगत रिकॉर्ड उजागर हुए हैं.
फ़र्म के ईमोन मैग्वायर ने बताया, "अपराधी चोरी किए गए डेटा के लिए अच्छी कीमत चुकाते हैं क्योंकि इनसे वे लगातार धोखाधड़ी, जबरन वसूली और साइबर हमलों के जरिए मुनाफ़ा कमाते हैं,"
इमेज स्रोत, Palo Alto Networks
ग्राहकों और नियामकों को चोरी की सूचना देने के अलावा, कंपनियों के लिए ऐसे कोई साफ़ और सख़्त नियम नहीं हैं कि उन्हें पीड़ितों के लिए क्या करना चाहिए.
उदाहरण के लिए, पहले फ्री क्रेडिट मॉनिटरिंग की पेशकश आम थी.
पिछले साल, टिकटमास्टर (जिसमें डेटा चोरी से 50 करोड़ लोग प्रभावित हुए थे) ने कुछ लोगों को यह सेवा दी थी.
लेकिन इस साल कम कंपनियां ऐसा कर रही हैं. उदाहरण के लिए, मार्क्स एंड स्पेन्सर और क्वांटस ने ग्राहकों को ये सेवाएं नहीं दीं.
को-ऑप ने पीड़ितों को 10 पाउंड का वाउचर दिया- बशर्ते वे उसकी दुकानों में 40 पाउंड खर्च करें.
कुछ लोग मुआवज़ा पाने के लिए अदालतों में कोशिश कर रहे हैं, और क्लास एक्शन मुकदमों का चलन बढ़ रहा है- हालांकि इन्हें जीतना बेहद कठिन होता है क्योंकि यह साबित करना मुश्किल होता है कि व्यक्तियों पर कैसा असर पड़ा.
टी-मोबाइल ने 2021 की बड़ी डेटा चोरी से प्रभावित ग्राहकों को भुगतान करना शुरू कर दिया है, जिससे 7.6 करोड़ ग्राहक प्रभावित हुए थे.
कंपनी ने 35 करोड़ डॉलर का भुगतान करने पर सहमति जताई- जिसमें ग्राहकों को कथित रूप से 50 से 300 डॉलर तक भुगतान किए जाने थे.
बीबीसी के लिए कलेक्टिव न्यूज़रूम की ओर से प्रकाशित.
