जब बीबीसीका कर्मचारीलाई ह्याकरले दिए यस्तो अफर… कम्प्युटरको लगइन पहुँच दिए फिरौतिको २५ प्रतिशत रकम पक्का

काठमाडौं ।

हालै बीबीसीका एक पत्रकारलाई साइबर अपराधीहरुले बीबीसीको पेज लगइन गर्न पहुँच दिएमा फिरौति रकमको २५ प्रतिशत दिने र त्यसपछि उनले काम नै गर्न नपर्ने अफर दिएका छन्।

यस्तो अफर आएपछि छक्क परेका ती पत्रकारले के के गरे जान्नुहोस उनकै शब्दमा:

साइबर अपराधको कालो दुनियाँका थुप्रै कुरा जस्ता विश्वासघातको अनुभव कम मानिसले मात्र गर्छन् र यसबारे धेरैले बोल्न चाहँदैनन्। तर जब एक आपराधिक गिरोहले हालै मलाई प्रस्ताव दियो, तब कसरी ह्याकरहरूले कुनै संस्थाका कर्मचारीलाई आफ्नो काममा प्रयोग गर्न सक्छन् भन्ने थाहा भयो।

मैले भर्खरै यस्तो अनौठो र चिन्ताजनक अनुभव गरेँ। मैले कसरी कुनै संस्थामा काम गर्ने व्यक्तिलाई ह्याकिङका लागि प्रयोग गर्न सकिन्छ भन्ने पत्ता लगाएँ।

“यदि तपाईं इच्छुक हुनुहुन्छ भने, तपाईंको कम्प्युटरको पहुँच दिँदा हामीले पाउने फिरौतीको १५ प्रतिशत तपाईंलाई दिनेछौं।” जुलाईमा अचानक मलाई ‘सिग्नल’ नामक इन्क्रिप्टेड च्याट एपमा ‘सिन्डिकेट’ नामका कसैले यो सन्देश पठाए। यी को हुन् भन्ने थाहा पाइनँ तर उनीहरु मबाट के चाहन्छन् भन्ने मैले बुझें।

उनीहरु मेरो ल्यापटप प्रयोग गरेर बीबीसीको सिस्टममा पहुँच पाउने र त्यसले आएमा पाएको रकमको हिस्सा मलाई दिने योजना बनाइरहेका थिए।

उनीहरूले मेरो ल्यापटपमार्फत बीबीसी सिस्टममा पहुँच गरेर डाटा चोरी गर्न वा हानिकारक सफ्टवेयर इन्स्टल गरी बीबीसीलाई ब्ल्याकमेल गर्न सक्दछन्। त्यसको बदलामा उनीहरूले मलाई गुप्त रूपमा हिस्सा दिने प्रस्ताव राखे।

मैले यस्ता घटनाहरूको बारेमा सुनेको थिएँ। वास्तवमै, मैले सन्देश पाउनु भन्दा केही दिनपहिले ब्राजिलबाट खबर आएको थियो जहाँ त्यहाँको एक आईटी कर्मचारीलाई ह्याकरहरूलाई आफ्नो लगइन जानकारी बेचेको आरोपमा पक्राउ गरिएको थियो। प्रहरीले भने अनुसार त्यस कारण एक व्यक्तिलाई १० करोड अमेरिकी डलरको नोक्सानी पुगेको थियो।

मैले एक वरिष्ठ बीबीसी सम्पादकको सल्लाहपछि सिन्डिकेटसँग थप कुरा अगाडि बढाएँ। म अपराधीहरू सम्भावित विश्वासघाती कर्मचारीसँग कसरी यस्तो शंकास्पद सम्झौता गर्छन् भन्नेमा जिज्ञासु थिएँ। त्यो पनि यस्तो बेला जब विश्वभर साइबर आक्रमण शक्तिशाली बन्दै गइरहेका छन् र दैनिक जीवनमा पनि उत्तिकै देखिइरहेका छन्।

च्याटमा सिन्डिकेटले आफ्नो नाम ‘सिन’ राख्यो। मैले सिनलाई म उनको प्रस्तावमा चासो राख्ने तर यसको प्रकृया के हो भनेर भनेर जान्न चाहेको बताएँ।

सिनले यदि मैले उनीहरुलाई मेरो लगइन विवरण र सुरक्षा कोड दिएँ भने उनीहरूले बीबीसीलाई ह्याक गरी कम्पनीलाई बिटक्वाइनमा फिरौतीको लागि ब्ल्याकमेल गर्ने र मलाई त्यो रकमको हिस्सा दिने बताए।

पछि सिनले पहिले दिएको १५ प्रतिशतको प्रस्ताव बढाए।

“हामीलाई थाहा छैन बीबीसीले तपाईंलाई कति तलब दिन्छ। हामी बीबीसीको कुल आम्दानीको केही प्रतिशत तपाईंलाई दिन तयार छौं — २५ प्रतिशत लिनुस् र तपाईंलाई फेरि काम गर्न पर्दैन।”

सिनले टीम सफल भए करोडौंको फिरौती माग्न सकिने अनुमान लगाए। बीबीसीले सार्वजनिक रूपमा हैकरहरूलाई भुक्तानी गर्ने छैन भनेर केही भनेको छैन, तर कानुन प्रवर्तन निकायहरूले यस्तो अवस्थामा भुक्तानी नगर्न सल्लाह दिइरहेका छन्।

ह्याकरहरूको प्रस्ताव जारी रहयो। सिनले मलाई करोडौं पाउने दावी दोहोर्याए र जोड दिए, “हामी कुनै प्रमाण नबचोस् भन्ने पक्का गर्न यो च्याट मेटाउनेछौँ।”

ह्याकरले पहिले पनि भित्रका कर्मचारीहरूसँग सम्झौता गरेर धेरै साइबर आक्रमण सफलतापूर्वक गरेको बताए। उनीहरुले यस वर्ष ह्याक भएका दुई कम्पनीहरूको नाम उदाहरणका रूपमा बताए जसमा ब्रिटिश स्वास्थ्य सेवा कम्पनी र अर्को एक आपतकालीन सेवा दिने अमेरिकी कम्पनी रहेका थिए।

सिनले भने, “तपाईंलाई अचम्म लाग्ला कि कति कर्मचारीहरू हामीलाई पहुँच दिन तयार हुन्छन्।” उनले आफूलाई मेडुसा नामक साइबर अपराध गिरोहको ‘रिच आउट म्यानेजर’ बताए र उनी उक्त गिरोहको एकमात्र अंग्रेजी बोल्ने सदस्य रहेको दावी गरे।

मेडुसा एक र्यानसमवेयर अपरेसन हो जसमा जुनसुकै अपराधी जोडिन सक्छ र प्लेटफर्मको प्रयोग गरी कुनै पनि संगठनमा ह्याक गर्न सक्छ। साइबर सुरक्षा कम्पनी चेकपोइन्टको अनुसन्धान रिपोर्टअनुसार मेडुसाका प्रशासक सम्भवतः रूस वा उसका सहयोगी देशबाट सञ्चालन भइरहेका छन्।

रिपोर्टका अनुसार यो समूहले रूस र सीआईएस भित्रका संस्थालाई निशाना बनाउँदैन र यसको गतिविधि मुख्य रूपमा रूसी भाषाका डार्क वेब फोरममा हुने गरेको छ।

सिनले गर्वका साथ एउटा लिंक पठाए जुन अमेरिकाले मार्चमा मेडुसाबारे सार्वजनिक चेतावनीका लागि जारी गरेको थियो। अमेरिकी साइबर सुरक्षा एजेन्सीहरूले त्यस चेतावनीमा “गत चार वर्षमा मेडुसा गिरोहले ३०० भन्दा बढी संगठनलाई निशाना बनाएको” देखिने भनेका थिए।

सिनले बारम्बार मसँग सेक्युरिटी ‘की’ हरू गुप्त रुपमा बेचेर मलाई ठूलो रकम दिने गम्भीर प्रस्ताव राखे। मैले भने, “के तपाईं कुनै बच्चा हुनुहुन्छ जसले मजाक गरिरहनुभएको छैन, वा यो कसैले मलाई फसाउने योजना त हैन?”

सिनले आफ्नो जवाफसँग मेडुसाको डार्कनेट ठेगाना पठाए र मलाई ‘टक्स’ मार्फत सम्पर्क गर्न आमन्त्रण गरे — टक्स साइबर अपराधीहरू द्वारा प्रायः प्रयोग गरिने मेसेजिङ सेवा हो।

सिनले दबाब बढाउन थाले। उनले एक लिंक पठाए जुन एक्स्क्लुसिभ साइबर क्राइम फोरममा मेडुसाको रजिस्ट्रेशन पेज थियो। उनीहरुले मलाई०.५ बिटक्वाइन (झन्डै ५५ हजार अमेरिकी डलर) प्राप्त गर्ने प्रक्रिया सुरू गर्न अनुरोध गरे।

यो रकम ग्यारेन्टीको रुपमा राखिएको थियो — अर्थात् यदि मैले मेरो लगइन विवरण सुम्पेँ भने पनि कम्तीमा यति रकम त म पाउने थिएँ। सिनले भने, “हामी मजाक गरिरहेका छैनौं। हाम्रो सन्चार सार्वजनिक हुनलाई चाहँदैन। हामीलाई केवल पैसा चाहिन्छ र हाम्रा एक म्यानेजरले मलाई तपाईँलाई सम्पर्क गर्न भने।”

म प्राविधिक रुपमा पर्याप्त सक्षम छु र बीबीसीका आईटी सिस्टममा माथिल्लो पहुँच राख्छु भन्ने लागेकाले उनीहरूले मलाई छाने भन्ने मलाई लाग्छ। तर वास्तविकता त्यस्तो थिएन। सिनलाई म सूचना प्रविधि हेर्रे कर्मचारी नभई साइबर पत्रकार मात्रै भएको तथ्य थाहा छ कि छैन भन्नेमा म अझै पक्का छैन।