स्पूफिंग साइबर लुटेरों का नया हथियार है, हैकिंग की तकनीक से एडवांस। स्पूफिंग ऐसा फ्रॉड है जिसमें कोई संचार अनजान स्रोत से किसी रिसीवर को भेजा जाता है लेकिन संदेश प्राप्त करने वाले व्यक्ति को वह कॉल या ईमेल उसके परिचित या ज्ञात स्रोत से आए संदेश के रूप में मिलती है। इस संजाल के खतरों व बचाव के बारे में जानकारी साझा कर रहे हैं डॉ. संजय वर्मा।
दो दोस्त अरसे से मिले न हों, लेकिन एक दिन अचानक उनमें से किसी का कोई संदेश मोबाइल, फेसबुक, व्हाट्सएप पर मिले, तो खुशी होती है। कुछेक मौकों पर दोस्त की तरफ से मदद मांगने की गुहार भी आ सकती है। ऐसा भी हो सकता है कि आपने अपने दोस्त की ऐसी पुकार पर उसकी कोई आर्थिक मदद भी बिना ज्यादा जांच-पड़ताल किए कर दी हो। कुछ दिन बाद पता चलता है कि दोस्त को तो असल में किसी मदद की जरूरत ही नहीं थी। बल्कि किसी साइबर अपराधी ने दोस्त की पहचान चुराकर आपसे पैसे ऐंठ लिए और दोस्त को इसकी भनक तक नहीं लगी कि उसके नाम पर आपको हजारों का चूना लगा दिया गया है। साइबर अपराधियों की यह नई शरारत है, जिसे स्पूफिंग कहा जाता है। बीते दिनों इस तकनीक का प्रयोग कर लोकसभा अध्यक्ष ओम बिड़ला के नाम से साध्वी प्रज्ञा को एक संदेश भेजा गया। संदेश में लिखा था- हैलो प्रज्ञा, कैसी हो। कहां हो? इस संदेश के साथ ही साध्वी प्रज्ञा को अपने मोबाइल में उपराष्ट्रपति वैंकेया नायडू का नंबर भी दिखाई देने लगा, जिससे संदेश की वास्तविकता पर संदेह करना आसान नहीं था क्योंकि ये सभी व्यक्ति एक ही राजनीतिक दल से संबंध रखते हैं। इसके बावजूद शक होने पर साध्वी प्रज्ञा ने जब संदेश की जांच कराई तो पता चला कि मामला कॉल स्पूफिंग का है। हालांकि इस संदेश को भेजने वाले व्यक्ति (साइबर अपराधी) की पहचान नहीं हो पाई है, लेकिन यह उदाहरण दर्शाता है कि साइबर लुटेरे किस शातिराना अंदाज़ में लोगों को चूना लगाने की कोशिशें कर रहे हैं।
स्पूफिंग की तकनीक असल में साइबर लुटेरों का नया हथियार है। इसके इस्तेमाल की शुरुआत साइबर हैकरों ने की थी। हैकर फेसबुक और सोशल मीडिया के अन्य तरीकों के जरिए किसी व्यक्ति के सोशल मीडिया अकाउंट में घुसपैठ कर लेते थे। सोशल मीडिया के अकाउंट में यह घुसपैठ असल में हैकिंग है, जिसमें वास्तविक उपयोगकर्ताओं का अपने अकाउंट पर अधिकार नहीं रह जाता है। एक बार हैक करने के पश्चात उस व्यक्ति के मित्रों-परिचितों को ऐसे संदेश भेजे जाते हैं कि जिनमें व्यक्ति को किसी मुसीबत में फंसा दर्शाया जाता है। इसके बाद ज्यादातर मामलों में आर्थिक मदद की अपील की जाती है और किसी अनजान खाते में रुपये-पैसे की मांग की जाती है। व्यक्ति के मित्रों-परिचितों में से कुछ लोग जांच-पड़ताल किए बगैर पैसा भेज देते हैं। बाद में पता चलता है कि असल में उस व्यक्ति का अकाउंट हैक हुआ था और भेजे गए पैसे किसी हैकर के पास पहुंच गए हैं। यह तकनीक सोशल मीडिया से आगे बढ़कर मोबाइल नंबरों और ईमेल खातों तक पहुंच गई है और अब इसमें मोबाइल को हैक करने की जरूरत भी नहीं पड़ती। यानी यह जरूरी नहीं रह गया है कि किसी व्यक्ति का मोबाइल या ईमेल हैक ही किया जाए। बल्कि वास्तविक नंबर और ईमेल की जानकारी होने पर उसकी ओर से फर्जी कॉल या मैसेज उस व्यक्ति के सर्कल से जुड़े लोगों (मित्रों-परिचितों) को भेज कर फेवर मांगा जा सकता है और इस तरह नए किस्म का झांसा दिया जा सकता है। हैकिंग से आगे निकलती इस तकनीक को स्पूफिंग कहा जा रहा है। परिभाषा देना चाहें तो कह सकते हैं कि स्पूफिंग एक ऐसा कपटपूर्ण (फ्रॉड) व्यवहार है जिसमें कोई संचार अनजान स्रोत से किसी रिसीवर को भेजा जाता है लेकिन संदेश प्राप्त करने वाले व्यक्ति को वह संचार (कॉल या ईमेल) उसके परिचित या ज्ञात स्रोत से आए संदेश के रूप में मिलता है। असल में नई तकनीकों के सहारे लोगों को भ्रमित कर्र चूना लगाने की यह एक नई कोशिश है जिसे स्पूफिंग के नाम से जाना जा रहा है।
कैसे होती है स्पूफिंग
स्पूफिंग कैसे होती है- इसे एक उदाहरण से आसानी से समझा जा सकता है। मान लीजिए कि आप किसी सरकारी विभाग में उसकी वेबसाइट के जरिए किसी नौकरी के लिए आवेदन करना चाहते हैं। आप इसकी वेबसाइट गूगल की सहायता से खोजते हैं। वहां आपको संबंधित विभाग की एक जैसी कई वेबसाइटें नजर आती हैं। इस समानता के कारण भ्रम में पड़ा व्यक्ति उस वेबसाइट को खोल लेता है जो असल में फर्जी होती है। ऐसा इसलिए होता है क्योंकि वह फर्जी वेबसाइट असली जैसी दिखती है। चूंकि स्पूफर (हैकिंग की तरह स्पूफिंग करने वाले साइबर अपराधी) असली वेबसाइट के यूआरएल, लोगो, ग्राफिक्स और संबंधित कोड व सभी आइकन कॉपी करते हुए फर्जी वेबसाइट बना लेते हैं, इसलिए असली-नकली में भेद करना आसान नहीं होता है। ऐसे में कई बार फर्जी वेबसाइट पर लॉगइन करने और आवेदन की फीस आदि का भुगतान करने के कारण लोगों को भारी नुकसान होता है।
ध्यान रहे कि स्पूफिंग के कई प्रकार हैं। सिर्फ मोबाइल स्पूफिंग नहीं, बल्कि लोगों को आईपी स्पूफिंग, कॉलर आईडी स्पूफिंग, ईमेल स्पूफिंग, एआरपी स्पूफिंग और कंटेंट स्पूफिंग आदि के जरिए भी चूना लगाया जा रहा है। आईपी स्पूफिंग यानी इंटरनेट प्रोटोकॉल एड्रेस को कॉपी या मास्किंग करने का मामला है। इस तरीके में स्पूफर किसी कंप्यूटर आईपी एड्रेस (वेबसाइट के पते यानी यूआरएल) को इस तरह से मास्क करते हैं यानी नकली आईपी एड्रेस तैयार करते हैं ताकि वह प्रमाणिक और वास्तविक आईपी एड्रेस प्रतीत हो। यह असल में फेक आईपी एड्रेस होता है जो असली लगता है। इस किस्म की स्पूफिंग में स्पूफर ट्रांसमिशन कंट्रोल प्रोटोकाल (टीसीपी) तकनीक से वास्तविक आईपी एड्रेस के स्रोत (सोर्स) और गंतव्य की जानकारियों की खोज करते हैं। ये जानकारियां मिल जाने पर उनमें हेराफेरी कर फर्जी आईपी एड्रेस तैयार कर लेते हैं।
आईपी एड्रेस की स्पूफिंग की तरह मोबाइल पर कॉल या मैसेज की स्पूफिंग के लिए स्पूफर कॉलर आईडी सिस्टम के डिस्प्ले तकनीक में सेंध लगाते हैं। इससे उन्हें एक मोबाइल उपयोगकर्ता और उसके परिचय के दायरे में आने वाले लोगों के मोबाइल नंबरों की जानकारी और पहचान हासिल हो जाती है। पहले इस तकनीक का इस्तेमाल जासूसी या एफएम रेडियो चैनलों द्वारा शरारतन की जाने वाली प्रैंक गतिविधियों में किया जाता था। लेकिन अब इसे स्पूफर्स ने धोखा देकर पैसा कमाने का जरिया बना लिया है।
ईमेल स्पूफिंग एक अन्य प्रकार की धोखाधड़ी है जिसमें फर्जी ईमेल (स्पैम) भेजकर लोगों को भ्रमित करते हुए उन्हें आर्थिक या भावनात्मक चपत लगाई जाती है। इस तरह की स्पूफिंग में संदेश प्राप्तकर्ता को यह नहीं पता चलता है कि यह ईमेल आखिरकार कहां से आया है। चूंकि इस तकनीक में ईमेल भेजने वालों को ईमेल प्रमाणीकरण (ऑथेंटिकेशन) की प्रक्रिया यानी सिंपल मेल ट्रांसफर प्रोटोकॉल से नहीं गुजरना पड़ता है, इसलिए ईमेल पाने वालों को पता नहीं चलता है कि उन्हें यह कहां से मिला है। अक्सर इस तकनीक का इस्तेमाल स्पैमर करते रहे हैं। इसके जरिए वे फिशिंग, वायरस फैलाने या लोगों की निजी व बैंकिंग संबंधी जानकारी हासिल करने का प्रयास करते हैं।
स्पूफिंग का एक अन्य प्रकार एआरपी स्पूफिंग है। एआरपी यानी एड्रेस रिजॉल्यूशन प्रोटोकॉल स्पूफिंग। इसमें स्पूफर किसी भी नेटवर्क (वायर्ड और वायरलेस, दोनों तरह के) के ट्रैफिक को कब्जे में लेकर मन-मुताबिक ढंग से मॉडिफाइ या ब्लॉक कर सकता है। ऐसा करने के बाद स्पूफर इंटरनेट ट्रैफिक को री-डायरेक्ट करते हुए फर्जी एआरपी कम्यूनिकेशन भेजता है, जो लोगों को असली लगता है और झांसे में आ जाते हैं। इंटरनेट ट्रैफिक को परिवर्तित करने के कारण ऐसी स्पूफिंग को एआरपी री-डायरेक्ट के नाम से जाना जाता है।
इंटरनेट पर सबसे अधिक प्रचलित स्पूफिंग का एक प्रकार कंटेंट स्पूफिंग है। असली या वैध वेबसाइट जैसी फर्जी वेबसाइट कंटेंट स्पूफिंग का ही प्रकार है। इस तरीके से स्पूफर असल में वैध वेबसाइट की विस्तृत प्रतिलिपि (कॉपी) कर देते हैं। असली वेबसाइट का कंटेंट कॉपी करने के लिए स्पूफर डायनैमिक एचटीएमएल और फ्रेम आदि तकनीकों का इस्तेमाल करते हैं और असली वेबसाइट का सारा कंटेंट कॉपी कर लेते हैं। सिर्फ यही नहीं, कंटेंट स्पूफिंग में ग्राहकों को उसी तरह ईमेल अलर्ट और अकाउंट नोटिफिकेशन मिलते हैं जैसे असली वेबसाइट की ओर से आते हैं। ऐसे में बहुत से लोग फर्जी वेबसाइटों के झांसे में आ जाते हैं पर निजी जानकारी से लेकर पैसे तक गंवा देते हैं। आपने ऐसी खबरें सुनी होंगी, जब ओएलएक्स जैसी पुराने सामान खरीदने-बेचने वाली या टूर पैकेज बेचने वाली असली जैसी दिखने वाली फर्जी वेबसाइटों पर अपनी सूचनाएं साझा करने के बाद लोगों को अपनी जमा-पूंजी गंवानी पड़ी है। ऐसे सारे उदाहरण कंटेंट स्पूफिंग के होते हैं।
अब बात साध्वी प्रज्ञा वाले मामले की, जिसमें उन्हें लोकसभा अध्यक्ष ओम बिड़ला की ओर से एक संदेश प्राप्त हुआ। सवाल है कि यह आखिर स्पूफिंग का यह कौन सा तरीका है, जिससे जालसाज या अनजान लोग किसी के मोबाइल नेटवर्क में सेंध लगा पाते हैं। असल में इसके दो-तीन तरीके हैं। इनमें सबसे आम तरीका वीओआईपी आधारित सॉफ्टवेयर या क्रेजी कॉलर वेबसाइट की मार्फत किसी व्यक्ति की कॉलर आईडी का इस्तेमाल करते हुए फर्जी कॉल या मैसेज भेजा जाता है। इसमें स्पूफर एक व्यक्ति की कॉलर आईडी में हेरफेर करके उसे किसी अन्य स्थान पर दर्शा सकते हैं और उस व्यक्ति के सर्कल में आने वाले लोगों को स्पूफर अपनी ओर से कॉल कर सकते हैं या मैसेज भेज सकते हैं।
ऐसे होगी रोकथाम
स्पूफिंग के बढ़ते मामलों के मद्देनजर कुछ उल्लेखनीय प्रश्न उपस्थित होते हैं। सबसे अहम सवाल यह है कि जब इन सारी तकनीकों की जानकारी आम है तो स्पूफिंग की गतिविधियों पर कोई प्रभावी रोक क्यों नहीं लग पाती है। वैसे तो यह सही है कि अगर आपने फर्जी ईमेल, स्पैमिंग आदि से बचने के लिए कोई मजबूत एंटी वायरस या इंटरनेट सुरक्षा सॉफ्टवेयर अपना रखा है, तो वह काफी हद तक धोखाधड़ी की साइबर कोशिशों से आपको महफूज कर सकता है। ऐसे सॉफ्टवेयर दरअसल आपको मॉलवेयर (धोखाधड़ी करने वाली साइबर घुसपैठ) से बचा सकता है। लेकिन इस मामले में एक बड़ा सच यह भी है कि फिलहाल एंटी वायरस के अलावा हमारे देश में स्पूफिंग से बचाने वाली कोई असरदार तकनीक उपलब्ध नहीं है। यानी फर्जी कॉल, मैसेज या फेक ईमेल आप तक पहुंच ही नहीं सकें- इसकी कारगर व्यवस्था या मैकेनिज्म नहीं बन पा रहा है। ऐसा क्यों है। इसकी वजह यह है कि ऐसे मामलों की रोकथाम का जिम्मा हमारे जिस दूरसंचार नियामक- ट्राई के पास है, वह सिर्फ जालसाज के रूप में पहचानी गई वेबसाइटों, मॉलवेयर या ऐप के भारत में संचालन पर प्रतिबंध मात्र लगा सकता है। लेकिन ऐसी ज्यादातर गतिविधियां प्रॉक्सी यानी छद्म सर्वर या फिर वीपीएन यानी वर्चुअल प्राइवेट नेटवर्क के जरिए भारत के बाहर से संचालित होती हैं। यही वजह है कि जालसाज विदेश में बैठकर आसानी से विभिन्न वेबसाइटों या ऐप्स के जरिए धोखाधड़ी का नेटवर्क बना लेते हैं और लोगों को चूना लगा देते हैं। ऐसे में सिर्फ व्यक्तिगत सावधानी और सजगता-सतर्कता ही काम आती है।
यूं रहें सावधान
स्पूफिंग से बचने का एक तरीका तो वही है, जो साध्वी प्रज्ञा ने आजमाया। उन्होंने लोकसभा अध्यक्ष की तरफ से आए मैसेज पर संदेह किया और उसकी जांच-पड़ताल की, तो स्पूफिंग पकड़ी गई। इसी तरह यदि लोग इंटरनेट बैंकिंग करते समय सतर्क रहें तो नुकसान से बचा जा सकता है। मसलन ध्यान रखना चाहिए कि कोई भी बैंक अपने खाताधारकों से निजी गोपनीय जानकारी पूछने के लिए ईमेल नहीं भेजता। फिर भी यदि बैंक की ओर से सुरक्षा के विवरण यानी पिन, पासवर्ड, कार्ड वेरिफिकेशन वैल्यू (सीवीवी) नंबर या खाता नंबर की जानकारी पूछने वाला ईमेल आता है, तो उसे अनदेखा करना चाहिए और डिलीट कर देना चाहिए। इसी तरह कोई वेबसाइट असली है या फर्जी- इसकी जांच करनी चाहिए। इसका तरीका ब्राउजिंग करते समय वेबसाइट से संबंधित पैडलॉक आइकन की जांच करना है। माइक्रोसॉफ्ट इंटरनेट एक्सपलोरर में ब्राउजिंग विंडो के दायीं ओर सबसे नीचे जो लॉक आइकन दिखता है, वह पैडलॉक आइकन होता है। उस पर डबल क्लिक करने से वेबपेज का यूआरएल एड्रेस दिखने लगता है। अगर कोई वेबसाइट सुरक्षित है, तो उसके यूआरएल एड्रेस की शुरुआत में ‘http’अवश्य दिखाई देगा। ‘http’ इसकी गारंटी है कि वह वेब पेज सुरक्षित है।
-लेखक बेनेट यूनिवर्सिटी में एसोसिएट प्रोफेसर हैं।
