’تمھیں دوبارہ کام کرنے کی ضرورت نہیں پڑے گی:‘ جب بی بی سی کو ہیک کروانے کے لیے رپورٹر کو بھاری رشوت کی پیشکش ہوئی

BBCسائبر نامہ نگار جو ٹڈی کو سائبر گینگ نے بی بی سی کو ہیک کرنے میں مدد کرنے کے لیے ڈیل کی پیشکش کی تھی

سائبر کرائم کی دنیا میں انسائیڈر تھریٹ یعنی اندرونی خطرے کا تجربہ شاید بہت کم لوگوں کو ہوا ہو اور شاید بہت کم لوگ اس حوالے سے بات کرنا چاہتے ہوں۔

لیکن مجھے ایسے ہی ایک منفرد اور پریشان کن تجربے کا سامنا کرنا پڑا کہ کس طرح ہیکرز اداروں کے اندر موجود افراد کو لالچ دے کر اپنا مقصد حاصل کرنا چاہتے ہیں۔ حال ہی میں مجھ سے بھی ایک جرائم پیشہ گینگ نے رابطہ کیا۔

مجھے پیشکش کی گئی کہ اگر آپ اپنے پرسنل کمپیوٹر تک رسائی دے دیں تو تاوان کی مد میں ملنے والی رقم میں سے 15 فیصد مجھے مل سکتے ہیں۔

یہ پیغام مجھے جولائی میں ’سینڈیکیٹ‘ نامی شخص کی جانب سے موصول ہوا جس نے میرے ساتھ ایک انکرپٹڈ چیٹ ایپ ’سگنل‘ کے ذریعے رابطہ کیا۔

(خیال رہے یہاں انکرپٹڈسے مراد یہ ہے کہ کوئی ایسی چیز (مثال کے طور پر میسج، فائل یا ڈیٹا) کو ایسے کوڈ یا خفیہ شکل میں بدل دینا کہ عام آدمی یا سسٹم اسے نہ پڑھ سکے۔ صرف وہی شخص یا سسٹم اسے پڑھ سکتا ہے جس کے پاس اس کا پاس ورڈ ہو۔)

مجھے معلوم نہیں تھا کہ یہ شخص کون ہے، لیکن مجھے اندازہ ہو گیا تھا کہ یہ جرائم پیشہ سائبر گینگ میرے لیپ ٹاپکے ذریعے بی بی سی کے سسٹمز تک رسائی حاصل کرنا چاہتا ہے اور اس کے عوض مجھے بھاری رشوت کی پیشکش کی جا رہی ہے۔

مجھے اندازہ تھا کہ یہ لوگ میرے لیپ ٹاپ کے ذریعے ڈیٹا چرا کر یا کوئی مشکوک سافٹ ویئر انسٹال کر کے میرے آجر سے بھاری تاوان طلب کریں گے اور مجھے خفیہ طور پر اس میں سے ایک حصہ دیا جائے گا۔ میں نے اس سے متعلق کئی کہانیاں سن رکھی تھیں۔

دراصل مجھے یہ پیغام ملنے سے چند دن قبل برازیل سے یہ خبر آئی تھی کہ وہاں اپنی لاگ ان تفصیلات کسی کو فراہم کرنے کے الزام میں آئی ٹی ورکر کو گرفتار کیا گیا۔ پولیسکے مطابق اس کے ذریعے ایک بینک کو 10 کروڑ ڈالر نقصان ہوا تھا۔

میں نے اپنے سینئر بی بی سی ایڈیٹر سے مشورے کے بعد’سینڈیکیٹ‘ کے ساتھ بات چیت جاری رکھنے کا فیصلہ کیا۔ میں یہ جاننا چاہتا تھا کہ جرائم پیشہ افراد کیسے کمپنی میں موجود افراد کو ساتھ ملا کر اپنے مقاصد حاصل کرتے ہیں۔ خاص طور پر جب دنیا بھر میں سائبر حملے کمپنیوں کو نشانہ بنا رہے ہیں اور روزمرہ کی زندگی کو متاثر کر رہے ہیں۔

میں نے ’سن‘ جس نے گفتگو کے درمیان اپنا نام تبدیل کر لیا کہا کہ میں اس معاملے میں دلچسپی رکھتا ہوں۔ لیکن میں یہ جاننا چاہتا ہوں کہ یہ سب کیسے ہوتا ہے۔

وہ ہیکرز جو لاکھوں کما رہے ہیں۔۔۔ وہ بھی قانونی طور پرشمالی کوریا کے ہیکرز نے تاریخ کی سب سے بڑی کرپٹو چوری کیسے یقینی بنائی؟13 سال کی عمر سے لوگوں کو آن لائن بلیک میل کرنے والا لڑکا جو یورپ کا سب سے مطلوب ہیکر بناہم سب کی جیب میں ایک جاسوس ہے؟

’سن‘ نے مجھے بتایا کہ اگر آپ ہمیں اپنی لاگ ان تفصیلات اور سکیورٹی کوڈ دے دیں گے تو ہم بی بی سی کو ہیک کر لیں گے اور پھر کارپوریشن سے بٹ کوائن کی مد میں بھاری تاوان طلب کریں گے اور اس میں سے کچھ حصہ آپ کو دیا جائے گا۔

پہلے اُنھوں نے مجھے 15 فیصد حصہ دینے کا کہا، پھر یہ بڑھا کر 25 فیصد کرنے کا لالچ دیا۔

اُن کا کہنا تھا کہ ہم نہیں جانتے کہ بی بی سی آپ کو کتنی تنخواہ دیتا ہے۔ لیکن اگر آپ ہمارے ساتھ تعاون کریں اور بی بی سی اپنی آمدنی میں سے ایک فیصد بھی ہمیں دے تو پھر آپ کو دوبارہ کام کرنے کی ضرورت نہیں پڑے گی۔

’سن‘ کا کہنا تھا کہ اگر وہ کامیابی کے ساتھ بی بی سی کو ہیک کر لیتے ہیں تو وہ لاکھوں پاؤنڈ کا مطالبہ کریں گے۔

بی بی سی نے عوامی طور پر اس بارے میں کوئی مؤقف اختیار نہیں کیا کہ آیا وہ ایسی صورت میں ہیکرز کو ادائیگی کرے گا یا نہیں لیکن قانون نافذ کرنے والے اداروں کا مشورہ ہے کہ وہ ادائیگی نہ کریں۔

BBCسگنل ایپ پر ہیکرز کے ساتھ ہونے والی گفتگو کا سکرین شاٹ۔

’سن‘ نے مجھے کہا کہ میرے حصے میں لاکھوں ڈالرز آ سکتے ہیں۔ وہ یہ چیٹ بھی ڈیلیٹ کر دیں گے اور کسی کو ہماری بات چیت کا پتا بھی نہیں چلے گا۔

ہیکر نے یہ بھی دعوی کیا کہ اس طرح کے معاملے میں وہ ماضی میں بہت سی کامیابیاں حاصل کر چکے ہیں۔

ہیکر نے اس حوالے سے ایک برطانوی ہیلتھ کیئر کمپنی اور ایک امریکی ایمرجنسی سروس پروائیڈر کمپنی کا حوالہ دیا، جنھیں اُن کے بقول اُنھوں نے کامیابی سے ہیک کیا اور پھر ان کے ساتھ ڈیل کی۔

’سن‘نے کہا کہ آپ یہ سن کر حیران رہ جائیں گے کہ کمپنیوں کے اندر کتنے افراد نے ہمارے ساتھ تعاون کیا اور ہمیں اندر کی معلومات دیں۔

سن کا کہنا تھا کہ وہ سائبر کرائم گروپ ’میڈوسا‘ کے لیے ’ریچ آؤٹ مینیجر‘ کے طور پر کام کرتے ہیں۔ اُن کا کہنا تھا کہ وہ مغربی ملکوں میں سے ایک سے تعلق رکھتے ہیں اور گینگ میں واحد انگریزی بولنے والے فرد ہیں۔

مجرمانہ سرگرمیوں میں ملوث کوئی بھی پلیٹ فارم میڈوسا سے منسلک ہو کر اسے مختلف اداروں کو ہیک کرنے کے لیے استعمال کر سکتا ہے۔

BBCمیڈوسا گینگ کی ڈارک نیٹ ویب سائٹ پر درجنوں متاثرین درج ہیں’ہم آپ سے ڈیل کرنے کے لیے سنجیدہ ہیں‘

سائبر سکیورٹی فرم ’چیک پوائنٹ‘ کی ریسرچ رپورٹ کے مطابق ’میڈوسا‘ کے منتظمین روس یا اس کی اتحادی ریاستوںمیں بیٹھ کر کام کرتے ہیں۔

رپورٹ کے مطابق یہ گروپ روس میں موجود اداروں اور دولت مشترکہ میں شامل ملکوں کو نشانہ نہیں بناتا۔

سن نے مجھے فخریہ طور پر امریکی حکام کی جانب سے ’میڈوسا‘ سے متعلق عوامی وارننگ کا لنک بھیجا جسے مارچ میں جاری کیا گیا تھا۔ امریکی حکام کے مطابق میڈوسا چار سال سے متحرک ہے اور ان کے متاثرین کی تعداد 300 کے قریب ہے۔

سن کا کہنا تھا کہ وہ میرے ساتھ ڈیل کرنے کے لیے سنجیدہ ہیں۔ میں نے کہا مجھے نہیں معلوم آپ کون ہیں، ہو سکتا ہے کہ آپ مجھے پھنسانے کی کوشش کر رہے ہوں۔ اس پر اُنھوں نے مجھے ’میڈوسا‘ کے ڈارک نیٹ ایڈریس کا لنک بھیجا اور سائبر کرمنلز کی پسندیدہ میسیجنگ ایپ ’ٹاکس‘ کے ذریعے رابطے میں آنے کی پیشکش کی۔

سن بہت جلد بازی کا مظاہرہ کر رہے تھے اور مجھ پر بار بار دباؤ ڈال رہے تھے کہ میں جلدی انھیں جواب دوں۔

اُنھوں نے مجھے ’میڈوسا‘ کے ریکروٹمنٹ پیج کا لنک بھیجا اور مجھے فوری طور پر آدھا بٹ کوائن یعنی تقریباً 55 ہزار ڈالرز ادا کرنے کا لالچ دیا۔ یہ ایک طرح سے ضمانت تھی کہ وہ مجھے لاگ ان تفصیلات فراہم کرنے کے عوض شروعات میں ہی اتنی رقم دے رہے ہیں۔

سن کا کہنا تھا کہ ’ہم کوئی مذاق نہیں کر رہے۔۔ ہمارا مقصد پیسہ کمانا ہے، میرے ایک مینیجر نے مجھے آپ سے رابطہ کرنے کا کہا ہے۔‘

اُنھوں نے بظاہر میرا انتخاب اس لیے کیا کہ کیونکہ اُن کا خیال تھا کہ میں تکنیکی چیزوں کو سمجھتا ہوں اور میرے پاس بی بی سی کے آئی سسٹمز تک رسائی ہے۔

میں یہ وثوق سے نہیں کہہ سکتا کہ سن جانتے تھے کہ نہیں کہ میں بی بی سی کا سائبر رپورٹر ہوں اور میرا تعلق سکیورٹی یا آئی ڈپارٹمنٹ سے نہیں ہے۔

BBCجرائم پیشہ افراد نے بی بی سی کے ملازم کو آدھا بٹ کوائن تقریباً 55 ہزار ڈالرز ضمانت کے طور پر دینے کی پیشکش کی’کیا تم نہیں چاہتے کہ بہاماس کے ساحلوں پر عیش کرو‘

اُنھوں نے مجھ سے بی بی سی اور اس کے آئی ٹی نیٹ ورک سے متعلق کئی سوالات پوچھے جس کا ظاہر ہے میں نے کوئی جواب نہیں دینا تھا، چاہے مجھے اس کا پتا بھی ہوتا۔

اُنھوں نے مجھے ایک پیچیدہ قسم کا کمپیوٹر کوڈ بھیجا اور کہا کہ میں اسے بطور کمانڈ اپنے لیپ ٹاپ میں لکھوں اور پھر اس پر ان سے رابطہ کروں۔ وہ چاہتے تھے کہ وہ آئی ٹی سسٹم میں مداخلت کر لیں اور اس کے بعد مجھے سے اگلے مرحلے کے بارے میں بات کریں۔

اب مجھے سن سے بات کرتے ہوئے تین روز گزر چکے تھے اور مجھے یہ احساس ہو رہا تھا کہ سن اب اُکتا سکتا ہے۔ میں نے بی بی سی کے انفارمیشن سکیورٹی ایکسپرٹ سے اس معاملے پر مزید مشورےکے لیے رابطہ کیا۔

BBC

یہ اتوار کی صبح تھی جب میں نے یہ منصوبہ بنایا کہ میں اپنی ٹیم سے بات کروں، لیکن اس سے پہلے ہی سن غصہ ہونے لگا اور مجھ سے کہا کہ ’آپ یہ کام کب کر سکتے ہیں۔۔ میں زیادہ صبر والا شخص نہیں ہوں۔‘

سن نے کہا کہ تم نہیں چاہتے کہ تم بہاماس کے ساحل پر رہو اور عیش کرو۔ پھر اس نے مجھے منگل کی شب تک کا وقت دیا۔ ظاہر ہے کہ اُن کے صبر کا پیمانہ لبریز ہو رہا تھا۔

اچانک میرے فون پر ٹو فیکٹر تصدیق کے لیے نوٹیفکیشن نمودار ہوا۔ یہ نوٹیفکیشن بی بی سی کی سکیورٹی لاگ ان ایپس کی طرف سے تھا جس کا مقصد یہ جاننا تھا کہ کہ کیا میں ہی اپنے بی بی سی اکاؤنٹ تک رسائی حاصل کر رہا ہوں۔

’ایسا لگ رہا تھا جیسے ہیکرز میرے گھر کے دروازے پر دستک دے رے ہیں‘

میں نے اپنا فون اپنے ہاتھ میں پکڑ رکھا تھا کہ ہر ایک منٹ کے بعد لگاتار یہ پیغام نمودار ہو رہا تھا۔ مجھے اندازہ ہو رہا تھا کہ یہ کیا ہو رہا ہے۔ یہ ہیکرز کی تیکنیک ہے جسے ایم ایف اے بامبنگ کہا جاتا ہے۔

ہیکرز اس کے ذریعے متاثرہ شخص کو بار بار ایسے پیغامات بھیجتے ہیں اور اس کے ذریعے کسی دوسری ڈیوائس سے مذکورہ شخص کے اکاؤنٹ میں مداخلت کی کوشش کرتے ہیں۔

آخر کار متاثرہ شخص گھبرا کر یا غلطی سے اوکے کر دیتا ہے، تاکہ یہ پیغامات بار بار نہ آئیں۔ یہ طریقہ سنہ 2022 میں اوبر کو ہیک کرنے کے لیے استعمال کیا گیا تھا۔

یہ میرے لیے پریشان کن تھا، ایسا لگ رہا تھا کہ ہیکرز جارحانہ انداز میں میرے گھر کے دروازے پر دستک دے رہے ہیں۔

اگر میں ہیکرز کی جانب سے آزمائے گئے اس طریقے کو قبول کر لیتا تو اس سے ہیکرز کو میرے بی بی سی اکاؤنٹس تک فوری رسائی مل جاتی۔ سکیورٹی سسٹم نے بھی اس پر کوئی وارننگ نہیں دی، کیونکہ معمول کے مطابق اُنھیں لگا ہو گا کہ میں کسی اور ڈیوائس سے لاگ ان کی کوشش کر رہا ہوں۔

ایک رپورٹر کے طور پر میرےپاس بی بی سی کے بڑے سسٹمز تک رسائی نہیں تھی، لیکن میرے لیے یہ پریشان کن تھا کیونکہ عملاًمیرا فون استعمال کے قابل نہیں رہا تھا، کیونکہ یہ پیغامات بار بار میری سکرین پر نمودار ہو رہے تھے۔

سن نے ایک بار پھر مجھے کہا کہ یہ ڈیل اب بھی ہو سکتی ہے، لیکن میری جانبسے کوئی جواب نہ ملنے پر اُس نے اپنا سگنل اکاؤنٹ ختم کر دیا اور پھر دوبارہ میرے ساتھ کوئی رابطہ نہیں کیا۔

میرے بی بی سی اکاؤنٹ میں اضافی سکیورٹی فیچرز کے ساتھ میرا اکاؤنٹ دوبارہ بحال کر دیا گیا۔ لیکن سائبر مجرموں کے ہتھکنڈوں کے بارے میں نے سن رکھا، تھا اور جب یہ خود میرے ساتھ ہوا تو مجھے اندازہ ہوا کہ یہ کتنا خطرناک ہے اور دنیا کے مختلف اداروں کے لیے کتنے خطرے کا باعث بن رہا ہے۔

’ڈیجیٹل ڈکیت‘: جب نوجوان ہیکروں نے بڑی ٹیک کمپنیوں کو ناکوں چنے چبوا دیے وہ ہیکرز جو لاکھوں کما رہے ہیں۔۔۔ وہ بھی قانونی طور پرآن لائن فراڈ کا اگلا نشانہ کہیں آپ تو نہیں!شمالی کوریا کے ہیکرز نے تاریخ کی سب سے بڑی کرپٹو چوری کیسے یقینی بنائی؟13 سال کی عمر سے لوگوں کو آن لائن بلیک میل کرنے والا لڑکا جو یورپ کا سب سے مطلوب ہیکر بنا16 سالہ برطانوی نوجوان ہیکنگ کی مدد سے کیسے کروڑ پتی بن گیا؟