Sep 6, 2010

இணையத்தில் கடன்அட்டைத் திருட்டு – Phishing (Online Credit Card Fraud)

Credit Card பாவிக்கும் ஒவ்வொருவரும் அவசியம் தெரிந்துவைத்திருக்க வேண்டிய ஒரு அடிப்படை விடயம்
இலத்திரனியல் உலகில், இமாலயப் பிரச்சனையாக எழுந்துள்ள இந்த கடன் அட்டை குறித்த தரவுகளைத் திருடும் மாபாதகத் திருட்டு, தற்போது சர்வதேச குற்றப்புலனாய்வு துறையினருக்கே சவாலாக விளங்கும் ஒரு கிரிமினல் செயற்பாடாக உருவெடுத்திருக்கிறது.
Spoofing, Carding, Phishing, Phreaking என்று பல பெயர்களில் இந்த தகவல் திருட்டு அறியப்படுகிறது. fishing என்றால் தூண்டில் போட்டு, தூண்டிலைக் கவ்வும் மீன்களைப் பிடிப்பதைக் குறிக்கிறது, Phishing என்றால், அதே பாணியில், தூது அனுப்பி, அந்தத் தூதை உண்மையென்று நம்பும் மனிதர்களைப் பிடிப்பது என்று அர்த்தப்படுத்தப்படுகிறது. இந்தப் பெயர் உருவானதற்கும் இதுவே காரணமாக அமைகிறது.
இப்போது கொஞ்சம் உங்களுக்குப் புரிய ஆரம்பித்திருக்கலாம். வங்கிக் கடன்அட்டைகள் தற்போது பரவலாக மென்வலைச் சஞ்சாரத்தில் பாவிக்கப்படுவதால், அதையே தமக்கான ஒரு வாய்ப்பாக வைத்துக்கொண்டு, இந்த இரகசியத் திருட்டில் தினமும் பல ஆயிரம் திருடர்கள் முழுநேரத் தொழிலாய் இறங்கி நிறையவே சம்பாதிக்கிறார்கள்.
அப்படி என்னதான் நடக்கிறது?
நாங்கள் கொடுக்கும் இரகசியத் தகவல்களைப் பெறும் நிறுவனங்களான வங்கிகள், பணமாற்று நிறுவனங்கள், தனியார் நிதி நிறுவனங்கள், ஏனைய கடனட்டைகளை வழங்கும் வர்த்தக நிறுவனங்கள், மென்வலை வர்த்தக நிறுவனங்கள் போன்றன உட்பட அரசகரும விவகாரங்களுக்கான பலவித அமைச்சுக்கள், நிலையங்களுடன் நாம் பரிமாறும் பலவித தனிப்பட்ட தகவல்களை இவர்கள் திருடுகிறார்களா என்று நீங்கள் வியக்கலாம். ஆனால் உண்மை அதுவல்ல. நாம் இவர்களுக்கு வழங்கும் தகவல்கள், தகவல்களாகவே செல்லாமல், அவை திரிக்கப்பட்டு ‘encrypted’ வடிவில் செல்வதால், அந்தத் தகவல்களை யாரும் திருடுவது அத்தனை எளிதல்ல. அதனால், நாம் ‘ஒன்லைன்’ அதாவது மென்வலையூடாக பரிமாறும் தகவல்கள் உருவப்படுவது மிகவும் அபூர்வம்.
ஆனால், இப்படி இரகசியமாகப் பரிமாறப்படும் தகவல்களை, பரிமாறுபவர்களிடமிருந்து ஏமாற்றிப் பெற்றுக்கொள்ளுவதற்காக, மென்வலைத் திருடர்கள் உருவாக்கி வைத்திருக்கும் மாற்றுத் திட்டமே இந்த ‘phishing’ என்ற சதிவலைத் திட்டம்.
இதை இலகுவாக விளக்குவதற்காக நமக்குப் பரிட்சயமான உதாரணமொன்றை எடுத்துக் கொள்வோம்.
துரை என்பவர் ‘ஒன்லைன்’ வசதியைப் பாவித்து, மென்வலையூடாக தனது வங்கியில் தொடர்பை மேற்கொள்கிறார். முதற்தடவை துரை தனது கணக்கை ‘ஒன்லைன்’ல் ஆரம்பிக்கும்போது தனது பிரத்தியேக தகவல்கள் அனைத்தையும், வங்கிக் கடனட்டை இலக்கம், முடியும் காலம் போன்ற அனைத்தையும் ‘ஒன்லைன்’ பத்திரத்தில் நிரப்புகிறார். இவை அனைத்தும் தங்களுக்குக் கிடைத்து, எல்லாம் சரியாக இருப்பதாக அந்த வங்கியிலிருந்து, துரையின் ஈமெயில் முகவரிக்கு ஒரு பதிலும் வருகிறது. வங்கி அனுப்பிய பதிலைப் பார்த்து, துரை திருப்தியடைகிறார். அன்றிலிருந்து துரை தனது வங்கியுடன் அவ்வப்போது ‘ஒன்லைன்’ தொடர்பில், பணப்பரிமாற்றம் உட்பட, ஏனைய நிறுவனங்களுக்குப் பணம் செலுத்துவது மற்றும் இதர அனைத்து வங்கி முகாமைத்துவ அலுவல்களையும் மேற்கொள்கிறார்.
இந்த விடயங்களில் எந்தத் தவறும் இல்லை. எந்தப் பாதிப்பும் இதுவரை துரைக்கு ஏற்படவில்லை. துரை மேற்கொண்ட இந்த ‘ஒன்லைன்’ தொடர்புகளிலும், தகவல் பரிமாற்றத்திலும் ஆபத்து எதுவும் இல்லை. அனைத்தும் சரியாகவும் பாதுகாப்பாகவுமே செய்யப்பட்டுள்ளன.
எல்லாம் இலகுவாக வெற்றியாக பாதுகாப்பாக நடைபெறுவதையிட்டு துரை மகிழ்ச்சியுடன் இருக்கிறார். வழமைபோன்று துரை தனது ஈமெயில்களைப் பார்வையிடுகிறார். வங்கியிலிருந்து ஒரு ஈமெயில் வந்திருக்கிறது. ஏனைய ஈமெயில்களைப் போன்று இந்த ஈமெயிலையும் திறக்கிறார் துரை. வங்கியிலிருந்து வந்துள்ள இந்த ஈமெயிலில், நட்புடன் கூடிய ஒரு அவசர அழைப்பு. என்ன அது? நண்பர் துரை அவர்களே, தங்களது பிரத்தியேக தகவல்களை நாம் மீள உறுதி செய்துகொள்ள விரும்புகிறோம். இன்னும் 5 நாட்களுக்குள் தங்கள் தகவல்களை கீழுள்ள கட்டங்களில் நிறைத்து ஈமெயில் பண்ணவும். 5 நாட்களுக்குள் ஈமெயில் மூலம் பதில் தரத் தவறினால், தங்கள் ‘ஒன்லைன்’ வங்கிச்சேவை தற்காலிகமாக இடைநிறுத்தப்படும். இவ்வாறு அந்த ஈமெயிலில் கோரப்பட்டிருக்கும்.
மிக இலகுவாக ‘ஒன்லைன்’ சேவையைப் பாவித்துக்கொண்டிக்கும் துரைக்கு, இந்த இடைநிறுத்தம் பெரும் சிரமமான ஒன்றாக அமைந்துவிடலாம் என்பதால், துரை உடனடியாகவே அந்த ஈமெயில் மூலம் அனைத்து விபரங்களையும் பதில் ஈமெயிலாக அனுப்புகிறார். தற்காலிக இந்த இடைநிறுத்த அறிவிப்பை தனது திறமையால் உடனடியாக பதிலனுப்பி தவிர்த்துவிட்டதாக தன் மனைவியிடம் சொல்லி, கொலரைத் தூக்கிவிடுகிறார்.
ஆனால் பாவம் துரை. இங்கேதான் இந்த ‘phishing’ என்ற திருட்டு, எந்தப் பாவமும் செய்யாத துரையைப் பதம் பார்த்துவிட்டதை உணர மறந்துவிட்டார்.
நடந்தது என்ன?
வங்கி உண்மையில் அனுப்பும் அதே ஈமெயிலைப் பிரதிசெய்து, அவர்களது ‘லோகோ’, அவர்களது பெயர், அவர்களது முகவரி உட்பட, அப்படியே அவர்களது கடிதம் போன்று ஈமெயிலில் தயாரித்து, தங்களது இரகசிய ஈமெயில் ஊடாக பல ஆயிரம் பேருக்கு இந்த ஈமெயிலை அனுப்பி விடுகிறார்கள் திருடர்கள். தங்களது ஈமெயில் முகவரியை மறைத்து, வங்கி முகவரி போன்ற ஒரு முகமூடி முகவரியை உருமாற்றி, இந்த ஈமெயில் அனுப்பப்படுவதால், பெறுனர் இந்த ஈமெயில் யாரிடமிருந்து வந்தது என்பதைப் பார்க்க மறந்துவிடுகிறார்.
இப்போது துரை அனுப்பிய பதில், வேறு யாரிடமோ சென்றுவிடுகிறது. துரையின் தகவல் கிடைத்து, 3 நிமிடங்களுக்குள், துரையின் கடன்அட்டை பதம்பார்க்கப்படுகிறது. கடன் அட்டையில் பெறக்கூடிய ஆகக்கூடிய தொகை, பல ஆயிரம் மைல்களுக்கு அப்பாலுள்ள ஏதோ ஒரு சந்தையில் பாவிக்கப்பட்டு விடுகிறது.
யார் அதிகம் பாதிக்கப்படுகிறார்கள்?
யாரும் கோபிக்க வேண்டாம். இந்தத் திருட்டில் அதிகம் பாதிக்கப்படுபவர்கள், ஒன்றுமறியா அப்பாவிகளாக ‘நாமுண்டு நம்ம வேலையுண்டு’ என்று, காலாகாலத்தில் சரியானவற்றை மட்டும் செய்துவிட்டு, சிவனே என்று இருக்கும் நல்லவர்கள் தான் என்கிறது ஆய்வுகள்.
குறிப்பாக, ஈ-பே (e-bay), பே-பால் (Pay-pal), கனடியன் ரயர் (Canadian Tire), பே (Bay), சனக்கோ (Sunocco) போன்ற பல எரிபொருள் நிறுவனங்கள் மற்றும் இதுபோன்ற நிறுவனங்களுடன், ‘ஒன்லைன்’ தொடர்பு வைத்திருக்கும் அனைவரும், மிக அதிகமாக இவ்விடயத்தில் கவனமெடுக்க வேண்டும். எந்த நிறுவனத்திடமிருந்தும் தகவல் கேட்டு ஈமெயில் வந்தால், உடனே விபரங்களை பதிலாக அனுப்புவதை உடனே நிறுத்திக் கொள்வதுதான் இதிலிருந்து தப்பிக்க ஒரே வழி. வந்திருக்கும் ஈமெயில் உண்மையானதா இல்லையா என்று தெரியாமல், எப்படி அதை உதாசீனம் செய்வது என்று நீங்கள் கேட்பது ஒரு நியாயமான கேள்விதான். அப்படி நீங்கள் நினைக்குமளவிற்கு அந்த ஈமெயில் உண்மையானதாகப் பட்டால், மாற்றுவழியைப் பயன்படுத்துங்கள். இரண்டு மாற்றுவழிகள் உண்டு. ஒன்று, அந்த நிறுவனத்தின் உண்மையான ஈமெயில் முகவரியை அவர்களது இணையத்தளத்திலிருந்து பெற்று, அதற்கு நேரடியாக விபரங்களை அனுப்புங்கள். அவர்களுக்கு உங்கள் விபரம் தேவைப்படாவிட்டாலும், ஆபத்து எதுவும் இல்லை. இரண்டாவது, அந்த நிறுவனத்தை தொலைபேசியில் தொடர்புகொண்டு விபரத்தைக் கொடுங்கள்.
எந்தக் காரணத்தைக் கொண்டும், கடன்அட்டை பாவிக்கும் நிறுவனங்கள் எதிலிருந்தும் வருகின்ற ஈமெயில் தொடர்புகளுக்கு, விபரங்களுடன்கூடிய பதில் அனுப்பி விடாதீர்கள். கடலில் பல ஆயிரம் மீன்கள் உலாவுகின்றன. நாம் தூண்டில் போடுவது குறிப்பிட்ட ஒரு மீனுக்கு அல்ல, ஏதாவது அகப்படும் ஒன்றை சுண்டி இழுக்கலாம் என்றுதானே! இதே நிலைதான் இணையத்திலும். திருடர்கள் திருட்டு ஈமெயில் தூண்டில்களை ஆயிரமாயிரமாய் வீசிவிட்டு, அகப்பட்டுக்கொள்பவரை சுண்டி இழுப்பதற்காக ‘கண்ணில் எண்ணெய் விட்டபடி’ காத்துக்கொண்டிருக்கிறார்கள்.
இந்த திருட்டு குறித்த வரலாறு
1996ல், AOL எனப்படும் அமெரிக்கன் ஒன்லைன் ஈமெயில் மற்றும் இன்ரர்நெற் சேவையில், கட்டணமின்றி களவாக இணைந்துகொள்ள விரும்பிய சில திருட்டு இணையப் பாவனையாளர்கள், AOL பாவனையாளர்களுக்கு பொய்யான ஈமெயில்களை அனுப்பி, அவர்களது தகைமைச்சொல்லை (password) பெற்றுக்கொண்டு, இணையத்தில் இலவச திருட்டு உல்லாசமும் சல்லாபமும் நடாத்தினார்கள் திருடர்கள்.
இது நாளடைவில், தூதுபோகு செயலிகளிலும் (Messenger) உடன்தூதுபோகு செயலிகளிலும் (Instant Messenger) தொற்றிக்கொண்டு, தகைமைச்சொல்லை இலகுவாகப் பெற்று, தங்கள் கிரிமினல் செயல்களுக்கு பாவித்து வந்தனர். Verify your Password’ அதாவது ‘தகைமைச்சொல்லை மீண்டும் உறுதிசெய்யவும்’ என்று ஈமெயில் வந்ததும், நாம் எம்மையறியாமல் எமது தகைமைச்சொல்லை அதிலே இட்டு சொடுக்கிவிட, திருடர்கள் லாவகமாக அவற்றைப்பெற்று பாவித்துவந்தார்கள்.
தற்போது வங்கிக் கடன் அட்டைகளின் இலக்கங்களை மீள உறுதிசெய்யும்படி ஈமெயில் அனுப்புவது வழக்கத்தில் உள்ளது. ஒரு இணையத்தளத்தை அல்லது ஈமெயிலை, அதன் எச்.ரி.எம்.எல். (HTML) திகுப்பாளர் தரவைப் பயன்படுத்தி, இலகுவாக மீள்பிரதி செய்யலாம் என்பதால், அதை தங்களுக்கான சாதகமான வாய்ப்பாகப் பயன்படுத்தும் திருடர்கள், இலகுவாக பாவனையாளர்களை ஏமாற்றிவிட முடிகிறது.
பிந்திய கணிப்புகளின்படி, 2003 யூன் மாதத்திலிருந்து 2004 யூன் மாதம்வரை, 6,957 பேர், இத்தகைய கடனட்டை திருட்டில் சிக்கிக் கொண்டார்கள் என்றும், 2005 யூன் மாதம் வரை, 15,050 பேர் ஏமாற்றப்பட்டுள்ளார்கள் என்றும் கண்டறியப்பட்டுள்ளது. அதாவது வருடாவருடம் கிட்டத்தட்ட மூன்றுமடங்காக இந்த திருடர்களிடம் ஏமாறுவோர் தொகை அதிகரிப்பதாக புள்ளிவிபரங்கள் காட்டுகின்றன.
இந்தத் திருடர்களைப் பிடிக்க என்ன வழி?
இந்தத் திருட்டைச் செய்யும் ஒரு தனிநபர், கிட்டத்தட்ட பல இலட்சம் பாவனையாளர்களுக்கு இந்த ஈமெயிலை அனுப்புகிறார். இவர் அனுப்பும் பல இலட்சம் ஈமெயில்களில், சில பாவனையாளர்களாவது இதனை நம்பி, கடனட்டை விபரங்கள் அல்லது பாஸ்வேர்ட் (தகைமைச்சொல் அல்லது கடவுச்சொல்) போன்ற முக்கிய தகவல்களை அனுப்பி வைக்கிறார்கள். இவற்றை சேகரிக்கும் இந்நபர், ஒரு கடனட்டை இலக்கத்திற்கு கிட்டத்தட்ட 2 டொலர் என்ற அடிப்படையில், 5 ஆயிரத்திலிருந்து 10 ஆயிரம் கடனட்டை தகவல்களை ஒரு நேரத்தில் இன்னுமொருவருக்கு விற்று விடுகிறார். 2 டொலர் கொடுத்து, இந்த கடனட்டை விபரங்களை வாங்குபவர், அதே நாட்டைச் சேர்ந்தவராக இருக்கவேண்டுமென்ற நியதியெதுவும் இல்லை.
அண்மையில் ஆராய்ந்து கண்டுபிடித்த தகவல்களின்படி, இப்படி கடனட்டை விபரங்களை தொகையாகப் பெறுபவர்கள், அதிகம் உக்ரெய்ன், பிரேசில், கியூபா, போலந்து போன்ற பல்வேறு நாடுகளிலும் தங்கள் தற்காலிக தளங்களை வைத்துள்ள சர்வதேச திருடர்கள் என்று தெரியவந்துள்ளது.
சென்ற வருடம் உண்மையில் பொலிசாரால் கண்டுபிடிக்கப்பட்ட தகவலொன்றை உதாரணத்திற்கு இங்கே தருகிறேன்:
அமெரிக்காவில் தனது கடனட்டையில் ஆயிரம் டொலர்கள் எடுக்கப்பட்டதை அவதானித்த ஒரு பெண்மணி, அந்தப் பணம் எடுக்கப்பட்ட நிறுவனத்தின் விபரங்களை தானே தேடி ஆராய்ந்து கண்டறிந்து, அந்நிறுவனத்தை அழைத்துள்ளார். அப்படி அழைத்தபோது, மறுபக்கத்தில் பதிலளித்தவர் வேறு ஒரு மாநிலத்தில் வாழ்பவர். அவரிடம் இந்த ஆயிரம் டொலர் பணப்பரிமாற்றம் (transaction) பற்றி இந்தப் பெண்மணி விசாரித்தார். கிடைத்த தகவலில் அதிர்ந்துபோனாள் அந்தப் பெண்மணி. இந்தத் தகவலைக் கேட்ட பொலிசார், உறைந்து போனார்கள்.
காரணம், உக்ரெய்ன் நிறுவனமொன்று, இந்த நபரை ஒரு நிரந்தர ஊதியத்திற்கு வேலைக்கு அமர்த்தியிருந்தது. தினமும் அவருக்கு சில கிரடிட் கார்ட் (கடனட்டை) இலக்கங்களும், சில நிறுவனத்தின் புதிய பொருட்கள் பட்டியலும் ஈமெயிலில் வரும். பட்டியலிலுள்ள பொருட்களை, தரப்பட்ட கிரடிட் கார்ட் மற்றும் காலவதியாகும் திகதி போன்றவற்றைப் பாவித்து, ‘ஒன்லைனில்’ வாங்க வேண்டும். இவர் தினமும் இந்த ‘ஒன்லைன்’ வியாபாரத்தில் ஈடுபடுவதற்கு இவருக்கு முழுநேர ஊதியம். ஆனால், இவர் வாங்கும் பொருட்கள் சென்றடையும் இடம் எங்கே என்பது இவருக்குத் தெரியவில்லை. பல நாட்டு முகவரிகளும் வரும்போது, அங்கங்கே அந்தப் பொருட்களை அனுப்பிவிட வேண்டும்.
இதிலே அதிர்ச்சிதரும் தகவல் என்னவென்றால், இந்த நபருக்கு கடனட்டை விபரங்களை அனுப்புவதற்காக, இன்னும் சிலர் ஆங்காங்கே முழுநேர வேலைக்கு அமர்த்தப்பட்டிருந்தார்கள் என்பது தான். நான் மேலே சொன்ன விபரத்தின்படி, துரை என்பவர் ஈமெயிலில் அனுப்பிய தகவல்கள், முதலில் ஒருவரிடம் சென்று, அங்கே எவ்வளவு பணம் இருப்பில் உள்ளது என்பது உறுதிசெய்யப்பட்டு, பின்னர் இந்த நபருக்கு அனுப்பப்படுகிறது.
இவ்வாறு அனுப்பப்படும் கடனட்டை விபரத்தைப் பயன்படுத்தி, என்ன பொருளை வாங்குவது என்பது மட்டும் உக்ரெய்னிலிருந்து இந்நபருக்கு தினமும் வந்தது. ஆராய்ந்து பார்த்ததில், உக்ரெய்னில் பாரிய ஒரு வர்த்தக மையமே இந்த சர்வதேச சதிவேலையில் ஈடுபட்டிருந்தமை கண்டுபிடிக்கப்பட்டது.
துரதிஷ்டவசமாக, இதில் ஈடுபட்ட இடைத்தரகர்களாக ‘ஒன்லைன்’ வியாபாரத்தில் சொடுக்கி (click) உதவிய பலருக்கும் இது ஒரு திருட்டு வியாபாரம் என்பதே தெரிந்திருக்கவில்லை.
ஒரு நிறுவனத்தின் வியாபார நாளாந்த செயற்பாடுகளுக்கு, வீட்டிலிருந்தே பணியாற்றுவதாக இவர்கள் நினைத்திருக்கிறார்கள். ஆனால் உண்மையில் இவர்களை அறியாமல் ஒரு சர்வதேச சதிவலையில் இவர்கள் மாட்டிக்கொண்டு, பாரிய கிரிமினல் குற்றத்தைப் புரிந்திருக்கிறார்கள்.
இதன் தார்ப்பரியம் என்னவென்றால், ஒரு கிரடிட் கார்ட் இலக்கத்தை தலா 2 டொலர் கொடுத்து வாங்கிய இந்நிறுவனம், ஒவ்வொரு கார்ட்டிலும் குறைந்தது 1000 டொலர்களுக்கு கொள்வனவு செய்துள்ளது. அதாவது 10,000 டொலர் கொடுத்து, 5,000 கார்ட் தகவலைப் பெற்ற இந்த நிறுவனம், அதற்குச் சன்மானமாக, 5 கோடி டொலர்களை சம்பாதித்துள்ளது. 5,000 x 1,000 = 5,000,000.00
இப்படி தொடர்ச்சியாக நடந்த திருட்டில், பல பில்லியன் டொலர்கள் தூண்டில் போட்டு இழுக்கப்பட்டுள்ளமை ஊர்ஜிதம் செய்யப்பட்டுள்ளது. ஆனாலும், இந்தத் தூண்டிலில் அகப்பட்ட மீன்கள், பாவம், தங்கள் பணத்தை மீளப்பெறமுடியாமல் போனது. காரணம், திருடர்கள் சர்வதேசத் திருடர்களாக, வேற்றுநாட்டுத் திருடர்களாக இருந்தார்கள்.
ஆக, இணையத்தில் அல்லது ஈமெயிலில், உங்களது கடனட்டை விபரங்கள், தனிப்பட்ட SIN கார்ட் மற்றும் ஏனைய பிரத்தியேக தகவல்கள், கடவுச்சொற்கள் போன்றவற்றை எக்காரணம் கொண்டும் வழங்காதீர்கள். அப்படி வழங்கும்படி கோரப்பட்டால், கோரிய நிறுவனத்தை அழைத்து அல்லது ஒரு சிறிய ஈமெயில் தகவல் அனுப்பி, அவர்கள் கோரிய விபரம் உண்மையா என்பதை உறுதி செய்யுங்கள்.
உலகில் இன்னும் பல ஆயிரம் திருட்டுத் தொழில்கள், பல சுவையான கவர்ச்சியான வகைகளில் நடக்கிறது. நம் பாதுகாப்பை உறுதிசெய்வது நாமாகவே இருக்கட்டும்.
Precaution is always better than cure!
பிந்திய ஞானத்தைவிட, முன்னெச்சரிக்கை எப்போதும் சிறந்தது!!
அழிவதூஉம் ஆவதூஉம் ஆகி வழிபயக்கும்
ஊதியமுஞ் சூழ்ந்து செயல் (திருவள்ளுவர்)
எந்த அளவுக்கு நன்மை கிடைக்கும் அல்லது தீமை ஏற்படும் என்று விளைவுகளைக் கணக்குப் பார்த்த பிறதே ஒரு செயலில் இறங்க வேண்டும் (கலைஞர் உரை)

0 கருத்துக்கள்:

Post a Comment