Ctrl-Alt-Deceit: अंजा शॉर्टलैंड अपराध, रैंसमवेयर और आप पर चर्चा करती है

इसकी शुरुआत समुद्री डाकुओं से हुई।

“मुझे हमेशा से लोगों में दिलचस्पी रही है। लोगों को क्या चीज़ प्रभावित करती है? लोग कैसे संगठित होते हैं? क्या चीज़ लोगों के सपनों को चकनाचूर कर देती है और वे समाज में कैसे वापस आते हैं?” 53 वर्षीय अंजा शॉर्टलैंड कहती हैं।

किंग्स कॉलेज, लंदन में राजनीतिक अर्थव्यवस्था के प्रोफेसर, जर्मनी में पैदा हुए, ऑक्सफोर्ड विश्वविद्यालय में इंजीनियरिंग और अर्थशास्त्र का अध्ययन किया, लंदन स्कूल ऑफ इकोनॉमिक्स से अंतरराष्ट्रीय संबंधों में पीएचडी की उपाधि प्राप्त की, और अपराध नेटवर्क के अर्थशास्त्र और यांत्रिकी का अध्ययन करके अपना करियर बनाया: सिंडिकेट जो लोगों को बंधक बनाते हैं, ललित कला चुराते हैं, रैंसमवेयर के साथ सिस्टम में हैक करते हैं।

46 साल की उम्र में, उन्होंने अपनी पहली किताब किडनैप: इनसाइड द रैनसम बिजनेस (2019) लिखी; इसके बाद लॉस्ट आर्ट: द आर्ट लॉस रजिस्टर केसबुक (2021) आया।

नवीनतम जिसे वह “जबरन वसूली अपराध पर अपवित्र त्रिमूर्ति” कहती है, वह है वी नो यू कैन पे अ मिलियन: इनसाइड द डार्क इकोनॉमी ऑफ हैकिंग एंड रैनसमवेयर (यूएस में डार्क स्क्रीन के रूप में जारी)। 9 अप्रैल को रिलीज़ होने वाली, यह बड़े कॉर्पोरेट सेट-अप की खोज करती है जो रैंसमवेयर उद्योग के आसपास विकसित हुए हैं।

इस क्षेत्र में उनका शोध 2010 में शुरू हुआ। वह हंसते हुए कहती हैं, ”मैं एक चार साल के लड़के की मां थी, जिसे वास्तव में समुद्री डाकुओं में दिलचस्पी थी।” इससे उसका दिमाग सवालों से भर गया: जहाजों के लिए फिरौती की दरें कैसे निर्धारित की जाती हैं; ये व्यवसाय कैसे चलते हैं; किसी जहाज़ की कमान संभालने का आत्मविश्वास कहाँ से आता है?

फिरौती का भुगतान कैसे किया जाता है, इसका पता लगाते हुए, शॉर्टलैंड ने ऐसे अपराध और बीमा के बीच परस्पर क्रिया का पता लगाना शुरू किया, और पाया कि उदाहरण के लिए, लंदन के लॉयड के पास अब “बंधक वार्ताकारों, सुरक्षा सलाहकारों और ऐसे लेनदेन के आसपास गतिविधि का एक पूरा समूह है।” गृह युद्धों, संघर्ष की गतिशीलता और शांति लाभांश के अपने मूल फोकस क्षेत्र से इतनी दूर जाने के बाद, उसने और अधिक खोजबीन करना शुरू कर दिया।

उन्हें पता चला कि पूरी कंपनियों को बंधक बनाने वाले गिरोहों के पास अब कॉर्पोरेट सेट-अप, कॉल सेंटर और हेल्पलाइन, वेतनभोगी कर्मचारी और यहां तक ​​कि मानव संसाधन विभाग भी हैं। यह अजीब दुनिया वास्तव में कैसे काम करती है? खतरे कितने गहरे हैं? एक साक्षात्कार के अंश.

* आपके पास रैंसमवेयर की वास्तविक लागत के बारे में एक दिलचस्प सादृश्य है…

सबसे आश्चर्यजनक पहलू अपराधियों द्वारा एकत्र की गई राशि की तुलना में रैंसमवेयर द्वारा बरपाए गए कहर की मात्रा है। 2025 में रैंसमवेयर गिरोहों द्वारा 900 मिलियन डॉलर के लाभ के लिए, वैश्विक व्यापार की लागत 74 बिलियन डॉलर आंकी गई थी। यह एक जोड़ी धूप का चश्मा चुराने के लिए कार को कुचलने जैसा है!

* आप हमें इस बारे में क्या बता सकते हैं कि फिरौती दरें कैसे निर्धारित की जाती हैं?

एक बार जब किसी गिरोह की पहुंच किसी व्यक्ति के कंप्यूटर या संगठन के सिस्टम तक हो जाती है, तो वह यह पता लगा सकता है कि वह व्यक्ति या कंपनी कहां खड़ी है। उन्हें किसी का बीमा प्रमाणपत्र भी मिल सकता है; वे आपके टर्नओवर को जानते हैं, और वास्तव में आपका नकद आरक्षित कितना है।

हाल ही में यूके में, जगुआर लैंड रोवर प्रणाली पर हमला किया गया और उत्पादन कई हफ्तों तक बाधित हो गया। मार्क्स एंड स्पेंसर, पिछले साल एक बिंदु पर, मूल रूप से दुकानों में क्या होना चाहिए, उन्हें क्या ऑर्डर करना चाहिए, क्या बेचा गया था, इस मामले में आंखें मूंदे हुए थे। (दोनों मामलों में, कंपनियों ने पुष्टि नहीं की कि क्या उन्होंने अंततः फिरौती का भुगतान किया है।)

हमारे महत्वपूर्ण बुनियादी ढांचे को निशाना बनाया जा सकता है। हमने अपनी संचार प्रणालियों में जो कमज़ोरियाँ पैदा की हैं, वे हमारे ख़िलाफ़ हैं। मैंने किताब इसलिए लिखी क्योंकि मुझे लगता है कि लोग पूरी तरह से पूर्वानुमानित आपदा के बारे में कुछ ज्यादा ही निंदनीय हैं।

* आप लिखते हैं कि बड़े हमले सोशल इंजीनियरिंग का उपयोग करके तैयार किए जाते हैं। इसका क्या मतलब है?

सोशल इंजीनियरिंग में सीधे कंप्यूटर सिस्टम को हैक करने के बजाय अपने कर्मचारियों के माध्यम से कंपनियों पर हमला करना शामिल है। उदाहरण के लिए, अपराधी किसी को ईमेल का अटैचमेंट खोलने, किसी असुरक्षित लिंक पर क्लिक करने या पासवर्ड बताने के लिए प्रेरित कर सकते हैं।

कभी-कभी हैकर्स फोन पर आते हैं और खुद को कंपनी का कर्मचारी बताते हैं; मान लीजिए, एक इंजीनियर या प्रबंधक जो कार्यालय से बाहर है और उसे किसी विशेष फ़ाइल या सेवा तक पहुंच की आवश्यकता है। कभी-कभी किसी कर्मचारी को ब्लैकमेल किया जा सकता है, या साजिश में भी शामिल किया जा सकता है।

सोशल इंजीनियरिंग अक्सर लोगों के सर्वोत्तम गुणों का शिकार करती है: कॉलेजियलिटी, जिज्ञासा, मित्रता। लेकिन वे अपने लालच, ईर्ष्या या बोरियत पर भी उतने ही सफल होते हैं।

* यह सिर्फ पैसे के बारे में नहीं है, है ना?

यदि कोई रैंसमवेयर समूह जानबूझकर किसी देश को निशाना बनाता है तो क्या होगा? 2022 में कोस्टा रिका हमले को लें। (रूस समर्थक कोंटी समूह ने हमलों के पहले समूह का दावा किया और वित्त मंत्रालय से चुराई गई जानकारी को जारी न करने के बदले में 10 मिलियन डॉलर की फिरौती की मांग की)।

लोगों के जीवन पर भारी असर पड़ा. व्यापारियों को निर्यात और आयात लाइसेंस नहीं मिल पा रहे थे, लोगों को वेतन नहीं मिल रहा था।

इससे पहले, 2021 में, सुरक्षा प्रबंधन कंपनी कासिया पर रेविल समूह द्वारा हमला किया गया था, जिससे 1,000 से अधिक कंपनियां प्रभावित हुईं और आईटी सुरक्षा की कमजोर स्थिति उजागर हुई।

क्या हम सुरक्षा चाहते हैं या थोड़ी और सुविधा? यहाँ सही रुख क्या है? मैं चाहता हूं कि लोग समझौते के बारे में सोचें।

* ये हमले काफी तेजी से विकसित हुए हैं.

रैनसमवेयर वास्तव में 2013 तक संभव नहीं था, क्योंकि जब तक इंटरनेट पर्याप्त व्यापक नहीं हो गया, तब तक लोगों के कंप्यूटर में मैलवेयर लाने का कोई सुविधाजनक तरीका नहीं था। हमें असममित एन्क्रिप्शन के लिए इंतजार करना पड़ा। क्रिप्टोकरेंसी पहेली का अंतिम भाग रही है, जिससे अपराधियों के लिए फिरौती भुगतान सुरक्षित रूप से स्वीकार करना संभव हो गया है। ऐसे हमलों पर चुप्पी की संस्कृति अपराधियों की मदद करती है।

और अब ऐसे समूह भी हैं जो इस प्रकार के मैलवेयर चलाने के लिए अपनी सरकार की स्पष्ट या अप्रत्यक्ष बोली लगा रहे हैं।

* इस बीच, एआई दोनों पक्षों को हथियारबंद करने के लिए तैयार दिख रहा है।

एआई रैंसमवेयर गिरोहों के लिए कंपनियों को निशाना बनाना और सिस्टम में असुरक्षाओं की पहचान करना आसान बना देगा। दूसरी ओर, कंप्यूटर सुरक्षा कंपनियां संदिग्ध गतिविधि को अधिक प्रभावी ढंग से स्कैन करने के लिए एआई का उपयोग कर रही हैं। जैसा कि मेरी पुस्तक से पता चलता है, कंप्यूटर सुरक्षा और साइबर अपराध समान पक्षों के बीच चल रही हथियारों की दौड़ में हैं।

* क्या फिरौती-युद्ध का विचार आपको चिंतित करता है?

हमने रैंसमवेयर को फिरौती-युद्ध के उद्देश्य से इस्तेमाल होते देखा है, लेकिन ज्यादातर इसका इस्तेमाल पूरी तरह से लाभ के लिए किया जाता है। बेशक, ऐसे हमलों से जीडीपी को भी नुकसान पहुंचता है। हालाँकि, मैं जिस चीज़ को लेकर अधिक चिंतित हूँ, वह अपराधियों द्वारा वैश्विक व्यापार को लगातार कम करने की प्रवृत्ति नहीं है, बल्कि महत्वपूर्ण राष्ट्रीय बुनियादी ढाँचे में एक बड़ी गिरावट का जोखिम है, और इसके माध्यम से जीवन और आजीविका को खतरे में डाला जा सकता है।

* अधिक व्यक्तिगत रूप से, जब पढ़ाना या लिखना नहीं होता, तो हम आपको कहाँ पाते?

आप शायद मुझे बगीचे, कार्यशाला या संगीत कक्ष में पाएंगे। मैं एक बांसुरीवादक, एक मधुमक्खीपालक और एक कुम्हार हूँ!

.

लिंक पर क्लिक करें?: एक त्वरित नज़र पीछे

* दुनिया का पहला रैंसमवेयर 1989 में विकासवादी जीवविज्ञानी जोसेफ एल पोप जूनियर द्वारा बनाया गया था, जो 39 वर्षीय एक व्यक्ति था, जो विश्व स्वास्थ्य संगठन के लिए अंशकालिक काम कर रहा था। किसी बिंदु पर, संभवतः इसलिए क्योंकि उन्हें स्थायी पद से वंचित कर दिया गया था, उन्होंने अपनी योजना तैयार की।

* उन्होंने 20,000 फ़्लॉपी डिस्क पर एक प्रश्नावली बनाई और उन्हें 90 देशों के WHO शोधकर्ताओं को डाक द्वारा भेजा। प्रत्येक डिस्क में एक ट्रोजन वायरस था। एक कंप्यूटर में डाला गया, मैलवेयर ने डिवाइस को तब तक बेकार कर दिया जब तक कि 189 डॉलर का “लाइसेंस शुल्क” नकद या कैशियर चेक में पनामा के एक पोस्ट-ऑफिस बॉक्स में नहीं भेज दिया गया।

* क्षति व्यापक थी। जबकि कुछ प्राप्तकर्ता स्वयं अपने कंप्यूटर को अन-हैक करने में सक्षम थे, अन्य ने अपने उपकरणों पर सभी काम खो दिए। 1990 में, पॉप जूनियर को ब्लैकमेल करने के आरोप में गिरफ्तार किया गया, ब्रिटेन में प्रत्यर्पित किया गया और अंततः मानसिक बीमारी के कारण मुकदमा चलाने के लिए अयोग्य करार दिया गया। 2007 में उनकी मृत्यु हो गई। यह अभी भी स्पष्ट नहीं है कि क्या उन्होंने अकेले अभिनय किया था।