नई दिल्ली, 22 दिसंबर । भारत की साइबर सुरक्षा एजेंसी इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT-In) ने व्हाट्सऐप यूज़र्स को एक नए और गंभीर साइबर ख़तरे को लेकर अलर्ट जारी किया है। इस नए साइबर हमले का नाम ‘घोस्टपैरिंग’ (GhostPairing) बताया गया है, जिसके ज़रिए हैकर्स बिना पासवर्ड या सिम-स्वैप किए ही व्हाट्सऐप अकाउंट पर पूरा क़ब्ज़ा कर सकते हैं।
CERT-In ने 19 दिसंबर को जारी अपनी एडवाइज़री में इस ख़तरे को ‘हाई सीवेरिटी’ श्रेणी में रखा है। एजेंसी के अनुसार, हमलावर यूज़र्स को चालाकी से ऐसे कोड डालने के लिए बहकाते हैं, जिससे उनका व्हाट्सऐप अकाउंट किसी अनजान डिवाइस से लिंक हो जाता है।
क्या है ‘घोस्टपैरिंग’ तकनीक?
CERT-In के मुताबिक, ‘घोस्टपैरिंग’ में हमलावर व्हाट्सऐप के लिंक्ड डिवाइस फ़ीचर का दुरुपयोग करते हैं। इस हमले में पीड़ित को ऐसा लगता है कि वह किसी वैध प्रक्रिया का हिस्सा है, जबकि असल में वह अनजाने में हमलावर के ब्राउज़र को अपने व्हाट्सऐप अकाउंट का एक अतिरिक्त, भरोसेमंद और छुपा हुआ डिवाइस बना देता है।
एजेंसी ने कहा,
“संक्षेप में, यह हमला यूज़र को एक असली जैसा दिखने वाला पेयरिंग कोड डालने के लिए बहकाता है, जिससे अटैकर को व्हाट्सऐप वेब के ज़रिए पूरा एक्सेस मिल जाता है।”
इस हमले में न तो पासवर्ड की ज़रूरत होती है और न ही सिम कार्ड बदलने की।
डॉट के सिम-बाइंडिंग आदेश से जुड़ा संदर्भ
CERT-In की यह चेतावनी ऐसे समय आई है, जब कुछ हफ़्ते पहले दूरसंचार विभाग (DoT) ने व्हाट्सऐप, सिग्नल और टेलीग्राम जैसे मैसेजिंग प्लेटफ़ॉर्म्स को यूज़र अकाउंट्स के साथ लगातार सिम-बाइंडिंग लागू करने का निर्देश दिया था।
इस आदेश के तहत :
– यूज़र केवल उसी डिवाइस पर ऐप इस्तेमाल कर पाएंगे, जिसमें अकाउंट से जुड़ा एक्टिव सिम हो
– व्हाट्सऐप वेब जैसे कंपैनियन प्लेटफ़ॉर्म्स से हर 6 घंटे में ऑटो लॉग-आउट किया जाएगा
– दोबारा लॉग-इन के लिए क्यूआर कोड स्कैन करना होगा
सरकार का कहना है कि यह कदम व्हाट्सऐप अकाउंट हाईजैकिंग के ज़रिए होने वाले डिजिटल फ़्रॉड को रोकने के लिए ज़रूरी है।
हालाँकि, इस सिम-बाइंडिंग नीति को लेकर वकीलों और डिजिटल राइट्स कार्यकर्ताओं ने निजता और मल्टी-डिवाइस इस्तेमाल को लेकर चिंता भी जताई है।
कैसे होता है ‘घोस्टपैरिंग’ हमला?
CERT-In ने अपने अलर्ट में हमले के तरीक़े को विस्तार से बताया है।
– पीड़ित को किसी जान-पहचान वाले कॉन्टैक्ट से संदेश मिलता है: “हाय, यह फ़ोटो देखो”
– संदेश में एक लिंक होता है, जो फ़ेसबुक-जैसे प्रीव्यू के साथ दिखाई देता है
– लिंक पर क्लिक करने पर एक फ़र्ज़ी फ़ेसबुक व्यूअर खुलता है
– वहाँ यूज़र से कंटेंट देखने के लिए “वेरिफ़ाई” करने को कहा जाता है
– इसके बाद यूज़र से मोबाइल नंबर और एक कोड डालने को कहा जाता है
CERT-In के अनुसार,
“कुछ आसान और बेख़तर लगने वाले स्टेप्स के ज़रिए यूज़र अनजाने में हमलावर को अपने व्हाट्सऐप अकाउंट का पूरा कंट्रोल दे देता है।”
एक बार अकाउंट लिंक हो गया तो…
जब हमलावर का डिवाइस व्हाट्सऐप से लिंक हो जाता है, तो वह:
– सभी चैट पढ़ सकता है
– नए मैसेज रियल-टाइम में देख सकता है
– फ़ोटो, वीडियो और वॉइस नोट्स एक्सेस कर सकता है
– पीड़ित बनकर उसके कॉन्टैक्ट्स और ग्रुप्स में मैसेज भेज सकता है
यानी अकाउंट पूरी तरह हाईजैक हो जाता है।