इस सीरीज़ की पहली पोस्ट पढ़कर आप यह तो जान गए होंगे की अगर व्हाट्सएप जैसे इनक्रिप्टेड एप्प को क्रेक किया जा सकता है। तो भारत की मामूली बैंकिग एप्पस को भी आसानी से क्रेक किया जा सकता है। इसके लिए हमने बहुत मेहनत से एक प्रयोग किया जिससे हम जान सके एंड्राइड और ios में सेंध लगाना वाला पेगासिस जैसा मालवेयर अगर भारत की बैंकिग ऍप्स की सुरक्षा को भेद गया तो क्या होगा?
इस रोचक प्रयोग में सबसे पहले हमने एक वर्चुअल इनवायरमेंट तैयार किया औऱ रियल टाइम बैंकिग डाटा लेकर एक वर्चुअल बैंकिंग एप्प दोनो आपरेटिंग सिस्टम पर बनाई और उन सभी सुरक्षा मानकों का ध्यान रखा। जिसके लिए आरबीआई ने सभी बैंकों को अपनी गाइडलाइन में निर्देशित किया था। अब सबसे रिस्की काम शुरू होता है, कि कैसे एक सॉफ्टवेयर बना कर इस आभासी परिदृश्य में इस मोक बैंकिंग एप्प की सुरक्षा में सेंध लगाए जाए।
जब हम यह रिसर्च और डेवलपमेंट कर रहे थे, तब हमे पता चला कि ios और एंड्रॉइड के वेब ब्राऊजर में एक बग है और जिसके कारण वो क्रैश हो सकता है। जैसे ही ब्रॉउजर क्रैश होगा हमारा सॉफ्टवेयर इन ऑपरेटिंग सिस्टम की मजबूत दीवारों को भेद देगा। और अपने आने का रास्ता भी छुपा देगा ताकि वो या जान नही सके कि लूप होल कँहा है। दूसरे शब्दों में हमने उस जेल के प्रहरी की पहचान कर ली थी। जो ड्यूटी के टाइम सोता था उसने हल्की सी झपकी ली और हमारा जासूस उस फ़ोन में प्रवेश कर गया और अब जासूस को इतना ही करना था, कि बैंक एप्प जब भी अपना गेट खोले और वो अंदर जाकर बैठ जाये और उसने बिलकुल वही किया।
हमारे जासूस सॉफ्टवेयर ने उन दोनो मोक बैंकिग ऍप्स के बिग डाटा को पढ़ लिया और लॉगिन के लिए ओटीपी जनरेट करके उसे पढ़ भी लिया। अब यह ऍप्स हमारे जासूस के कब्जे में थीं। और जो चाहे वैसा ट्रांजेक्शन उन ऍप्स की मदद कर सकता था, इस प्रयोग की सफलता से एक बात सिद्ध हो गई है। कि भारत मे आन लाइन बैंकिग बहुत ही असुरक्षित है, और अंतरराष्ट्रीय स्तर की सुरक्षा मानकों के स्तर से बहुत नीचे है। चीन और अमेरिका की तुलना में भारत में आन लाइन बैंकिग फ्राड सबसे ज्यादा होते हैं। पर सबसे बडा सवाल यह सब भारत जैसी सॉफ्टवेयर की विश्व शक्ति मे ही क्यो हो रहा है।
आप यह जरूर जानना चाहते होंगे की सब कुछ जानते हुए भी सरकार, गूगल, एप्पल और सारे बैंक क्यो चुप हैं। उन्होंने यह अजीब सी खामोशी क्यो ओढ़ रखी है, इसके लिए हमने सारे बैंको की ऍप्स की हार्डकोर फंक्शनल टेस्टिंग की और उनके बिजनेस मॉडल को समझा। तो पूरा खेल समझ मे आ गया। जिसके बारे कल आखिरी कड़ी में बताऊँगा अभी के लिये यह जान लीजिए, अगर व्हाट्सएप में एमपी 4 फ़ाइल के जरिये घुसा जा सकता है। बैकिंग ऍप्स में हमारे जैसे सॉफ्टवेयर के द्वारा घुसा जा सकता है। बस आपका जासूस सही होना चाहिए और इसके लिए इजरायल से अच्छी जगह कौन सी होगी। कल इस सीरीज के अंतिम भाग को मिस मत करियेगा क्योकि यह तो सिर्फ झाँकी है पूरी पिक्चर अभी बाकी है।
क्रमशः…
0