Cyber Security: ‘ओटीपी’च्या संगे, ‘पासवर्ड’ भंगे, धोका हा तरंगे, इंटरनेटी..!!

सायबर गुन्ह्यांपासून आपला बचाव करायचा असेल, तर आपली सावध वृत्ती, अखंड शिक्षण आणि निरंतर तारतम्य हीच खरी त्रिसूत्री !

बँकेतले धन, संदेश वहन, हे ऑनलाइन, झाले सारे

‘ओटीपी’च्या संगे, ‘पासवर्ड’ भंगे, धोका हा तरंगे, इंटरनेटी

पैशाची भुरळ, स्वस्ताईची हूल, कशी पडे भूल, आम्हालागी

कधी भीतीपोटी, कधी मोहापोटी, किंमत ती मोठी, मोजियेली

हॅकर्सची ऐशी, युक्ती जाण खाशी, जातो भावनेशी, तर्क शरण

कायम सतर्क, करूया विवेक, राहूया निर्धोक, सर्व काळी

प्रा. डॉ. प्रमोद दामले

‘केदारनाथ’ ते ‘के.वाय.सी.’

ऑक्टोबर महिना जगभर ‘सायबर सुरक्षा महिना’ म्हणून पाळला जातो, त्यानिमित्ताने सायबर सुरक्षा साक्षरतेच्या काही मुद्द्यांचा हा ऊहापोह. एकीकडे तंत्रज्ञानाच्या प्रगतीचा झंझावात आणि त्यातच हॅकरच्या नवनवीन क्लृप्त्या या दुहेरी आव्हानाला समर्थपणे तोंड द्यायचं असेल; सायबर गुन्ह्यांपासून आपला बचाव करायचा असेल, तर आपली सावध वृत्ती, निरंतर शिक्षण आणि अखंड तारतम्य ही खरी त्रिसूत्री!

गेली काही वर्षे सायबर सुरक्षा या विषयावर वेगवेगळ्या कंपन्यांचे संचालक, पोलिस व प्रशासकीय सेवेतले अधिकारी, चार्टर्ड अकाउंटंट, सॉफ्टवेअर इंजिनिअर अशा अनेकांशी संवाद साधताना एक गोष्ट मला लख्ख जाणवत आली आहे, ती म्हणजे एकीकडे वाढते सायबर गुन्हे आणि दुसरीकडे जनमानसात अजूनही फारशी न आढळून येणारी सायबर सुरक्षा साक्षरता (Cyber Security Literacy)!

म्हणजे इंटरनेटवर वावरताना काही मूलभूत नियम पाळायला हवेत हे अजून कित्येकांच्या गावीही नसतं, आणि काही थोड्या मंडळींनी त्याबद्दल थोडंफार ऐकलं-वाचलेलं असतं पण अजूनही त्याला सायबर सुरक्षा साक्षरता म्हणता येईल की नाही याबद्दल साशंकताच आहे.

काही व्यावसायिकांना वा नोकरदारांना त्यांच्या कामकाजाच्या निमित्ताने या विषयाचं थोडंफार प्रशिक्षण दिलं जातं, पण गृहिणी, ज्येष्ठ नागरिक आणि विद्यार्थ्यांना मात्र सायबर सुरक्षा साक्षरतेसाठी काही ठोस पर्याय उपलब्ध नसतो.

त्यांच्यासाठी मी विविध गृहसंस्थांमध्ये व शैक्षणिक संस्थांमध्ये तासाभराचे व्याख्यान देत असतो. आजवर शेकडो लोकांपर्यंत सायबर सुरक्षेचा संदेश पोहोचवता आला खरा, पण सायबर गुन्ह्यांचं वाढतं प्रमाण पाहता जन-जागरणाची ही संख्या शेकड्यात वा हजारात नव्हे तर लाखात जायला हवी, हे जाणवत राहतंच.

अशा व्याख्यानांनंतर जेव्हा श्रोत्यांबरोबर प्रश्नोत्तरे होतात, गप्पा होतात तेव्हा काही समस्या पुन:पुन्हा ऐकायला मिळतात. वरचेवर येणार्‍या अशा प्रश्नांचा, म्हणजेच Frequently Asked Questions -एफएक्यूजचा, साधारण लेखाजोखा मांडायचा झाला तर -

ऑनलाइन बँकिंगचे इतके गैरप्रकार ऐकलेत, ते सेफपणे कसं करावं?

पासवर्ड वरचेवर बदलणं, तो लक्षात ठेवणं ही कटकट कशी सांभाळू?

सोशल मीडियावरची माझी माहिती लीक तर होणार नाही ना?

मोबाईल हरवला तर काय काय करायला हवं?

पब्लिक हॉटस्पॉट वापरू नये असं का म्हणतात?

मी खूप वेगवेगळी अॅप्स वापरतो/ ते, त्यानं काही प्रॉब्लेम होईल का?

माझा मोबाईल कायम माझ्याजवळ असताना त्यात हॅकिंग होईलच कसं?

सिक्युरिटी सेटींग्ज हा काय प्रकार आहे?

असे काही मुद्दे या एफएक्यूजमध्ये वारंवार उपस्थित होताना दिसतात. इंटरनेटवर वावरताना किंवा स्मार्टफोन वापरून व्यवहार करत असताना वापरकर्त्यांच्या मनात काही प्रश्न उभे राहात असतात पण त्यांची निश्चित उत्तरे किंवा त्या उत्तरांची निश्चित दिशा याबद्दल अनभिज्ञता असते, असा या वारंवार उपस्थित होणाऱ्या मुद्द्यांचा अर्थ मला दिसतो.

एक मुद्दा स्पष्ट करावासा वाटतो. इंटरनेटचा वापर ही आजच्या काळात ज्येष्ठ नागरिकांसह अनेकांसाठी सोय आहे. इंटरनेटवर वावरताना आपल्याला सावध राहायचं आहे, हा या लेखनप्रपंचाचा अर्थ आहे. घाबरून जाणे अपेक्षित नसून आपल्याला बँकांकडून, वित्तीय संस्थांकडून, सायबर सुरक्षा तज्ज्ञांकडून मिळणाऱ्या सावधगिरीच्या सूचना लक्षात घेऊन सायबर सुरक्षा साक्षर होणे महत्त्वाचे आहे.

तर या एफएक्यूजमधल्या मला जाणवणाऱ्या सर्वाधिक महत्त्वाच्या दोन समस्यांबद्दल आपण थोडी चर्चा करूया. एक आहे पैशाची फसवणूक आणि दुसरी (गंभीर पण चटकन लक्षात न येणारी) आहे, पैशापेक्षा महत्त्वाच्या अशा वैयक्तिक माहितीची चोरी!

ऑनलाइन चोरीचे हे दोन गुन्हे कसे होतात? अशा प्रसंगांना आपण कसं तोंड द्यावं? शांत चित्तानं, थोडसं तारतम्य ठेवून आपण ते टाळू शकतो का? हे पाहू. पुढच्या टप्प्यावर आपण ‘पासवर्ड’ आणि ‘स्मार्टफोन-सुरक्षा’ ह्या कळीच्या मुद्द्यांचा विचार करू.

किस्सा केदारनाथ यात्रेचा

“गोपाळराव, तुमच्या केदारनाथ यात्रेचं विचारता का सरांना?” गोपाळरावांना कोपरखळी मारत त्यांच्या शेजारच्यानं हे म्हटल्याक्षणी पेन्शनर कट्ट्यावर एकच हास्यकल्लोळ उडाला. निमित्त होतं व्याख्यानाच्या शेवटी होणाऱ्या प्रश्नोत्तरांचं. सायबर-सुरक्षा साक्षरतेसाठी माझं हे भाषण पुण्यातल्या एका गृह-संकुलानं जुळवून आणलं होतं त्यावेळचा हा किस्सा.

बोलावं का नाही अशा द्विधा मनस्थितीतून बाहेर येत गोपाळरावांनी थोडं चाचरत सुरुवात केली. झालं होतं असं, की केदारनाथ यात्रा करण्याचं त्यांच्या मनात गेले सहा महिने घोळत होतं. दोन-तीन आठवड्यांपूर्वी त्यांनी आपल्या शाळकरी नातवाच्या मदतीनं इंटरनेटवरून खर्चाचा अंदाज घेतला.

माणशी दहा ते बारा हजाराचं बजेट पाहून पैशाची जुळवाजुळव झाली. कुठली ट्रॅव्हल एजन्सी गाठावी या विचारात असतानाच त्यांना एक फोन आला. फोन करणार्‍यानं आपल्या यात्राकंपनीचं मोठं रसभरीत वर्णन ऐकवलं आणि हरिद्वारवरून केदारनाथची यात्रा नवरा-बायको अशा दोघांसाठी एकूण पंधरा हजारात देऊ केली.

साखरपेरणी करत पलीकडच्या त्या माणसानं गोपाळरावांचं वय विचारून साठीपुढच्या भक्तांकरता म्हणून एक हजाराची विशेष सूटही दिली. ‘शेवटच्या चारच सीट उरल्या आहेत, तेव्हा लगेच पैसे भरा’ असा प्रेमळ आग्रह तर फोनवरच्या माणसानं केलाच, शिवाय ‘ही वेळ चुकवाल तर पुढच्या सीझनपर्यंत थांबावं लागेल’ असं भरीला घातलं.

माणशी सात हजार इतक्या कमी खर्चातल्या केदारनाथ यात्रेचा मोह झाला नसता तरच नवल! त्या माणसानं सुचवल्याप्रमाणे गोपाळरावांनी चौदा हजार रुपये तातडीनं पाठवून दिले. एकीकडे मनोमन भगवान शंकरासमोर नतमस्तक होतानाच दुसरीकडे त्यांचे विचार ‘बायकोला आपण कसं मस्त सरप्राइज देणार’ या दिशेनं धावायला लागले.

पण एक दोन दिवसात तिकिटं मिळणार होती ती सात-आठ दिवस उलटून गेल्यावरही हाती येईनात. आत्तापर्यंत ज्या नंबरवरून वारंवार फोन यायचे तो नंबर आता स्विच-ऑफ झाला होता. अखेर त्यांचा धीर सुटला. मुलाला सगळं सविस्तर सांगितल्यावर त्यानं जेव्हा ही शुद्ध फसवणूक झाल्याचं लक्षात आणून दिलं, तेव्हा गोपाळरावांना स्वत:लाच हे एक ‘सरप्राइज’ होतं !

भोलेनाथाचं नाव घेऊन त्याच्याच भोळ्या भक्तांना गंडवणारे असे अनेक कपटी धोकेबाज आहेत. ते सहसा एकटे-दुकटे काम करत नाहीत. सायबर फसवणुकीच्या गुन्ह्यात बरेचदा सुसूत्रपणे काम करणारी एक टोळी असते. त्यातले बॅक-स्टेज आर्टिस्ट म्हणावे असे तंत्रकुशल हॅकर इंटरनेट व ईमेल धुंडाळून सावज हेरतात.

समाज-माध्यमं (Social Media) चाळून काढत त्या सावजाची जमेल तेवढी माहिती काढतात, उदा. सांपत्तिक स्थिती कशी आहे, घरातले कोणकोण काय करतात, अलीकडेच कुठला कौटुंबिक कार्यक्रम झाला, लवकरच तुम्ही आखताय ती सहल कुणीकडे, वगैरे.

त्यानंतर टोळक्यातला दुसरा संभाषण-चतुर जोडीदार फोन वा ईमेल वरून संपर्क साधून आमिष लावून गळ टाकतो, पुन:पुन्हा फोन करत चिकाटीनं पाठपुरावा करून अखेर समोरच्याला फशी पाडतो.

यासाठी तऱ्हेतऱ्हे‍च्या युक्त्या हॅकर योजतात! कधी सवलतीच्या दरात एखादी वस्तू वा सेवा देऊ केली जाते, तर कधी भरपूर व्याजाची आकर्षक ठेव योजना. कधीकधी तर फोनवर चक्क तुमचा मित्र वा नातेवाईक असल्याची बतावणी करून सध्या परदेशात वा परप्रांतात दौर्‍यावर असताना पैशाभावी कसे अडचणीत सापडलो आहोत असा बहाणा केला जातो.

त्याकरता केवळ आवाजातच नव्हे तर व्हिडिओमध्येही बेमालूमपणे फेरफार करण्याचं सॉफ्टवेअर आज सहज उपलब्ध आहे. समोरच्याच्या भावनांचं पारडं जड करून त्याचे विचार निष्प्रभ होतील अशा रीतीनं हे चौर्यकर्म साधलं जातं.

अशी मोठी रक्कम तसं म्हटलं तर आपणच उचलून देतो आणि नंतर पस्तावतो. हे कसं टाळता येईल?

यासाठी अत्यंत परिणामकारक पण अर्थातच कष्टसाध्य असा उपाय म्हणजे समोरच्यानं फोन वा ईमेलद्वारे आपल्या भावनांशी खेळण्याचा प्रयत्न केला तरी आपण तर्कशुद्ध विचार करायचा. डोकं थंड ठेवायचं. या दुनियेत फुकट काहीही मिळत नसतं याची जाण ठेवायची. स्वस्तात काही पदरात पाडून घ्यायचा मोह टाळायचा.

जरूर तर फोन करणार्‍याला तासाभरानं पुन्हा फोन करायला खुशाल सांगावं. आपण मात्र त्याच्या नंबरावर फोन अजिबात करू नये. पुढे आलेली भासमान संधी खरी का खोटी याचा तारतम्यानं पुनर्विचार त्या तासाभरात करावा. बर्‍याचदा अशी संधी म्हणजे भुरळ पाडणारं आमिष असतं. त्याच्या खरेपणाची खातरजमा केल्याशिवाय कृती करू नये.

एखाद्या बहाण्यानं कुणा परिचिताला मदत करायचं आवाहन केलं जात असेल तर त्याची शहानिशा दुसर्‍या एखाद्या मार्गानं करून घ्यावी. आवश्यक वाटलं तर सायबर सुरक्षा प्रांतातल्या एखाद्या जाणकाराशी चर्चा करावी. पैसे लुबाडण्याचा प्रकार असेल, तर पुन्हा तुम्हाला फोन येण्याचा संभव नगण्य असतो. जर तसा फोन आलाच, तर आपल्याला स्वारस्य नाही सांगून फोन सरळ बंद करून टाकावा.

किस्सा ‘के.वाय.सी.’चा

“सर, माझ्या बँकेकडून फोन आला होता. केवायसीसाठी त्यांनी बरेच डिटेल मागितले,” कार्तिकीच्या आवाजातली काळजी फोनवर स्पष्ट जाणवत होती.

“तू ते दिलेस की काय फोनवर?” मधेच तिला थांबवत मी विचारलं.

“हो; बँकेलाच हवे होते ना? मग दिला कस्टमर आयडी, आधार कार्ड आणि मोबाईल नंबर... ”

“कार्तिकी, ऑनलाइन बँकिंग वापरून फटाफट तुझा अकाऊंट ब्लॉक कर.” माझा काळजीपोटी अनाहूत सल्ला.

“अकाऊंट कशाला ब्लॉक करू? आणि सर, एक ओटीपीपण आलाय, तोही न मागता ...” कार्तिकीचा बुचकळ्यात पडलेला स्वर.

“कार्तिकी, आधी तुझा अकाऊंट ब्लॉक कर. बाकी सगळं बोलू नंतर. मी फोन ठेवतोय.” एवढं बोलून मी फोन कट केला.

जरा वेळानं तिनं बँकेच्या खात्याचे सर्व व्यवहार थांबवले आणि मग मला फोन केला. सविस्तर चर्चा झाली. माझ्या एक-दोन प्रश्नांना तिनं स्मार्टफोनमध्ये डोकावून उत्तरं दिली. या सार्‍याचा एका वाक्यात सारांश सांगायचा तर माझ्या ह्या माजी विद्यार्थिनीला पंचवीस हजार अक्कलखाती घालून सायबर सुरक्षेचा एक अनमोल धडा मिळाला होता. नेमका काय प्रकार घडला होता?

मुळात तो फोन बँकेतून आलाच नव्हता. बँकेचा ‘प्रतिनिधी’ असल्याचं भासवणार्‍या त्या तोतयानं केवायसीचं खोटं निमित्त करून फोनवरच कार्तिकीचा कस्टमर आयडी घेतला आणि आधार कार्ड, पॅन कार्ड असा तपशील मागितला.

‘हे सगळं बँकेला केव्हाच दिलेलं आहे,’ असं तिनं सांगितल्यावर ‘ते दर दोन वर्षांनी परत द्यावं लागतं’, असं म्हणून वर पुन्हा ‘वेळीच हे डिटेल्स अपडेट झाले नाहीत तर खातं बंद होईल’, अशी पोकळ तंबीही फोनवर बोलणाऱ्या त्या व्यक्तीनं दिली. कस्टमर आयडी घेतल्यावर त्या अनोळखी माणसानं कार्तिकीला तिच्या स्मार्टफोनवरून काही गोष्टी अपडेट करायला सांगितल्या.

तिला ते क्लिष्ट तांत्रिक काम जमत नाही या सबबीखाली मदत करण्याच्या बहाण्यानं तिला एक सॉफ्टवेअर डाऊनलोड करायला सांगितलं. त्यासाठी एक लिंक पाठवली, कार्तिकीला ते सॉफ्टवेअर इंस्टॉल करायला मदतही केली.

नंतर, ‘आता पाच मिनिटात मी तुम्हाला डिटेल्स अपडेट झाले की कळवतो’, असं आश्वासन देऊन फोन कट केला. बराच वेळ वाट बघूनही एका ओटीपी खेरीज तिला काहीच आलं नाही. तेव्हा तिनं मला फोन लावला होता.

कार्तिकीनं बँकेचा अकाऊंट ब्लॉक करेपर्यंत त्या ‘प्रतिनिधी’नं तिच्या खात्यातून पंचवीस हजार रुपये लांबवले होते. कसं काय झालं असेल हे? तुमचा ऑनलाइन बँक व्यवहार पार पाडण्यासाठी तुमचा कस्टमर आयडी तर लागतोच, शिवाय दुसरा तुमचा पासवर्ड आणि तुमच्या फोनवर बँक पाठवेल तो ओटीपीदेखील लागतोच. हे तीनही चोरणं हॅकरना कसं शक्य होतं ते आता पाहूया.

फोन किंवा ईमेल करून हॅकर तुमच्याशी संपर्क साधतात. सहसा बँकेचा अधिकृत प्रतिनिधी असल्याचं भासवून काही आमिष दाखवत तुम्हाला मोहात तरी पाडतात किंवा धास्ती वाटेल असा बागुलबुवा तरी उभा करतात.

मोहाचं म्हणाल तर नवीन क्रेडिट कार्डसारखं काही देऊ करतात किंवा भीतीचं म्हणाल तर केवायसी लगेच अपडेट करा, अन्यथा खातं बंद करू इ. दमदाटी केली जाते. अशा युक्त्या वापरून तुम्हाला कस्टमर आयडी, पिन अशी गोपनीय माहिती द्यायला भरीस पाडलं जातं.

दुसरा टप्पा पासवर्ड लुबाडण्याचा. त्यासाठी हॅकर गैरफायदा घेतात तो विसरलेला पासवर्ड बदलून घेण्याच्या सुविधेचा म्हणजेच ‘फरगॉट पासवर्ड’चा. इंटरनेटवरची बहुतांश संकेतस्थळं (Websites) अशी सुविधा देऊ करतात. ती वापरली की पासवर्ड बदलण्याकरता तिथून तुम्हाला तुमच्या फोनवर एक ओटीपी पाठवला जातो.

तो त्या संकेतस्थळावर टाइप करून दिला की मग नवीन पासवर्ड देता येतो. आता पासवर्ड बदलण्याकरता आपल्या फोनवर आलेला ओटीपी हॅकरपर्यंत कसा पोहोचतो? रिमोट डेस्कटॉप प्रकारची काही सॉफ्टवेअर आहेत. सर्वसामान्य माणसाला जमणार नाही अशा काही अवघड तांत्रिक क्रिया ग्राहकाच्या फोनवर करण्यासाठी व त्याही प्रत्यक्ष त्या फोनला हात न लावता लांबवरून करता याव्यात अशा चांगल्या हेतूनं तज्ज्ञांसाठी म्हणून ही सॉफ्टवेअर तयार केलेली असतात.

तुम्हाला मदत करण्याच्या मिषानं हॅकर तसं एखादं सॉफ्टवेअर तुम्हाला इंटरनेटवरून तुमच्या फोनवर डाऊनलोड करायला लावतात व त्याद्वारे तुमच्या स्मार्टफोनचा पूर्ण ताबा त्यांना मिळतो. मग तुम्हाला बँकेकडून येणारे ओटीपी सरळ हॅकरच्या हाती लागतात. त्या ओटीपीचा वापर करून नवीन पासवर्ड सेट करून बँक खात्यातून पैसे लुबाडणं सहज शक्य होतं!

केवायसी, ओटीपी, पासवर्ड अशा विशिष्ट गोपनीय माहितीला बदलत्या जमान्यात पैशाइतकंच, किंबहुना थोडं अधिकच, महत्त्व प्राप्त झालंय ते यामुळेच.

अशी गोपनीय माहिती चोरली जाऊ नये, म्हणून आपण काय खबरदारी घ्यायला हवी? तर फोन अथवा ईमेलवरून आपल्यासमोर उभं करण्यात आलेलं चित्र जरी भयंकर वाटलं तरी आधी पाहिलेलं तर्कशुद्ध विचाराचं सूत्र लागू करावं.

समोरची घटना कितीही आणीबाणीची वाटली तरी भीतीच्या आहारी न जाता फोन करणार्‍याला तासाभरानं पुन्हा फोन करायला सांगावं. आपण मात्र त्याच्या नंबरावर फोन अजिबात करू नये. दरम्यान त्या घटनेची सत्यासत्यता जाणून घेण्यासाठी दुसर्‍या एखाद्या मार्गाचा विचार करावा.

त्या ‘आणीबाणी’शी संबंधित ज्या संस्थेच्या नावानं आपली गोपनीय माहिती (उदा. ओटीपी, पिन, कस्टमर आयडी वगैरे) मागितली जात आहे, त्या संस्थेचा फोन नंबर आपण शोधून काढून त्यांना फोन करून खुलासा करून घ्यावा. जरूर तर संगणक क्षेत्रातील एखाद्या परिचिताशी बोलून सल्लामसलत करावी.

आपले ओटीपी, पिन, कस्टमर आयडी आदी तपशील कोणतीही बँक आपल्याला फोनवर वा ईमेलवर मागत नाही, हे रिझर्व्ह बँक विविध माध्यमातून आपल्याला वारंवार सांगत असते, ते कटाक्षानं स्मरणात ठेवावं.

कोणतंही अॅप आपल्या फोनवर घेण्यापूर्वी त्याची खरोखरच गरज आहे का, याचा विचार करावा, शक्य असेल तर तिथंही संगणक तज्ज्ञाची मदत घ्यावी. ते अॅप घ्यायचं ठरलं तर ते आपल्याला आलेली लिंक वापरून ॲप डाऊनलोड न करता, अॅपल किंवा अँड्रॉइड प्ले स्टोअरवरूनच घ्यावं.

(लेखातील सर्व नावे बदललेली आहेत.)