ایک غلط بیان نے پاکستانی بینکوں کا اعتماد کیسے توڑ دیا؟

اپ ڈیٹ 09 نومبر 2018

ای میل

پاکستانی بینکس پہلے ہی اپنی سائبر سیکیورٹی کے مسائل کا شکار تھے کہ ایف آئی اے کے ڈائریکٹر سائبر کرائم سیل کیپٹن (ر) محمد شعیب کے بیان نے جلتی پر تیل کا کام کردیا ہے۔

چنانچہ پاکستان میں بینکاری کی صنعت ان دنوں ایک طوفان میں گھری ہوئی ہے اور عوام کے بینکاری صنعت پر اعتماد کو دھچکا پہنچا ہے۔ عوام یہ سوچنے پر مجبور ہیں کہ آیا بینکوں میں رکھی گئی ان کی رقوم محفوظ ہیں بھی یا نہیں۔

ڈائریکٹر ایف آئی اے نے نیوز چینلز پر آکر یہ دعوٰی کردیا کہ پاکستان کے تمام بینکوں کا ڈیٹا ہیک ہوگیا ہے اور صارفین کی معلومات چوری ہوگئی ہیں۔ ان کا کہنا تھا کہ اب تک اس نوعیت کے 100 سے زائد کیس ایف آئی اے میں رجسٹر ہوچکے ہیں جبکہ گزشتہ ماہ اس حوالے سے متعدد افراد کو حراست میں بھی لیا گیا ہے جس میں ایک بین الاقوامی گروپ بھی شامل ہے۔ ان کا مزید کہنا تھا کہ ایف آئی اے نے ہیکرز کا ایک ایسا گروپ بھی گرفتار کیا ہے جو بھیس بدل کر لوگوں کو لوٹتا تھا۔

ان کا کہنا تھا کہ چوری ہونے والی رقوم امریکا اور روس میں استعمال ہوئیں جبکہ ہزاروں بینک اکاونٹس کا ڈیٹا ڈارک ویب پر فروخت کیا گیا۔ انہوں نے بتایا کہ پکڑے گئے افراد سے تحقیقات کررہے ہیں مگر ابھی تک کسی نے یہ انکشاف نہیں کیا کہ ڈیٹا چوری ہونے میں کوئی بینک ملوث ہے یا نہیں۔

ڈائریکٹر ایف آئی اے کے مطابق ابھی تک کی تحقیقات میں یہ بات سامنے آئی ہے کہ ہیکرز انٹرنیٹ کے ذریعے لوگوں کا ڈیٹا چوری کررہے ہیں۔ اس حوالے سے ایف آئی اے کی تحقیقات جاری ہیں اور مزید اقدامات بھی کیے جائیں گے۔ انہوں نے مزید یوں ڈرایا کہ اس سے قبل بھی بینک اکاونٹس کا ڈیٹا لیک ہوتا رہا لیکن اب اس میں بہت تیزی آگئی ہے اور ہیکرز نے ملک کے تمام بڑے بینکوں کا ڈیٹا ہیک کیا ہے۔

اس بیان کے بعد تو جیسے بینکاری صنعت میں آگ لگ گئی اور یہ معاملہ قومی اسمبلی تک جا پہنچا جہاں حزبِ اختلاف کے رہنما احسن اقبال نے توجہ دلاؤ نوٹس پر ہیکنگ کے معاملے کو اٹھایا جس پر تذبذب کی شکار پاکستان تحریکِ انصاف (پی ٹی آئی) کی حکومت نے حزبِ اختلاف کی مخالفت کرنے کے بجائے معاملے کی درست تحقیق کروانے کا وعدہ بھی کیا۔

دنیا بھر میں ترقی کے ساتھ لین دین کا طریقہ کار بھی تبدیل ہورہا ہے۔ اب آپ کو اپنے بینک سے بڑی رقوم نکلوانے کے بجائے گھر بیٹھے ہی رقوم منتقلی کی سہولت مل گئی ہے۔ جب آپ نے رقوم کی منتقلی کا جدید انداز اپنایا ہے تو لوٹنے کا بھی نیا انداز اپنایا جائے گا۔

گھر بیٹھے بینک صارفین کو لوٹنے کے 2 طریقے ہیں۔ ایک کو کہا جاتا ہے ’فشنگ‘ اور دوسرے کو کہا جاتا ہے ’ہیکنگ‘۔ ان دونوں طریقوں میں اہم اور بنیادی چیز ہے کمپیوٹر اور انٹرنیٹ مگر دونوں طریقوں میں معلومات کے حصول کا طریقہ کار مختلف ہوتا ہے۔ اس کے علاوہ اسکمنگ بھی کی جاتی ہے۔

فشنگ

آپ کو یا آپ کے کسی قریبی رشتہ دار کو کسی حساس ادارے، اسٹیٹ بینک یا پھر بینک کا نمائندہ بن کر فون کال تو موصول ہوئی ہوگی جس میں مختلف طریقوں سے آپ سے بینک اکاؤنٹ کی معلومات حاصل کرنے کی کوشش کی جاتی ہے۔

فون کرنے والا یہ معلوم کرتا ہے کہ آپ کا اکاؤنٹ کس بینک میں ہے۔ اگر وہ بینک جس کی انٹرنیٹ فنڈ ٹرانسفر سروس موجود ہوتی ہے تو کال کرنے والا آپ کی معلومات کو حاصل کرنا شروع کرتا ہے۔ فون کال کرنے والا آپ سے بینک اکاؤنٹ کی تصدیق کے بہانے آپ کا شناختی کارڈ نمبر، اے ٹی ایم پن نمبر، پاس ورڈ، تاریخِ پیدائش، والدہ کا نام اور دیگر معلومات طلب کی جاتی ہیں۔

بنیادی معلومات لینے کے بعد کال کرنے والا شخص فون کال یہ کہہ کر ہولڈ کرواتا ہے کہ معلومات چیک جارہی ہیں۔ جب یہ شخص آپ کی فراہم کردہ معلومات بینک کی ویب سائٹ پر ڈال کر آپ کے اکاؤنٹ سے رقم ٹرانسفر کرنے کی کوشش کرتا ہے، تو اس مرحلے پر بینک تصدیق کے لیے آپ کے موبائل پر ایک خفیہ کوڈ بھیجتا ہے جو صرف ایک ٹرانسفر کے لیے کارآمد ہوتا ہے۔ اسے ون ٹائم پن یا او ٹی پی کہتے ہیں۔

اس کے بعد متعلقہ شخص آپ سے فون پر موصول ہونے والا او ٹی پی پوچھتا ہے اور اگر آپ نے یہ بھی فراہم کردیا تو چند سیکنڈ میں آپ لٹ جاتے ہیں۔

اس طرح لوٹنے کا عمل ملک کے سیکیورٹی اداروں کے نام پر شروع کیا گیا تھا۔ اسی لیے اگر آپ کو فوج کے نام سے اس طرح کی کوئی بھی فون کال موصول ہو تو اس کی شکایت فوری طور پر آئی ایس پی آر کی ہیلپ لائن 1135 پر درج کروائیں۔

یہ نوسر باز وائس اوور آئی پی (VoIP) نامی سہولت کا استعمال کرتے ہیں۔ اس میں آپ کو فون کال تو انٹرنیٹ کے ذریعے کی جاتی ہے مگر اسکرین پر ظاہر ہونے والا فون نمبر سافٹ ویئر کے ذریعے جو چاہیں لکھا جاسکتا ہے۔ اسی لیے جو افراد باآسانی اپنی تفصیلات فراہم نہیں کرتے، انہیں چند لمحوں بعد بینک کی ہیلپ لائن کے نمبر سے بھی فون کال موصول ہوتی ہے۔ اس لیے اس طرح کے نوسربازوں کو پکڑنے کے لیے جدید ٹیکنالوجی کی ضرورت ہوتی ہے اور انہیں ٹریس کرنا بہت مشکل ہوتا ہے۔

اسکمنگ

اس طریقہ کار میں اے ٹی ایم پر ایک ڈیوائس لگادی جاتی ہے اور اس ڈیوائس کے ساتھ ایک کیمرہ بھی لگا دیا جاتا ہے۔ جیسے ہی کوئی بھی بینک صارف اپنا اے ٹی ایم کارڈ مشین میں ڈالتا ہے تو اس کے کارڈ پر موجود مقناطیسی پٹی پر موجود معلومات اسکمنگ ڈیوائس میں منتقل ہوجاتی ہے، جبکہ لگے ہوئے کیمرے سے آپ کا پاس ورڈ بھی حاصل کرلیا جاتا ہے۔

اس طرح کا معاملہ چند ماہ قبل چند بینکوں کے ساتھ ہوا تھا۔ مگر یہ چوری کا عمل بہت مشکل ہے اور اسکمنگ کے دوران لوگ پکڑے جاتے ہیں اور پاکستان میں گزشتہ دنوں بہت سے لوگوں کو گرفتار بھی کیا گیا ہے۔ مگر اگر اسکمرز ڈیٹا لینے میں کامیاب ہوجائیں تو پھر چوری کرنا بہت زیادہ مشکل نہیں رہتا۔ اس ڈیٹا کی بنیاد پر اسکمنگ کارڈز بنائے جاتے ہیں جس سے انٹرنیٹ، اے ٹی ایم یا پوائنٹ آف سیلز پر اخراجات کیے جاسکتے ہیں۔

ہیکنگ

یہ سب سے زیادہ جدید اور پیچیدہ عمل ہے جس کے ذریعے انٹرنیٹ اور کمپیوٹر کی مدد سے کسی بھی بینک میں چوری کی جاسکتی ہے۔ ہیکنگ کا یہ عمل گزشتہ دنوں بینک اسلامی کے ساتھ پیش آیا تھا جب اس کو غیر ملکی پے منٹ اسکیم کی جانب سے غیر معمولی اور مشکوک لین دین سے آگاہ کیا گیا۔

جس کے بعد بینک نے اپنے ذریعے ہونے والی بین الاقوامی ٹرانزیکشنز بند کردیں۔ بینک اسلامی کے بعد دیگر بینکوں نے بھی اپنے ڈیٹا اور صارفین کی رقوم کے تحفظ کے لیے انٹرنیٹ پر ملک سے باہر پاکستانی کریڈٹ و ڈیبٹ کارڈز کے استعمال کو معطل کردیا ہے۔

ہیکنگ میں کوئی ماہر فرد یا ایک پورا گروہ بینکوں کے ڈیٹا سینٹرز پر حملہ آور ہوتا ہے اور اس کے سسٹم میں موجود کمزوریوں کی جانچ کے بعد ہیکرز صارفین کی معلومات یا بینک کے اکاؤنٹس میں موجود رقوم کو دیگر بینک اکاونٹس میں منتقل کردیتے ہیں۔ ہیکرز زیادہ تر ڈارک ویب کا سہارا لیتے ہیں جس کی وجہ سے ان کی تلاش کرنا ایک مشکل کام ہوتا ہے اور انہیں تلاش کرنے کے لیے بھی اسی قسم کے ماہرین کی ضرورت ہوتی ہے۔

ماضی میں بینکوں کو اپنی حفاظت کے لیے بندوق بردار سیکیورٹی عملہ اور تجوریاں رکھنی پڑتی تھی مگر اب سائبر سیکیورٹی کا عملہ بھی بھرتی کرنا پڑ رہا ہے۔ یہ عملہ نہ صرف بینک کے ڈیٹا سینٹرز پر ہونے والے ہیکرز کے حملوں کو روکتا ہے بلکہ اپنے نظام کو چیک کرنے کے لیے از خود بھی اپنے سافٹ ویئر پر سائبر حملہ کرتا ہے اور سسٹم میں موجود خامیوں کو دُور کرنے کی کوشش کرتا رہتا ہے۔ ایک سائبر ماہر کا کہنا ہے کہ ہر روز ان کے سسٹم پر چھوٹے بڑے سائبر حملے ہوتے رہتے ہیں اور یومیہ کی بنیادوں پر ان سے نمٹا جاتا ہے۔

اس تمام تفصیل کے بعد چلتے ہیں ایف آئی اے کے ڈائریکٹر کے بیان کی جانب یعنی پاکستان کے تمام بینکوں کا ڈیٹا ہیک ہوگیا ہے۔ شعیب صاحب ملک کی اعلیٰ ترین تحقیقاتی ایجنسی میں سائبر کرائم کے شعبے کے سربراہ ہیں مگر انہیں فشنگ، ہیکنگ اور اسکمنگ کا فرق ہی معلوم نہیں ہے۔ ان کے دیے گئے بیان کے بعد دنیا بھر میں یہ شہ سرخیاں لگیں کہ پاکستان کا بینکاری نظام بہت ہی غیر محفوظ ہے اور اس میں چوری کی جاسکتی ہے جبکہ صارفین نے بڑے پیمانے پر بینکوں سے رقوم بھی نکلوا لی ہیں۔

مگر شعیب صاحب یہ بتانے میں ناکام رہے ہیں کہ ان کے پاس یہ معلومات کس طرح سے پہنچی ہیں۔ اگر ایف آئی اے سائبر کرائم سیل کی بات کی جائے تو اس کے پاس ایسا انفرااسٹرکچر موجود ہی نہیں ہے جس کے ذریعے ہیکرز کا پتہ چلایا جاسکے بلکہ ایف آئی اے کے پاس تو کسی سوشل میڈیا کے اکاؤنٹ کو معلوم کرنے کی بھی صلاحیت موجود نہیں ہے۔

اس بات کا اعتراف ایف آئی اے نے سندھ ہائیکورٹ میں مقدمہ نمبر CMA No. 3482/ 2018 میں کیا ہے۔ ایف آئی اے کا کہنا ہے کہ اس کے پاس آئی پی ایڈریس کی تلاش کا کوئی ذریعہ موجود نہیں ہے۔ اس کے لیے متعلقہ انٹرنیٹ سروس فراہم کرنے والی کمپنی یا پاکستان ٹیلی کام اتھارٹی (پی ٹی اے) کو معاونت کے لیے کہا جائے۔ اس کے علاوہ سپریم کورٹ نے سائبر جرائم کے حوالے سے تعاون کے لیے پی ٹی اے اور ایف آئی اے کو فوکل پرسن تعینات کرنے اور باہمی روابط کو بڑھانے کا بھی حکم دیا ہے۔

اس کے علاوہ ایک سائبر سیکیورٹی کمپنی نے بھی کچھ اسکرین ساٹس شیئر کیے جس میں دعوٰی کیا گیا ہے کہ ڈارک ویب پر پاکستانی بینکوں کا ڈیٹا فروخت کے لیے موجود ہے۔ بینک اسلامی پر سائبر حملے کے بعد یہ دعوے سامنے آتے رہے ہیں۔ زینب قتل کے بعد جب ڈارک ویب کا معاملہ سامنے آیا تو متعلقہ سیکیورٹی کمپنی کے سربراہ نے میڈیا پر آکر یہ دعوٰی کیا تھا کہ پاکستان میں تیار ہونے والی فحش فلموں کو ڈارک ویب پر فروخت کیا جاتا ہے۔

اب جب بینک اسلامی کے ڈیٹا چوری ہونے کا معاملہ سامنے آیا تو ایک مرتبہ پھر یہ کمپنی متحرک ہوگئی اور اس نے بھی تمام بینکوں کے ڈیٹا چوری ہونے اور ڈارک ویب پر فروخت کا دعویٰ کردیا جس کے ساتھ ثبوت کے طور پر بینکوں کے ناموں کی فہرست بھی جاری کردی ہے۔ مگر اس فہرست کو دیکھا جائے تو یہی محسوس ہوتا ہے کہ یا تو ڈارک ویب پر محض دعوٰی کیا جارہا ہے یا پھر فوٹو شاپ میں ایک فہرست تیار کرکے لگادی گئی ہے۔

اسٹیٹ بینک کا بھی کہنا ہے کہ اس قسم کا کوئی بھی سائبر حملہ پاکستان کے کسی بھی بینک پر نہیں ہوا اور اسٹیٹ بینک نے ایف آئی اے سائبر کرائم سیل اور سائبر سیکیورٹی کی کمپنی کے بیانات کو مکمل طور پر مسترد کردیا ہے۔

یہاں یہ بات بھی نہایت اہم ہے کہ بینکوں کا کاروبار اعتماد پر چلتا ہے مگر بینکوں کی جانب سے کسی بھی بحران میں صارفین، کھاتیداروں اور عوام کو معلومات فراہم کرنے کا نظام بہت ہی فرسودہ ہے۔ بینکوں کو کسی بھی بحرانی صورتحال میں ابلاغ کرنے میں مشکلات کا سامنا ہوتا ہے اور بینکس ایسی صورتحال میں اسٹیٹ بینک کا سہارا لیتے نظر آتے ہیں۔

بینک اسلامی پر سائبر حملے کے بعد بھی ایسا ہی ہوا۔ جب بینک کے ایک ایگزیکٹو سے رابطہ کیا گیا اور تعارف کے بعد سائبر حملے کی تفصیلات طلب کی گئیں تو انہوں نے یکسر ایسے کسی حملے سے انکار کردیا۔

تقریباً ایک سال قبل یونائیٹڈ بینک آف لمیٹڈ (یو بی ایل) کے صدر کی گرفتاری کی افواہیں گرم ہوئیں تو یو بی ایل کے متعلقہ فرد سے رابطہ کیا گیا مگر کوئی جواب نہیں ملا جس کے بعد اسٹیٹ بینک نے یو بی ایل کے حق میں بیان جاری کیا۔ اس وقت کے گورنر اسٹیٹ بینک کو بینک صدور کے اجلاس میں اس صورتحال کی وضاحت کرنا پڑی۔

اسی اجلاس میں، مَیں نے بینکوں کی جانب سے معلومات شیئر نہ کرنے کا معاملہ بھی اٹھایا تھا۔ اس کے بعد بھی حبیب بینک کے خلاف امریکا میں کارروائی ہو یا سمٹ بینک کی بندش کی افواہیں، تمام تر معملات میں بینکس درست معلومات بروقت میڈیا کو فراہم کرنے میں ناکام رہے ہیں اور اسی وجہ سے بینکس پر عوام کے اعتماد میں کمی ہورہی ہے۔