پاکستان کے 22 بینکوں کے 19 ہزار کارڈز کا ڈیٹا ہیک ہوا
پاکستان کے 22 بینکوں کے 19 ہزار سے زائد ڈیبٹ اور کریڈٹ کارڈز کا ڈیٹا چوری ہو گیا ہے اور وہ ایک ڈارک ویب پر فروخت کے لیے موجود ہے۔ پاک سرٹ کی انٹیلی جنس رپورٹ کے مطابق پاکستانی بینکوں کے صارفین کے ویزہ اور ماسٹر کارڈ زایک سو ڈالر سے 160 ڈالرز تک میں فروخت ہو رہے ہیں۔
یہ کب شروع ہوا؟
اکتوبر کے وسط میں پاکستان میں بینک صارفین کو ان کے اکاؤنٹس سے رقوم کی منتقلی کے نوٹیفکیشن موصول ہونا شروع ہوئے۔ تاہم ، بینک اسلامی کو 27 اکتوبر کی صبح 26 لاکھ روپے کی غیرمعمولی ٹرانزیکشنز کا علم ہوا اور اس نے بین الاقوامی ادائیگیوں کا سسٹم بند کر دیا۔
اس کے بعد دیگر بینکوں نے بھی سیکیورٹی الرٹ جاری کیا اور صارفین کے ڈیبٹ اور کریڈٹ کارڈز کے ذریعے ادائیگیوں کو مکمل طور پر یا جزوہ طور پر بند کر دیا یا ان کی آن لائن اور بین الاقوامی ادائیگیوں کو بلاک کر دیا۔
کون کون سے بینکوں کا ڈیٹا چوری ہوا؟
پاک سرٹ کی انٹیلی جنس رپورٹ کے مطابق 26 اکتوبر 2018 کو ڈارک ویب پر 9 ہزار ڈیبٹ کارڈز کا ڈیٹا ڈالا گیا جن میں سے اکثریت کا تعلق پاکستانی بینکوں سے تھا۔
اگرچہ ابتدائی طور پر صرف بینک اسلامی کا نام سامنے آیا مگر ڈارک ویب پر موجود ڈیٹا میں دیگر 8 پاکستانی بینکوں کے بھی ہزاروں صارفین کے کارڈز کی تفصیلات بھی شامل تھیں۔
رپورٹ کے مطابق 26 تاریخ کو ڈارک ویب پر فروخت کے لیے ڈالے گئے ڈیٹا میں پاکستان کے 9 بینکوں کے مجموعی طور پر8 ہزار 8 سو 64 ڈیبٹ کارڈز کی تفصیلات درج تھیں۔
اس ڈیٹا میں سب سے زیادہ حبیب بینک لمیٹڈ کے 6170 کارڈز، دی بینک آف پنجاب کے 748 ، اسٹینڈرڈ چارٹرڈ بینک کے 586، بینک اسلامی کے 508، جے ایس بینک کے 355، سونیری بینک کے 333، فیصل بینک کے 120، بینک الفلاح کے 28 اور سامبا بینک کے 16 کارڈز کا ڈیٹا شامل تھا۔
ڈارک ویب پر ایک کارڈ کی قیمت کم از کم 100 ڈالرز اور زیادہ سے زیادہ 135 ڈالرز تک ہے۔
اس وقت جب پاکستان میں سب کا خیال تھا کہ طوفان تھم چکا ہے ، ڈارک ویب پر 31 اکتوبر کو مزید 12 ہزار کارڈز کا ڈیٹا فروخت کے لیے ڈالا دیا گیا جس میں 11 ہزار کارڈز پاکستانی بینکوں کے تھے۔
31 اکتوبر کو ڈالے گئے نئے ڈیٹا میں پاکستانی بینکوں کی تعداد 21 تک جاپہنچی لیکن اس مرتبہ کے ڈیٹا میں بینک اسلامی کا نام نہیں تھا۔
دوسرے ڈیٹا میں سب سے زیادہ حبیب بینک لمیٹڈ کے 2043 کارڈز، یو بی ایل کے 1381، میزان بینک کے 1375، ایم سی بی کے 1125، بینک الفلاح کے 795، اسٹینڈرڈ چارٹرڈ بینک کے 733، عسکری بینک کے 493، بینک الحبیب لمیٹڈ کے 489، فیصل بینک کے 458، حبیب میٹروپولیٹن بینک کے 344، دبئی اسلامی بینک کے 199، سمٹ بینک کے 184، جے ایس بینک کے 163، سونیری بینک کے 162، سِلک بینک کے 146، دی بینک آف پنجاب کے 120، البرکہ بینک کے 25، سامبا بینک کے 14، این آئی بی بینک کے 8 اور کے اے ایس بی بینک کے 2 کارڈز کا ڈیٹا شامل تھا۔
رپورٹ کے مطابق 31 اکتوبر کو ڈارک ویب پر ڈالے گئے کارڈز کی قیمت 100 ڈالر سے 160 ڈالرز فی کارڈ رکھی گئی ہے۔
بینک صارفین کی کون کون سی معلومات چوری ہوئیں؟
پاک سرٹ کے مطابق ہیک کیے گئے کارڈز کی تفصیلات ڈارک ویب پر دو فارمیٹ میں موجود ہیں۔ پہلے فارمیٹ میں مکمل نام، پتہ، ٹیلی فون نمبر، کارڈ نمبر، تاریخ تنسیخ اور سی وی وی 2 کی تفصیلات جو کہ آن لائن خریداری کے لیے استعمال کی جا سکتی ہیں، شامل ہیں۔
دوسرے فارمیٹ میں ہیکرز کی جانب سے ہیک کی گئی اے ٹی ایم اور دکانوں پر لگی مشینوں سے چوری کی گئی معلومات کی تفصیلات شامل ہیں۔ چوری کی گئی اس تفصیلات کے ذریعے ہیکرز نے اے ٹی ایم کارڈز کی کاپیاں (ڈپلی کیٹ) بنائیں جو کہ دنیا میں کسی بھی اے ٹی ایم مشین پر استعمال کی جا سکتی ہیں۔
پاک سرٹ کے مطابق مجموعی طور پر پاکستان کے 22 بینکوں سے 19 ہزار 864 کارڈز کی تفصیلات ڈارک ویب پر موجود ہیں۔
ڈیٹا چوری کیسے ہوا؟
پاک سرٹ کی رپورٹ کے مطابق ابتدائی خیال تھا کہ بینک اسلامی کے سروز ہیک ہوئے لیکن جس پیمانے پر 22 مختلف بینکوں کے کارڈز کی تفیصلات ڈارک ویب پر موجود ہیں اس سے ثابت ہوتا ہے کہ پاکستان میں متعدد اے ٹی ایمز ، دکانوں پر لگی مشینیوں کی ہیکنگ کی گئی۔
پاک سرٹ کے مطابق ڈارک ویب پر کارڈز کی قیمت کم ہوتی ہے مثلاً امریکا کے سٹی بینک کے کارڈ کی قیمت ڈارک ویب پر ایک ڈالر سے 35 ڈالر تک ہے مگر پاکستانی کارڈز جن سے رقم نکالنے کی حد کافی کم ہے ان کی قیمت حیران کن طور پر 100 ڈالر سے 160 ڈالر تک ہے۔
ڈائریکٹر ایف آئی اے سائبر کرائم ونگ نے پاکستانی بینکوں پر بین الاقوامی ہیکرز کے حملے کی تصدیق کرتے ہوئے کہا ہے کہ بینکوں کو خط لکھ کر اجلاس بلالیا ہے۔ ڈیٹا اور پیسے چوری ہونے کے ذمے دار کوئی اور نہیں خود بینک ہیں۔
دوسری جانب اسٹیٹ بینک نے بھی صارفین کو اپنے کارڈز کے پاس کوڈز باقاعدگی سے بدلنے اور کارڈز کے بیرون ملک سے آن لائن استعمال کو بند کرنے کی ہدایت کی ہے۔
سائبر سیکورٹی ماہرین کا خیال ہے کہ بظاہر بینکوں کے سروسز ہیک نہیں ہوئے بلکہ مقامی طور پر بینکوں کی اے ٹی ایم مشینوں، دکانوں اوراسٹورز پر لگی مشینوں میں گڑ بڑ کرکے صارفین کی معلومات چوری کی گئیں اور پھر انہیں بیرون ملک فروخت کیا گیا۔
پاک سرٹ کے سربراہ مصباح الدین نے جیو نیوز سے بات کرتے ہوئے بتایا کہ ‘بظاہر ہیکرز نے یہ ڈیٹا ‘اسکِمنگ ‘ [یعنی اے ٹی ایم مشیوں اور دکانوں پر لگی مشینوں] میں گڑبڑھ کرکے حاصل کیا ہے اسی لیے اسے ڈاک ویب پر ‘اسکِمڈ ڈیٹا’ کے نام سے رکھا گیا ہے۔’
مصباح کا کہنا ہے کہ ڈارک ویب پر موجود ڈیٹا فارمیٹ کے ذریعے خریدار کارڈز کی کاپی بنا کر اسے کسی بھی اسٹور یا اے ٹی ایم پر استعمال کر سکتے ہیں۔
یاد رہے کہ بینک اسلامی کے معاملے پر اسٹیٹ بینک نے اپنی رپورٹ میں کہا تھا کہ بینک اسلامی کے صارفین کے کارڈز بیرون ملک اے ٹی ایم مشینوں اور اسٹورز پر استعمال ہوئے۔
تاہم ابھی تک یہ واضح نہیں ہوا ہے کہ ہیکرز نے پاکستان میں کہاں کہاں اے ٹی ایم یا دیگر خریداری کی مشینوں کو ہیک کیا۔