व्हेलिंग क्या होता है?

 

व्हेलिंग क्या होता है?

व्हेलिंग (Whaling) साइबर धोखाधड़ी का एक उन्नत रूप है, जिसमें अपराधी किसी कंपनी के उच्च पदस्थ अधिकारियों, जैसे कि CEO (Chief Executive Officer), CFO (Chief Financial Officer), या अन्य वरिष्ठ प्रबंधकों को निशाना बनाते हैं। इसे "एग्जीक्यूटिव फ़िशिंग" भी कहा जाता है क्योंकि इसमें "बड़ी मछलियों" (whales) को फंसाने का प्रयास किया जाता है।

सामान्य फ़िशिंग और स्पीयर फ़िशिंग की तुलना में, व्हेलिंग अधिक परिष्कृत होता है क्योंकि इसमें ठग पहले पीड़ित के बारे में गहराई से रिसर्च करते हैं, फिर अत्यधिक विश्वसनीय और प्रामाणिक दिखने वाले ईमेल या संदेश भेजते हैं, जिससे वरिष्ठ अधिकारियों को धोखा देना आसान हो जाता है।

व्हेलिंग कैसे किया जाता है?

1. टार्गेट की जानकारी जुटाना

अपराधी सबसे पहले अपने शिकार के बारे में पूरी जानकारी इकट्ठा करते हैं। इसके लिए वे LinkedIn, कंपनी की आधिकारिक वेबसाइट, प्रेस रिलीज़, सोशल मीडिया, और अन्य ऑनलाइन स्रोतों का उपयोग करते हैं।
वे यह पता लगाने की कोशिश करते हैं कि:

• कौन से अधिकारी वित्तीय निर्णय लेते हैं?
• कौन-कौन कंपनी में किस पद पर है?
• कंपनी की संरचना कैसी है?
• अधिकारियों की ईमेल आईडी और संपर्क नंबर क्या हैं?
• कंपनी में हाल ही में क्या बदलाव हुए हैं (जैसे अधिग्रहण, मर्जर, वित्तीय निवेश आदि)?

2. अत्यधिक विश्वसनीय नकली ईमेल बनाना

ठग कंपनी के किसी वरिष्ठ अधिकारी या साझेदार का ईमेल एड्रेस नकली बनाकर (Spoofing) कंपनी के CFO या वित्तीय विभाग के अधिकारी को ईमेल भेजते हैं।

उदाहरण:
"तत्काल ध्यान दें: गोपनीय फंड ट्रांसफर अनुरोध"

"प्रिय (CFO का नाम),
मैं एक महत्वपूर्ण भुगतान अनुरोध कर रहा हूँ, जो गोपनीय है और इसे तुरंत संसाधित करने की आवश्यकता है। कृपया बिना किसी देरी के $500,000 इस खाते में ट्रांसफर करें:
खाता संख्या: XXXX-XXXX-XXXX
बैंक: XYZ बैंक"

यह ईमेल CEO के नाम से भेजा जाता है, लेकिन वास्तव में यह ठगों द्वारा तैयार किया गया होता है।

3. नकली वेबसाइट और मालवेयर भेजना

• कभी-कभी, अपराधी अधिकारियों को लॉगिन पेज का नकली लिंक भेजते हैं, जहां वे अपने अकाउंट की जानकारी दर्ज करते हैं और पासवर्ड ठगों को मिल जाता है।
• वे फ़र्जी फाइल या पीडीएफ अटैचमेंट भेज सकते हैं, जिसमें मालवेयर (Spyware या Keylogger) होता है। जैसे ही अधिकारी इसे खोलते हैं, ठग उनके सिस्टम पर कंट्रोल कर लेते हैं।

4. वित्तीय धोखाधड़ी को अंजाम देना

एक बार जब ठग को आवश्यक जानकारी मिल जाती है, तो वे:

• कंपनी के खाते से बड़ी राशि निकाल सकते हैं।
• महत्वपूर्ण डेटा और दस्तावेज चुरा सकते हैं।
• कंपनी के नेटवर्क में सेंध लगाकर पूरे सिस्टम को हैक कर सकते हैं।
• कर्मचारी या क्लाइंट की गोपनीय जानकारी लीक कर सकते हैं।

---

व्हेलिंग के उदाहरण

✔ CEO Fraud (CEO स्कैम)
2016 में, ऑस्ट्रिया की एक एयरोस्पेस कंपनी FACC के CEO को ठगों ने नकली ईमेल भेजकर $47 मिलियन का नुकसान पहुँचाया। ईमेल कंपनी के फाइनेंस डिपार्टमेंट को भेजा गया था, जिसमें तत्काल भुगतान करने का निर्देश दिया गया था।

✔ फर्जी कानूनी नोटिस
ठग कंपनियों के CEO या CFO को नकली कानूनी नोटिस भेजते हैं, जिसमें बताया जाता है कि कंपनी पर भारी जुर्माना लगाया गया है और तत्काल भुगतान करने की आवश्यकता है।

✔ IT सपोर्ट स्कैम
CEO या CFO को IT टीम के नाम से ईमेल भेजा जाता है:
"हमने आपके ईमेल पर असामान्य गतिविधि देखी है, कृपया तुरंत अपनी जानकारी अपडेट करें।"
जैसे ही अधिकारी लिंक पर क्लिक करके जानकारी भरते हैं, ठग उनके अकाउंट को एक्सेस कर लेते हैं।

✔ बिजनेस ईमेल कंप्रोमाइज (BEC)
एक साइबर अपराधी CFO को CEO के नाम से ईमेल भेजता है, जिसमें लिखा होता है:
"हमारी कंपनी एक नया निवेश करने जा रही है। कृपया गोपनीयता बनाए रखें और तुरंत इस खाते में $5 मिलियन ट्रांसफर करें।"
बिना जाँच किए अगर CFO ट्रांसफर कर देता है, तो पैसा ठगों के पास चला जाता है।

---

व्हेलिंग से कैसे बचें?

✅ 1. उच्च पदस्थ अधिकारियों के लिए साइबर सिक्योरिटी ट्रेनिंग
CEO, CFO और अन्य वरिष्ठ अधिकारियों को साइबर धोखाधड़ी के खतरों और बचाव के तरीकों के बारे में जागरूक करना ज़रूरी है।

✅ 2. मल्टी-फैक्टर ऑथेंटिकेशन (MFA) अपनाएँ
संवेदनशील डेटा और वित्तीय ट्रांजैक्शन के लिए दो-चरणीय सत्यापन (OTP, सुरक्षा प्रश्न, बायोमेट्रिक्स) अनिवार्य करें।

✅ 3. भुगतान अनुरोधों की मैन्युअल पुष्टि करें
अगर कोई वरिष्ठ अधिकारी ईमेल के माध्यम से फंड ट्रांसफर करने को कहता है, तो पहले फोन कॉल या वीडियो कॉल के जरिए पुष्टि करें।

✅ 4. डोमेन स्पूफिंग से बचने के लिए ईमेल सिक्योरिटी लागू करें
ईमेल स्पूफिंग से बचाव के लिए DMARC, SPF, और DKIM सिक्योरिटी प्रोटोकॉल को सक्रिय करें।

✅ 5. महत्वपूर्ण ईमेल की प्रमाणिकता सत्यापित करें
कोई भी महत्वपूर्ण ईमेल आने पर यह जाँचें कि:

• ईमेल एड्रेस में कोई बदलाव (typo) तो नहीं है?
• भेजने वाला वास्तव में कंपनी का अधिकारी है या नहीं?
• मेल के अंदर दिए गए लिंक या अटैचमेंट संदिग्ध तो नहीं हैं?

✅ 6. नकली वेबसाइट और मालवेयर स्कैन करें
किसी भी संदिग्ध लिंक पर क्लिक करने से पहले उसे URL स्कैनर या कंपनी के IT डिपार्टमेंट से जाँच करवाएँ।

✅ 7. साइबर क्राइम की रिपोर्ट करें
अगर कोई व्हेलिंग स्कैम का शिकार बनता है, तो तुरंत बैंक, साइबर क्राइम पोर्टल (cybercrime.gov.in) या हेल्पलाइन 1930 पर रिपोर्ट करें।

---

निष्कर्ष

व्हेलिंग फ़िशिंग साइबर अपराधियों द्वारा कंपनियों के उच्च पदस्थ अधिकारियों को निशाना बनाने की एक खतरनाक रणनीति है। इसमें ठग CEO, CFO या अन्य वरिष्ठ अधिकारियों को नकली ईमेल भेजकर कंपनी की वित्तीय या संवेदनशील जानकारी चुराने का प्रयास करते हैं।

🔹 कंपनियों को इस खतरे को पहचानकर आवश्यक साइबर सिक्योरिटी उपाय अपनाने चाहिए।
🔹 भुगतान अनुरोधों की हमेशा सत्यापन करें और कभी भी जल्दबाजी में निर्णय न लें।
🔹 ईमेल सिक्योरिटी सेटिंग्स को मज़बूत करें और अनजान मेल पर क्लिक करने से बचें।
🔹 यदि संदेह हो, तो तुरंत IT टीम या साइबर सुरक्षा एजेंसियों से संपर्क करें।

"बड़ी मछलियों (Whales) को जाल में फँसने से बचाने के लिए साइबर सुरक्षा ही सबसे बड़ी ढाल है!"