स्कैमर्स ने विभिन्न अमेरिकी राज्य, काउंटी और स्थानीय सरकारों, संघीय एजेंसियों और विश्वविद्यालयों की आधिकारिक वेबसाइटों को लक्षित करते हुए बड़े पैमाने पर स्पैम अभियान चलाया है। अभियान में हैकिंग सेवाओं और धोखाधड़ी गतिविधियों को बढ़ावा देने वाले विज्ञापनों वाली पीडीएफ फाइलों को अपलोड करना शामिल था। कुछ प्रभावित वेबसाइटों में राज्य सरकारों (कैलिफ़ोर्निया, उत्तरी कैरोलिना, न्यू हैम्पशायर, ओहियो, वाशिंगटन और व्योमिंग), काउंटी सरकारें (मिनेसोटा में सेंट लुइस काउंटी, ओहियो में फ्रैंकलिन काउंटी, डेलावेयर में ससेक्स काउंटी), स्थानीय शामिल हैं। नगरपालिकाएं (जॉर्जिया में जॉन्स क्रीक), और विश्वविद्यालय (यूसी बर्कले, स्टैनफोर्ड, येल, और अधिक)।
स्कैमर वेबसाइटों पर अवैध सेवाओं के विज्ञापन पोस्ट करते हैं
पीडीएफ फाइलों के भीतर स्कैमर्स विज्ञापनों ने वेबसाइटों को इंस्टाग्राम, फेसबुक और स्नैपचैट खातों को हैक करने, वीडियो गेम में धोखा देने और नकली अनुयायियों को उत्पन्न करने के लिए सेवाओं की पेशकश की। हालांकि अभियान का मुख्य उद्देश्य स्कैम सेवाओं को बढ़ावा देना था, लेकिन सुरक्षा कमजोरियों की उपस्थिति संभावित दुर्भावनापूर्ण गतिविधियों के बारे में चिंता पैदा करती है। सिटीजन लैब के एक वरिष्ठ शोधकर्ता द्वारा पाया गया PDF, एक बड़े स्पैम अभियान का संकेत देता है जो एक ही समूह या व्यक्ति द्वारा चलाया जा सकता है।
विशेषज्ञों ने इस बात पर प्रकाश डाला है कि स्कैमर पीडीएफ अपलोड गलत सेवाओं, अप्रकाशित सामग्री प्रबंधन प्रणाली (सीएमएस) बग और अन्य सुरक्षा कमजोरियों का फायदा उठाते हैं। विज्ञापित वेबसाइटों की जांच के दौरान यह पता चला कि वे क्लिक धोखाधड़ी के माध्यम से राजस्व उत्पन्न करने की एक योजना का हिस्सा थीं। अभियान के पीछे साइबर अपराधी पॉप-अप बनाने के लिए ओपन-सोर्स टूल का उपयोग करते दिखाई दिए, जो पृष्ठभूमि में पैसे पैदा करते हुए मानव आगंतुकों को सत्यापित करते हैं। स्रोत कोड की समीक्षा करने से पता चला कि विज्ञापित हैकिंग सेवाएं कथित पीड़ितों के प्रोफ़ाइल चित्रों और नामों को प्रदर्शित करने के बावजूद संभावित रूप से नकली थीं।
वेबसाइटों की सुरक्षा को लेकर चिंताएं पैदा होती हैं
जॉर्जिया में जॉन्स क्रीक शहर और वाशिंगटन विश्वविद्यालय जैसी प्रभावित संस्थाओं के प्रतिनिधियों ने उल्लेख किया कि यह समस्या केंटिको सीएमएस नामक सामग्री प्रबंधन प्रणाली में खामियों से उपजी है। हालांकि, यह स्पष्ट नहीं है कि सभी साइटों के साथ समझौता कैसे किया गया। कुछ मामलों में, स्कैमर्स ने ऑनलाइन फॉर्म या सीएमएस सॉफ्टवेयर में खामियों का फायदा उठाया, जिससे उन्हें पीडीएफ अपलोड करने की इजाजत मिली। कैलिफ़ोर्निया डिपार्टमेंट ऑफ़ फ़िश एंड वाइल्डलाइफ़ और यूके में बकिंघम विश्वविद्यालय सहित प्रभावित संगठनों ने स्वीकार किया कि उनकी साइटों का उल्लंघन नहीं किया गया था, बल्कि गलत तरीके से कॉन्फ़िगर किए गए या कमजोर घटक थे जो अनधिकृत PDF अपलोड की सुविधा प्रदान करते थे।
जबकि इस स्पैम अभियान का समग्र प्रभाव न्यूनतम होने की उम्मीद है, .gov वेबसाइटों पर सामग्री अपलोड करने की क्षमता संपूर्ण अमेरिकी सरकार के डिजिटल बुनियादी ढांचे के भीतर संभावित कमजोरियों के बारे में चिंता पैदा करती है। पिछली घटनाओं, जैसे कि ईरानी हैकर्स ने अमेरिकी शहर की वेबसाइट पर मतगणना में बदलाव करने का प्रयास किया, ने साइबर खतरों के खिलाफ सरकार और चुनाव संबंधी वेबसाइटों को सुरक्षित करने के महत्व को रेखांकित किया है।
अमेरिकी साइबर सुरक्षा एजेंसी, CISA के साथ, प्रभावित संस्थाओं के साथ समन्वय करके और आवश्यकतानुसार सहायता प्रदान करके इस मुद्दे को हल करने के प्रयास चल रहे हैं। प्रभावित संगठनों ने भविष्य में इसी तरह की घटनाओं को रोकने के लिए दुर्भावनापूर्ण PDF को हटाने, कमजोरियों को ठीक करने और सुरक्षा उपायों को बढ़ाने के लिए कदम उठाए हैं। हालांकि, यह घटना उभरते खतरों के खिलाफ ऑनलाइन प्लेटफॉर्म की सुरक्षा के लिए आवश्यक निरंतर सतर्कता की याद दिलाती है।
स्रोत: https://www.cryptopolitan.com/scammers-offer-services-government-websites/