Saturday, August 29, 2015

மொபைல் பேங்கிங்... ஷாக் ரிப்போர்ட்...

மொபைல் பேங்கிங்... ஷாக் ரிப்போர்ட்... பாதுகாப்பான பணப் பரிமாற்றத்துக்கு எச்சரிக்கை டிப்ஸ்!

து மொபைல் யுகம். உள்ளங்கையில்  ஆண்ட்ராய்டு மொபைல் போன் இருந்தாலே போதும், அத்தனை விஷயங்களையும் இருந்த இடத்தில் இருந்தபடியே செய்துவிட முடியும் என்கிற அளவுக்கு நிலைமை மாறிவிட்டது. இந்த நிலையில், வங்கிச் சேவை மட்டும் மொபைலில் வராமல் போய்விடுமா என்ன? பணம் எடுத்தாலோ அல்லது பணம் நம் வங்கிக் கணக்கில் வரவு வைக்கப்பட்டாலோ அனைத்துக்கும் எஸ்எம்எஸ் வருவது தொடங்கி, மொபைல் பேங்கிங் ஆப்ஸ், இன்டர்நெட் பேங்கிங், இ-வேலட் வரை  பல்வேறாக கிளைத்து வளர்ந்து வருகிறது வங்கித் துறை.

இன்றைய தேதியில் இந்தியாவில் 92 கோடி செல்போன்கள் புழக்கத்தில் இருக்கின்றன. மத்திய ரிசர்வ் வங்கியின் கணக்கின்படி, இந்தியாவில் தற்போது 57.08 கோடி டெபிட் கார்டுகளும், 2.14 கோடி கிரெடிட் கார்டுகளும் பயன்பாட்டில் இருக்கின்றன. பணத்தை கையில் வைத்திருந்தால் பாதுகாப்பு இல்லை. எனவே, வங்கிக் கணக்கில் டெபாசிட் செய்து அதை கார்டு மூலம் எடுத்துக்கொள்வோம் என்கிற நிலை போய், தற்போது கார்டைவிட மொபைல் இ-வேலட்டில் பணத்தை வைத்துக்கொண்டால்தான் ஓ.கே என்கிற மனநிலைக்கு மாறிக் கொண்டிருக்கிறார்கள் நம்மவர்கள். 

இதனால் மொபைல் பேங்கிங் அசுர வேகத்தில் காற்றைப்போல எங்கும் பரவி வருகிறது. இந்த மொபைல் பேங்கிங்கை அடுத்த கட்டத்துக்கு கொண்டுசெல்ல இன்று சந்தையில் இ-வேலட்கள் நிறையவே வந்துவிட்டன. பேடிஎம் (Paytm), பேயூமணி (Payumoney), பாக்கெட் ஐசிஐசிஐ பேங்க் (Pocket ICICI Bank), ஆக்ஸிஜன் வேலட்  (Oxygen  wallet), மொபிவிக் வேலட்(Mobiwik wallet) போன்ற முன்னணி இ-வேலட்கள் வரிசை கட்டி நிற்கின்றன.

மொபைல்மயம்!

தனியார் நிறுவனங்களே கோலேச்சி வந்த இந்தத் தறையில் தற்போது பொதுத் துறை வங்கிகளும் காலடி எடுத்து வைக்கத் தொடங்கிவிட்டன. இந்தியாவின் பெரிய பொதுத்துறை வங்கியான ஸ்டேட் பேங்க் ஆஃப் இந்தியா கடந்த சில நாட்களுக்கு முன்புதான் எஸ்பிஐ படி (SBI Buddy) என்கிற பெயரில் தன் இ-வேலட்டை தொடங்கி இருக்கிறது. இதன் தொடக்க விழாவில் பேசிய எஸ்பிஐ வங்கியின் தலைவர் அருந்ததி பட்டாச்சார்யா,  "இனி மொபைல்தான் பணப் பரிமாற்றத்தின் மையமாக இருக்கும்'' என்று சொல்லி இருக்கிறார்.

இந்திய அளவில் மட்டும் இல்லாமல், உலக அளவிலும் இனி மொபைல் பேங்கிங் வங்கிச் சேவைகளில் மிக முக்கிய பங்கு வகிக்கும் என்பதை கணித்திருக்கிறார்கள். உலக மொபைல் பேங்கிங் (World Mobile Banking) அறிக்கையின்படி, அடுத்த நான்கு ஆண்டுகளில் மொபைல் பேங்கிங் சேவைகளை பயன்படுத்தும் வாடிக்கையாளர்களின் எண்ணிக்கை 180 கோடியாக அதிகரிக்க வாய்ப்பு இருப்பதாக தெரிவித்திருக்கிறது. இது மொத்த உலக மக்கள் தொகையில் 25 சதவிகிதத்துக்கும் மேல். மொபைல் பேங்கிங் சேவையை பயன்படுத்துவதில் இந்தியா, சீனா போன்ற வளரும் நாடுகள், அமெரிக்கா, கனடா, பிரிட்டன் போன்ற வளர்ந்த நாடுகளை பின்னுக்குத் தள்ளி இருக்கிறது. 

இந்த அசுர வளர்ச்சியால் எந்த அளவுக்கு நம் வேலை சுலபமாகிறதோ, அதே அளவுக்கு ஆழம் தெரியாத ரிஸ்க் இருக்கிறது என்பது அதிர்ச்சி தரும் உண்மை. பணத்தின் மறுபிம்பமாக இருக்கக்கூடிய வங்கிகளுக்கும், வங்கிச் சேவைகளை செல்போன் மற்றும் இணையம் மூலம் பயன்படுத்தும் வாடிக்கையாளர் களுக்கும் இன்று பெரும் பிரச்னையாக உருவெடுத்தி ருக்கிறது  மொபைல் போன்கள். 

வைரஸ் அபாயம்!

இன்றைய தேதியில் ஆசிய - பசிபிக் பிராந்தியத்தில் உள்ள 70 சதவிகித வங்கிகளின் ஆப்ஸ்கள் வைரஸ்களால் பாதிக்கப்பட அதிக வாய்ப்புகள் இருப்பதாக விஜிலென்ட் (Wegilant) ஐ.டி செக்யூரிட்டி ரிசர்ச் நிறுவனம் கண்டறிந்து சொல்லி இருக்கிறது. இந்த வங்கிகள் பயன்படுத்தும் ஆப்ஸ்கள் எஸ்எஸ்எல் (SSL - Secure Socket Layer) என்கிற சான்றிதழ்கள் பெறாமல் இருப்பதாகவும் அந்த நிறுவனம் சொல்லி இருக்கிறது. எஸ்எஸ்எல் சான்றிதழ் இல்லாத ஆப்ஸ்களை பயன்படுத்தும்போது விவரங்களை மிக எளிதாக ஹேக் செய்துவிடலாம். வங்கி வாடிக்கையாளருக்கும் இணையத்துக்கும் இடையில் நடக்கும் தகவல் பரிமாற்றத்தை பாதுகாப்பதுதான் எஸ்எஸ்எல்-ன் முதல் பணி.

விஜிலென்ட் நிறுவனம் சொல்லும் இன்னொரு முக்கியமான தகவல், இந்தியாவில் உள்ள 33 வங்கிகளின் ஆப்ஸ்களை பரிசோதித்ததில் 29 வங்கிகளின் ஆப்ஸ்கள் வைரஸ்களால் பாதிப்படையும் விதத்தில் வடிவமைக்கப்பட்டிருப்பதாக சொல்லி இருப்பதுதான். இதில் 5 வங்கிகளின் ஆப்ஸ்கள் மிக எளிதில் வைரஸ்களால் பாதிப்படையும் வகையில் இருக்கிறதாம்!

ஹேக்கர்கள்... உஷார்!

இன்றைக்கும் பலரும் பொது இடத்தில் கிடைக்கும் வைஃபை வசதியைக் கொண்டு  மொபைலிலிருந்து வங்கிச் சேவையைப் பயன்படுத்து கிறோம். அப்படி பயன்படுத்தும் போது நம் விவரங்கள் திருடப்பட வாய்ப்புகள் இருக்கின்றன. காரணம், வைஃபை மூலம் இணையத்தை வழங்குபவர் ஹேக்கராக இருந்தால், நம் லாக் ஃபைல்களை (log file) திருட வாய்ப்பு இருக்கிறது. இந்த லாக் ஃபைல்கள் இருந்தாலே, நம் போன் மூலம் என்ன செய்தோமோ, அதை நம் போன் இல்லாமலேயே ஹேக்கரால் செய்ய முடியும்.

இத்தனை நாளும் இணையத்தில்தான் வைரஸ்களின் அட்டாக் இருந்தது. ஆனால், இன்று நமது செல்போனில் இருக்கும் நிதி சார்ந்த விவரங்களை மட்டும் ஹேக் செய்வதற்கும், நம் பணத்தை நம் யூசர்நேம் மற்றும் பாஸ்வேர்டுகளை திருடவும் பல வைரஸ்கள் கண்டுபிடிக்கப் பட்டிருக்கின்றன. உதாரணமாக, ஃபிஸ்ஸிங் மற்றும் ஸ்பூஃபிங் (Phising, Spoofing) என்கிற முறையில், நம் போனுக்கோ அல்லது கம்ப்யூட்டருக்கோ வைரஸ்களை தாக்கவிட்டு, நம் விவரங்களை நமக்குத் தெரியாமலேயே எடுத்துக் கொள்கிறார்கள் ஹேக்கர்கள். 

நாம் எந்த வங்கியில் கணக்கு வைத்திருக்கிறோம் என்பதை மட்டும் தெரிந்துகொண்டு நம் வங்கியிலிருந்து மெயில் அனுப்புவதுபோல ஹேக்கர்கள் ஒரு மெயிலை அனுப்புவார்கள். நாமும் அந்த மெயில் உண்மையாகவே வங்கியிடமி ருந்துதான் வந்தது என்று எண்ணி, அந்த மெயிலுக்குப் பதிலளிப்போம். அப்படி அளித்துவிட்டால் அதன்பிறகு வங்கிக்குப் பதிலாக எப்போதும் அந்த ஹேக்கரிடம்தான் நாம் தொடர்பு கொள்ளவேண்டி இருக்கும். இந்த வகையான பாதிப்புகளை 'ரீப்ளே அட்டாக்' (Replay attack) என்கிறார்கள்.

இந்த மெயிலுக்கு பதில் அளிக்கும்போது நம்முடைய முக்கிய வங்கிக் கணக்கு விவரங்களான டெபிட் கார்டு, கிரெடிட் கார்டு எண்கள், பாஸ்வேர்டுகள், நெட் பேங்கிங்  செய்வதற்கான யூசர்நேம் பாஸ்வேர்டுகள் போன்றவை களை டைப் செய்யும்போது, வைரஸானது அந்த ரகசிய விவரங்களை ஹேக்கர்களுக்கு அனுப்பிவிடும். இதனால் நம் வங்கிக் கணக்குகளில் உள்ள பணத்தை நாமே திருட வழி சொல்லியது போல் ஆகிவிடுகிறது. கிடைத்த விவரங்களை வைத்து நமக்கு பதில் ஹேக்கர் பணப் பரிமாற்றங்களை மேற்கொள்வார். இதை  'அன் ஆத்தரைஸ்டு ஆக்சஸ்' (Unauthorised access) என்பார்கள்.

எஸ்எஸ்எல் சான்றிதழ் இல்லாத வலைதளங்கள் மற்றும் ஆப்ஸ்களை பயன்படுத்தும் போது, வாடிக்கையாளருக்கும், இணையத்துக்கும் இடையில் தகவல் பரிமாற்றம் நடைபெறும்போது நமக்கே தெரியாமல் நம் ரகசிய தகவல்களைத் திருட முடியும். இந்த வகையான தாக்குதல்களை 'மேன் இன் தி மிடில் அட்டாக்' (Man in the middle attack) என்பார்கள். இந்த பாதிப்புதான் அதிக அளவில் நடைபெறுகிறது. எனவே, இதை தடுக்க எஸ்எஸ்எல் சான்றிதழ் உள்ள ஆப்ஸ்களை டவுன்லோடு செய்வது அவசியம். அதோடு வங்கியின் அதிகாரப்பூர்வமான வலைதளத்திலும், கூகுள் ப்ளேஸ்டோர், ஆப்பிள் ஐடியூன்ஸ் போன்ற நம்பகமான ஆப்ஸ் ஸ்டோர்களிலிருந்து டவுன்லோடு செய்தால் வைரஸ் தாக்குதல்களின் அளவை கணிசமாகக் குறைக்க முடியும்.

பாதுகாப்புக்கு வழி!

சமீபத்தில் கான்ஃபிக்கர்  (Confickr) என்று ஒரு வைரஸ் கண்டுபிடிக்கப்பட்டிருக்கிறது. இந்த வைரஸ்களால் ஒரு மொபைல் பாதிக்கப்பட்டால், அதன்பிறகு ஆண்டிவைரஸ்களை கூட அந்த போனில் அப்டேட் செய்ய முடியாது. ஆண்டி வைரஸ்களை அப்டேட் செய்ய முடியவில்லை என்றால், சாதாரண வைரஸ்கள்கூட மொபைல் போனுக்குள் நுழைந்து முக்கியத் தகவல்களை வேட்டையாடத் தொடங்கி விடும். ஏடிஎம் பின், கிரெடிட் கார்டு பின், நெட்பேங்கிங், யூசர்நேம் மற்றும் பாஸ்வேர்டு என்று அனைத்தையும் நாம் மொபைல் போனிலேயே வைத்திருப்பதால், சொந்தச் செலவில் சூனியம் வைத்துக் கொண்ட மாதிரி ஆகிவிடும். கான்ஃபிக்கர் மட்டும் அல்ல, ஐலவ்யூ (Iloveyou), பாட்நெட் (botnet), கோட்ரெட் (codered) என்று தினமும் பல புதிய வைரஸ்கள் வந்துகொண்டேதான் இருக்கின்றன.

மொபைல் போனில் பணப் பரிமாற்றம் செய்யும்போது இத்தனை பிரச்னைகள் இருந்தாலும் அது இல்லாமல் இனி இருக்க முடியாது என்கிற நிலைக்கு வந்துவிட்டோம். இனி இணைய வெளியில் வங்கிப் பரிமாற்றங்களை எப்படி பாதுகாப்பாக மேற்கொள்வது என்பது முக்கியமான விஷயம். வங்கிகள் தங்கள் வாடிக்கையாளர்களின் பாதுகாப்புக்கு என்ன செய்கிறது என்கிற கேள்வியை நேஷனல் பேமென்ட் கார்ப்பரேஷன் ஆஃப் இந்தியா (National Payment Corporation of India - NPCI) அமைப்பின் இம்மீடியட் பேமென்ட் சர்வீஸ் துறையின் (IMPS - Immediate Payment service) தலைவர் ராம் ரஸ்தோகியிடம் கேட்டோம்.

"நம் மொபைல் போன்கள் வைரஸ்களால் பாதிப்படைய பல காரணங்கள் இருக்கின்றன. வாடிக்கையாளர்கள் செய்யும் தவறுகளை சரிசெய்து கொண்டாலே பாதிப் பிரச்னை தீர்ந்துவிடும்.

ஆப்ரேட்டிங் சிஸ்டம் மூலம் வரும் வைரஸ்கள்! 

மால்வேர் வகையான வைரஸ்கள் நம் மொபைல் போன்களைத் தாக்கினால் பாதிப்பு ஏற்படும். குறிப்பாக, அங்கீகரிக்கப்படாத வலை தளங்களில்தான் அதிக மால்வேர்கள் இருக்கும். எனவே, அங்கீகரிக்கப்படாத வலை தளங்களில் உலாவுவதை நிறுத்தினாலே ஆப்ரேட்டிங் சிஸ்டம் மூலம் ஏற்படும் வைரஸ் தொற்று ஏற்படாமல் பாதுகாத்துக் கொள்ளலாம். 

ஹார்டுவேர் மற்றும் அப்ளிகேஷன்கள் மூலம் வரும் வைரஸ்கள்! 

பொதுவாக, நம்பகத்தன்மை இல்லாத எஸ்எஸ்எல் சான்றிதழ் அளிக்கப்படாத அப்ளிகேஷன்களைத் தவிர்ப்பது நல்லது.

அதேபோல, சிம் தொலைந்துவிட்டால் அதே எண்ணை வாங்குவதற்காக சிம் குளோனிங் செய்கிறார்கள் சிலர். இப்படி செய்யப்படும் சிம் கார்டை பயன்படுத்துவதால்,  வைரஸ் பாதிப்பு ஏற்பட வாய்ப்பு உண்டு. எனவே, சிம் கார்டு தொலைந்து விட்டால், வேறு ஒரு புதிய எண்ணை வாங்கிக் கொள்வது நல்லது.

அத்துடன் அப்ளிகேஷன்களை டவுன்லோடு செய்யும்போது அந்த ஆப்ஸ்களில் பிஐஇ (Position Independent Executable) எஸ்எஸ்பி (Stack Smashing Protection) போன்றவைகள் இருக்கிறதா என்பதை எல்லாம் உறுதி செய்துகொண்டு டவுன்லோடு செய்வது நல்லது.

புரோட்டோக்கால்களில் உள்ள தவறு!

சில மொபைல் போன்கள் விற்பனைக்கு வந்தவுடனேயே வாடிக்கையாளரிடம் வரவேற்பு கிடைக்காமல் ஃபெயிலியர் மாடலாகிவிடும். இப்படி ஃபெயிலியர் ஆகும் மாடல்களில் சில போன்களின் புரோட்டோகால்கள் (விதிகள்) தவறாக எழுதப்பட்டிருக்கும். இந்த போனில் தரப்பட்டுள்ள அல்காரிதம்களும் வலுவில்லாத தாகவே இருக்கும் (Weak Cryptographic algorithms).

எனவே, அந்த போனை பயன்படுத்தி இணையத்தில் உலவும்போது, நம் முக்கியமான ஃபைல்களை எல்லாம் லாக் செய்துவிடுவார்கள். இப்படி தவறாக புரோட்டோகால் எழுதப்பட்ட போன்களை வாங்குவதையும் தவிர்ப்பது நல்லது.

வாடிக்கையாளர்களின் பிரைவஸி மற்றும் நம்பகத் தன்மையை அதிகப்படுத்த ஒன்டைம் பாஸ்வேர்டு (OTP) போன்ற வசதிகள் எல்லாம் கொண்டு வரப்பட்டிருக்கின்றன.

ஒருவேளை நீங்கள் வங்கிப் பரிமாற்றம் செய்யும்போது உங்களுக்கு ஓடிபி வரவில்லை என்றால் உடனே வங்கியுடன் தொடர்புகொண்டு ஏன் வரவில்லை என்று விசாரியுங்கள்.

இந்தியாவில் உள்ள பெரும்பாலான வங்கிகள் தங்கள் அதிகாரப்பூர்வமான அப்ளிகேஷன்களை வடிவமைக்கும் பணியை ஐபிஎம் (IBM), எஃப்எஸ்எஸ் (FSS), இன்ஃபோசிஸ் (Infosys) போன்ற நிறுவனங்களிடம் தந்திருக்கின்றன.

சமீபத்தில் இதுபோன்ற ஆப்ஸ் வடிவமைப்பு பணிகளுக்கு புதிய   ஸ்டார்ட் -அப்களான மொபிமி (Mobime), ஃபொனேபைஸா (Fonepaisa), ஜிஐகேஷ் (GI cash) போன்ற நிறுவனங்களும் இணைந்திருக்கின்றன.

செக்யூரிட்டி சிஸ்டம்!

வங்கி தவிர மற்ற நிறுவனங்களும் ஆப்ஸ்களை வடிவமைப்பதுடன் வேறு நிறுவனங்களின் சர்வர்களையும் பயன்படுத்தி வருகின்றன. பல வங்கிகள் வெளிநாட்டு சர்வர்களையும் பயன்படுத்துகின்றன. இப்போது ஒருபடி மேலே போய் க்ளவுட் ஸ்டோரேஜ்களும் பயன்படுத்தப்பட்டு வருகின்றன.

வங்கிகளின் ஆப்ஸ்கள் அங்கீகரிக்கப்பட்ட செக்யூரிட்டி லேப்களில் தணிக்கை செய்யப்பட்டு சான்றிதழ் அளிக்கப்பட வேண்டும். அதோடு குறிப்பிட்ட காலத்துக்கு ஒருமுறை வங்கி தரும் ஆப்ஸ்களையும் அதிகாரப்பூர்வ வலைதளத்தையும் சரிபார்க்க வேண்டும். இந்த நடவடிக்கை களை இந்தியாவில் உள்ள பல வங்கிகள் செய்துவருகின்றன.அதுமட்டுமல்லாமல், அரசு மொபைல் மற்றும் இணைய வங்கிப் பரிமாற்றங்களுக்கு என்றே பல வழிமுறைகளை சொல்லி இருக்கிறது. இந்த வழிமுறைகள் நடைமுறையில் பின்பற்றப்பட்டும் வருகிறது.

வங்கிகளும் தங்கள் மொபைல் ஆப்ஸ்களை பல கட்ட பரிசோதனைகளுக்கு பிறகுதான் இயக்கத் தொடங்குகின்றன. ஒவ்வொரு வங்கியிலும் தனியாக ஐ.டி செக்யூரிட்டி மற்றும் ரிஸ்க் துறைகள் இருக்கின்றன.

இவை இன்று சந்தையில் நிலவும் ஐ.டி சவால்களை எல்லாம் சந்தித்து வாடிக்கையாளரின் பணப் பரிமாற்றத்துக்கு பாதுகாப்பு அளித்து வருகிறது" என்று சொல்லி முடித்தார்.

(ராம் ரஸ்தோகி கூறியுள்ள கருத்துக்கள் அவரது சொந்த கருத்துக்களே. இதற்கும் அவர் பணிபுரியும் நிறுவனத்துக்கும் எவ்விதத் தொடர்பும் கிடையாது.)

மொபைல் பேங்கிங் தொழில்நுட்பத்தில் புதிது புதிதாக பிரச்னைகள் வந்துகொண்டிருந்தாலும், அதற்கான தீர்வுகளும் வந்துகொண்டுதான் இருக்கிறது.

மேற்கூறிய பாதுகாப்பு வழிமுறைகளைப் பின்பற்றி மொபைல் போன் மூலம் நம் பணப் பரிமாற்றங்களை பாதுகாப்பாக மேற்கொள்வோமே!

ஆண்ட்ராய்டில் அதிரடி அட்டாக்!

இந்தியா மட்டுமல்லாமல் உலக அளவிலும் மொபைல் பேங்கிங் பிரச்னைகளைச் சந்தித்து வருகிறது. சமீபத்தில் அமெரிக்காவை ஸ்வ்பென்க் (Svpeng) என்கிற மால்வேர் தாக்கி இருக்கிறது என்கிற செய்தியை அமெரிக்கன் பேங்கர் (American Banker) என்கிற வலைதளம் வெளியிட்டிருக்கிறது. இந்த வைரஸ் ஆண்ட்ராய்டு போன்களை குறிவைத்து தாக்கும் வகையில் வடிவமைக்கப்படுகிறது. இந்த வைரஸ்களால் நம் போன் பாதிக்கப்பட்டால் போனின் மொத்த செயல்பாடுகளும் முடக்கப்பட்டுவிடும்.

இன்று உலகில் அதிக அளவிலான மக்கள் ஆண்ட்ராய்டு போன்களைத்தான் பயன்படுத்துகிறார்கள். ஜூலை 2015 கணக்கின்படி, இந்தியர்கள் பயன்படுத்தும் மொபைல் போன்களில் 62.3 சதவிகித நபர்களின் மொபைல்கள் ஆண்ட்ராய்டு (Android) இயங்குதளத்தை கொண்டது என்று ஸ்டாடிஸ்டா(Statista) என்கிற நிறுவனம் கணித்திருக்கிறது.

ஆண்ட்ராய்டு போன்களைத் தாக்குவதுதான் மால்வேர் (Malware) வகை வைரஸ்களின் முதல் இலக்கு. இந்த மால்வேர் வகையில் பல வைரஸ்கள் இருக்கின்றன. இந்த மால்வேர் வகையான வைரஸ்கள் நம் போனை தாக்கினால் போன்தான் நம் கையில்தான் இருக்கும். ஆனால், நம் போனின் கட்டுப்பாடு ஹேக்கர்களின் கையில் இருக்கும் என்கிறார்கள். இதுபோன்ற வைரஸ் தாக்குதல்களிடமிருந்து பாதுகாத்துக்கொள்ளும் வழிகளை அறிவது அவசியம் .