ऑनलाइन ठग अब नई तकनीकों का इस्तेमाल करके यूपीआई ऐप्स की सुरक्षा व्यवस्था को धोखा दे रहे हैं और लोगों के पैसों का गलत तरीके से लेन-देन कर रहे हैं। क्लाउडसेक नाम की साइबर खुफिया कंपनी की एक रिपोर्ट में यह बात सामने आई है। रिपोर्ट के मुताबिक कंपनी ने मैसेजिंग प्लेटफॉर्म टेलीग्राम पर कम से कम 20 ऐसे सक्रिय ग्रुप पाए हैं। हर ग्रुप में 100 से ज्यादा सदस्य हैं। इन ग्रुपों में “डिजिटल लुटेरा” नाम के टूलकिट के बारे में चर्चा की जा रही है, उसे आपस में शेयर किया जा रहा है और उसका इस्तेमाल भी किया जा रहा है।
क्लाउडसेक के अनुसंधानकर्ता (खतरा) शोभित मिश्रा ने कहा, ’’ यह केवल यूपीआई से जुड़ा एक और हानिकारक सॉफ्टवेयर नहीं है। डिजिटल लुटेरा उपकरण प्रणाली पर भरोसे की संरचना पर हमला करता है। जब संचालन तंत्र ही प्रभावित हो जाता है तो ’सिम-बाइंडिंग’ और हस्ताक्षर जांच जैसी पारंपरिक सुरक्षा व्यवस्थाएं भरोसेमंद नहीं रहतीं। यदि इसे नहीं रोका गया तो यह डिजिटल भुगतान प्रणाली में बड़े पैमाने पर खातों पर पकड़ बनाने की घटनाओं को बढ़ावा दे सकता है।’’
तेजी से फैल रहा है धोखा धड़ी का नया तरीका
'सिम बाइंडिंग' एक ऐसी सुरक्षा प्रौद्योगिकी है जो व्हाट्सऐप, टेलीग्राम जैसे मैसेजिंग ऐप को केवल उसी रजिस्टर्ड सिम कार्ड से चलाने की अनुमति देती है जो फोन में लगा हो। क्लाउडसेक ने बताया कि उसने ऐसे ही एक समूह के विश्लेषण में पाया कि केवल दो दिन में करीब 25 से 30 लाख रुपये के लेनदेन किए गए। इससे पता चलता है कि धोखाधड़ी का यह तरीका कितनी तेजी से फैल रहा है और कितने लोगों को प्रभावित कर रहा है। इस संबंध में ’नेशनल पेमेंट्स कॉरपोरेशन ऑफ इंडिया’ को भेजे गए ईमेल का कोई जवाब नहीं मिला है।
’सिम-बाइंडिंग’ को इस बात का प्रमाण माना जाता रहा है कि कोई बैंक खाता किसी विशेष उपकरण से सुरक्षित रूप से जुड़ा हुआ है। यूपीआई अनुप्रयोग लेनदेन से पहले उस फोन नंबर के सिम का सत्यापन करते हैं जिसके साथ खाता मोबाइल फोन में पंजीकृत होता है।
इस एक्टिविटी के बाद होता है साइबर अटैक
क्लाउडसेक ने बताया कि यह हमला आमतौर पर तब शुरू होता है जब उपयोगकर्ता अनजाने में एक हानिकारक एपीके फोन में डाल लेते हैं, जो किसी सामान्य सूचना (जैसे यातायात चालान या शादी के निमंत्रण) के रूप में दिखाई देती है। एक बार इसके फोन में आ जाने पर यह हानिकारक सॉफ्टवेयर पीड़ित के फोन में संदेश पढ़ने की अनुमति प्राप्त कर लेता है।
’डिजिटल लुटेरा’ टूलकिट स्थापित होने के बाद हमलावर अपने उपकरण पर एक विशेष एंड्रॉयड ढांचे के उपकरण का उपयोग कर प्रणाली स्तर की पहचान एवं संदेशों के हेरफेर करते हैं। इसके बाद बैंक के लिए भेजे जाने वाले पंजीकरण संदेशों को बीच में ही पकड़ लिया जाता है और ’वन टाइम पासवर्ड’ चुपचाप हमलावरों द्वारा नियंत्रित टेलीग्राम ग्रुप पर भेज दिए जाते हैं।
रिपोर्ट में कहा गया कि फोन के संदेश अभिलेख में ’’भेजा गया’’ जैसे नकली संदेश भी जोड़ दिए जाते हैं ताकि सब कुछ सामान्य दिखाई दे। इसका परिणाम यह होता है कि पीड़ित का यूपीआई खाता किसी दूसरे उपकरण पर पंजीकृत और नियंत्रित किया जा सकता है जबकि असली सिम कार्ड पीड़ित के फोन में ही रहता है।
साइबर खुफिया कंपनी ने कहा कि एंड्रॉयड उपकरण में इस प्रकार की हेरफेर के बाद यूपीआई अनुप्रयोग को यह विश्वास हो जाता है कि सत्यापन के लिए भेजे गए संदेश वास्तव में उसी फोन से भेजे गए हैं। क्लाउडसेक ने बताया कि उसने जिम्मेदार खुलासे की प्रक्रिया के तहत संबंधित नियामकों एवं वित्तीय संस्थानों को इसकी जानकारी दे दी है ताकि वे पहले से सावधानी बरतने के लिए कदम उठा सकें।
(इनपुट- भाषा)
गौरव तिवारी टाइम्स नाउ नवभारत डिजिटल में टेक और ऑटो बीट को कवर करते हैं। मीडिया इंडस्ट्री में 9 वर्षों के अनुभव के साथ, गौरव तकनीकी दुनिया की तेजी से ... और देखें