Digital Lutera Toolkit: ऑनलाइन ठग नई टेक्नोलॉजी का इस्तेमाल कर यूनिफाइड पेमेंट्स इंटरफेस (यूपीआई) एप्लीकेशन्स के सेफ्टी सिस्टम को चकमा देकर फाइनेंशियल ट्रांजेक्शन को अंजाम दे रहे हैं। साइबर खुफिया कंपनी क्लाउडसेक की एक रिपोर्ट में यह दावा किया गया है। रिपोर्ट के अनुसार कंपनी ने संदेश भेजने से जुड़े प्लेटफॉर्म टेलीग्राम पर कम से कम 20 एक्टिव ग्रुप्स की पहचान की है। हर ग्रुप में 100 से ज्यादा मेंबर हैं जहां 'डिजिटल लुटेरा' नाम की टूलकिट पर चर्चा की जा रही है, उसे शेयर किया जा रहा है और उसका इस्तेमाल भी किया जा रहा है।
क्लाउडसेक के रिसर्चर (रिस्क) शोभित मिश्रा ने कहा, "यह केवल यूपीआई से जुड़ा एक और हानिकारक सॉफ्टवेयर नहीं है। डिजिटल लुटेरा डिवाइस सिस्टम पर भरोसे की संरचना पर हमला करता है। जब ऑपरेटिंग सिस्टम ही प्रभावित हो जाता है तो 'सिम-बाइंडिंग' और हस्ताक्षर जांच जैसे ट्रेडिशनल सेफ्टी मैकेनिज्म भी भरोसेमंद नहीं रहते हैं। अगर इसे नहीं रोका गया तो यह डिजिटल पेमेंट सिस्टम में बड़े पैमाने पर खातों पर पकड़ बनाने की घटनाओं को बढ़ावा दे सकता है।" गौरतलब है कि सिम बाइंडिंग एक ऐसी सुरक्षा टेक्नोलॉजी है जो व्हाट्सऐप, टेलीग्राम जैसे मैसेजिंग ऐप को केवल उसी रजिस्टर्ड सिम कार्ड से चलाने की परमिशन देती है जो फोन में लगा हो।
क्लाउडसेक ने बताया कि उसने ऐसे ही एक समूह के एनालिसिस में पाया कि केवल दो दिन में करीब 25 से 30 लाख रुपये के लेनदेन किए गए। इससे पता चलता है कि धोखाधड़ी का यह तरीका कितनी तेजी से फैल रहा है और कितने लोगों पर असर डाल रहा है। इस बारे में 'नेशनल पेमेंट्स कॉरपोरेशन ऑफ इंडिया' को भेजे गए ईमेल का कोई जवाब नहीं मिला है। 'सिम-बाइंडिंग' को इस बात का प्रमाण माना जाता रहा है कि कोई बैंक अकाउंट किसी खास हैंडसेट से सुरक्षित रूप से जुड़ा हुआ है। यूपीआई ऐप्स ट्रांजेक्शन से पहले उस फोन नंबर के सिम को वैरिफाई करते हैं जिसके साथ अकाउंट मोबाइल फोन में रजिस्टर्ड होता है।
क्लाउडसेक ने बताया कि यह हमला आमतौर पर तब शुरू होता है जब यूजर अनजाने में एक हार्मफुल APK फोन में डाल लेते हैं, जो किसी सामान्य सूचना (जैसे यातायात चालान या शादी के इनवाइट) के तौर पर दिखाई देती है। एक बार इसके फोन में आ जाने पर यह हानिकारक सॉफ्टवेयर विक्टिम के फोन में मैसेज पढ़ने की परमिशन हासिल कर लेता है। 'डिजिटल लुटेरा' टूलकिट आने के बाद हमलावर अपने डिवाइस पर एक खास एंड्रॉयड ढांचे के डिवाइस का इस्तेमाल कर सिस्टम लेवल की पहचान और मैसेज का हेरफेर करते हैं। इसके बाद बैंक के लिए भेजे जाने वाले रजिस्ट्रेशन मैसेज को बीच में ही पकड़ लिया जाता है और 'वन टाइम पासवर्ड' चुपचाप साइबर अटैकर के टेलीग्राम ग्रुप पर भेज दिए जाते हैं।
रिपोर्ट में कहा गया कि फोन के मैसेज रिकॉर्ड में 'भेजा गया' जैसे नकली मैसेज भी जोड़ दिए जाते हैं ताकि सब कुछ सामान्य दिखाई दे। इसका नतीजा यह होता है कि पीड़ित का यूपीआई खाता किसी दूसरे डिवाइस पर रजिस्टर और कंट्रोल किया जा सकता है जबकि असली सिम कार्ड पीड़ित के फोन में ही रहता है। साइबर खुफिया कंपनी ने कहा कि एंड्रॉयड डिवाइस में इस तरह की हेरफेर के बाद यूपीआई एप्लीकेशन को यह विश्वास हो जाता है कि वैरफिकेशन के लिए भेजे गए मैसेज वास्तव में उसी फोन से भेजे गए हैं। क्लाउडसेक ने बताया कि उसने जिम्मेदार खुलासे की प्रक्रिया के तहत संबंधित रेगुलेटर्स और वित्तीय संस्थानों को इसकी जानकारी दे दी है ताकि वे पहले से सावधानी बरतने के लिए कदम उठा सकें।
ये भी पढ़ें
LPG सप्लाई रुकने का मोबाइल और इंटरनेट सर्विसेज पर क्यों आ सकता है असर, जानें क्या है कनेक्शन
संपादक की पसंद
