नयी दिल्ली, 11 मार्च (भाषा) ऑनलाइन ठग नई प्रौद्योगिकी का इस्तेमाल कर यूनिफाइड पेमेंट्स इंटरफेस (यूपीआई) अनुप्रयोगों की सुरक्षा प्रणाली को चकमा देकर वित्तीय लेनदेन को अंजाम दे रहे हैं। साइबर खुफिया कंपनी क्लाउडसेक की एक रिपोर्ट में यह दावा किया गया है।
रिपोर्ट के अनुसार कंपनी ने संदेश भेजने से जुड़े मंच टेलीग्राम पर कम से कम 20 सक्रिय समूहों की पहचान की है। प्रत्येक समूह में 100 से अधिक सदस्य हैं जहां ‘‘डिजिटल लुटेरा’’ नामक टूलकिट पर चर्चा की जा रही है, उसे साझा किया जा रहा है और उसका उपयोग भी किया जा रहा है।
क्लाउडसेक के अनुसंधानकर्ता (खतरा) शोभित मिश्रा ने कहा, ‘‘ यह केवल यूपीआई से जुड़ा एक और हानिकारक सॉफ्टवेयर नहीं है। डिजिटल लुटेरा उपकरण प्रणाली पर भरोसे की संरचना पर हमला करता है। जब संचालन तंत्र ही प्रभावित हो जाता है तो ‘सिम-बाइंडिंग’ और हस्ताक्षर जांच जैसी पारंपरिक सुरक्षा व्यवस्थाएं भरोसेमंद नहीं रहतीं। यदि इसे नहीं रोका गया तो यह डिजिटल भुगतान प्रणाली में बड़े पैमाने पर खातों पर पकड़ बनाने की घटनाओं को बढ़ावा दे सकता है।’’
‘सिम बाइंडिंग’ एक ऐसी सुरक्षा प्रौद्योगिकी है जो व्हाट्सऐप, टेलीग्राम जैसे मैसेजिंग ऐप को केवल उसी रजिस्टर्ड सिम कार्ड से चलाने की अनुमति देती है जो फोन में लगा हो।
क्लाउडसेक ने बताया कि उसने ऐसे ही एक समूह के विश्लेषण में पाया कि केवल दो दिन में करीब 25 से 30 लाख रुपये के लेनदेन किए गए। इससे पता चलता है कि धोखाधड़ी का यह तरीका कितनी तेजी से फैल रहा है और कितने लोगों को प्रभावित कर रहा है।
इस संबंध में ‘नेशनल पेमेंट्स कॉरपोरेशन ऑफ इंडिया’ को भेजे गए ईमेल का कोई जवाब नहीं मिला है।
‘सिम-बाइंडिंग’ को इस बात का प्रमाण माना जाता रहा है कि कोई बैंक खाता किसी विशेष उपकरण से सुरक्षित रूप से जुड़ा हुआ है। यूपीआई अनुप्रयोग लेनदेन से पहले उस फोन नंबर के सिम का सत्यापन करते हैं जिसके साथ खाता मोबाइल फोन में पंजीकृत होता है।
क्लाउडसेक ने बताया कि यह हमला आमतौर पर तब शुरू होता है जब उपयोगकर्ता अनजाने में एक हानिकारक एपीके फोन में डाल लेते हैं, जो किसी सामान्य सूचना (जैसे यातायात चालान या शादी के निमंत्रण) के रूप में दिखाई देती है। एक बार इसके फोन में आ जाने पर यह हानिकारक सॉफ्टवेयर पीड़ित के फोन में संदेश पढ़ने की अनुमति प्राप्त कर लेता है।
‘डिजिटल लुटेरा’ टूलकिट स्थापित होने के बाद हमलावर अपने उपकरण पर एक विशेष एंड्रॉयड ढांचे के उपकरण का उपयोग कर प्रणाली स्तर की पहचान एवं संदेशों के हेरफेर करते हैं। इसके बाद बैंक के लिए भेजे जाने वाले पंजीकरण संदेशों को बीच में ही पकड़ लिया जाता है और ‘वन टाइम पासवर्ड’ चुपचाप हमलावरों द्वारा नियंत्रित टेलीग्राम ग्रुप पर भेज दिए जाते हैं।
रिपोर्ट में कहा गया कि फोन के संदेश अभिलेख में ‘‘भेजा गया’’ जैसे नकली संदेश भी जोड़ दिए जाते हैं ताकि सब कुछ सामान्य दिखाई दे। इसका परिणाम यह होता है कि पीड़ित का यूपीआई खाता किसी दूसरे उपकरण पर पंजीकृत और नियंत्रित किया जा सकता है जबकि असली सिम कार्ड पीड़ित के फोन में ही रहता है।
साइबर खुफिया कंपनी ने कहा कि एंड्रॉयड उपकरण में इस प्रकार की हेरफेर के बाद यूपीआई अनुप्रयोग को यह विश्वास हो जाता है कि सत्यापन के लिए भेजे गए संदेश वास्तव में उसी फोन से भेजे गए हैं।
क्लाउडसेक ने बताया कि उसने जिम्मेदार खुलासे की प्रक्रिया के तहत संबंधित नियामकों एवं वित्तीय संस्थानों को इसकी जानकारी दे दी है ताकि वे पहले से सावधानी बरतने के लिए कदम उठा सकें।
भाषा निहारिका मनीषा
मनीषा
यह खबर ‘भाषा’ न्यूज़ एजेंसी से ‘ऑटो-फीड’ द्वारा ली गई है. इसके कंटेंट के लिए दिप्रिंट जिम्मेदार नहीं है.