साइबर इंटेलिजेंस कंपनी CloudSec की रिपोर्ट में खुलासा हुआ है कि ऑनलाइन फ्रॉडस्टर्स UPI ऐप्स की सुरक्षा प्रणाली को बायपास करने के लिए नई तकनीक का इस्तेमाल कर रहे हैं। रिपोर्ट के अनुसार, टेलीग्राम पर कम से कम 20 सक्रिय ग्रुप्स मौजूद हैं, जिनमें हर ग्रुप में 100 से अधिक सदस्य हैं। इन ग्रुप्स में ‘Digital Looter’ नामक टूलकिट पर चर्चा होती है, इसे शेयर और इस्तेमाल किया जाता है। इसके जरिए SIM-बाइंडिंग सुरक्षा तकनीक को भी मात दी जा सकती है।
CloudSec के रिसर्चर शोभित मिश्रा ने कहा, “यह सिर्फ कोई सामान्य मैलवेयर नहीं है। डिजिटल हैकर्स डिवाइस सिस्टम की ट्रस्ट स्ट्रक्चर पर हमला करते हैं। जब ऑपरेटिंग सिस्टम ही प्रभावित हो जाता है, तो SIM-बाइंडिंग और सिग्नेचर वेरिफिकेशन जैसी पारंपरिक सुरक्षा तकनीकें भरोसेमंद नहीं रह जातीं। अगर इसे रोका नहीं गया तो डिजिटल पेमेंट सिस्टम में व्यापक अकाउंट हैकिंग की घटनाएं हो सकती हैं।”
तेजी से फैल रहा धोखाधड़ी का तरीका
CloudSec के अनुसार, एक ग्रुप में दो दिन में लगभग 2.5 से 3 लाख रुपये के लेन-देन किए गए। यह दिखाता है कि यह धोखाधड़ी कितनी तेजी से फैल रही है और कितने लोग इससे प्रभावित हो रहे हैं। रिपोर्ट में यह भी कहा गया कि National Payments Corporation of India को इस बारे में ईमेल भेजा गया था, लेकिन कोई जवाब नहीं मिला। SIM-बाइंडिंग तकनीक यह सुनिश्चित करती है कि बैंक अकाउंट केवल उस हैंडसेट से लिंक हो, जिसमें रजिस्टर्ड SIM लगा हो। UPI ऐप्स लेन-देन करने से पहले फोन नंबर और SIM कार्ड को वेरिफाई करते हैं।
डिजिटल पाइरेसी कैसे काम करती है
CloudSec ने बताया कि यह हमला आमतौर पर तब शुरू होता है जब उपयोगकर्ता गलती से मैलिशियस APK इंस्टॉल कर लेते हैं, जिसे सामान्य नोटिफिकेशन जैसे ट्रैफिक चालान या शादी का निमंत्रण दिखाकर भेजा जाता है। इंस्टॉल होने के बाद यह सॉफ्टवेयर फोन के मैसेज पढ़ने की अनुमति प्राप्त कर लेता है। Digital Looter टूलकिट के साथ, हमलावर Android आर्किटेक्चर का इस्तेमाल कर सिस्टम-लेवल आइडेंटिफिकेशन और मैसेज मैनिपुलेशन करते हैं। बैंक को भेजा गया रजिस्ट्रेशन मैसेज इंटरसेप्ट किया जाता है और OTP चुपचाप टेलीग्राम ग्रुप में भेजा जाता है।
आपका UPI अकाउंट दूसरों के हाथ में
रिपोर्ट में बताया गया कि फोन के मैसेज रिकॉर्ड में फर्जी “Sent” मैसेज भी डाले जाते हैं ताकि सब सामान्य दिखे। इससे पीड़ित का UPI अकाउंट दूसरे डिवाइस पर रजिस्टर्ड और कंट्रोल होने लगता है, जबकि मूल SIM कार्ड पीड़ित के फोन में रहता है। CloudSec ने कहा कि Android डिवाइस की इस मैनिपुलेशन से UPI ऐप को लगता है कि वेरिफिकेशन मैसेज उसी फोन से भेजा गया। कंपनी ने संबंधित रेगुलेटर्स और वित्तीय संस्थानों को सूचना दी है ताकि वे सावधानीपूर्वक कदम उठा सकें।
