बेलगावी स्थित एक आईटी कंपनी ने भारतीय स्टेट बैंक (एसबीआई) उपयोगकर्ताओं को लक्षित एक बड़े ऑनलाइन घोटाले का पता लगाया है। श्रेष्ठ आईटी टेक्नोलॉजीज प्राइवेट लिमिटेड की थ्रेट इंटेलिजेंस टीम ने एसबीआई उपयोगकर्ताओं को लक्षित करने वाले एक बड़े फ़िशिंग घोटाले का पर्दाफाश किया।
श्रेष्ठ के संस्थापक स्वप्निल पाटनेकर कहते हैं, “पहले भी एसबीआई उपयोगकर्ताओं को फ़िशिंग हमलों में निशाना बनाया गया है। इस अभियान में ईमेल, एसएमएस और व्हाट्सएप जैसे विभिन्न चैनलों के माध्यम से उपयोगकर्ताओं को फ़िशिंग यूआरएल भेजना शामिल है। धमकी देने वालों का मकसद उपयोगकर्ताओं की व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) प्राप्त करना है, विशेष रूप से उपयोगकर्ता की इंटरनेट बैंकिंग क्रेडेंशियल, आधार संख्या, पैन और जन्म तिथि। इससे गोपनीयता का उल्लंघन हो सकता है, और वित्तीय नुकसान भी हो सकता है.. हमने उपयोगकर्ताओं को एक सलाह जारी की है, और बैंक को भी अलर्ट भेजा है।
“फ़िशिंग वेबसाइटें बड़ी लापरवाही से बनाई गई हैं, जिनमें बैंक वेबसाइट के आधिकारिक लॉगिन पेज की छवियां शामिल हैं। हमारा मानना है कि फ़िशिंग वेबसाइटें विशेष रूप से मोबाइल बैंकिंग के लिए डिज़ाइन की गई हैं, जैसा कि वेबसाइट की संरचना और डिज़ाइन से स्पष्ट है। लेकिन यह डिज़ाइन उपयोगकर्ताओं को यह समझाने के लिए पर्याप्त है कि वे बैंक के साथ काम कर रहे हैं। जब उपयोगकर्ताओं से उनका विवरण मांगा जाता है तो उन्हें सतर्क रहने की जरूरत है,” उन्होंने कहा।
फ़िशिंग वेबसाइट का एक बड़ा हिस्सा आधिकारिक वेबसाइट से छवियों का उपयोग करके विकसित किया गया है। फ़िशिंग वेबसाइट में सुरक्षा निर्देश एक छवि के रूप में होते हैं। ‘लॉगिन जारी रखें’ बटन पर क्लिक करने के बाद, उपयोगकर्ता को लॉगिन पेज पर पुनः निर्देशित किया जाता है।
छवि कैप्चा (छवि सत्यापन) और ऑडियो कैप्चा काम नहीं करते क्योंकि वे केवल प्लेसहोल्डर छवियां हैं
नए उपयोगकर्ता और उपयोगकर्ता नाम और पासवर्ड भूल गए लिंक काम नहीं करते क्योंकि वे प्लेसहोल्डर छवियां हैं। उपयोगकर्ता द्वारा अपने इंटरनेट बैंकिंग लॉगिन क्रेडेंशियल सबमिट करने के बाद, उपयोगकर्ता को ओटीपी अनुरोध पृष्ठ पर पुनः निर्देशित किया जाता है। फ़िशिंग पृष्ठ उपयोगकर्ता को अपने खाताधारक का नाम और जन्मतिथि दर्ज करने के लिए कहता है। उपयोगकर्ता द्वारा खाताधारक का नाम और जन्मतिथि दर्ज करने के बाद, उपयोगकर्ता को एक ओटीपी पेज प्रस्तुत किया जाता है। फ़िशिंग वेबसाइट तब उपयोगकर्ता को अपने पैन के अनुसार अपना पूरा नाम दर्ज करने और अपना पैन दिखाने के लिए कहती है। पेज उपयोगकर्ता को अपना आधार नंबर और आधार कार्ड के अनुसार अपना पूरा नाम दर्ज करने के लिए कहता है। यह पेज उपयोगकर्ता को ओटीपी दर्ज करने के लिए कहता है। ओटीपी सबमिट करने के बाद, फ़िशिंग वेबसाइट इंगित करती है कि वह विवरण सत्यापित कर रही है, लेकिन कुछ समय बाद, इसका समय समाप्त हो जाता है।
अत्यावश्यकता के लहजे वाले एसएमएस/ईमेल/व्हाट्सएप संदेश वाली सुरक्षा अनुशंसाओं को अत्यधिक सावधानी से निपटाया जाना चाहिए। यह सच है, खासकर बैंक से आए किसी संदेश के मामले में। हमेशा सीधे बैंक से संपर्क करें और कोई भी कार्रवाई करने से पहले संदिग्ध संदेशों और ईमेल को सत्यापित करें। यदि आप साइबर अपराध, विशेष रूप से वित्तीय अपराध का शिकार हो जाते हैं, तो राष्ट्रीय साइबर अपराध हेल्पलाइन 1930 पर कॉल करें या https://cybercrime.gov.in/ पर शिकायत दर्ज करें।
श्री पाटनेकर और प्रणय पाटिल के नेतृत्व में एक टीम ने वास्तविक समय में ऐसे मुद्दों की स्वचालित रूप से पहचान करने के लिए एक उपकरण विकसित किया है। श्रेष्ठा आईटी ने ऐसे मुद्दों से निपटने के लिए एक टूल भी विकसित किया है। इसके ग्राहकों में भारतीय रेलवे, नेशनल इंटरनेट एक्सचेंज ऑफ इंडिया, वीटीयू और पुणे स्थित खाद्य उत्पाद निर्माता चितले शामिल हैं।
