डिजिटल फ्रॉड का नया खतरा: ‘डिजिटल लुटेरा’ टूलकिट से यूपीआई अकाउंट हो सकते हैं हैक, शोधकर्ताओं ने दी चेतावनी

भारत में डिजिटल भुगतान और ऑनलाइन बैंकिंग में तेजी से बढ़ रहे इस्तेमाल के बीच साइबर फ्रॉड का खतरा लगातार बढ़ता जा रहा है। हाल ही में साइबर सुरक्षा फर्म CloudSEK ने एक नए और बेहद खतरनाक फ्रॉड टूलकिट का खुलासा किया है, जिसे उन्होंने ‘डिजिटल लुटेरा’ का नाम दिया है। 

टेक न्यूज़: ऑनलाइन फ्रॉड और पहचान की चोरी को रोकने के लिए सरकार ने हाल ही में ‘सिम बाइंडिंग’ को अनिवार्य किया था। आसान शब्दों में, सिम बाइंडिंग का मतलब है कि आपका UPI या बैंकिंग एप केवल उसी फोन में चलेगा, जिसमें आपका बैंक से जुड़ा हुआ सिम लगा हो। इससे पहले धोखाधड़ी की घटनाओं में काफी कमी आई थी और यह एक मजबूत सुरक्षा उपाय साबित हुआ।

लेकिन अब साइबर ठगों ने इस सुरक्षा को भेदने का नया तरीका खोज लिया है। साइबर सुरक्षा फर्म CloudSEK ने एक बेहद खतरनाक टूलकिट का पर्दाफाश किया है, जिसे उन्होंने ‘डिजिटल लुटेरा’ नाम दिया है। यह टूलकिट यूजर्स की बैंकिंग और डिजिटल पहचान को निशाना बनाने में सक्षम है और सिम बाइंडिंग जैसी सुरक्षा दीवार को बायपास कर सकता है।

क्या है ‘डिजिटल लुटेरा’ टूलकिट?

‘डिजिटल लुटेरा’ कोई साधारण वायरस या मैलवेयर नहीं है। यह सीधे आपके बैंकिंग एप जैसे पेटीएम, फोनपे या गूगल पे को हैक नहीं करता। बल्कि यह आपके एंड्रॉइड फोन के सिस्टम में सेंध लगाकर बैकग्राउंड में बदलाव करता है। इसके जरिए हैकर्स यूजर के एसएमएस सिस्टम और ओटीपी वेरिफिकेशन को हाईजैक कर लेते हैं।

साइबर विशेषज्ञों के अनुसार यह टूलकिट टेलीग्राम और अन्य सोशल प्लेटफॉर्म पर अपराधियों के बीच खुलेआम उपलब्ध है। इसे आसानी से खरीदा और इस्तेमाल किया जा सकता है।

हमला कैसे होता है?

साइबर अपराधियों के इस हमला को समझना बेहद जरूरी है। नीचे इसे स्टेप-बाय-स्टेप समझाया गया है:

• फर्जी एप का झांसा – सबसे पहले हैकर्स यूजर को फेक APK फाइल इंस्टॉल करने के लिए प्रेरित करते हैं। यह एप ट्रैफिक चालान, बिजली बिल नोटिस या शादी के ई-कार्ड के रूप में भेजी जाती है।
• एसएमएस परमिशन लेना – जैसे ही यूजर एप इंस्टॉल करता है, यह एप SMS पढ़ने और भेजने की अनुमति मांगता है।
• ओटीपी की चोरी – एप बैकग्राउंड में चलता रहता है और जैसे ही बैंक से कोई ओटीपी आता है, यह उसे चुराकर हैकर को भेज देता है।
• हैकर्स का लॉग-इन प्रयास – हैकर अपने फोन में एप का संशोधित वर्जन खोलकर यूजर के बैंक खाते में लॉग-इन करने की कोशिश करता है।
• सिस्टम को चकमा देना – चुराए गए ओटीपी के जरिए, बैंक और टेलीकॉम कंपनियां मान लेती हैं कि यह लॉग-इन असली यूजर द्वारा किया गया है।
• खाता पूरी तरह हैक – इसके बाद हैकर UPI PIN रीसेट करता है और बैंक खाते पर पूरा नियंत्रण हासिल कर लेता है।

इस हमले की सबसे बड़ी खासियत यह है कि पूरी प्रक्रिया यूजर को पता भी नहीं चलती। आपके यूपीआई अकाउंट को बिना किसी चेतावनी के दूसरे फोन में रजिस्टर कर लिया जाता है। साइबर विशेषज्ञों के अनुसार, वर्तमान वित्तीय सिस्टम में केवल मोबाइल नंबर को डिवाइस के मालिक का प्रमाण मान लिया जाता है, जिससे यह हमला संभव हो पाता है।