नयी प्रौद्योगिकी से यूपीआई सुरक्षा को चकमा दे रहे हैं साइबर ठग: रिपोर्ट

नयी दिल्ली, 11 मार्च (भाषा) ऑनलाइन ठग नई प्रौद्योगिकी का इस्तेमाल कर यूनिफाइड पेमेंट्स इंटरफेस (यूपीआई) अनुप्रयोगों की सुरक्षा प्रणाली को चकमा देकर वित्तीय लेनदेन को अंजाम दे रहे हैं। साइबर खुफिया कंपनी क्लाउडसेक की एक रिपोर्ट में यह दावा किया गया है।

रिपोर्ट के अनुसार, कंपनी ने संदेश भेजने से जुड़े मंच टेलीग्राम पर कम से कम 20 सक्रिय समूहों की पहचान की है। प्रत्येक समूह में 100 से अधिक सदस्य हैं जहां ‘‘डिजिटल लुटेरा’’ नामक टूलकिट पर चर्चा की जा रही है, उसे साझा किया जा रहा है और उसका उपयोग भी किया जा रहा है।

क्लाउडसेक के अनुसंधानकर्ता (जोखिम) शोभित मिश्रा ने कहा, ‘‘यह केवल यूपीआई से जुड़ा एक और हानिकारक सॉफ्टवेयर नहीं है। डिजिटल लुटेरा उपकरण प्रणाली पर भरोसे की संरचना पर हमला करता है। जब संचालन तंत्र ही प्रभावित हो जाता है तो ‘सिम-बाइंडिंग’ और हस्ताक्षर जांच जैसी पारंपरिक सुरक्षा व्यवस्थाएं भरोसेमंद नहीं रहतीं। यदि इसे नहीं रोका गया तो यह डिजिटल भुगतान प्रणाली में बड़े पैमाने पर खातों पर पकड़ बनाने की घटनाओं को बढ़ावा दे सकता है।’’

क्लाउडसेक ने बताया कि उसने ऐसे ही एक समूह के विश्लेषण में पाया कि केवल दो दिन में करीब 25 से 30 लाख रुपये के लेनदेन किए गए। इससे पता चलता है कि धोखाधड़ी का यह तरीका कितनी तेजी से फैल रहा है और कितने लोगों को प्रभावित कर रहा है।

इस बीच, यूपीआई का संचालन करने वाली संस्था ‘भारतीय राष्ट्रीय भुगतान निगम’ (एनपीसीआई) ने कहा है कि डिजिटल भुगतान में ऐसे जोखिमों से निपटने के लिए मजबूत सुरक्षा उपाय मौजूद हैं।

एनपीसीआई ने एक बयान में कहा, ‘‘हमने इस रिपोर्ट की जांच की है और हम साफ करना चाहते हैं कि यूपीआई में ऐसे खतरों से निपटने के लिए पहले से ही पुख्ता सुरक्षा इंतजाम मौजूद हैं। यूपीआई को सुरक्षा के कई स्तरों पर बनाया गया है, ताकि हर लेनदेन पूरी तरह सुरक्षित रहे।’’

एनपीसीआई ने कहा कि वह जोखिमों पर नजर रखने और सुरक्षा को और मजबूत बनाने के लिए बैंकों और अन्य सहयोगी संस्थाओं के साथ मिलकर काम करना जारी रखे हुए है, ताकि डिजिटल भुगतान हमेशा सुरक्षित और भरोसेमंद बना रहे।

‘सिम-बाइंडिंग’ को इस बात का प्रमाण माना जाता रहा है कि कोई बैंक खाता किसी विशेष उपकरण से सुरक्षित रूप से जुड़ा हुआ है। यूपीआई अनुप्रयोग लेनदेन से पहले उस फोन नंबर के सिम का सत्यापन करते हैं जिसके साथ खाता मोबाइल फोन में पंजीकृत होता है।

क्लाउडसेक ने बताया कि यह हमला आमतौर पर तब शुरू होता है जब उपयोगकर्ता अनजाने में एक हानिकारक एपीके फोन में डाल लेते हैं, जो किसी सामान्य सूचना (जैसे यातायात चालान या शादी के निमंत्रण) के रूप में दिखाई देती है। एक बार इसके फोन में आ जाने पर यह हानिकारक सॉफ्टवेयर पीड़ित के फोन में संदेश पढ़ने की अनुमति प्राप्त कर लेता है।

‘डिजिटल लुटेरा’ टूलकिट स्थापित होने के बाद हमलावर अपने उपकरण पर एक विशेष एंड्रॉयड ढांचे के उपकरण का उपयोग कर प्रणाली स्तर की पहचान एवं संदेशों के हेरफेर करते हैं। इसके बाद बैंक के लिए भेजे जाने वाले पंजीकरण संदेशों को बीच में ही पकड़ लिया जाता है और ‘वन टाइम पासवर्ड’ चुपचाप हमलावरों द्वारा नियंत्रित टेलीग्राम ग्रुप पर भेज दिए जाते हैं।

रिपोर्ट में कहा गया कि फोन के संदेश अभिलेख में ‘‘भेजा गया’’ जैसे नकली संदेश भी जोड़ दिए जाते हैं ताकि सब कुछ सामान्य दिखाई दे। इसका परिणाम यह होता है कि पीड़ित का यूपीआई खाता किसी दूसरे उपकरण पर पंजीकृत और नियंत्रित किया जा सकता है जबकि असली सिम कार्ड पीड़ित के फोन में ही रहता है।

साइबर खुफिया कंपनी ने कहा कि एंड्रॉयड उपकरण में इस प्रकार की हेरफेर के बाद यूपीआई अनुप्रयोग को यह विश्वास हो जाता है कि सत्यापन के लिए भेजे गए संदेश वास्तव में उसी फोन से भेजे गए हैं।

क्लाउडसेक ने बताया कि उसने जिम्मेदार खुलासे की प्रक्रिया के तहत संबंधित नियामकों एवं वित्तीय संस्थानों को इसकी जानकारी दे दी है ताकि वे पहले से सावधानी बरतने के लिए कदम उठा सकें।

भाषा सुमित अजय

अजय