अगर आप इंटरनेट बैंकिंग पोर्टल्स से बैंकिंग का काम करते हैं, तो जरा सावधान रहें, क्योंकि CERT-in (Indian Computer Emergency Response Team) ने भारतीय बैंकिंग कस्टमर्स पर  फिशिंग अटैकर्स की नजरों से बचने के लिए एडवाइरी जारी की है. बताया गया है कि ऑनलाइन बैंकिंग ट्रांजैक्शन करनेवालों को धोखेबाज इंटरनेट बैंकिंग पोर्टल का प्रतिरूप तैयार कर अकाउंट से रकम उड़ा सकते हैं.

ngrok प्लेटफॉर्म्स का हो रहा इस्तेमाल

COMMERCIAL BREAK
SCROLL TO CONTINUE READING

इंटरनेट बैंकिंग क्रेडेंशियल, मोबाइल नंबर और वन टाइम पासवर्ड जैसी संवेदनशील जानकारी एकत्र करने के लिए स्कैमर्स ngrok प्लेटफॉर्म पर फ़िशिंग वेबसाइटों को होस्ट कर रहे हैं. CERT-in ने बताया कि भारतीय बैंकिंग ग्राहकों को ngrok प्लेटफॉर्म का इस्तेमाल करके एक नए प्रकार के फ़िशिंग हमले द्वारा टार्गेट किया जा रहा है.

एक सैंपल SMS के जरिए साइबर सिक्योरिटी एजेंसी ने विस्तार से बताया कि कैसे "मैलिसियस एक्टर" धोखाधड़ी वाले लेनदेन करने के लिए फ़िशिंग वेबसाइटों पर क्लिक करने के लिए बैंकिंग ग्राहकों को बरगला रहे हैं. स्कैमर्स ngrok.io/xxxbank के साथ समाप्त होने वाले एम्बेडेड फ़िशिंग लिंक के साथ एक SMS भेजते हैं, जहां xxx बैंक के नाम को दर्शाता है.

 

Zee Business Hindi Live यहां देखें

<iframe width="560" height="350" src="https://embed.zeebiz.com/hindi/live-tv/embed" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>

 

ऐसे संदेशों में छिपा हो सकता है फिशिंग ट्रैप

  • ''प्रिय ग्राहक आपका xxx बैंक खाता निलंबित कर दिया जाएगा! कृपया केवाईसी सत्यापन अपडेट यहां क्लिक करें लिंक http://446bdf227fc4.ngrok.io/xxxbank, ".

या

  • "Dear customer your xxx bank account will be suspended! Please Re KYC Verification Update click here link http://446bdf227fc4.ngrok.io/xxxbank,”.

कैसे हो सकता है फिशिंग अटैक

CERT-in बताता है कि एक बार जब ग्राहक URL पर क्लिक करता है और फ़िशिंग वेबसाइट पर अपने इंटरनेट बैंकिंग क्रेडेंशियल का उपयोग करके लॉगिन करता है, तो हमलावर जानकारी का इसतेमाल कर के OTP पैदा करता है. फिर फ़िशिंग पीड़ित तब फ़िशिंग साइट पर OTP दर्ज करता है, जिसे हमलावर पकड़ लेता है और धोखाधड़ी वाले लेन-देन करने के लिए पीड़ित के खाते तक एक्सेस पा लेता है.

यहां कर सकते हैं शिकायत

अपील की गई है कि फ़िशिंग वेबसाइटों और संदिग्ध संदेशों की सूचना CERT-in को incident@cert-in.org.in पर और संबंधित बैंकों को प्रासंगिक विवरण के साथ आगे की उचित कार्रवाई करने के लिए दी जानी चाहिए.

CERT-in की सिक्योरिटी चेक लिस्ट

  • बैंकिंग ग्राहकों को ऐसे संदिग्ध नंबरों पर ध्यान देने की जरूरत है जो वास्तविक मोबाइल फोन नंबरों की तरह नहीं दिखते, क्योंकि हमलावर अक्सर अपने वास्तविक फोन नंबर को छिपाकर ईमेल-टू-टेक्स्ट सर्विस का इस्तेमाल कर अपनी पहचान छुपाते हैं.
  • बैंकों से मिलनेवाले SMS में आमतौर पर सेंडर इंफॉर्मेश फील्ड में फोन नंबर के बजाय सेंडर आईडी (बैंक का संक्षिप्त नाम शामिल होता है) होता है.
  • केवल उन URL पर क्लिक करना चाहिए जो स्पष्ट रूप से वेबसाइट डोमेन को इंगित करते हैं
  • यह सुनिश्चित करने के लिए कि वे जिन वेबसाइटों पर गए हैं, वे वैध हैं, वे सीधे सर्च इंजन का उपयोग कर के ऑर्गनाइजेशन की वेबसाइट खोज सकते हैं.
  • उपयोगकर्ताओं को छोटे URL के प्रति विशेष सावधानी बरतनी चाहिए, जैसे कि जिनमें bit.ly और TinyURL शामिल हैं