कई iPhone उपयोगकर्ताओं के लिए, डिवाइस के गुम हो जाने पर Apple का “फाइंड माई” फीचर एक जीवन रेखा है। हालाँकि, साइबर अपराधी अब ऐसे संदेश भेजकर उस भरोसे का फायदा उठा रहे हैं जो पुनर्प्राप्ति प्रक्रिया का हिस्सा प्रतीत होता है।
ऐप्पल सपोर्ट अधिकारी के रूप में पेश होकर, स्कैमर्स लॉगिन क्रेडेंशियल निकालने का प्रयास करते हैं जो क्लाउड बैकअप, व्यक्तिगत फ़ोटो, वित्तीय जानकारी और अन्य संवेदनशील डेटा को अनलॉक कर सकते हैं।
गृह मंत्रालय द्वारा स्थापित भारतीय साइबर क्राइम कोऑर्डिनेशन सेंटर (I4C) द्वारा चिह्नित नवीनतम फ़िशिंग अभियान से पता चलता है कि स्मार्टफोन चोरी और क्रेडेंशियल चोरी तेजी से एक दूसरे से जुड़े हुए हैं, जिसमें अपराधी एक अपराध का उपयोग दूसरे को सुविधाजनक बनाने के लिए करते हैं।
I4C की नेशनल साइबर क्राइम थ्रेट एनालिटिक्स यूनिट ने हाल ही में Apple iPhone उपयोगकर्ताओं को लक्षित करने वाले एक परिष्कृत फ़िशिंग अभियान की पहचान की है, जिनके उपकरण खो गए हैं या चोरी हो गए हैं और अपराधियों के कब्जे में हैं।
I4C ने अपनी एडवाइजरी में कहा कि अपराधी Apple सपोर्ट अधिकारियों का रूप धारण करते हैं और फ़िशिंग लिंक वाले धोखाधड़ी वाले एसएमएस संदेशों के माध्यम से अपने लापता उपकरणों का पता लगाने या सुरक्षित करने के लिए पीड़ितों की तात्कालिकता का फायदा उठाते हैं। ये संदेश वैध “फाइंड माई आईफोन” या ऐप्पल सपोर्ट नोटिफिकेशन से काफी मिलते-जुलते हैं और उपयोगकर्ताओं को ऐप्पल आईडी क्रेडेंशियल और वन-टाइम पासवर्ड (ओटीपी) चुराने के लिए डिज़ाइन किए गए नकली ऐप्पल लॉगिन पेजों पर रीडायरेक्ट करते हैं।
एक बार चोरी हुए उपकरणों से समझौता हो जाने के बाद, हमलावर पीड़ितों के खातों तक अनधिकृत पहुंच प्राप्त कर लेते हैं और उपकरणों से लिंक की गई ऐप्पल आईडी को हटा देते हैं।
डिजिटल पहचान तक पहुंच प्राप्त करना
क्विक हील टेक्नोलॉजीज के संयुक्त प्रबंध निदेशक डॉ. संजय काटकर ने कहा, “ज्यादातर लोग मानते हैं कि चोरी तब खत्म हो जाएगी जब फोन उनके पास से निकल जाएगा। वास्तव में, अक्सर ऐसा तब होता है जब सोशल इंजीनियरिंग शुरू होती है। एक चोरी हुआ उपकरण लॉक होने पर भी आश्चर्यजनक मात्रा में जानकारी प्रकट कर सकता है: सिम कार्ड पर प्रदर्शित एक फोन नंबर, लॉक स्क्रीन पर दिखाई देने वाली सूचनाएं, आपातकालीन संपर्क विवरण, या आने वाले संदेशों से सुराग।”
इस विज्ञापन के नीचे कहानी जारी है
काटकर ने आगे कहा कि अपराधी विश्वसनीयता बनाने के लिए इन टुकड़ों का उपयोग करते हैं और फिर फ़िशिंग संदेश भेजकर दावा करते हैं कि डिवाइस का पता लगा लिया गया है। उद्देश्य आवश्यक रूप से डिवाइस को ही प्राप्त करना नहीं है। यह इससे जुड़ी डिजिटल पहचान तक पहुंच हासिल कर रहा है। एक बार जब कोई हमलावर मालिक को संदेश पर भरोसा करने के लिए मना लेता है, तो चोरी भौतिक दुनिया से डिजिटल दुनिया में चली जाती है।
“एक बार जब कोई डिवाइस खो जाता है या चोरी हो जाता है, तो व्यक्ति असहायता और हताशा का अनुभव करता है, जो साइबर अपराधी के लिए एक मनोवैज्ञानिक शुरुआत है। ‘फाइंड माई डिवाइस’ पेज के समान दिखने वाले पेज के साथ सही समय पर प्रहार करके, अपराधी ऐसे समय में संवेदनशील जानकारी निकाल सकता है जब सुरक्षा कम हो,” अंकुश तिवारी, सीईओ और संस्थापक, पाई-लैब्स ने बताया Indianexpress.com.
तिवारी ने कहा, “फ़िशिंग हमले तब प्रभावी ढंग से काम करते हैं जब वे स्थिति के अनुसार अनुकूलित होते हैं। एक खोई हुई डिवाइस साइबर अपराधी के दृष्टिकोण से एक उत्कृष्ट बहाना है। सरकारी सलाह समय पर है, और मामले की जड़ यह है कि जब आप डर, क्रोध या इसी तरह की अत्यधिक भावनाओं में हों तो जानकारी साझा करने से न घबराएं।”
Vivaconnect द्वारा Helo.ai के संस्थापक और प्रबंध निदेशक विक्रम रायचुरा का मानना है, “घोटाला काम करता है क्योंकि यह बिल्कुल गलत समय पर दिखाई देता है। फोन मिलने का दावा करने वाला संदेश विश्वसनीय लगता है क्योंकि यह तब आ रहा है जब पीड़ित चाहता है कि यह सच हो।”
इस विज्ञापन के नीचे कहानी जारी है
आगे क्या होता है?
“फ़िशिंग वेबसाइटों को पीड़ित को वैध दिखने वाले पृष्ठ पर भेजने या त्रुटि संदेश प्रदर्शित करने से पहले क्रेडेंशियल्स को कैप्चर करने के लिए डिज़ाइन किया गया है। जिस क्षण एक ऐप्पल आईडी और पासवर्ड दर्ज किया जाता है, हमलावर व्यक्तिगत डेटा के एक बहुत बड़े पारिस्थितिकी तंत्र की चाबियाँ प्राप्त करते हैं। इसमें क्लाउड बैकअप, फोटो, संपर्क, संग्रहीत क्रेडेंशियल्स और कनेक्टेड डिवाइस शामिल हो सकते हैं। चोरी हुए आईफोन के मामले में, हमलावर अक्सर एक्टिवेशन लॉक जैसी सुरक्षा सुरक्षा को हटाने के लिए ऐप्पल आईडी क्रेडेंशियल प्राप्त करने का प्रयास करते हैं। एक बार ऐसा होने पर, डिवाइस बन जाता है। पुनर्विक्रय के लिए काफी अधिक मूल्यवान है, जबकि पीड़ित को खाता अधिग्रहण, पहचान की चोरी और धोखाधड़ी के जोखिम का सामना करना पड़ता है, ”कटकर ने कहा।
रायचुरा कहते हैं, “एक बार क्रेडेंशियल्स और सत्यापन कोड साझा किए जाने के बाद, मामला डिवाइस चोरी से आगे बढ़ जाता है। हमलावर ऐप्पल खाते तक पहुंच प्राप्त करते हैं, सुरक्षा सुरक्षा को अक्षम करते हैं, और डिवाइस को पुन: उपयोग या फिर से बेचना आसान बनाते हैं। बड़ा जोखिम यह है कि चोरी हुआ फोन जल्दी से एक समझौता डिजिटल पहचान बन सकता है।”
वह आगे कहते हैं, “अधिकांश फ़िशिंग घोटालों में सामान्य धागा दबाव है। अप्रत्याशित संदेश, तात्कालिकता-संचालित भाषा, संदिग्ध लिंक, अपरिचित प्रेषक आईडी, और पासवर्ड, ओटीपी, या सत्यापन कोड के अनुरोधों को सावधानी से व्यवहार किया जाना चाहिए। जिस क्षण कोई संदेश आपको परेशान करने की कोशिश करता है, वही वह क्षण होता है जब आपको धीमा हो जाना चाहिए।”
भारत में घोटाले आम होते जा रहे हैं
“ये घोटाले भारत में कहीं अधिक लक्षित और आम होते जा रहे हैं। पारंपरिक फ़िशिंग हजारों उपयोगकर्ताओं को एक ही संदेश भेजने और किसी के क्लिक करने की उम्मीद पर निर्भर करती है। आज के हमलावर संदर्भ का उपयोग करते हैं। एक खोया हुआ फोन, एक छूटी हुई डिलीवरी, एक बैंकिंग अलर्ट, या एक केवाईसी अपडेट सभी विश्वसनीय परिदृश्य प्रदान करते हैं जो जुड़ाव बढ़ाते हैं। हम यह भी देख रहे हैं कि साइबर अपराधी संदेशों की गुणवत्ता में सुधार करने, स्पष्ट त्रुटियों को दूर करने और संचार को निजीकृत करने के लिए एआई-जनरेटेड सामग्री का उपयोग करते हैं। जैसे-जैसे स्मार्टफोन तेजी से बैंकिंग, भुगतान का प्रवेश द्वार बन रहे हैं, और डिजिटल सेवाओं के लिए, डिवाइस के पीछे उपयोगकर्ता से समझौता करना डिवाइस को चुराने से अधिक लाभदायक हो गया है,” कटकर ने कहा।
इस विज्ञापन के नीचे कहानी जारी है
रेड फ़्लैग
🚩अत्यावश्यकता सबसे बड़ा लाल झंडा है। यह दावा करने वाले कि खोया हुआ आईफोन मिल गया है और तत्काल कार्रवाई की मांग करने वाले संदेश घबराहट पैदा करने और तर्कसंगत निर्णय लेने की प्रक्रिया को दरकिनार करने के लिए डिज़ाइन किए गए हैं।
🚩 एसएमएस, व्हाट्सएप या अन्य मैसेजिंग प्लेटफॉर्म के माध्यम से प्राप्त लिंक से सावधान रहें, विशेष रूप से वे जो उपयोगकर्ताओं को पेज लॉगिन करने के लिए निर्देशित करते हैं।
🚩 अनचाहे संदेशों के माध्यम से पहुंची वेबसाइटों पर कभी भी ऐप्पल आईडी क्रेडेंशियल, पासवर्ड या ओटीपी दर्ज न करें।
🚩वेबसाइट का पता ध्यानपूर्वक जांच लें। जालसाज़ अक्सर उपयोगकर्ताओं को धोखा देने के लिए ऐसे डोमेन नामों का उपयोग करते हैं जो वैध Apple वेबसाइटों से काफी मिलते-जुलते होते हैं।
इस विज्ञापन के नीचे कहानी जारी है
🚩 Apple खाते में लॉग इन करने के अप्रत्याशित अनुरोधों को, विशेष रूप से किसी डिवाइस के खो जाने या चोरी हो जाने की सूचना मिलने के बाद, संदेह की नजर से देखा जाना चाहिए।
🚩 ऐसे संदेश जो मिनटों के भीतर कार्रवाई करने का दबाव बनाते हैं या निष्क्रियता के गंभीर परिणामों की चेतावनी देते हैं, आम फ़िशिंग रणनीति हैं।
🚩 यदि कोई संदेश Apple की ओर से आता है, तो एम्बेडेड लिंक पर क्लिक करने के बजाय आधिकारिक Apple चैनल या फाइंड माई ऐप के माध्यम से जानकारी को सत्यापित करें।
अनुशंसित सावधानियां
📌 एसएमएस (विशेष रूप से अंतरराष्ट्रीय एसएमएस हेडर से) या अनचाहे संदेशों के माध्यम से प्राप्त लिंक पर क्लिक करने से बचें और क्रेडेंशियल दर्ज करने से पहले यूआरएल को ध्यान से जांचें।
इस विज्ञापन के नीचे कहानी जारी है
📌 CEIR पोर्टल पर खोए/चोरी हुए मोबाइल को ब्लॉक करने के लिए अनुरोध (https://www.ceir.gov.in/Request/CeirUserBlockRequestDirect.jsp)
📌 असत्यापित वेबसाइटों पर ओटीपी दर्ज न करें, न ही किसी को ओटीपी बताएं।
📌 Apple के आधिकारिक “डिवाइस ढूंढें” सेवा पृष्ठ का उपयोग करें (https://www.icloud.com/find)
📌 सत्यापन के बिना अपने ऐप्पल आईडी से डिवाइस न हटाएं और सुनिश्चित करें कि “फाइंड माई आईफोन” सक्रिय रहे।
इस विज्ञापन के नीचे कहानी जारी है
📌 हमेशा दो-कारक प्रमाणीकरण (2FA) सक्रिय करें, मजबूत पासवर्ड का उपयोग करें और उपकरणों को नवीनतम सुरक्षा पैच के साथ अपडेट रखें।
यह भी पढ़ें: सुरक्षित पक्ष: आपके सोशल मीडिया फ़ीड पर विज्ञापन कैसे घोटाले हो सकते हैं
अगर आप इस घोटाले का शिकार हो जाएं तो क्या करें?
यदि आपने किसी संदिग्ध वेबसाइट पर अपने क्रेडेंशियल दर्ज किए हैं तो तुरंत कार्रवाई करें। आप जितनी तेजी से प्रतिक्रिया देंगे, खाते से समझौता होने का जोखिम उतना ही कम होगा।
📍बिना देरी किए अपना ऐप्पल आईडी पासवर्ड बदलें और यदि संभव हो तो किसी भी अनधिकृत सत्र से साइन आउट करें।
📍 अपने Apple खाते से जुड़े विश्वसनीय उपकरणों की सूची की समीक्षा करें और उन सभी उपकरणों को हटा दें जिन्हें आप नहीं पहचानते हैं।
इस विज्ञापन के नीचे कहानी जारी है
📍 किसी भी अनधिकृत परिवर्तन के लिए पुनर्प्राप्ति ईमेल पते और फोन नंबर सहित खाता पुनर्प्राप्ति सेटिंग्स की जांच करें।
📍 संदिग्ध लेनदेन या लॉगिन प्रयासों के लिए डिवाइस से जुड़े बैंकिंग, भुगतान और वित्तीय अनुप्रयोगों की निगरानी करें।
📍 ईमेल, क्लाउड स्टोरेज और अन्य खातों पर कड़ी नजर रखें जो समान पासवर्ड या पुनर्प्राप्ति जानकारी साझा कर सकते हैं।
📍 पहचान की चोरी या वित्तीय धोखाधड़ी के संकेतों के प्रति सतर्क रहें, क्योंकि साइबर अपराधी अक्सर क्रेडेंशियल प्राप्त करने के बाद तेजी से आगे बढ़ते हैं।
📍 विश्वसनीय सुरक्षा समाधानों का उपयोग करें जो महत्वपूर्ण क्षति होने से पहले दुर्भावनापूर्ण लिंक, फ़िशिंग वेबसाइटों और संदिग्ध गतिविधि का पता लगा सकते हैं और उन्हें ब्लॉक कर सकते हैं।
📍 फ़िशिंग प्रयासों की तुरंत रिपोर्ट करें https://cybercrime.gov.in/ या 1930 साइबर हेल्पलाइन नंबर पर कॉल करें।
पेलोरस टेक्नोलॉजीज के निदेशक कौशल भेड़ा कहते हैं, “जब तक हम लीक से हटकर कुछ नहीं करते, तब तक ये घोटाले सामने आते रहेंगे। सावधानियां दूसरी प्रकृति बन जानी चाहिए। आपको यह मान लेना होगा कि किसी भी चीज़ पर डिफ़ॉल्ट रूप से भरोसा नहीं किया जा सकता है। इसे फ़ायरवॉल की तरह सोचें: जब तक सत्यापित न हो जाए, तब तक किसी भी चीज़ पर भरोसा न करें। जब तक आप उस डिफ़ॉल्ट को अपने दिमाग में सेट नहीं करते हैं, तब तक आप इन घोटालेबाजों की विशिष्टता से मेल नहीं खा सकते हैं।”
“इन घोटालों को प्रभावी बनाने वाली बात यह है कि वे लोगों से किसी अविश्वसनीय चीज़ पर विश्वास करने के लिए नहीं कहते हैं। वे लोगों से उस चीज़ पर विश्वास करने के लिए कहते हैं जिसे वे सच होना चाहते हैं। चोरी तात्कालिकता पैदा करती है। फ़िशिंग प्रयास इसका फायदा उठाते हैं,” रायचुरा कहते हैं।
सुरक्षित पक्ष
जैसे-जैसे दुनिया विकसित होती है, डिजिटल परिदृश्य भी नए अवसर और नए जोखिम लेकर आता है। घोटालेबाज अधिक परिष्कृत होते जा रहे हैं, अपने लाभ के लिए कमजोरियों का फायदा उठा रहे हैं। हमारी विशेष फीचर श्रृंखला में, हम नवीनतम साइबर अपराध प्रवृत्तियों पर गहराई से चर्चा करते हैं और आपको ऑनलाइन सूचित, सुरक्षित और सतर्क रहने में मदद करने के लिए व्यावहारिक सुझाव प्रदान करते हैं।