“साइबर सुरक्षा फर्म क्लाउडसेक की ताजा रिपोर्ट में बड़ा खुलासा हुआ है कि ‘डिजिटल लुटेरा’ नामक एडवांस्ड टूलकिट से ठग UPI ऐप्स की SIM-बाइंडिंग जैसी मजबूत सुरक्षा को बायपास कर रहे हैं। यह टूलकिट Telegram पर कम से कम 20 एक्टिव ग्रुप्स में 100+ सदस्यों के साथ बंट रहा है, जिससे यूजर्स के UPI अकाउंट रिमोटली कंट्रोल होकर पैसे निकाले जा रहे हैं।”
UPI सुरक्षा को चकमा देने वाला ‘डिजिटल लुटेरा’ टूलकिट
साइबर अपराधियों ने UPI ट्रांजेक्शन की सुरक्षा को चुनौती देने के लिए एक नया और अत्यंत खतरनाक टूलकिट विकसित किया है, जिसका नाम ‘डिजिटल लुटेरा’ रखा गया है। यह टूलकिट सामान्य UPI मैलवेयर से कहीं ज्यादा उन्नत है क्योंकि यह डिवाइस ट्रस्ट पर सीधा हमला करता है। भारत सरकार द्वारा हाल ही में लागू SIM-बाइंडिंग नियम का मकसद मैसेजिंग और फाइनेंशियल प्लेटफॉर्म्स को यूजर के प्राइमरी डिवाइस की SIM से लिंक करके अकाउंट टेकओवर रोकना था, लेकिन यह टूलकिट इसी सुरक्षा को बायपास कर देता है।
टूलकिट कैसे काम करता है? एक बार जब मैलवेयर पीड़ित के फोन में इंस्टॉल हो जाता है, तो यह SMS परमिशन हासिल कर लेता है। ठग अपने डिवाइस पर स्पेशलाइज्ड एंड्रॉयड फ्रेमवर्क टूल का इस्तेमाल करके सिस्टम-लेवल आइडेंटिटी और SMS फंक्शन्स को मैनिपुलेट करते हैं। नतीजा यह होता है कि पीड़ित का UPI अकाउंट दूसरे डिवाइस पर रजिस्टर हो जाता है, जबकि SIM कार्ड पीड़ित के फोन में ही रहता है। इससे ठग रिमोटली UPI ट्रांजेक्शन कर पैसे ट्रांसफर कर सकते हैं, बिना OTP या PIN की जरूरत के सिस्टम को धोखा देकर।
Telegram पर फैलाव क्लाउडसेक की रिपोर्ट के मुताबिक, Telegram पर कम से कम 20 एक्टिव ग्रुप्स मौजूद हैं जहां यह टूलकिट डिस्कस, डिस्ट्रीब्यूट और ऑपरेशनलाइज किया जा रहा है। हर ग्रुप में 100 से ज्यादा सदस्य हैं, जो इसे बड़े पैमाने पर इस्तेमाल कर रहे हैं। यह टूलकिट एंड्रॉयड डिवाइस को टारगेट करता है और UPI ऐप्स जैसे PhonePe, Google Pay, Paytm आदि को निशाना बनाता है।
UPI फ्रॉड का बढ़ता ग्राफ भारत में UPI ट्रांजेक्शन पिछले कुछ सालों में तेजी से बढ़े हैं, लेकिन फ्रॉड के मामले भी साथ-साथ बढ़ रहे हैं। हाल के आंकड़ों में साइबर फ्रॉड केस लाखों में पहुंच चुके हैं, जिसमें mule अकाउंट्स के जरिए पैसे लॉन्ड्रिंग हो रही है। MuleHunter.AI जैसे AI टूल्स से mule अकाउंट्स को डिटेक्ट करने की कोशिश हो रही है, लेकिन ‘डिजिटल लुटेरा’ जैसे नए टूलकिट्स ने चुनौती बढ़ा दी है।
कैसे बचें ‘डिजिटल लुटेरा’ से?
अनजान लिंक्स या APK फाइल्स कभी डाउनलोड न करें, खासकर WhatsApp या Telegram से आए मैसेज से।
फोन में अननोन सोर्स से ऐप इंस्टॉलेशन बंद रखें (Settings > Security > Install unknown apps)।
UPI ऐप्स में हमेशा लेटेस्ट वर्जन रखें और ऑटो-अपडेट ऑन करें।
SMS और नोटिफिकेशन पर नजर रखें; अगर कोई अनजान OTP या UPI रजिस्ट्रेशन अलर्ट आए तो तुरंत बैंक से संपर्क करें।
दो-फैक्टर ऑथेंटिकेशन (2FA) जहां उपलब्ध हो, उसे एक्टिवेट करें।
संदिग्ध कॉल या मैसेज आने पर UPI PIN कभी शेयर न करें; UPI PIN केवल पैसे भेजने के लिए इस्तेमाल होता है, रिसीव करने के लिए नहीं।
नियमित रूप से बैंक स्टेटमेंट चेक करें और छोटे-छोटे ट्रांजेक्शन पर भी नजर रखें।
अगर अकाउंट हैक होने का शक हो तो तुरंत UPI ऐप से डिवाइस अनलिंक करें, बैंक को रिपोर्ट करें और 1930 पर साइबर क्राइम हेल्पलाइन कॉल करें।
यह टूलकिट UPI इकोसिस्टम के लिए नया खतरा है, जो डिवाइस-लेवल पर ट्रस्ट को तोड़ता है। यूजर्स को सतर्क रहना होगा क्योंकि ठग लगातार नए तरीके अपना रहे हैं।