नमस्कार मंडळी,
आतापर्यंतच्या भागात आपल्याला सासुबद्दल SIM चेंज अटॅक, पासवर्डस आणि ॲप परमिशन याविषयी माहिती मिळाली आहे. आधीचे भाग वाचले नसतील तर एकदा नजर टाका. बहुतेक गोष्टी आपल्याला माहीत असल्या तरी परत वाचल्याने उजळणी होते. अवेअरनेस मध्ये हेच महत्वाचे आहे की असलेली माहिती परत वाचून सतर्कता पातळी वाढते...
आज आपण सासु मासेमारी कशी करते ती पाहूया....पण हे जरा वेगळ्या प्रकारचे phishing आहे...स्पेल्लिंग नाही चुकलोय मी. हे fishing नाही, phishing आहे..तंत्र बऱ्यापैकी तसेच आहे. फरक एवढाच की आपण fishing केले की मासे मरतात, आणि आपल्यावर phishing झाले की आपण 🤔
तर बघू चला हा काय प्रकार आहे...
विशाल ला काही कामासाठी पर्सनल लोन हवे होते. एक दिवस त्याने कुठल्या बँकेत कमी रेट ने लोन मिळेल, जितके लोन घेऊ त्याचे मासिक हप्ते किती बसतील यासाठी खूप सर्च केला. त्याच्या अपेक्षेप्रमाणे काही मिळत नव्हते. कंटाळून झोपला बिचारा.
दुसऱ्या दिवशी सकाळी त्याला एक ई-मेल आली. त्याचा कंटेंट असा होता. (मराठीत लिहितो)
तुमच्यासाठी खास पर्सनल लोन ऑफर घेऊन आली आहे तुमचीच बँक. तुम्ही आमचे मौल्यवान ग्राहक आहात. काही निवडक ग्राहकांसाठी आम्ही ही ऑफर घेऊन आलो आहोत. केवळ 6 टक्के दराने 5 वर्षासाठी पर्सनल लोन. अधिक माहिती घेऊन रजिस्टर करण्यासाठी खालील लिंक वर click करा...
खाली एक लिंक होती, त्यावर त्याने क्लिक केली आणि त्याच्याच ब्यांकेचा लोगो असलेले एक पेज ओपन झाले. त्यावर लॉगिन ऑपशन होता. त्याने आपली युजर आयडी आणि पासवर्ड तिथे टाकला, आणि लॉगिन केले. पुढच्या पेज वर एक मेसेज आला की तुमचे रेजिस्ट्रेशन कन्फर्म झाले आहे. काही वेळात आपल्याला एक कॉल येईल आणि व्हेरिफिकेशन साठी एक OTP विचारला जाईल. व्हेरिफिकेशन झाले की पुढील काही मिनिटात लोन तुमच्या अकाउंट ला जमा होईल..
विशालला काही वेळाने एक कॉल आला, आणि त्याला लोन ची माहिती देऊन सांगितले गेले की या पाच लाखाच्या लोन साठी प्रोसेसिंग चार्जेस 1200 रुपये होतील, त्या पेमेंट व्हेरिफिकेशन साठी आम्ही एक OTP पाठवत आहोत, तो सांगा. त्याला एक OTP आला, आणि लगेच त्याने तो OTP कॉलर ला सांगितला. 1200 रुपये डेबिट पडले. कॉलर ने त्याचे लोन मंजूर झाल्याचे सांगितले, आणि दोन दिवसात लोन जमा होईल असे सांगितले. विशाल अजून वाट बघतोय लोन ची....
काय झालं बरं इथे?
विशाल phish झाला..
त्याचे "आपली बँक" या बँकेत account होते. त्या बँकेची बँकिंग वेबसाईट aaplibank डॉट कॉम अशी होती. त्याला जी लिंक आली होती ती aaplibunk डॉट कॉम अशी होती. Fraudster नी aaplibunk (a आणि u मधला फरक पटकन लक्षात येत नाही...) अशी एक नवीन साईट बनवून त्याच्या लॉगिन पेज चे design मूळ बँकेच्या (मूळ aaplibank वाल्या) साईट प्रमाणेच बनवले होते. लिंक वर क्लीक केल्यावर browser मध्ये हिरवे कुलूप (site is secured वाले) आले होते कारण aaplibunk साठी एक valid SSL सर्टिफिकेट fraudster ने वापरले होते, आणि हे शक्य होते कारण वेबसाईट वेगळ्या होत्या ( a आणि u मधला फरक). विशालने युजर नेम आणि पासवर्ड टाकला, आणि तो fraudster ला मिळाला....इथे विशाल phish झाला...phishing अटॅक इथं successful झाला.
त्यानंतर fraudster ने नेहमीच्या काही eshopping वेबसाईट वर विशाल चा मोबाईल नंबर आणि मिळालेला पासवर्ड टाकून लॉगिन करून बघितले. विशालचा आणखी एक मूर्खपणा त्याला नडला की त्याने त्याच्या ब्यांकेचा आणि इतर साईटचा पासवर्ड जवळपास सारखा ठेवला होता. Fraudster ने 1200 रु चे ऑनलाइन शॉपिंग करून, त्या व्यवहारासाठीचा OTP विशाल ला व्हेरिफिकेशन च्या नावाखाली विचारला होता....
टीप:
खरतर हे खूप जुने उदाहरण आहे. हल्लीच्या बँक किवा इतर इशॉपिंग साईट यात डिव्हाईस बाईंडिंग आणि 2FA असते ( ते काय ते नंतर सांगेन). त्यामुळे इथक्या सहजी हल्ली हे प्रकार होत नाहीत. यांची modus operandi थोडी क्लिष्ट असते. तरीही आज भारतातच नव्हे तर जगभरात होणाऱ्या बहुतांशी अटॅक ची सुरुवात फिशिंग ने होते.
तरीही आपण काय लक्षात ठेवायचं?
१) ऑफर च्या ई-मेल आपल्या ब्यांकेकडून आल्या असं वाटलं तर लिंक वरील वेब ऍड्रेस तंतोतंत आहे ना हे तेल घालून बघायचं...ते सोडा, कुठलीही बँक हल्ली ई-मेल।मध्ये लिंक देऊन ऑफर देत नाही. वाटलंच तर branch किन्वा बँकेच्या कॉल सेंटर ला आपण स्वतः फोन करून विचारायचं. लक्षात घ्या, आपल्याला आलेला कॉल कुणाचाही असू शकतो, पण आपण केलेला कॉलमुळे खात्री होते की आपण योग्य माणसाशी बोलत आहे
२) काहीही झालं तरी आपण स्वतः OTP कुणालाही फोन वर सांगायची नाही , नाही म्हणजे नाही.....आपला विश्वासू आणि ओळखीचा कुुणी असेल आणि तो आपल्या विनंतीवरून काही काम करत असेल (उदा. आपला CA) तर फक्त आणि फक्त त्याांनाच सांगायला हरकत नाही, पण त्यांचे नाव सांगून तिसरा कुणी मागत असेल तर पडताळणी करावी...
३) हा मुद्दा रिपीट आहे, पण वेगवेगळ्या साईट ला एकच किंवा सारखा पासवर्ड नको...
पुन्हा भेटू नवीन भागात. (क्रमशः)
Thanks for giving important information
ReplyDelete