भारत में साइबर अपराध बढ़ने के साथ अपराधी धोखाधड़ी के नए फॉर्मूले तलाशने में लगे हैं। ऐसे ही नकली CAPTCHA नाम का एक तरीका साइबर जालसाजों ने ढूँढ निकाला है। इनके द्वारा की जाने वाली धोखाधड़ी की ट्रिक में नकली कैप्चा का इस्तेमाल फ्रॉड एक नया उपाय है।
इंटरनेट यूजर किसी न किसी रूप में CAPTCHA से जरूर परिचित होगे। किसी वेबसाइट को विजिट करने पर कैप्चा अक्सर स्क्रीन पर दिख ही जाता है। जो यूजर से वास्तविक अथवा बोट होने के बारे में जानकारी लेता है। जब आप किसी शॉपिंग, पेमेंट या किसी अन्य वेबसाइट पर जाकर चेक आउट करने की कोशिश करते हैं तो अचानक आपके स्क्रीन पर एक पॉपअप बॉक्स खुल जाता है जो आपसे पूछता है कि क्या आप एक मानव है? या मैं एक रोबोट नहीं हूँ। साथ ही एक चेक बॉक्स भी दिखाई देता है।
यूजर को आगे बढ़ने के लिए इसी CAPTCHA को मार्क करना रहता है। दरअसल इस पूरे सेटअप को ही कैप्चा कहते हैं। सामान्यतः इस तरह के पॉपअप संदेशों पर कोई भी इंटरनेट यूजर ज्यादा ध्यान नहीं देता। इसी नजरअंदाजी का फायदा साइबर अपराधी नकली कैप्चा बनाकर उठा लेते हैं।
साइबर अपराधियों द्वारा बनाए गए नकली कैप्चा देखने में सामान्य और नुकसान न पहुँचने वाले लगते हैं। लेकिन वास्तविकता यह है कि ये आपके मोबाइल या कम्प्यूटर की सुरक्षा को भेदने के लिए निर्मित किए जाते हैं। इस लेख में देखते हैं कि कैप्चा कैसे काम करते हैं और इनके असली और नकली होने की पहचान क्या होती है?
क्या है कैप्चा
कैप्चा का पूरा नाम Completely Automated Public Turing test to tell Computers and Humans Apart हैं। कैप्चा किसी वेबपेज पर उपलब्ध एक ऐसा सुरक्षा फीचर है जो मनुष्य और बोट के बीच भेद परीक्षण करता है।
नकली CAPTCHA धोखाधड़ी का तरीका
साइबर अपराधी इंटरनेट यूजर के साथ धोखाधड़ी करने के नए तरीके ढूंढते रहते हैं। उनके डिवाइस में मैलवेयर डाउनलोड करने के लिए नकली CAPTCHA तैयार करते हैं, जो देखने में असली कैप्चा की तरह दिखते हैं। जबकि इसके पीछे वायरस और मैलवेयर फ़ाइल छुपी रहती हैं। इसे फिशिंग का एक नया तरीका भी मान सकते हैं ।
आमतौर पर नकली कैप्चा कम भरोसे वाली वेबसाइटों, संदिग्ध विज्ञापनों और फिशिंग ईमेल के जरिए फैलाए जाते हैं। कभी कभी ये नकली कैप्चा लोकप्रिय वेबसाइटों जैसे दिखने वाली डोमेन साइटों पर भी दिखाई देते हैं। जिससे कि यूजर भ्रमित होकर इन साइट्स पर जाए और ब्राउज़र नोटिफिकेशन ऑन या किसी फ़ाइल को डाउनलोड करें। नकली कैप्चा यूजर को सत्यापन के नाम पर ऐसा करने के लिया प्रेरित करते हैं।
CloudSEK की रिपोर्ट में तरीका हुआ उजागर
डिजिटल जोखिम (Digital Risk) और साइबर खतरों को कम करने के लिए काम करने वाली फ़र्म CloudSEK के अनुसार साइबर अपराधी Lumma Stealer नामक मैलवेयर फैलाने के लिए एक जटिल तरीके का इस्तेमाल कर रहे हैं, जिसमें नकली CAPTCHA सत्यापन करने वाले वेबपेज के जरिये विंडोज का उपयोग करके यूजर्स को निशाना बनाया जा रहा है।
CloudSEK की रिपोर्ट के अनुसार साइबर अपराधी अलग-अलग प्लेटफॉर्म पर नकली वेबसाइटें बना रहे हैं। ये वेबसाइटें देखने में असली लगती हैं। भरोसेमंद और तेज खुलने के लिए ये नकली वेबसाइट Content Delivery Network (CDN) का इस्तेमाल करती हैं।
कैसे बचें नकली CAPTCHA के जाल से
इन नकली साइटों पर एक फर्जी Google CAPTCHA पेज की तरह दिखने वाला एक नकली पेज दिखाया जाता है, जो बिल्कुल असली जैसा लगता है। इसका मकसद यूजर्स को यह यकीन दिलाना होता है कि वे असली वेरिफिकेशन कर रहे हैं। लेकिन हकीकत में, यह यूजर के साथ महज एक धोखाधड़ी होती है ।
CloudSEK के अनुसार यूजर को खतरा सिर्फ नकली CAPTCHA पर क्लिक करने से नहीं है। असली खतरा तब शुरू होता है जब यूज़र सत्यापन के दौरान बताए अनुसार कदम उठाता है। जैसे टर्मिनल में कमांड पेस्ट करके चलाना या “रोबोट नहीं हैं” सत्यापन के लिए कोई फ़ाइल डाउनलोड करना। ये काम आपके डिवाइस के साथ समझौता का रास्ता खोल सकते हैं। इसलिए ऐसे निर्देशों को नहीं मानना चाहिए।
असली और नकली CAPTCHA को कैसे पहचाने
साइबर विशेषज्ञ दीपेंद्र सिंह के मुताबिक असली CAPTCHA भरोसेमंद साइटों पर दिखाये जाते हैं और इनके सत्यापन में तस्वीर चुनना या बॉक्स पर टिक लगाना जैसे सरल काम करने होते हैं, नकली CAPTCHA में यूजर्स से नोटिफिकेशन ऑन करने, फ़ाइल डाउनलोड करने या निजी जानकारी भरने जैसे अजीब काम करवाए जाते हैं।
इन्हें पहचानने का आसान तरीका है साइट के एड्रेस की जांच करना, जहाँ गलत स्पेलिंग या अनजान डोमेन हो सकते हैं। अगर CAPTCHA अचानक पॉपअप के रूप में दिखे, तो यह भी संदिग्ध होने का संकेत हो सकता है।
नकली CAPTCHA मिलने पर घबराएँ नहीं
अगर आपको लगे कि आपने नकली CAPTCHA वाले वेब पेज पर हैं, तो घबराएँ नहीं, बस थोड़ी सावधानी बरतें। सबसे पहले उस साइट से बाहर निकलें और इंटरनेट कनेक्शन बंद कर दें। अपने कंप्यूटर पर एंटीवायरस स्कैन चलाएँ, ब्राउज़र की कैश और कुकीज़ साफ़ करें और कोई भी संदिग्ध एक्सटेंशन हटा दें। अगर आपने कुछ डाउनलोड किया है तो उसे बिना खोले डिलीट कर दें और सुरक्षित डिवाइस में लॉगिन कर महत्वपूर्ण खातों के पासवर्ड बदल दें।
ई-कॉमर्स और ऑनलाइन गेमिंग पर ऐसे हमलों का खतरा ज्यादा होता है इनको विजिट करते समय अतिरिक्त सावधानी बरतें। विशेषज्ञों के सलाह का अनुसार अज्ञात लिंक पर क्लिक न करें और URL जरूर जाँचें, वरना एक क्लिक से आपके खाते में पड़े पैसे और गोपनीय जानकारी दोनों खतरे में पड़ सकते हैं।
