नक्कली शर्टकोडबाट आएको फिशिङ लिङ्क क्लिक गर्नासाथ कसरी रित्तिन्छ तपाईंको डिजिटल वालेट ?
चैत २९, २०८१ १५:४
काठमाडौं । पछिल्लो समय फिशिङ लिङ्कमार्फत डिजिटल वालेट प्रयोगकर्तामाथि आक्रमण हुन थालेको छ । ‘AT_Alert’ र ‘The_Alert’ जस्ता नामबाट फिशिङ लिङ्क पठाउने क्रम बढेपछि इसेवा, खल्ती र कनेक्ट आईपीएसले आफ्ना प्रयोगकर्तालाई सुरक्षित रहन आग्रह गरेका छन् । यता, नेपाल प्रहरीको साइबर ब्युरोले पनि बिहीबार एक विज्ञप्ति जारी गर्दै फिशिङ लिङ्क क्लिक नगर्न सजग गराएको छ ।
के हो फिशिङ लिङ्क ? एउटा लिङ्कमा क्लिक गर्नासाथ कसरी रित्तिन्छ डिजिटल वालेट ? फिशिङ लिङ्कले कसरी काम गर्छ ? अनि यसबाट कसरी जोगिने ? आज हामी यसै विषयमा चर्चा गर्दैछौं:
सबैभन्दा पहिले फिशिङ लिङ्क भनेको के हो भन्ने जानौं । फिशिङ लिङ्क भनेको ठगी गर्ने उद्देश्यले बनाइएको वेबसाइटको त्यस्तो लिङ्क हो, जुन हेर्दा आधिकारिक जस्तो देखिन्छ । यस्ता लिङ्कहरू ईमेल, मेसेज वा सामाजिक सञ्जालमा पठाइन्छ ।
यसमा केही प्रलोभन देखाएर वा समस्या आएको देखाएर प्रयोगकर्तालाई युजरनेम, पासवर्ड, क्रेडिट कार्ड नम्बर जस्ता व्यक्तिगत संवेदनशील जानकारी राख्न लगाइन्छ । त्यसरी विवरण राख्ने प्रयोगकर्ताको सबै विवरण स्क्यामर (अनलाइन ठग)ले पाउँछन् र त्यसलाई दुरुपयोग गर्छन् । फिशिङ लिङ्कबारे विस्तृतमा बुझ्न यहाँ क्लिक गर्नुहोस् ।
अब कुरा गरौं, डिजिटल वालेट कम्पनीको नाम राखेर आउने फिशिङ लिङ्कबारे । इसेवा, खल्ती, कनेक्ट आईपीएस जस्ता डिजिटल वालेट तथा अनलाइन भुक्तानी प्रणालीको नाम प्रयोग गरेर एसएमएसमार्फत फिशिङ लिङ्क पठाउने क्रम बढेको छ ।
यी कम्पनीले प्रयोगकर्तालाई आधिकारिक रूपमा एसएमएस पठाउँदा आफ्नै नाम जस्तै ‘eSewa’, ‘eSewa_Alert’, ‘Khalti’, ‘NCHL’ आदिबाट पठाउँछन् । बैंकहरूको नाममा पनि पछाडि अलर्ट भएको नामबाट एसएमएस आउँछ । उदाहरणका लागि, प्रभु बैंकले ‘Prabhu_Alert’ शर्टकोडबाट मेसेज आउँछ ।
तर पछिल्लो समय भइरहेको अनलाइन ठगी घटनामा ‘AT_Alert’ र ‘The_Alert’को नामबाट मेसेज पठाएको देखिन्छ । हुन त यसअघि केही डिजिटल वालेट कम्पनीले प्रचारका लागि ठुलो सङ्ख्यामा एसएमएस पठाउन यी शर्टकोड प्रयोग गर्दै आएका थिए । पछिल्ला केही दिनदेखि भइरहेको फिशिङ आक्रमणम भने यी पब्लिक शर्टकोड नै दुरुपयोग भएका छन् ।
यसरी अलर्ट वा अन्य कुनै कम्पनीको नाम राखेर एसएमएस पठाउनका लागि सम्बन्धित कम्पनीले नेपाल दूरसञ्चार प्राधिकरणबाट अनुमति लिएको हुनुपर्छ । अन्य आधिकारिक कम्पनीको नाम दुरुपयोग गरेर एसएमएसको अनुमति लिने काम केही जटिल हुन्छ ।
‘Th_Alert’ र ‘The_Alert’ ले प्राधिकरणबाट अनुमति लिएर ‘बल्क एसएमएस सेवा’ दिंदै आएको भएपनि अनलाइन ठगी घटनामा कसरी दुरुपयोग भए भन्ने विषय साइबर ब्युरोले अनुसन्धान गरिरहेको छ ।
“अलर्टबाट वालेट प्रयोगकर्तालाई एसएमएसमार्फत फिशिङ आक्रमण भएको यो पहिलो पटक हो,” ब्युरोका प्रवक्ता प्रहरी उपरीक्षक दीपकराज अवस्थीले टेकपानासँग भने, “केही पीडित आएपछि हामीले अनुसन्धान अगाडि बढाएका छौं ।”
यी शर्टकोड दुरुपयोग भएको घटना बाहिरिएपछि केही समयका लागि वालेट कम्पनीले आफ्ना शर्टकोड होल्ड गरेका छन् ।
अब कुरा गरौं त्यसमा आएको मेसेजको । यी शर्टकोडबाट आएको मेसेजमा प्रयोगकर्तालाई उनीहरूको अकाउन्ट बन्द हुने भएकाले आफ्नो जानकारी पुष्टि गर्न भनिएको छ । र, त्यसमा लिङ्क राखिएको छ । यो त्यही लिङ्क हो, जसले गर्दा स्क्यामरले प्रयोगकर्ताको युजरनेम, पासवर्ड र ओटीपी सजिलै हात पार्छन् ।
लिङ्कमा के छ, अनि कसरी सजिलै पासवर्ड र युजरनेम चोर्छन् स्क्यामर ?
विभिन्न कम्पनीको नाम दुरुपयोग गर्दै आएको लिङ्क खोल्दा सबैभन्दा पहिले एउटा वेबसाइट खुल्छ । (यी शर्टकोडबाट आएका अधिकांश फिशिङ लिङ्क अहिले डाउन छन् ।) एसएमएसमा जुन वालेट कम्पनीको नाम राखिएको छ, उक्त वेबसाइटमा त्यही कम्पनीको लोगो राखिएको देखिन्छ ।
त्यसभन्दा तल मोबाइल नम्बर राख्ने बक्स छ भने त्यसभन्दा तल पासवर्ड राख्ने बक्स छ । अब प्रयोगकर्ता यो लिङ्कमा गइसकेपछि सोझै त्यहाँ आफ्नो मोबाइल नम्बर र पासवर्ड राख्छन् ।
र, लगइन गर्न खोज्छन् । यसरी युजरनेम र पासवर्ड राख्ने बित्तिकै स्क्यामरले आफ्नो डेटाबेसबाट उक्त नम्बर र पासवर्डमा पहुँच पाउँछ । अनि सम्बन्धित वालेट कम्पनीको वेबसाइट वा एपबाट उक्त नम्बर र पासवर्ड राखेर लगइन गर्छ ।
यसरी स्क्यामरले लगइन गर्ने बेला वालेट कम्पनीले आधिकारिक रूपमा ओटीपी उक्त प्रयोगकर्तालाई पठाउँछ । यता फिशिङ लिङ्कमार्फत आफ्नो मोबाइल नम्बर र पासवर्ड राखेर लगइन गर्न खोज्ने प्रयोगकर्ताको मोबाइलमा वालेटको ओटीपी आउँछ । त्यही वेबसाइटमा उताबाट ओटीपी राख्ने बक्स देखिन्छ ।
अब प्रयोगकर्ताले आफ्नो एसएमएसमा आएको ओटीपी कोड उक्त वेबसाइटमा राखेपछि स्क्यामरले उक्त ओटीपी कोडको पनि पहुँच पाउँछ । र, आफ्नो डिभाइसमा लगइन गर्छ । त्यसपछि सो वालेटमा रहेको रकम चोर्ने, लिङ्क भएका बैंक अकाउन्ट रित्याउनेदेखि उक्त वालेटलाई विभिन्न अनलाइन ठगीका घटनामा दुरुपयोग गर्न थाल्छ ।
फिशिङ आक्रमण पहिचान गर्ने तरिका
अपरिचित प्रेषक: अपरिचित व्यक्ति वा संस्थाबाट आएको ईमेल वा सन्देशमा शंका गर्नुहोस् । पछिल्लो समय नाम चलेका ‘AT_Alert’ र ‘THE_Alert’ शर्टकोडबाटै फिशिङ लिङ्क आएका छन् । चिनेकै भएपनि सार्वजनिक (जोकोहीले प्रयोग गर्न सक्ने) शर्टकोड हो भने शंका गर्नुपर्ने हुन्छ ।
असामान्य अनुरोध: फिशिङ लिङ्क पठाउँदा लिङ्क पठाउने व्यक्तिले प्रयोगकर्ताबाट संवेदनशील जानकारी फुत्काउन विभिन्न किसिमका प्रलोभन देखाउने, समस्यामा परेको भान पार्ने काम गर्छ । त्यसमा व्यक्तिगत जानकारी, पासवर्ड वा वित्तीय विवरणहरू माग्ने गरिएको हुन्छ । यस्तो जानकारी मागिएको छ भने सतर्क हुनुहोस् । बैङ्क वा आधिकारिक निकायले यस्तो जानकारी ईमेल, एसएमएस आदिमार्फत माग्दैनन् ।
व्याकरण र हिज्जे त्रुटिहरू: फिशिङ ईमेलहरूमा प्रायः व्याकरण र हिज्जे त्रुटिहरू हुन्छन् । त्यसबाहेक त्यस्ता ईमेलमा जटिल किसिमका शब्दहरू प्रयोग गरिएका हुन्छन् । बुझ्नै नसकिने जटिल शब्दहरू राखेर मेसेज वा ईमेल आएको छ भने शंका गर्न सकिन्छ ।
असुरक्षित लिङ्क: ईमेल वा एसएमएसमा लिङ्क पठाइएको छ भने सचेत हुनुहोस् । यदि चिनेकै कम्पनीले पठाएको छ भने उसको आधिकारिक डोमेन नेम प्रयोग भएको हुन्छ । यदि शर्ट यूआरएल प्रयोग भएको छ भने पनि त्यसलाई इन्कग्निटो मोडमा राखेर जाँच गर्नुहोस् । त्यस्ता लिङ्क रिडाइरेक्ट भएर कुन लिङ्क खुल्छ भन्ने हेर्नुहोस् । माथि यूआरएल बारमा सम्बन्धित कम्पनीको डोमेन नेम छैन भने त्यसलाई शंका गर्न सकिन्छ ।
डर वा अत्यावश्यकताको भावना: फिशिङ ईमेलले प्रयोगकर्तालाई तत्कालै प्रतिक्रिया दिन दबाब दिन्छ । उदाहरणका लागि ‘तुरुन्तै लग इन गर्नुहोस्’ वा ‘तपाईंको खाता सस्पेन्ड हुँदैछ, भेरिफाई गर्नुहोस्’ भन्ने किसिमका अर्जेन्सी जनाउने भाषा प्रयोग गरिएको हुन्छ ।
असामान्य ईमेल एड्रेस वा शर्टकोड: तपाईंलाई जुन ईमेलबाट त्यस्तो ईमेल आएको छ त्यसको एड्रेस जाँच्नुहोस् । यदि मेसेजमा शर्टकोडबाट आएको छ भने त्यसलाई पनि झट्ट विश्वास नगर्नुहोस् । प्रायः सार्वजनिक शर्टकोडबाट आउने मेसेज प्रचारका लागि आएका हुन्छन् । त्यस्ता मेसेज बेवास्ता गर्नु नै उचित हुन्छ ।
फिशिङ आक्रमणबाट बच्ने उपाय
सचेत रहनुहोस्: फिशिङ आक्रमणका घटना कस्ता हुन्छन्, कसरी आक्रमण हुन्छ भन्ने विषय अध्ययन गर्नुहोस् । र, आफूलाई सचेत बनाउनुहोस् । कुनै लिङ्क देख्दा झट्ट विश्वास गरेर क्लिक गर्नेभन्दा पनि शंका गर्ने बानी बसाल्नुहोस् ।
सफ्टवेयर अपडेट गर्नुहोस्: आफ्नो कम्प्युटर, फोन र अन्य डिभाइसमा सुरक्षा अपडेट नियमित रूपमा इन्स्टल गर्नुहोस् ।
बलियो पासवर्ड प्रयोग गर्नुहोस्: बलियो र युनिक पासवर्ड प्रयोग गर्नुहोस् । र, ती पासवर्ड नियमित रूपमा परिवर्तन गर्नुहोस् ।
मल्टी फ्याक्टर अथेन्टिकेसनः जहाँ उपलब्ध छ, त्यहाँ मल्टि फ्याक्टर अथेन्टिकेसन अन गर्नुहोस् । यसो गर्दा युजरनेम र पासवर्ड पाउनासाथ तपाईंको अकाउन्ट अर्कोले लगइन गर्न सक्ने सम्भावना निकै कम हुन्छ ।
लिङ्क क्लिक नगर्नुहोस्: अपरिचित ईमेल वा मेसेजमा भएका लिङ्कहरूमा क्लिक नगर्नुहोस् । बरु सिधै सम्बन्धित कम्पनीको वेबसाइटमा जानुहोस् ।
व्यक्तिगत जानकारी नदिनुहोस्: ईमेल वा फोनमार्फत व्यक्तिगत वा वित्तीय जानकारी कहिल्यै नदिनुहोस् ।
आफ्नो कम्प्युटर सुरक्षित गर्नुहोस्: एन्टिभाइरस सफ्टवेयर प्रयोग गर्नुहोस् र फायरवाल इन्स्टल गर्नुहोस् ।
शंकास्पद ईमेल रिपोर्ट गर्नुहोस्: यदि तपाईंलाई फिशिङ ईमेल वा एसएमएस आयो भने यसलाई सम्बन्धित संस्था वा साइबर सुरक्षा निकायमा रिपोर्ट गर्नुहोस् । वा मेसेज र ईमेल प्रदायकलाई पनि रिपोर्ट गर्न सक्नुहुन्छ ।
पब्लिक वाईफाई प्रयोग गर्दा सतर्क हुनुहोस्: पब्लिक वाईफाई नेटवर्कहरूमा संवेदनशील जानकारी पठाउँदा सतर्क रहनुहोस् । सार्वजनिक स्थानमा उपलब्ध हुने वाईफाई सुरक्षित नहुन सक्छन् ।
नियमित रूपमा आफ्नो अकाउन्ट जाँच गर्नुहोस्: आफ्नो बैंक वा वालेट अकाउन्ट र क्रेडिट कार्ड विवरणहरू नियमित रूपमा जाँच गर्नुहोस् । यदि तपाईंको अकाउन्ट सस्पेन्ड हुँदैछ भनिएको मेसेज पाउनुभयो भने उक्त कम्पनीको एप वा वेबसाइटबाट जाँच गर्नुहोस् । त्यसबाहेक कम्पनीको नम्बरमा सम्पर्क गरेर पनि यसबारे बुझ्न सक्नुहुन्छ । याद गर्नुहोस् आधिकारिक कम्पनीले कहिल्यै पनि तपाईंलाई ओटीपी पठाउन भन्दैनन् । कसैले ओटीपी मागेको छ भने आफू ठगीमा पर्दैछु भन्नेबारे सचेत हुनुहोस् ।
पछिल्लो अध्यावधिक: चैत २९, २०८१ १५:४०
