फर्जी ‘लाउंज पास’ ऐप के जरिए हवाई यात्रियों से ₹9 लाख की ठगी. विवरण यहाँ
भारत में हवाई यात्रियों को निशाना बनाने वाला एक बड़ा घोटाला सामने आया है, जिसमें 450 से अधिक यात्रियों को नुकसान हुआ है ₹“लाउंज पास” नामक एक धोखाधड़ी वाले एंड्रॉइड ऐप के माध्यम से 9 लाख (लगभग $11,000)। ऐप ने हवाई अड्डे के लाउंज तक पहुंच प्रदान करने वाली सेवा के रूप में पेश किया लेकिन इसके बजाय उपयोगकर्ताओं के पैसे चुरा लिए। अधिकारियों ने चेतावनी दी है कि यह घोटाला बड़े पैमाने पर हो सकता है, क्योंकि इसी तरह के कई फर्जी ऐप प्रसारित हो रहे हैं और यह भ्रामक रणनीति तेजी से गति पकड़ रही है।
CloudSEK की खतरा अनुसंधान टीम द्वारा उजागर किया गया यह घोटाला विशेष रूप से हवाई अड्डे के लाउंज तक पहुंच की तलाश करने वाले यात्रियों को शिकार बनाता है, जिससे यह विमानन उद्योग में एक अनोखा और खतरनाक खतरा बन जाता है।
यह घोटाला तब सामने आया जब सोशल मीडिया प्लेटफॉर्म ₹87,000.
घोटाले की मुख्य बातें:
450 यात्री प्रभावित: जुलाई और अगस्त 2024 के बीच, लगभग 450 अनजान यात्रियों ने अपने एंड्रॉइड डिवाइस पर नकली “लाउंज पास” ऐप इंस्टॉल किया।
ऊपर ₹9 लाख की चोरी: घोटालेबाजों ने पीड़ितों के फोन से एसएमएस संदेशों को इंटरसेप्ट किया, जिससे वे चोरी करने में सक्षम हो गए ₹इस संक्षिप्त अवधि के दौरान 9 लाख रु.
लक्षित वितरण: दुर्भावनापूर्ण ऐप को व्हाट्सएप संदेशों के माध्यम से प्रसारित किया गया था, जो उपयोगकर्ताओं को जैसे डोमेन पर निर्देशित करता था लाउंजपास[.]में, लाउंजपास[.]जानकारीऔर लाउंजपास[.]ऑनलाइनजो सभी घोटाले से जुड़े थे।
यह भी पढ़ें- उड़ानों में अराजकता का कोई अंत नहीं, 80 और को मिली बम की धमकी
घोटाला कैसे काम करता है
पारंपरिक एसएमएस-चोरी करने वाले मैलवेयर के विपरीत, जो आम तौर पर बैंकिंग ऐप्स के रूप में सामने आता है, इस अभियान ने हवाई अड्डों पर यात्रियों की लाउंज एक्सेस सेवाओं की आवश्यकता का लाभ उठाया।
एक बार इंस्टॉल होने के बाद, नकली “लाउंज पास” ऐप ने गुप्त रूप से पीड़ित के फोन से आने वाले एसएमएस संदेशों को कैप्चर कर लिया, जिसमें ओटीपी जैसी संवेदनशील जानकारी भी शामिल थी, जिससे स्कैमर्स को पीड़ितों के खातों तक अनधिकृत पहुंच प्राप्त करने और पैसे चुराने की अनुमति मिली।
अनुसंधान दल ने ऑपरेशन में एक गंभीर दोष उजागर किया। घोटालेबाजों ने अनजाने में अपने फायरबेस एंडपॉइंट को उजागर कर दिया था, जहां चोरी हुए एसएमएस संदेश संग्रहीत थे। इससे जांचकर्ताओं को घोटाले के पैमाने का विश्लेषण करने और चुराए गए धन का पता लगाने की अनुमति मिली।
काम करने का ढंग
1. व्हाट्सएप के माध्यम से वितरण: स्कैमर्स व्हाट्सएप के माध्यम से एक नकली “लाउंज पास” ऐप लिंक साझा करते हैं, जो पीड़ितों को दुर्भावनापूर्ण डोमेन पर निर्देशित करते हैं।
2. ऐप इंस्टॉलेशन: पीड़ित ऐप इंस्टॉल करते हैं, जिससे उसे एसएमएस अनुमतियों तक पहुंच मिलती है।
3. एसएमएस को इंटरसेप्ट करना: ऐप चुपचाप आने वाले एसएमएस को कैप्चर करता है, जिसमें ओटीपी और वित्तीय अलर्ट भी शामिल हैं।
4. चुराए गए डेटा को अग्रेषित करना: इंटरसेप्ट किए गए एसएमएस डेटा को स्कैमर्स के फायरबेस सर्वर पर भेजा जाता है।
5. वित्तीय शोषण: घोटालेबाज पीड़ितों के खातों तक पहुंचने और पैसे चुराने के लिए चोरी की गई जानकारी का उपयोग करते हैं।
यह भी पढ़ें- सरकार ने मेटा और एक्स से एयरलाइनों को बम की झूठी धमकियों पर डेटा साझा करने को कहा
तकनीकी निष्कर्ष
धोखेबाज ऐप रिवर्स इंजीनियरिंग के बाद, क्लाउडएसईके की टीम ने ऐप के कोड के भीतर अनुमतियों की खोज की, जिससे उसे पीड़ित के एसएमएस संदेशों तक पूरी पहुंच मिल गई। ऐप को स्कैमर्स को इंटरसेप्ट किए गए संदेशों को अग्रेषित करने के लिए डिज़ाइन किया गया था, जिससे वे ओटीपी तक पहुंच सकें और पीड़ितों के खातों से धन चुरा सकें।
क्लाउडएसईके के शोधकर्ता अंशुमन दास ने कहा, “तथ्य यह है कि 450 यात्री पहले ही शिकार बन चुके हैं और 9 लाख रुपये से अधिक की चोरी हो चुकी है। यह सिर्फ एक धोखाधड़ी वाला ऐप है जो हमें मिला है; इसी तरह के हजारों नकली ऐप होने की संभावना है।” संचालन में होने से इनकार नहीं किया जा सकता है, यह महत्वपूर्ण है कि यात्री सतर्क रहें और केवल आधिकारिक स्रोतों से ही ऐप्स इंस्टॉल करें।”
यह भी पढ़ें- क्या होता है जब किसी उड़ान में बम होने की धमकी मिलती है? एयरलाइंस के सुरक्षा प्रोटोकॉल को जानें
सुरक्षित हवाई यात्रा के लिए सिफ़ारिशें
केवल विश्वसनीय स्रोतों से डाउनलोड करें: लाउंज ऐप्स के लिए केवल Google Play Store या Apple App Store का उपयोग करें। इंस्टॉल करने से पहले ऐप प्रकाशक का नाम, समीक्षा और डाउनलोड नंबर जांच लें।
यादृच्छिक क्यूआर कोड से बचें: हवाई अड्डों पर यादृच्छिक क्यूआर कोड को स्कैन न करें। आधिकारिक चैनलों पर टिके रहें, और संदेह होने पर हवाई अड्डे या लाउंज कर्मचारियों से पूछें।
अपने एसएमएस एक्सेस को सुरक्षित रखें: लाउंज या यात्रा ऐप्स को कभी भी एसएमएस की अनुमति न दें। वैध ऐप्स को एसएमएस एक्सेस की आवश्यकता नहीं है।
आधिकारिक चैनलों के माध्यम से बुक करें: लाउंज बुकिंग के लिए बैंक, क्रेडिट कार्ड लाभ, या आधिकारिक हवाई अड्डे की वेबसाइट जैसे विश्वसनीय स्रोतों का उपयोग करें। लाउंज काउंटर पर सीधे बुकिंग करना हमेशा सुरक्षित होता है।
अपने खातों की निगरानी करें: बैंकिंग अलर्ट सक्षम करें, नियमित रूप से खातों की जांच करें और किसी भी संदिग्ध गतिविधि की रिपोर्ट अपने बैंक को करें। किसी भी इंस्टॉल किए गए लाउंज ऐप्स की अनुमतियों की समीक्षा करें और जो असुरक्षित लगते हैं उन्हें हटा दें।
Source link