वर्क फ्रॉम होम स्मिशिंग अभियान भारतीय इंटरनेट यूजर्स को टारगेट करके भारी मात्रा में नुकसान पहुंचा…

वर्क फ्रॉम होम स्मिशिंग अभियान भारतीय इंटरनेट यूजर्स को टारगेट करके भारी मात्रा में नुकसान पहुंचा रहा है

जब से COVID-19 महामारी ने दुनिया को प्रभावित किया है, वर्क फ्रॉम होम मॉडल ने व्यवसाय को जारी रखने का एक नया तरीका दिया है, चाहे उसके कॉर्पोरेट, शैक्षिक संस्थान, सरकारें, सभी ने वर्क फ्रॉम होम करना शुरू कर दिया हो। साथ ही इसने साइबर अपराधियों को अपराध करने का एक नया तरीका दिया है।

पिछले एक महीने से, हमारी टीम इसी तरह के अभियान की निगरानी कर रही है, जहां साइबर अपराधी फ़िशिंग संदेशों (स्मिशिंग) के साथ उपयोगकर्ताओं को लक्षित कर रहे हैं और नौकरी पाने और ‘घर से काम’ करके पैसा कमाने का दावा कर रहे हैं।

हमारी टीम के एक सदस्य को व्हाट्सएप और टेक्स्ट संदेश दोनों पर फ़िशिंग संदेश प्राप्त हुए हैं, जहां साइबर अपराधियों ने एचआर होने का दावा किया है, और उन्होंने देखा है कि उपयोगकर्ता घर आधारित नौकरी के लिए योग्य है, बाद में उपयोगकर्ता को व्हाट्सएप नंबर पर उनसे जुड़ने के लिए कहता है।

हमने नौकरी के इच्छुक 3 ऐसे साइबर अपराधियों से जुड़ने की कोशिश की। सभी 3 साइबर अपराधियों ने पंजीकरण प्रक्रिया को पूरा करने और नौकरी पाने के लिए एक वेबसाइट साझा की है।

पहला परिदृश्य — एक व्हाट्सएप स्मिशिंग संदेश जिसमें प्रति दिन ₹ 20,000 तक की घर आधारित नौकरी पाने का दावा किया गया है। व्हाट्सएप चैट के माध्यम से आवेदन करें।

हमने संदेश में उल्लिखित चैट लिंक पर क्लिक किया और आगे संचार शुरू किया। साइबर क्रिमिनल दावा कर रहा था कि यूजर को केवल 30 मिनट के लिए काम करने पर प्रतिदिन ₹8000 मिलेंगे। हमने इसे “हां” कहा। साइबर क्रिमिनल ने हमें एक वेबसाइट (hxxps://www.ppur8[.]com) पर रजिस्टर करने और साइनअप करते ही ₹60 प्राप्त करने के लिए कहा। साइबर क्रिमिनल भी अनुरोध करते हैं कि एक बार वेबसाइट पर रजिस्टर करने के बाद स्क्रीनशॉट साझा करें, ताकि वे हमें काम सिखा सकें।

दूसरा परिदृश्य — एक अन्य व्हाट्सएप स्मिशिंग संदेश में घर पर नौकरी पाने और प्रतिदिन 20,000 रुपये कमाने का दावा किया गया। व्हाट्सएप चैट के माध्यम से आवेदन करें।

हमने संदेश में उल्लिखित व्हाट्सएप चैट के माध्यम से साइबर अपराधियों से फिर से बातचीत की। साइबर अपराधियों ने दावा किया कि “वे व्यापारियों को कमीशन कमाने के लिए बिक्री बढ़ाने में मदद करते हैं”। उन्होंने हमसे एक मॉल वेबसाइट (hxxps://www.my5589[.]in) पर पंजीकरण करने का भी दावा किया और बाद में हमें क्लाउड सिस्टम पंजीकरण के आधार पर एक इनाम (₹50–1000) मिलेगा।

तीसरा परिदृश्य — एक स्मिशिंग टेक्स्ट संदेश जिसमें दावा किया गया है कि घर पर काम करने वाला मजदूर मिलेगा और प्रतिदिन ₹20,000 तक मिलेगा। व्हाट्सएप चैट के जरिए जुड़ें।

हम टेक्स्ट संदेश में उल्लिखित व्हाट्सएप चैट के माध्यम से साइबर अपराधियों से जुड़े। वे दावा कर रहे थे कि हम सुबह 09:30 से 09:30 बजे के बीच प्लेटफॉर्म पर 10–30 मिनट के लिए अंशकालिक काम करते हैं, और भुगतान करते हैं। साइबर अपराधियों ने यह भी दावा किया कि प्लेटफॉर्म एक “आरटीएल-मॉल ब्रशिंग प्लेटफॉर्म है जो प्रमुख शॉपिंग मॉल को अच्छी समीक्षा करने में मदद करता है”। बाद में हमसे एक वेबसाइट (hxxps://www[.]my5589[.]in/Public/reg/yqm/903406) पर पंजीकरण करने के लिए कहा।

नोट:- उपयोगकर्ता केवल एक आमंत्रण कोड के साथ वेबसाइट से जुड़ सकता है, जिसे साइबर अपराधी व्हाट्सएप चैट पर साझा करेंगे।

डाइविंग डीप

हमने सबसे पहले वेबसाइटों पर उल्लिखित कंपनी की जानकारी का विश्लेषण करके अपनी जांच शुरू की:-

1. hxxps://www.ppur8[.]com
2. hxxps://www.my5589[.]in

RACHIKA TRADING LIMITED (U51101MH2014PTC254277) के रूप में पंजीकृत व्यवसाय का हिस्सा होने का दावा करने वाली दोनों वेबसाइट 2014 में शुरू हुई और इसका मुख्यालय मुंबई और बैंगलोर में है। वेबसाइटें 1,00,000 से अधिक सक्रिय सदस्य होने का भी दावा करती हैं। इसके अलावा, दोनों वेबसाइटें अपने व्यवसाय को “एक तृतीय-पक्ष ऑनलाइन ऑर्डरिंग सिस्टम के रूप में घोषित करती हैं, जो मौजूदा शॉपिंग व्यापारियों (पेटीएम मॉल, ईबे, फ्लिपकार्ट, स्नैपडील, इंडियामार्ट, मिंत्रा)” के साथ सहयोग करती है।

हमने कुछ ओपन सोर्स टूल्स जैसे मिनिस्ट्री ऑफ कॉरपोरेट अफेयर्स कंपनी चेक पोर्टल, zaubacorp[.]com, और thecompanycheck[.]com वेबसाइटों का उपयोग करके “RACHIKA TRADING LIMITED” पर कुछ विश्लेषण किया। वेबसाइटों पर प्राप्त निष्कर्षों ने निम्नलिखित बिंदुओं की पुष्टि की:-

1. कंपनी को 13/03/2014 को शामिल किया गया था।
2. कंपनी की वर्तमान स्थिति सक्रिय है और उसने 31 मार्च 2021 तक अपनी वार्षिक रिटर्न दाखिल की है।
3. कंपनी के निदेशक हैं ‘रविकांत अनवेकर’, ‘रोहित महेश डालमिया’, ‘विजय सिंह दुगर’
4. ईमेल पता ‘cs@futurelifestyle[.]in’ के रूप में पहचाना जाता है, यहां एक अजीब बात यह है कि कंपनी ने Future Lifestyle Fashions Limited के ईमेल डोमेन का उपयोग किया है, जो Future Group का एक हिस्सा है।

5. पंजीकृत पता ‘नॉलेज हाउस, श्याम नगर, ऑफ जोगेश्वरी विक्रोली लिंक रोड, जोगेश्वरी ईस्ट मुंबई, मुंबई सिटी, एमएच, 400060, आईएन’, उसी पते के तहत Future Lifestyle Fashions Limited को भी पंजीकृत किया गया है।

6. इसके अलावा, हमें ‘RACHIKA TRADING LIMITED’ और ‘FUTURE LIFESTYLE FASHIONS LIMITED’ के बीच कोई संबंध नहीं मिला। लेकिन, हमें RACHIKA TRADING LIMITED के तीनों निदेशकों और FUTURE GROUP of companies के बीच संबंध पाते हैं।

दो फर्मों के बारे में उपरोक्त निष्कर्षों को ध्यान में रखते हुए, यह स्पष्ट रूप से स्पष्ट है कि फर्म (RACHIKA TRADING LIMITED) अवैध रूप से निदेशकों द्वारा पंजीकृत है और धोखाधड़ी गतिविधियों के लिए उपयोग की जा रही है।

इसके अतिरिक्त, हमने अपनी जांच को वेबसाइटों के विस्तार से विश्लेषण करने में स्थानांतरित कर दिया: –

एक बार जब उपयोगकर्ता दोनों वेबसाइटों पर पंजीकरण कर लेता है, तो उपयोगकर्ता एक होम पेज पर पहुंच जाएगा, जो कई टैब दिखाता है — वित्तीय, रिचार्ज, निकासी, आमंत्रण और शेष ₹60।

यदि कोई उपयोगकर्ता राशि को ‘निकालना’ चाहता है, तो उपयोगकर्ता को वेबसाइट पर अपना बैंकिंग विवरण जोड़ना होगा। हमने बैंकिंग विवरण जोड़ने के लिए “डमी डेटा” का उपयोग किया, और वेबसाइट में सबमिट किया, बैंकिंग डेटा को सत्यापित करने के लिए वेबसाइट में कोई तरीका नहीं है। चूंकि इन वेबसाइटों को उपयोगकर्ता की बैंकिंग जानकारी संग्रहीत करने या काटने के लिए डिज़ाइन किया गया है और बाद में धोखाधड़ी करने के लिए इसका दुरुपयोग किया जाता है।

बैंकिंग विवरण जोड़ने के बाद, हमने राशि निकालने की कोशिश की, लेकिन वेबसाइट “अपर्याप्त निकासी शेष” के रूप में त्रुटि दिखा रही है।

हमने वेबसाइट में ‘रिचार्ज’ टैब को भी खंगालने की कोशिश की। रिचार्ज टैब फिर से एक ट्रैप है, जहां यह उपयोगकर्ता को यूपीआई से न्यूनतम ₹100 के साथ खाते को रिचार्ज करने के लिए कहता है, और कई भुगतान गेटवे का उपयोग करता है।

हमने रिचार्ज विकल्पों का और विश्लेषण किया — सनपे पर क्लिक करने के बाद (जैसा कि ऊपर के आंकड़ों में दिखाया गया है) यह हमें पेटीएम ऐप पर ले गया, जहां यह साइबर अपराधियों के यूपीआई खातों में राशि स्थानांतरित कर रहा है।

अन्य रिचार्ज विकल्प (vpay, fastpay122 और 51pay-01) ने हमें AmmPay और FastPay के पेमेंट गेटवे पेज पर रीडायरेक्ट किया।

हमने कंपनी “एटीएन हॉस्पिटैलिटी सर्विसेज ओपीसी प्राइवेट लिमिटेड” का विश्लेषण किया, जिसे हमने यूपीआई आईडी ‘paytm-71213406@paytm’ पर यूपीआई भुगतान करते समय पहचाना। कंपनी 28/दिसंबर/2020 को निगमित “वन पर्सन कंपनी” के रूप में पंजीकृत है, और पंजीकृत पता प्लॉट नंबर-350, बेसमेंट, सेक्टर-19, द्वारका, दक्षिण पश्चिम दिल्ली, 110078, IN है। कंपनी का निदेशक पद ‘सचिन कुमार झा’ पर पंजीकृत है। उपयोग किया गया ईमेल पता ‘ramolaconcultancy@gmail.com’ है।

डोमेन विश्लेषण

हमने पहचाना कि दोनों डोमेन (hxxps://www.ppur8[.]com, hxxps://www.my5589[.]in) हाल ही में डोमेन रजिस्ट्रार ‘Dynadot’ के तहत पंजीकृत हैं।

दोनों आईपी पते (96.43.104[.]165, 104.219.209[.]251) भी कई स्पैमिंग/फ़िशिंग डोमेन की मेजबानी कर रहे हैं, जो समान प्रकार के अभियानों में शामिल हैं (नीचे आंकड़े देखें)।

जांच के दौरान पहचाने गए सभी वेबसाइटों/डोमेन/आईपी पतों को स्कैन करने के बाद, हमने पाया कि वे सभी लोगों को धोखा देने के उद्देश्य से नए पंजीकृत थे, और हमने यह भी नोट किया है कि लोग उपभोक्ता शिकायतों पर इस अभियान के बारे में रिपोर्ट कर रहे हैं।

अंत में, हम मध्यम विश्वास के साथ यह निष्कर्ष निकालने में सक्षम हुए कि दोनों वेबसाइटों का उपयोग उपयोगकर्ताओं को स्पैम करने और उपयोगकर्ता बैंकिंग जानकारी एकत्र करने के लिए किया जाता है और बाद में उपयोगकर्ताओं को साइबर अपराधियों के UPI खातों में धन हस्तांतरित करने के लिए धोखा दिया जाता है।

भले ही हम इस अभियान की जांच कर रहे हैं, साइबर अपराधी अभी भी सक्रिय हैं और उपयोगकर्ताओं को नए स्मिशिंग संदेश के साथ लक्षित कर रहे हैं। और ‘सीमेंस’ कंपनी से होने का दावा करना और वर्क फ्रॉम होम जॉब का सुझाव देना।

हम टेक्स्ट संदेश में उल्लिखित व्हाट्सएप चैट के माध्यम से साइबर अपराधियों से फिर से जुड़े। उन्होंने बंगलौर स्थित एक ऊर्जा कंपनी “सीमेंस गेम्सा” के प्रबंधक मारिया होने का दावा किया। साइबर अपराधियों ने यह भी दावा किया कि ‘उम्मीदवार को प्रतिदिन खाली समय में बिजली उत्पादन उपकरण शुरू करने के लिए अपने मोबाइल का उपयोग करना होगा और प्रतिदिन 2000 से 10000 का भुगतान किया जाएगा’। हम यहां देख सकते हैं, व्हाट्सएप चैट संदेशों में ‘गलत अंग्रेजी’ का इस्तेमाल किया गया है। और रजिस्टर करने के लिए एक नया लिंक (hxxps://www.siemenss[.]shop/h5/register?icode=630691) साझा किया।

निष्कर्ष

इस बात की बहुत अधिक संभावना है कि साइबर अपराधियों ने इन वेबसाइटों को उपयोगकर्ताओं की महत्वपूर्ण जानकारी और PII (Personal Identifiable Information -व्यक्तिगत पहचान योग्य जानकारी) इकट्ठा करने के लिए बनाया है। चोरी/काटे गए क्रेडेंशियल्स या जानकारी का उपयोग साइबर अपराधियों द्वारा अन्य दुर्भावनापूर्ण गतिविधियों के संचालन के लिए किया जा सकता है जैसे: –

1. ब्रूट फोर्सिंग (Brute Forcing)— उपयोगकर्ताओं के ईमेल और सोशल मीडिया अकाउंट्स पर उपरोक्त वेबसाइटों से ज़बरदस्ती लॉगिन करने के लिए काटे गए क्रेडेंशियल्स का उपयोग करना।
2. खाता अधिग्रहण धोखाधड़ी (Account Takeover Frauds) — पीड़ितों के खाते पर कब्जा करने के लिए कटाई की गई बैंकिंग जानकारी का उपयोग करना।
3. वित्तीय धोखाधड़ी (Financial Frauds) — चोरी की बैंकिंग जानकारी का उपयोग करके पीड़ित का व्यक्तित्व बनाएं और वित्तीय अपराध करें।

सीखे गए सबक

हमने कुछ आवश्यक सर्वोत्तम प्रथाओं को सूचीबद्ध किया है जो इस प्रकार के कपटपूर्ण प्रयासों के खिलाफ नियंत्रण की पहली पंक्ति बनाते हैं। हम अपने पाठकों को नीचे दिए गए सर्वोत्तम अभ्यासों का पालन करने की सलाह देते हैं: –

1. एसएमएस/व्हाट्सएप चैट के माध्यम से प्राप्त होने वाले किसी भी लिंक पर क्लिक करने से बचें, क्योंकि ये यूआरएल हानिकारक हो सकते हैं।
2. प्राप्त संदेश में आकर्षक पेशकश और नकली दावों की तलाश करें, जैसे- “पैसे कमाएं”, “घर से काम करें”, “2 घंटे काम करें और एक्स राशि कमाएं”, आदि धोखेबाजों के लालच में पड़ने से बचने के लिए।
3. किसी संदेश पर विश्वास करने से पहले प्रेषक की सभी जानकारी सत्यापित करें, जो आपसे कोई व्यक्तिगत जानकारी मांगने या किसी लिंक पर क्लिक करने से संबंधित है।
   टेक्स्ट मैसेज या व्हाट्सएप चैट में वर्तनी की त्रुटियों और व्याकरण के गलत उपयोग को देखें।
4. किसी भी संदिग्ध लिंक को स्कैन करने के लिए मोबाइल के लिए एक अच्छा एंटी-वायरस इंस्टॉल करें।
5. ऐसे किसी भी संदिग्ध टेक्स्ट मैसेज या व्हाट्सएप चैट की तुरंत अपने नजदीकी पुलिस साइबर सेल को रिपोर्ट करें या https://www.cybercrime.gov.in/ पर ऑनलाइन शिकायत दर्ज करें या अपने फोन से 1930 डायल करें।

आगे क्या होगा?

हम सभी कानून प्रवर्तन और साइबर सुरक्षित एजेंसियों को नेटवर्क स्तर से नीचे दिए गए अवलोकनों को तुरंत ब्लॉक करने और इन अभियानों से नेटिज़न्स की सुरक्षा के लिए आगे की कार्रवाई करने की अत्यधिक अनुशंसा करेंगे।

अवलोकन योग्य

आईपी ​​पता (IP Address)

1. 96.43.104[.]165
2. 104.219.209[.]251
3. 104.21.18[.]150
4. 172.67.182[.]158
5. 154.39.149[.]40
6. 192.124.249[.]83
7. 103.251.113[.]152

कार्यक्षेत्र (Domain)

1. my5589[.]in
2. ppur8[.]com
3. uka189[.]in
4. siemenss[.]shop

भुगतान द्वार (Payment Gateways)

1. hxxps://upi.payplus[.]live/pay/plus/vpa2.html?orderId=165607566567657&token=03ac9f7b580f4f67bc4d363ac66f52501656075665755
2. hxxps://pay.fast8811[.]com/steputr?o=1540320465562923009&t=8&a=200&p=1
3. hxxps://payment.ammcinrpay[.]com/order-pending?orderId=20220624184040218619&mchId=39051084513

यूपीआई खाते (UPI Accounts)

1. stayspeedy@indus
2. paytmqr2810050501011metnkjq2kgj@paytm
3. paytm-71213406@paytm

कंपनियां और निदेशक (Companies and Directors)

1. रचिका ट्रेडिंग लिमिटेड — रविकांत अनवेकर, रोहित महेश डालमिया, विजय सिंह दुगर
2. एटीएन हॉस्पिटैलिटी सर्विसेज ओपीसी प्राइवेट लिमिटेड — सचिन कुमार झा

दूरभाष संख्या (Phone Numbers)

1. +91–7814660620
2. +91–8303547664
3. +91–8789900593
4. +91–7350050962
5. +91–8146920636

यह जांच एक स्वतंत्र शोध का हिस्सा है जिसे हम इंटरनेट को सुरक्षित रखने के लिए लगातार आधार पर करते हैं।

सुरक्षा क्रॉनिकल स्वतंत्र सुरक्षा शोधकर्ताओं की एक टीम है और #सुरक्षा #जोखिमों और #खतरों पर शिक्षित, जागरूक नेटिज़न्स के लिए एक समर्पित मंच है।

Similar blog is available for our English readers.

Twitter | LinkedIn