दिवस नेटफ्लिक्स, अमेझोनच्या नावाने एक मेसेज व्हॅट्सअप,
टेलिग्राफवर धुमाकूळ घालत आहे. पोलिसांनी पण वारंवार या मेसेजबाबत जागरूक केले आहे. हाच तो मेसेज “Live Stream App Watch All Movie, Series, Season In Ultra HD Quality On Your Mobile, Live IPL Cricket Matches and Much More. Now you dont need to pay netflix, Amazon Prime Just Download this Free Live Streaming App and enjoy.“ http://profilelist.xyz/?livestream” या मेसेजमधील सुरुवातीचा भाग वाचून खूश, की आपल्याला आता क्रिकेट मॅच, चित्रपट आणि बरेच काही पहावयास मिळणार आणि मग आपण लिंकवर क्लिक करतो. क्लिक केल्यावर पुढील काम त्या लिंकने केलेले असते. एक ‘लाईवस्ट्रीम अप’ आपल्या मोबाईलवर इन्स्टॉल झाले व आपण काहीच न करता (मेसेज न पाठवता) आपोआप आपण ज्या व्हॅट्सअप ग्रुपमध्ये आहेत त्या ग्रुपवर सदरचा मेसेज पाठविला गेला. म्हणजे ही लिंक आपल्यामुळे किती लोकांपर्यंत पोचली. थोडक्मयात सायबर हल्लेखोरांनी ही लिंक किती विचारपूर्वक तयार केली होती पहा. आणि आपण किती ‘विचारपूर्वक’ या लिंकवर क्लिक केले हे ही पहा.
या मेसेज मधील डोमेन बघा “.xyz” असा आहे. हे समजून घेणे महत्त्वाचे आहे की अशा प्रकारचा डोमेन अस्तित्वात नसतो. मग या लिंकमुळे झाले काय? तर ही एक मॅलिशिअस फिशिंग लिक होती जी व्हॉट्सअप, टेलिग्राम, व्हायबरसारख्या मॅसेंजरसाठी बनविली होती. रिव्हर्स इंजिनिअरिंगचा वापर करून आपला खाजगी डेटा चोरण्यासाठी या लिंकचा वापर केला जात आहे. जर आपण याला बळी पडले असाल तर ऍप्स मॅनेजरमध्ये जाऊन ऑनलाईन स्ट्रीम अप काढून (अनइन्स्टॉल) करावे.
फिशिंग लिंक म्हणजे नक्की काय? तर हा एखाद्या डिव्हाईसवर सोशल (जास्त युझर्स) हल्ला करण्याचा प्रकार. अशा लिंकचा वापर वरून गोपनीय, खाजगी, आर्थिक माहिती चोरली जाते. ही लिंक टेक्स्ट मेसेजच्या माध्यमातून ई-मेल किंवा व्हॉट्सअपद्वारे पसरवली जाते. ही लिंक म्हणजे एक गळ आहे जी आपल्याला फसवण्यासाठी तयार केली आहे. अर्थात ही लिंक तयार करत असताना त्याला एका मेसेजची जोड असते. या मेसेजमध्ये लिंक समाविष्ट करून हा एकसंध मेसेज व्हायरल केला जातो. मग हा मेसेज कसा असतो. तर त्यात तुमचा बँकेचा अकाऊंट/सोशल मीडिया अकाऊंट कोणीतरी लॉगइन केला आहे. तुम्ही केला नसेल तर दिलेल्या लिंकवर क्लिक करा. तुमचे वॅलेटचे किंवा बँकेचे खाते केवायसी नसल्याने बंद झाले आहे. लिंकवर क्लिक करून ते पूर्ववत करा. तुम्ही केलेल्या नोकरीचा अर्ज मान्य झाला आहे. खालील लिंकवर क्लिक करून उर्वरित माहिती भरा. तुम्हाला फ्री गिफ्ट लागू झाले आहे. लिंकवर क्लिक करून मागून घ्या. तुम्हाला आमचे ई-मेल येऊ नये असे वाटत असेल, तर लिंकवर क्लिक करून Unsubscribe करा. असे आणि आशाप्रकारे विविध गोष्टी समाविष्ट करून आपल्याला लिंक पाठविल्या जातात. याचे वैशिष्टय़ म्हणजे कोणाला कोणती लिंक पाठवायची याचा बरोबर अभ्यास केला जातो व त्याच लोकांना लिंक येतात. उदा. नोकरी शोधणाऱयांना नोकरीसंबंधी, ऑनलाईन शॉपिंग करणाऱयांना फ्रि-गिफ्ट बाबत असे मेसेज येतात.
आता या लिंकवर ‘क्लिक’ केल्यास काय होऊ शकते. तर अशा प्रकारच्या लिंकवर क्लिक केल्यावर आपण एका वेबसाइटवर पोचतो. ही वेबसाईट म्हणजे ‘खरी दिसणारी खोटी वेबसाईट’ असते. यालाच फिशिंग साइट असेही म्हणतात. उदा. जर तुम्हाला बँकेसंदर्भात मेल किंवा मेसेज आला असेल आणि तुम्ही त्यावर क्लिक केले आणि वेबसाईट उघडली तर समोर दिसणारी वेबसाईट व लॉग इन पेज हे जरी नेहमीसारखे दिसत असले तरी ते खोटे (फेक) असते. अशा खोटय़ा पेजवर तुम्ही जेव्हा यूजर आयडी आणि पासवर्ड टाकता तेव्हा हे त्या हल्लेखोराला मिळते व तुम्हाला खऱया वेबपेज वर रिडायरेक्ट केले जाते. म्हणजे लॉगइन न होता तुम्हाला खऱया वेवपेज वर घेऊन जाते. ‘फिशिंग’चे अनेक प्रकार आहेत. ज्यात प्रामुख्याने होणारे फिशिंग म्हणजे ‘क्लोन फिशिंग’ जो बहुदा मेसेजसाठी वापरला जातो. अगदी हुबेहूब खरा वाटावा असा खोटा मेसेज तयार करून पसवरला जातो. म्हणजे तो बँकेने किंवा फेसबुक किंवा कोणात्याही सोशल मीडिया साईटने पाठविला आहे असे वाटते. त्यातील रंग, फॉन्ट, अलाईनमेंट इ. सर्व अगदी हुबेहूब असते. हे त्या त्या व्यक्तींना टार्गेट करून तयार केलेले असतात. जसे मेसेजचे डुप्लिकेशन (खोटे) तयार करतात तसे डोमेनचे पण तयार करतात. सोप्या भाषेत डोमेन म्हणजे वेबसाईट तयार करण्यासाठी वापरलेले नाव. हे नकली डोमेन वापरून खऱया वेबसाईट्ची नक्कल करून फिशिंग लिंकद्वारे या खऱया दिसणाऱया खोटय़ा वेबसाईटकडे वळवणे व माहिती चोरणे. अगदी गो-डॅडीसारख्या कंपनीकडून डोमेन खरेदी करून वापरले जाते. ड्रॉपबॉक्स किंवा गुगल ड्राईव्हचा वापर करून पण फिशिंग पेज बनविल्याची उदाहरणे आहेत. स्मिशिंग नावाचा फिशिंग हल्ला आहे ज्यामध्ये एसएमएस हा हल्ला करण्यासाठी वापरला जातो. आलेल्या एसएमएसमध्ये एक लिंक किंवा फोन नंबर दिलेला असतो व युझरला त्यावर क्लिक किंवा फोन करण्यास सांगितले जाते. हा एसएमएस वर सांगितल्याप्रमाणे बॅंक अकाऊंटशी संबंधित असतो जो युझरला आर्थिक फसवायला वापरला जातो. सध्या फोनवरून माहिती मागविली जाते. ‘बॅंकेमधून बोलत आहे. आपले कार्ड बंद करण्यात येत आहे. आपल्या फोनवर आलेला ओटीपी सांगा किंवा एसएमएसमधील लिंकवर क्लिक करा’ असे फोन येतात व युझर त्याप्रमाणे ओटीपी सांगतो किंवा लिंकवर क्लिक करतो. या पद्धतीला विशिंग असे म्हणतात. हाही एक फिशिंगचा प्रकार आहे. म्हणून कधीही कोणाही अनोळखी व्यक्तीला आपल्याला आलेले ओटीपी सांगू नका. बँक कोणत्याही प्रकारे असे फोन करून माहिती मागवित नसते.
आपण प्रत्येकजण बहुसंख्यवेळी वाय-फाय वापरतो. जर या वायफायचे क्लोन केले तर. या अशाच पद्धतीला इव्हिल-ट्विन संबोधले जाते. खऱया वाय-फायचा एक नकली वायरलेस ऍक्सेस पॉईंटचा बनवून मूळ वायफायला कव्हर करून
खऱया मालकाला चकवा देऊन त्याची वैयक्तिक किंवा कॉर्पोरेट माहिती गोळा केली जाते. हे थोडे क्लिष्ट व अवघड आहे मात्र काही हुशार गुन्हेगार हेही करतात. बऱयाचदा हे कंपनी/कॉर्पोरेट बाबतीत घडते. मग असे फिशिंग ई-मेल, एसएमएस व्हॅट्सअप मेसेज कसे ओळखायचे. एक लक्षात घ्या जर आपल्या बँकेकडून ई-मेल आला असेल तर सदर मेसेज काय आहे हे वाचा. बँकेमध्ये जाऊन खात्री करा. केवासी अपडेट, बॅलन्स बाबत आलेले मेसेज खात्री करा व उत्तर द्या. ईमेल आयडीची खात्री करा. नंतर बँकेचे खरे नाव आहे का ते तपासा. जर खोटय़ा फिशिंग वेबसाईट असल्यास त्याची वेबपेज ऍडेसची खात्री करा. उदा. Facebook.com ऐवजी faceboook.com असे असू शकेल. किंवा बँकेच्या नावाचे एखादे अक्षर वेगळे असू शकते किंवा डॉट (.) नंतर असलेली अक्षरे वेगळी असू शकतात. याकडे लक्ष असले पाहिजे.
विनायक राजाध्यक्ष