આપને શું લાગે છે કે સાયબર ગુનેગારો લોકોને છેતરવા માટે નવીનતમ અને અત્યંત વ્યવસ્થિત પદ્ધતિઓનો ઉપયોગ કરે છે. તો તેમને આ બધુ ક્યાંથી શીખવા મળે છે ? આપણી જ ભૂલો અને બેદરકારી માંથી..!! તેમાંની સૌથી સામાન્ય અને ખતરનાક પદ્ધતિઓ છે ફિશિંગ Phishing અને તેનું જ વધુ લક્ષિત અને તીવ્ર  સ્વરૂપ એટલે સ્પિયર ફિશિંગ Spear Phishing. આ હુમલાઓમાં, ગુનેગારો બેંકો, સરકારી સંસ્થાઓ, જાણીતી કંપનીઓ કે વિશ્વાસપાત્ર વ્યક્તિઓનો ઢોંગ કરીને લોકોને નકલી ઈમેઈલ, SMS કે વેબસાઇટ્સ દ્વારા તેમની અંગત અને નાણાકીય જેવી અગત્યની માહિતી પડાવે છે.

આજે આપણે આ બ્લોગ માં ગુજરાતમાં બનેલા કેટલાક આવા ફ્રોડના વાસ્તવિક બનાવો, તથા તેની પાછળની કપટી હકીકતો વિશે  અને તેનાથી બચવા માટેની જરૂરી સુરક્ષા ટિપ્સ વિશે જાણીશું.

ફિશિંગ: ડિજિટલ દુનિયાની સૌથી મોટી છેતરપિંડી

ડિજિટલ યુગના સમય માં આપણે ઈમેલ, મેસેજિંગ એપ્સ અને સોશિયલ મીડિયા પર દરરોજ અનેક સંદેશા પ્રાપ્ત કરીએ છીએ. તે મહત્વનું બની ગયું છે પરંતુ, શું તમે ક્યારેય વિચાર્યું છે કે આમાંથી કેટલાક સંદેશા તમને ડિજિટલ જાળમાં ફસાવવા માટેની કપટી યુક્તિઓ હોઈ શકે છે? આ યુક્તિને ફિશિંગ Phishing કહેવાય છે. ફિશિંગ એ સાયબર ક્રિમિનલ્સ દ્વારા કરવામાં આવતો એક પ્રકારનો ઓનલાઈન ફ્રોડ છે, જેમાં તેઓ તમને વિશ્વાસપાત્ર સંસ્થા કે વ્યક્તિ તરીકે રજૂ કરીને તમારી અંગત માહિતી જેવી કે પાસવર્ડ, બેંક ખાતાની વિગતો, કે ક્રેડિટ કાર્ડ નંબર ચોરી કરવાનો પ્રયાસ કરે છે.

આ નામ "ફિશિંગ" એટલા માટે રાખવામાં આવ્યું છે, કારણ કે તે માછીમારી (Fishing) જેવું જ કામ કરે છે: જેમ માછીમાર માછલીને ફસાવવા માટે ચારો નાખે છે, તેવી જ રીતે હેકર્સ પણ તમને ફસાવવા માટે આકર્ષક કે ડરામણા સંદેશાનો ચારો નાખે છે.

સામાન્ય ફિશિંગ Phishing અને સ્પિયર ફિશિંગ Spear Phishing વચ્ચેનો તફાવત

ફિશિંગના બે મુખ્ય પ્રકાર છે:

• સામાન્ય ફિશિંગ Phishing: ખરેખર આ હુમલાઓને ખુબ મોટા પાયે કરવામાં આવે છે. હેકર્સ હજારો લોકોને એક સાથે એક જ ઈમેલ મોકલે છે. ઉદાહરણ તરીકે, કોઈ બેંકના નામથી એક જ ઈમેલ હજારો ગ્રાહકોને મોકલવામાં આવે છે. આમાં હુમલાખોરને ખબર નથી હોતી કે કોણ જવાબ આપશે, પરંતુ તેને આશા હોય છે કે કેટલાક લોકો તો ફસાઈ જ જશે.

• સ્પિયર ફિશિંગ Spear Phishing: આ હુમલા તો વધુ ખતરનાક અને તીવ્ર ટાર્ગેટેડ હોય છે. આમાં હેકર્સ માત્ર કોઈ ચોક્કસ વ્યક્તિ કે સંસ્થાને નિશાન બનાવે છે. તેઓ તમારા વિશેની માહિતી જેમ કે તમારું નામ, હોદ્દો, કે તમારી કંપનીની વિગતો એકત્રિત કરે છે અને પછી તે માહિતીનો ઉપયોગ કરીને એક ખૂબ જ વ્યક્તિગત અને વિશ્વાસપાત્ર લાગતો ઈમેલ મોકલે છે.ઉદાહરણ તરીકે, કોઈ હેકર તમારા બોસ તરીકે ઈમેલ મોકલીને તમને કોઈ ફાઈલ ડાઉનલોડ કરવા અથવા કોઈ સંવેદનશીલ માહિતી મોકલવા માટે કહી શકે છે.

ફિશિંગથી કેવી રીતે બચવું?

• સાવચેત રહો: તમને જ્યારે પણ કોઈ ઈમેલ કે મેસેજમાં અચાનક અને તાત્કાલિક કાર્યવાહી કરવા માટે કહેવામાં આવે તો તરત સાવધાન રહો. ઉદાહરણ તરીકે, "તમારું એકાઉન્ટ બંધ થઈ જશે" અથવા "આ લિંક પર ક્લિક કરીને તરત જ અપડેટ કરો."

• ઈમેલ એડ્રેસ તપાસો: તમને મોકલનારનું ઈમેલ એડ્રેસ ધ્યાનથી જુઓ. ઘણીવાર હેકર્સ જાણીતી કંપનીઓના નામને મળતા આવતા સ્પેલિંગનો ઉપયોગ કરે છે. સ્પુફિંગ કરી નાખે છે.

• લિંક પર સીધું ક્લિક ન કરો: તમને જો કોઈ લિંક શંકાસ્પદ લાગે, તો તેના પર તરત ક્લિક કરતા પહેલા એક વાર માઉસ કર્સરને તેના પર લઈ જાઓ. આમ કરવાથી તમને વેબસાઈટનું સાચું સરનામું દેખાશે.

• અંગત માહિતી શેર ન કરો: સાવ સરળતા થી કોઈ પણ ઈમેલ કે મેસેજ દ્વારા તમારી બેંકની વિગતો, પાસવર્ડ કે અન્ય સંવેદનશીલ માહિતી ક્યારેય ન આપો. તપસો કે જે વિગતો આપો છો તે યોગ્ય જગ્યા પર આપો છો.

• દ્વિ-પરિબળ પ્રમાણીકરણ એટલે કે ટુ વે ઓથેન્ટિકેશન (2FA) નો ઉપયોગ કરો: જ્યાં પણ શક્ય હોય, તમારા એકાઉન્ટ્સ માટે ટુ-ફેક્ટર ઓથેન્ટિકેશન સેટઅપ કરો. આનાથી હેકર પાસે પાસવર્ડ હોય તો પણ તે એકાઉન્ટમાં લોગિન કરી શકશે નહીં.

આવો જાણીએ કેટલાક વાસ્તવિક બનાવો: જે ગુજરાતમાં ફિશિંગ અને સ્પિયર ફિશિંગના કિસ્સાઓ બન્યા છે.

ગુજરાતમાં ફિશિંગ અને સ્પિયર ફિશિંગના અનેક કિસ્સાઓ નોંધાયા છે, જેમાં વ્યક્તિઓ અને વ્યવસાયોએ મોટું નુકસાન વેઠ્યું છે.

૧. અમદાવાદ કેસ સ્ટડી: "બેંકના નામે ફિશિંગ લિંક અને ખાતું ખાલી".

બનાવ Incident: આ બનાવ માં અમદાવાદ શહેરના એક સરકારી કર્મચારીને એક SMS મળ્યો, તેમાં એવો દાવો કરવામાં આવ્યો હતો કે તેમનું બેંક ખાતું બ્લોક થઈ ગયું છે અને જેને અનબ્લોક કરવા માટે આપેલી લિંક પર ક્લિક કરીને KYC અપડેટ કરવું પડશે. SMS માં બેંકનો લોગો અને મેસેજિંગ ફોર્મેટ અધિકૃત લાગતા હતા. કર્મચારીએ લિંક પર ક્લિક કરી, જે બેંકની વેબસાઇટ જેવી જ દેખાતી નકલી વેબસાઇટ પર લઈ ગઈ. તેણે ત્યાં પોતાનો યુઝરનેમ, પાસવર્ડ અને OTP દાખલ કર્યો. થોડી જ વારમાં, તેના ખાતામાંથી ₹૮૦,૦૦૦ ઉપડી ગયા હતા.અને થોડી વાર માં બીજા ટ્રાન્ઝેક્શન થયા એમ કુલ 1.35 લાખ રૂપિયા નું ફ્રોડ થયું.

હકીકત Facts:

આ ફિશિંગ એટેક નો એક ક્લાસિક કેસ છે, જ્યાં ગુનેગારો બેંકો કે અન્ય સરકારી સંસ્થાઓ જેમ કે આવકવેરા વિભાગ,UIDAI કે વિગેરે જાણીતી કંપનીઓનો ઢોંગ કરીને નકલી લિંક્સ મોકલે છે.

જેમાં આ લિંક્સ નકલી વેબસાઇટ્સ પર લઈ જાય છે જે અસલ જેવી જ દેખાય છે, અને તેનો ઉદ્દેશ્ય યુઝરની લૉગિન ક્રેડેશિયલ્સ, PIN, OTP, કે અન્ય સંવેદનશીલ અગત્યની માહિતી ચોરવાનો હોય છે.

સંદર્ભ: Ahmedabad Cyber Crime Cell regularly issues warnings about bank-related phishing scams. Such incidents are a common occurrence across the state, with numerous cases reported annually.

સ્રોત: The Times of India - "Ahmedabad: Man loses Rs 1.35 lakh to online KYC fraud" (Oct 29, 2023)

૨. સુરત કેસ સ્ટડી: "CEO ના નામે સ્પિયર ફિશિંગ અને નાણાકીય નુકસાન"

બનાવ Incident: સુરતશહેરની એક પ્રખ્યાત મોટી મેન્યુફેક્ચરિંગ કંપનીના ફાઇનાન્સ વિભાગના વડાને કંપનીના CEO ના ઈમેઈલ આઈડી જેવો જ દેખાતો એક ઈમેઈલ મળ્યો હતો. તે ઈમેઈલમાં એક તાત્કાલિક અને ગોપનીય ટ્રાન્ઝેક્શન કરવા માટે સૂચના હતી, જેમાં એક મોટી રકમ (₹૨૫ લાખ) એક નવા સપ્લાયરને ટ્રાન્સફર કરવાની હતી. તે ઈમેઈલમાં CEO નો સામાન્ય સંદેશાવ્યવહારનો સ્વર હતો અને તેમાં "ઇન્ટરનલ ઓડિટ" નો પણ ઉલ્લેખ હતો. ફાઇનાન્સ વડાએ તે ઈમેઈલને અધિકૃત માનીને, તેમને સૂચવેલા બેંક ખાતામાં પૈસા ટ્રાન્સફર કરી દીધા. આમ કરતાં તેમને કુલ 1.15 કરોડ નો ફ્રોડ કર્યો અને બાદમાં જ્યારે CEOને આ વિશે પૂછવામાં આવ્યું, ત્યારે તેમને આ છેતરપિંડીનો પર્દાફાશ થયો.

હકીકત Facts:

આ સ્પિયર ફિશિંગ નો કેસ છે, જે ફિશિંગનું વધુ લક્ષિત સ્વરૂપ છે. ગુનેગારો ચોક્કસ વ્યક્તિ કે સંસ્થાને નિશાન બનાવે છે અને તેમના વિશે પૂરતી માહિતી જેમ કે CEO નું નામ, કંપનીની સિસ્ટમ /કાર્યપ્રણાલી ને એકત્રિત કરે છે.

તેઓ વિશેષ પ્રકારના ઈમેઈલ સ્પુફિંગ જ્યાં ઈમેઈલ એડ્રેસ અસલ જેવું જ દેખાય છે તેમજ ડોમેઈન સ્પુફિંગ જ્યાં ડોમેઈન નામમાં નાનો ફેરફાર હોય છે નો ઉપયોગ કરીને વિશ્વાસપાત્ર સ્ત્રોત બનવાનો ઢોંગ કરે છે.

આવા હુમલાઓ મોટાભાગે નાણાકીય લાભ માટે જ કરવામાં આવે છે અને તેમાં મોટી રકમનું નુકસાન થઈ શકે છે.

સંદર્ભ: Surat Cyber Crime Cell has handled numerous Business Email Compromise (BEC) cases, which are often a result of spear phishing attacks. Such incidents frequently target businesses in the region.

સ્રોત: The Times of India - "Surat firm loses Rs 1.15 crore to cyber fraud" (Feb 14, 2023)

૩. રાજકોટ કેસ સ્ટડી: "ઓનલાઈન શોપિંગના નામે નકલી ગિફ્ટ કાર્ડ ફિશિંગ".

બનાવ (Incident): રાજકોટશહેર ના એક યુવાનને એક જાણીતી ઓનલાઈન શોપિંગ વેબસાઇટ તરફથી એક ઈમેઈલ મળ્યો, જેમાં દાવો કરવામાં આવ્યો હતો કે તેણે એક મોંઘા ગિફ્ટ કાર્ડ જીત્યું છે. ગિફ્ટ કાર્ડ મેળવવા માટે, તેને ઈ-મેઈલમાં આપેલી લિંક પર ક્લિક કરીને "વેરિફિકેશન" માટે પોતાની બેંક વિગતો દાખલ કરવાનું કહેવામાં આવ્યું. યુવાને લોભમાં આવીને વિગતો દાખલ કરી, અને તરત જ તેના ખાતામાંથી ₹૫,૦૦૦ કપાઈ ગયા. ગિફ્ટ કાર્ડ ક્યારેય મળ્યું નહીં પણ તેમને દાખલ કારેરલ માહિતી થી વધુ રૂપિયા ગયા જેમાં તેમને કુલ 6.40 લાખ ગુમાવ્યા અને તેને સમજાયું કે તે ફિશિંગનો શિકાર બન્યો છે.

હકીકત (Facts):

આ "લોભ આધારિત ફિશિંગ" નો એક પ્રકાર છે, જ્યાં ગુનેગારો ઇનામ, લોટરી, ડિસ્કાઉન્ટ કે ગિફ્ટ કાર્ડની લાલચ આપીને લોકોને છેતરે છે.

તેઓ નકલી વેબસાઇટ્સ બનાવે છે જે જાણીતી બ્રાન્ડ્સ જેવી જ દેખાય છે અને તેનો ઉદ્દેશ્ય યુઝરની નાણાકીય માહિતી (ક્રેડિટ કાર્ડ નંબર, CVV, બેંક વિગતો) ચોરવાનો હોય છે.

સંદર્ભ: Rajkot Cyber Crime Cell and consumer protection agencies frequently warn against such lottery/gift card scams, which are common phishing tactics.

સ્રોત: Divya Bhaskar - "રાજકોટમાં ગિફ્ટના નામે ઠગાઈ: ૬.૪૦ લાખ પડાવ્યા" (Dec 22, 2023)

ફિશિંગ અને સ્પિયર ફિશિંગથી બચવા માટે: શું કરવું અને શું ન કરવું?

અગત્યની વાત કે આવા ફ્રોડથી બચવા માટે નીચેના મુદ્દાઓનું પાલન કરવું અત્યંત આવશ્યક છે:

શું કરવું (DOs):

હમેશા મોકલનાર નું ઈમેઈલ/SMS એડ્રેસ તપાસો: કોઈપણ ઈમેઈલ કે SMS ખોલતા પહેલા પ્રેષકનું એટલે કે તે સેન્ડ કરનાર ઈમેઈલ એડ્રેસ કે નંબર ધ્યાનપૂર્વક તપાસો.નાનામાં નાનો ફેરફાર દા.ત., google.com ને બદલે g00gle.com જેમાં અંગ્રેજી મૂળાક્ષર "o /ઑ" ને બદલે " શૂન્ય 0 " મૂકી દીધેલ હોય શકે જેના કારણે પણ છેતરપિંડીનો સંકેત હોઈ શકે છે.

લિંક પર ક્લિક કરતા પહેલા હોવર કરો: જો તમને કોઈ લિંક પર શંકા હોય, તો તેના પર માઉસ કર્સર લઈ જાઓ ક્લિક કર્યા વિના જેથી તમને વાસ્તવિક URL દેખાય. જો URL શંકાસ્પદ લાગે, તો ક્લિક ન કરો.

સત્તાવાર વેબસાઇટ પરથી જ લૉગિન કરો: કોઈપણ બેંક, શોપિંગ સાઇટ કે સરકારી પોર્ટલ પર લૉગિન કરવા માટે હંમેશા બ્રાઉઝરમાં સીધું URL ટાઈપ કરીને સત્તાવાર વેબસાઇટ પર જ જાઓ. ઈમેઈલ કે SMS માં આપેલી લિંક્સ પર ક્લિક કરવાનું ટાળો.

મજબૂત પાસવર્ડ અને 2FA નો ઉપયોગ કરો: તમારા તમામ ઓનલાઈન એકાઉન્ટ્સ માટે મજબૂત અને યુનિક પાસવર્ડ્સનો જ હમેશા ઉપયોગ કરો અને શક્ય હોય ત્યાં ટુ-ફેક્ટર ઓથેન્ટિકેશન (2FA) ઓન કરો.

સોફ્ટવેર અપડેટ રાખો: તમારાડિવાઇસના ઓપરેટિંગ સિસ્ટમ, બ્રાઉઝર અને એન્ટીવાયરસ સોફ્ટવેરને હંમેશા અપડેટ રાખો.

શું ન કરવું (DON'Ts):

અજાણી લિંક્સ કે અટેચમેન્ટ્સ પર ક્લિક ન કરો: શંકાસ્પદ ઈમેઈલ કે SMS માં આવેલી અજાણી લિંક્સ પર ક્લિક ન કરો કે અટેચમેન્ટ્સ ખોલશો નહીં, કારણ કે તેમાં માલવેર હોઈ શકે છે.

OTP કે અંગત માહિતી શેર ન કરો: કોઈ પણ ફોન કરનાર વ્યક્તિને, ભલે તે ગમે તેટલો વિશ્વાસપાત્ર લાગે, તમારો OTP, પાસવર્ડ, PIN, CVV, કે અન્ય સંવેદનશીલ અંગત માહિતી શેર ન કરો.

તાત્કાલિકતાના દબાણમાં ન આવો: જો ઈમેઈલ કે SMS માં "તાત્કાલિક પગલાં લેવા" કે "આ ઓફર મર્યાદિત સમય માટે છે" જેવા શબ્દોનો ઉપયોગ કરીને દબાણ કરવામાં આવે, તો સાવચેત રહો.

જાહેર Wi-Fi પર સંવેદનશીલ વ્યવહાર ટાળો: જાહેર Wi-Fi નેટવર્ક્સ પર બેંકિંગ કે અન્ય સંવેદનશીલ ઓનલાઈન વ્યવહારો કરવાનું ટાળો, કારણ કે તે સુરક્ષિત નથી.

ફિશિંગ અને સ્પિયર ફિશિંગ એ ડિજિટલ દુનિયામાં એક એવી જાળ છે જેમાં કોઈ પણ ફસાઈ શકે છે. જાગૃતિ અને સાવધાની એ જ આ જાળથી બચવાનો શ્રેષ્ઠ માર્ગ છે.

ખાસ યાદ રાખો નેશનલ સાયબર ક્રાઈમ પોર્ટલ પર જાણ કરો: જો તમે ફિશિંગ કે સ્પિયર ફિશિંગનો ભોગ બનો, તો તાત્કાલિક સાયબર ક્રાઈમ પોર્ટલ (www.cybercrime.gov.in) પર અથવા હેલ્પલાઇન નંબર ૧૯૩૦ પર ફરિયાદ નોંધાવો. બેંકને પણ તાત્કાલિક જાણ કરો. અને આ માહિતી ને વધુ લોકો સુધી અવશ્ય શેર કરો.

#ફિશિંગ #સાયબરક્રાઈમ #ઈમેલફ્રોડ #સાવધાન #ઓનલાઈનસુરક્ષા #PhishingScam #CyberSafety #StaySafe

સંબંધિત પોસ્ટ