भारत में हवाई यात्रियों को ठगने के एक बड़े घोटाले का खुलासा हुआ है, जिसमें 450 से अधिक यात्रियों ने ₹9 लाख से अधिक (लगभग $11,000) की रकम खो दी है। ठगी का यह सिलसिला “लाउंज पास” नामक एक नकली एंड्रॉइड ऐप के जरिए हुआ, जो यात्रियों को हवाई अड्डों पर लाउंज सुविधा देने का दावा करता था, लेकिन वास्तव में उनके पैसे चुरा रहा था। अधिकारियों का कहना है कि इस घोटाले का दायरा और भी बड़ा हो सकता है क्योंकि इसी प्रकार की कई नकली ऐप्स बाजार में फैली हुई हैं और यह धोखाधड़ी तेजी से बढ़ रही है।
यह ठगी CloudSEK की थ्रेट रिसर्च टीम द्वारा उजागर की गई, जिसने विशेष रूप से हवाई अड्डे की लाउंज सुविधा की तलाश करने वाले यात्रियों को निशाना बनाते हुए इसे एक अनोखे और खतरनाक खतरे के रूप में पाया है। इस ठगी का पता तब चला जब सोशल मीडिया प्लेटफॉर्म X (पूर्व में ट्विटर) पर एक वायरल पोस्ट में बेंगलुरु हवाई अड्डे के एक यात्री ने बताया कि उसने इस धोखाधड़ी ऐप के कारण ₹87,000 से अधिक की राशि गंवा दी।
घोटाले के मुख्य बिंदु:
- 450 यात्री प्रभावित: जुलाई और अगस्त 2024 के बीच, लगभग 450 यात्रियों ने नकली “लाउंज पास” ऐप अपने एंड्रॉइड उपकरणों पर इंस्टॉल किया।
- ₹9 लाख से अधिक की चोरी: ठगों ने पीड़ितों के फोन से SMS संदेशों को इंटरसेप्ट कर ₹9 लाख से अधिक की राशि चुरा ली।
- लक्षित वितरण: इस नकली ऐप को व्हाट्सएप के माध्यम से भेजा गया, जिससे उपयोगकर्ताओं को loungepass[.]in, loungepass[.]info, और loungepass[.]online जैसे डोमेन पर भेजा गया, जो सभी इस घोटाले से जुड़े हुए थे।
घोटाले का तरीका
यह घोटाला पारंपरिक SMS-चोरी करने वाले मैलवेयर से अलग था, जो आम तौर पर बैंकिंग ऐप्स के रूप में धोखा देता है। इस मामले में, ऐप ने यात्रियों के लाउंज सुविधा की आवश्यकता का फायदा उठाया।
ऐप इंस्टॉल करने के बाद, यह नकली “लाउंज पास” ऐप पीड़ित के फोन से आने वाले SMS संदेशों को गुपचुप तरीके से इंटरसेप्ट करता था, जिसमें OTP जैसे संवेदनशील डेटा शामिल थे। इससे ठगों को पीड़ितों के खातों तक अनधिकृत पहुंच मिल जाती थी और वे पैसे चुरा सकते थे।
शोधकर्ताओं ने इस ठगी में एक महत्वपूर्ण खामी पाई। ठगों ने गलती से अपना Firebase एन्डपॉइंट उजागर कर दिया था, जहाँ चोरी किए गए SMS संदेश संग्रहीत थे। इस त्रुटि के कारण, जांचकर्ताओं को घोटाले के पैमाने का आकलन करने और चोरी किए गए धन का पता लगाने में मदद मिली।
मोड़स ऑपरेंडी:
- व्हाट्सएप के माध्यम से वितरण: ठग व्हाट्सएप के जरिए नकली “लाउंज पास” ऐप का लिंक शेयर करते हैं, जो पीड़ितों को गलत डोमेन पर भेजता है।
- ऐप इंस्टॉलेशन: पीड़ित ऐप को इंस्टॉल करते हैं और इसे SMS की अनुमति देते हैं।
- SMS इंटरसेप्शन: ऐप गुपचुप तरीके से आने वाले SMS, OTP, और वित्तीय अलर्ट को इंटरसेप्ट करता है।
- चोरी डेटा का फॉरवर्डिंग: इंटरसेप्ट किए गए SMS डेटा को ठगों के Firebase सर्वर पर भेजा जाता है।
- वित्तीय शोषण: ठग चोरी की गई जानकारी का उपयोग कर पीड़ितों के खातों तक पहुंच प्राप्त करते हैं और पैसे चुराते हैं।
तकनीकी निष्कर्ष
CloudSEK की टीम ने ऐप का रिवर्स इंजीनियरिंग करने के बाद पाया कि इस ऐप में कोड के भीतर कुछ परमिशन थे, जिससे इसे पीड़ित के SMS संदेशों तक पूरी पहुँच मिलती थी। यह ऐप इंटरसेप्ट किए गए संदेशों को ठगों तक भेजने के लिए डिज़ाइन किया गया था, जिससे वे OTP तक पहुँच पाकर पीड़ितों के खातों से पैसे चुरा सकें। CloudSEK के एक शोधकर्ता अंशुमान दास ने कहा, “यह तथ्य कि पहले ही 450 यात्री इस धोखाधड़ी के शिकार बन चुके हैं और ₹9 लाख से अधिक की राशि खो चुके हैं, बेहद चिंताजनक है। यह सिर्फ एक धोखाधड़ी ऐप है जो हमने पाया है; हजारों इसी तरह के नकली ऐप्स के संचालन की संभावना से इंकार नहीं किया जा सकता।”
सुरक्षित यात्रा के लिए सुझाव:
- केवल विश्वसनीय स्रोतों से डाउनलोड करें: केवल गूगल प्ले स्टोर या एप्पल ऐप स्टोर से ही लाउंज ऐप्स डाउनलोड करें। ऐप के प्रकाशक का नाम, समीक्षाएँ और डाउनलोड संख्या जांच लें।
- रैंडम QR कोड से बचें: हवाई अड्डे पर अज्ञात QR कोड को स्कैन न करें। आधिकारिक चैनलों का ही उपयोग करें और संदेह होने पर हवाई अड्डे या लाउंज स्टाफ से पूछें।
- SMS एक्सेस से बचें: कभी भी SMS अनुमति लाउंज या यात्रा ऐप्स को न दें। सही ऐप्स को SMS एक्सेस की आवश्यकता नहीं होती।
- आधिकारिक चैनलों से बुकिंग करें: बुकिंग के लिए बैंक, क्रेडिट कार्ड लाभ या आधिकारिक हवाई अड्डे की वेबसाइटों का उपयोग करें। लाउंज काउंटर पर सीधे बुकिंग करना हमेशा सुरक्षित है।
- अपने खातों की निगरानी करें: बैंकिंग अलर्ट सक्षम करें, खाते नियमित रूप से जांचें, और किसी भी संदिग्ध गतिविधि की रिपोर्ट अपने बैंक को करें।