Zerodha के फाउंडर और सीईओ नितिन कामत के साथ एक बड़ा स्कैम हुआ है. उन्होंने पूरा एक्सपीरिएंस माइक्रोब्लॉगिंग वेबसाइट X पर शेयर किया है. एक दिलचस्प बात ये भी है कि उन्होंने X को Twitter कहा है. ज़्यादातर लोग अब भी X को Twitter ही कहते हैं. 

फ़िशिंग का शिकार हुए Zeroddha फाउंडर

नितिन कामत ने X पर लिखा है कि उनका Twitter अकाउंट हैक हो गया था. इसकी वजह फ़िशिंग स्कैम था, क्योंकि उन्होंने गलती से एक ईमेल ओपन कर लिया जो स्कैमर्स ने भेजा था. 

X पर कामत ने लिखा, ‘मेरा पर्सनल ट्विटर अकाउंट कल हैक हो गया था. थोड़ी चूक हुई और एक ईमेल स्पैम और फिशिंग फिल्टर्स को बाइपास करके मेरे इनबॉक्स में आ गया. मैने Change Your Password लिंक पर क्लिक किया और अपना पासवर्ड एंटर किया. अटैकर्स को मेरे अकाउंट का सिंगल लॉगइन सेशन मिल गया और इसके बाद क्रिप्टोकरेंसी से जुड़े कुछ स्कैम वाले ट्वीट भी किए’ 

AI के ज़रिए ऑटोमेटेड हैकिंग?

नितिन कामत आगे कहते हैं, ‘मैने अपने अकाउंट में टु फ़ैक्टर ऑथेन्टिकेशन एनेबल किया हुआ था, इसलिए क़िस्मत से स्कैमर्स मेरे अकाउंट को पूरी तरह से अपने कंट्रोल में नहीं ले पाए. ये पूरा मामला AI ऑटोमेटेड लग रहा था, पर्सनल नहीं था’ 

Zerodha फाउंडर ने ये भी कहा है कि टु फ़ैक्टर ऑथेन्टिकेशन बेहद जरूरी है, लेकिन ये ह्यूमन साइकॉलजी के लिए टेक्निकल सल्यूशन नहीं है. एक छोटी से गलती की वजह से अकाउंट हैक हो सकता है. उन्होंने एक स्क्रीनशॉट भी शेयर किया है जिसमें X पर अनयूजुअल लॉगइन से रिलेटेड एक ईमेल दिख रहा है. 

स्कैमर्स कैसे करते हैं फ़िशिंग स्कैम?

दुनिया में सबसे ज्यादा हैकिंग दरअसल फ़िशिंग के ज़रिए की जाती है, क्योंकि ये आसान होता है. स्कैमर्स का टार्गेट सिर्फ इनता होता है कि यूजर उनके भेजे गए लिंक पर क्लिक कर लें. लिंक क्लिक कराने के लिए स्कैमर्स AI का सहारा ले रहे हैं. 

आपके ईमेल पर कुछ वॉर्निंग या स्ट्राइक जैसे इंपॉर्टेंट दिखने वाले मेल आते हैं. पहली नज़र में ये मेल असली लगते हैं. यहां दरअसल कुछ ऐसे टेक्स्ट लिखे होते हैं जिसे देख कर आपको लगता है कि अगर इसे नहीं क्लिक किया तो अकाउंट हैक हो जाएगा या स्कैम हो जाएगा. 

यूजर्स इस तरह के ईमेल ओपन कर लेते हैं. फ़िशिंग के लिंक्स इस तरह से डिज़ाइन किए गए होते हैं कि ओपन करने पर बिल्कुल असली वेबसाइट जैसे ही दिखते हैं. नितिन कामत के साथ ऐसा ही हुआ. X जैसे दिखने वाले यूजर इंटरफेस के ज़रिए उनसे X का पासवर्ड ले लिया और अकाउंट हैक हो गया. 

हैकिंग में AI एंगल, क्या बॉट कर रहे हैं हैकिंग? 

कामत ने जो पोस्ट किया, उससे साफ़ हुआ कि हमला ज़्यादा टार्गेटेड नहीं लग रहा था, बल्कि एक बड़े पैमाने पर ऑटोमेटेड फ़िशिंग नेक्सस था जो बहुत ही असली लगने वाले ईमेल भेज रहा था. उन्होंने लिखा कि ईमेल सभी स्पैम और फ़िशिंग फिल्टर को पार कर गया और इसलिए वो ‘Change Your Password’ लिंक पर क्लिक कर बैठे, और बस यही एक क्लिक काफी था.

इस साइबर अटैक का असर भले ही छोटा ही रहा, पर सबक बड़ा है. अटैकर्स ने उस एक सेशन (single-login session) का इस्तेमाल करके कुछ क्रिप्टो-स्कैम लिंक पोस्ट कर दिए, यानी नुकसान पहुंचाने की कोशिश की, लेकिन टु फैक्टर ऑथेंटिकेशन (2FA) की वजह से कामत बच गए.

हालिया फ़िशिंग कैंपेन में अक्सर AI से तैयार किए गए पर्सुएसिव टेक्स्ट और क्लोन किए गए यूआई (जैसे कि X जैसा दिखने वाला पेज) इस्तेमाल किए जा रहे हैं ताकि लिंक पर क्लिक करवा सकें, यानी सोशल इंजीनियरिंग अब और भी बेटर हो चुकी है.

अब आम यूज़र और कंपनियों के लिए क्या करना चाहिए?

• 2FA ऑन रखें, लेकिन इसके साथ बुनियादी सावधानी ज़रूरी है. 2FA ने कामत के केस में बड़े नुकसान को टाला.
• इमेल फिल्टर्स पर भरोसा रखें पर पूरी तरह मत भरोसा करें: फिल्टर भी चूक सकते हैं, इसलिए किसी भी ‘Change your password’, ‘urgent’ या ‘strike’ वाले मेल को अलग डिवाइस या सीधे सर्विस की वेबसाइट जाकर चेक करें. लिंक पर सीधे क्लिक करने से बचें.
• कर्मचारी और खुद की ट्रेनिंग: साइबर सिक्योरिटी सिर्फ़ आईटी की ज़िम्मेदारी नहीं, हर यूजर्स को रेगुलर साइबर-हाइपोथेटिकल ट्रेनिंग देनी चाहिए ताकि ‘ह्यूमन फैक्टर’ कमजोर ना बने. कामत ने भी कहा कि प्रॉसेस, पॉलिसी और ह्यूमन साइकोलॉजी को ध्यान में रखना होगा.
• ऑटोमेटेड स्कैम पैटर्न मॉनिटर करें: जो अकाउंट अचानक क्रिप्टो-लिंक्स या स्पैम पोस्ट करने लगे, उन पर रियल-टाइम अलर्टिंग और लिमिटिंग ऐड करें ताकि इस तरह के पोस्ट को रोका जा सके. 

—- समाप्त —-