بینک سے بات کر رہا ہوں، آپ کو OTP ملا ہے مجھے بھیج دیں، فراڈ وارداتیں بڑھ گئیں

بینکنگ/مالیاتی فراڈ میں بڑے پیمانے پر اضافے کا اعتراف کرتے ہوئے، نیشنل ٹیلی کمیونیکیشن اینڈ انفارمیشن سیکیورٹی بورڈ (این ٹی آئی ایس بی) نے خبردار کیا ہے کہ ایسا کوئی تکنیکی حل نہیں ہے جو سوشل انجینئرنگ کو ختم اور اس کا پتہ لگا سکے۔

بورڈ نے ‘مالی/بینکنگ گھوٹالوں اور روک تھام میں اضافہ’ کے عنوان سے ایڈوائزری جاری کرتے ہوئے کہا ہے کہ حال ہی میں، فشنگ اور وشنگ تکنیکوں کا استعمال کرتے ہوئے بینکنگ/مالیاتی فراڈز میں بڑے پیمانے پر اضافہ دیکھا گیا ہے، جس کی بنیادی وجہ صارفین کی جانب سے سائبر سیکیورٹی سے متعلق آگاہی کا فقدان ہے۔ .

بینکنگ سیکٹر کے صارفین مسلسل سوشل انجینئرنگ کے ہتھکنڈوں اور بدسلوکی پر مبنی ایپلی کیشنز کا شکار ہو رہے ہیں۔ اس کے مطابق، بدنیت عناصر دھوکے سے صارفین کے اکاؤنٹس سے رقم نکال لیتے ہیں۔

طریقہ کار کے بارے میں، بورڈ نے خبردار کیا ہے کہ مالی اسکیمرز متاثرین کے بینک اکاؤنٹ کا استحصال کرنے کے لیے کئی اٹیک ویکٹرز کا استعمال کرتے ہیں۔ نام ظاہر نہیں کرتے – حملہ آور آپریشن کرنے کے لیے محفوظ اور گمنام سائبر ذرائع کا استعمال کرتے ہیں۔

جس کی وجہ سے، پیچھے ہٹنا ایک مشکل کام ہے، (b) سوشل انجینئرنگ – بدنیت عناصر فون نمبر چھپاتے ہیں یا نامعلوم موبائل فون سے کال کرتے ہیں/ سمجھوتہ کرنے والے واٹس ایپ نمبر اور نقاب پوش بینکنگ آفیشل نمبر متاثرہ شخص سے جو بینک ملازم/مینیجر کے طور پر کام کرتے ہیں اور ذاتی طور پر پوچھتے ہیں۔ قابل شناخت معلومات (Pll) جیسے انٹرنیٹ بینکنگ صارف نام، CNIC نمبر، ڈیبٹ کارڈ نمبر اور ڈیبٹ کارڈ پن۔

اس کے بعد بدنیتی پر عناصر صارف سے حکمت کے ساتھ استفسار کرتا ہے کہ آیا اسے بینک سے ون ٹائم پاس ورڈ (OTP) ملا ہے اور صارف سے کہتا ہے کہ وہ اسے براہ راست کال کرنے والے کو بھیج دے یا واٹس ایپ لنک پر کلک کر کے۔

اس معلومات کے ساتھ، بدنیت عناصر آسانی سے کسی بھی بینک اکاؤنٹ تک رسائی حاصل کر سکتے ہے اور ممکنہ اکاؤنٹ/ آن لائن خریداری میں رقم منتقل کر سکتے ہیں، (c) بدنیتی پر مبنی ایپلی کیشنز – متاثرہ شخص کو ایک ایس ایم ایس موصول ہوتا ہے جس میں ایک فشنگ ویب سائٹ کا لنک ہوتا ہے (بینکنگ ویب سائٹ یا انکم ٹیکس ڈیپارٹمنٹ کی طرح۔ ) جہاں صارف سے ذاتی معلومات درج کرنے کے لیے کہا جاتا ہے، تصدیقی عمل کو مکمل کرنے کے لیے نقصان دہ APK فائل کو ڈاؤن لوڈ اور انسٹال کریں۔

یہ بدنیتی پر مبنی ایپ انکم ٹیکس ڈیپارٹمنٹ یا انٹرنیٹ بینکنگ ایپ کا روپ دھارتی ہے۔ انسٹالیشن کے بعد، ایپ صارف سے ضروری اجازتیں مانگتی ہے جیسے SMS، کال لاگز، رابطے وغیرہ۔ اس کے علاوہ، ایپس کی اکثریت کلیدی لاگر میلویئر کو شکار کی ڈیوائس پر چھوڑ دیتی ہے۔

حاصل کردہ ڈیٹا میں پورا نام، صارف نام، پتہ، تاریخ پیدائش، موبائل نمبر، ای میل پتہ اور مالی تفصیلات جیسے اکاؤنٹ نمبر، ڈیبٹ کارڈ نمبر اور پن شامل ہیں۔

NTISB نے اس طرح کے حملوں سے بچنے کے لیے کئی اقدامات کی سفارش کی ہے۔ ایسا کوئی تکنیکی حل نہیں ہے جو سوشل انجینئرنگ کو ختم اور اس کا پتہ لگا سکے۔ تاہم، موبائل/کمپیوٹر کا محفوظ استعمال اور حفاظتی ہدایات کی تعمیل ہی آگے بڑھنے کا واحد راستہ ہے۔ مختلف فورمز پر مالی گھپلوں کے حوالے سے سائبر آگاہی مہم کا اہتمام کیا جائے۔

اس کے علاوہ، مندرجہ ذیل حفاظتی اقدامات کی سفارش کی جاتی ہے، (a) سکیمرز بینکوں کے سرکاری نمبروں کو چھپانے کے لیے جدید ترین ٹیکنالوجی سے لیس ہیں؛ صارفین کو مشورہ دیا جاتا ہے کہ وہ چوکس رہیں اور کسی بھی مشکوک کال کی تصدیق کے لیے فوری طور پر بینکنگ ہیلپ لائن پر کال کریں۔ (b) کبھی بھی کسی کو فون پر حساس معلومات فراہم نہ کریں، خاص طور پر پاس ورڈ، CNIC نمبر اور ڈیبٹ/کریڈٹ کارڈ کا پن کیونکہ بینک ایسی معلومات فون پر نہیں مانگتے ہیں سوائے اس کے کہ جب صارف انہیں ڈیبٹ کارڈ یا انٹرنیٹ بینکنگ اکاؤنٹ کو فعال کرنے کے لیے کال کرے۔ (c) ہمیشہ مشکوک نمبروں پر توجہ دیں جو اصلی موبائل فون نمبرز کی طرح نظر نہیں آتے۔ دھوکہ دہی کرنے والے اکثر اپنے اصل فون نمبر کو ظاہر کرنے سے بچنے کے لیے ای میل ٹو ٹیکسٹ سروسز کا استعمال کرتے ہوئے اپنی شناخت چھپاتے ہیں۔ (d) لاٹری اسکیموں/ بینظیر انکم سپورٹ پروگرام کی انعامی پیشکشوں سے متعلق جھوٹے SMS سے ہوشیار رہیں، یہ سب بوگس ہیں۔ (e) بینکوں سے موصول ہونے والے حقیقی SMS پیغامات میں عام طور پر بھیجنے والے کی معلومات کے خانے میں فون نمبر کے بجائے بھیجنے والے کی شناخت (بینک کے مختصر نام پر مشتمل) ہوتی ہے۔ (f) پیسے کمانے کے لیے تمام کلک کے قابل لنکس/ SMS جعلی ہیں؛ ان کا شکار نہ ہو (g) کبھی بھی بھروسہ نہ کریں اور گمنام جذباتی ایس ایم ایس کا جواب نہ دیں کیونکہ یہ سب پھندے ہیں۔ (h) ہمیشہ انٹرنیٹ بینکنگ ایپس، واٹس ایپ، سوشل میڈیا اور جی میل اکاؤنٹس پر ملٹی فیکٹر توثیق (MFA) استعمال کریں۔ (i) ای میل یا آن لائن اکاؤنٹ کے لیے ہمیشہ مضبوط پاس ورڈ رکھیں اور ہیکنگ کو روکنے کے لیے باقاعدگی سے پاس ورڈ تبدیل کریں۔ (j) ایپلی کیشن انسٹال کرنے سے پہلے ہمیشہ ایپلی کیشن کی اجازتوں کو چیک کریں اور صرف گوگل/آئی فون پلے اسٹور سے ایپلی کیشنز انسٹال کریں۔ (k) اینڈرائیڈ ڈیوائسز پر ایپس ڈاؤن لوڈ/انسٹال کرنے سے پہلے، ایپ کی تفصیلات، ڈاؤن لوڈز کی تعداد، صارف کے جائزے، تبصرے اور "اضافی معلومات” سیکشن کا جائزہ لیں؛ (l) پی سی اور موبائل آلات پر اپ ڈیٹ شدہ، معروف اور لائسنس یافتہ اینٹی وائرس، اینٹی میلویئر اور اینٹی فشنگ سلوشنز انسٹال کریں۔ تنصیب کے بعد، انفیکشن کا پتہ لگانے اور صاف کرنے کے لیے مشتبہ ڈیوائس کو اینٹی وائرس سلوشن سے اسکین کریں۔ (m) صرف ان URLs پر کلک کریں جو واضح طور پر ویب سائٹ کے ڈومین کی نشاندہی کریں۔ کسی بھی شک کی صورت میں، صارف تنظیم کی ویب سائٹ کو براہ راست سرچ انجن جیسے گوگل کا استعمال کرتے ہوئے تلاش کر سکتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ ویب سائٹس جائز ہیں؛ (n) بینکنگ فراڈ کی صورت میں، صارف کو شکایت شروع کرنی چاہیے۔