केही दिनयता सामाजिक सञ्जाल र मेसेजिङ एपहरूमा नेपाल टेलिकम र चाउचाउ ब्रान्ड वाइवाइको नाम जोडेर एक खतरनाक फिशिङ लिङ्क फैलिएको छ । कम्पनीहरूको ‘एन्निभर्सरी’को अवसर भन्दै उक्त लिङ्कमा सहभागी हुने हरेक व्यक्तिलाई जनही ५ हजार रुपैयाँ दिने दाबी गरिएको छ । तर, बाहिरबाट हेर्दा आकर्षक लाग्ने यो अफरभित्र खतरनाक कोड लुकेको पाइएको छ । यसले प्रयोगकर्ताको सम्पूर्ण व्यक्तिगत र बैंकिङ विवरण पलभरमै चोर्न सक्ने देखिन्छ ।

यसरी ओछ्याइन्छ प्रयोगकर्तालाई पासो

भाइरल भइरहेकामध्ये हामीले वाइवाइको नामबाट फैलिएको लिङ्कलाई बाहिरबाट र नेपाल टेलिकमको लिङ्कलाई कोड विश्लेषण गरेका छौं । त्यस क्रममा वाइवाइसँग सम्बन्धित फिशिङ लिङ्क खोज्ने क्रममा वाइवाइको आधिकारिक जस्तै देखिने एउटा नक्कली वेबसाइट खुल्छ । प्रयोगकर्तालाई विश्वास दिलाउन त्यहाँ नेपाली नाम र फोटो सहितका नक्कली कमेन्ट राखिएका छन् । होमपेजमा पुगिसकेपछि केही सामान्य प्रश्नहरूको उत्तर दिन लगाइन्छ र त्यसपछि ‘गिफ्ट बक्स’ छान्न भनिन्छ ।

पहिलो पटक बक्स खोल्दा खाली देखाएर प्रयोगकर्ताको मनोविज्ञानसँग खेलिन्छ भने दोस्रो पटकमा पाँच हजार रुपैयाँ परेको प्रलोभन देखाइन्छ । तर, उक्त रकम पाउनका लागि एउटा सर्त राखिन्छ, “यो लिङ्क ५ ओटा ग्रुप र २० जना साथीलाई ह्वाट्सएप, मेसेन्जर वा भाइबरमार्फत अनिवार्य शेयर गर्नुपर्नेछ ।”

शेयर गर्ने यो प्रक्रिया चलिरहेको जस्तो देखाइन्छ । र, त्यहाँ ० देखि १०० प्रतिशतसम्म पूरा हुन लागेको लोडिङ सेक्सन देखिन्छ । साथीहरूलाई शेयर गरिसकेपछि (नगर्दा पनि अर्को प्रक्रिया आउँछ तर त्यसले केही समय लगाउँछ । यसको प्राविधिक विश्लेषण तल विस्तृतमा गरिएको छ ) अन्त्यमा ‘मोबाइल नम्बर भेरिफाई गर्न' भन्दै विभिन्न बटनमा क्लिक गर्न लगाइन्छ । ती बटनमा क्लिक गर्दा प्रयोगकर्ताहरू फरक-फरक बेटिङ, एडल्ट र मालवेयर साइटमा पुग्छन् । केहीमा भने प्रयोगकर्ताको नम्बर राख्न लगाएर वालेट वा बैंकको वेबसाइट जस्तो पेज खोलेर पासवर्ड र ओटीपी राख्न लगाइन्छ । 

तर, सामान्यतः ‘रोटेटरी लिङ्क’मार्फत स्क्यामरले भिजिटर बढाएर विज्ञापन र ट्राफिकबाट मोटो रकम कमाउने धन्दा चलाइरहेका देखिन्छ । यो सहज रूपमा बाहिरबाट देखिने प्रक्रिया हो । यसभित्र भएको कोडको विश्लेषण तल विस्तृतममा गरिएको छ । 

प्राविधिक विश्लेषणमा फेला परेका ५ तथ्य

यस स्क्यामको पछाडि प्रयोग भएको कोडलाई विश्लेषण गर्दा एउटा संगठित साइबर आक्रमणको जालो फेला परेको छ । कोडको सबैभन्दा बाहिरी तहमा प्रयोगकर्तालाई अलमल्याउने रणनीति अपनाइएको छ । 

पेजमा आकर्षक एनिमेसनसहित १ प्रतिशतदेखि १०० प्रतिशत सम्म बढ्ने नक्कली लोडिङ काउन्टर राखिएको छ । प्राविधिक रूपमा यसले कुनै फाइल डाउनलोड गरिरहेको वा लोड भइरहेको हुँदैन । यसको मुख्य उद्देश्य भनेको ‘केही महत्त्वपूर्ण काम भइरहेको छ’ भन्ने भान पारेर प्रयोगकर्तालाई पेजमा रोकिराख्नु हो । यही समयमा भित्रभित्रै मालिसियस स्क्रिप्टले डेटा तान्ने काम सुरु गर्छ ।

यसको सबैभन्दा खतरनाक पक्ष भनेको ‘Base64 Decoding’ विधिको प्रयोग हो । कोडले सर्भरबाट /p10-ne-np-nep-01.css नामक फाइल डाउनलोड गर्छ । सामान्यतया सीएसएस फाइल वेबसाइटको डिजाइनका लागि मात्र प्रयोग हुने हुँदा एन्टी-भाइरस वा ब्राउजरका सुरक्षा फिल्टरले यसलाई शंका गर्दैनन् । तर, यो फाइलभित्र एउटा पूर्ण वेबसाइटको ‘HTML’ कोड ‘इन्कोड’ गरेर लुकाइएको हुन्छ । स्क्रिप्टले तत्कालै त्यो लुकेको कोडलाई डिकोड गरी मसिनले बुझ्ने भाषामा बदल्छ ।

जब नक्कली लोडिङ ९९% पुग्छ, कोडमा रहेको document.open("text/html", "replace" कमान्ड एक्टिभ हुन्छ । यसले प्रयोगकर्ताले हेरिरहेको ‘लोडिङ पेज’लाई पूर्ण रूपमा मेटाएर त्यहाँ डिकोड गरिएको नयाँ खतरनाक पेज राखिदिन्छ । यो नयाँ पेज दुरुस्तै नेपाल टेलिकमको आधिकारिक लगइन पोर्टल वा पुरस्कार फाराम जस्तो देखिन्छ । यो प्रक्रिया यति छिटो हुन्छ कि आफू अर्कै वेबसाइटमा पुगेको प्रयोगकर्ताले पत्तो नै पाउँदैनन् ।

यो कोड कसैको नजरमा नपर्ने गरी डिजाइन गरिएको देखिन्छ । यसमा प्रयोग गरिएको <meta name="robots" content="noindex, follow"> ट्यागले गुगललाई यो पेज इन्डेक्स (सर्चमा देखाउन) नदिन निर्देशन दिन्छ । जसले गर्दा सुरक्षा अनुसन्धानकर्ताले यसलाई सजिलै ट्र्याक गर्न सक्दैनन् । साथै, मुख्य अपराधीको सर्भर ठेगाना लुकाउन 599cdn.com जस्ता थर्डपार्टी पक्षका सर्भरबाट कन्टेन्ट लोड गरिएको छ भने ‘NepalTelecom-lod’ जस्ता कुकिजमार्फत प्रयोगकर्ताको गतिविधि ट्र्याक गरिन्छ ।

यो कोडले स्पष्ट रूपमा नेपाल टेलिकम (वाइवाइ) का ग्राहकहरूलाई निसाना बनाएको छ । ‘nepaltelecom006.jpg’ जस्ता फाइल नाम र कोडभित्र बारम्बार प्रयोग भएको ‘NepalTeleAdvertisementcom’ शब्दले प्रयोगकर्तालाई नक्कली विश्वास दिलाउँछ । यदि कसैले यहाँ आफ्नो मोबाइल नम्बर, ओटीपी, रिचार्ज पिन वा पासवर्ड भर्छ भने उसको मोबाइल ब्यालेन्स चोरी हुने, सिमको दुरुपयोग हुने वा मोबाइल बैंकिङ खाता नै रित्तिने उच्च जोखिम हुन्छ । वाइवाको नामबाट खोलिएको फिशिङ लिङ्कमा पनि यही प्रकृति देखिन्छ । हरेक कुरा दुवै किसिमका स्क्याममा समान छ ।

यी कोड विश्लेषण गर्दा के पाइयो भने लिङ्क लोडिङ भएपछि नक्कली लगइन पेज, रिचार्ज वा ओटीटी सेक्सन पेज देखा पर्छ, जहाँ प्रयोगकर्ताको युजरनेम, पासवर्ड, फोन नम्बर, एसएमएस ओटीपी र बैंक विवरण मागेर व्यक्तिगत जानकारी चोरी गरिन्छ । यसले नेपाल टेलिकमको मोबाइल वालेट, रिचार्ज र बिल भुक्तानीजस्ता सुविधाको नक्कल गरेर प्रयोगकर्ताको पैसा चोर्दै आर्थिक नोक्सानी पुर्‍याउन सक्छ ।

साथै, ह्याकरहरूले प्रयोगकर्ताले त्यहाँ दिएको विवरणको आधारमा सिम ह्याक गरी ‘सिम स्वाप’ मार्फत ओटीपी बाइपास गर्ने वा खाताको कन्ट्रोल लिन सक्छन् । यसबाहेक वेबसाइटमा राखिएका थप स्क्रिप्टहरूले प्रयोगकर्ताको डिभाइसमा कीलगर र स्पाइवेयर जस्ता मालवेयर इन्स्टल गराएर व्यक्तिगत पहिचानयोग्य जानकारी चोर्न सक्छन् भने क्लाउडफ्लेयर र लुकाइएका इमेजको प्रयोग मार्फत प्रयोगकर्ताको आईपओ एड्रेस, ब्राउजर, लोकेसन र डिभाइसको जानकारी समेत संकलन गर्न सक्ने देखिन्छ ।

यति मात्र नभई यस्तो मालवेयर लिङ्कमा एक पटक क्लिक गरेपछि यो स्प्याम लिङ्क तपाईंको ह्वाट्सएप र फेसबुकमार्फत अन्य व्यक्तिलाई आफै फैलिने हुँदा यसले भयानक चेन आक्रमणको रूप लिन सक्ने देखिन्छ ।

के तपाईं फसिहाल्नुभयो ? तुरुन्तै यी काम गर्नुहोस्

यदि तपाईंले यो लिङ्क खोल्नुभयो, तर कुनै विवरण भर्नुभएको छैन भने आत्तिनु पर्दैन । यदि फाराममा केही विवरण भरिसक्नु भएको छ भने तत्काल यी काम गर्न सक्नुहुन्छ । 

पासवर्ड परिवर्तन: नेपाल टेलिकमको पोर्टल लगइन नम्बर र पासवर्ड, फेसबुक वा इमेलको पासवर्ड त्यहाँ राख्नुभएको थियो भने आधिकारिक वेबसाइटमा गएर तुरुन्तै बदल्नुहोस् ।

बैंकिङ सुरक्षा: यदि मोबाइल बैंकिङको पिन वा ओटीपी राख्नुभएको छ भने बैंकलाई फोन गरेर आफ्नो खाता वा डिजिटल बैंकिङ तत्काल ब्लक गर्न लगाउनुहोस् ।

ब्राउजर सफा गर्ने: स्क्यामरले छाडेका कुकिज मेटाउन ब्राउजरको सेटिङमा गई ‘Clear Browsing Data’ बाट कुकिज र क्यास सफा गर्नुहोस् ।

ब्यालेन्स चेक: आफ्नो मोबाइल ब्यालेन्स चेक गर्नुहोस् र कुनै अनावश्यक ‘Subscription’ सेवा सुचारु भए/नभएको निश्चित गर्नुहोस् ।

भविष्यमा यस्ता स्क्यामबाट कसरी जोगिने ?

झट्ट हेर्ने हो भने नै कतिपय कुरा सहजै नक्कली हुन् भनी पहिचान गर्न सकिन्छ । ठगहरूले झुक्क्याउनका लागि 'नेपाल टेलिकम इङ्क' र 'वाइवाइ इङ्क' जस्ता नाम राखेका छन् । जब कि यस्तो नामका आधिकारिक कम्पनी नै छैनन् । त्यसमाथि हाल नेपाल टेलिकम र वाइवाइको कुनै वार्षिकोत्सव कार्यक्रम पनि परेको छैन । तपाईंको नाम र नम्बर लिने अनि केही सामान्य प्रश्नको उत्तर दिएकै भरमा हरेकलाई ५ हजार रुपैयाँ बाँड्न सम्भव नै हुँदैन ।

यसमा प्रयोग गरिएका नाम र कमेन्ट पनि नक्कली हुन्, जसमा नेपाली फेसबुक प्रयोगकर्ताहरूको नाम र फोटो कपी गरेर सक्कली जस्तो देखाउने प्रयास गरिएको छ । यसको लिङ्क पनि छ्यासमिस अक्षरहरूमा छ । लिङ्कको अगाडिपट्टि 'नेपाल टेलिकम' वा 'वाइवाइ' लेखेकै भरमा त्यसपछिका अस्वाभाविक क्यारेक्टरलाई बेवास्ता गर्दा धेरै प्रयोगकर्ता झुक्किएका छन् ।

यस्ता अनलाइन ठगीबाट बच्न केही महत्त्वपूर्ण कुरामा ध्यान दिनुपर्छ । सबैभन्दा पहिले कुनै पनि लिङ्कमा क्लिक गर्नुअघि त्यसको डोमेन जाँच्ने बानी बसाल्नुहोस् । जस्तै: नेपाल टेलिकमको आधिकारिक वेबसाइट 'ntc.net.np' हो, त्यसैले '599cdn.com' जस्ता अपरिचित लिङ्क देखिएमा त्यो शतप्रतिशत नक्कली हो भनी बुझ्नुपर्छ । "निःशुल्क डेटा", "उपहार"‍, "फ्री रिचार्ज" वा "लट्री" जस्ता प्रलोभन देखाउने मेसेज फिशिङका पासो हुन् । किनभने आधिकारिक अफर कम्पनीको आधिकारिक पेज वा वेबसाइटमा मात्र सार्वजनिक हुन्छन् ।

त्यसैगरी ओटीपी कोड कहिल्यै कसैलाई शेयर गर्नुहुँदैन । आफ्नो सुरक्षालाई थप मजबुत बनाउन सामाजिक सञ्जाल र बैंक खातामा 'टु-फ्याक्टर अथेन्टिकेसन' (टूएफए) अन गर्नुपर्छ । यसले गर्दा पासवर्ड चोरिए पनि ओटीपी बिना कसैले खाता खोल्न सक्दैन । उपहार पाउने लोभमा आफ्ना फेसबुकका साथी वा ह्वाट्सएप कन्ट्याक्टलाई लिङ्क फर्वार्ड गर्नु सबैभन्दा ठुलो मूर्खता हो । यस्तो गर्दा तपाईं आफू त फस्नुभयो, साथसाथै आफ्ना नजिकका व्यक्तिलाई पनि फसाउँदै हुनुहुन्छ ।

पछिल्लो अध्यावधिक: चैत १२, २०८२ १२:२५