कल्पना कीजिए कि आप अपने किसी सामान की डिलीवरी का इंतजार कर रहे हैं, जैसे किसी नए फोन कवर, किताब या कपड़े जो आपने ऑनलाइन ऑर्डर किया हो। और इस बीच आपका फोन रिंग होता है। फोन करने वाला शख्स खुद को डिलीवरी एजेंट बताकर आपके कहता है कि वो पास ही है लेकिन सिस्टम में आपका नंबर वेरिफाई नहीं हो पा रहा है। और सबसे खास कि यह पूरी बात कहने वाला शख्स बेहद तमीज से व इस तरह बात करता है कि आपको बिल्कुल भी कुछ गलत होने का शक नहीं होता।
अब इस ‘समस्या को दूर’ करने के लिए कॉलर आपसे फोन पर एक शॉर्ट कोड (संख्या, स्टार (*) और हैश (#) को मिलाकर बना पैटर्न / कोड) डायल करने को कहता है। यह सुनने में टेक्निकल, ऑफिशियल और नुकसान ना करने वाला लगता है। आप इसे एक आसान वेरिफिकेशन स्टेप समझकर ही डायल कर देते हैं।
WhatsApp Photo Scam: एक फोटो खोलते ही उड़ सकते हैं बैंक अकाउंट से पैसे, ठगी के इस तरीके से बचकर रहें
और इसके बाद आपकी फोन स्क्रीन पर एक छोटी सी नोटिफिकेशन आती है। और यह प्रोसेस करने से पहले ही एकदम गायब हो जाती है। कॉलर आपको भरोसा दिलाता है कि प्रक्रिया पूरी हो चुकी है और फिर फोन काट देता है। आप डिलीवरी आने का इंतजार कर रहे होतें हैं लेकिन डिलीवरी पार्टनर आता नहीं। आप यह सोचकर बात जाने देते हैं कि हो सकता है कि प्रोडक्ट कल या परसों आए।
और फिर…धीरे-धीरे चीजें अजीब होने के साथ ही बदलने लगती हैं।
आपके फोन पर कॉल्स आनी बंद हो जाती हैं। जरूरी कॉल्स आप तक कभी नहीं पहुंचते। आपके दोस्त कहते हैं कि आपका नंबर नहीं लग रहा यानी अनरीचेबल है। लेकिन क्या पता है कि आपको पता लगे बिना आपके लिए आने वाली हर कॉल किसी और के पास फॉरवर्ड हो रही है। बैंक वेरिफिकेशन कॉल, ओटीपी कन्फर्मेशन, अकाउंट रिकवरी कॉल- सबकुछ डायवर्ट हो रहा है।
असल में आपने जब एक सामान्य डिलीवरी वेरिफिकेशन समझ कर कोड डायल किया था तो उसी समय साइबरक्रिमिनल ने ‘USSD code’ का इस्तेमाल करके आपकी कॉल्स का कंट्रोल अपने हाथ में ले लिया था। जी हां, इतना सब होने में सिर्फ एक फोन कॉल, कुछ देर बात, डायल किया गया एक कोड और कुछ सेकेंडेस का भरोसा लगा।
भारतीय साइबर अपराध समन्वय केंद्र (I4C) की नेशनल साइबरक्राइम थ्रेट एनालिटिक्स यूनिट ने हाल ही में साइबर अपराध के एक नए ट्रेंड पर ध्यान दिया है जिसमें USSD (अनस्ट्रक्चर्ड सप्लीमेंटरी सर्विस डेटा) कोड का इस्तेमाल डिलीवरी एजेंट बनकर कॉल फ़ॉरवर्डिंग चालू करने के लिए किया जा रहा है।
USSD एक सेशन-बेस्ड टेक्स्ट मैसेजिंग सर्विस है जिसमें SMS की तरह मैसेज स्टोर होकर फॉरवर्ड नहीं होते। यह इंटरएक्टिव कम्युनिकेशन के लिए काम की सर्विस है- जैसे बैंकिंग या एजुकेशन के लिए। यह सीधे मोबाइल नेटवर्क पर काम करती है और इसे फोन में इंस्टॉल करने की जरूरत नहीं होती।
USSD कोड अंकों, स्टार (*) और हैश (#) चिन्हों का एक खास कॉम्बिनेशन होता है जिसका इस्तेमाल इंटरनेट कनेक्शन के बिना टेलीकॉम सर्विस प्रोवाइडर से बातचीत करने या टेलीकॉम सर्विसेज को एक्सेस करने के लिए किया जाता है।
टेक्निकली कैसे काम करता है यह स्कैम?
क्लाउडसेक (CloudSEK) के साइबर थ्रेट इंटेलिजेंस रिसर्चर अभिषेक मैथ्यू ने कहा, “टेक्निकली यह स्कैम वैध ‘GSM कॉल-फ़ॉरवर्डिंग USSD कमांड्स (GSM call-forwarding USSD commands)’ जैसे 21# या 401# का गलत इस्तेमाल करता है। जब कोई यूज़र इन कोड्स को डायल करता है तो टेलीकॉम नेटवर्क इसे ग्राहक द्वारा किया गया ऑथराइज्ड एक्शन मान लेता है और नेटवर्क लेवल (MSC/HLR) पर कॉल-फ़ॉरवर्डिंग की सेटिंग बदल देता है।”
उन्होंने आगे बताया, “एक बार कॉल-फ़ॉरवर्डिंग चालू हो जाने के बाद बैंक OTP कॉल, IVR वेरिफिकेशन कॉल और ऐप वेरिफिकेशन कॉल समेत सभी आने वाली कॉल्स चुपचाप अटैकर के नंबर पर फ़ॉरवर्ड हो जाती हैं। पीड़ित के फोन पर अक्सर कोई इनकमिंग कॉल दिखाई ही नहीं देती या फिर सिर्फ मिस्ड कॉल का संकेत दिखता है।”
एचडीएफसी बैंक के क्रेडिट इंटेलिजेंस एंड कंट्रोल विभाग के सीनियर एग्ज़ीक्यूटिव वाइस प्रेसिडेंट मनीष अग्रवाल ने कहा कि USSD-आधारित कॉल फ़ॉरवर्डिंग फ्रॉड एक बढ़ता हुआ ख़तरा है जो अनजान नागरिकों को विशेष कोड डायल करवाकर ठगता है। ये कोड चुपचाप आने वाली कॉल्स, बैंक वेरिफिकेशन कॉल्स और OTP को धोखेबाज़ों के कंट्रोल वाले नंबरों पर डायवर्ट कर देते हैं। कुछ आसान और सुरक्षित बैंकिंग आदतें अपनाकर नागरिक ऐसे स्कैम से खुद को बचा सकते हैं।
वहीं साइबरक्राइम इन्वेस्टिगेटर उत्सव कुमार ने कहा, “इस तरह के स्कैम में सोशल इंजीनियरिंग की बड़ी भूमिका होती है। ठग ऐसी स्थिति बना देते हैं जिससे व्यक्ति या तो डर जाए या कॉल करने वाले पर भरोसा कर ले। या तो यह अपराध बड़े स्तर पर किया जाता है जहां स्कैमर्स बेतरतीब तरीके से लोगों को कॉल करते हैं या फिर दूसरे तरीके में पीड़ित के बारे में पूरी जानकारी जुटाकर उसे निशाना बनाया जाता है।”
यूजर्स को क्यों नहीं लगता स्कैम का पता?
मैथ्यू ने आगे कहा, “यूज़र्स को अक्सर यह एहसास ही नहीं होता कि उनके साथ धोखाधड़ी हो चुकी है क्योंकि USSD कोड डायल करना एक सामान्य फोन कार्रवाई जैसा लगता है। जिसमें ना तो कोई कड़ा अलर्ट मैसेज आता है और न ही यह बताया जाता है कि कॉल किस नंबर पर फ़ॉरवर्ड हो रही है। कॉल-फ़ॉरवर्डिंग की सेटिंग डिवाइस पर नहीं बल्कि नेटवर्क पर सेव होती है, इसलिए रोज़मर्रा के फोन इस्तेमाल में सब कुछ सामान्य ही दिखाई देता है।
कई बैंक और ऐप अब भी वॉइस-कॉल आधारित OTP पर निर्भर हैं जिनका सीधा एक्सेस अटैकर्स को मिल जाता है। इसी वजह से यह हैकिंग तब तक दिखाई नहीं देती जब तक अकाउंट टेकओवर या धोखाधड़ी वाले ट्रांजैक्शन सामने नहीं आ जाते।”
प्राइम टारगेट कौन हैं?
मैथ्यू ने कहा, “ऑनलाइन डिलीवरी और कूरियर सेवाओं का बार-बार इस्तेमाल करने वाले लोग इस तरह के स्कैम के सबसे आसान निशाने होते हैं क्योंकि यह धोखाधड़ी किसी मैलवेयर या टेक्नोलॉजी हैक पर नहीं, बल्कि विश्वसनीय सोशल इंजीनियरिंग पर आधारित होती है। लोग डिलीवरी एजेंट्स से पते की पुष्टि, OTP या डिलीवरी री-शेड्यूलिंग के लिए कॉल आने के आदी होते हैं। इसलिए ऐसे कॉल्स पर शक की गुंजाइश बहुत कम रह जाती है।”
उन्होंने आगे बताया कि एक बार भरोसा कायम हो जाने के बाद, ठग इस बात का फायदा उठाते हैं कि स्टैंडर्ड कॉल-फॉरवर्डिंग USSD कोड भारत के बड़े टेलीकॉम ऑपरेटर्स जैसे जियो, एयरटेल और Vi पर एक जैसे ही काम करते हैं। 21# या 401# जैसे कोड इन नेटवर्क्स पर ग्राहक के वैध आदेश के रूप में काम करते हैं जिससे पीड़ित किस ऑपरेटर का इस्तेमाल कर रहा है, इसकी परवाह किए बिना यह हमला बड़े पैमाने पर किया जा सकता है।
मैथ्यू ने यह भी कहा कि इस अभियान के पीछे किसी एक नए बड़े डेटा ब्रीच के ठोस सबूत नहीं मिले हैं। उन्होंने बताया, “इसके बजाय, टारगेटिंग उन फोन नंबरों पर आधारित लगती है जो पहले लीक हो चुके हैं या स्क्रैप किए गए हैं। ई-कॉमर्स और कूरियर प्रक्रियाओं के दौरान कॉन्टैक्ट डिटेल्स के सामान्य तौर पर उजागर होने और टाइमिंग-आधारित अटैक की संख्या ज्यादा होती है। जहां ठग ऐसे यूज़र्स को कॉल करते हैं जिनके किसी डिलीवरी का इंतज़ार करने की संभावना ज़्यादा होती है।
उन्होंने बताया कि हमलावर किसी खास टेक्निकल खामी या नए डेटा लीक का फायदा नहीं उठा रहे हैं। बल्कि यूज़र के व्यवहार और अलग-अलग ऑपरेटर्स में टेलीकॉम फीचर्स की यूनिफॉर्मिटी का इस्तेमाल कर रहे हैं।
सबसे ज्यादा किन USSD codes का इस्तेमाल किया जाता है?
स्कैम के लिए सबसे ज्यादा इ्स्तेमाल होने वाले USSD Codes:
– 21# – अनकंडीशनल कॉल फॉरवर्डिंग
– 401# – कुछ भारतीय नेटवर्क पर कॉल फॉरवर्डिंग
– 61#, 67# – कंडीशनल फॉरवर्डिंग (no answer / busy)
स्कैम की पहचान के शुरुआती चेतावनी संकेत
इन संकेतों पर तुरंत ध्यान दें:
-अचानक इनकमिंग कॉल्स आना बंद हो जाना या लोगों का यह कहना कि आपका फोन “रीचेबल नहीं है”
-बैंकों, UPI ऐप्स या मैसेजिंग प्लेटफॉर्म से OTP या वेरिफिकेशन कॉल न आना
-फोन पर “कॉल फ़ॉरवर्डिंग एक्टिव” का अचानक दिखना
-कॉल फ़ॉरवर्डिंग सेटिंग्स में किसी अनजान नंबर का दर्ज होना
तुरंत क्या करें? (Immediate Action)
-002# डायल करें -इससे सभी तरह की कॉल फ़ॉरवर्डिंग तुरंत कैंसिल हो जाती है
-हर SIM की कॉल-फ़ॉरवर्डिंग सेटिंग्स चेक करें (अगर फोन में एक से ज़्यादा SIM हैं)
-अगर किसी तरह की आशंका हो तो बैंकिंग, UPI, ई-मेल और मैसेजिंग ऐप्स के पासवर्ड व PIN बदलें
नागरिक क्या करें?
HDFC Bank के सीनियर एग्ज़ीक्यूटिव वाइस प्रेसिडेंट मनीष अग्रवाल ने कहा, “नागरिकों के लिए सतर्क रहना बेहद ज़रूरी है। धोखेबाज़ जल्दबाज़ी और धोखे का सहारा लेते हैं और अक्सर कूरियर या सपोर्ट स्टाफ बनकर कॉल फ़ॉरवर्डिंग चालू करवाने की कोशिश करते हैं।”
‘LBW नियम’ अपनाएं
L – Law Enforcement (कानून प्रवर्तन)https://cybercrime.gov.in पर शिकायत दर्ज करें या 1930 पर कॉल करें।
B – Bank (बैंक) क्रेडिट/डेबिट कार्ड, नेट बैंकिंग या UPI से जुड़ा कोई भी अनधिकृत लेन-देन दिखे तो तुरंत बैंक से संपर्क करें।
W – Wipe (साफ करें) अपने डिवाइस को पूरी तरह वाइप करें। सभी ज़रूरी पासवर्ड बदलें ताकि सुरक्षा सुनिश्चित हो सके।
अतिरिक्त सावधानी
-किसी भी बदलाव के लिए सिर्फ़ आधिकारिक ऐप, वेबसाइट या कस्टमर केयर नंबर का ही इस्तेमाल करें
-फोन कॉल पर बताए गए कोड कभी डायल न करें
क्या करें (Dos)
कॉलर की पुष्टि करें: कॉल काटें और फिर आधिकारिक कस्टमर केयर नंबर या ऐप के ज़रिये खुद कॉल करके पुष्टि करें
समय-समय पर कॉल फ़ॉरवर्डिंग स्टेटस चेक करते रहें: कॉल फ़ॉरवर्डिंग मैनेज करने के लिए सिर्फ़ आधिकारिक माध्यमों का इस्तेमाल करें-जैसे फोन की सेटिंग्स, टेलीकॉम ऑपरेटर का ऐप या वेरिफाइड पोर्टल
बैंकिंग ऐप्स में सुरक्षा मजबूत करें: डिवाइस लॉक (PIN/बायोमेट्रिक), इन-ऐप PIN और SMS और ई-मेल के ज़रिये ट्रांज़ैक्शन अलर्ट
क्या ना करें (Don’ts)
-21, 61, 67 जैसे कोड डायल ना करें, सेव करें और ना ही शेयर करें। अगर कोई अनजान कॉलर ऐसा करने को कहे- चाहे वह ‘डिलीवरी’, ‘KYC’ या ‘SIM ब्लॉकिंग’ का हवाला ही क्यों न दे
-ऐसे संदिग्ध कूरियर या डिलीवरी ट्रैकिंग लिंक पर क्लिक न करें जो आपको कोई कोड डायल करने या किसी गैर-आधिकारिक नंबर पर कॉल करने के लिए कहें
-OTP, PIN, CVV, पासवर्ड या कार्ड डिटेल्स किसी से भी साझा न करें-भले ही कॉलर ID भरोसेमंद ही क्यों न दिखे
-नेटवर्क से जुड़े असामान्य मैसेज या कॉल व्यवहार में अचानक बदलाव (जैसे बार-बार ‘कॉल फ़ॉरवर्डेड’ टोन आना) को नज़रअंदाज न करें
-यह ना मान लें कि USSD कॉल फ़ॉरवर्डिंग पूरी तरह असंभव हो चुकी है। ठग अब भी बची हुई या वैकल्पिक तकनीकों का गलत इसतेमा कर सकते हैं
मैथ्यू ने कहा, “I4C और उसकी नेशनल साइबरक्राइम थ्रेट एनालिटिक्स यूनिट (NCTAU) ने USSD-बेस्ड कॉल फ़ॉरवर्डिंग स्कैम को लेकर कई एडवाइजरी जारी की हैं- खासकर उन मामलों में जहां डिलीवरी एजेंट बनकर ठगी की जाती है। दूरसंचार विभाग (DoT) ने भी सार्वजनिक रूप से *401# जैसे कोड डायल न करने की चेतावनी दी है। जबकि CyberDost और PIB जैसे प्लेटफॉर्म लगातार जागरूकता अभियान चला रहे हैं।”
उन्होंने आगे कहा, “जरूरी बात यह है कि DoT ने 15 अप्रैल 2024 से USSD-आधारित कॉल फ़ॉरवर्डिंग को निलंबित करने का औपचारिक निर्देश टेलीकॉम ऑपरेटर्स को दिया था जिसके तहत ऐप-बेस्ड या कस्टमर-केयर के जरिये कॉल फॉरवर्डिंग की व्यवस्था लागू की जानी थी। हालांकि, 2025 के आखिर तक भी इस तरह के स्कैम सामने आना यह संकेत देता है कि या तो ऑपरेटर्स के लेवल पर निर्देशों का पूरी तरह पालन नहीं हुआ है या फिर पुराने नेटवर्क इंफ्रास्ट्रक्चर में तकनीकी खामियां अब भी मौजूद हैं।”
मैथ्यू ने कहा, “इसके संभावित कारणों में अलग-अलग ऑपरेटर्स में निर्देशों का समान रूप से लागू ना होना, फीचर फोन इस्तेमाल करने वाले यूज़र्स के लिए पुरानी सुविधाओं का जारी रहना और पुराने स्विचिंग सिस्टम शामिल हैं जो अब भी लेगेसी USSD कमांड्स को स्वीकार कर लेते हैं। नियामकीय कार्रवाई के बावजूद इस तरह के स्कैम का जारी रहना दिखाता है कि केवल जागरूकता पर्याप्त नहीं है।
यह इस बात की जरूरत को दिखाता है कि मजबूत तकनीकी सुरक्षा उपाय किए जाएं-जैसे कॉल फॉरवर्डिंग चालू करते समय स्क्रीन पर स्पष्ट कन्फर्मेशन, जिसमें यह बताया जाए कि कॉल किस नंबर पर फॉरवर्ड होगी; अनकंडीशनल कॉल फॉरवर्डिंग सक्षम होने पर SMS अलर्ट; और कॉल फ़ॉरवर्डिंग को एक सामान्य, बिना रुकावट वाली पुरानी सुविधा के बजाय SIM स्वैप या eSIM एक्टिवेशन जैसी सुरक्षा-संवेदनशील प्रक्रिया माना जाए।”
सुरक्षित रहना ज़रूरी
जैसे-जैसे दुनिया आगे बढ़ रही है, वैसे-वैसे डिजिटल दुनिया भी बदल रही है। जिससे नए अवसर तो मिल रहे हैं लेकिन नए खतरे भी सामने आ रहे हैं। स्कैमर्स लगातार ज़्यादा चालाक होते जा रहे हैं और कमजोरियों का इस्तेमाल अपने फायदे के लिए कर रहे हैं। हमारी इस विशेष फीचर सीरीज़ में हम साइबर अपराध के नए ट्रेंड्स पर चर्चा करते हैं और आपको सतर्क, सुरक्षित और जागरूक रहने के लिए व्यावहारिक सुझाव देते हैं।