e-sim upgrade scam how to stay safe doctor lost 11 lakh rupees why otps and sim based security are not safe

e-SIM upgrade fraud: दक्षिण मुंबई के एक मशहूर डॉक्टर को लगा कि वे अपने मोबाइल सर्विस को ज्यादा सुविधाजनक बनाने के लिए अपग्रेड कर रहे हैं। लेकिन इस फैसले से उन्हें करीब 11 लाख रुपये का भारी नुकसान हो गया।

सितंबर के दूसरे हफ्ते में डॉक्टर को एक शख्स का फोन आया जो खुद को उनके टेलिकॉम सर्विस प्रोवाइडर का प्रतिनिधि बता रहा था। कॉलर ने उन्हें उनकी फिजिकल सिम को ई-सिम में अपग्रेड करने का ऑफर दिया और इसके कई फायदे गिनाए- जैसे सुविधा और फ्लेक्सिबिलिटी। टेलिकॉम कंपनी के एग्जिक्युटिव की बातें सुनकर डॉक्टर लालच में आ गए और बताए गए निर्देशों का पालन करते हुए अपने टेलिकॉम प्रोवाइडर के आधिकारिक ऐप पर जाकर ई-सिम रिक्वेस्ट डाल दी।

गूगल आपके बारे में क्या जानता है? इस एक ट्रिक से सब कुछ चल जाएगा पता, हर चीज का रिकॉर्ड देख फटी रह जाएंगी आंखें

फोन पर OTP आने के तुरंत बाद उन्होंने अनजाने में इसे कॉल करने वाले शख्स के साथ शेयर कर दिया। उन्हें बताया गया कि उनकी फिजिकल सिम डीएक्टिवेट हो जाएगी और 24 घंटे के भीतर ई-सिम एक्टिवेट हो जाएगी। दो दिनों के बाद, उनके ईमेल का पासवर्ड बदल दिा गया और अलग-अलग जगहों से उनके अकाउंट से 10.5 लाख रुपये की निकाल लिए गए।

इसके बाद डॉक्टर ने मुंबई पुलिस की साइबर सेलर के पास एक शिकायत दर्ज की। जांच के दौरान पुलिस ने पुणे के एक अस्पताल में काम करने वाले ऑफिस बॉय को गिरफ्तार किया जिस पर आरोप है कि उसने अपना बैंक खाता किराए पर देकर, उस खाते के जरिए चोरी किया गया पैसा ट्रांसफर करने में मदद की।

WhatsApp की फोटो और वीडियो से भर रही है फोन की गैलरी और स्टोरेज? जानें इसे रोकने की सुपर आसान ट्रिक

क्या होती है ई-सिम: What is an e-SIM?

सब्सक्राइबर आइडेंटिटी मॉड्यूल (SIM) यानी आपकी फोन की वह यूनिक डिजिटल आईडी जो आपको मोबाइल नेटवर्क से जोड़ती है। वहीं, एम्बेडेड सिम (e-SIM) इसका डिजिटल वर्ज़न है जो सीधे फ़ोन या स्मार्टवॉच के अंदर ही लगा होता है। इसमें किसी फिज़िकल सिम कार्ड या सिम ट्रे की जरूरत नहीं पड़ती।

ई-सिम अपग्रेड स्कैम क्या है: What is the e-SIM upgrade scam?

बेतूल पुलिस (मध्य प्रदेश) के साइबर एक्सपर्ट दीपेन्दर सिंह ने indianexpress.com को बताया, “इस ठगी में फ्रॉड करने वाले लोग खुद को टेलीकॉम कंपनी का कर्मचारी बताकर पीड़ित को यह कहते हैं कि उनकी सिम में कोई दिक्कत आ गई है। वे व्यक्ति को यह कहकर OTP शेयर करने या कोई ऐप इंस्टॉल करने के लिए राजी कर लेते हैं कि इससे ‘अपग्रेड’ किया जाएगा।

जैसे ही उन्हें OTP मिल जाता है, वे पीड़ित की असली सिम को डीएक्टिवेट कर देते हैं और अपने डिवाइस पर डुप्लिकेट e-SIM एक्टिवेट कर लेते हैं। पीड़ित के मोबाइल नंबर का कंट्रोल मिलते ही वे ईमेल और बैंक पासवर्ड रीसेट कर कुछ ही मिनटों में अकाउंट्स को एक्सेस कर लेते हैं।”

ई-सिम रिक्वेस्ट कॉल को वेरिफाई कैसे करें: How to verify e-SIM request calls

Plus91Labs की सह-संस्थापक ज्योति सिंह ने कहा, “किसी भी तरह की वेरिफिकेशन हमेशा शक और स्वतंत्र जांच से शुरू होना चाहिए। अनजान कॉल या मैसेज पर भरोसा न करें, चाहें वे कितने भी असली लगें। ऐसे किसी भी अनुरोध की पुष्टि हमेशा अपने सर्विस प्रोवाइडर के आधिकारिक ऐप, वेबसाइट या हेल्पलाइन के जरिए ही करें।”

इन चीजों से रहें सतर्क (Red Flags to Watch Out For):

ज्योति सिंह ने कुछ ऐसे रेड फ्लैग्स बताए जिन पर लोगों को ध्यान देना चाहिए-

-स्कैमर्स (scammers) अक्सर जल्दी कार्रवाई करने का दबाव बनाते हैं ताकि व्यक्ति बिना जांचे कोई कदम उठा ले।

-किसी भी अनजान कॉल या मैसेज में अगर तुरंत कार्रवाई करने की बात कही जाए तो यह संदेह का संकेत है।

-अगर आपसे PIN या OTP जैसी संवेदनशील जानकारी मांगी जाए और वह भी किसी अनऑफिशियल चैनल के जरिए तो यह एक बड़ा खतरे का संकेत है।

-कई बार फर्जी वेबसाइट या ऐप्स, असली सेवाओं जैसी दिखती हैं, लेकिन उनमें छोटे-छोटे अंतर होते हैं- जैसे टेक्स्ट या URL में टाइपो, अलग डोमेन नाम, या अजीब डिज़ाइन एलिमेंट्स।

दीपेन्दर सिंह ने कहा, “सुरक्षित रहने के लिए अपने Truecaller ऐप या किसी भी कॉलिंग ऐप में स्पैम अलर्ट ऑन रखें और किसी के भी कहने पर SIM अपग्रेड जैसी बातों पर भरोसा न करें।”

यह ठगी एक गहरी खामी को क्यों उजागर करती है?

Accops के CEO और सह-संस्थापक विजेन्दर यादव ने चेतावनी दी, “e-SIM अपग्रेड फ्रॉड यह दिखाता है कि मोबाइल नंबर एक प्राथमिक सुरक्षा फैक्टर के रूप में कितने कमजोर हैं। जो भी संस्थाएं अब भी SMS-आधारित OTP सिस्टम पर निर्भर हैं, वे समय से उधार ली हुई सुरक्षा पर काम कर रही हैं। जब किसी की पहचान सिर्फ एक फोन कॉल के जरिए हाइजैक की जा सकती है तो पूरी सिक्योरिटी चेन ढह जाती है।”

e-SIM रिक्वेस्ट कॉल को वेरिफाई कैसे करें?

विजेन्दर यादव ने आगे कहा, “CIOs और CISOs को इस e-SIM ठगी को एक चेतावनी संकेत की तरह लेना चाहिए और Zero Trust Access आर्किटेक्चर की दिशा में तेजी से कदम बढ़ाने चाहिए। अब वक्त आ गया है कि हम पासवर्ड या स्वैपेबल SIM जैसे पुराने तरीकों से आगे बढ़ें और अपरिवर्तनीय (immutable) कॉन्टेक्स्ट पर फोकस करें।

एडवांस्ड एक्सेस सॉल्यूशंस को पहचान की पुष्टि ऐसे फिशिंग-रेज़िस्टेंट तरीकों से करनी चाहिए जैसे- डिवाइस-बाउंड मल्टी-फैक्टर ऑथेंटिकेशन (MFA), बायोमेट्रिक चेक्स, हार्डवेयर सिक्योरिटी कीज़। इसके अलावा, जियोलोकेशन और डिवाइस की स्थिति (device posture) जैसे संदर्भ संकेतों (contextual signals) का इस्तेमाल यह सुनिश्चित करने के लिए करना चाहिए कि एंडपॉइंट सुरक्षित है।

यह मल्टी-लेयर्ड सिक्योरिटी एप्रोच संदर्भ-आधारित (context-aware) एक्सेस कंट्रोल ऑफर करता है जो संदिग्ध गतिविधियों- जैसे अलग-अलग जगहों से लॉगिन या समझौता किए गए डिवाइस को स्वचालित रूप से ब्लॉक या फ्लैग कर सकता है।

आज असली एंटरप्राइज सिक्यॉरिटी स्थिर क्रेडेंशियल्स (static credentials) से हटकर लगातार, बुद्धिमान रक्षा (continuous, intelligent defense), इसी बदलाव पर निर्भर करती है। ”

सुरक्षित रहने के उपाय

साइबर विशेषज्ञों के अनुसार, सुरक्षित रहने के लिए हर अनजान या संदिग्ध अनुरोध को संभावित सुरक्षा के लिए जोखिम मानें और कोई भी कदम उठाने से पहले अपने टेलीकॉम प्रोवाइडर के आधिकारिक चैनलों- ऐप, वेबसाइट या कस्टमर केयर से इसकी पुष्टि करें।

-किसी भी अनजान अपग्रेड ऑफर या असामान्य प्रॉम्प्ट को दोबारा जांचें।
-OTP, PIN या बैंक संबंधी कोई भी संवेदनशील जानकारी साझा न करें।
-एक ‘Verification-First’ सोच डिवेलप करें यानी पहले वेरिफिकेशन और फिर कार्रवाई। यही डिजिटल बिहेवियर को सुरक्षित और मजबूत बनाता है।

ज्योति सिंह ने आगे बताया, “इंडस्ट्री को अब Zero-Trust सिद्धांतों पर आधारित सुरक्षित, ऐप-आधारित वेरिफिकेशन मॉडल्स की ओर बढ़ना चाहिए। जहां हर अनुरोध को डिवाइस आइडेंटिटी, यूजर बिहेवियर और जियोलोकेशन के आधार पर ऑथेंटिकेट किया जाए।”

विजेन्दर यादव ने आगे कहा, “CIOs और CISOs को इस e-SIM ठगी को एक चेतावनी संकेत की तरह लेना चाहिए और Zero Trust Access Frameworks अपनाने की दिशा में बढ़ना चाहिए जो पासवर्ड या SIM पर निर्भरता से आगे बढ़कर अपरिवर्तनीय (immutable) कॉन्टेक्स्ट पर फोकस्ड हों।”

अगर आप ठगी के शिकार हो गए हैं तो तुरंत क्या करें?

तुरंत अपने बैंक को कॉल करें:
अपने डेबिट/क्रेडिट कार्ड या UPI अकाउंट को ब्लॉक करवाएं ताकि आगे कोई ट्रांज़ैक्शन न हो सके।

नेशनल साइबर क्राइम पोर्टल पर शिकायत दर्ज करें:
वेबसाइट- cybercrime.gov.in पर जाकर पूरी डिटेल के साथ रिपोर्ट करें।

सारे सबूत सुरक्षित रखें:
ठगी से जुड़े स्क्रीनशॉट्स, मैसेज और ईमेल्स सुरक्षित रखें। ये जांच में अहम सबूत साबित हो सकते हैं।

हेल्पलाइन नंबर पर कॉल करें:
1930 डायल कर फाइनेंशियल फ्रॉड की रिपोर्ट करें। जितनी जल्दी आप रिपोर्ट करेंगे, रिकवरी की संभावना उतनी बढ़ जाती है।

याद रखें:
यह e-SIM अपग्रेड स्कैम दिखाता है कि एक छोटी-सी लापरवाही या एक कॉल से आपकी डिजिटल पहचान हैक हो सकती है। सुरक्षित रहने का एक ही नियम है। किसी पर तुरंत भरोसा न करें, हर चीज़ की पुष्टि करें और ठगी होते ही रिपोर्ट करें। इस e-SIM फ्रॉड ने सिर्फ एक तकनीकी गलती नहीं दिखाई, बल्कि हमारे डिजिटल भरोसे के सिस्टम की कमजोरी को भी उजागर किया है।

-Digital Convenience vs. Digital Vulnerability: जैसे-जैसे सेवाएं डिजिटल हो रही हैं, लोगों को सुविधा तो मिल रही है लेकिन सुरक्षा की समझ उतनी तेज़ी से नहीं बढ़ रही।

-Trust Exploitation: ठग तकनीक से नहीं बल्कि मानव मनोविज्ञान से खेलते हैं -“अपग्रेड”, “सुविधा”, या “सेवा में समस्या” जैसी बातें लोगों को असली लगती हैं।

-Verification Gap: अधिकतर यूजर्स को यह पता ही नहीं होता कि सही वेरिफिकेशन चैनल कौन-से हैं जिससे स्कैमर्स को मौका मिल जाता है।

-Systemic Weakness: टेलीकॉम और बैंकिंग सिस्टम में कनेक्टेड डेटा की डिपेंडेंसी इतनी अधिक है कि एक नंबर के हैक होने से पूरी डिजिटल पहचान खतरे में पड़ जाती है।

e-SIM Scam Alert: एक फोन कॉल और लुट गए 11 लाख, ई-सिम अपग्रेड के नाम पर नया फ्रॉड, बचना है तो जान लें ये बातें