आपने अक्सर किसी वेबसाइट पर जाते वक्त देखा होगा – “I’m not a robot” वाला छोटा-सा बॉक्स। एक टिकमार्क लगाइए और आगे बढ़ जाइए। आमतौर पर इसे देखकर हम ज़्यादा सोचते नहीं हैं। लेकिन अब साइबर अपराधियों ने इसी भरोसे को हथियार बना लिया है। एक क्लिक में आप सोचते हैं कि अपनी पहचान साबित कर रहे हैं, जबकि असल में आप मालवेयर का दरवाज़ा खोल रहे होते हैं। इसे कहा जा रहा है – Fake CAPTCHA Scam।
असली CAPTCHA क्या होता है?
CAPTCHA यानी “Completely Automated Public Turing test to tell Computers and Humans Apart”।
यह दरअसल एक सिक्योरिटी फीचर है, जो जांचता है कि आप इंसान हैं या कोई बॉट।
- कभी यह टेढ़े-मेढ़े अक्षर पढ़वाता है,
- कभी तस्वीरों में ट्रैफिक लाइट या बाइक चुनने को कहता है,
- और कभी सिर्फ़ एक चेकबॉक्स टिक करना होता है।
यही असली CAPTCHA है, जो भरोसेमंद वेबसाइट पर ही मिलता है।
नकली CAPTCHA कैसे काम करता है?
साइबर अपराधियों ने अब CAPTCHA की नक़ल बनानी शुरू कर दी है।
- ये आपको “Allow notifications” क्लिक करने को कहते हैं,
- या फिर कोई फाइल डाउनलोड करने को,
- या सिस्टम में अजीब कमांड पेस्ट करने को।
यानी इंसान साबित करने के नाम पर आपको खुद ही अपने सिस्टम में घुसपैठ करने के लिए राज़ी कर लेते हैं।
CloudSEK की Threat Research and Information Analytics Division (TRIAD) ने खुलासा किया कि इस समय Lumma Stealer Malware बड़े पैमाने पर ऐसे ही नकली CAPTCHA पेजों से फैल रहा है। ये पेज देखने में हूबहू असली Google reCAPTCHA जैसे लगते हैं, लेकिन अंदर छिपा होता है वायरस।
सबसे बड़ा खतरा कहाँ है?
BD Software के CEO जाकिर हुसैन रंगवाला कहते हैं –
“Fake CAPTCHAs ज़्यादातर compromised websites, malicious ads और phishing emails के ज़रिए फैलाए जा रहे हैं। कई बार ये लोकप्रिय साइटों की नकली कॉपी बनाकर भी यूज़र्स को फंसा लेते हैं।”
CloudSEK के शोधकर्ता अंशुमान दास के मुताबिक –
“असल खतरा CAPTCHA क्लिक करने से नहीं, बल्कि उसके बाद दिए गए निर्देशों को मानने से शुरू होता है। जैसे सिस्टम में कमांड पेस्ट करना, कोई फाइल डाउनलोड करना – यह आपके पूरे डेटा को खतरे में डाल सकता है।”
कैसे पहचानें असली और नकली CAPTCHA?
साइबर विशेषज्ञ दीपेन्द्र सिंह (साइबर एक्सपर्ट, बैतूल पुलिस, म.प्र.) और रंगवाला बताते हैं –
असली CAPTCHA हमेशा भरोसेमंद वेबसाइट पर मिलेगा।
इसमें आसान टास्क होते हैं – जैसे इमेज चुनना, टेक्स्ट लिखना, चेकबॉक्स टिक करना।
नकली CAPTCHA आपको नोटिफिकेशन Allow करने, फाइल डाउनलोड करने या बैंक डिटेल डालने के लिए कहेगा।
वेबसाइट के एड्रेस बार पर भी ध्यान दें – गलत स्पेलिंग, अजीब कैरेक्टर्स या अनजाना डोमेन बड़ा अलार्म है।
अगर फंस गए तो क्या करें?
तुरंत साइट बंद करें।
इंटरनेट कनेक्शन काट दें।
फुल एंटीवायरस स्कैन चलाएं।
ब्राउज़र कैश और कूकीज़ साफ करें, संदिग्ध एक्सटेंशन हटाएँ।
पासवर्ड बदलें (किसी सुरक्षित डिवाइस पर)।
कोई फाइल डाउनलोड की हो तो बिना खोले डिलीट कर दें।
क्यों ज़रूरी है सतर्क रहना?
ई-कॉमर्स, ऑनलाइन गेमिंग और फाइनेंशियल साइट्स सबसे ज़्यादा निशाने पर हैं। यहाँ से साइबर अपराधी न सिर्फ़ आपके पैसे चुरा सकते हैं, बल्कि जासूसी सॉफ्टवेयर भी इंस्टॉल कर सकते हैं।
दीपेन्द्र सिंह की चेतावनी है –
“लिंक पर क्लिक करने से पहले URL देखना सीखें। एक गलत क्लिक आपकी प्राइवेसी और पैसा, दोनों छीन सकता है।”
