फिशिंग - आर्थिक फसवणूक : एक सखोल विवेचन | Phishing - Financial Fraud in India

फिशिंग म्हणजे काय?

"फिशिंग" (Phishing) ही एक अत्यंत कपटी आणि व्यापक सायबर फसवणुकीची पद्धत आहे. ज्याप्रमाणे एखादा धूर्त कोळी आपले जाळे टाकून निष्पाप माशांना त्यात अडकवतो, त्याचप्रमाणे सायबर गुन्हेगार लोकांच्या वैयक्तिक माहितीवर (उदा. बँक तपशील, ओटीपी, पासवर्ड) अत्यंत चलाखीने ताबा मिळवून त्यांना आर्थिक संकटात ढकलतात. हे समाजकंटक तंत्रज्ञानाचा वापर करून सामान्य व्यक्तींना भावनिक आणि मानसिकरित्या गोंधळात पाडतात, जेणेकरून ते आपली गोपनीय माहिती सहजपणे उघड करतात.

फिशिंगचे प्रकार आणि कार्यपद्धती

फिशिंगचे प्रकार अनेक असले तरी, त्यांचे मूळ उद्दीष्ट एकच असते – लोकांची आर्थिक लूट करणे. प्रमुख प्रकार खालीलप्रमाणे आहेत:

बनावट ईमेल / संदेशांद्वारे फसवणूक (Email/SMS Phishing)

या प्रकारात, तुम्हाला एखादा ईमेल किंवा संदेश येतो जो एखाद्या प्रतिष्ठित बँक, सरकारी संस्था किंवा अन्य विश्वासार्ह स्रोतातून आल्यासारखा दिसतो. या संदेशांमध्ये अत्यंत आकर्षक किंवा भीतीदायक भाषा वापरलेली असते. उदाहरणार्थ, "तुमचे एटीएम कार्ड ब्लॉक झाले आहे, त्वरित या लिंकवर क्लिक करा", "तुमचे केवायसी (KYC) अद्ययावत करा अन्यथा खाते बंद होईल" असे संदेश पाठवून लोकांना तात्काळ कृती करण्यास प्रवृत्त केले जाते.

बनावट संकेतस्थळे (Phony Websites)

वरील संदेशांमधील लिंकवर क्लिक केल्यास एक बनावट संकेतस्थळ उघडते, जे हुबेहूब खऱ्या बँकेच्या किंवा संस्थेच्या संकेतस्थळासारखे दिसते. या ठिकाणी तुम्ही आपले युझरनेम (Username), पासवर्ड (Password) आणि ओटीपी (OTP) प्रविष्ट करताच, ती माहिती सायबर चोरांपर्यंत पोहोचते. ही चोरलेली माहिती वापरून चोरटे तुमच्या खऱ्या बँक खात्यात प्रवेश मिळवतात आणि क्षणार्धात तुमचे पैसे लंपास करतात. अनेकदा हे पैसे मृत व्यक्तींच्या किंवा बनावट नावाच्या बँक खात्यांमध्ये हस्तांतरित केले जातात आणि नंतर रोख स्वरूपात काढून घेतले जातात किंवा क्रिप्टोकरन्सीमध्ये रूपांतरित करून लपवले जातात, ज्यामुळे त्यांना शोधणे अत्यंत कठीण होते.

फोन कॉलद्वारे फसवणूक (Vishing)

याला 'व्हिशिंग' असेही म्हणतात. यात एखादा सायबर गुन्हेगार स्वतःला बँक कर्मचारी किंवा सरकारी अधिकारी म्हणून ओळख करून तुम्हाला फोन करतो. "तुमचे खाते बंद होणार आहे, त्वरित तुमचा ओटीपी सांगा" असे धमकावून किंवा आमिष दाखवून ते तुमच्याकडून गोपनीय माहिती काढून घेतात. तुम्ही ओटीपी देताच, तुमच्या खात्यातून पैसे काढले जातात.

एसएमएसद्वारे फसवणूक (Smishing)

हा प्रकार व्हिशिंगसारखाच आहे, पण यात एसएमएसचा वापर होतो. "आपल्या केवायसीमध्ये त्रुटी आहे, लगेच दुरुस्ती करा" असा बनावट एसएमएस येतो आणि त्यासोबत एक लिंक दिलेली असते, जी तुम्हाला फसवी वेबसाइटवर घेऊन जाते.

उदाहरणासह स्पष्टीकरण

रमेश नावाच्या व्यक्तीला असाच एक एसएमएस आला – “तुमचे बँक खाते बंद होणार आहे. त्वरित या लिंकवर क्लिक करा.” रमेशने गडबडीत त्या लिंकवर क्लिक केले आणि आपल्या बँक खात्याचे लॉगिन तपशील व ओटीपी प्रविष्ट केला. काही मिनिटांतच त्यांच्या खात्यातून ₹25,000 काढले गेले. ही फिशिंगची एक साधी पण प्रभावी पद्धत आहे.

फिशिंग फसवणुकीची लक्षणे ओळखण्याचे मार्ग

सतर्कता हाच फिशिंगपासून बचावाचा सर्वोत्तम उपाय आहे. खालील गोष्टींवर लक्ष दिल्यास तुम्ही फसवणूक ओळखू शकता:

• बँक किंवा सरकार कधीही गोपनीय माहिती विचारत नाहीत: कोणतीही बँक किंवा सरकारी संस्था तुम्हाला ईमेल, एसएमएस किंवा फोनद्वारे तुमचा ओटीपी, पासवर्ड किंवा खात्याची संपूर्ण माहिती विचारत नाही. जर कोणी अशी मागणी करत असेल, तर ती फसवणूक आहे असे समजा.

• संशयास्पद संकेतस्थळांची तपासणी: जर एखादे संकेतस्थळ अतिशय संशयास्पद वाटत असेल किंवा त्याच्या यूआरएलमध्ये (URL) चुका दिसत असतील, तर ते बनावट असू शकते. सुरक्षित संकेतस्थळे नेहमी 'https://' ने सुरू होतात. अनेकदा खोट्या संकेतस्थळांमध्ये स्पेलिंगच्या चुका किंवा इतर बारकावे चुकीचे असतात.

• 'ताबडतोब कृती करा' या आग्रहावर लक्ष: "ताबडतोब कृती करा" किंवा "लगेचच क्लिक करा" असे आग्रह करणारे संदेश हे हमखास फसवणुकीचे चिन्ह आहे. सायबर गुन्हेगार लोकांना विचार करायला वेळ देत नाहीत.

भारतातील फिशिंग संरक्षणाचे कायदे

भारतात फिशिंगसारख्या सायबर गुन्हेगारांना आळा घालण्यासाठी काही कायदे आहेत:

• भारतीय दंड संहिता (IPC) कलम 420: या कलमांतर्गत फसवणूक सिद्ध झाल्यास 7 वर्षांपर्यंत तुरुंगवास आणि दंड होऊ शकतो.

• माहिती तंत्रज्ञान कायदा, 2000 (IT Act):

  • कलम 66C: डिजिटल ओळख चोरी केल्यास शिक्षेची तरतूद आहे.

  • कलम 66D: फसवणुकीने माहिती मिळवणे हा शिक्षेस पात्र गुन्हा आहे.

मात्र, या सायबर चोरट्यांना पकडणे अनेकदा अवघड होऊन बसते, कारण ते परदेशातून किंवा संघटितपणे कार्य करतात. त्यामुळे त्यांना शिक्षा करण्यापेक्षा, त्यांच्यापासून स्वतःचा बचाव करणे हाच सर्वोत्तम मार्ग आहे.

बचावासाठी महत्त्वपूर्ण टिप्स

स्वतःला फिशिंगपासून वाचवण्यासाठी खालील टिप्स नेहमी लक्षात ठेवा:

• गोपनीय माहिती शेअर करू नका: तुमचा ओटीपी, पासवर्ड, एटीएम पिन (ATM PIN) कधीही कोणालाही सांगू नका. बँक कर्मचारी किंवा सरकारी अधिकारी अशी माहिती विचारत नाहीत.

• अधिकृत लिंकचाच वापर करा: बँकेच्या किंवा कोणत्याही संस्थेच्या संकेतस्थळासाठी नेहमी https://www.bankname.com यासारख्या अधिकृत लिंकचाच वापर करा. संशयास्पद लिंकवर क्लिक करणे टाळा.

• संशयास्पद कॉल/संदेश टाळा: कोणत्याही संशयास्पद कॉल किंवा मेसेजवर विश्वास ठेवू नका. त्यांच्या मागण्यांना बळी पडू नका.

• अँटी-व्हायरस सॉफ्टवेअरचा वापर: तुमच्या मोबाईल आणि संगणकामध्ये अद्ययावत अँटी-व्हायरस (Anti-virus) सॉफ्टवेअर ठेवा. ते तुम्हाला मालवेअर आणि फिशिंग हल्ल्यांपासून संरक्षण देईल.

• कस्टमर केअर नंबरची पडताळणी: कोणत्याही बँकेचा किंवा संस्थेचा कस्टमर केअर नंबर गुगलवर शोधू नका. तो नेहमी संस्थेच्या अधिकृत कागदपत्रांवरून किंवा त्यांच्या अधिकृत संकेतस्थळावरून घ्या. कारण अनेकदा सायबर चोरटे बनावट कस्टमर केअर नंबर इंटरनेटवर टाकून लोकांना फसवतात.

• अज्ञात सॉफ्टवेअर डाउनलोड करू नका: फोनवर कोणी सांगितले म्हणून कोणतेही सॉफ्टवेअर डाउनलोड करू नका. यामुळे तुमच्या फोन किंवा संगणकाचा ताबा चोरट्यांना मिळू शकतो.

• फसवणूक झाल्यास त्वरित कळवा: दुर्दैवाने तुमची फसवणूक झाल्यास, तात्काळ तुमच्या बँकेला आणि सायबर क्राईम हेल्पलाइन 1930 वर कळवा. 24 तासांच्या आत बँकेकडे तक्रार केल्यास, अनेकदा बँक तुम्हाला पैशांच्या अपहरणाची नुकसानभरपाई देते.

• सायबर फ्रॉड इन्शुरन्सचा विचार: तुमचे व्यवहार मोठे असल्यास, सायबर फ्रॉड इन्शुरन्स (Cyber Fraud Insurance) काढून घेणे फायदेशीर ठरू शकते.

निष्कर्ष

फिशिंग म्हणजे तंत्रज्ञानाचा गैरवापर करून लोकांना भावनिक आणि मानसिक गोंधळात पाडून त्यांच्याकडून वैयक्तिक माहिती मिळवणे आणि आर्थिक फसवणूक करणे. या सायबर हल्ल्यांपासून स्वतःचे आणि आपल्या पैशांचे संरक्षण करण्यासाठी अत्यंत सतर्क राहणे आवश्यक आहे. फिशिंगची लक्षणे ओळखून योग्य उपाययोजना केल्यास आपण स्वतःचे आर्थिक नुकसान टाळू शकतो आणि सायबर चोरांना बळी पडण्यापासून वाचू शकतो.

लेखक: अद्वैत देशपांडे (सेबी नोंदणीकृत गुंतवणुक सल्लागार)

संपर्क: 9823068226

Phishing Financial Fraud in India

By Advait Deshpande, SEBI Registered Investment Advisor

Contact: 9823068226

What Exactly is Phishing?

"Phishing" is a deceitful form of cyber fraud. Just as a clever fisherman casts a net to trap fish, fraudsters (individuals or groups) cunningly obtain personal information (like bank details, OTPs, passwords) from unsuspecting individuals through deceptive means, leading to financial loss. These criminals leverage technology to emotionally and psychologically manipulate common people, tricking them into revealing their confidential information.

How is Phishing Carried Out?

While there are various types of phishing, their core objective remains the same: to illicitly gain financial benefits. The primary methods include:

Fraudulent Emails / Messages

You might receive an email or message that appears to be from a reputable bank, government agency, or another trusted institution. These messages often use urgent or alarming language. For example, they might state, "Your ATM card has been blocked, click this link immediately," or "Update your KYC or your account will be suspended," pushing people to take immediate action.

Fake Websites

Clicking on the link in such messages opens a fake website that looks identical to a genuine bank or institution's site. The moment you enter your username, password, and OTP there, that information is stolen by cybercriminals. These stolen credentials are then used to access your real bank account, and your money is siphoned off in mere moments. Often, these funds are transferred to bank accounts of deceased individuals or dummy accounts and then withdrawn as cash or converted into cryptocurrency, making them incredibly difficult to trace.

Fraud Through Phone Calls (Vishing)

In this method, a fraudster poses as a bank employee or a government official and calls you directly. They might threaten you by saying, "Your account will be closed, tell me the OTP immediately," or entice you with some offer to extract your confidential information. The moment you provide the OTP, funds are withdrawn from your account.

Fraud Through SMS (Smishing)

Similar to vishing, but this type uses SMS messages. You might receive a fake SMS like, "There's an error in your KYC, fix it immediately," along with a link that leads you to a fraudulent website.

An Illustrative Example

Ramesh received an SMS stating, "Your bank account will be closed. Click on this link immediately." In a hurry, Ramesh clicked the link and entered his bank login details and OTP. Within minutes, ₹25,000 were withdrawn from his account. This is a simple but effective phishing tactic.

How to Identify Phishing Attempts

Vigilance is your best defense against phishing. Pay attention to the following signs to identify potential fraud:

• Banks or Governments Never Ask for Confidential Information: No bank or government agency will ever ask for your OTP, password, or complete account details via email, SMS, or phone. If anyone asks for such information, assume it's a scam.

• Inspect Suspicious Websites: If a website looks highly suspicious or has errors in its URL, it might be fake. Secure websites always start with 'https://'. Often, fake websites have spelling mistakes or other minor discrepancies.

• Beware of "Act Immediately" Messages: Messages urging you to "act immediately" or "click now" are almost always a sign of fraud. Cybercriminals don't want you to have time to think.

Laws Against Phishing in India

India has laws in place to combat cybercriminals involved in phishing:

• Indian Penal Code (IPC) Section 420: Under this section, if fraud is proven, it can lead to up to 7 years of imprisonment and a fine.

• Information Technology Act, 2000 (IT Act):

  • Section 66C: Provides for punishment for digital identity theft.

  • Section 66D: Making information fraudulent is a punishable offense.

However, catching these cybercriminals often proves difficult as they operate from abroad or through organized networks. Therefore, prevention is the best defense against them.

Essential Tips for Protection

Always remember the following tips to protect yourself from phishing:

• Never Share Confidential Information: Never share your OTP, password, or ATM PIN with anyone. Bank employees or government officials will not ask for such information.

• Use Only Official Links: Always use official links like https://www.bankname.com for banking or any other institutional websites. Avoid clicking on suspicious links.

• Avoid Suspicious Calls/Messages: Do not trust any suspicious calls or messages. Don't fall for their demands.

• Use Antivirus Software: Keep updated antivirus software on your mobile and computer. It will protect you from malware and phishing attacks.

• Verify Customer Care Numbers: Never search for a bank's or institution's customer care number on Google. Always get it from their official documents or their official website. This is because cybercriminals often post fake customer care numbers online to defraud people.

• Do Not Download Unknown Software: Never download any software just because someone on the phone told you to. This can give criminals control over your phone or computer.

• Report Fraud Immediately: If, unfortunately, you become a victim of fraud, immediately report it to your bank and the cybercrime helpline 1930. If you report to the bank within 24 hours, they often compensate for the stolen money.

• Consider Cyber Fraud Insurance: If you handle large transactions, getting Cyber Fraud Insurance can be beneficial.

Conclusion

Phishing involves the misuse of technology to emotionally and psychologically confuse people, obtain their personal information, and commit financial fraud. To protect yourself and your money from these cyberattacks, it's crucial to remain highly vigilant. By recognizing the signs of phishing and taking appropriate precautions, you can prevent financial losses and avoid becoming a victim of cybercriminals.