व्हाट्सएप पर बॉस के असली नंबर से आने वाला एक मैसेज कंपनियों को लाखों का नुकसान पहुंचा सकता है। जानिए 'बॉस स्कैम' कैसे काम करता है और क्यों साइबर एजेंसियों ने जारी की चेतावनी।
कॉरपोरेट सेक्टर के सामने साइबर ठगी का एक नया खतरा तेजी से उभर रहा है। अब अपराधी फर्जी ईमेल या नकली पहचान का सहारा नहीं ले रहे, बल्कि सीधे कंपनी के शीर्ष अधिकारियों के व्हाट्सएप अकाउंट तक पहुंच बना रहे हैं। इसके बाद कर्मचारियों को ऐसे निर्देश भेजे जाते हैं जो देखने में पूरी तरह वैध लगते हैं और यहीं से शुरू होती है लाखों रुपये की ठगी।
भारतीय साइबर अपराध समन्वय केंद्र (I4C) ने इस बढ़ते खतरे को लेकर कंपनियों को सतर्क किया है। एजेंसी के मुताबिक यह धोखाधड़ी सिर्फ तकनीकी कमजोरी का फायदा नहीं उठाती, बल्कि कर्मचारियों के भरोसे और संगठनात्मक संरचना को भी निशाना बनाती है।
व्हाट्सएप बना साइबर ठगों का नया हथियार
'बॉस स्कैम' को साइबर दुनिया में सीईओ इंपर्सनेशन फ्रॉड भी कहा जाता है। पहले अपराधी वरिष्ठ अधिकारियों के नाम से नकली ईमेल भेजते थे, लेकिन अब उनका तरीका कहीं अधिक खतरनाक हो गया है। साइबर ठग अधिकारियों के असली व्हाट्सएप अकाउंट तक पहुंच हासिल कर लेते हैं और उसी नंबर से वित्तीय निर्देश जारी करते हैं। कर्मचारियों को लगता है कि आदेश सीधे कंपनी के शीर्ष स्तर से आया है, इसलिए संदेह की गुंजाइश बेहद कम रह जाती है।
ऐसे बिछाया जाता है पूरा जाल
I4C के अनुसार ठग अक्सर खुद को रिजर्व बैंक या किसी अन्य नियामक संस्था का प्रतिनिधि बताकर संपर्क करते हैं। वे किसी जरूरी कंप्लायंस या रेगुलेटरी मुद्दे का हवाला देते हुए एक ZIP फाइल भेजते हैं। इस फाइल में मौजूद प्रोग्राम जैसे ही सिस्टम में चलाया जाता है, मैलवेयर सक्रिय हो जाता है। इसके बाद अपराधी सिस्टम और उससे जुड़े व्हाट्सएप वेब सेशन पर नजर रखने लगते हैं, जिससे उन्हें अधिकारी के अकाउंट तक पहुंच मिल जाती है।
फोन छुए बिना अकाउंट पर कब्जा
इस साइबर हमले की सबसे चिंताजनक बात यह है कि अपराधियों को स्मार्टफोन हाथ में लेने की जरूरत नहीं पड़ती। मैलवेयर व्हाट्सएप वेब के सक्रिय सेशन टोकन चुरा लेता है और हमलावर दूर बैठकर अकाउंट संचालित करने लगते हैं। यही वजह है कि कई मामलों में अधिकारी को लंबे समय तक यह भी पता नहीं चलता कि उसका अकाउंट किसी और के नियंत्रण में है।
कर्मचारी क्यों फंस जाते हैं जाल में
साइबर सुरक्षा विशेषज्ञों का कहना है कि इस स्कैम की असली ताकत तकनीक नहीं बल्कि मनोविज्ञान है। जब किसी कर्मचारी को उसके बॉस के असली नंबर से गोपनीय और तत्काल भुगतान का निर्देश मिलता है, तो वह अक्सर आदेश पर सवाल उठाने से बचता है। खासकर वित्त और अकाउंट्स विभाग में काम करने वाले कर्मचारी दबाव और जिम्मेदारी के कारण तुरंत कार्रवाई कर देते हैं। इसी मानवीय प्रतिक्रिया का फायदा साइबर अपराधी उठाते हैं।
किन विभागों पर सबसे ज्यादा खतरा
फाइनेंस टीम, अकाउंट्स विभाग, एचआर प्रोफेशनल्स और वरिष्ठ अधिकारियों के सहायक इस स्कैम के प्रमुख निशाने पर हैं। इन पदों पर काम करने वाले लोगों के पास अक्सर भुगतान स्वीकृत करने या संवेदनशील जानकारी तक पहुंच का अधिकार होता है। नए कर्मचारियों के लिए जोखिम और ज्यादा रहता है क्योंकि वे कंपनी की आंतरिक प्रक्रियाओं से पूरी तरह परिचित नहीं होते।
रेगुलेटरी संस्थाओं के नाम का क्यों होता है इस्तेमाल
ठग जानते हैं कि नियामक संस्थाओं का नाम सुनते ही अधिकारी गंभीर हो जाते हैं। इसी वजह से वे आरबीआई या अन्य रेगुलेटर्स का हवाला देकर तत्काल कार्रवाई का दबाव बनाते हैं। I4C ने साफ किया है कि कोई भी वैध नियामक संस्था व्हाट्सएप के जरिए सॉफ्टवेयर अपडेट या कंप्लायंस टूल नहीं भेजती। ऐसे संदेश मिलने पर उनकी स्वतंत्र रूप से पुष्टि करना जरूरी है।
एआई के दौर में और बढ़ सकता है खतरा
साइबर अपराध अब तेजी से आर्टिफिशियल इंटेलिजेंस की मदद लेने लगे हैं। वॉयस क्लोनिंग और डीपफेक तकनीक के जरिए अपराधी किसी वरिष्ठ अधिकारी की आवाज और वीडियो की नकल कर सकते हैं। ऐसे में केवल कॉल या वीडियो देखकर भरोसा करना भी जोखिम भरा हो सकता है। विशेषज्ञों का मानना है कि आने वाले समय में वित्तीय लेनदेन से जुड़े हर बड़े निर्णय के लिए बहुस्तरीय सत्यापन प्रणाली अपनाना कंपनियों की मजबूरी बन सकता है।
बचाव का सबसे प्रभावी तरीका
साइबर एजेंसियों का कहना है कि किसी भी बड़े फंड ट्रांसफर से पहले स्वतंत्र सत्यापन अनिवार्य होना चाहिए। केवल व्हाट्सएप संदेश के आधार पर भुगतान की मंजूरी नहीं दी जानी चाहिए। फोन कॉल, वीडियो कॉल या आमने-सामने पुष्टि की प्रक्रिया अपनाने से ऐसे अधिकांश मामलों को रोका जा सकता है। साथ ही अज्ञात स्रोतों से आई फाइलें डाउनलोड करने से बचना और दोहरी मंजूरी की व्यवस्था लागू करना भी कंपनियों की सुरक्षा के लिए बेहद जरूरी है।
