.webp?width=120){kind=logo}
.webp?width=35&height=35){kind=logo}
[1].webp?width=30&height=30){kind=small}
आधार नंबर के साथ सिर्फ एक जानकारी और अकाउंट से पैसा साफ, साइबर ठग क्या ट्रिक अपना रहे?
बैंक की तरफ से बिना OTP या SMS के लाखों का चूना कैसे लग रहा?
जब बैंक से मैसेज आता है कि अपने खाते की डिटेल्स, पैसे के लेनदेन वाला OTP वगैरा-वगैरा किसी से न शेयर करें, तो हम सोचते हैं कि हम तो ये दोनों काम नहीं करते. खुश हो लेते हैं कि बैंक और हम सजग हैं, और बैंक में जमा हमारा पैसा सुरक्षित है. लेकिन क्या सच में ऐसा है? क्या OTP और अकाउंट डिटेल के बिना भी आपका हमारा अकाउंट खाली हो सकता है? जवाब है- हां. बीते कुछ दिनों से लगातार इस तरह की ठगी की खबरें आ रही हैं. ठगी करने वालों ने अब एक नया तरीका निकाल लिया है. सिलिकॉन के फिंगरप्रिंट बनाए जा रहे हैं. और लोगों के आधार नंबर और उनके डुप्लीकेट फिंगरप्रिंट से बायोमेट्रिक मशीनें और ATM ऑपरेट किए जा रहे हैं. लोगों को लाखों का चूना लग रहा है.
आज बात इस नए तरीके की साइबर ठगी की. बिना OTP, बिना किसी मैसेज, सिर्फ व्यक्ति के आधार नंबर और उसके डुप्लीकेट फिंगरप्रिंट से पैसे कैसे निकाले जा रहे हैं? पहले तो कुछ ऐसे मामले जिनमें बिना किसी बैंक डिटेल और OTP के लोगों के खाते से लाखों रुपए उड़ा दिए गए.
ठगी के मामलेपुष्पेंद्र सिंह एक फेमस यूट्यूबर हैं. बीते दिनों उन्होंने ट्विटर पर अपनी मां के बैंक अकाउंट के साथ हुई धोखाधड़ी की जानकारी दी. उन्होंने बताया कि उनकी मां के अकाउंट से बिना किसी टू-फैक्टर ऑथेंटिफ़िकेशन के पैसे निकाल लिए गए. माने उनके पास बैंक की तरफ से मैसेज वगैरह के जरिए इस निकासी का कोई अलर्ट भी नहीं आया. और जब उन्होंने अपनी पासबुक अपडेट करवाई तब जाकर ठगी का पता चला. ये सब हुआ आधार से लिंक्ड उनकी मां के फिंगरप्रिंट के जरिए.
पुष्पेंद्र अपने ट्वीट में लिखते हैं,
"पिछले महीने मैं अपनी मां की पासबुक की एंट्री के लिए पंजाब नेशनल बैंक गया. खाते में जीरो बैलेंस था. मैंने बैंक से पूछा. अपनी मां को बताया. उन्होंने कहा कि ऐसा कैसे हो सकता है, मैंने कोई पैसा नहीं निकाला. फिर हमने दोबारा बैंक मैनेजर से बात की. उन्होंने पता किया और बताया कि बिहार में किसी ने आधार कार्ड से जुड़ी बायोमैट्रिक इनफार्मेशन का इस्तेमाल करके खाते से पैसा निकाल लिया है."
बायोमैट्रिक्स मतलब इंसान के अंगूठों, उंगलियों के निशान से लेकर आंखों के रेटिना स्कैन का वो डेटा जो आधार बनाते समय लिया जाता है. पुष्पेंद्र ने ट्वीट में ये आशंका भी जताई कि फिंगर प्रिन्ट का डेटा रजिस्ट्री ऑफिस से चुराया गया है. हमने जब पुष्पेंद्र से बात की तो उन्होंने बताया कि उनकी मां के अकाउंट से लगभग 96 हजार रुपये निकाले गए. चूंकि आधार से पैसा निकालने की एक लिमिट है इसलिए ठगों ने थोड़ा-थोड़ा करके कई बार में पैसा निकाला.
पुष्पेंद्र खुद एक टेक एक्सपर्ट हैं. उन्होंने अपनी मां की पासबुक भी हमसे साझा की. उनके मुताबिक इस अकाउंट का कोई डेबिट कार्ड नहीं है. इसलिए इंटरनेट बैंकिंग का कोई सवाल ही नहीं हैं. मतलब फ्रॉड आधार के डेटा के जरिए हुआ है. उनके मुताबिक डेबिट कार्ड से लेकर इंटरनेट बैंकिंग तक के लिए आपको अलग से आवेदन करना पड़ता है, लेकिन आधार से लेनदेन पहले से ही इनेबल होता है. हालांकि आधार की वेबसाइट पर लिखा है कि बिना ओटीपी के ऐसा संभव नहीं हैं. लेकिन पुष्पेंद्र का कहना है कि पैसा निकालने के लिए सिर्फ फिंगर प्रिन्ट ही काफी है.
इसी साल जनवरी में हरियाणा के गुरुग्राम में ऐसा ही एक मामला दर्ज हुआ था. एक व्यक्ति के फिंगरप्रिंट्स का इस्तेमाल करके उसके बैंक खाते से पैसे निकाल लिए गए. हालांकि जब उन्हें एक ट्रांजैक्शन का पता चला तो उन्होंने आधार के ऐप का इस्तेमाल करके बायोमैट्रिक को लॉक कर दिया ताकि और पैसा न निकाला जा सके.
फिंगरप्रिंट की क्लोनिंग का एक मामला साल 2022 में हैदराबाद में भी सामने आयाथा. यहां एक साइबर क्राइम गिरोह ने आंध्र प्रदेश के रजिस्ट्रेशन और स्टैम्प्स डिपार्टमेंट की ऑफिशियल वेबसाइट से लोगों के डाक्यूमेंट्स निकाल लिए थे. उन्होंने कुल 149 लोगों को 14 लाख रुपए से ज्यादा का चूना लगाया. इस मामले में प्रशासन ने गिरोह को पकड़ा और 2500 क्लोन किए गए फिंगरप्रिंट्स जब्त किए थे.
ये एक-दो मामले नहीं हैं. आप गूगल पर सर्च करेंगे तो आपको हाल-फिलहाल की ऐसी दसियों खबरें मिल जाएंगी.
लेकिन ये होता कैसे है?
आधार इनेबल्ड पेमेंट सर्विसAePS यानी आधार इनेबल्ड पेमेंट सर्विस. पहले इसे समझ लेते हैं. ये बैंक से पैसे निकालने का एक तरीका है. छोटे कस्बों और ग्रामीण इलाकों में इस तरीके से पैसा निकासी बड़ी आम बात है. आपने जनसेवा केंद्रों या कई बार सामान्य दुकानों पर भी लिखा देखा होगा- "यहां आधार से पैसे निकाले जाते हैं." बस इसे ही AePS समझ लीजिए.
कई बैंक अपने कॉरेसपॉन्डेंट या पॉइंट ऑफ़ सेल तय कर देते हैं. ये लोग कुछ कमीशन के बदले पैसे निकालने की सुविधा देते हैं. NPCI यानी नेशनल पेमेंट्स कॉरपोरेशन ऑफ़ इंडिया के मुताबिक, AePS के जरिए पैसे निकालने के लिए न OTP की जरूरत होती है और न बैंक खाते की बाकी डिटेल्स की. बस आधार नंबर और उससे जुड़े अपने बैंक का नाम बताइए. उसके बाद आपको एक बायोमैट्रिक मशीन पर अपने अंगूठे का निशान देना होगा. बिल्कुल उसी तरह जैसे आपने आधार बनवाते वक़्त दिया था. और फिर आपके खाते से रकम काटकर आपको पैसा हाथ में मिल जाएगा.
अंगूठे का निशान और बैंक का नाम. इतना बताकर आप AePS से और भी बहुत कुछ कर सकते हैं. जैसे पैसा जमा करना, बैंक खाते में बकाया रकम की जानकारी, मिनी स्टेटमेंट, आधार टू आधार पैसा ट्रांसफर वगैरह.
लेकिन सवाल ये है कि क्या AePS बायडिफ़ॉल्ट ये काम करता है? माने ये सामान्य सुविधा आधार और बैंक खाते के जुड़ने के साथ ही कंज्यूमर्स को मिल जाती है या फिर इसे एक्टिव करने के लिए कोई तयशुदा व्यवस्था है?
अंग्रेजी अखबार द हिंदू की एक खबर के मुताबिक, देश की जनता को 'आधार' की पहचान देने वाली संस्था यूनीक आइडेंटिफिकेशन अथॉरिटी ऑफ़ इंडिया (यानी UIDAI) और NPCI दोनों ही स्पष्ट रूप से ये नहीं कहते कि AePS, आधार के जरिए पैसे निकालने की बायडिफ़ॉल्ट सुविधा है. हालांकि एक और सरकारी प्लेटफॉर्म कैशलेस इंडिया की वेबसाइट के मुताबिक, इस AePS की सर्विस को बैंक अकाउंट पर अलग से एक्टिवेट करने की जरूरत नहीं है, बस आपका बैंक खाता आधार नंबर से जुड़ा होना चाहिए.
इस बारे में हमने प्रकृति जैन से बात की. वो एक प्राइवेट बैंक में अधिकारी हैं. वो कहती हैं,
"AePS की सर्विस को बैंकों की तरफ से इनेबल नहीं किया गया है. ये सुविधा आधार इनेबल्ड है. जिनके भी आधार, बैंक अकाउंट से जुड़े हैं. उनके लिए ये सुविधा है. आपको इसे स्पेशली इनेबल नहीं कराना होता है. अगर आधार अपडेटेड है तो आपको ये सुविधा मिल जाएगी."
बैंक खाते के आधार नंबर से जुड़े होने की जरूरत पर बहुत जोर देने की बड़ी वजह है. आधार एक्ट के सेक्शन 7 के मुताबिक, किसी स्कीम के तहत कोई सब्सिडी या बेनिफिट चाहिए है तो उन्हें अपना आधार नंबर बैंक को भेजना जरूरी है. और यूं भी बैंक में खाता खुलवाते वक़्त KYC के लिए आधार को प्राथमिक पहचान पत्र माना जाता है. माने मोटा-माटी कहें तो देश में ज्यादातर लोगों के आधार नंबर उनके बैंक अकाउंट से जुड़े हैं और उनके लिए AePS बायडिफ़ॉल्ट एक्टिव है.
यानी अगर AePS का गलत इस्तेमाल करके ठगी की खबरें आ रही हैं तो ये जनता के लिए चिंता की बात है. अब सवाल ये है सिर्फ AePS का गलत इस्तेमाल करके किसी के खाते से पैसे उड़ाने के लिए ठगों को आधार की डिटेल्स और बायोमैट्रिक इन्फोर्मेशन भी तो चाहिए. वो कैसे मिलती हैं?
बायोमेट्रिक जानकारी कैसे लीक होती है?बीते कुछ सालों में कई बार आधार का डेटा खतरे में पड़ने की खबरें आईं. हालांकि UIDAI ने हमेशा यही कहा है कि कभी किसी के आधार से कोई डेटा लीक नहीं हुआ. उसका कहना है कि बायोमैट्रिक इनफार्मेशन के अलावा भी आधार में दर्ज सारा डेटा पूरी तरह सुरक्षित रहता है.
लेकिन क्या सिर्फ आधार की वेबसाइट ही अकेली ऐसी जगह है, जहां लोगों के आधार का डेटा रहता है?
साइबर सिक्योरिटी एक्सपर्ट रक्षित टंडन इस बारे में द हिंदू से बात करते हुए कहते हैं,
"लोगों के आधार नंबर आसानी से फोटोकॉपीज में, सॉफ्टकॉपीज में, इन्टरनेट पर उपलब्ध हैं. और साइबर अपराधी लोगों की बायोमैट्रिक इनफार्मेशन निकालने के लिए AePS का भी इस्तेमाल करते हैं. ट्रांजैक्शन के लिए ये लोग सिलिकॉन का इस्तेमाल करके AePS की मशीनों के साथ धोखाधड़ी कर लेते हैं."
यानी किसी का आधार नंबर, नाम-पता मालूम करना ठगों के लिए शायद बहुत मुश्किल काम नहीं है. अब तो उंगलियों के निशान की क्लोनिंग की खबरें भी आ रही हैं.
इस बारे में प्रकृति जैन भी कहती हैं,
"उंगलियों के निशान किसी व्यक्ति की पहचान तय करने का सबसे सटीक और सबसे आख़िरी स्तर का तरीका माना जाता है. हम कई तरीकों से बैंकिंग ट्रांजैक्शन को सिक्योर रखते हैं. नेटबैंकिंग के जरिए धोखाधड़ी की कोशिशें भी होती हैं. बैंक इन पर कंट्रोल करता है. लेकिन अगर कोई फिंगरप्रिंट ही क्लोन करके धोखाधड़ी कर रहा है तो ये बैंक सिस्टम के लिए एक चैलेन्ज की तरह है. हम इस बारे में फीडबैक इकठ्ठा कर रहे हैं."
अब सवाल ये है कि इस तरह की धोखाधड़ी से कैसे बचें?
डेटा लीक से कैसे बचें?आधार का डेटा सुरक्षित करने का एक तरीका है अपना आधार लॉक कर देना. लॉक करने के बाद भले ही डेटा लीक हो चुका हो, लेकिन उसका इस्तेमाल पैसे के लेनदेन के लिए नहीं किया जा सकेगा. और जरूरत पड़ने पर आधार को अनलॉक भी किया जा सकता है. जैसे पासपोर्ट बनवाते वक्त या जमीन की रजिस्ट्री कराते समय.
यूजर UIDAI की वेबसाइट या mAdhaar ऐप पर जाकर आधार लॉक कर सकते हैं. इसके लिए सबसे पहला काम है 16 नंबर का वर्चुअल ID जनरेट करना. ये आपके रजिस्टर्ड नंबर पर SMS के जरिए आपको मिल जाएगा. इसके बाद आप आधार लॉक का ऑप्शन चुन सकते हैं. इसके लिए आपको केवल एक कैप्चा कोड फिल करना होता है. आधार को जरूरत पड़ने पर दोबारा अनलॉक करने के लिए आपको उसी 16 डिजिट वाले VID नंबर की जरूरत होगी.
एक और बात, अगर आप आधार के बायोमैट्रिक डिटेल्स का ज्यादा इस्तेमाल नहीं करते हैं, तो बेहतर है आधार लॉक करने के अलावा बायोमेट्रिक भी लॉक कर दीजिए. इसका ऑप्शन भी UIDAI की वेबसाइट या mAdhaar ऐप पर मिल जाता है.
प्रकृति आधार मास्क करने की भी जरूरत बताती हैं. ये काम भी UIDAI की वेबसाइट पर जाकर किया जा सकता है. मास्क करने से मतलब है आधार पर पूरे आधार नंबर का ना दिखना. प्रकृति कहती हैं,
"मान लीजिए आप हमारे पास अपना आधार नंबर लेकर आए और आपने उसके बेसिस पर अपना पता बदलने के लिए कहा. क्या गारंटी है कि उसके बाद आपके आधार कार्ड का गलत इस्तेमाल नहीं हो सकता. हो सकता है कि आपकी आधार की डिटेल पैसे के लालच में मैं आगे किसी थर्ड पार्टी को बेच दूं. इससे बचने के लिए आधार कार्ड को कम से कम मास्क जरूर करें."
अब आख़िरी सवाल.
धोखाधड़ी होने की स्थिति में क्या करें?रिजर्व बैंक ऑफ इंडिया (RBI) के निर्देशों के मुताबिक, आधार यूजर्स को सलाह दी जाती है कि कोई धोखाधड़ी होने की स्थिति में जल्दी से जल्दी अपने बैंक को सूचित करें. बैंकों को भी निर्देश दिया गया है कि ग्राहकों को उनके खाते से होने वाले हर लेनदेन की जानकारी SMS या ईमेल के जरिए दी जाए. लेकिन कई बार बैंक ट्रांजैक्शन की जानकारी नहीं मिलती. आपके रजिस्टर्ड मोबाइल नंबर पर मैसेज नहीं आता. ऐसे में ये जरूर चेक करें कि आधार पर आपका फ़ोन नंबर अपडेटेड है या नहीं. कोई छेड़छाड़ तो नहीं की गई. अगर आपका आधार अपडेटेड नहीं है तो आप मामूली फीस देकर नजदीकी आधार सेंटर या पोस्ट ऑफिस जाकर इसे मामूली फीस में अपडेट करवा सकते हैं. पहले ये अपडेशन ऑनलाइन भी होता था. लेकिन अब ये सुविधा बंद कर दी गई है. फ़ोन नंबर अपडेट करवाने के बाद आप उसे UIDAI की वेबसाइट पर वेरीफाई भी कर सकते हैं कि नंबर अपडेट हुआ है या नहीं.
हालांकि UIDAI भी साल 2016 के शेयरिंग ऑफ़ इनफार्मेशन रेगुलेशंस में सुधार ला रहा है. इससे किसी व्यक्ति के आधार की डिटेल्स गोपनीय रहेंगी. इसके अलावा नए तरीके से टू-फैक्टर ऑथेंटिफिकेशन भी शुरू होगा. इसके तहत कोई व्यक्ति जब भी अपना आधार वेरीफाई करेगा तो उसकी उंगली की बारीक जानकारी और उसकी फोटो भी कैप्चर की जाएगी. माने सिर्फ उंगलियों के निशान से वेरीफिकेशन नहीं होगा.
प्रकृति भी कहती हैं कि धोखाधड़ी करने वाले लोग नए-नए तरीकों के साथ आते रहते हैं. उंगलियों के निशान की क्लोनिंग का तो कोई इलाज नहीं है. लेकिन इसके लिए भी तैयारियां की जाएंगी.
वीडियो: मास्टरक्लास: बैंक अकाउंट और आधार लिंक में सेंध लगाकर ऐसे हो रही ठगी
