केवायसी अपडेट - २

Submitted by Kavita Datar on 7 September, 2021 - 11:07
सायबर गुप्तहेर

केवायसी अपडेट - २

पगार झाल्या दिवशी मिलिंदला 'बीएसएनएल मधून बोलतेय', असं सांगून केवायसी अपडेट करण्यासाठी एका मुलीचा फोन आला. त्या पाठोपाठ एक एसएमएस आला. त्यातील लिंक क्लिक करून, केवायसी अपडेट करताना, त्याच्या बँक अकाउंट मधून चार लाख चाळीस हजार रुपये सायबर चोरांनी काढून घेतले. सायबर गुप्तहेर दामिनीच्या सल्ल्यानुसार त्याने एफआयआर दाखल करून, त्याची कॉपी बँकेला सबमिट केली. मिलिंद चा फोन तपासल्यावर, त्यात लिंक द्वारे स्पायवेअर सोडला जाऊन, फोन हॅक करून, बँक अकाउंट डिटेल्स चोरून, पैसे काढून घेण्यात आले, असा दामिनी ने निष्कर्ष काढला. आलेल्या फोन आणि एसएमएस चे लोकेशन फॉरेन्सिक टूल द्वारे तिने शोधून काढले.

पुढे.....

दामिनी ने या केसच्या मुळाशी जाण्याचा पक्का निर्धार केला. सहसा अशा घटनांमध्ये सायबर चोर वापरलेले मोबाईल सिम कार्ड पुन्हा वापरत नाहीत. त्यामुळे मोबाईल नंबर ट्रेस करण्यात काही अर्थ नव्हता. सध्या तरी तिने दोन गोष्टींवर लक्ष केंद्रित करण्याचे ठरवले. बँकेतून काढलेले पैसे कुठे ट्रान्सफर केले आहेत ? आणि फॉरेन्सिक टूल ने दाखवलेले लोकेशन. तपासासाठी तिला पोलिसांची मदत घेणे अपरिहार्य होते.

तिने विराजला फोन लावला. विराज, तिचा जवळचा मित्र. सध्या मुंबई पोलीस मध्ये डीएसपी होता. त्याला सांगून, ज्या पोलीस स्टेशन च्या हद्दीत गुन्हा घडला, त्या वरळी पोलिसांची तपासकामी मदत घेता येणार होती.

विराज ने लगेच वरळी पोलिस स्टेशनला फोन करून या गुन्ह्याचा तपास करण्यासाठी दामिनीला सर्वतोपरी मदत करण्याच्या तेथील पोलिस अधिकाऱ्यांना सूचना दिल्या. पुढच्या वीस मिनिटात दामिनी वरळी पोलीस स्टेशन ला पोहोचली.

तेथील इन्स्पेक्टर काळे यांना सगळी घटना आणि त्यातील बारकावे सांगून, तिने ट्रेस केलेल्या लोकेशन वर जाऊन, काही धागेदोरे मिळतात का? हे पाहायचे ठरले. इन्स्पेक्टर काळे, दामिनी आणि दोन पोलीस असे सर्वजण मालाड येथील सहकार नगर मध्ये पोहोचले. तेथील बहुतांशी भागात चाळ सदृश्य छोटी घरे होती. या भागातील एखाद्या खोलीत सायबर चोरांनी त्यांचा तात्पुरता अड्डा बनवला असण्याची शक्यता होती. घटना घडून तीन दिवस झाल्याने ते चोर तिथे थांबले असण्याची शक्यता मात्र फारच कमी होती. दामिनीच्या आतापर्यंतच्या अनुभवाने सायबर गुन्हेगार ट्रेस लागू नाही म्हणून, एक तर व्ही पी एन वापरतात (व्हर्च्युअल प्रायव्हेट नेटवर्क ज्यामुळे खरे लोकेशन उघड न होता दुसरे बनावट लोकेशन दिसते) किंवा सारखी त्यांची ठिकाणं तरी बदलत असतात.

बऱ्याच संशयास्पद घरांची वरवर झडती घेऊनही तिथं काही धागेदोरे मिळून आले नाहीत.

इन्स्पेक्टर काळेंच्या मदतीने दामिनी ने मिलिंद च्या अकाउंट मधील पैसे नेमके कुठे ट्रान्सफर झाले ? याची माहिती आणि अकाउंट वरून पैसे काढून घेतल्याचे ट्रांजेक्शन ज्या आयपी ॲड्रेस वरून झाले, त्याचे डिटेल्स पाठवण्याची बँकेला विनंती केली. अर्थात व्हीपीएन वापरले असल्यास, नेमका आयपी एड्रेस मिळणे तसे कठीण होते. पण प्रयत्न मात्र सगळ्या बाजूंनी करणे जरुरी होते.

दोन दिवसांनी बँकेचा रिपोर्ट पोलीस स्टेशनला मिळाला. इन्स्पेक्टर काळेंनी दामिनीला कॉल करून बोलावून घेतले आणि तिच्यासमोर बँकेकडून आलेला रिपोर्ट ठेवला.

मिलिंदच्या बँकेने दिलेल्या डिटेल्स नुसार, ठाण्यातील एका सहकारी बँकेच्या शाखेत पैसे ट्रान्सफर झाले होते. बँकेने मिलिंदच्या अकाउंट वरील ट्रांजेक्शन्स चा महिन्याभराचा लॉग पाठवला होता. त्यातून नेमके ट्रांजेक्शन शोधण्याचे काम तिला करावे लागणार होते.

आधी ठाण्यातील त्या सहकारी बँकेतील अकाउंट कोणाच्या नावाने आहे ? हे पाहणे जरूरी होतं. इन्स्पेक्टर काळे यांनी ठाण्यातील त्या बँकेला फोन लावून त्या अकाउंटचे डिटेल्स लगेचच मेल करायची विनंती केली. अर्ध्या तासात बँकेने मेलवर सर्व माहिती कळवली. धारावी मध्ये राहणाऱ्या कोणा प्रकाश पाटील या इसमाच्या नावे ते अकाउंट होते. मात्र त्यातील सर्व पैसे एटीएम द्वारे काढून घेण्यात आले होते.

बँकेने पाठवलेल्या आधार कार्डच्या कॉपी वरील प्रकाश पाटील च्या पत्त्यावर दामिनी दोन पोलिसांसह पोहोचली. "प्रकाश पाटील आहेत का?"
छोट्या एक खोलीच्या घराची कडी वाजवत दामिनी ने विचारले.
"मीच आहे प्रकाश पाटील, बोला..काय काम आहे?..."
एक मध्यम वयीन इसम बाहेर येऊन म्हणाला.
गणवेशातील पोलिसांना पाहून तो घाबरला.
"तुमचे ठाणे सहकारी बँकेत खाते आहे का ?"
"नाही मॅडम... इतक्या दूर काहून मी अकाउंट खोलीन ? माझे इथे जवळच्याच महाराष्ट्र बँकेत आहे."
"पण त्या अकाउंट वर नाव, आधार कार्ड तुमचेच आहे. मोठा फ्रॉड करून चोरांनी त्यात पैसे ट्रान्सफर केले आहेत." "नाही हो मॅडम... मी असं काय करणार नाही...माझा काही हात नाही यात ? मी...मी... माझे आधार कार्ड एका मुलाला पाचशे रुपये आठवड्याने भाड्याने दिले होते."
"आधार कार्ड आणि भाड्याने ?? तुम्हाला माहित नाही का हे असं करणं चुकीचं आहे ? त्याचा कोणीही गैरवापर करू शकतं ..."
"माहित आहे हो मॅडम... माझी रिक्षा आहे... शाळेतल्या मुलांना पोहोचवणं आणण्याचं मी काम करतो. कोरोनामुळे शाळा बंद झाल्या. उपासमार व्हाया लागली. म्हणून.... आमच्या वस्तीतल्या बऱ्याच लोकांनी असा आधार कार्ड भाड्याने द्यायचा धंदा सुरू केलाय..."
"ज्याने तुमचे आधार कार्ड नेले, त्याचे वर्णन करू शकाल का?"
"हो मॅडम... त्याने तीनच दिवसांत ते परत आणून दिले आणि पाचशे ऐवजी सातशे रुपये दिले. एकदम पॉश कपड्यातला देखणा बावीस-तेवीस वर्षांचा तरुण होता. हिंदी बोलत होता."
"बरं...उद्या वरळी पोलिस स्टेशनला येऊन त्या मुलाचं नीट वर्णन करायचं. तिथले ड्रॉइंग आर्टिस्ट त्याचं चित्र काढतील, म्हणजे पोलीस त्याच्यापर्यंत पोहोचू शकतील."
"पोलीस स्टेशन मध्ये ???"
प्रकाश पाटील ने बिचकत विचारलं.
हो...यावेच लागेल... नाहीतर आताच धरून तुला आत टाकतो."
दामिनी बरोबर आलेल्या दोन हवालदारां पैकी एकाने त्याला पोलिसी खाक्या दाखवला.
"नको साहेब... मी येतो उद्या नक्की.."

दामिनी तिच्या ऑफिसमध्ये बसली होती. लॅपटॉप वर मिलिंदच्या बँकेने पाठवलेले त्याच्या अकाउंटचे लॉग डिटेल्स ती चेक करत होती. गुन्हा घडला त्यावेळेस अकाउंट वरून पैसे काढून घेण्याचे जे ट्रांजेक्शन झालं, ते कुठल्या आयपी ॲड्रेस वरून झालं ? हे तिने त्या डिटेल्स मधून शोधून काढलं. लॅपटॉप वर सायबर इन्वेस्टिगेशन टूल वापरून तिने त्या आयपी एड्रेसचं मॅपिंग केलं.

आश्चर्याची गोष्ट म्हणजे एअरटेल एक्स्ट्रीम फायबर कंपनी च्या वाय-फाय नेटवर्कचा नेपियन सी रोडवरच्या एका उच्चभ्रू सोसायटीतील तो आयपी ॲड्रेस होता. एअरटेल एक्सट्रीम च्या सर्विस सेंटर वरून तो आयपी ऍड्रेस नेमका कोणाचा आहे ? याची तिने चौकशी केली. श्रीकांत देशमुख नावाच्या एका गृहस्थांच्या नावे ते वायफाय कनेक्शन होते.

दुसऱ्या दिवशी पोलिसांसोबत दामिनी नेपियन सी रोड वरच्या त्या सोसायटीतील श्रीकांत देशमुख यांच्या घरी पोहोचली. त्यांच्या घराला कुलूप होते. शेजारी चौकशी केल्यावर कळले, देशमुख पती-पत्नी महिन्याभरापासून अमेरिकेतील त्यांच्या मुली कडे गेले आहेत.

पुन्हा एकदा दामिनी ने एअरटेल सर्व्हिस स्टेशन कडून आयपी ॲड्रेस नक्की श्रीकांत देशमुखांचा आहे, याची खात्री करून घेतली. आजूबाजूच्या फ्लॅटमध्ये राहणाऱ्या लोकांची चौकशी केली, तेव्हा तिला कळलं की देशमुखांच्या वरच्या मजल्यावरील फ्लॅट बऱ्याच दिवसांपासून रिकामा होता. पण गेल्या पंधरा वीस दिवसांपासून अधून मधून तिथं काही तरुण मुलंमुली येत जात होते. त्या फ्लॅटच्या मालकाशी संपर्क साधल्यावर समजले, त्यांनी परिचयातल्या कुटुंबातील मुलाला फ्लॅट वापरण्यासाठी दिला आहे. रहिवाशांच्या सांगण्यानुसार तिथं कोणाचं वास्तव्य नव्हतं. पण आठवड्यातून एखाद दोन वेळेस तिथं एक तरुणी आणि दोन तरुण मुलं येत होते. प्रकाश पाटील ने वर्णन केल्यावरून काढलेले चित्र त्या सोसायटीतील एका मुलीने तिथे येणाऱ्या मुलांपैकी एकाचे आहे असे सांगितले. पोलिसांनी दोन-तीन दिवस पाळत ठेवून त्या फ्लॅटमध्ये आलेल्या एका मुलाला पकडले आणि धमकावून त्याच्यासोबत आत जाऊन झडती घेतली. तिथं बरेच मोबाईल सिम कार्ड,आधार कार्ड आणि २-३ लॅपटॉप आढळून आले.

त्या मुलाला, हमीद शेखला दमात घेतल्यावर त्याने त्याच्या दोन्हीं साथीदारांची नावं सांगितली. मीनल शर्मा आणि राहुल दास... हे तिघे उत्तर प्रदेशातील वेगवेगळ्या ठिकाणांहून मुंबईला शिकण्यासाठी आले होते. इंजीनियरिंग ची डिग्री घेतल्यावर एका छोट्या कंपनीमध्ये तिघांना नोकरी मिळाली. लॉकडाऊन मुळे ती कंपनी बंद पडली. तेव्हा या तिघांनी युट्युब वरून हॅकिंग शिकून लोकांच्या पैशांवर ऑनलाइन डल्ला मारणे सुरु केले. एक दोनदा हात मारल्यावर देखील पकडले न गेल्यामुळे त्यांची हिंमत वाढली. या वेळेस त्यांनी मोठा हात मारण्याचे ठरवले. याकामी त्यांना मीनल च्या मित्राने जो नुकताच मिलिंदचे अकाउंट असलेल्या बँकेत कॅशियर म्हणून लागला होता, त्याने मदत केली.

श्रीकांत देशमुख वायफाय राऊटर बंद न करताच, अमेरिकेत निघून गेले, हे या तिघांच्या पथ्यावर पडलं. त्यांचे वायफाय कनेक्शन हॅक करून, त्याद्वारे त्यांनी बरेच सायबर गुन्हे केले. ज्या फ्लॅटमध्ये त्यांच्या काळ्या कारवाया चालत, तो फ्लॅट राहुल दास च्या वडिलांच्या मित्राचा होता.

मीनल शर्मा चा बँकेत कॅशियर असलेला मित्र कोणाच्या अकाउंट मध्ये पैसे आले आहेत, याची माहिती तिला पुरवत असे. मीनल मालाड येथील सहकार नगर मध्ये राहत होती. मिलिंदला तिने तेथूनच फोन केला होता आणि त्याच बरोबर तिच्या लॅपटॉप वरून एसएमएस गेटवे द्वारे मेसेज पाठवला होता. एसएमएस मधील स्पायवेअर लिंक मिलिंदने क्लिक केली, त्याबरोबर स्पायवेअर त्याच्या मोबाईल मध्ये शिरला. स्पायवेअर चा सोर्स नेपियन सी रोड वरील फ्लॅट मध्ये बसलेल्या हमीदच्या लॅपटॉपवरून होता. हमीद ने लगेच मिलिंदचे अकाउंट डिटेल्स चोरून त्याच्या अकाउंटवरून प्रकाश पाटील याच्या नावाने ओपन केलेल्या फेक अकाउंट मध्ये पैसे ट्रान्सफर केले.

सायबर गुन्हा आणि त्यामुळे झालेली फसवणूक सिद्ध झाल्यामुळे मिलिंद ला त्याचे पूर्ण पैसे परत मिळाले. हमीद शेख, मीनल शर्मा आणि राहुल दास तसंच मीनल चा बँकेत कॅशियर असलेला मित्र या चौघांवर भारतीय माहिती तंत्रज्ञान कायदा 2000 च्या वेगवेगळ्या कलमांखाली खटला भरला जाऊन प्रत्येकी पन्नास हजार दंडाची आणि पाच वर्षांच्या कैदेची शिक्षा झाली.

पुन्हा एकदा दामिनी ने सायबर गुन्ह्याच्या मुळाशी जाऊन पोलिसांच्या मदतीने केसची उकल केली होती.

समाप्त

(प्रिय वाचक,
या सत्य घटनेवर आधारित कथेवरून काही गोष्टी कायम लक्षात ठेवाव्या.
१)अनोळखी फोन ला प्रतिसाद न देता केवायसी वगैरे खात्रीशीर मार्ग अवलंबून करावे.
२)खात्री नसलेली कुठलीही लिंक क्लिक करणे टाळावे.
३)आपले आधार कार्ड किंवा पॅन कार्ड कोणाच्याही हाती पडू देऊ नाही. हरवल्यास किंवा गहाळ झाल्यास त्याची ताबडतोब कंप्लेंट जवळच्या पोलीस स्टेशन मध्ये द्यावी.
४)बाहेरगावी जाताना किंवा रात्रीच्या वेळेस वाय-फाय राऊटर जरूर बंद करावे.
५)सर्वात महत्वाचे म्हणजे सायबर गुन्ह्याला बळी पडून, आर्थिक नुकसान झाल्यास तीन दिवसांच्या आत एफ आय आर रजिस्टर करून बँकेला त्याची कॉपी द्यावी. असे केल्यास पैसे परत मिळण्याची शक्यता असते.
सावध आणि सुरक्षित राहून टेक्नॉलॉजीचा वापर करा.

आपल्या बहुमूल्य अभिप्रायांच्या प्रतीक्षेत...)

©कविता दातार

Group content visibility: 
Use group defaults

आधार कार्ड/ पॅन कार्ड अगदी हलगर्जी पद्धतीने वापतात भारतात, किंवा वापरायला लावतात.
आधार आणि पॅन कार्ड कसलेही प्रूफ असू शकत नाही. फक्त बँकेत अकाउंट उघडणे, कर्ज/ आर्थिक पात्रता पडताळणी साठी.... तेव्हाही फक्त क्रमांक (कार्डची कॉपी नकोच) पुरेसा असावा.
मी भारतातून कॅनडात गेल्यावर्षी दिवाळीचा फराळ मागवला तर त्या फराळा बरोबर पाठवणार्‍या दुकानाचे/ व्यक्तीचे आधार कार्ड आणि पॅन कार्डची कॉपी मला इकडे आली. ती मी नष्ट केली, पण त्याची काही एक गरज असू नये.
भारतात वय/ आयडेंटीटी याचा पुरावा हवा असेल तर काही दुसरं (वाहन चालक परवाना) असावं. ज्यांच्याकडे ते नाही त्यांना आणखी दुसरा कागद तयार करावा, पण आधार कार्ड कशाचंही प्रूफ म्हणून चालू नये. ते जोवर बंद होत नाही, तोवर कितीही सुरक्षा व्यर्थ आहे.

छान नेटकी कथा झाली आहे. आवडली. आधीच्या भागात पुढच्या भागाची आणि या भागात आधीच्या भागाची लिंक द्याल का? अशाने संपूर्ण कथा वाचणे सोपे जाते. धन्यवाद!
अमितव, +१ अमेरिकेत SSN जसा जपून ठेवायला सांगतात तसे आधार क्रमांकाचे करायला हवे होते. पण आपल्याकडे तसे काहीच झाले नाही. आता बहुतेक वेळ निघून गेली आहे.

>>आता बहुतेक वेळ निघून गेली आहे. >> नाही. उशीर नक्की झालेला आहे. डॅमेजही झालेला आहे, आणि भविष्यात होऊही शकेल. पण हे करायला वेळ कधीही निघुन जाणार नाही. आहे हे नुकसान मान्य करुन यापुढे होणार नाही याची काळजी घेतली तरी चुकीतुन काही शिकलो होईल.
वेळ निघुन गेली करुन हातावर हात धरुन बसलं, तर रोज नव्या जन्मणार्‍या बालकांचाही वयात येण्यापूर्वीच डेटा चोरीला गेलेला असेल.

आधार, पॅनचे फोटो लोकांच्या फोन मध्ये असतात. कोणीही मागितला की लगेच व्हॉट्सऍप वरून पाठवतात.

अजून एक म्हणजे डिजिटल सिग्नेचर. DSC बनवले की त्याला एक रिंग आणि त्यात छोटी नेमप्लेट अडकवून तयार नाव आणि पासवर्ड लिहून येते. लोक ते तसेच ठेवतात, पासवर्ड बदलत नाहीत. हे कंपनींंसीचे डायरेक्टर्स, CEO लोकांचे.
मग वार्षिक फाईलिंग करायला एक माणूस पाठवतो. त्याच्याकडे सगळ्यांचे DSC देतात, तो घेऊन जातो, काही दिवसांनी आणून देतो. DSC गहाळ झाली की पासवर्ड सकट कुणालाही सापडू शकते.

छान कथा आणि खूप महत्वाचा मेसेज...

मी भारतातून कॅनडात गेल्यावर्षी दिवाळीचा फराळ मागवला तर त्या फराळा बरोबर पाठवणार्‍या दुकानाचे/ व्यक्तीचे आधार कार्ड आणि पॅन कार्डची कॉपी मला इकडे आली.
>>>भाड्याने द्यायची संधी सोडलीत... Wink

छान कथा आणि खूप महत्वाचा मेसेज...>>> +१११११११११११११११११११११

सध्याच्या काळात सर्वांनीच लक्षात ठेवायची सूत्रे :
१. अनोळखी क्रमांकावरून आलेला संदेश किंवा कॉलमध्ये सांगितलेले app download करू नये किंवा लिंक वर क्लिक करू नये. तुमचे खाते / सिम २४ तासात बंद होईल आदी भीती घातली तरी त्याला भीक घालू नये. हॅॅकर्स हातघाईवर येतात. Genuine बँकेचा मेसेज असेल तर ते ७ / १५ दिवसांत home branch ला भेट द्या असे सांगतात. त्यामुळे फोनवरील व्यक्ती काहीही सांगत असेल तर तिला सरळ फाट्यावर मारावे.

२. OTP कोणाशीही शेअर करू नये. इतकेच काय तर sms ला lock screen notification मधून वगळावे. म्हणजे sms आला तरीही फोन unlock केल्याशिवाय lock screen वर वगैरे दिसला नाही पाहिजे. तुमचा फोन ऑफिसच्या डेस्कवर unattended राहिला तर त्यावेळेत कोणीही sms मधील OTP वाचून घोटाळे करू नये म्हणून हे आवश्यक आहे.

३. Screen चा sleep time कमीतकमी ठेवावा (१०-१५ सेकंद) त्यामुळे आपण कधी फोन lock करायला विसरलो तरी तो लवकरात लवकर lock झाला पाहिजे. काहीजण वारंवार फोन unlock करावा लागतो म्हणून ५ - ५ मिनिटांचा sleep time ठेवतात ज्यामुळे आपण फोन न वापरता बाजूला ठेवला तरी ५ मिनिटे फोन lock न होता तसाच राहतो.

४. आपल्या सिम कार्डला देखील पिन असतो, जो प्रत्येक वेळी फोन सुरु केल्यावर विचारला जाईल अशी setting करता येते, ती करून ठेवावी. (Xiaomi मध्ये sim lock नावाने आहे) त्यामुळे आपल्या फोनमधून कोणी सिम काढून दुसऱ्या फोनमध्ये टाकले तरी तिथे ते सिम थेट सुरु होत नाही. सिम कार्डला दिलेला पिन टाकल्यावरच ते सिम दुसऱ्या एखाद्या फोनमध्ये चालू शकते. नाहीतर आपण फोनला ढीगभर security सेट करतो आणि सिम कार्डकडे दुर्लक्ष करतो. दुर्दैवाने फोन हरवलाच तर ज्याला मिळेल तो सिम काढून स्वतःच्या फोनमध्ये टाकून misuse करू शकतो.

५. Public / Open WiFi वरुन किंवा सायबर कॅॅफे वा तत्सम shared computer वरुन आर्थिक व्यवहार करू नयेत. अगदी लॉगीन देखील करू नये. अशा shared computer मध्ये keylogger नावाचे software install असू शकते, जे आपण काय type करत आहोत ते रेकॉर्ड करते. कित्येक keyloggers मध्ये screen recording देखील होते, ज्यामुळे आपण virtual keyboard जरी वापरला तरी नेमके कोणत्या अक्षरांवर क्लिक करत आहोत हे रेकॉर्ड होऊ शकते.

६. बँक वा तत्सम आर्थिक व्यवहारांची वेबसाईट उघडताना स्वतः नाव type करावे. उदा. icici.com / sbiyono.sbi इ. ई-मेल मध्ये वगैरे आलेल्या लिंकवर क्लिक करू नये. वेबसाईट उघडल्यावर वेबसाईटच्या नावाच्या डाव्या बाजूस कुलुपाचे चिन्ह (किंवा https असे लिहिलेले) दिसते आहे ना याची खात्री करूनच मग username / password टाकावे. (असे कुलुपाचे चिन्ह मायबोली उघडल्यावर maayboli.com च्या बाजूसही पाहता येईल!) कुलुपाचे चिन्ह नसल्यास वा https ऐवजी http दिसल्यास username / password टाकू नये.

७. एकच password सर्वच वेबसाईटवर न वापरता प्रत्येक वेबसाईटला वेगळा password ठेवावा व हे password लक्षात राहत नसल्यास मोक्याच्या ठिकाणी (computer जवळच) लिहून न ठेवता आपल्या locker मध्ये लिहून ठेवावे. ते ही सांकेतिक भाषेत लिहिल्यास उत्तम! password मध्ये आपले / आपल्या घरातील व्यक्तीचे नाव, आडनाव, पाळीव प्राण्याचे नाव, गाडीचा / मोबाईल क्रमांक अशी सहज दुसऱ्याला अंदाज व्यक्त करता येईल अशा पद्धतीने password ठेवू नये. password मध्ये uppercase letters, lowercase letters, numbers, symbol यांची सरमिसळ करावी.
passwordmeter.com या संकेतस्थळावर आपण ठेवू इच्छित असलेला password किती strong आहे हे पाहू शकतो. अर्थात तेथेही पूर्ण password टाकू नये, कारण passwordmeter.com कडेही आपला password save होण्याची शक्यता नाकारता येत नाही!
passwordmeter.com अनुसार:
maayboli हा password फक्त ८% सुरक्षित आहे तर Ma@4Bol! हा password ८२% सुरक्षित आहे!

८. Debit / Credit card चा पिन कार्डवर वा कार्डच्या कागदी पाऊचवर वगैरे लिहून ठेवू नये. तो लक्षातच ठेवावा. आपले कार्ड घरातील व्यक्तीला वापरायला दिले असेल तर त्यांना पिन फोनवरून सांगू नये. sms / WhatsApp करावा.

९. Debit / Credit card च्या मागील बाजूस असणारा ३ अंकी CVV क्रमांक देखील share करू नये. शक्य असल्यास तो लक्षात ठेवून कार्ड वरून खोडून टाकावा. किंवा कार्डवर सांकेतिक भाषेत / चिन्हात (जे फक्त आपल्याला माहिती असेल) लिहून मूळ CVV खोडून टाकावा.

१०. आजकाल बहुतांश Debit / Credit card मध्ये Visa Paywave ही सुविधा मिळते ज्याने कार्ड स्वाईप मशीनवर फक्त tap करून रु. ५०००/- पर्यंतचे पेमेंट पिन नंबरशिवाय करता येते. (आधी ही मर्यादा रु. २०००/- होती). आपली बँक, RBI किंवा Visa company यांच्या दृष्टीने रु. ५०००/- ही अगदी किरकोळ रक्कम असली तरी आपल्यासाठी ती खूप मोठी आहे. त्यामुळे शक्यतो हे Visa Paywave feature बंद करावे, जेणेकरून अगदी १ रुपयाचे जरी पेमेंट करायचे असेल तरीही ते आपण पिन टाकल्याशिवाय होता कामा नये. YouTube वर दाखवतात तसे अगदी pant च्या खिशाजवळ स्वाईप मशीन आणून वगैरे जरी पेमेंट शक्य नसले तरी चुकून कार्ड हरवलेच तर ते आपण customer care ला फोन करून block करेपर्यंत त्यावरून पेमेंट होऊन आपल्याला फटका बसू शकतो.
जर बँक हे feature बंद करण्यास तयार नसेल किंवा हे feature बंद करण्याचा पर्याय उपलब्ध नसेल तर एखाद्या powerful torch चा वापर करून कार्ड मधील RFID चीप शोधून काढून तिथे punch machine ने होल पाडून ती चीप काढून टाकावी किंवा त्या चीप ला असणारी coil मध्येच कट करावी, जेणेकरून ती चीप काम करणार नाही. त्यामुळे Visa Paywave (Tap & Go) feature बंद होते. खाली दिलेला माझ्या कार्डचा फोटो पहा:
Credit Card.png
(वरील छायाचित्रात 1008 या क्रमांकाच्या बाजूला जे WiFi सारखे चिन्ह दिसते आहे तेच Visa Paywave चे चिन्ह. ते ज्या कार्डवर असेल तर याचा अर्थ त्या कार्डने tap & go पद्धतीने पिन नंबरशिवाय रु. ५०००/- पर्यंतचे पेमेंट होऊ शकते. तसे होऊ नये म्हणून मी माझ्या कार्ड मधील RDIF chip काढून टाकली आहे. लाल रंगाचे वर्तुळ पहा. ती चीप काढल्याने कार्ड बाद होत नाही. स्वाईप मशीनमध्ये insert करून, पिन टाकून व्यवस्थित पेमेंट होते, केवळ tap & go बंद होते.

छान झाली कथा ! जवळच्या नातेवाईक (ज्येना) फसले गेले लाखाला चोट बसली होती. जितक्य्ा सोयी झाल्या तितके असुरक्षित झालो आहोत. पूर्वी पाकीटमारी होत होती आता ही नेटमारी
विमु , सुत्रे फार उपयोगी लक्षात ठेवीन.

विमु छान सूत्रावली.
माझे ICICI चे क्रेडिट कार्ड आहे. त्यात बँकेच्या वेबसाईट वरून WiFi Payware बंद चालू करता येते, चालू ठेवले तर त्यात transaction limit सेट करता येते.

छान कथा!
विमु छान सूत्रावली. >>+१

<< ४)बाहेरगावी जाताना किंवा रात्रीच्या वेळेस वाय-फाय राऊटर जरूर बंद करावे. >>
त्याने काय होणार? उलट तुमचे वाय-फाय नेटवर्क स्ट्रॉंग पासवर्डने सुरक्षित करा म्हणजे कुणाही अनोळखी व्यक्तीला ते वापरता येणार नाही आणि मग बिनधास्त वाय-फाय राऊटर २४ तास चालू ठेवा.

<< << ४)बाहेरगावी जाताना किंवा रात्रीच्या वेळेस वाय-फाय राऊटर जरूर बंद करावे. >>
त्याने काय होणार? उलट तुमचे वाय-फाय नेटवर्क स्ट्रॉंग पासवर्डने सुरक्षित करा म्हणजे कुणाही अनोळखी व्यक्तीला ते वापरता येणार नाही आणि मग बिनधास्त वाय-फाय राऊटर २४ तास चालू ठेवा. >>
------- पासवर्ड मजबूत हवाच, आणि जास्त काळ वापर नसेल होणार तर वाय-फाय बंद केल्याने काही नुकसान नाही.

पासवर्ड कितीही मजबूत असला तरी तो ब्रेक होण्याची थोडीफार शक्यता आहेच. पण वायफाय बंद केल्या मुळे गैरवापर होण्याची शक्यता जवळपास नाही. सुरक्षेच्या दोन लेयर्स मिळतात.

WiFi सर्विस प्रोव्हायडरचे राऊटर (माझ्याकडे एअरटेल आहे) चांगले नसतात असा अनुभव आहे. डिव्हाईस ते राऊटरच पॅकेट्स ड्रॉप होतात. दोन राऊटर बदलले तरी तेच.
आणि सुरक्षेच्या दृष्टीनेही दुसरा चांगला राऊटर घेणे मला योग्य वाटले, म्हणुन एअरटेल राऊटरवर वायफाय डिसेबल करून टाकले आणि D-Link चा दुसरा राऊटर एअरटेल राऊटर पुढे लावला WiFi साठी. (दुसरा राऊटर एअरटेल राऊटरचा वायर्ड क्लायंट).
सर्व्हिस प्रोव्हायडर करुन जे राऊटर दिले जातात ते हॅक होण्याची शक्यता जास्त असे मला वाटते. (त्यातील बग्ज सर्वांना माहीत असणे वगैरे). हे चुकीचेही असू शकते.

Thanks a lot all of you, for your valuable comments.

विक्षिप्त_मुलगा -Thanks for informing and alerting the readers. For contactless RFID cards, no tapping is needed at all though the embedded chips emits short range radio waves.

उपाशी बोका - Even the strongest password can be cracked by wireless adapter. In metro cities cyber criminals wander at night in search of a Wi-Fi signal. Its called War driving. So its better to switch of router, when not in use.

पासवर्ड क्रॅक करणं इतकं ही सोपे नाही. अर्थात कुणी २० वर्षांपूर्वीचे वेप वापरत असतील तर भाग वेगळा. त्याकाळी वॉर ड्रायव्हिंग इ. शब्द ऐकले होते. तुम्ही आज तो शब्द लिहिला तेव्हा अचानक २००५ चा काळ आणि टी जे मॅक्स मधली चोरी आठवली.
व्यवस्थित सिक्युरिटी प्रोटोकॉल वापरला की राउटर बंद करून अथवा चालू ठेवून बार फार रेज होईल असं वाटत नाही.

Submitted by Kavita Datar on 11 September, 2021 - 18:48

यात 'कविता दातार' यांनी वापरलेल्या 'Juice Jacking' या term विषयी (शेवटचा मुद्दा):

Juice Jacking हे एक प्रकारचे hacking tool आहे जे सार्वजनिक ठिकाणी (उदा. विमानतळ, मॉल्स इ.) उपलब्ध असलेल्या charging USB port मध्ये बसवलेले असू शकते. अशा सार्वजनिक ठिकाणी आपल्याला बरेचदा Free Mobile Charging Point दिसतो. त्यामध्ये (सर्वच ठिकाणी नाही) समोर आपल्याला केवळ USB port दिसत असला तरीही त्याच्यामागे आपल्या मोबाईलमधील data (विशेषतः फोटो, video) copy करून save करून ठेवणारे circuit असू शकते. आपण त्यात आपली USB cable वापरून फोन चार्जिंगला लावला की चार्जिंग सुरु होतेच पण background ला आपल्या फोनमधील data त्यांच्या circuit मधील memory मध्ये save होऊ शकतो!

आता यापासून कसे वाचायचे?
१. आपली power bank सोबत ठेवा, फोनची battery कमी झाली तर पावर बँकेचा वापर करा.
२. आपल्या फोनचा original adaptor सोबत ठेवा आणि चार्जीग स्टेशनवरील USB ऐवजी नेहमीचा ३ पिन socket असल्यास तो वापरा. यामुळे २ फायदे होतील. फोनचा original charger वापरल्याने battery चांगली राहील व शिवाय power socket मध्ये जोडलेल्या charger मधून कोणत्याही प्रकारचा data ट्रान्स्फर होऊ शकत नाही.
३. जर charging station (point) वरील USB port चा वापर करायचीच वेळ आली तर आधी power bank चार्ज करून घ्या आणि मग power bank charging point वरून काढून मग त्याने आपला मोबाईल चार्ज करा. असे केल्याने समजा त्या सार्वजनिक ठिकाणच्या USB port च्या मागे juice jacking करणारे circuit असलेच तरीही आपण त्याला power bank जोडल्याने कोणताही data ट्रान्स्फर होऊ शकत नाही, कारण power bank मध्ये कोणत्याही प्रकारचा data store नसतो!
४. जर आपल्याकडे power bank सुद्धा नसेल आणि public USB charging point चा वापर करण्याची वेळ आलीच तर फोन पूर्णपणे बंद (switch off) करून चार्ज करा किंवा charging only cable चा वापर करा. (अशा charging only cables बाजारात उपलब्ध आहेत.)
https://www.amazon.in/PortaPow-Specialised-3-3ft-20AWG-Charge/dp/B00RQ5AZ6Q
५. जर आपल्याला charging only cable नाही मिळाली तर आपणही ती बनवू शकता. कोणत्याही USB cable च्या आत ४ wires असतात. लाल, काळी, हिरवी आणि पांढरी. त्यापैकी लाल व काळ्या रंगाची वायर power carry करते तर हिरव्या व पांढऱ्या रंगाची वायर data carry करते. जर आपल्याकडे जुनी एखादी USB cable असेल तर त्यावरील आच्छादन (outer layer) काढल्यावर आत वरील ४ रंगाच्या वायर्स दिसतील. त्यापैकी लाल व काळ्या वायरला काहीही न करता केवळ हिरवी आणि पांढऱ्या रंगाची वायर कापून टाकावी. त्यामुळे data चा येण्या-जाण्याचा मार्गच बंद झाल्याने त्या cable मधून केवळ power deliver होईल!
६. जर वरील प्रकारे वायरची कापाकापी करून charging only cable बनवणे कठीण वाटत असेल किंवा जुनी केबल नसल्याने सध्याच्या केबलची अशी कापाकापी करायची नसेल तर 'USB data blocker' नावाचा एक adaptor मिळतो ज्यात असेच connection केलेले असते. म्हणजे फक्त +5 V (लाल) व GND (काळा) याच वायरचे connection केलेले असते व Data + व Data - वायरचे connection केलेले नसते. त्यामुळे केवळ power ट्रान्स्फर होते. (याच डिवाईसला 'USB Condom' असेही म्हणतात! नाव थोडे विचित्र आहे खरे!)
https://www.amazon.in/PortaPow-Charge-Block-Adaptor-SmartCharge/dp/B00QR...

छान कथा आवडली.
या निमित्त्ताने प्रतिसादातही छान माहिती आली
विक्षिप्त मुलगा यांचेही आभार

धन्यवाद सगळ्यान्चे Happy

विक्षिप्त_मुलगा >>> You provided perfect information about Juice Jacking. Especially point 5) is quite interesting. Happy

<< So its better to switch of router, when not in use. >>
स्ट्रॉंग पासवर्ड असेल तर तो क्रॅक करणे इतके सोपे नाही. त्यामध्ये वेळ वाया घालवण्यापेक्षा क्रॅकर दुसरे नेटवर्क शोधेल, जे अनसिक्युर्ड आहे. पण तरी मान्य करू की क्रॅकरला तुमचेच नेटवर्क भेदायचे आहे. अश्यावेळी तो तुम्ही झोपायची किंवा गावी जायची वाट बघत बसणार नाही, दिवसाढवळ्या पण पासवर्ड क्रॅक करायचा प्रयत्न करेल. त्यामुळे राऊटर बंद करा हे सांगणे म्हणजे fear mongering (अनावश्यक भीती दाखवणे) आहे.

<< आलेल्या फोन आणि एसएमएस चे लोकेशन फॉरेन्सिक टूल द्वारे तिने शोधून काढले. >>
चोराने जर VPN वापरून VOIP ने कॉल केला असता तर लोकेशन शोधता आले असते का? फोनवरून नेहमीप्रमाणे फोन केला असता तर कुठल्या फोन टॉवरवरून कॉल आला ते कळलं असतं, फोन कुठे बसून केला ते कसं कळणार?

'Juice Jacking' बद्दल माहिती उपयोगी आहे. पण सार्वजनिक ठिकाणी चार्जिंग करायची शक्यता किती आणि त्यातून पुन्हा तो चार्जर tainted असण्याची शक्यता किती? शिवाय जर USB debugging enabled असेल तर डेटा ट्रान्सफर करू का? असा प्रॉम्प्ट येणार नाही का?

राऊटर बंद करा हे सांगणे म्हणजे fear mongering (अनावश्यक भीती दाखवणे) आहे. >> फिअर मॉंगरिंग परवडलं. पण राऊटर बंद करणे हे फॉल्स सिक्युरिटी दाखवणं आहे. जे आणखीच घातक आहे.

Pages