कसरी हुन्छ डिजिटल वालेट र अनलाइन बैंक खाता ह्याक

डिजिटल वालेट र अनलाइन बैंकिङले पैसाको कारोबार गर्ने तरिका पूर्ण रूपमा बदलिएको छ। मोबाइल एप, QR कोड, र इन्टरनेटमार्फत कारोबार गर्दा समय र श्रम बचत हुन्छ। तर यही सहजता र गति साइबर अपराधीहरूको लागि अवसर पनि बन्ने गरेको छ । नेपालमै पछिल्ला वर्षहरूमा बैंक तथा वित्तीय संस्था, मोबाइल वालेट, र डिजिटल पेमेन्ट प्लेटफर्महरूमा ठगी र ह्याकिङका धेरै घटना सार्वजनिक भएका छन्।

फिसिङ आक्रमण डिजिटल वालेट र अनलाइन बैंकिंग ह्याकिङको सबैभन्दा सामान्य तरिका हो। यस विधिमा अपराधीहरूले नक्कली वेबसाइट वा मोबाइल एपहरू बनाउँछन् जुन देख्दा वास्तविक बैंक वा वालेट एप जस्तै लाग्छ। उनीहरूले भ्रामक SMS वा इमेल पठाएर मानिसहरूलाई तत्काल कार्य गर्न लालच दिन्छन् र सोशल इन्जिनियरिङको प्रयोग गरेर व्यक्तिगत जानकारी माग्छन्। यस्ता म्यासेजहरूमा प्रायः खाता बन्द हुने, पैसा हराउने वा तुरुन्त कार्य नगरे समस्या हुने भनेर तर्साउने प्रयास गरिन्छ।

म्यालवेयर र स्पाइवेयरको प्रयोग गरेर पनि डिजिटल खाताहरू ह्याक गरिन्छ। ह्याकरहरूले मोबाइल फोनमा रिमोट म्यानेजमेन्ट गर्ने एप इन्स्टल गराउन विभिन्न प्रलोभनमा, लालच, आश दिन्छन् वा कम्प्यूटरमा भाइरस तथा ट्रोजन भाइरस राखेर प्रयोगकर्ताका गतिविधिहरू निगरानी गर्छन्। कीलगर जस्ता सफ्टवेयरको प्रयोग गरेर उनीहरूले टाइप गरिएका सबै कुराहरू रेकर्ड गर्छन् जसमा पासवर्ड, पिन र अन्य संवेदनशील जानकारीहरू समावेश हुन्छन्। यी जानकारीहरू पाएपछि उनीहरूले सजिलैसँग खाता पहुँच गर्न सक्छन्।

सिम स्वाप आक्रमण एक अत्यन्तै खतरनाक तरिका हो जहाँ ह्याकर वा अपराधीले मोबाइल सेवा प्रदायकलाई झुक्याएर पीडितको फोन नम्बर आफ्नो नियन्त्रणमा रहेको नयाँ सिम कार्डमा सार्न लगाउँछन्, जसले गर्दा उनीहरूले सो नम्बरको पूर्ण एक्सेस पाउँछन्। एकपटक उनीहरूले फोन नम्बरमा नियन्त्रण पाउन साथ्, फोनमा रहेको कल र म्यासेजहरूमा (जसमा दुई-चरणीय प्रमाणीकरण कोडहरू पनि हुन्छन्) पहुँच गर्न सक्छन्। यसले बैंक खाता, इमेल, सामाजिक सञ्जाल वा अन्य जुन सुकै डिजिटल एकाउन्टहरु ह्याक गर्न सजिलो बनाउँछ। 

यो गम्भीर सुरक्षाजन्य जोखिम हो जसले पहिचान चोरी र आर्थिक नोक्सानी समेत गराउन सक्छ। यसरी उनीहरूले OTP (ओटिपी)  र अन्य भेरिफिकेसन कोडहरू प्राप्त गर्छन् र खाता पूर्ण नियन्त्रणमा लिन्छन्। यो विधि विशेष गरी खतरनाक छ किनभने पीडितलाई थाहा नहुँदा नै उसको खाता खाली हुन सक्छ। साथै बैंक वा वालेटमा खाता खोल्दा उल्लेख गरिएको ईमेलमा समेत कारोबार गर्दा ओटिपी कोड आउने भएकोले पनि ब्राउजर हाइज्याक गरी विभिन्न खाताहरु ह्याक गर्छन । 

सार्वजनिक Wi-Fi नेटवर्कको दुरुपयोग गरेर पनि डिजिटल खाताहरू ह्याक गरिन्छ। असुरक्षित Wi-Fi नेटवर्कमा जडान गरेर वित्तीय लेनदेन गर्दा अपराधीहरूले डेटा चोर्न सक्छन्। उनीहरूले Man-in-the-middle आक्रमण गरेर प्रयोगकर्ता र वेबसाइटबीचको संचारमा हस्तक्षेप गर्छन् वा नक्कली Wi-Fi हटस्पट सिर्जना गरेर मानिसहरूलाई जडान गर्न प्रेरणा दिन्छन्। यस्तो नेटवर्कमा जडान भएपछि सबै डिजिटल गतिविधिहरू निगरानीमा आउँछन्।

https://www.youtube.com/watch?v=CV39QzFpJx4

कमजोर पासवर्ड र सामाजिक इन्जिनियरिङ पनि ह्याकिङका मुख्य कारण हुन्। धेरै मानिसहरूले सजिलो अनुमान लगाउन मिल्ने पासवर्ड राख्छन् जस्तै आफ्नो नाम, जन्म मिति वा १२३४५६ जस्ता सामान्य संख्याहरू। सामाजिक सञ्जालमा व्यक्तिगत जानकारी धेरै खुलेर सेयर गर्ने बानीले अपराधीहरूलाई पासवर्ड अनुमान लगाउन मद्दत गर्छ। परिवार र साथीहरूको माध्यमबाट पनि कहिलेकाहीँ जानकारी बाहिरिने भएकाले खाता दुरुपयोग हुन सक्छ।

आजको डिजिटल युगमा डिजिटल वालेट र अनलाइन बैंकिंगको प्रयोग निकै बढेको छ। नेपालमा पनि eSewa, Khalti, Fonepay जस्ता डिजिटल वालेटहरू र विभिन्न बैंकहरूको मोबाइल बैंकिंग सेवाको व्यापक प्रयोग भएको छ। यी सुविधाजनक सेवाहरूले मानिसहरूको दैनिक जीवनलाई सहज बनाएको छ तर साथैसाथै साइबर अपराधको जोखिम पनि बढाएको छ। डिजिटल लेनदेनको बढ्दो प्रयोगसँगै अपराधीहरूले पनि नयाँ-नयाँ तरिकाहरू अपनाएर मानिसहरूको आर्थिक सम्पत्तिमा आँखा लगाएका छन्।

फिसिङ (Phishing)

यो सबैभन्दा पुरानो र अझैसम्म प्रभावकारी ह्याकिङ विधि हो। ह्याकरहरूले बैंक वा वालेट कम्पनीको नाममा नक्कली इमेल, SMS वा सामाजिक सञ्जाल म्यासेज पठाउँछन्। म्यासेजमा “तपाईंको खाता ब्लक हुन लागेको छ” वा “पुरस्कार जित्न लिंकमा क्लिक गर्नुहोस्” जस्ता कुरा हुन्छ। 

पीडितले लिंकमा गएर युजरनेम, पासवर्ड, वा OTP (ओटिपी)  हाल्यो भने त्यो प्रत्यक्ष रूपमा ह्याकरको हातमा पुग्छ। नेपालमा eSewa र Khalti प्रयोगकर्तालाई नक्कली वेबसाइटमार्फत OTP (ओटिपी)  र लगइन डिटेल मागिएको घटना पटक–पटक रिपोर्ट भएको छ।

मालवेयर र कीलगर्स (Malware & Keyloggers)

असुरक्षित फाइल वा एप डाउनलोड गर्दा, इमेल अट्याचमेन्ट खोल्दा, वा ह्याक गरिएको वेबसाइटमा प्रवेश गर्दा ह्याकरले तपाईंको मोबाइल वा कम्प्युटरमा मालवेयर इन्स्टल गर्न सक्छन्। यसले तपाईंको टाइप गरिएको सबै कुरा रेकर्ड गर्छ, स्क्रिनसट लिन्छ, र बैंकिङ सेसन कब्जा गर्न सक्छ।

सिम स्वाप फ्रड (SIM Swap Fraud)

सिम स्वाप फ्रड (SIM Swap Fraud) एक प्रकारको ठगी हो जसमा ह्याकरले तपाईंको मोबाइल नम्बरको डुप्लिकेट सिम कार्ड निकाल्न सफल हुन्छन्। यो प्रक्रिया प्रायः सामाजिक ईन्जिनियरिङ्ग मार्फत मोबाइल सेवा प्रदायकलाई ठगेर गरिन्छ, जहाँ ह्याकरले आफ्नो सिम कार्डमा तपाईंको फोन नम्बर ट्रान्सफर गराउँछन्। यसपछि, जब तपाईं बैंकिङ एप वा वालेटमा लगइन गर्न प्रयास गर्नुहुन्छ, तपाईंलाई आउने OTP (ओटिपी) सिधै ह्याकरको मोबाइलमा पुग्छ।

ह्याकरहरूले यस OTP को प्रयोग गरेर तपाईंको बैंक खाता वा वालेटको पासवर्ड रिसेट गर्न सक्छन् र सजिलै रकम ट्रान्सफर गर्न सक्षम हुन्छन्। यसरी, तपाईंले पाएको सुरक्षा उपायहरू, जस्तै दुई-चरणीय प्रमाणीकरण (2FA), पनि बेकार बन्न सक्छ। सिम स्वाप फ्रडले तपाईंको वित्तीय सुरक्षा र व्यक्तिगत जानकारीलाई गम्भीर जोखिममा पार्छ।

क्रेडेन्सियल स्टफिङ (Credential Stuffing)

क्रेडेन्सियल स्टफिङ (Credential Stuffing) एउटा प्रकारको साइबर हमला हो जसमा ह्याकरहरूले पहिल्यै लीक भएका वा चोरी भएका प्रयोगकर्ता नाम र पासवर्डहरूको ठूलो डेटाबेस प्रयोग गर्छन्। यदि तपाईंले एउटै पासवर्ड धेरै वेबसाइट र सेवा प्रणालीहरूमा प्रयोग गर्नुभएको छ भने, ह्याकरहरूले पुरानो डाटाब्रीचमा लीक भएको त्यो पासवर्ड प्रयोग गरेर सजिलै तपाईंको बैंक वा डिजिटल वालेटमा अनधिकृत पहुँच प्राप्त गर्न सक्छन्।

यस आक्रमणमा, ह्याकरहरूले हजारौं वा लाखौं पुराना युजरनेम र पासवर्ड जोडी विभिन्न वेबसाइट र सेवा प्रणालीहरूमा स्वतः प्रयास गरेर सही संयोजन फेला पार्छन्। एक पटक सही क्रेडेन्सियल पत्ता लागेपछि, उनीहरूले तपाईंको खाताबाट पैसाको चोरी, व्यक्तिगत विवरण चोर्न, वा अन्य नक्कली कारोबार गर्ने जोखिम हुन्छ।

त्यसैले, सुरक्षा कायम राख्नका लागि प्रत्येक वेबसाइट र सेवा प्रणालीमा फरक र बलियो पासवर्ड प्रयोग गर्नु अत्यावश्यक छ। साथै, दुई-चरणीय प्रमाणीकरण (2FA) सक्षम गरेर क्रेडेन्सियल स्टफिङबाट बच्न सकिन्छ। यस्ता उपायहरूले तपाईंको डिजिटल पहिचानलाई सुरक्षित राख्न मद्दत गर्छन् र अनधिकृत पहुँचको जोखिम घटाउँछन्। नियमित रूपमा आफ्नो खाताको गतिविधि निगरानी गर्न र कुनै पनि असामान्य काम देखिएमा तुरुन्तै सावधानी अपनाउनु पनि महत्त्वपूर्ण हुन्छ।

म्यान-इन-द-मिडल (MITM) आक्रमण

Man in the Middle (MitM) आक्रमण एक प्रकारको साइबर आक्रमण हो जहाँ आक्रमणकारीले दुई पक्षबीच भइरहेको सञ्चारलाई चोरी गरेर गोप्य रूपमा अवरोध गर्छ वा परिवर्तन गर्छ। यस्तो आक्रमण प्रायः पब्लिक Wi-Fi प्रयोग गर्दा हुने गर्छ, जहाँ ह्याकरले तपाईंको डाटा इन्टरसेप्ट गर्न सक्छन्। यसरी OTP, लगइन विवरण, वा सेसन कुकीज जस्ता संवेदनशील जानकारीहरू चोरी गर्न सकिन्छ। आक्रमणकारी प्रयोगकर्ता र वेबसाइट (वा एप) बीचमा बसेर सूचना चोर्न वा परिवर्तन गर्न सक्छ। यस प्रकारको जोखिमबाट बच्नका लागि HTTPS, VPN, र सुरक्षित नेटवर्कको प्रयोग गर्नु आवश्यक छ।

नक्कली मोबाइल एप (Fake Mobile Apps)

अफिसियल स्टोरबाहेकका स्रोतबाट डाउनलोड गरिएका बैंकिङ वा वालेट एपहरू अत्यन्तै खतरनाक हुन सक्छन्, किनभने ती एपहरू ह्याकर वा साइबर अपराधीहरूले जानाजानी तयार पारेका हुन्छन्। यस्ता एपहरू सतही रूपमा हेर्दा पूर्ण रूपमा वास्तविक जस्तै देखिन्छन् — जस्तै लोगो, डिजाइन, र इन्टरफेस पनि आधिकारिक एपजस्तै हुन्छ।

तर जब प्रयोगकर्ताले ती नक्कली एपहरूमा आफ्नो युजरनेम, पासवर्ड, ओटीपी (OTP), वा अन्य संवेदनशील जानकारीहरू हाल्छन्, ती सबै विवरणहरू सिधै ह्याकरको नियन्त्रणमा रहेको सर्वरमा पठाइन्छ। यसले प्रयोगकर्ताको बैंक खाता, वालेट, वा अन्य वित्तीय सेवाहरूमा पहुँच दिन्छ र आर्थिक क्षति हुन सक्छ।

त्यसैले, कुनै पनि एप डाउनलोड गर्दा त्यसको स्रोत विश्वसनीय छ कि छैन भन्ने कुरा एकदमै सावधानीपूर्वक जाँच गर्नुपर्छ। केवल Google Play Store, Apple App Store जस्ता आधिकारिक स्रोतबाट मात्र एप डाउनलोड गर्नु सुरक्षाका लागि आवश्यक छ।

इनसाइडर थ्रेट (Insider Threat)

इनसाइडर थ्रेट (Insider Threat) भनेको संस्था वा कम्पनीभित्रका आफ्नै कर्मचारी, व्यवस्थापक वा अन्य अधिकारीहरूबाट आउने जोखिम हो। यस्तो खतरा त्यति बेला उत्पन्न हुन्छ जब यी भित्रका मानिसहरूले आफ्नो पहुँच र अधिकारको दुरुपयोग गर्छन्। कतिपय अवस्थामा, असन्तुष्ट कर्मचारी, भ्रष्ट अधिकारी, वा अन्य भित्री व्यक्तिहरूले संस्थाको नियम, सुरक्षा प्रणाली, वा गोप्य जानकारीलाई उल्लङ्घन गरी गलत कामहरू गर्न सक्छन्।

जहाँ केही कर्मचारीहरूले ग्राहकको व्यक्तिगत विवरण वा संवेदनशील डाटा बाहिर बेच्ने, ह्याकिङ्ग गर्न सहयोग गर्ने, वा ठगीका लागि जानकारी उपलब्ध गराउने गरेका छन्। यी कर्मचारीहरू संस्थाको भित्री प्रणाली र डेटा पहुँचमा सीधै पहुँच भएको कारण, उनीहरूले सजिलै गोप्य जानकारी चुहाउने वा हानी पुर्‍याउने काम गर्न सक्छन्।

निष्कर्ष:

नेपालमा साइबर अपराधका पीडितहरूका लागि विभिन्न संस्थाहरूले सहायता उपलब्ध गराएका छन्। नेपाल प्रहरीको साइबर ब्यूरो विशेष गरी यस्ता अपराधहरूको अनुसन्धान र कारबाहीमा संलग्न छ। यो विभागमा प्राविधिक विशेज्ञहरू छन् जसले डिजिटल प्रमाणहरू विश्लेषण गरेर अपराधीहरूको खोजी गर्छन् ।

डिजिटल पेमेन्ट र अनलाइन बैंकिङ सुरक्षित हुन सक्छ, तर यो तपाईंको सतर्कता र सावधानीमा निर्भर छ। ह्याकरहरूले हरेक दिन नयाँ तरिका निकालिरहेका छन्, त्यसैले प्रविधिसँगै तपाईंको साइबर सुरक्षा ज्ञान पनि अद्यावधिक रहनुपर्छ।