लाउंज पास ऐप घोटाला, एक नया ऑनलाइन घोटाला जिसमें इसी नाम का दुर्भावनापूर्ण ऐप शामिल है, हाल ही में उजागर हुआ है। यह घटना एक कथित पीड़ित के सामने आने के बाद सामने आई घोटाला अपने अनुभव को साझा करने के लिए सोशल मीडिया का सहारा लिया और बताया कि कैसे उनसे भारी रकम की धोखाधड़ी की गई। साइबर सुरक्षा शोधकर्ताओं ने अब घोटाले के अस्तित्व की पुष्टि की है जो लाउंज पास नामक ऐप के माध्यम से किया जा रहा है, और बताया कि कैसे बुरे कलाकार लोगों से पैसे चुराने में सक्षम थे।
पीड़ित की कहानी
एक्स (जिसे पहले ट्विटर के नाम से जाना जाता था) पर पोस्ट किए गए एक वीडियो में, एक उपयोगकर्ता ने एक महिला का वीडियो पोस्ट किया जो कथित तौर पर घोटाले की शिकार थी। यह पोस्ट अब 5,000 से अधिक लाइक्स और 2,100 रीपोस्ट के साथ वायरल हो गया है। महिला ने दावा किया कि यह घटना 29 सितंबर को बेंगलुरु के केम्पेगौड़ा अंतरराष्ट्रीय हवाई अड्डे के अंदर हुई थी। उसने दावा किया कि उसने अपना क्रेडिट कार्ड घर पर छोड़ दिया था और उसकी एक तस्वीर ले गई थी। लाउंज क्षेत्र तक पहुंचने की इच्छा रखते हुए, उसने लाउंज में लोगों को क्रेडिट कार्ड की छवि दिखाने का दावा किया। हालाँकि, परिचारकों ने कथित तौर पर उससे लाउंज पास ऐप डाउनलोड करने के लिए कहा।
पीड़िता ने एक व्हाट्सएप चैट का स्क्रीनशॉट भी साझा किया जहां कथित स्कैमर्स ने उसे ऐप डाउनलोड करने के लिए एक यूआरएल भेजा था। उन्होंने कथित तौर पर उसे “सुरक्षा उद्देश्यों” के लिए अपनी स्क्रीन साझा करने और फेस स्क्रीन (फेस स्कैन) करने के लिए भी कहा। इसके बाद उन्हें लाउंज का इस्तेमाल करने की इजाजत दी गई. उसने यह भी दावा किया कि अगले कुछ हफ्तों तक, लोगों ने उसे बताया कि वे कॉल पर उससे संपर्क नहीं कर पा रहे थे और कभी-कभी कॉल करने पर “पुरुष” की आवाज़ जवाब देती थी।
कथित तौर पर क्रेडिट कार्ड बिल आने के बाद उन्हें घोटाले के बारे में पता चला और उन्होंने रुपये का लेनदेन देखा। PhonePe खाते से 87,125 रु. हालांकि पीड़िता निश्चित नहीं है, उसने दावा किया कि घोटाले के पीछे दुर्भावनापूर्ण ऐप कारण हो सकता है।
एक स्क्रीनशॉट में, उसने यह भी दिखाया कि उसकी जानकारी के बिना, कॉल फ़ॉरवर्डिंग चालू करने के लिए उसके फ़ोन की सेटिंग बदल दी गई थी। उन्होंने कथित तौर पर इस घटना की शिकायत साइबर क्राइम सेल में की है। गैजेट्स 360 किसी भी दावे को सत्यापित करने में सक्षम नहीं था।
लाउंज पास ऐप घोटाले पर शोधकर्ताओं की जांच
साइबर सुरक्षा फर्म CloudSEK की थ्रेट रिसर्च टीम ऐसा करने में सक्षम थी पुष्टि करना उनकी ओपन सोर्स इंटेलिजेंस (ONST) जांच के माध्यम से घोटाले के अस्तित्व का पता चला। शोधकर्ता कई डोमेन को उजागर करने में सक्षम थे जिनका उपयोग लाउंज पास ऐप को वितरित करने के लिए किया जा रहा था।
जांच के आधार पर, यह घोटाला एक अत्याधुनिक एसएमएस चोरी करने वाले ऐप द्वारा किया गया था जो एक बार इंस्टॉल होने के बाद डिवाइस को नियंत्रित कर सकता है। घोटालेबाज संभवतः ऐप का उपयोग करके डिवाइस से संवेदनशील जानकारी चुरा लेते हैं, और एसएमएस और कॉल पर नियंत्रण कर लेते हैं। एक बार ऐसा हो जाने पर, वे वांछित बैंक खाते में धन हस्तांतरित कर देते हैं और ओटीपी को रोक लेते हैं, चाहे वह टेक्स्ट संदेश या कॉल के माध्यम से भेजा गया हो।
शोधकर्ता ऐप के एपीके को रिवर्स-इंजीनियर करने में सक्षम थे और पाया कि स्कैमर्स ने गलती से अपने फायरबेस एंडपॉइंट को खुला छोड़ दिया था। इस एंडपॉइंट का उपयोग पीड़ितों के इंटरसेप्ट किए गए एसएमएस को संग्रहीत करने के लिए किया जा रहा था। डेटा के विश्लेषण के आधार पर शोधकर्ताओं ने पाया कि जुलाई और अगस्त 2024 के बीच लगभग 450 लोगों ने ऐप इंस्टॉल किया। इसके अलावा, घोटालेबाज रुपये से अधिक की ठगी करने में भी कामयाब रहे। इस दौरान पीड़ितों से 9 लाख रु.
CloudSEK शोधकर्ताओं ने इस बात पर भी प्रकाश डाला कि यह पूरी तस्वीर नहीं हो सकती है क्योंकि फर्म द्वारा केवल एक समापन बिंदु का विश्लेषण किया गया था।
लोग अपनी सुरक्षा के लिए क्या कर सकते हैं?
चूंकि ऐप प्ले स्टोर या ऐप स्टोर पर उपलब्ध नहीं है, इसलिए ऐप को हटाने के लिए बहुत कम किया जा सकता है। शोधकर्ताओं ने सिफारिशों की एक श्रृंखला साझा की है जिनका पालन करके लोग खुद को ऐसे घोटालों से बचा सकते हैं।
सबसे पहले, लोगों को सलाह दी जाती है कि वे किसी भी अविश्वसनीय स्रोत से लाउंज एक्सेस ऐप्स डाउनलोड न करें। इसके लिए केवल आधिकारिक ऐप मार्केटप्लेस पर ही भरोसा करना चाहिए। इसके अलावा, इंस्टॉल करने से पहले, उपयोगकर्ताओं को ऐप प्रकाशक का नाम सत्यापित करना चाहिए।
यात्रियों को हवाई अड्डों पर किसी भी यादृच्छिक क्यूआर कोड को स्कैन करने से भी बचना चाहिए। इसके अलावा, जब भी कोई ऐप डाउनलोड करें, तो उपयोगकर्ताओं को उन अनुमतियों के बारे में सावधान रहना चाहिए जो वे ऐप को देते हैं। यदि अत्यंत आवश्यक न हो, तो किसी भी ऐप को एसएमएस या कॉलिंग सुविधाओं तक पहुंच नहीं होनी चाहिए। अंत में, डिवाइस पर इंस्टॉल किए गए किसी भी बैंकिंग या यूपीआई ऐप में सुरक्षा की एक अतिरिक्त परत के लिए दो-कारक प्रमाणीकरण (2FA) होना चाहिए।
