असली वेबसाइट पर नकली नंबर: कैसे एक क्लिक से आपका बैंक अकाउंट हो जाएगा खाली!

आजकल साइबर स्कैम सिर्फ फिशिंग मेल या नकली वेबसाइट तक सीमित नहीं रहे - अटैकर्स अब इलिगिटिमेट वेबसाइटों और सर्च/URL पैरामीटर्स का गलत यूज कर रहे हैं ताकि यूजर को भरोसा दिलाकर पैसा और एक्सेस चुरा सकें। इसी जून में भी खबर सामने आई थी कि कई बड़े नामों, जिनमें बैंक ऑफ अमेरिका, Netflix और Microsoft जैसे दिग्गज भी शामिल है, कि साइट्स पर इसी तरह के अटैक देखे गए, जहां खराब URLs के जरिए पेजों में फेक सपोर्ट नंबर और मालिशियस कंटेंट इंजेक्ट किया गया। इससे यूजर्स ने धोखे में आकर फोन करके स्कैमर्स से बात की और कई मामलों में पर्सनल/फाइनेंशियल डेटा लीक हुआ। चलिए आपको इसके बारे में विस्तार से बताते हैं।

Search Parameter Injection (SPI) क्या है?

जब कोई वेबसाइट यूजर-कंट्रोल्ड इनपुट (जैसे URL क्वेरी स्ट्रिंग, सर्च पैरामीटर या रेफ्रल पैराम) को बिना सही वेलिडेशन/सैनीटाइजेशन अपने पेज में रिफ्लेक्ट करती है, तब अटैकर उस पैरामीटर में मालिशियस टेक्स्ट/HTML/JS डालकर पेज का व्यवहार बदल सकता है। इससे पैरामीटर को भरोसेमंद मानकर वेबसाइट उसे फ्रंटएंड पर दिखा देती है।

जून 2025 वाले केस में अटैकर्स ने क्या किया?

DataDome में थ्रेड रिसर्च के वाइस प्रेसिडेंट जेरोम सेगुरा ने बताया था कि साइबर क्रिमिनल्स सर्च पैरामीटर की कमजोरियों का फायदा उठाकर Apple, Bank of America, Facebook, HP, Microsoft, Netflix और Paypal जैसे बड़े ब्रांड्स की वैलिड वेबसाइटों में फर्जी फोन नंबर डाल रहे हैं। Google पर सर्च एड्स का फायदा उठाकर, अटैकर्स अनजान विक्टिम्स को असली वेबसाइटों पर ले जाते हैं, जहां गलत URL पैरामीटर स्कैमर्स की कॉन्टैक्ट डिटेल्स को असली डिटेल्स के साथ बदल देते हैं और विक्टिम्स इन नंबरों पर संपर्क करते हैं।

क्यों खतरनाक है यह अटैक?

अक्सर सपोर्ट पेज पर लोग अपने प्रश्न पूछने के लिए जाते हैं और यहां उपलब्ध स्कैमर्स के नंबरों पर जब वे कॉल करते हैं, तो काफी चांसेज होते हैं कि स्कैमर्स उन यूजर्स की समस्या हल करने के नाम पर उनसे उनकी निजी या बैंकिंग डिटेल्स मांग सकते हैं, जिससे बैंक अकाउंट खाली होने का खतरा काफी बढ़ जाता है। इतना ही नहीं, रिमोट ऐप्स या टूल्स के जरिए एक्सेस मांग कर स्कैमर्स यूजर के PC या मोबाइल को भी रिमोटली कंट्रोल कर सकते हैं।

इससे कैसे बचा जाए

• कभी भी अनवेरिफाइड नंबर पर कॉल न करें। कंपनी की आधिकारिक साइट पर 'contact' पेज खुद टाइप करके खोलें, या ऐप-स्टोर के आधिकारिक ऐप से प्लेटफॉर्म के सपोर्ट पेज का लिंक देखें।
• वेबसाइट खोलते समय URL और HTTPS चेक करें। HTTPS एक URL सिक्योरिटी प्रोटोकॉल होती है, लेकिन याद रहे, यहां डोमेन वैध होता है, इसलिए केवल HTTPS भरोसा नहीं देगा।
• OTP/Bank PIN/UPI-PIN किसी को न दें, चाहे कॉल वाला कितना भी असली लगे। बैंक कभी भी आपका PIN या OTP नहीं मांगेगा। 
• रिमोट-एक्सेस टूल इंस्टॉल न करें जब तक कि आप पूरी तरह वैरिफाई न कर लें कि कॉल असली है और कभी भी बैंक ऐप के लिए रिमोट एक्सेस न दें।
• बैंक-नोटिफिकेशन और ट्रांजेक्शन अलर्ट्स ऑन रखें। तुरंत शक होने पर बैंक को ब्लॉक/फ्रॉड रिपोर्ट करें।
• अगर शक हो तो तुरंत बैंक के आधिकारिक नंबर (बैंक की वेबसाइट/ऐप से) पर कॉल कर ब्लॉक करवा दें।