Beware of Fake Support Numbers SPI Attacks How Scammers Empty Bank Accounts How to Protect

जून में DataDome में थ्रेड रिसर्च के वाइस प्रेसिडेंट जेरोम सेगुरा ने बताया था कि साइबर क्रिमिनल्स सर्च पैरामीटर की कमजोरियों का फायदा उठाकर बड़े ब्रांड्स की वैलिड वेबसाइटों में फर्जी फोन नंबर डाल रहे हैं।

ख़ास बातें

असली वेबसाइट पर छिपा फेक सपोर्ट नंबर, एक कॉल से बैंक अकाउंट होगा खाली!
URL पैरामीटर का गलत यूज कर स्कैमर पेजों में नकली कंटेंट इंजेक्ट करते हैं
आधिकारिक नंबर खुद टाइप करें और OTP/PIN कभी शेयर न करें

Photo Credit: Unsplash/ PiggyBank

आजकल साइबर स्कैम सिर्फ फिशिंग मेल या नकली वेबसाइट तक सीमित नहीं रहे - अटैकर्स अब इलिगिटिमेट वेबसाइटों और सर्च/URL पैरामीटर्स का गलत यूज कर रहे हैं ताकि यूजर को भरोसा दिलाकर पैसा और एक्सेस चुरा सकें। इसी जून में भी खबर सामने आई थी कि कई बड़े नामों, जिनमें बैंक ऑफ अमेरिका, Netflix और Microsoft जैसे दिग्गज भी शामिल है, कि साइट्स पर इसी तरह के अटैक देखे गए, जहां खराब URLs के जरिए पेजों में फेक सपोर्ट नंबर और मालिशियस कंटेंट इंजेक्ट किया गया। इससे यूजर्स ने धोखे में आकर फोन करके स्कैमर्स से बात की और कई मामलों में पर्सनल/फाइनेंशियल डेटा लीक हुआ। चलिए आपको इसके बारे में विस्तार से बताते हैं।

Search Parameter Injection (SPI) क्या है?

जब कोई वेबसाइट यूजर-कंट्रोल्ड इनपुट (जैसे URL क्वेरी स्ट्रिंग, सर्च पैरामीटर या रेफ्रल पैराम) को बिना सही वेलिडेशन/सैनीटाइजेशन अपने पेज में रिफ्लेक्ट करती है, तब अटैकर उस पैरामीटर में मालिशियस टेक्स्ट/HTML/JS डालकर पेज का व्यवहार बदल सकता है। इससे पैरामीटर को भरोसेमंद मानकर वेबसाइट उसे फ्रंटएंड पर दिखा देती है।

जून 2025 वाले केस में अटैकर्स ने क्या किया?

DataDome में थ्रेड रिसर्च के वाइस प्रेसिडेंट जेरोम सेगुरा ने बताया था कि साइबर क्रिमिनल्स सर्च पैरामीटर की कमजोरियों का फायदा उठाकर Apple, Bank of America, Facebook, HP, Microsoft, Netflix और Paypal जैसे बड़े ब्रांड्स की वैलिड वेबसाइटों में फर्जी फोन नंबर डाल रहे हैं। Google पर सर्च एड्स का फायदा उठाकर, अटैकर्स अनजान विक्टिम्स को असली वेबसाइटों पर ले जाते हैं, जहां गलत URL पैरामीटर स्कैमर्स की कॉन्टैक्ट डिटेल्स को असली डिटेल्स के साथ बदल देते हैं और विक्टिम्स इन नंबरों पर संपर्क करते हैं।

क्यों खतरनाक है यह अटैक?

अक्सर सपोर्ट पेज पर लोग अपने प्रश्न पूछने के लिए जाते हैं और यहां उपलब्ध स्कैमर्स के नंबरों पर जब वे कॉल करते हैं, तो काफी चांसेज होते हैं कि स्कैमर्स उन यूजर्स की समस्या हल करने के नाम पर उनसे उनकी निजी या बैंकिंग डिटेल्स मांग सकते हैं, जिससे बैंक अकाउंट खाली होने का खतरा काफी बढ़ जाता है। इतना ही नहीं, रिमोट ऐप्स या टूल्स के जरिए एक्सेस मांग कर स्कैमर्स यूजर के PC या मोबाइल को भी रिमोटली कंट्रोल कर सकते हैं।

इससे कैसे बचा जाए

कभी भी अनवेरिफाइड नंबर पर कॉल न करें। कंपनी की आधिकारिक साइट पर 'contact' पेज खुद टाइप करके खोलें, या ऐप-स्टोर के आधिकारिक ऐप से प्लेटफॉर्म के सपोर्ट पेज का लिंक देखें।
वेबसाइट खोलते समय URL और HTTPS चेक करें। HTTPS एक URL सिक्योरिटी प्रोटोकॉल होती है, लेकिन याद रहे, यहां डोमेन वैध होता है, इसलिए केवल HTTPS भरोसा नहीं देगा।
OTP/Bank PIN/UPI-PIN किसी को न दें, चाहे कॉल वाला कितना भी असली लगे। बैंक कभी भी आपका PIN या OTP नहीं मांगेगा।
रिमोट-एक्सेस टूल इंस्टॉल न करें जब तक कि आप पूरी तरह वैरिफाई न कर लें कि कॉल असली है और कभी भी बैंक ऐप के लिए रिमोट एक्सेस न दें।
बैंक-नोटिफिकेशन और ट्रांजेक्शन अलर्ट्स ऑन रखें। तुरंत शक होने पर बैंक को ब्लॉक/फ्रॉड रिपोर्ट करें।
अगर शक हो तो तुरंत बैंक के आधिकारिक नंबर (बैंक की वेबसाइट/ऐप से) पर कॉल कर ब्लॉक करवा दें।

असली वेबसाइट पर नकली नंबर: कैसे एक क्लिक से आपका बैंक अकाउंट हो जाएगा खाली!

Search Parameter Injection (SPI) क्या है?

जून 2025 वाले केस में अटैकर्स ने क्या किया?

क्यों खतरनाक है यह अटैक?

इससे कैसे बचा जाए