Whalesbook
SMS OTPs: डिजिटल पहचान की सबसे बड़ी कमजोरी
आजकल ऑनलाइन पहचान के लिए मोबाइल नंबर का इस्तेमाल सबसे आम है। लेकिन, OTP (One-Time Passwords) के लिए SMS पर निर्भर रहना एक बड़ी सुरक्षा खामी बन गई है। स्कैमर्स इसी का फायदा उठाकर SIM Swap Attack करते हैं। इस चाल में, वे आपके मोबाइल नंबर को अपने कंट्रोल वाले SIM कार्ड पर री-रूट कर देते हैं। इससे वे आपके OTPs को चुरा लेते हैं और आपके बैंक अकाउंट, क्रिप्टो वॉलेट और अन्य डिजिटल सेवाओं तक पहुँच बना लेते हैं।
SIM Swap Fraud का बढ़ता जाल और बड़ा नुकसान
SIM Swap Fraud का यह जाल अब दुनिया भर में फैल गया है और भारी आर्थिक नुकसान पहुंचा रहा है। FBI की एक रिपोर्ट के अनुसार, सिर्फ 2024 में अमेरिका में SIM Swapping से करीब $26 मिलियन का नुकसान हुआ। वहीं, UK में ऐसे धोखाधड़ी वाले SIM Swaps में 1,055% की भारी बढ़ोतरी देखी गई है। कुल मिलाकर, अकाउंट टेकओवर (Account Takeover) से जुड़े फ्रॉड, जिसमें SIM Swapping भी शामिल है, ने 2023 में अमेरिका को लगभग $23 बिलियन का चूना लगाया। भारत में भी ऐसे मामले सामने आए हैं, जहां मुंबई की एक स्टील ट्रेडिंग फर्म ने SIM Swap के कारण अपने कॉर्पोरेट अकाउंट्स से ₹7.5 करोड़ गंवा दिए।
SMS OTPs हैक करना इतना आसान क्यों?
SMS OTPs की सबसे बड़ी दिक्कत यह है कि ये एन्क्रिप्टेड (Encrypted) नहीं होते और इन्हें आसानी से चुराया जा सकता है। SIM Swapping के अलावा, SS7 प्रोटोकॉल की खामियों का फायदा उठाकर या एडवांस्ड फिशिंग (Phishing) स्कैम के जरिए भी ये कोड लीक हो जाते हैं। सिक्योरिटी एक्सपर्ट्स, जैसे NIST, भी लंबे समय से SMS OTPs को मजबूत पहचान जांच के लिए असुरक्षित बताते आए हैं। आसानी से चुराई जा सकने वाली पर्सनल जानकारी और मोबाइल कंपनियों की कमजोर वेरिफिकेशन प्रक्रियाओं के चलते स्कैमर्स आसानी से किसी और का नंबर चुराकर उसे अपना बता देते हैं।
सुरक्षा में देरी, फ्रॉड को बढ़ावा
इस बढ़ते फ्रॉड पर लगाम लगाने के लिए रेगुलेटर कदम उठा रहे हैं। भारत में TRAI ने अब SIM Swap के बाद नंबर ट्रांसफर करने से पहले सात दिन का वेटिंग पीरियड अनिवार्य कर दिया है, ताकि धोखाधड़ी को पकड़ा जा सके। अमेरिका के FCC ने भी SIM बदलने पर मजबूत वेरिफिकेशन के लिए नए नियम बनाए हैं। हालांकि, ये कदम काफी हद तक हमलों के बाद की प्रतिक्रिया हैं। बाजार तेजी से सुरक्षित पहचान वेरिफिकेशन के तरीकों की ओर बढ़ रहा है, जैसे OTP जनरेट करने वाले ऐप्स, फिजिकल सिक्योरिटी कीज़ (FIDO2), फेशियल रिकग्निशन (Facial Recognition) और सर्वर-साइड बायोमेट्रिक्स (Server-side Biometrics)। बैंक अब real-time में SIM Swap इवेंट्स की जांच के लिए नेटवर्क डेटा APIs का भी इस्तेमाल कर रहे हैं। ऑस्ट्रेलिया और UK में रेगुलेटर्स द्वारा स्वीकार किए गए FIDO मानकों का बढ़ता उपयोग, डिवाइस से जुड़े सुरक्षित तरीकों की ओर एक स्पष्ट संकेत है।
सुरक्षा क्यों नहीं रख पाई रफ्तार?
SIM Swap Fraud का यह व्यापक रूप दिखाता है कि सुरक्षा उपायों को आज के खतरों के हिसाब से अपडेट नहीं किया गया है। बैंक और मोबाइल कंपनियां SMS OTPs का इस्तेमाल बंद करने में धीमी रही हैं, जो महंगे ऑनलाइन अकाउंट्स की सुरक्षा के लिए काफी नहीं हैं। ये हमले डेटा ब्रीचेस (Data Breaches) से मिली पर्सनल जानकारी और चालाकी भरे ट्रिक्स का इस्तेमाल करके, मोबाइल कंपनी के सिक्योरिटी चेक को आसानी से पार कर जाते हैं। भले ही रेगुलेटर्स सुरक्षा बढ़ा रहे हैं, लेकिन वे अक्सर हमलावरों की गति से पीछे रह जाते हैं। पहचान के लिए व्यक्तिगत विवरणों का उपयोग और मोबाइल नेटवर्क की कमजोरियां लगातार एक बड़ी समस्या बनी हुई हैं। खासकर बुजुर्गों को अक्सर निशाना बनाया जाता है और वे ज्यादा पैसे गंवाते हैं, जो सुरक्षा डिजाइन में एक बड़ी कमी को दर्शाता है। वित्तीय फर्मों के लिए लागत सिर्फ धोखाधड़ी से ही नहीं, बल्कि मानव जांच, बार-बार की जाने वाली पहचान वेरिफिकेशन और कमजोर SMS सुरक्षा के लिए लगने वाले जुर्माने से भी बढ़ जाती है।
भविष्य SMS वेरिफिकेशन से परे
यह साफ है कि SMS OTPs का युग अब खत्म होने वाला है। SIM Swap हमलों की बढ़ती संख्या, रेगुलेटर्स की बढ़ती मांग और बेहतर सिक्योरिटी टेक्नोलॉजी के आने से कंपनियां इस असुरक्षित तरीके से दूर होंगी। भविष्य में डिजिटल पहचान की सुरक्षा लेयर्ड सिस्टम (Layered Systems) पर आधारित होगी, जिसमें रिस्क असेसमेंट, एडवांस्ड बायोमेट्रिक्स, FIDO स्टैंडर्ड्स और मजबूत सुरक्षा गारंटी के लिए नेटवर्क डेटा शामिल होगा। जो कंपनियां नहीं बदलेंगी, वे इस खतरनाक ऑनलाइन दुनिया में बड़े वित्तीय और प्रतिष्ठा संबंधी जोखिमों का सामना करती रहेंगी।