प्रस्तावना
फिशिंग, विशिंग आणि स्मिशिंग हे सोशल इंजिनिअरिंग आधारित सायबर हल्ले आहेत ज्यांचा उद्देश पीडितांची संवेदनशील माहिती चोरणे किंवा त्यांना आर्थिक फसवणुकीला बळी पाडणे आहे. भारतात नोंदवल्या गेलेल्या सायबर गुन्ह्यांपैकी मोठा भाग या प्रकारच्या हल्ल्यांशी संबंधित आहे.
हा भाग पूर्ण केल्यावर, तुम्ही फिशिंग, विशिंग आणि स्मिशिंग हल्ले ओळखू शकाल, त्यांची तपास तंत्रे समजून घ्याल आणि पुरावे गोळा करण्याची योग्य पद्धत शिकाल.
फिशिंग (Phishing)
फिशिंग म्हणजे बनावट ईमेल्स, वेबसाइट्स किंवा संदेश वापरून विश्वासार्ह संस्था (बँक, सरकारी संस्था, कंपन्या) म्हणून बतावणी करून संवेदनशील माहिती चोरणे.
फिशिंगचे प्रकार
Email Phishing
बनावट ईमेल्स पाठवून पीडिताला लिंकवर क्लिक करायला किंवा माहिती देण्यास भाग पाडणे. सर्वात सामान्य प्रकार.
Spear Phishing
विशिष्ट व्यक्ती किंवा संस्थेला लक्ष्य करून वैयक्तिक माहिती वापरून तयार केलेले अधिक विश्वासार्ह हल्ले.
Whaling
CEO, CFO सारख्या उच्च पदस्थ अधिकाऱ्यांना लक्ष्य करणारे हल्ले. BEC (Business Email Compromise) यामध्ये येतात.
Clone Phishing
खऱ्या ईमेलची प्रत तयार करून त्यातील लिंक्स बदलून पुन्हा पाठवणे.
फिशिंग ओळखण्याचे निर्देशक
विशिंग (Vishing)
विशिंग म्हणजे Voice + Phishing - फोन कॉल्स वापरून फसवणूक. गुन्हेगार बँक अधिकारी, पोलीस, कस्टम अधिकारी म्हणून बतावणी करतात.
सामान्य विशिंग तंत्रे
- बँक KYC कॉल: "तुमचे अकाउंट ब्लॉक होणार आहे, OTP द्या"
- डिजिटल अरेस्ट: "तुमच्या नावावर मनी लॉन्ड्रिंग केस आहे, व्हिडिओ कॉलवर रहा"
- लॉटरी/इनाम: "तुम्हाला ५ लाखांचे इनाम मिळाले, tax भरा"
- कस्टम/कुरिअर: "तुमचे पार्सल पकडले गेले, दंड भरा"
- टेक सपोर्ट: "तुमच्या संगणकात व्हायरस आहे, remote access द्या"
"डिजिटल अरेस्ट" ही भारतीय कायद्यात अस्तित्वात नसलेली संकल्पना आहे. कोणताही पोलीस किंवा सरकारी अधिकारी व्हिडिओ कॉलवर "अटक" करू शकत नाही. हे सर्व घोटाळे आहेत.
विशिंग तपास पुरावे
- कॉल करणाऱ्याचा फोन नंबर आणि CDR
- कॉल recording (पीडिताकडे असल्यास)
- कॉलचा timestamp आणि duration
- पैसे हस्तांतरित केल्यास transaction details
- Caller ID spoofing असल्यास actual originating number
स्मिशिंग (Smishing)
स्मिशिंग म्हणजे SMS + Phishing - SMS संदेशांद्वारे फसवणूक. बनावट लिंक्स, OTP मागणे किंवा फेक अलर्ट्स पाठवणे.
स्मिशिंग उदाहरणे
स्मिशिंग ओळखणे
- Shortened URLs (bit.ly, tinyurl) - actual destination तपासा
- Sender ID check - अधिकृत बँक/कंपनी IDs वेगळे असतात
- Grammar आणि formatting issues
- तातडीची भाषा वापरणे
- Unknown numbers वरून व्यावसायिक SMS
तपास प्रक्रिया
फिशिंग ईमेल तपास
- Email headers विश्लेषण: Actual sender IP, mail server path
- Phishing URL analysis: Domain registration, hosting details
- Website forensics: Phishing page content, data collection mechanism
- Hosting provider contact: Takedown request, user details
विशिंग कॉल तपास
- CDR प्राप्त करा: कॉलरचा वास्तविक नंबर आणि location
- SIM KYC: नंबर कोणाच्या नावावर registered
- Call spoofing check: VoIP services वापरले असल्यास
- Bank coordination: पैसे कुठे गेले ते trace करा
स्मिशिंग तपास
- SMS gateway ओळखा: Bulk SMS provider कोण
- Short URL expand: Actual destination URL शोधा
- Domain investigation: फेक साइट कोणी register केली
- Payment trail: पैसे कोणत्या account मध्ये गेले
तपास सुरू करण्यापूर्वी सर्व पुरावे (emails, SMS, call logs, screenshots) योग्यरित्या जतन करा. Email headers पूर्ण copy करा. Phishing URLs block होण्यापूर्वी archive करा (web.archive.org).
कायदेशीर तरतुदी
IT Act, 2000
- कलम ६६: संगणक संबंधित गुन्हे (hacking, data theft)
- कलम ६६C: ओळख चोरी (Identity theft)
- कलम ६६D: संगणक resource वापरून personation (impersonation)
- कलम ४३: Unauthorized access आणि data theft
BNS, 2023
- कलम ३१८: फसवणूक (Cheating)
- कलम ३१९: Personation द्वारे फसवणूक
- कलम ३३६: बनावटगिरी (Forgery)
- कलम ३०८: खंडणी (Extortion)
- फिशिंग (email), विशिंग (voice), स्मिशिंग (SMS) हे सोशल इंजिनिअरिंग हल्ले आहेत
- तातडीची भाषा, चुकीचे sender address, संशयास्पद URLs हे प्रमुख निर्देशक आहेत
- "डिजिटल अरेस्ट" भारतात बेकायदेशीर आहे - हे नेहमी घोटाळा असतो
- Email headers, CDR, domain registration हे महत्त्वाचे पुरावे आहेत
- IT Act 66C, 66D आणि BNS 318, 319 अंतर्गत गुन्हे दाखल होतात
- पुरावे त्वरित जतन करा - phishing sites लवकर बंद होतात