२८ वर्षांचा महाराष्ट्रातील एक तरुण स्टेग्नोग्राफीचा वापर करणाऱ्या हाय-टेक WhatsApp फसवणुकीचा बळी ठरला, प्रतिमा डाउनलोड केल्यानंतर त्याने ₹२ लाखांहून अधिक गमावले.
महाराष्ट्र | २१ एप्रिल २०२५ — सायबर धोके किती प्रगत होत चालले आहेत याची आठवण करून देणाऱ्या घटनेत, महाराष्ट्रातील २८ वर्षांचा तरुण WhatsApp वर अनोळखी नंबरवरून आलेली साधी वाटणारी प्रतिमा डाउनलोड केल्यानंतर एका उच्च-तंत्रज्ञान घोटाळ्याचा बळी ठरला. या प्रकारात त्याच्या बँक खात्यातून ₹२ लाखांहून अधिक रक्कम चोरी झाली असून, देशभरातील सायबर सुरक्षाविशारदांमध्ये खळबळ उडाली आहे.
पीडित प्रदीप जैन यांना पहाटे अनोळखी नंबरवरून फोन आला, आणि त्यानंतर एक व्हॉट्सअॅप संदेश पाठवण्यात आला ज्यामध्ये एका म्हाताऱ्या व्यक्तीचा फोटो होता आणि प्रश्न विचारण्यात आला होता: “तुम्हाला हे व्यक्ती ओळखते का?” सुरुवातीला त्यांनी हा संदेश स्पॅम समजून दुर्लक्ष केले, पण सतत येणाऱ्या कॉलमुळे अखेर त्यांनी दुपारी १:३५ वाजता तो फोटो उघडला.
फोटो डाउनलोड केल्यानंतर अवघ्या एका मिनिटात जैन यांचा फोन हॅक झाला. काही मिनिटांतच हैदराबादमधील एका एटीएममधून — जिथे जैन प्रत्यक्षात नव्हते — त्यांच्या केनरा बँक खात्यातून ₹२.०१ लाख रुपये गायब झाले.
जे काही एक साधी प्रतिमा वाटत होती, ते प्रत्यक्षात स्टेग्नोग्राफी नावाच्या प्रगत हॅकिंग तंत्राचा वापर करून बनवलेलं एक डिजिटल शस्त्र होतं. स्टेग्नोग्राफी म्हणजे सामान्य फोटो, ऑडिओ, पीडीएफ यांसारख्या फाइल्समध्ये दुर्भावनायुक्त कोड लपवण्याची एक कुशल पद्धत आहे. यामध्ये “Least Significant Bit (LSB) स्टेग्नोग्राफी” वापरण्यात आली होती, ज्यामुळे फोटोमध्ये लपवलेलं मॅलवेअर कोणत्याही अँटीव्हायरसला संशय न येता कार्यान्वित झालं.
“मॅलवेअर तेव्हा कार्यरत होतं जेव्हा फाईल ओपन केली जाते, आणि त्यानंतर हॅकर्सना वैयक्तिक माहिती, बँकिंग तपशील इत्यादींवर प्रवेश मिळतो,” असं ६३SATS या सायबर सुरक्षा कंपनीचे व्यवस्थापकीय संचालक निहार पथारे यांनी सांगितलं. त्यांनी पुढे सांगितलं की अशा प्रकारच्या हल्ल्यांचा मागोवा घेण्यासाठी विशेष फॉरेन्सिक साधनांची गरज असते.
या प्रकारात आणखी धक्कादायक गोष्ट म्हणजे, जेव्हा बँकेने व्यवहाराची पुष्टी करण्याचा प्रयत्न केला, तेव्हा फसवणूक करणाऱ्यांनी कथितपणे जैन यांचा आवाज नक्कल करून कॉलवर प्रतिसाद दिला — ज्यामुळे “डीपफेक व्हॉइस” किंवा “व्हॉइस क्लोनिंग” तंत्रज्ञान वापरण्यात आल्याचा संशय आहे.
TOFEE या सायबर सुरक्षा फर्मचे संस्थापक तुषार शर्मा यांनी सांगितले, “प्रतिमा फाईल्समध्ये रंगांचे तीन चॅनेल असतात — रेड, ग्रीन आणि ब्लू — आणि ट्रान्सपरेन्सीसाठी अल्फा चॅनेल. मॅलवेअर कोणत्याही चॅनेलमध्ये लपवता येते. फाईल उघडल्यानंतर हे मॅलवेअर गुपचूपपणे इंस्टॉल होते आणि संवेदनशील माहिती गोळा करू लागते.”
या हल्ल्यांमध्ये .jpg, .png, .mp3, .mp4 आणि PDF अशा सर्वसामान्य फाईल फॉरमॅट्स वापरण्यात आले, जे WhatsApp सारख्या अॅप्सवर सहजपणे पाठवले जातात — त्यामुळे हे हल्ले ओळखणे अधिक कठीण होते. पारंपरिक फिशिंग लिंक्स किंवा बनावट वेबसाइट्सपेक्षा हे स्टेग्नोग्राफीवर आधारित हल्ले अधिक गुप्त, शांत आणि प्रभावी असतात.
सायबर सुरक्षा तज्ञांनी वापरकर्त्यांना काही मूलभूत सुरक्षेच्या उपाययोजना स्वीकारण्याचे आवाहन केले आहे:
- मेसेजिंग अॅप्सवर मिडिया ऑटो-डाउनलोड बंद करा
- अनोळखी नंबरवरून आलेल्या फाईल्स उघडू नका
- अॅप्स नेहमी अपडेट ठेवा
- OTP किंवा महत्वाची माहिती फोन/टेक्स्टवर शेअर करू नका
- WhatsApp वर “Silence Unknown Callers” सुविधा वापरा
- कोणालाही तुम्हाला ग्रुपमध्ये अॅड करण्यासाठी परवानगी देण्यास मर्यादा घाला
कंपनीने सांगितले की ती अशा बदलत्या सायबर धोरणांची जाणीव ठेवून सुरक्षा उपाय सातत्याने अद्ययावत करत आहे. “वापरकर्त्यांनी सतर्क राहावे, संशयास्पद खाती रिपोर्ट करावीत आणि अनोळखी लोकांकडून आलेल्या लिंक किंवा सामग्री डाउनलोड करू नये,” असे कंपनीच्या निवेदनात म्हटले आहे.
ही घटना एक गंभीर इशारा आहे की एखाद्या साध्या वाटणाऱ्या प्रतिमेवर फक्त एकच टॅप आर्थिक व वैयक्तिक नुकसानीकडे दार उघडू शकते. सायबर गुन्हेगार जसे अधिक चतुर होत आहेत, तशी आपली ऑनलाईन सतर्कता केवळ शिफारस नाही — ती आवश्यक झाली आहे.
