आपके बॉस का मैसेज भी हो सकता है फर्जी! जानिए नया “Boss Scam”….
SEBI का बड़ा अलर्ट: CEO बनकर ठगी कर रहे साइबर अपराधी, एक मैसेज में खाली हो सकता है कंपनी का बैंक खाता….
भारत में साइबर अपराध तेजी से बदल रहा है। पहले ठग आम लोगों को बैंक, KYC या OTP के नाम पर निशाना बनाते थे, लेकिन अब उनकी नजर बड़ी कंपनियों, वित्तीय संस्थानों और कॉरपोरेट कर्मचारियों पर है। इसी बढ़ते खतरे को देखते हुए भारतीय प्रतिभूति और विनिमय बोर्ड (SEBI) ने सभी सूचीबद्ध कंपनियों (Listed Companies) और अपने रेगुलेटेड संस्थानों के लिए एक महत्वपूर्ण साइबर सुरक्षा चेतावनी जारी की है।
SEBI ने कंपनियों को “Boss Scam” या CEO/MD Impersonation Scam से सतर्क रहने को कहा है। यह चेतावनी भारतीय साइबर अपराध समन्वय केंद्र (I4C) से प्राप्त इनपुट और हाल के साइबर हमलों के आधार पर जारी की गई है। इस तरह की ठगी दुनिया के कई देशों में पहले से देखी जा चुकी है और अब भारत में भी इसका खतरा तेजी से बढ़ रहा है।
क्या होता है Boss Scam?
Boss Scam एक ऐसी साइबर ठगी है जिसमें अपराधी किसी कंपनी के CEO, Managing Director (MD), CFO या अन्य वरिष्ठ अधिकारी की पहचान का दुरुपयोग करते हैं। वे फर्जी WhatsApp अकाउंट, ईमेल आईडी, सोशल मीडिया प्रोफाइल या AI आधारित आवाज (Voice Cloning) का इस्तेमाल करके कर्मचारियों को यह विश्वास दिलाते हैं कि वे कंपनी के असली अधिकारी हैं।
इसके बाद कर्मचारी को तत्काल भुगतान करने का निर्देश दिया जाता है। संदेश में अक्सर लिखा होता है—
- “यह बेहद गोपनीय भुगतान है।”
- “अभी तुरंत पैसे भेजिए।”
- “किसी को मत बताइए।”
- “यह बोर्ड लेवल का मामला है।”
वरिष्ठ अधिकारी का नाम देखकर कई कर्मचारी बिना दोबारा पुष्टि किए करोड़ों रुपये ट्रांसफर कर देते हैं। बाद में पता चलता है कि पूरा संदेश साइबर अपराधियों ने भेजा था।
ठग कैसे तैयार करते हैं पूरा जाल?
आज के साइबर अपराधी केवल फर्जी ईमेल नहीं भेजते, बल्कि पहले कंपनी और उसके अधिकारियों की पूरी डिजिटल प्रोफाइल तैयार करते हैं।
वे LinkedIn, Facebook, X (Twitter), कंपनी की वेबसाइट और प्रेस रिलीज़ से CEO या MD की तस्वीर, पद, हस्ताक्षर और काम करने का तरीका समझते हैं। इसके बाद वे उसी शैली में संदेश लिखते हैं ताकि कर्मचारी को कोई शक न हो।
कई मामलों में अपराधी—
- CEO के नाम से नया WhatsApp अकाउंट बना लेते हैं।
- असली जैसा ईमेल डोमेन तैयार कर लेते हैं।
- AI Voice Cloning से अधिकारी की आवाज़ जैसी कॉल करते हैं।
- Deepfake वीडियो बनाकर वीडियो कॉल तक कर सकते हैं।
- कर्मचारी को ZIP या PDF फाइल भेजकर Malware इंस्टॉल करा देते हैं।
Malware के जरिए कैसे होती है बड़ी ठगी?
SEBI ने विशेष रूप से चेतावनी दी है कि अपराधी “Urgent Document”, “Audit Report”, “Compliance File” या “Payment Approval” के नाम पर ZIP फाइल भेज सकते हैं।
यदि कर्मचारी बिना जांच के फाइल खोल देता है, तो—
- कंप्यूटर में Malware इंस्टॉल हो सकता है।
- ईमेल सिस्टम और ब्राउज़र की जानकारी चोरी हो सकती है।
- WhatsApp Web या अन्य मैसेजिंग सेशन पर कब्जा किया जा सकता है।
- अपराधी उसी कर्मचारी के असली अकाउंट से दूसरे कर्मचारियों को भुगतान का निर्देश भेज सकते हैं।
इस स्थिति में संदेश असली अकाउंट से आने जैसा दिखाई देता है, इसलिए धोखा पहचानना और कठिन हो जाता है।
Business Email Compromise (BEC) से क्या संबंध है?
साइबर सुरक्षा विशेषज्ञ इस तरह के हमलों को Business Email Compromise (BEC) की श्रेणी में रखते हैं।
अमेरिका की संघीय जांच एजेंसी FBI वर्षों से चेतावनी देती रही है कि BEC दुनिया के सबसे महंगे साइबर अपराधों में शामिल है। इसमें अपराधी किसी वरिष्ठ अधिकारी या विश्वसनीय कारोबारी साझेदार की पहचान का इस्तेमाल कर कंपनियों से धन ट्रांसफर करवा लेते हैं। कई अंतरराष्ट्रीय मामलों में कंपनियों को लाखों डॉलर का नुकसान हुआ है।
Boss Scam इसी प्रकार की धोखाधड़ी का आधुनिक रूप है, जिसमें AI, Deepfake और सोशल इंजीनियरिंग का भी उपयोग किया जा रहा है।
SEBI ने कंपनियों को क्या करने को कहा?
SEBI ने सभी सूचीबद्ध कंपनियों और रेगुलेटेड संस्थानों को कई महत्वपूर्ण सावधानियां अपनाने की सलाह दी है—
- केवल WhatsApp, SMS या ईमेल के आधार पर भुगतान न करें।
- बड़े भुगतान से पहले वरिष्ठ अधिकारी से अलग माध्यम (फोन या वीडियो कॉल) पर पुष्टि करें।
- किसी भी नए बैंक खाते में भुगतान से पहले सत्यापन करें।
- Unknown ZIP, EXE या संदिग्ध अटैचमेंट न खोलें।
- Multi-Factor Authentication (MFA) लागू करें।
- WhatsApp Web और अन्य लॉग-इन सेशन नियमित जांचें।
- कर्मचारियों को साइबर सुरक्षा का नियमित प्रशिक्षण दें।
- भुगतान प्रक्रिया में Dual Approval या Maker-Checker प्रणाली लागू करें।
अगर ऐसी ठगी का प्रयास हो तो क्या करें?
यदि किसी कर्मचारी को संदिग्ध भुगतान निर्देश मिले—
- तुरंत अपने वरिष्ठ अधिकारी से सीधे बात करें।
- IT या Cyber Security टीम को सूचित करें।
- बैंक को तत्काल जानकारी दें यदि भुगतान हो चुका हो।
- राष्ट्रीय साइबर हेल्पलाइन 1930 पर शिकायत दर्ज करें।
- आधिकारिक पोर्टल www.cybercrime.gov.in पर ऑनलाइन रिपोर्ट करें।
आम लोगों के लिए भी क्यों जरूरी है यह चेतावनी?
हालांकि यह सलाह मुख्य रूप से कंपनियों के लिए जारी की गई है, लेकिन यही तरीका छोटे व्यापारियों, स्टार्टअप, स्कूल, अस्पताल, एनजीओ और यहां तक कि परिवारों में भी अपनाया जा सकता है।
आजकल साइबर अपराधी रिश्तेदार, बैंक अधिकारी, सरकारी कर्मचारी, वकील, चार्टर्ड अकाउंटेंट या कंपनी मालिक बनकर भी तत्काल पैसे भेजने का दबाव बनाते हैं। इसलिए किसी भी डिजिटल भुगतान से पहले पहचान की स्वतंत्र पुष्टि करना बेहद जरूरी है।
भविष्य में और बढ़ सकता है खतरा,,,
AI आधारित Voice Cloning, Deepfake वीडियो और पहचान की नकल करने वाली तकनीकें तेजी से विकसित हो रही हैं। विशेषज्ञों का मानना है कि आने वाले वर्षों में इस तरह के हमले और अधिक वास्तविक दिखाई देंगे। ऐसे में केवल तकनीकी सुरक्षा पर्याप्त नहीं होगी; कर्मचारियों की जागरूकता और मजबूत भुगतान प्रक्रिया भी उतनी ही महत्वपूर्ण होगी।
निष्कर्ष
SEBI की यह चेतावनी केवल कंपनियों के लिए नहीं, बल्कि हर उस व्यक्ति के लिए महत्वपूर्ण है जो डिजिटल माध्यम से धन का लेन-देन करता है। आज के समय में किसी भी “तुरंत भुगतान” वाले संदेश पर आंख बंद करके भरोसा करना भारी नुकसान का कारण बन सकता है। चाहे संदेश CEO के नाम से आए या किसी करीबी व्यक्ति के नाम से—पहले सत्यापन करें, फिर ही भुगतान करें। कुछ मिनट की सावधानी करोड़ों रुपये के नुकसान से बचा सकती है।
