موبائل ڈیوائسز پر عام جعلسازیاں
موبائل ڈیوائسز پر عام جعلسازیاں
ہوم
آرٹیکلز
موبائل ڈیوائسز پر عام جعلسازیاں

موبائل ڈیوائسز پر عام جعلسازیاں

نو آموز
شائع کردہ May 13, 2019اپڈیٹ کردہ Oct 4, 2022
8m

کمیونٹی کی جانب سے جمع کروانا - مصنف: WhoTookMyCrypto.com

2017 کرپٹو کرنسی انڈسٹری کے لیے ایک شاندار سال تھا کیونکہ ان کی مالیتوں میں فوری اضافے نے ان کو مین اسٹریم میڈیا میں شامل کر دیا ہے۔ یقینی طور پر، اس کے باعث عوام الناس نیز سائبر مجرمان میں کافی حد تک ان کے حوالے سے دلچسپی پیدا ہوئی۔ کرپٹو کرنسیز کی جانب سے پیشکش کردہ اضافی گمنامی نے ان کو مجرمان کے لیے پسندیدہ بنا دیا ہے جو انہیں اکثر روایتی بینکنگ سسٹمز کو نظر انداز کرنے اور ریگولیٹرز کی جانب سے مالیاتی نگرانی سے بچنے کے لیے استعمال کرتے ہیں۔

یہ مد نظر رکھتے ہوئے کہ لوگ ڈیسک ٹاپس سے زیادہ اپنے اسمارٹ فونز پر وقت گزارتے ہیں، اس میں کوئی تعجب کی بات نہیں کہ سائبر مجرمان نے بھی اپنی توجہ کا رخ یہاں موڑ دیا ہے۔ درج ذیل بیان اس بات کی نشاندہی کرتا ہے کہ جعلساز کرپٹو کرنسی صارفین کو ان کے موبائل ڈیوائسز کے ذریعے کیسے ہدف بنا رہے ہیں، نیز ان مراحل کی بھی نشاندہی کی گئی ہے جن پر صارفین عمل پیرا ہو کر خود کو محفوظ رکھ سکتے ہیں۔


جعلی کرپٹو کرنسی ایپس

جعلی کرپٹو کرنسی ایکسچینج ایپس

جعلی کرپٹو کرنسی ایکسچینج ایپ کی مشہور ترین مثال ممکنہ طور پر Poloniex ہے۔ جولائی 2018 میں اپنی آفیشل موبائل ٹریڈنگ ایپ کی لانچ سے پہلے، Google Play پہلے سے ہی متعدد جعلی Poloniex ایکسچینج ایپس کی فہرست سازی کر رہا تھا، جن کو دانستہ طور پر کام کرنے کے لیے ڈیزائن کیا گیا تھا۔ ایسی جعلی ایپس ڈاؤن لوڈ کرنے والے اکثر صارفین کے Poloniex لاگ ان کی اسناد خطرے کی زد میں آئیں، اور ان کی کرپٹو کرنسیز چوری ہو گئیں۔ کچھ ایپس نے صارفین کے Gmail اکاؤنٹس کی لاگ ان اسناد کی درخواست کرتے ہوئے جعلسازی کرنے کے لیے ایک قدم اور بڑھایا۔ اس بات کی نشاندہی کرنا اہم ہے کہ دو عوامل پر مبنی منظوری (2FA) کے بغیر اکاؤنٹس ہی خطرے کی زد میں آئے۔

درج ذیل مراحل آپ کو اس طرح کی جعلسازیوں سے بچنے میں مدد دے سکتے ہیں۔

  • اس بات کی تصدیق کرنے کے لیے ایکسچینج کی آفیشل ویب سائٹ ملاحظہ کریں کہ آیا انہوں نے واقعی میں موبائل ٹریڈنگ ایپ کی پیشکش کی ہے۔ اگر ایسا ہے، تو ان کی ویب سائٹ پر فراہم کردہ لنک استعمال کریں۔

  • جائزوں اور درجہ بندیوں کو پڑھیں۔ جعلی ایپس کے منفی جائزے بہت زیادہ ہوتے ہیں جہاں لوگ جعلسازی کا شکار ہونے کے حوالے سے شکایت کرتے ہیں، لہٰذا ڈاؤن لوڈ کرنے سے پہلے ان کو دیکھنا یقینی بنائیں۔ تاہم، آپ کو مثبت درجہ بندیوں اور تبصروں کی حامل ایپس کا بھی بغور جائزہ لینا چاہیئے۔ ہر قانونی ایپ اپنے منفی جائزوں کو بھی غیر جانبدار طور پر شیئر کرتی ہے۔

  • ایپ ڈویلپر کی معلومات ملاحظہ کریں۔ یہ دیکھیں کہ آیا قانونی کمپنی، ای میل ایڈریس، اور ویب سائٹ فراہم کی گئی ہے۔ آپ کو یہ دیکھنے کے لیے فراہم کردہ معلومات پر ایک آن لائن تلاش بھی سر انجام دینی چاہیئے کہ آیا وہ واقعی آفیشل ایکسچینج سے متعلقہ ہیں۔

  • ڈاؤن لوڈز کی تعداد چیک کریں۔ ڈاؤن لوڈ کی تعداد کو بھی زیر غور لانا چاہیئے۔ یہ غیر متوقع بات ہے کہ مشہور ترین کرپٹو کرنسی ایکسچینج کے ڈاؤن لوڈز کی تعداد کم ہو۔

  • اپنے اکاؤنٹس پر 2FA فعال کریں۔ 2FA اگرچہ 100% محفوظ نہیں، تاہم اس کو نظر انداز کرنا کافی مشکل ہے اور یہ آپ کے فنڈز کی حفاظت کرنے میں واضح فرق ثابت ہو سکتی ہے، چاہے آپ کے لاگ ان کی اسناد کو چوری ہی کیوں نہ کر لیا گیا ہو۔


جعلی کرپٹو کرنسی والیٹ ایپس

جعلی ایپس کی بہت ساری مختلف اقسام ہوتی ہیں۔ ایپ کی ایک قسم صارفین سے ذاتی معلومات حاصل کرنا چاہتی ہے جیسا کہ ان کے والیٹ کے پاس ورڈز اور نجی کلیدیں۔

بعض صورتوں میں، جعلی ایپس صارفین کو گزشتہ طور پر تخلیق کردہ  عوامی ایڈریسز فراہم کرتی ہیں۔ لہذا انہیں لگتا ہے کہ فنڈز کو ان ایڈریسز پر ڈپازٹ کرنا ہو گا۔ تاہم، یہ نجی کلیدوں تک رسائی حاصل نہیں کرتے اور اس لیے انہیں ان فنڈز تک رسائی حاصل نہیں ہوتی جو ان کو بھیجے جاتے ہیں۔

اس طرح کے جعلی والیٹس کو مشہور کرپٹو کرنسیز کے لیے تخلیق کیا جا رہا ہے جیسا کہ Ethereum اور Neo، اور بدقسمتی سے، اکثر صارفین اپنے فنڈز سے محروم ہو گئے۔ یہاں کچھ احتیاطی تدابیر ہیں جنہیں جعلسازی کا شکار ہونے سے بچنے کے لیے اپنایا جا سکتا ہے:

  • اوپر ایکسچینج ایپ کے سیگمینٹ میں واضح کردہ احتیاطی تدابیر مساوی طور پر قابل اطلاق ہیں۔ تاہم، والیٹس ایپس کے ساتھ ڈیل کرتے ہوئے آپ یہ اضافی احتیاطی تدبیر اپنا سکتے ہیں کہ ایپ کو پہلی مرتبہ کھولتے وقت یہ یقینی بنائیں کہ بالکل نئے ایڈریسز تخلیق کیے گئے ہیں، اور یہ کہ نجی کلیدیں (یادداشت میں معاون سیڈز ) آپ کی ملکیت میں ہیں۔ ایک قانونی والیٹ ایپ آپ کو نجی کلیدیں برآمد کرنے کی اجازت دیتی ہے، لیکن اس بات کو یقینی بنانا بھی اہم ہے کہ نئی کلید کے جوڑوں کی تخلیق خطرے کی زد میں نہیں۔ لہٰذا آپ کو ایک مشہور سافٹ ویئر (ترجیحاً اوپن سورس) استعمال کرنا چاہیئے۔

  • یہاں تک کہ ایپ آپ کو نجی کلید (یا سیڈ) فراہم کرے، آپ کو تب بھی تصدیق کرنی چاہیئے کہ آیا ان سے عوامی ایڈریسز اخذ کیے جا سکتے ہیں اور ان تک رسائی حاصل کی جا سکتی ہے۔ مثال کے طور پر، کچھ Bitcoin والیٹس صارفین کو ایڈریسز دیکھنے اور فنڈز تک رسائی حاصل کرنے کی خاطر اپنی نجی کلیدوں یا سیڈز کو در آمد کرنے کی اجازت دیتے ہیں۔ کلیدوں اور سیڈز کا خطرے کی زد میں آنے کے امکان کو کم کرنے کے لیے، آپ اس کو ایئر گیپڈ کمپیوٹر (انٹرنیٹ سے غیر مربوط کردہ) پر سر انجام دے سکتے ہیں۔


کرپٹو جیکنگ ایپس

کرپٹو جیکنگ سائبر مجرمان کی خاطر مشہور ترین عمل رہا ہے کیوںکہ اس میں داخلے کے لیے رکاوٹیں کم ہوتی ہیں اور کم لاگتیں درکار ہوتی ہیں۔ اس کے علاوہ، یہ ان کو طویل عرصے کی متواتر آمدنی حاصل کرنے کے لیے صلاحیت کی پیشکش کرتا ہے۔ PCs کے مقابلے میں اپنی کم پروسیسنگ پاور کے باوجود، موبائل ڈیوائسز تیزی سے کرپٹو جیکنگ کا ہدف بن رہی ہیں۔

ویب براؤزر کرپٹو جیکنگ کے علاوہ، سائبر مجرمان ایسے پروگرامز تخلیق کر رہے ہیں جو قانونی گیمنگ، یوٹیلیٹی یا تعلیمی ایپس کے طور پر دکھائی دیتے ہیں۔ تاہم، ان میں سے اکثر ایپس کو پس منظر میں خفیہ طور پر کرپٹو مائننگ اسکرپٹس چلانے کے لیے ڈیزائن کیا جاتا ہے۔

کچھ کرپٹو جیکنگ ایپس ایسی ہوتی ہیں جن کی قانونی فریق ثالث مائنرز کے طور پر تشہیر کی جاتی ہے، لیکن انعامات صارفین کے بجائے ایپ ڈویلپر کو وصول ہو جاتے ہیں۔

چیزوں کو بدتر کرنے کے لیے، سائبر مجرمان پکڑے جانے سے بچنے کے لیے لائٹ ویٹ مائننگ الگورتھمز کو ترتیب دیتے ہوئے، بہت زیادہ تجربہ کار ہو گئے ہیں۔

کرپٹو جیکنگ آپ کی موبائل ڈیوائسز کے لیے نہایت نقصان دہ ہے کیوںکہ کارکردگی کو کے معیار کو کم کر دیتے ہیں اور ٹوٹ پھوٹ میں اضافے کا باعث بنتے ہیں۔ اس سے بھی بدتر یہ کہ، وہ مزید مذموم مالویئر کے لیے ٹروجن ہارس کے طور پر کام کر سکتے ہیں۔ 

ان سے حفاظت کرنے کے لیے درج ذیل مراحل پر عمل کیا جا سکتا ہے۔

  • صرف آفیشل اسٹورز سے ایپس ڈاؤن لوڈ کریں، جیسا کہ Google Play۔ چوری شدہ ایپس پہلے سے اسکین کردہ نہیں ہوتی اور ان میں کرپٹو جیکنگ اسکرپٹس کے شامل ہونے کا امکان زیادہ ہوتا ہے۔

  • اپنے فون کی بیٹری ختم ہونے یا اس کے زیادہ گرم ہو جانے کے حوالے سے اس کی نگرانی کریں۔ پتہ لگانے کے بعد، اس کا باعث بننے والی ایپس کو ختم کریں۔

  • اپنی ڈیوائسز اور ایپس کو اپڈیٹ رکھیں تاکہ  سکیورٹی کے کمزور پہلوؤں کا ازالہ کیا جا سکے۔

  • ایسا ویب براؤزر استعمال کریں جو کرپٹو جیکنگ سے حفاظت کرے یا مشہور براؤزر پلگ انز انسٹال کریں، جیسا کہ MinerBlock، NoCoin، اور Adblock۔

  • اگر ممکن ہو، تو موبائل اینٹی وائرس سافٹ ویئر انسٹال کریں اور اس کو اپڈیٹ رکھیں۔


مفت تحفہ اور جعلی کرپٹو مائنر ایپس

یہ ایسی ایپس ہیں جو ظاہری طور پر تو اپنے صارفین کے لیے کرپٹو کرنسیز مائن کرتی ہیں لیکن اصل میں اشتہارات ڈسپلے کرنے کے علاوہ کچھ نہیں کرتیں۔ یہ وقت کے ساتھ صارفین کے انعامات میں اضافے کو ظاہر کرتے ہوئے ان کو ایپس کھلی رکھنے کی ترغیب دیتی ہیں۔ بعض ایپس صارفین کو انعامات حاصل کرنے کی لالچ دے کر 5 اسٹار درجہ بندی دینے کی ترغیب بھی دیتی ہیں۔ یقینی طور پر، ان میں سے کوئی بھی ایپ مائننگ نہیں کر رہی تھی، اور ان کے صارفین کو کبھی بھی انعامات موصول نہیں ہوئے۔

اس جعلسازی سے محفوظ رہنے کے لیے، یہ بات سمجھیں کہ اکثر کرپٹو کرنسیز کے لیے، مائننگ انتہائی خاص ہارڈ ویئر (ASICs) کا مطالبہ کرتی ہے، جس کا مطلب یہ ہے کہ موبائل ڈیوائس پر مائن کرنا ممکن نہیں۔ آپ جو بھی رقم مائن کریں گے وہ نسبتاً آسان ہو گی۔ اس طرح کی ایپس سے دور رہیں۔


کلپر ایپس

اس طرح کی ایپس آپ کے کاپی کردہ کرپٹو کرنسی ایڈریسز کو تبدیل کرتی ہیں اور ان کا حملہ آوروں کے ایڈریسز کے ساتھ تبادلہ کر دیتی ہیں۔ لہٰذا، متاثرہ فرد کا رسید کا درست ایڈریس کاپی کرنے کے باوجود بھی، ٹرانزیکشن کو پروسیس کرنے کے لیے پیسٹ کیا جانے والا ایڈریس حملہ آوروں کی جانب سے تبدیل کر لیا جاتا ہے۔

ان ایپس کا شکار ہونے سے بچنے کے لیے، یہاں کچھ احتیاطی تدابیر ہیں جنہیں آپ ٹرانزیکشن کو پروسیس کرتے وقت اپنا سکتے ہیں۔

  • ہمیشہ اس ایڈریس کو دو اور تین مرتبہ چیک کریں جس کو آپ رسید کی فیلڈ میں پیسٹ کر سکتے ہیں۔ بلاک چین ٹرانزیکشنز ناقابل واپسی ہوتی ہیں لہٰذا آپ کو ہمیشہ محتاط رہنا چاہیئے۔

  • ایڈریس کے حصوں کے بجائے اس کی مکمل طور پر تصدیق کرنا اہم ہے۔ کچھ ایپس ان ایڈریسز کو پیسٹ کرنے کے حوالے سے ماہر ہوتی ہیں جو آپ کے مطلوبہ ایڈریس سے مماثل معلوم ہوتے ہیں۔


SIM سواپنگ

SIM سواپنگ جعل سازی میں، ایک سائبر مجرم صارف کے فون نمبر تک رسائی حاصل کر لیتا ہے۔ وہ موبائل فون آپریٹرز کو ایک نئے سم کارڈ کے اجراء کرنے کی خاطر دھوکہ دینے کے لیے  سوشل انجینئرنگ تکنیک کو استعمال میں لاتے ہیں۔ مشہور ترین SIM سواپنگ کی جعل سازی کا شکار کرپٹو کرنسی کے کاروباری ناظم Michael Terpin بنے۔ انہوں نے الزام لگایا کہ AT&T ان کے موبائل فون کی اسناد کو ہینڈل کرنے میں کوتاہی برت رہا تھا جس کے باعث انہیں 20 ملین سے زائد US ڈالرز کی مالیت کے ٹوکنز کا نقصان اٹھانا پڑا۔

جب سائبر مجرمان آپ کے فون نمبر تک رسائی حاصل کر لیتے ہیں، تو وہ اس پر انحصار کرنے والے کسی بھی 2FA کو نظر انداز کرنے کے لیے استعمال کر سکتے ہیں۔ وہاں سے، وہ آپ کے کرپٹو کرنسی والیٹس اور ایکسچینجز میں اپنی مرضی سے کام کر سکتے ہیں۔

سائبر مجرمان آپ کے SMS مواصلات کی نگرانی کرنے جیسا ایک اور طریقہ کار استعمال کر سکتے ہیں۔ مواصلات میں خرابیاں نیٹ ورکس کو اس بات کی اجازت دے سکتی ہیں کہ وہ آپ کے ان پیغامات میں دخل اندازی کریں جن میں آپ کو بھیجی گئی دو عوامل کی پِن شامل ہے۔

اس حملے کو یہ چیز خاص طور پر خطرناک بناتی ہے کہ صارفین کو کوئی کارروائی کرنے کی ضرورت نہیں پڑتی، جیسا کہ جعلی سافٹ ویئر ڈاؤن لوڈ کرنا یا مشکوک لنک پر کلک کرنا۔

اس طرح کی جعل سازیوں کا شکار ہونے سے بچنے کے لیے، یہاں کچھ مراحل ہیں جنہیں زیر غور لایا جا سکتا ہے۔

  • اپنے موبائل فون نمبر کو SMS 2FA کے لیے استعمال نہ کریں۔ اس کے بجائے، اپنے اکاؤنٹس کو محفوظ رکھنے کے لیے Google توثیق کار یا Authy کا استعمال کریں۔ سائبر مجرمان آپ کا فون نمبر حاصل کر لینے کے باوجود ان ایپس تک رسائی حاصل نہیں کر سکتے۔ متبادل طور پر، آپ ہارڈ ویئر 2FA استعمال کر سکتے ہیں جیسا کہ YubiKey یا Google کی Titan Security Key۔

  • سوشل میڈیا پر اپنی ذاتی معلومات افشاء نہ کریں، جیسا کہ اپنا موبائل فون نمبر۔ سائبر مجرمان یہ معلومات اکٹھی کر سکتے ہیں اور آپ کو کسی اور جگہ آپ کا روپ دھارنے کے لیے استعمال کر سکتے ہیں۔ 

  • آپ کو کبھی بھی سوشل میڈیا پر یہ اعلان نہیں کرنا چاہیئے کہ آپ کرپٹو کرنسیز کے مالک ہیں کیوںکہ اس سے آپ کسی کا ہدف بن سکتے ہیں۔ یا اگر آپ ایسی پوزیشن پر ہیں جہاں ہر کسی کو معلوم ہے کہ آپ کرپٹو کرنسیز کے مالک ہیں، تو ایکسچینجز اور اپنے زیر استعمال والیٹس کی معلومات سمیت ذاتی معلومات افشاء کرنے سے اجتناب کریں۔

  • اپنے اکاؤںٹ کو محفوظ رکھنے کے لیے اپنے موبائل فون کے فراہم کنندگان کے ساتھ مل کر مںصوبہ بندی کریں۔ اس کا مطلب اپنے اکاؤنٹ کے ساتھ پن یا پاس ورڈ منسلک کرنا اور یہ بیان کرنا ہو سکتا ہے کہ پن کی معلومات کے حامل صارفین اکاؤںٹ میں تبدیلیاں کر سکتے ہیں۔ متبادل طور پر، آپ کو یہ تبدیلیاں بالمشافہ طور پر کرنے اور فون پر ان سے منع کرنے کی ضرورت پڑ سکتی ہے۔


WiFi

سائبر مجرمان باقاعدگی سے موبائل ڈیوائسز میں انٹری پوائنٹس تلاش کرتے ہیں، خاص طور پر کرپٹو کرنسی کے صارفین میں سے ایک صارف کی موبائل ڈیوائس۔ ان میں سے ایک انٹری پوائںٹ WiFi تک رسائی کا پوائنٹ ہوتا ہے۔ عوامی WiFi غیر محفوظ ہے اور صارفین کو ان سے مربوط ہونے سے پہلے احتیاطی تدابیر اپنانی چاہیئیں۔ اگر ایسا نہیں کرتے، تو وہ اپنے موبائل ڈیوائسز پر سائبر مجرمان کی جانب سے ڈیٹا تک رسائی حاصل کرنے کے خطرے سے دوچار ہوتے ہیں۔ ان احتیاطی تدابیر کو عوامی WiFi پر آرٹیکل میں شامل کیا گیا ہے۔


اختتامی خیالات

موبائل فونز ہماری زندگی کا اہم حصہ بن گئے ہیں۔ درحقیقت، یہ آپ کی ڈیجیٹل شناخت کے ساتھ اس حد تک منسلک ہیں کہ یہ آپ کی سب سے بڑی کمزوری بن سکتے ہیں۔ سائبر مجرمان اس سے باخبر ہوں گے اور اس کا غلط استعمال کرنے کے طریقہ کار کو تلاش کرنا جاری رکھیں گے۔ اپنی موبائل ڈیوائسز کو محفوظ کرنا اب آپشنل نہیں رہا۔ یہ ایک ضرورت بن چکی ہے۔ محفوظ رہیں۔