केवायसी अपडेट - २

खूप व्यवस्थित मांडली आहे कथा..
Logical and possible situation नीट शब्दात वर्णन केली आहे.
आवडलीच. .

आधार कार्ड/ पॅन कार्ड अगदी हलगर्जी पद्धतीने वापतात भारतात, किंवा वापरायला लावतात.
आधार आणि पॅन कार्ड कसलेही प्रूफ असू शकत नाही. फक्त बँकेत अकाउंट उघडणे, कर्ज/ आर्थिक पात्रता पडताळणी साठी.... तेव्हाही फक्त क्रमांक (कार्डची कॉपी नकोच) पुरेसा असावा.
मी भारतातून कॅनडात गेल्यावर्षी दिवाळीचा फराळ मागवला तर त्या फराळा बरोबर पाठवणार्‍या दुकानाचे/ व्यक्तीचे आधार कार्ड आणि पॅन कार्डची कॉपी मला इकडे आली. ती मी नष्ट केली, पण त्याची काही एक गरज असू नये.
भारतात वय/ आयडेंटीटी याचा पुरावा हवा असेल तर काही दुसरं (वाहन चालक परवाना) असावं. ज्यांच्याकडे ते नाही त्यांना आणखी दुसरा कागद तयार करावा, पण आधार कार्ड कशाचंही प्रूफ म्हणून चालू नये. ते जोवर बंद होत नाही, तोवर कितीही सुरक्षा व्यर्थ आहे.

छान नेटकी कथा झाली आहे. आवडली. आधीच्या भागात पुढच्या भागाची आणि या भागात आधीच्या भागाची लिंक द्याल का? अशाने संपूर्ण कथा वाचणे सोपे जाते. धन्यवाद!
अमितव, +१ अमेरिकेत SSN जसा जपून ठेवायला सांगतात तसे आधार क्रमांकाचे करायला हवे होते. पण आपल्याकडे तसे काहीच झाले नाही. आता बहुतेक वेळ निघून गेली आहे.

छान झाली कथा.

>>आता बहुतेक वेळ निघून गेली आहे. >> नाही. उशीर नक्की झालेला आहे. डॅमेजही झालेला आहे, आणि भविष्यात होऊही शकेल. पण हे करायला वेळ कधीही निघुन जाणार नाही. आहे हे नुकसान मान्य करुन यापुढे होणार नाही याची काळजी घेतली तरी चुकीतुन काही शिकलो होईल.
वेळ निघुन गेली करुन हातावर हात धरुन बसलं, तर रोज नव्या जन्मणार्‍या बालकांचाही वयात येण्यापूर्वीच डेटा चोरीला गेलेला असेल.

खूप चांगली लिहिली आहे ही कथा.आपण सगळेच खूप एक्सपोजड आहोत.

आधार, पॅनचे फोटो लोकांच्या फोन मध्ये असतात. कोणीही मागितला की लगेच व्हॉट्सऍप वरून पाठवतात.

अजून एक म्हणजे डिजिटल सिग्नेचर. DSC बनवले की त्याला एक रिंग आणि त्यात छोटी नेमप्लेट अडकवून तयार नाव आणि पासवर्ड लिहून येते. लोक ते तसेच ठेवतात, पासवर्ड बदलत नाहीत. हे कंपनींंसीचे डायरेक्टर्स, CEO लोकांचे.
मग वार्षिक फाईलिंग करायला एक माणूस पाठवतो. त्याच्याकडे सगळ्यांचे DSC देतात, तो घेऊन जातो, काही दिवसांनी आणून देतो. DSC गहाळ झाली की पासवर्ड सकट कुणालाही सापडू शकते.

छान कथा आणि खूप महत्वाचा मेसेज...

मी भारतातून कॅनडात गेल्यावर्षी दिवाळीचा फराळ मागवला तर त्या फराळा बरोबर पाठवणार्‍या दुकानाचे/ व्यक्तीचे आधार कार्ड आणि पॅन कार्डची कॉपी मला इकडे आली.
>>>भाड्याने द्यायची संधी सोडलीत...

छान....

छान कथा.

खूप छान कथा. वडीलधार्यांना लगेच पाठवली.

छान कथा आणि खूप महत्वाचा मेसेज...>>> +१११११११११११११११११११११

सध्याच्या काळात सर्वांनीच लक्षात ठेवायची सूत्रे :
१. अनोळखी क्रमांकावरून आलेला संदेश किंवा कॉलमध्ये सांगितलेले app download करू नये किंवा लिंक वर क्लिक करू नये. तुमचे खाते / सिम २४ तासात बंद होईल आदी भीती घातली तरी त्याला भीक घालू नये. हॅॅकर्स हातघाईवर येतात. Genuine बँकेचा मेसेज असेल तर ते ७ / १५ दिवसांत home branch ला भेट द्या असे सांगतात. त्यामुळे फोनवरील व्यक्ती काहीही सांगत असेल तर तिला सरळ फाट्यावर मारावे.

२. OTP कोणाशीही शेअर करू नये. इतकेच काय तर sms ला lock screen notification मधून वगळावे. म्हणजे sms आला तरीही फोन unlock केल्याशिवाय lock screen वर वगैरे दिसला नाही पाहिजे. तुमचा फोन ऑफिसच्या डेस्कवर unattended राहिला तर त्यावेळेत कोणीही sms मधील OTP वाचून घोटाळे करू नये म्हणून हे आवश्यक आहे.

३. Screen चा sleep time कमीतकमी ठेवावा (१०-१५ सेकंद) त्यामुळे आपण कधी फोन lock करायला विसरलो तरी तो लवकरात लवकर lock झाला पाहिजे. काहीजण वारंवार फोन unlock करावा लागतो म्हणून ५ - ५ मिनिटांचा sleep time ठेवतात ज्यामुळे आपण फोन न वापरता बाजूला ठेवला तरी ५ मिनिटे फोन lock न होता तसाच राहतो.

४. आपल्या सिम कार्डला देखील पिन असतो, जो प्रत्येक वेळी फोन सुरु केल्यावर विचारला जाईल अशी setting करता येते, ती करून ठेवावी. (Xiaomi मध्ये sim lock नावाने आहे) त्यामुळे आपल्या फोनमधून कोणी सिम काढून दुसऱ्या फोनमध्ये टाकले तरी तिथे ते सिम थेट सुरु होत नाही. सिम कार्डला दिलेला पिन टाकल्यावरच ते सिम दुसऱ्या एखाद्या फोनमध्ये चालू शकते. नाहीतर आपण फोनला ढीगभर security सेट करतो आणि सिम कार्डकडे दुर्लक्ष करतो. दुर्दैवाने फोन हरवलाच तर ज्याला मिळेल तो सिम काढून स्वतःच्या फोनमध्ये टाकून misuse करू शकतो.

५. Public / Open WiFi वरुन किंवा सायबर कॅॅफे वा तत्सम shared computer वरुन आर्थिक व्यवहार करू नयेत. अगदी लॉगीन देखील करू नये. अशा shared computer मध्ये keylogger नावाचे software install असू शकते, जे आपण काय type करत आहोत ते रेकॉर्ड करते. कित्येक keyloggers मध्ये screen recording देखील होते, ज्यामुळे आपण virtual keyboard जरी वापरला तरी नेमके कोणत्या अक्षरांवर क्लिक करत आहोत हे रेकॉर्ड होऊ शकते.

६. बँक वा तत्सम आर्थिक व्यवहारांची वेबसाईट उघडताना स्वतः नाव type करावे. उदा. icici.com / sbiyono.sbi इ. ई-मेल मध्ये वगैरे आलेल्या लिंकवर क्लिक करू नये. वेबसाईट उघडल्यावर वेबसाईटच्या नावाच्या डाव्या बाजूस कुलुपाचे चिन्ह (किंवा https असे लिहिलेले) दिसते आहे ना याची खात्री करूनच मग username / password टाकावे. (असे कुलुपाचे चिन्ह मायबोली उघडल्यावर maayboli.com च्या बाजूसही पाहता येईल!) कुलुपाचे चिन्ह नसल्यास वा https ऐवजी http दिसल्यास username / password टाकू नये.

७. एकच password सर्वच वेबसाईटवर न वापरता प्रत्येक वेबसाईटला वेगळा password ठेवावा व हे password लक्षात राहत नसल्यास मोक्याच्या ठिकाणी (computer जवळच) लिहून न ठेवता आपल्या locker मध्ये लिहून ठेवावे. ते ही सांकेतिक भाषेत लिहिल्यास उत्तम! password मध्ये आपले / आपल्या घरातील व्यक्तीचे नाव, आडनाव, पाळीव प्राण्याचे नाव, गाडीचा / मोबाईल क्रमांक अशी सहज दुसऱ्याला अंदाज व्यक्त करता येईल अशा पद्धतीने password ठेवू नये. password मध्ये uppercase letters, lowercase letters, numbers, symbol यांची सरमिसळ करावी.
passwordmeter.com या संकेतस्थळावर आपण ठेवू इच्छित असलेला password किती strong आहे हे पाहू शकतो. अर्थात तेथेही पूर्ण password टाकू नये, कारण passwordmeter.com कडेही आपला password save होण्याची शक्यता नाकारता येत नाही!
passwordmeter.com अनुसार:
maayboli हा password फक्त ८% सुरक्षित आहे तर Ma@4Bol! हा password ८२% सुरक्षित आहे!

८. Debit / Credit card चा पिन कार्डवर वा कार्डच्या कागदी पाऊचवर वगैरे लिहून ठेवू नये. तो लक्षातच ठेवावा. आपले कार्ड घरातील व्यक्तीला वापरायला दिले असेल तर त्यांना पिन फोनवरून सांगू नये. sms / WhatsApp करावा.

९. Debit / Credit card च्या मागील बाजूस असणारा ३ अंकी CVV क्रमांक देखील share करू नये. शक्य असल्यास तो लक्षात ठेवून कार्ड वरून खोडून टाकावा. किंवा कार्डवर सांकेतिक भाषेत / चिन्हात (जे फक्त आपल्याला माहिती असेल) लिहून मूळ CVV खोडून टाकावा.

१०. आजकाल बहुतांश Debit / Credit card मध्ये Visa Paywave ही सुविधा मिळते ज्याने कार्ड स्वाईप मशीनवर फक्त tap करून रु. ५०००/- पर्यंतचे पेमेंट पिन नंबरशिवाय करता येते. (आधी ही मर्यादा रु. २०००/- होती). आपली बँक, RBI किंवा Visa company यांच्या दृष्टीने रु. ५०००/- ही अगदी किरकोळ रक्कम असली तरी आपल्यासाठी ती खूप मोठी आहे. त्यामुळे शक्यतो हे Visa Paywave feature बंद करावे, जेणेकरून अगदी १ रुपयाचे जरी पेमेंट करायचे असेल तरीही ते आपण पिन टाकल्याशिवाय होता कामा नये. YouTube वर दाखवतात तसे अगदी pant च्या खिशाजवळ स्वाईप मशीन आणून वगैरे जरी पेमेंट शक्य नसले तरी चुकून कार्ड हरवलेच तर ते आपण customer care ला फोन करून block करेपर्यंत त्यावरून पेमेंट होऊन आपल्याला फटका बसू शकतो.
जर बँक हे feature बंद करण्यास तयार नसेल किंवा हे feature बंद करण्याचा पर्याय उपलब्ध नसेल तर एखाद्या powerful torch चा वापर करून कार्ड मधील RFID चीप शोधून काढून तिथे punch machine ने होल पाडून ती चीप काढून टाकावी किंवा त्या चीप ला असणारी coil मध्येच कट करावी, जेणेकरून ती चीप काम करणार नाही. त्यामुळे Visa Paywave (Tap & Go) feature बंद होते. खाली दिलेला माझ्या कार्डचा फोटो पहा:

(वरील छायाचित्रात 1008 या क्रमांकाच्या बाजूला जे WiFi सारखे चिन्ह दिसते आहे तेच Visa Paywave चे चिन्ह. ते ज्या कार्डवर असेल तर याचा अर्थ त्या कार्डने tap & go पद्धतीने पिन नंबरशिवाय रु. ५०००/- पर्यंतचे पेमेंट होऊ शकते. तसे होऊ नये म्हणून मी माझ्या कार्ड मधील RDIF chip काढून टाकली आहे. लाल रंगाचे वर्तुळ पहा. ती चीप काढल्याने कार्ड बाद होत नाही. स्वाईप मशीनमध्ये insert करून, पिन टाकून व्यवस्थित पेमेंट होते, केवळ tap & go बंद होते.

छान कथा.

छान झाली कथा ! जवळच्या नातेवाईक (ज्येना) फसले गेले लाखाला चोट बसली होती. जितक्य्ा सोयी झाल्या तितके असुरक्षित झालो आहोत. पूर्वी पाकीटमारी होत होती आता ही नेटमारी
विमु , सुत्रे फार उपयोगी लक्षात ठेवीन.

विमु छान सूत्रावली.
माझे ICICI चे क्रेडिट कार्ड आहे. त्यात बँकेच्या वेबसाईट वरून WiFi Payware बंद चालू करता येते, चालू ठेवले तर त्यात transaction limit सेट करता येते.

छान कथा!
विमु छान सूत्रावली. >>+१

छान कथा!

विक्षिप्त_मुलगा - very useful information. Thanks.

<< ४)बाहेरगावी जाताना किंवा रात्रीच्या वेळेस वाय-फाय राऊटर जरूर बंद करावे. >>
त्याने काय होणार? उलट तुमचे वाय-फाय नेटवर्क स्ट्रॉंग पासवर्डने सुरक्षित करा म्हणजे कुणाही अनोळखी व्यक्तीला ते वापरता येणार नाही आणि मग बिनधास्त वाय-फाय राऊटर २४ तास चालू ठेवा.

<< << ४)बाहेरगावी जाताना किंवा रात्रीच्या वेळेस वाय-फाय राऊटर जरूर बंद करावे. >>
त्याने काय होणार? उलट तुमचे वाय-फाय नेटवर्क स्ट्रॉंग पासवर्डने सुरक्षित करा म्हणजे कुणाही अनोळखी व्यक्तीला ते वापरता येणार नाही आणि मग बिनधास्त वाय-फाय राऊटर २४ तास चालू ठेवा. >>
------- पासवर्ड मजबूत हवाच, आणि जास्त काळ वापर नसेल होणार तर वाय-फाय बंद केल्याने काही नुकसान नाही.

पासवर्ड कितीही मजबूत असला तरी तो ब्रेक होण्याची थोडीफार शक्यता आहेच. पण वायफाय बंद केल्या मुळे गैरवापर होण्याची शक्यता जवळपास नाही. सुरक्षेच्या दोन लेयर्स मिळतात.

WiFi सर्विस प्रोव्हायडरचे राऊटर (माझ्याकडे एअरटेल आहे) चांगले नसतात असा अनुभव आहे. डिव्हाईस ते राऊटरच पॅकेट्स ड्रॉप होतात. दोन राऊटर बदलले तरी तेच.
आणि सुरक्षेच्या दृष्टीनेही दुसरा चांगला राऊटर घेणे मला योग्य वाटले, म्हणुन एअरटेल राऊटरवर वायफाय डिसेबल करून टाकले आणि D-Link चा दुसरा राऊटर एअरटेल राऊटर पुढे लावला WiFi साठी. (दुसरा राऊटर एअरटेल राऊटरचा वायर्ड क्लायंट).
सर्व्हिस प्रोव्हायडर करुन जे राऊटर दिले जातात ते हॅक होण्याची शक्यता जास्त असे मला वाटते. (त्यातील बग्ज सर्वांना माहीत असणे वगैरे). हे चुकीचेही असू शकते.

पासवर्ड क्रॅक करणं इतकं ही सोपे नाही. अर्थात कुणी २० वर्षांपूर्वीचे वेप वापरत असतील तर भाग वेगळा. त्याकाळी वॉर ड्रायव्हिंग इ. शब्द ऐकले होते. तुम्ही आज तो शब्द लिहिला तेव्हा अचानक २००५ चा काळ आणि टी जे मॅक्स मधली चोरी आठवली.
व्यवस्थित सिक्युरिटी प्रोटोकॉल वापरला की राउटर बंद करून अथवा चालू ठेवून बार फार रेज होईल असं वाटत नाही.

Submitted by Kavita Datar on 11 September, 2021 - 18:48

यात 'कविता दातार' यांनी वापरलेल्या 'Juice Jacking' या term विषयी (शेवटचा मुद्दा):

Juice Jacking हे एक प्रकारचे hacking tool आहे जे सार्वजनिक ठिकाणी (उदा. विमानतळ, मॉल्स इ.) उपलब्ध असलेल्या charging USB port मध्ये बसवलेले असू शकते. अशा सार्वजनिक ठिकाणी आपल्याला बरेचदा Free Mobile Charging Point दिसतो. त्यामध्ये (सर्वच ठिकाणी नाही) समोर आपल्याला केवळ USB port दिसत असला तरीही त्याच्यामागे आपल्या मोबाईलमधील data (विशेषतः फोटो, video) copy करून save करून ठेवणारे circuit असू शकते. आपण त्यात आपली USB cable वापरून फोन चार्जिंगला लावला की चार्जिंग सुरु होतेच पण background ला आपल्या फोनमधील data त्यांच्या circuit मधील memory मध्ये save होऊ शकतो!

आता यापासून कसे वाचायचे?
१. आपली power bank सोबत ठेवा, फोनची battery कमी झाली तर पावर बँकेचा वापर करा.
२. आपल्या फोनचा original adaptor सोबत ठेवा आणि चार्जीग स्टेशनवरील USB ऐवजी नेहमीचा ३ पिन socket असल्यास तो वापरा. यामुळे २ फायदे होतील. फोनचा original charger वापरल्याने battery चांगली राहील व शिवाय power socket मध्ये जोडलेल्या charger मधून कोणत्याही प्रकारचा data ट्रान्स्फर होऊ शकत नाही.
३. जर charging station (point) वरील USB port चा वापर करायचीच वेळ आली तर आधी power bank चार्ज करून घ्या आणि मग power bank charging point वरून काढून मग त्याने आपला मोबाईल चार्ज करा. असे केल्याने समजा त्या सार्वजनिक ठिकाणच्या USB port च्या मागे juice jacking करणारे circuit असलेच तरीही आपण त्याला power bank जोडल्याने कोणताही data ट्रान्स्फर होऊ शकत नाही, कारण power bank मध्ये कोणत्याही प्रकारचा data store नसतो!
४. जर आपल्याकडे power bank सुद्धा नसेल आणि public USB charging point चा वापर करण्याची वेळ आलीच तर फोन पूर्णपणे बंद (switch off) करून चार्ज करा किंवा charging only cable चा वापर करा. (अशा charging only cables बाजारात उपलब्ध आहेत.)
https://www.amazon.in/PortaPow-Specialised-3-3ft-20AWG-Charge/dp/B00RQ5AZ6Q
५. जर आपल्याला charging only cable नाही मिळाली तर आपणही ती बनवू शकता. कोणत्याही USB cable च्या आत ४ wires असतात. लाल, काळी, हिरवी आणि पांढरी. त्यापैकी लाल व काळ्या रंगाची वायर power carry करते तर हिरव्या व पांढऱ्या रंगाची वायर data carry करते. जर आपल्याकडे जुनी एखादी USB cable असेल तर त्यावरील आच्छादन (outer layer) काढल्यावर आत वरील ४ रंगाच्या वायर्स दिसतील. त्यापैकी लाल व काळ्या वायरला काहीही न करता केवळ हिरवी आणि पांढऱ्या रंगाची वायर कापून टाकावी. त्यामुळे data चा येण्या-जाण्याचा मार्गच बंद झाल्याने त्या cable मधून केवळ power deliver होईल!
६. जर वरील प्रकारे वायरची कापाकापी करून charging only cable बनवणे कठीण वाटत असेल किंवा जुनी केबल नसल्याने सध्याच्या केबलची अशी कापाकापी करायची नसेल तर 'USB data blocker' नावाचा एक adaptor मिळतो ज्यात असेच connection केलेले असते. म्हणजे फक्त +5 V (लाल) व GND (काळा) याच वायरचे connection केलेले असते व Data + व Data - वायरचे connection केलेले नसते. त्यामुळे केवळ power ट्रान्स्फर होते. (याच डिवाईसला 'USB Condom' असेही म्हणतात! नाव थोडे विचित्र आहे खरे!)
https://www.amazon.in/PortaPow-Charge-Block-Adaptor-SmartCharge/dp/B00QR...

छान कथा आवडली.
या निमित्त्ताने प्रतिसादातही छान माहिती आली
विक्षिप्त मुलगा यांचेही आभार

<< So its better to switch of router, when not in use. >>
स्ट्रॉंग पासवर्ड असेल तर तो क्रॅक करणे इतके सोपे नाही. त्यामध्ये वेळ वाया घालवण्यापेक्षा क्रॅकर दुसरे नेटवर्क शोधेल, जे अनसिक्युर्ड आहे. पण तरी मान्य करू की क्रॅकरला तुमचेच नेटवर्क भेदायचे आहे. अश्यावेळी तो तुम्ही झोपायची किंवा गावी जायची वाट बघत बसणार नाही, दिवसाढवळ्या पण पासवर्ड क्रॅक करायचा प्रयत्न करेल. त्यामुळे राऊटर बंद करा हे सांगणे म्हणजे fear mongering (अनावश्यक भीती दाखवणे) आहे.

<< आलेल्या फोन आणि एसएमएस चे लोकेशन फॉरेन्सिक टूल द्वारे तिने शोधून काढले. >>
चोराने जर VPN वापरून VOIP ने कॉल केला असता तर लोकेशन शोधता आले असते का? फोनवरून नेहमीप्रमाणे फोन केला असता तर कुठल्या फोन टॉवरवरून कॉल आला ते कळलं असतं, फोन कुठे बसून केला ते कसं कळणार?

'Juice Jacking' बद्दल माहिती उपयोगी आहे. पण सार्वजनिक ठिकाणी चार्जिंग करायची शक्यता किती आणि त्यातून पुन्हा तो चार्जर tainted असण्याची शक्यता किती? शिवाय जर USB debugging enabled असेल तर डेटा ट्रान्सफर करू का? असा प्रॉम्प्ट येणार नाही का?

राऊटर बंद करा हे सांगणे म्हणजे fear mongering (अनावश्यक भीती दाखवणे) आहे. >> फिअर मॉंगरिंग परवडलं. पण राऊटर बंद करणे हे फॉल्स सिक्युरिटी दाखवणं आहे. जे आणखीच घातक आहे.