मोबाइल अॅपद्वारे पैशांचे व्यवहार करणं ही आता सोपी आणि म्हणूनच सोयीची गोष्ट झाली आहे. मात्र हा व्यवहार करत असताना किती जण त्यातले धोके लक्षात घेतात? किती जणांना त्या त्या अॅपची पूर्ण माहिती असते? तर ती अनेकांना नसतेच. याच अज्ञानाचा गैरफायदा घेऊन सायबर गुन्हेगार अनेकांची फसवणूक करतात. पैसे खात्यातून वळते झाल्यावरच सामान्यांना आपण फसवले गेलो असल्याचं लक्षात येतं. काय आहे ही ‘डिजिटल पाकीटमारी’आणि ती होऊ नये म्हणून काय लक्षात ठेवावं याविषयी..
माझ्या एका मैत्रिणीला ‘डिजिटल पाकीटमारा’मुळे नुकताच साडेअकरा हजार रुपयांचा फटका बसला. तिनं घरातली एक जुनी वस्तू एका ऑनलाइन संकेतस्थळावर ६,५०० रुपयांना विकायला ठेवली. संकेतस्थळावर ती पोस्ट टाकल्यावर पंधरा मिनिटांत एकाचा फोन आला आणि त्यानं वस्तू विकत घेण्यात रस दाखवला. ‘मी आत्ता पुण्यात नाही, माझी बायको नंतर येऊन वस्तू बघून जाईल. पण मला ती वस्तू हवीच आहे,’ असं तो म्हणाला. जरा वेळानं पुन्हा फोन करून त्यानं ‘‘मी ‘गूगल पे’वरून अॅडव्हान्स देतो,’’ असं सांगितलं. मैत्रीण गूगल पे पहिल्यांदाच वापरत होती, तरी तिनं त्याला होकार दिला. मग तो माणूस म्हणाला, की माझं वेगळ्या प्रकारचं ‘र्मचट अकाउंट’ आहे. त्यामुळे नुसत्या नंबरवर पैसे पाठवता येणार नाहीत. मी तुम्हाला एक ‘क्यूआर कोड’ पाठवतो. तो ‘स्कॅन’ करा म्हणजे तुम्हाला पैसे मिळतील. त्यानं क्यूआर कोड पाठवला, तिनं तो स्कॅन केला. २,५०० रुपये मिळतील, असं काहीसं तिला स्क्रीनवर दिसलं, आणि ‘प्रोसीड टू पे’ असा संदेश दिसला. तिनं त्याला फोन केला, आणि ती म्हणाली, की वस्तूची किंमत ६,५०० रुपये ठरली आहे. पण स्क्रीनवर २,५०० रुपयेच दिसत आहेत. तर तो म्हणाला, की हे ‘टेस्ट’ करून बघूया. हे झालं की उरलेले पैसे देईनच. तिनं ‘प्रोसीड’ला क्लिक केलं आणि तिचा ‘पिन नंबर’ टाकला. क्षणार्धात तिच्या बँक खात्यातून २,५०० रुपये वळते झाले.
तिनं त्याला परत फोन करून ‘पैसे येण्याऐवजी गेले आहेत,’ असं सांगितलं. त्यावर तो म्हणाला, ‘‘हो का? काहीतरी गडबड झालेली दिसते. पुन्हा क्यूआर कोड पाठवतो. आता तुम्ही हवी ती रक्कम त्यात टाका. तुमचे पैसे तुम्हाला मिळतील.’’ त्यानं पुन्हा क्यूआर कोड पाठवला. तिनं पुन्हा तो स्कॅन केला. आता रकमेचा आकडा टाकण्याची सोय होती. तिनं मूळ वस्तूचे ६,५०० रुपये आणि आधी कापले गेलेले २,५०० रुपये- असे ९,००० रुपये तिथे लिहिले, आणि आपला पिन नंबर टाकला. क्षणार्धात तिचे ९,००० रुपये तिच्या बँक खात्यातून कापले गेले. आता आधीचे २,५०० आणि आताचे ९,००० असे ११,५०० रुपये त्या डिजिटल पाकीटमाराकडे गेले. आता तो फोन उचलत नाही, आणि उचललाच तर ‘पैसे देतो’ म्हणतो, पण देत नाही.
नुकताच एका जोडप्याचा व्हिडीओ ‘व्हायरल’ झाला आहे. केटरिंगचा व्यवसाय करणाऱ्या या जोडप्याला कुणीतरी जेवणाची मोठी ऑर्डर दिली. ऑर्डर देणाऱ्यानं स्वत:चा पत्ता न देता ‘आम्हीच येऊन पदार्थ घेऊन जाऊ,’ असं सांगितलं. त्यानंही ‘गूगल पे’द्वारे पैसे देणार असल्याचं सांगितलं आणि वरीलप्रमाणेच एक क्यूआर कोड त्या जोडप्याला पाठवला. अर्थातच, तो स्कॅन करून पिन नंबर टाकल्यावर पैसे येण्याऐवजी खात्यातून पैसे गेले. बँकेतून पैसे चोरण्याचा आणखी एक नवा मार्ग म्हणजे, ‘मी ‘पेटीएम’ किंवा तत्सम कंपनीतून बोलत आहे. तुम्हाला एक ‘कॅशबॅक ऑफर’ आली आहे. ती ऑफर स्वीकारण्यासाठी तुमचं अॅप उघडा आणि त्यात आलेली ऑफर स्वीकारा,’ असा फोन येतो. आपल्या फोनमध्ये ते अॅप सुरू केल्यावर तिथे खरंच काहीतरी ‘रिक्वेस्ट’ आलेली दिसते आणि ती स्वीकारण्यासाठी आपला पिन नंबर टाकावा लागतो. पिन टाकला की अर्थातच पैसे मिळण्याऐवजी बँकेतून पैसे काढले जातात.
या प्रकारच्या ‘डिजिटल लुटमारी’च्या अनेक घटना तुम्ही ऐकल्या असतील किंवा तुमच्या आजूबाजूला घडल्याही असतील. आपल्यातले असंख्य लोक सध्या अत्यंत सहजपणे वापरायला लागलेल्या ‘यूपीआय’वर (‘युनिफाइड पेमेंट्स इंटरफेस’) आधारित ‘मोबाइल पेमेंट्स’मधील काही त्रुटी किंवा पळवाटा वापरून या नव्या प्रकारच्या चोऱ्या घडत आहेत. त्यांची संख्या वाढत आहे. पण योग्य काळजी घेतल्यास आपण त्या नक्की टाळू शकतो.
‘यूपीआय’ ही पद्धत आपल्याकडे २०१६ मध्ये सुरू झाली. मोबाइल अॅपवरून मोबाइल नंबर किंवा ई-मेलसारखा दिसणारा ‘यूपीआय आयडी’ वापरून एका बँक खात्यातून दुसरीकडे पैसे पाठवण्याची ही प्रणाली. अत्यंत सोपी आणि सुटसुटीत. खरंतर ही जगातली अत्यंत आधुनिक व्यवहार प्रणाली आहे.
यूपीआयसारखी एकमेकांना डिजिटल माध्यमातून पैसे द्यायची सोपी पद्धत वापरणारा भारत हा जगातला आघाडीचा देश आहे. बहुसंख्य बँकांच्या मोबाइल अॅप्समध्ये ‘भीम/यूपीआय’ ही प्रणाली असते. ‘पेटीएम’, ‘फोन पे’सारख्या ‘वॉलेट्स’मध्येही ही सोय असते. ‘गूगल पे’, ‘भीम’सारखी फक्त यूपीआय व्यवहार करणारी अॅप्स आहेत. तसंच, ‘व्हॉट्सअॅप’नं आपल्या चॅट्समधून यूपीआयद्वारे पैसे पाठवण्याची सोय केली आहे आणि ‘फेसबुक’सुद्धा लवकरच यूपीआय पेमेंटची सोय अॅपमध्ये करणार आहे असं ऐकायला मिळतं.
आपण दिवसरात्र वापरत असलेल्या मोबाइलमधल्या अनेक अॅप्समधून यूपीआय वापरणं शक्य आहे आणि ही अॅप्स वाढतच जाणार आहेत. ‘करोना’चं जागतिक संकट आणि त्या अनुषंगानं आलेल्या टाळेबंदीच्या काळात रोजच्या किरकोळ खरेदीच्या व्यवहारांसाठी रोख रक्कम जवळ बाळगायला प्राधान्य देणारे आणि बहुसंख्य व्यवहार रोखीत किंवा धनादेशाद्वारे करणारे असंख्य लोक झपाटय़ानं यूपीआय/भीम वर आधारित मोबाइल पेमेंट व्यवस्था वापरायला लागले आहेत. आकडेवारी पाहायची झाली, तर जुलै २०२० या महिन्यात सुमारे तीन लाख कोटी रुपयांचे १५० कोटी व्यवहार यूपीआयद्वारे केले गेले. जुलै २०१९ च्या तुलनेत या व्यवहारांची संख्या आणि मूल्य हे दोन्ही साधारण दुप्पट झालं आहे.
यूपीआयवर आधारित व्यवहार प्रचंड लोकप्रिय होण्याचं कारण म्हणजे असे व्यवहार करणं अत्यंत सोपं आणि सोयीचं आहे. मात्र ही अॅप्स वापरताना किंवा व्यवहार करताना यावरून पैशांची देवाणघेवाण नेमकी कशी चालते याविषयी पूर्ण माहिती घेतली नाही, तर आपल्या अज्ञानाचा फायदा घेऊन आपल्याला कुणीतरी गंडा घालू शकतं.
ही अॅप्स वापरताना तीन अत्यंत महत्त्वाच्या गोष्टी सगळ्यांनी लक्षात ठेवायला हव्यात–
‘यूपीआय’, ‘गूगल पे’, ‘फोन पे’, ‘पेटीएम’ इत्यादी माध्यमांतून आपल्याला पैसे स्वीकारायचे असतील, तर कोणताही ‘क्यूआर कोड’ स्कॅन करावा लागत नाही. फक्त आपला फोन नंबर किंवा ‘यूपीआय आयडी’ सांगितला तरी आपल्याला पैसे मिळू शकतात. तेव्हा पैसे स्वीकारण्यासाठी क्यूआर कोड स्कॅन करू नका.
ही सर्व अॅप्स आपण पैसे ‘पे’ करत आहोत, की ‘रिसीव्ह’ करत आहोत, हे स्पष्टपणे दाखवतात. कोणताही व्यवहार करताना स्क्रीनवरचे संदेश काळजीपूर्वक वाचा.
या सर्व अॅप्समध्ये पैसे देताना पिन नंबर किंवा पासवर्ड टाकायला लागतो. पैसे स्वीकारताना कधीही पिन किंवा पासवर्ड टाकावा लागत नाही.
तुम्हाला कुणी पैसे देणार असेल तर कधीही पिन नंबर टाकू नका.
एक महत्त्वाची गोष्ट अशी, की आपण स्वत: पिन नंबर टाकून यूपीआयद्वारे केलेला व्यवहार रद्द करता येत नाही. आपण चुकून पिन नंबर टाकला आहे, की जाणूनबुजून टाकला आहे, हे यूपीआय अॅपला आणि बँकेला समजण्याचा काहीही मार्ग नसतो. आपण पिन क्रमांक टाकून केलेला व्यवहार हा आपल्याला करायचाच होता, असं गृहीत धरून पूर्ण केला जातो. त्यामुळे अशा चुकीमुळे बँक खात्यातून पैसे गेले तर बँकेकडे किंवा संबंधित अॅपकडे तक्रार करता येते, पण तो व्यवहार रद्द केला जात नाही. म्हणजे आपण अजाणतेपणानं पिन नंबर टाकला की पैसे त्वरित जातात आणि पुन्हा परत आणता येत नाहीत.
अशा प्रकारच्या फसवणुकीची पोलिसांच्या सायबर सेलमध्ये तक्रार करता येते. करावीच. याविषयी पुणे पोलिसांशी संपर्क साधला असता त्यांनी अशा प्रकारच्या गुन्ह्य़ांच्या तपासातल्या आव्हानांविषयी सांगितलं आणि वाढत्या सायबर गुन्हेगारीविषयी चिंताही व्यक्त केली. उदा. २०१९ मध्ये पुणे शहरात सायबर गुन्ह्य़ांसंबंधी सुमारे ७,८०० तक्रारी दाखल झाल्या होत्या, तर २०२० च्या पहिल्या सात महिन्यांतच ही संख्या तब्बल साडेआठ हजार आहे आणि यांपैकी सुमारे ६,५०० तक्रारी या कोणत्या ना कोणत्या स्वरूपाच्या आर्थिक फसवणुकीसंबंधी आहेत. पोलिसांकडे तक्रार आल्यानंतर पहिली पायरी असते, ती झालेला व्यवहार हा वैध व्यवहार आहे की फसवणूक करून केलेला आहे हे ठरवणं.
क्यूआर कोडद्वारे झालेल्या फसवणुकीत ज्याचे पैसे जातात त्यानं स्वत: पिन टाकून व्यवहार केल्यानं आणि झालेल्या व्यवहाराचा कोणताही कागदोपत्री पुरावा नसल्यानं त्याची वैधता तपासणं हे आव्हानात्मक असतं. झालेला व्यवहार फसवणुकीद्वारे झाला आहे हे उघडकीस आलं, की पुढचं मोठं आव्हान असतं ते म्हणजे फक्त मोबाइल नंबर किंवा यूपीआय आयडीवरून गुन्हेगाराचा शोध घेण्याचं.
यूपीआयद्वारे केले जाणारे बहुसंख्य फ्रॉड्स हे महाराष्ट्राबाहेरील ठिकाणांहून केलेले असतात. मोबाइलच्या लोकेशनद्वारे गुन्हेगाराचा तपास करण्यासाठी पोलिसांना परराज्यात आपलं पथक पाठवावं लागतं. पुरेशा मनुष्यबळाच्या अभावामुळे दाखल केलेल्या प्रत्येक तक्रारीसाठी हे करता येणं शक्य होत नाही. अशा प्रकारे गुन्हे करणारी मंडळी आपले मोबाइल नंबर आणि यूपीआय आयडी सातत्यानं बदलत राहतात. त्यामुळेही पोलिसांच्या तपासकामाच्या अडचणीत भरच पडते.
या सर्व कारणांमुळे क्यूआर कोड फसवणुकीतून चोरले गेलेले पैसे पोलिसात तक्रार करून परत मिळवणं हे बहुसंख्य प्रकरणांत घडतंच असं नाही. यावर उपाय म्हणून यूपीआय अॅप्स वापरण्याबद्दल लोकांचं पुरेसं प्रबोधन करणं आणि त्याद्वारे होणाऱ्या फसवणुकीविषयी जनजागृती करणं, असे उपक्रम सायबर पोलिसांद्वारे राबवले जात आहेत. पुणे सायबर पोलिसांनी नुकतीच ‘क्यूआर कोड फ्रॉड अॅडव्हायझरी’ प्रकाशित केली आहे आणि समाजमाध्यमांद्वारे अधिकाधिक लोकांपर्यंत ती पोहोचवण्याचा ते प्रयत्न करत आहेत. पोलिसांसारख्याच अनेक बँकाही आपल्या ग्राहकांचं अशा प्रकारच्या फसवणुकीविषयी प्रबोधन करण्याचा सातत्यानं प्रयत्न करताना दिसतात. मात्र ज्या प्रमाणात अशा प्रकारच्या फसवणुकीच्या घटना वाढत आहेत ते बघता पोलीस आणि बँका करत असलेलं प्रबोधन पुरेसं ठरत नाहीये, अन् ते अधिक लोकांपर्यंत पोहोचण्याची गरज आहे हे स्पष्ट आहे.
अशा प्रकारची फसवणूक थांबवण्यासाठी यूपीआय अॅप्स तयार करणाऱ्या कंपन्यांनीही आपापल्या अॅप्समध्ये काही ठळक संदेश देणं, अथवा पैसे पाठवण्याच्या पद्धतीत थोडा बदल करणं, याची गरज आहे असं वाटतं. प्रत्येक यूपीआय अॅपच्या मुख्य पानावर ‘पैसे स्वीकारण्यासाठी पिन टाकायची गरज नसते,’ हा संदेश ठळक शब्दांत दिसेल असा सतत ठेवला, तरी प्रबोधनासाठी मदत होईल. तसंच कोणताही क्यूआर कोड स्कॅन केल्यानंतर पिन क्रमांक टाकायच्या आधी ‘हे पैसे तुमच्या बँक खात्यातून जाणार आहेत, तुम्हाला द्यायचे आहेत का?,’ असं ठळकपणे विचारणारा एक संदेश दाखवला तरी अशा प्रकारच्या फसवणुकीवर मोठा आळा बसू शकेल.
यूपीआय प्रणालीमध्ये झालेले व्यवहार सध्या त्वरित घडतात आणि रद्द करता येत नाहीत. मात्र क्यूआर कोड फसवणुकीसारख्या फसवणुकी बंद व्हाव्यात यासाठी प्रणालीमध्ये बदल करून, ‘त्वरित होणारे व्यवहार’, आणि ‘काही कालावधीनंतर होणारे व्यवहार’ (‘डिलेड पेमेंट्स’) अशा दोन प्रकारे व्यवहार करण्याची सोय असायला हवी. या दुसऱ्या प्रकारच्या व्यवहारामध्ये पिन नंबर टाकल्यानंतर काही काळ हा ‘कूलिंग ऑफ पिरिअड’ असावा. या कालावधीत व्यवहार रद्द करणं शक्य व्हावं. हे झालं तर ‘चुकून’ किंवा फसवणुकीनं पिन नंबर टाकलेला असला तर ते लक्षात येऊन व्यवहार रद्द करण्याची सोय राहील.
मात्र अॅप्स अथवा प्रणालीमध्ये बदल होत नाहीत तोवर आपण स्वत: ही अॅप्स अत्यंत काळजीपूर्वक वापरणं गरजेचं आहे. डिजिटल जगात नवे डिजिटल पाकीटमार आले आहेत आणि आपल्या अज्ञानाचा फायदा घेऊन आपला खिसा साफ करण्याचा प्रयत्न करत आहेत. परंतु आपण ही अॅप्स वापरण्याचे मुख्य नियम पाळले आणि कोणताही व्यवहार करताना जागरूक राहिलो तर आपण निश्चितच सुरक्षित राहू शकतो.
लेखक : प्रसाद शिरगांवकर – prasad@aadii.net
(लेखक मुक्तस्रोत तंत्रज्ञानामध्ये आंतरराष्ट्रीय पातळीवर काम करणारे प्रशिक्षक आणि वक्ते आहेत.)