News

Gang of hackers busted in fingerprint cloning and for stealing money!!

Cyber criminals always look for new and innovative ways to steal personal information and rob money from innocent victim. Fingerprint cloning has become a new weapon in the arsenal of hacker. Noida police has busted a Lucknow based gang of hackers who were siphoning off money from victims’ bank accounts by cloning fingerprints and withdrawing money through Aadhar Enabled Payment system (AEPS).

 

In recent incident Noida police has arrested a group of hackers who are skilled in cloning fingerprints and registering fake Aadhar cards. As per the investigation by the Noida police, cybercriminals were exploiting a vulnerability in AEPS registration and authentication process. AEPS allows customers to make payments using their Aadhaar number and by providing Aadhaar verification at point of Sale (PoS) or microATM. It was found that gang was withdrawing money by cloning the fingerprints and Aadhar card number.

Modus-Operandi:

For enrolling a new user to Aadhar database requires an authorized enrolment operator, who can access Unique identification Authority of India (UIDAI) system by using his biometrics and a scan of his retina. In this case, Hackers had stolen the images of fingerprints of Aadhar enrolment operators, printed these images on butter-paper and placed these fingerprints on a sticky organic substance similar to gum and then exposed to ultraviolet light. At the end the whole process fingerprints are imprinted on that gum like substance and ready like a runner stamp and can be used on a biometric reader. It was also found that hacker have got some other ways to bypass the retina authentication but how it was done is not understood yet.

 

fig: Glue like substance used for imprinting fingerprint.

 

Hackers were subverting the UIDAI login and authentication process by exploiting the weakness in the registration and verification process.

In this case it was found that for AEPS only fingerprints and Aadhar number is required. Customer does not receive an OTP, which should be mandatory for any card-based payment. It is always advised that two-factor authentication is followed for such transactions. This will not only increase the security such financial system but also make it difficult to bypass two-layers of security.

 

What is Aadhar Enable Payment System (AEPS)?

AEPS is an Aadhar based payment system through wich anyone can make financial transaction. AEPS allows customers to make payments using their Aadhaar number and by providing Aadhaar verification at point of Sale (PoS) or micro ATMs.

The only inputs required for a customer to do a transaction are:

  • IIN (Identifying the Bank to which the customer is associated)
  • Aadhaar Number
  • Fingerprint captured during their enrolment

 

Protection Mantra:

It is never possible to make all the system 100% secure. By either way hackers find a way to break into the system. We should never rely on technical protection only. We should use combination of technical and human awareness while enrolling and making any online payment or at point-of-sales.

  • Always enable multi-factor authentication for all the online account
  • Never share your password
  • Look around behind and around before putting pin and password
  • Make sure where you are registering of have registered your Aadhar have secured your information

 

Reference of the news: https://www.the420.in/hacker-arrested-in-noida-for-stealing-money-by-cloning-fingerprint/

0 9

हैकरों की गैंग जो करता था फिंगरप्रिंट की क्लोनिंग और चुराता था लोगो के पैसे !!

साइबर अपराधी हमेशा व्यक्तिगत जानकारी चुराने और निर्दोष पीड़ित से पैसे लूटने के लिए नित नए तरीके खोजते रहते हैं। हैकर के शस्त्रागार में फिंगरप्रिंट क्लोनिंग एक नया हथियार बन गया है। नोएडा पुलिस ने हैकरों के एक लखनऊ स्थित गिरोह का भंडाफोड़ किया है, जो पीड़ितों के बैंक खातों से पैसे  चुरा रहे थे और चुराए  फिंगरप्रिंट के माध्यम से आधार पेमेंट सिस्टम (AEPS) के जरिए पैसे निकाल रहे थे।

हाल की घटना में नोएडा पुलिस ने हैकरों के एक समूह को गिरफ्तार किया है जो उंगलियों के निशान लगाने और नकली आधार कार्ड का पंजीकरण करने में कुशल हैं। नोएडा पुलिस द्वारा जांच के अनुसार, साइबर अपराधी AEPS पंजीकरण और प्रमाणीकरण प्रक्रिया में भेद्यता का फायदा उठा रहे थे। AEPS ग्राहकों को अपने आधार नंबर का उपयोग करके और बिक्री के बिंदु (आधार) या microATM पर आधार सत्यापन प्रदान करके भुगतान करने की अनुमति देता है। यह पाया गया कि गिरोह उंगलियों के निशान और आधार कार्ड नंबर को क्लोन करके पैसे निकाल रहा था।

काम करने का ढंग:

आधार डेटाबेस में एक नए उपयोगकर्ता को नामांकित करने के लिए एक अधिकृत नामांकन ऑपरेटर की आवश्यकता होती है, जो अपने बायोमेट्रिक्स और अपने रेटिना के एक स्कैन का उपयोग करके भारतीय विशिष्ट पहचान प्राधिकरण (UIDAI) प्रणाली का उपयोग कर सकता है। इस मामले में, हैकर्स ने आधार नामांकन ऑपरेटरों की उंगलियों के निशान चुराए थे, इन चित्रों को बटर-पेपर पर छापा और इन उंगलियों के निशान को गोंद के समान चिपचिपे कार्बनिक पदार्थ पर रखा और फिर पराबैंगनी प्रकाश के संपर्क में ला कर ऊँगली के निशान बनाये। अंत में पूरी प्रक्रिया में उंगलियों के निशान उस  गोंद  की तरह के  पदार्थ की तरह अंकित कर और  रब्बर  स्टैम्प की तरह तैयार होते हैं और बायोमेट्रिक रीडर पर इस्तेमाल किए जा सकते हैं। यह भी पाया गया कि हैकर को रेटिना प्रमाणीकरण को बायपास करने के कुछ अन्य तरीके मिले हैं लेकिन यह कैसे किया गया यह अभी तक समझ में नहीं आया है।

तस्वीर : फिंगरप्रिंट छापने के लिए उपयोग किया जाने वाला पदार्थ

हैकर्स पंजीकरण और सत्यापन प्रक्रिया में कमजोरी का फायदा उठाकर यूआईडीएआई लॉगिन और प्रमाणीकरण प्रक्रिया को तोड़ रहे थे।

इस मामले में यह पाया गया कि AEPS के लिए केवल उंगलियों के निशान और आधार संख्या की आवश्यकता होती है। ग्राहक को ओटीपी प्राप्त नहीं होता है, जो किसी भी कार्ड-आधारित भुगतान के लिए अनिवार्य होना चाहिए। यह हमेशा सलाह दी जाती है कि इस तरह के लेनदेन के लिए दो-कारक प्रमाणीकरण का पालन किया जाता है। यह न केवल सुरक्षा को बढ़ा देगा, बल्कि वित्तीय प्रणाली को भी सुरक्षा की दो परतों को दरकिनार करना मुश्किल हो जाएगा।

आधार सक्षम भुगतान प्रणाली (AEPS) क्या है?

AEPS एक आधार आधारित भुगतान प्रणाली है जिसके माध्यम से कोई भी वित्तीय लेनदेन कर सकता है। AEPS ग्राहकों को अपने आधार नंबर का उपयोग करके और बिक्री के बिंदु (आधार) या माइक्रो एटीएम पर आधार सत्यापन प्रदान करके भुगतान करने की अनुमति देता है।

लेन-देन करने के लिए ग्राहक के लिए आवश्यक एकमात्र इनपुट हैं:

  • IN (बैंक को पहचानना जिससे ग्राहक जुड़ा है)
  • आधार संख्या
  • उनके नामांकन के दौरान फिंगरप्रिंट पर कब्जा कर लिया गया

सुरक्षा मंत्र:

सभी सिस्टम को 100% सुरक्षित बनाना कभी भी संभव नहीं है। किसी भी तरह से हैकर्स सिस्टम में सेंध लगाने का तरीका ढूंढ लेते हैं। हमें कभी भी केवल तकनीकी सुरक्षा पर निर्भर नहीं रहना चाहिए। हमें किसी भी भुगतान को ऑनलाइन या पॉइंट-ऑफ-सेल करते समय तकनीकी और मानवीय जागरूकता के संयोजन का उपयोग करना चाहिए।

  • हमेशा सभी ऑनलाइन खाते के लिए बहु-कारक प्रमाणीकरण सक्षम करें
  • अपना पासवर्ड कभी साझा न करें
  • पिन और पासवर्ड डालने से पहले पीछे और आसपास देखें
  • सुनिश्चित करें कि आपने जहाँ पंजीकरण किया है, अपने आधार को अपनी जानकारी सुरक्षित कर ली है

खबर का संदर्भ: https://www.the420.in/hacker-arrested-in-noida-for-stealing-money-by-cloning-fingerprint/

0 9