ফেসবুকে কোন নিরাপত্তা ত্রুটি যেমন oauth-execption, redirection, xss ইত্যাদি ত্রুটির সাহায্যে ফেসবুক অ্যাকাউন্ট বা সুনির্দিষ্ট কোন তথ্য এক্সপ্লইট করা সম্ভব। কিন্তু জরুরী না আপনি
ফেসবুকে সবসময় কোন নিরাপত্তা ত্রুটি খুজে পাবেন, আর পেলে সেটিকে এক্সপ্লয়েট করার উপায় এবং স্ক্রিপ্টিং সম্পর্কে জানবেন, কিন্তু কিছু সাধারন পদ্ধতি অবশ্যই আছে যার মাধ্যমে হাইজ্যাক হয়ে যেতে পারে আপনার অ্যাকাউন্ট।
সেই পদ্ধটিগুলো আলোকপাত করার জন্য এই ব্লগ টি লেখা।
ফেইক লগিন পেইজঃ
এই পদ্ধট টি সাধারনত ফিশিং নামে বহুল পরিচিত। মানে টোপ ফেলে মাছ ধরা। কিন্তু আমি একে ফিশিং বলতে চাইনা। ফেইক লগিন পেইজ শুধু ফেইসবুকের মাধ্যমে তৈরি হয়না। আপনি যেসকল এপ্লিকেশন ফেসবুকের মাধ্যমে ব্যবহার করেন সেগুলোর
মাধ্যমে এটি কার্যকর করা যেতে পারে। আপনাকে শুধু একটি জিনিশ যান্তে হবে যে একটি লগিন পেইজ এর কোন oauth-execption key টি আপনি পরিবর্তন করবেন বা করলে সেটি একটি নির্দিষ্ট ফাইল বা আপনার তৈরিকৃত ফাইলে তথ্য জমা করবে। সাধারনত আমরা যখন কোন পেইজে ডাটা ইনপুট দেই সেটি পি এইচ পি একটি সাধারন স্ক্রিপ্ট এর মাধ্যমে ওয়েব সার্ভার এর নির্দিষ্ট একটি ফাইলে তা জমা করে। কেমন হয় যদি আমরা যে কোন ওয়েবসাইটের যে কোন লগিন পেইজ কে নিয়ে
সেটির এনক্রিপশন কি পরিবর্তন করে দেই ...
যেমন এখানে আমি প্রথমে Armor games সাইটের একটি লগিন পেইজ এর রেপ্লিকা তৈরি করেছি, ফাইল পাথ ও পি এইচ পি স্ক্রিপ্ট এক্সসেপ্সহন পাথ পরিবর্তন করে একটি Domain/সাবডমেইন এ আমি এটি আপলোড করেছি।
এটি করার জন্য হয়ত অনেক লাইন এর স্ক্রিপ্ট পড়ে পরে তা খুজে বের করতে হবে। আমি এখানে একটি টুল ব্যবহার করে কাজ টি অনেক সহজে করেছি
যারা ফেসবুক App ডেভেলপ করেন তাদের অবশ্যই এপিআই সম্পর্কে ধারনা রাখেন, আমি একটি অ্যাপ ডেভেলপ করেছি, এবং ফেসবুকে আপনাকে এটি দিয়েছি। আপনি অ্যাপ এর মাধ্যমে আমার তৈরিকৃত Armor Games পেইজ এ চলে আসলেন।
এখানে আমি লগিন উইথ ফেসবুক বাটন যেমন রেখেছি তেমনি সরাসরি লগিন করতে বলেছি। আপনি যদি সিকিউরিটি পারপাসে লগিন উইথ ফেসবুক এর অপশন বেছে নেন, তবুও আমাদের ডেটাবেইস এ আপনার তথ্য আমি পেয়ে যাব।
কারন কিছু স্ক্রিপ্ট ও ফাইল পাথ আগেই পরিবর্তন করে রেখেছি। যাই হোক এ নিয়ে বিস্তারিত আর কিছু বলব না
স্টিলার / স্পাইওয়্যার প্রোগ্রাম ব্যবহার করা
অনেকেই তাদের ব্রাউযারে তাদের পাসওয়ার্ড রিমেম্বার দিয়ে রাখে যার ফলে যেন আর যাতে লগিন করার ঝামেলা না পোহাতে হয়, যদি সেই পাসওয়ার্ড গুলো হাতিয়ে নেয়া যায় তাহলেই যে কারো তথ্য ও অ্যাকাউন্ট হাইজ্যাক খুব সহজেই করা যাবে। আর এই কাজ টি করা যায় স্টিলার এর সাহায্যে। এর জন্য ভাল একটি প্রোগ্রাম হচ্ছে আই স্টিলার প্রোগ্রাম।
এটি সেটাপ করা অনেকটা সহজ। যেকোন ফ্রি হোস্টিং সাইটে ফ্রি একটি সাইট তৈরি করতে হবে। মাই এস্কিউ এল ডেটাবেইজ সেখানে সেটাপ করতে হবে। একটি নির্দিষ্ট
ফাইল কে নিয়ে সেটিকে কোন ছবি বা এপ্লিকেশন বা সফটওয়্যার এর সাথে বাইন্ড করে দিলেই ফাইল তৈরি হয়ে যাবে। এরপর যদি ভিক্টিম পিসিটে রেখে দেয়া হয় বা মেইল বা অন্য কোন মাধ্যমে পাঠানো হয় তাহলেই কাজ সহজে হয়ে যাবে। আপনার তৈরি করা ডেটাবেইজ এ সেটি সংরক্ষিত হবে। বিস্টারিত টিউটোরিয়াল আর বললাম না। সঙ্খিপ্ত আকারে এই পদ্ধতি টি বর্ণনা করলাম।
সেশন হাইজ্যাক
আপনি খেয়াল করেছেন হয়তবা আপনার ফেসবুক অ্যাকাউন্ট এ একটি অপশন দেখবেন যে (ব্রাউজ ফেসবুক উইথ এইচ টি পিপিএস)। আমরা সাধারনত এইচ টি টি পি মেথডে নেট ব্রাউয করে থাকি, ফেসবুক অ্যাকাউন্ট যদি এই প্রোটকলে ব্যবহার করেন তাহলে আপনার কুকি / সেশন ইনফো হাইজ্যাক হবার সম্ভাবনা থাকে। কারন মজিলা বা ক্রোম এর মত ব্রাউযার ওয়েবসাইট কে সেশন কুকি অ্যাকসেস নেবার অধিকার দেয়। সেই সুযোগ কে কাজে লাগিয়ে যে কোন হ্যাকার কুকি চুরি করে সেটির হাস অ্যালগরিদম কে break করে আপনার সম্পর্কে তথ্য হাতিয়ে নিতে সক্ষম হতে পারে তাই সাবধান থাকবেন। এবং এইচ টি পি পি এস মেথডে ফেইসবুক ব্যবহার করবেন।
মোবাইল কোড রিসেট
এই ধরনের ত্রুটির সাহায্যে ফেইসবুক হ্যাক করতে হলে অবশ্যই আপনাকে তার মোবাইল নম্বর জানতে হবে। আপনাকে সোশ্যাল ইঞ্জিনিরাইং সম্পর্কেও ভাল ধারনা রাখতে হবে। ফেইসবুকে এমন অনেক বাগ আগে পাওয়া গেছে যেগুলোর সাহায্যে পাসওয়ার্ড রিসেট করে অ্যাকাউন্ট হাতিয়ে নেয়া হয়েছে। আমি এটি নিয়ে আগে একটি আর্টিকেল লিখেছিলাম বিস্তারিত জানতে সেটি পড়ে দেখতে পারেন
https://www.techtunes.io/hacking/tune-id/290438
সাইড জ্যাকইং মেথড
মূলত ম্যাক ডিভাইসে ফায়ারশিপ এর মাধ্যমে এটি করা হয়ে থাকে। একে সেশন কুকি হাইজ্যাক এর সাথে একই কাতারে ফেলে দেয়া যেতে পারে। এই ধরনের অ্যাটাক তখনই করা যাবে যখন আপনি আপনার একই লোকাল এরিয়া নেটওয়ার্ক বা ওয়াইফাই নেটওয়ার্ক এ কারো সাথে চ্যাট করবেন। এই পদ্ধতি কিছুটা কঠিন। আপনাকে আরও কিছু টুল যেমন উইরসারক, কেইন অ্যান্ড এবল ব্যবহার করতে হবে। মানে ডেটা প্যাকেট ক্যাপচার করে সেগুলো থেকে সেশন কুকি খুজে বের করতে হবে। এরপর সেগুলোকে ডিক্রিপ্ট করে মূল তথ্য বের করতে হবে।
ডি এন এস স্পুফিং
এটি খুব সাধারন একটি পদ্ধতি এই পদ্ধতি তে আপনি প্রথম পদ্ধতির অনুরূপ কাজ ই করবেন আপনাকে অতিরিক্ত যে কাজ টি করতে হবে সেটি হল আপনাকে কোন ওয়েবসাইটের ডি এন এস এর ত্রুটি বের করে সেখানে আপনাকে তৈরিকৃত সাইট পেইজ টি আপলোড করতে হবে, আপনার এই পদ্ধতিতে মূল কাজ হচ্ছে ডি এন এস ত্রুটি খুজে বের করা এই পদ্ধটিটি অনেক যায়গায় অনেক ভাবে দেখা আছে, অনেকে সফটওয়্যার এর সাহায্যে করে থাকেন। আবার অনেকে হোস্টিং সাইটে পার্কড ডোমেইন এর সাহায্যে করে থাকেন যাই হোক প্রসঙ্গের বাইরে যাব না, তাই বিস্তারিট বর্ণনা করলাম না।
ইউ এস বি হ্যাকিং
যে কারো কম্পিউটারে পেন্ড্রাইভ প্রবেশ করিয়ে লগার বা রুটকিট প্রোগ্রাম এর সাহায্যে সকল তথ্য হাতিয়ে নেয়া যায়। এই পদ্ধতি তে সেই কম্পিউট্রাএ একটি গোপন ব্যাকডোর তৈরি করে রাখা যায়। যার সাহায্যে আপনি ই মেইল এ সকল তথ্য পাবেন। এই পদ্ধতি প্রাইমারি বা সেকেন্ডারি দুই পদ্ধতিতেই করা যায়। সেকেন্ডারি পদ্ধতি তে আপনাকে অবশ্যই এমন রুটকিট ব্যবহার করতে হবে যেটি ক্রিপ্টেড। মানে যেটিকে এন্টিভাইরাস শনাক্ট করতে পারবেনা। মানে আপনাকে ক্রাইপ্টার দিয়ে এই কাজ টি করতে হবে।
বটনেট ও ম্যান ইন দ্যা মিডেল অ্যাটাক এর ব্যবহার
বটনেট মূলত কি লগার এর মতই কাজ করে। শুধু পার্থক্য হচ্ছে, এটি একটি বট মানে একে নির্দিষ্ট কোন নেটওয়ার্ক এ ছড়িয়ে দেয়া যায়। মানে আপনি কোন কি বট কি লগার কে একটি কম্পিউটারে সেটাপ করে দিলে সেটি ঐ কম্পিউটার থেকে তো তথ্য সংগ্রহ তো করবেই। সেই সাথে সেই নেটওয়ার্ক এ অন্য সকল কম্পিউটারে ও যাবে। কার্যকারিতা নির্ভর করবে বটনেটের মেমরির উপর। যত শক্তিশালী বটনেট তত ভাল ফলাফল পাওয়া যাবে। আর ম্যান ইন দ্যা মিডেল অ্যাটাক মূলত কোন নেটওয়ার্ক এর মাজখানে তৃতীয় পক্ষ হিসেবে কাজ করা। মানে অনেকটা নজরদারির মত। আপনি বটনেট ব্যবহার করে ম্যান ইন দ্যা মিডেল অ্যাটাক ব্যবহার করে দুইটি কম্পিউটার এর মধ্যকার তথ্য কে মাঝখান থেকে হাতিয়ে নিতে পারবেন।
আরও অনেক পদ্ধতি আছে, সাধারনত ফেসবুকে কোন ত্রুটি আবিষ্কৃত হলে বেশিরভাগ হ্যাকার সেগুলো ফেসবুক সিকিউরিটি কে রিপোর্ট করে। যদিও অনেক সময় ফেসবুক তাদের ত্রুটি স্বীকার করতে অপারগতা প্রকাশ করে এবং একাধিক প্রুফ অফ কন্সেপ্ট দাবি করে। সেখেতড়ে অনেক হ্যাকার সেগুলো ফেসবুক কে আর না দিয়ে ব্ল্যাক মার্কেট এ বিক্রি করে দেয়। আমি নিজেও এই কাজ করেছি, যাই হোক ... যেসকল পদ্ধতির কথা বললাম সেগুলো ছাড়াও সাদারন ফরগট পাসওয়ার্ড, ২৪ ঘন্টা সময়সীমা, ইমেইল রিসেট সিকিউরিটি কোশ্চেন বাইপাস, ট্রাস্টেড কন্টাক্ট ইত্যাদি মেথডে হ্যাক হতে পারে অ্যাকাউন্ট
সতর্ক থাকুনঃ
> আপনার অ্যাকাউন্ট এ মোবাই নম্বর সংযুক্ত রাখুন, একাধিক ইমেইল রাখুন
> এইচ টি পি পি এস মেথড ব্যবহার করুন
> অট লাইকার / ফলোয়ার বা আপনাকে কোন অটোমেটেড অ্যাপ ব্যবহার করতে বলে এসব সাইট ব্যবহার থেকে বিতট থাকুন
> অ্যাকাউন্ট এ ট্রাস্টেড কন্টাক্ট সংযুক্ত রাখুন।
> ইমেইল অ্যালারট / মোবাইল নোটিফিকেশন অন রাখুন
আমাদের ওয়েবসাইট http://www.cybertrendzinc.com
আমি আছি http://www.facebook.com/II.45LAN.II
আল্লাহ হাফেজ
আমি আলব্যাট আইন্সটাইন। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 4 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 22 টি টিউন ও 18 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
Thank’s Rahul