আসসালামু আলাইকুম, কেমন আছেন টেকটিউনস কমিউনিটি? আশা করছি সবাই ভাল আছেন। আমিও ভালো আছি। আজকে আবার হাজির হলাম আপনাদের জন্য নতুন টিউন নিয়ে। তাহলে চলুন শুরু করা যাক।
ফিশিং এক ধরনের অনলাইন স্ক্যাম যার মাধ্যমে হ্যাকার বিভিন্ন জনপ্রিয় ও গুরুত্বপূর্ণ ওয়েবসাইটের মত দেখতে ওয়েব তৈরি করে। ভিক্টিম সেই লিংকে প্রবেশ করে, পাসওয়ার্ড, ব্যাংক ডিটেল এর মত সেনসিটিভ ইনফরমেশন ইনপুট করলে সেটি চলে যায় হ্যাকারের কাছে। এই ধরনের ফিশিং ওয়েবসাইট তৈরি হতে পারে সোশ্যাল মিডিয়ার জন্য, ইমেইল ক্লাইন্টের জন্য অথবা ব্যাংকের জন্য। বর্তমান সময়ের কার্যকরী একটি হ্যাকিং টেকনিক এটি।
এই ধরনের হ্যাকিং এর উদ্দেশ্য সব সময় অর্থ আদায়ই নয় এর চেয়ে খারাপ উদ্দেশ্যে এই ফিশিং কাজে লাগানো হয়। সোশ্যাল ইঞ্জিনিয়ারিং এমন একটি মেথড যেখানে হ্যাকার ভিক্টিমের পারসোনাল তথ্য চুরি করে, কখনো ভিক্টিম টেরও পায় না। সুতরাং এই ধরনের হ্যাকিং থেকে বাঁচতে এই বিষয়ে ভাল মত জ্ঞান অর্জন হবে এবং ওয়ার্নিং সাইন গুলো কী তা জানতে হবে।
বিভিন্ন ভাবে ফিশিং এটাক করা হয় এবং বিভিন্ন উদ্দেশ্যে এটি করা হতে পারে৷ কমন কিছু ফিশিং এটাক হচ্ছে, ওয়েবসাইট ক্লোনিং, SMS ফিশিং বা Smishing, ইমেইল ফিশিং, ইত্যাদি। ইমেইল ফিশিং এর মাধ্যমে হ্যাকার ইমেইল ইউজার নেম, পাসওয়ার্ড পেয়ে যেতে পারে, আইডেন্টিফাইং ইনফরমেশন চুরি করতে পারে। চলুন কমন ফিশিং মেথড গুলো নিয়ে বিস্তারিত আলোচনা করা যাক,
হ্যাকার আপনাকে একটি ইমেইল পাঠাবে, সোর্স দেখে আপনি ভাববেন এটা অরিজিনাল সোর্স। সেই ইমেইলে লিংক থাকতে পারে বা এটাচমেন্টও থাকতে পারে। লিংকে ফিশিং লিংক থাকতে পারে বা ম্যালওয়্যার ডাউনলোড লিংক থাকতে পারে। ম্যালওয়্যার ডাউনলোড হয়ে গেলেই শুরু হয়ে যাবে হ্যাকারের কার্যক্রম।
এই ধরনের ফিশিং এর ওয়ার্নিং সাইন হচ্ছে, ইমেইল এড্রেসটি আসল সোর্স এর মত হবে না, দেখতে এক মনে হলেও এড্রেসটি ভাল করে লক্ষ্য করলে বুঝা যাবে এড্রেসে ভুল আছে।
SMS ফিশিং এর আরেক নাম Smishing। এটা অনেকটা ইমেইল ফিশিং এর মতই কাজ করে তবে এখানে মেসেজটা পাঠানো হয় মেসেজের মাধ্যমে। ভিক্টিম লিংকে ক্লিক করলে সাথে সাথে তাকে একটি ওয়েবসাইটে রি-ডিরেক্ট করা হয় এবং সেখানে পারসোনাল তথ্য চাওয়া হয়৷ কখনো কখনো ল্যাজিমেট ওয়েবসাইট হলেও এগুলো আপনার তথ্য কালেক্ট করে অন্য পার্টির কাছে বিক্রি করতে পারে।
এই পদ্ধতিতে হ্যাকার নির্দিষ্ট ওয়েবসাইটের ক্লোন তৈরি করে। হ্যাকার নির্দিষ্ট ওয়েবসাইটের স্ট্রাকচার এবং কন্টেন্ট সম্পর্কে ভাল ভাবে আইডিয়া নেয় এবং দেখতে একই রকম ওয়েবসাইট তৈরি করে। তবে ক্লোন সেই ওয়েবসাইটে বিভিন্ন ম্যালিসিউয়াস কোড দেওয়া থাকে। ইউজাররা যখন সেখানে কোন ব্যক্তিগত তথ্য দেয় তখন সেটা চলে যায় হ্যাকারের কাছে।
এই ধরনের ফিশিং ধরতে লিংক ডাবল চেক করে দেখুন। এই ধরনের হ্যাকিং থেকে বাচতে অনলাইন একাউন্ট গুলোতে Two Factor Authentication ব্যবহার করুন, সন্দেহজনক লিংককে প্রবেশ করা থেকে বিরত থাকুন, এন্টিভাইরাস সফটওয়্যার ব্যবহার করুন৷
Phishing Resistant Multi Factor Authentication (MFA) হচ্ছে এক ধরনের সিকিউরিটি ব্যবস্থা যার মাধ্যমে ইউজারদেরকে ফিশিং এটাক থেকে রক্ষা করা হয়। এই ব্যবস্থায় কেউ সঠিক পাসওয়ার্ড দিলেও সে আসল ব্যক্তি কিনা সেটা যাচাই করা হয় বা আইডেন্টি ভেরিফাই করা হয়।
MFA এর মধ্যে মাল্টিপল ফিচার থাকতে পারে যেমন, two-factor authentication (2FA)। Single-factor পাসওয়ার্ড গতানুগতিক ব্যবহৃত পদ্ধতি যেখানে পাসওয়ার্ড জেনে গেলেই একাউন্টে এক্সেস নিয়ে নেয়া যায়। তো এটা আটকাতে MFA এখানে মাল্টিপল স্টেপে ইউজারের আইডেন্টেকটিউনস নিশ্চিত করে।
এই সিকিউরিটি ব্যবস্থায় হ্যাকারের কাছে আপনার যেকোনো একটি তথ্য যেমন, পাসওয়ার্ড, মোবাইল ডিভাইস, ফিঙ্গারপ্রিন্ট থাকলেও আপনার একাউন্টে এক্সেস নেয়া কঠিন হবে।
সিকিউরিটি ব্যবস্থা শক্তিশালী করতে এবং অতিরিক্ত লেয়ার যুক্ত করতে পারে MFA। এটি লগইন ব্যবস্থা কে দ্রুতও করতে পারে বারবার মাল্টিপল সার্ভিসের ইউজার নেম পাসওয়ার্ড ব্যবহার না করেও লগইন করা যায়। কিছু ক্ষেত্রে MFA, বায়োমেট্রিক আইডেন্টিফাই এর মাধ্যমে কোম্পানি গুলো ইন্টারন্যাশনাল রেগুলেটরদের রিকুয়ারমেন্টও ফুলফিল করতে পারে
সব মিলিয়ে বলা যায় ফিশিং এর মত এটাক থেকে বাঁচতে এবং তথ্য চুরি হওয়া রোধ করতে মাল্টি ফ্যাক্টর অথেনটিকেশন ভাল কাজ করতে পারে। এই প্রযুক্তি ব্যবহারের মাধ্যমে কোম্পানি গুলো তাদের কাস্টমারের সেফটি গ্যারান্টি দিতে পারছে।
ইমেইলের পরিবর্তে SMS এর মাধ্যমে ফিশিং এর টেকনিককে বলা হয় Smishing। দেখতে সুনামধন্য প্রতিষ্ঠানের মেসেজ মনে হলেও সেখানে থাকে ফ্রড লিংক। লিংকে ক্লিক করলে আপনার সেনসিটিভ তথ্য চলে যেতে পারে হ্যাকারের কাছে। এই ধরনের মেসেজ গুলোতে বানানের ভুল এবং গ্রামারগত ভুল দেখে বুঝতে পারবেন এটা ফিশিং মেসেজ হতে পারে।
মেসেজে আসা লিংকে ক্লিক করলে আপনাকে একটি ওয়েবসাইটে নিয়ে যাওয়া হবে এবং সেখানে সেনসিটিভ তথ্য চাওয়া হতে পারে।
সতর্ক থাকার মাধ্যমে আপনি এই ধরনের এটাক থেকে বাঁচতে পারবেন। SMS এর মধ্যে কোন লিংক থাকলে, তারাহুরো করে সেখানে ক্লিক করা যাবে না। যাচাই করে দেখতে হবে এটা আসল ওয়েবসাইট কিনা। শক্তিশালী পাসওয়ার্ড এবং Two Factor Login দিয়ে আপনি সিকিউরিটি ব্যবস্থা শক্তিশালী করতে পারেন।
সাইবার ক্রিমিনালরা দিন দিন আরও এডভান্সড হচ্ছে এবং নতুন নতুন টেকনিক অবলম্বন করছে। ফিশিং জগতের এক ভয়াবহ নাম হচ্ছে Spear Phishing। ফিশিং এর সাথে এর পার্থক্য হচ্ছে এখানে নির্দিষ্ট ব্যক্তি অথবা প্রতিষ্ঠানকে টার্গেট করা হয়৷ ব্যক্তির কাছাকাছি কারা থাকে সেটা খেয়াল করা হয়, হতে পারে কলিগ বা বন্ধু। তার নামে ইমেইল খুলে ফিশিং মেইল পাঠানো হয়। ভিক্টিম পরিচিত মানুষের ইমেইল ভেবে প্রতারিত হতে পারে।
সাধারণ ফিশিং থেকে এটা বেশি ভয়ংকর কারণ ভিক্টিম সহজে এটি ডিটেক্ট করতে পারে না। এই ধরনের হ্যাকিং থেকে বাচতে আপনাকে সচেতন থাকতে হবে। যেকোনো লিংকে ক্লিক করা যাবে না, সোশ্যাল মিডিয়া বা ইমেইল একাউন্ট গুলোতে অবশ্যই Two Factor Authentication ব্যবহার করতে হবে।
বিভিন্ন ভাবে ফিশিং এটাক হতে পারে, প্রতিনিয়ত তারা ধরন পাল্টাচ্ছে এবং সিকিউরিটি সিস্টেম থেকে আরও একধাপ এগিয়ে যাচ্ছে। গতানুগতিক ফিশিং, Spear ফিশিং ছাড়াও আরও কমন কিছু ফিশিং টাইপ রয়েছে যেমন,
CEO Fraud টাইপে এটাকার নিজেকে কোম্পানির CEO বলে দাবী করে এবং কোম্পানির কর্মীদের কাছে মেসেজ পাঠায়। কর্মীরা যথেষ্ট খোঁজ না নিয়ে লেনদেন করার ফলে কোম্পানি বড় ধরনের আর্থিক ক্ষতিতে পড়ে৷
যখন টেক্সট বা ইমেইলের পরিবর্তে ভয়েস মেইল ব্যবহার করে ফিশিং করা হয় তখন তাকে বলে Vishing। Caller ID Spoofing সবচেয়ে বেশি ব্যবহৃত হয় এখানে। সাধারণ ভাবে এখানে ভিক্টিমকে কল দেয়া হয় এবং সেনসিটিভ ইনফরমেশন চাওয়া হয়, যেমন পাসওয়ার্ড, কার্ড নাম্বার ইত্যাদি। কলার এখানে নিজেকে ব্যাংক, টেলিফোন কোম্পানি বা অন্য কোন প্রতিষ্ঠান হিসেবে দাবী করতে পারে।
ফিশিং এর কমন ইন্ডিকেটর হচ্ছে, ইমেইলে এবং মেসেজে লিংক শেয়ার করা, Typos বা গ্রামারটিক্যাল ভুল থাকা। দ্রুত কোন কিছু করতে বললেও আপনার বুঝতে হবে কিছু ঝামেলা আছে।
কখনো কখনো হ্যাকাররা মেসেজটি আরও বিশ্বাসযোগ্য করে তুলতে আপনার নাম, প্রতিষ্ঠানের নাম, আরও ব্যক্তিগত তথ্য সেখানে উল্লেখ করে দিতে পারে। তারপরেও আপনাকে এসব বিষয়ে সচেতন থাকতে হবে।
কোম্পানি আউটগোয়িং, ইনকামিং ইমেইল, টেক্সট মেসেজ, এবং অন্যান্য কমিউনিকেশন সতর্কতার সাথে মনিটর করে ফিশিং আইডেন্টিফাই করতে পারে। সন্দেহজনক লিংক, গ্রামারগত ভুল দেখে আন্দাজ করা যেতে পারে।
কোম্পানি কর্মীদের এই ফিশিং বিষয়ে বিশেষ ট্রেনিং এর ব্যবস্থা করতে পারে। তারা যেন যেকোনো লিংকে প্রবেশ না করে বা সেনসিটিভ তথ্য কোথাও শেয়ার না করে তা ভাল করে বুঝাতে হবে।
তাছাড়া কোম্পানি এন্টিফিশিং ইমেইল সিকিউরিটি সিস্টেমও ব্যবহার করতে পারে বা অন্যান্য সিকিউরিটি টুলও ব্যবহার করা যেতে পারে। এই ধরনের স্ট্রেটেজি কোম্পানিকে ফিশিং এর শিকার হওয়া থেকে বাচাতে পারে।
ফিশিং এ যেকেউ টার্গেট হতে পারে তবে বিজনেস এবং কোম্পানি গুলো বেশি ঝুঁকিতে থাকে। কোম্পানি গুলো বেশি টার্গেট হবার কারণ হ্যাকাররা কাস্টমারদের সেনসিটিভ ইনফরমেশন পেতে চায়। সিস্টেম বা বিশাল একাউন্ট ডাটা পেতে হ্যাকাররা বেশিরভাগ সময় CEO দের টার্গেট করে।
স্পেসিফিক ইউজারকেও হ্যাকাররা টার্গেট করতে পারে। প্রাইভেট ডাটা, পাসওয়ার্ড, এবং ব্যাংকিং তথ্য পেতে হ্যাকাররা নির্দিষ্ট ব্যক্তিকে ফিশিং লিংক পাঠাতে পারে।
ফিশিং এ আপনার ফাইনান্সিয়াল লস কেমন হবে এটা নির্ভর করবে পরিস্থিতির উপর। কখনো কখনো ব্যাংক ডিটেল জেনে সব টাকা গায়েব হয়ে যেতে পারে আবার কখনো কোম্পানির সিস্টেম ক্রাশ করাতে প্রচুর অর্থ ব্যয় হতে পারে। আবার কোম্পানির সবচেয়ে গুরুত্বপূর্ণ উপাদান সুনামও নষ্ট হতে পারে। কখনো কখনো কাস্টমাররা নিজেদের প্রাইভেসি লঙ্ঘনের কারণে কোম্পানির বিরুদ্ধে মামলাও করতে পারে। আবার এমন ঘটনায় রেগুলেটর বডিরা জরিমানাও করতে পারা। সুতরাং বলা যায় ফিশিং এর ফাইনান্সিয়াল লসের কোন লিমিট নেই।
Spear ফিশিং এর এক ধরনের স্ট্রেটেজি হল, সোশ্যাল ইঞ্জিনিয়ারিং যেখানে কোম্পানির সিনিয়র এক্সিকিউটিভদের টার্গেট করা হয়। হ্যাকারদের উদ্দেশ্য থাকে হয় এক্সিকিউটিভ এর সেনসিটিভ ইনফরমেশন কালেক্ট করবে অথবা তার মাধ্যমে কোম্পানির রিসোর্সে এক্সেস নেবে। আক্রমণকারীরা ম্যালিসিয়াস লিংক বা এটাচমেন্টের দিয়ে ফিশিং ইমেইল পাঠিয়ে, অভ্যন্তরীণ নেটওয়ার্কে অনুপ্রবেশ করার চেষ্টাও করতে পারে।
Two Factor Authentication ও কর্মীদের যথাযথ সাইবার সিকিউরিটি ট্রেনিং এই ধরনের সোশ্যাল ইঞ্জিনিয়ারিং ফিশিং অনেকাংশে রোধ করতে পারে৷
বিজনেস গুলোরও উচিৎ ফিশিং এটাককে প্রতিহত করা। এর জন্য নিন্মলিখিত পদক্ষেপ গুলো নেয়া যেতে পারে,
ছোট বা বড় প্রতিটি বিজনেসের উচিৎ ফিশিং থেকে বাচতে যথাযথ পদক্ষেপ গ্রহণ করা। সবার প্রথম যে কাজটি করতে হবে তা হল, কাস্টমার এবং প্রতিষ্ঠানের কর্মীদের ফিশিং বিষয়ে ধারণা দিতে হবে এর ক্ষতিকর প্রভাব বলতে হবে৷
ইউজারদের ফিশিং ওয়ার্নিং সাইন এবং রেড ফ্ল্যাগ গুলো সম্পর্কে জানতে হবে। তাছাড়া কোম্পানি কর্মীদের জন্য একটি স্ট্যান্ডার্ড তৈরি করে দিতে পারে, যেখানে কর্মীরা এই স্ট্যান্ডার্ড এর বাইরে গিয়ে ইমেইল রেসপন্স করবে না।
প্রতিষ্ঠানের সিকিউরিটি সিস্টেম উন্নত এবং সমৃদ্ধ করতে হবে। পূর্বে যেমন বলা হয়েছে, Firewall, Data Encryption ইত্যাদি পদ্ধতিতে সিকিউরিটি সিস্টেম উন্নত করতে হবে।
কোম্পানি সাইবার সিকিউরিটির জন্য প্রোএকটিভ মনিটরিং সিস্টেম চালু করতে পারে। ফলে যখন নেটওয়ার্ক অস্বাভাবিক আচরণ করবে তা সাথে সাথে ডিটেক্ট হবে প্রয়োজনীয় ব্যবস্থা গ্রহণ করা সম্ভব হবে।
কর্মী, কাস্টমার সবাইকে ফিশিং থেকে বাচতে ইমেইল কম্পেইন করা যেতে পারে। অফলাইনেও ক্যাম্পেইন চালানো যেতে পারে যেন লোকজন সচেতন থাকে।
গুরুত্বপূর্ণ বিজনেস কাজে, ইমেইলে, লেনদেনে পাবলিক ওয়াই-ফাই বা ফ্রি ওয়াইফাই ব্যবহার করা থেকে বিরত থাকতে হবে। Two Factor Authentication একটিভ ছাড়া কোন একাউন্টে প্রবেশই করা যাবে না।
কোম্পানির উচিৎ নিয়মিত তাদের ওয়েবসাইটের Vulnerability চেক করা। কানেকশন সিকিউর কিনা যাচাই করা যেতে পারে, Cross Site Scripting (XSS) চেক করা যেতে পারে।
কোম্পানি গুলোকে নিয়মিত ওয়েবসাইট আপডেট রাখতে হবে এবং সিকিউরিটি সিস্টেমও আপডেট রাখতে হবে। এটি যেকোনো ধরনের Vulnerability কে ফিক্স করতে পারে।
কর্মীদের সাইবার সিকিউরিটি নিয়ে যথাযথ ট্রেনিং করাতে হবে। সাইবার সিকিউরিটি ট্রেনিং এ বিনিয়োগে প্রতিষ্ঠান দীর্ঘমেয়াদি সুবিধা পেতে পারে।
ফিশিং সাইবার ক্রাইম কী?
ফিশিং এক ধরনের সাইবার ক্রাইম যেখানে নির্দিষ্ট প্রতিষ্ঠানের কর্মী বা ব্যক্তিকে টার্গেট করা হয়। গুরুত্বপূর্ণ তথ্য কালেক্ট করতে ইমেইল বা ফোনে বিভিন্ন সাইট লিংক করা দেয়া হয়। সেই ওয়েবসাইট গুলো ম্যালিসিয়াস কোডে পরিপূর্ণ থাকে, ফলে সেখানে কোন ইনফরমেশন দিলে সেটা সরাসরি হ্যাকারের কাছে চলে যায়।
একে ফিশিং বলা হয় কেন?
Fish থেকেই আসলে Phishing এসেছে। বরশী দিয়ে যেমন মাছ ধরা হয় ফিশিং ও এমন। বড়শি তে খাবার দিয়ে যেমন কখনো মাছ ধরা পড়ে আবার পড়ে না তেমনি ফিশিং ও সব সময় হ্যাকার সফল হয় না।
হ্যাকিং কি ফিশিং?
হ্যাকিং সব সময় ফিশিং নয়। গোপনীয়তা তথ্য পেতে সোশ্যাল ইঞ্জিনিয়ারিং বা ইমেইলের মাধ্যমে লিংক পাঠিয়ে ভিক্টিমকে প্রতারণা করা ফিশিং। হ্যাকিং অন্য ভাবেও হতে পারে৷ সব হ্যাকিং কে ফিশিং বলা যাবে।
বর্তমানে ফিশিং খুবই ভয়ংকর ইন্টারনেট ক্রাইমে পরিণত হয়েছে। ফিশিং ইমেইলের মাধ্যমে প্রতিষ্ঠানের কনফিডেনসিয়াল ডাটা, ফাইনেন্সিয়াল ইনফরমেশন এবং আরও গুরুত্বপূর্ণ তথ্য চলে যাচ্ছে হ্যাকারদের কাছে।
এই ধরনের ঝুঁকি থেকে বাচতে প্রতিষ্ঠানের উচিৎ নিয়মিত ওয়েবসাইট, সিস্টেম আপডেট রাখা, XSS এবং অন্যান্য বাগ চেক করা।
তো আজকে এই পর্যন্তই, কেমন হল আজকের টিউন তা অবশ্যই টিউমেন্টের মাধ্যমে জানাবেন। পরবর্তী টিউন পর্যন্ত ভাল থাকুন, আল্লাহ হাফেজ।
আমি সোহানুর রহমান। সুপ্রিম টিউনার, টেকটিউনস, ঢাকা। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 3 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 627 টি টিউন ও 200 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 118 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
কখনো কখনো প্রজাপতির ডানা ঝাপটানোর মত ঘটনা পুরো পৃথিবী বদলে দিতে পারে।