আসসালামু আলাইকুম, কেমন আছেন টেকটিউনস কমিউনিটি? আশা করছি সবাই ভাল আছেন। আমিও ভালো আছি। আজকে আবার হাজির হলাম আপনাদের জন্য নতুন টিউন নিয়ে।
ইন্টারনেট ইউজারদের গোপন তথ্য প্রকাশ করতে ফিশিং একটি পাওয়ারফুল টেকনিক। হ্যাকার ইমেইলের মাধ্যমে ফিশিং মেইল পাঠায়। ভিক্টিভ না বুঝে লিংকে ক্লিক করে পারসোনাল তথ্য দিলে বা লগইন করতে চাইলে, সব তথ্য চলে যায় হ্যাকারের কাছে।
একটি ফিশিং টেকনিকের সফলতা নির্ভর করে এটি দেখতে কতটা অথেনটিক মনে হয় তার উপর। সুতরাং ফিশিং এর উপর হ্যাকার কতটা দক্ষ তার উপর সফলতা নির্ভর করে। আর এজন্য কেউ ফিশিং এর মাধ্যমে কারো তথ্য চুরি করতে চাইলে তাকে আগে টেকনোলজি, কোডিং এবং সাইবার সিকিউরিটির উপর দক্ষ হতে হয়। তবে বর্তমানে এই পরিস্থিতি পরিবর্তন হয়েছে। এখন হ্যাকিং কোডিং জ্ঞান না থাকলেও যেকেউ চাইলে অন্যের তথ্য চুরি করতে পারে৷ আর নতুন এই ভয়াবহ হ্যাকিং মেথডকে বলা হয় Phishing as a Service।
Phishing as a Service এমন এক ব্যবস্থা যেখানে হ্যাকাররা সার্ভিস প্রোভাইডারে পরিণত হয়েছে। Phishing as a Service কে PaaS বলেও অভিহিত করা হয়। একটু অবাক লাগলেও এটা সত্য। এখানে হ্যাকার নিজে হ্যাক না করে, অন্যকে টাকার বিনিময়ে হ্যাকিং করতে সহযোগিতা করে। এটা Software as a Service এর মতই একটি বিজনেস মডেল যেখানে অর্থের বিনিময়ে হ্যাকার তাদের নির্দিষ্ট টুল মাসিক বা সময়ের ভিত্তিতে ভাড়া দেয়। এর মাধ্যমে হ্যাকাররা যেমন নতুন পদ্ধতিতে অর্থ উপার্জন করতে পারে তেমনি টেকনোলজি নিয়ে তেমন জ্ঞান না থাকা ব্যক্তিও প্রফেশনাল হ্যাকিং এটাক চালাতে পারে।
PaaS ভেন্ডাররা তাদের প্রোডাক্টকে Phishing Kit হিসেবে প্রোমোট করে। স্বাভাবিক ভাবে তারা তাদের এই সমস্ত কিট ডার্ক ওয়েবে কেনাচেনা করে তবে কখনো কখনো সার্ফেস ওয়েবেও বিক্রি করতে পারে৷ প্রথমত তারা ফিশিং কিটের আবেদন তৈরি করা বিজ্ঞাপণ দেয়, সেই বিজ্ঞাপণ দেখে আকৃষ্ট হয়ে সাধারণ মানুষ কিট কেনার প্রতি ইচ্ছা পোষণ করে।
একটি ফিশিং কিটে এটাক করার মত সমস্ত কিছু থাকে। দেখতে এক রকম ইমেইল টেম্পলেট সহ বিভিন্ন ওয়েবসাইটের লগইন পেজ থাকে। কিছু ফিশিং কিটে সম্ভাব্য টার্গেটের লিস্টও থাকে। যেহেতু টেকনিক্যাল জ্ঞান নেই এমন লোকের কাছে এগুলো বিক্রি করা হয় সেহেতু সেখানে প্রয়োজনীয় সকল ইনফরমেশন, টিউটোরিয়াল, ইন্সট্রাকশন থাকে। সেখানে থাকে কাস্টমার সাপোর্টও।
একজন ভিক্টিমের গুরুত্বপূর্ণ এবং সেনসিটিভ তথ্য চুরি হবার পর অনেক গুলো ঘটনা ঘটতে পারে। যে ফিশিং কিট কিনে তাকে আমরা এটাকার বলছি। এটাকার লগইন ইনফরমেশন নিজে ব্যবহার করতে পারে, আর্থিক একাউন্ট হলে টাকা চুরি করতে পারে অথবা নির্দিষ্ট কোন নেটওয়ার্কে এক্সেস নিতে পারে। তারা এই ডাটা গুলো দিয়ে Ransomware এটাকও চালাতে পারে।
আবার কখনো কখনো লগইন Credential গুলো ডার্ক ওয়েবেও বিক্রি হতে পারে। যারা এগুলো সঠিক ভাবে ব্যবহার করতে জানে না তারা এগুলো অন্য পক্ষের কাছে বিক্রি করে অর্থ উপার্জন করতে পারে।
এখানে আরেকটা দারুণ ঘটনাও ঘটে কিছু কিছু কিট এমন ভাবে ডিজাইন করা হয় যেখানে ভিক্টিমের Credential এর একটা কপি পাবলিশার বা যারা কিট গুলো বানিয়েছে তাদের কাছেও চলে যায়। এর মাধ্যমে তারা দুইভাবে আয় করতে পারে। তারাও এগুলো ডার্ক ওয়েবে বিক্রি করতে পারে।
PaaS বিপদজনক হবার কারণ ফিশিং জগতে প্রবেশ করতে সাধারণ ব্যক্তিরও কোন বাধা থাকে না। HTML, কোডিং এবং প্রয়োজনীয় টেকনোলজি সম্পর্কে না জেনেও ফিশিং এটাক চালানো যায়। এবং এটাকটি হয় একেবারে প্রফেশনাল মানের।
একটা সময় কেউ চাইলেও অন্য কারো একাউন্ট হ্যাক বা কারো সেনসিটিভ তথ্য চুরি করার কথা ভাবতে পারতো না।
কারণ এজন্য যে পরিমাণ দক্ষতা থাকা লাগে সেটা সবার নেই। কিন্তু এখন আর এই ঝামেলাটি নেই।
PaaS হ্যাকারদের কোন বিচারের আওতায় আনা থেকেও দূরে রাখে। যারা ভাল ফিশিং কিট ডিজাইন করতে পারে তাদের কাউকে এটাক করতে হয় না এমনিতেই কিট বিক্রি করে টাকা পায়৷ যারা কিট কিনে তারা এটাক করে। কখনো ধরা পড়লে তারা ধরা পড়ে, কিট পাবলিশাররা থাকে ধরা ছোঁয়ার বাইরে। এভাবে তারা কিট বিক্রি করে অর্থ উপার্জন করতেই থাকে।
ফিশিং এর ভিক্টিম বিজনেস অথবা নির্দিষ্ট ব্যক্তি উভয়ই হতে পারে। যদি নির্দিষ্ট ব্যক্তি টার্গেট হয় তাহলে তার পারসোনাল একাউন্ট এবং ফাইনেন্সিয়াল একাউন্টের জন্য, লগইন Credential চুরি হতে পারে। অনলাইনে সোশ্যাল মিডিয়া একাউন্ট হ্যাক করে সেনসিটিভ ছবি বা মেসেজ জব্দ করে বিশাল এমাউন্টের অর্থও দাবী করতে পারে হ্যাকার৷ আবার সেই ছবি ভিডিও বিভিন্ন জায়গায় বিক্রি করে দেয়ার ভয়ও দেখাতে পারে।
বিজনেসের ক্ষেত্রে এটাকার কোন নেটওয়ার্কের Credential দিয়ে কাস্টমারের প্রাইভেট ইনফরমেশন চুরি করতে পারে অথবা Ransomeware ইন্সটল করে দিতে পারে। বিজনেসে এই ধরনের ঘটনা ঘটলে কোম্পানি যেমন আর্থিক ভাবে ক্ষতিগ্রস্ত হয় তেমনি প্রতিষ্ঠানের সুনামও নষ্ট হয়।
PaaS যদিও ফিশিংকে আরও সহজ করে দিয়েছে এবং এটা ডিটেক্ট করা কঠিন হয়ে গিয়েছে তারপরেও ফিশিং থেকে বাচা যাবে যদি সচেতন থাকেন। চলুন ফিশিং এড়াতে করনীয় কি দেখে নেয়া যাক,
সেন্ডার কে যাচাই করুন
সন্দেহজনক ইমেইলের ক্ষেত্রে ভাল করে সেন্ডার কে সেটা যাচাই করুন। অথেনটিক সোর্স মনে হলেও বানান ঠিক আছে কিনা দেখুন। যদি আপনার বন্ধু বা কলিগদের থেকে এই ধরনের মেইল আসে তাহলে কল করে নিশ্চিত হয়ে নিন।
ফরমেট যাচাই করুন
ফিশিং কিট যতই আনডিটেক্টেবল হোক ফরমেটে কিছু ভুল থাকতেই পারে। আপাতদৃষ্টিতে প্রফেশনাল মনে হলেও ভাল করে খেয়াল করুন ফরমেটে ভুল বা ভাষা গত কোন ভুল আছে কিনা।
লিংক বা এটাচমেন্টে ক্লিক করবেন না
কোন ইমেইল আসার সাথে সাথে ইমেইলে দেয়া লিংকে ক্লিক করবেন না, অথবা এটাচমেন্ট ফাইল ওপেন করবেন না। আগে পুরোপুরি নিশ্চিত হোন এটা অথেনটিক সোর্স থেকে এসেছে কিনা।
ডেক্সটপ ইউজারদের ক্ষেত্রে এটাচমেন্টে ক্লিক করা খুব বেশি ঝুঁকিপূর্ণ, আপনার অজান্তেই পিসিতে ম্যালওয়ার ইন্সটল হয়ে যেতে পারে।
ইনফরমেশন রিকুয়েস্ট সতর্ক হোন
ফিশিং ইমেইল চেনার অন্যতম উপায় হচ্ছে এখানে কিছু চাওয়া হবে বা কিছু করতে বলা হবে। সুতরাং এই সমস্ত ইমেইলে স্প্যাম বক্সে পাঠিয়ে দিন।
বিজনেসের ক্ষেত্রে কর্মীদের প্রশিক্ষণ দিন
কর্মীদের মধ্যে সাইবার সিকিউরিটি জ্ঞান না থাকলে এটা প্রতিষ্ঠানকে ঝুঁকিতে ফেলতে পারে। সুতরাং কর্মীদের এ বিষয়ে প্রশিক্ষণ দিন। হ্যাকাররা প্রাথমিক ভাবে তাদেরকেই টার্গেট করে, সুতরাং উপযুক্ত প্রশিক্ষণ এই ধরনের এটাক কমিয়ে আনতে পারে।
বিজনেস এন্টিফিশিং সফটওয়্যার ব্যবহার করতে পারে
এন্টিফিশিং সফটওয়্যার অটোমেটিক ভাবে ফিশিং ডিটেক্ট করে সেগুলো ইনবক্সে আসা বাধা দিতে পারে। যদিও এটা কর্মী প্রশিক্ষণের বিকল্প নয়, এটা ব্যবহারের ফলে কর্মীরা ফিশিং মেইল কম ফেস করবে।
এন্টি ফিশিং সফটওয়্যার গুলো ভাল মানের প্রযুক্তি ব্যবহার করে তৈরি করা। সফটওয়্যার গুলো এমন ভাবে প্রোগ্রামিং করা হয় যেন সেগুলো ডিটেক্ট করতে পারে ইমেইলে সন্দেহজনক কিছু আছে কিনা।
বর্তমানে PaaS একই সাথে ব্যক্তি বা ব্যবসায় উভয়ের জন্য বড় ধরনের থ্রেড। এটি ফিশিং এর রেট যেমন বাড়িয়েছে তেমনি ফিশিং এর ইফেক্টিভনেসও বাড়িয়েছে। এখন যেকেউ চাইলে কিছু টাকা খরচ করে ফিশিং এ নেমে যেতে পারবে।
তো আজকে এই পর্যন্তই, কেমন হল আজকের টিউন তা অবশ্যই টিউমেন্টের মাধ্যমে জানাবেন। পরবর্তী টিউন পর্যন্ত ভাল থাকুন, আল্লাহ হাফেজ।
আমি সোহানুর রহমান। সুপ্রিম টিউনার, টেকটিউনস, ঢাকা। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 1 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 627 টি টিউন ও 200 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 118 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
কখনো কখনো প্রজাপতির ডানা ঝাপটানোর মত ঘটনা পুরো পৃথিবী বদলে দিতে পারে।