সাইবার সিকিউরিটি ও সোশ্যাল ইঞ্জিনিয়ারিংয়ের ফাঁদ

সাফ্ফাত আহম্মদ খান

14

বর্তমান সময়ে সাইবার সিকিউরিটি নিয়ে অনেকের মাঝেই ভীষণ কৌতুহল দেখা যায়, আসলে সাইবার সিকিউরিটি কী। এই সাইবার সিকিউরিটি শব্দটির সাথে আমরা সবাই কম-বেশি পরিচিত। বিভিন্ন সেমিনার, পত্রিকার প্রবন্ধে বড় বড় করে সাইবার সিকিউরিটি শব্দটি লেখা থাকে কিন্তু আসলেই কি ব্যাপারটা আমাদের কাছে পরিষ্কার? বর্তমানে আমরা সবাই কম/বেশি ইন্টারনেট ব্যবহার করি। ইন্টারনেট ছাড়া আমাদের এক মুহূর্ত চলে না। ইন্টারনেট একটি বিশাল নেটওয়ার্কের জাল। ইন্টারনেট কীভাবে জালের মতো ছড়িয়ে আছে তা বুঝতে www.he.net এই ওয়েবসাইটটি ভিজিট করতে পারেন।
আমাদের সমস্ত ইন্টারনেটভিত্তিক কার্যকলাপকে বলা হয় ভার্চুয়াল বা সাইবার জগৎ। এই সাইবার জগতে যেমন ভালো দিক আছে তেমনি খারাপ দিকও আছে। খারাপ দিকগুলো থেকে বাচঁতে যে সতর্কতা অবলম্বন করা প্রয়োজন তাকেই বলা হয় সাইবার সিকিউরিটি। উদাহরণস্বরূপ বলা যায়, ধরুন আপনি বাসার বাইরে বেড়াতে যাচ্ছেন তো আপনি অবশ্যই আপনার বাসার দরজা বন্ধ করে যাবেন। এখন আপনি যদি তালা ছাড়া বন্ধ না করে যান তাহলে চোর ব্যাটা খুব সহজেই আপনার বাসার জিনিসপত্র চুরি করে নিয়ে যাবে। আর আপনি যদি তালা লাগিয়ে যান তাহলে তার জন্য কাজটি করা সহজ হবে না এবং বাসার নিরাপত্তার জন্য আপনি সবসময় বাজারের ভালো তালাটিই ব্যবহার করবেন। এখানে আপনি তালা বা লকের ব্যবহার করলেন কারণ আপনি আপনার বাসার নিরাপত্তা নিয়ে সচেতন। তেমনই সাইবার জগতে নিজেকে সুরক্ষিত রাখতে যে বিষয়গুলো জানা এবং মানা প্রয়োজন সেটাই হলো সাইবার সিকিউরিটি। এটি আরো সহজভাবে বলতে গেলে-সাইবার নিরাপত্তা বলতে মূলত বুঝায় কিছু সচেতনতা, কিছু উপায় যেগুলোর মাধ্যমে আমরা আমাদের ব্যক্তিগত তথ্য, কম্পিউটার, আমাদের বিভিন্ন ধরনের ডিজিটাল ডিভাইসকে হ্যাকিং ও বিভিন্ন ধরনের আক্রমণ থেকে নিরাপদ রাখতে পারি।
বাংলাদেশে পুরানো একটি বিজ্ঞাপনের ডায়ালগ ছিল ‘বাঁচতে হলে জানতে হবে’। সাইবার সিকিউরিটিতেও ব্যাপারটা অনেকটা এমনই। সাইবার সিকিউরিটি সম্পর্কে বুঝতে হলে আপনাকে আগে বুঝতে হবে আপনি আসলে কোন ধরনের সমস্যার বা সাইবার ক্রাইমের মুখোমুখি হতে পারেন অর্থাৎ কী থেকে আপনাকে সুরক্ষিত থাকতে হবে। সাইবার ক্রাইম বিশ্বের প্রতিটি দেশে পরিচিত ও ভীতিজনক একটি শব্দ। প্রতিদিন বিশ্বের লক্ষ লক্ষ লোক কোনো না কোনোভাবে সাইবার ক্রাইমের শিকার হচ্ছে। তথ্য নিরাপত্তা ও এন্টিভাইরাস প্রস্তুতকারক প্রতিষ্ঠান ক্যাস্পারস্কি ল্যাবের দেয়া তথ্যানুসারে প্রতি ৪০ সেকেন্ডে কোথাও না কোথাও সাইবার এটাক হচ্ছে।https://cybermap.kaspersky.com.এই ঠিকানায় গেলে সাইবার এট্যাকের লাইভ ট্র্যাকিং দেখতে পারবেন।
হ্যাকার বা হ্যাকিং শব্দগুলো শুনলে আমরা চমকে উঠি। আমাদের মনের মধ্যে একটা কৌতুহল সৃষ্টি হয় কিন্তু হ্যাকার কে বা কারা? সাইবার ক্রাইমের একটা ফর্ম হচ্ছে হ্যাকিং আর যে হ্যাক করে সে হলো হ্যাকার। এটা মনে রাখতে হবে যে সব সাইবার ক্রাইম কিন্তু হ্যাকিং নয়। যেমন: কেউ সোশ্যাল মিডিয়া বা ফেসবুকের মাধ্যমে যদি হুমকি দেয় বা মিথ্যা কথা ছড়িয়ে কাউকে হেয় করে তাহলে তা হবে সাইবার ক্রাইম কিন্তু কেউ যদি কোনো উপায় ব্যবহার করে কারো ফেসবুক একাউন্টটি নিজের দখলে নিয়ে নেয় তা হলে সেটি হবে হ্যাকিং। হ্যাকিং হচ্ছে একটি সিস্টেম বা নেটওয়ার্কের মধ্যে দুর্বলতা শনাক্তকরণের ব্যবহার করার প্রক্রিয়া যা তথ্যভান্ডার বা সিস্টেমের নিরাপত্তা ভেঙ্গে অনুমোদিত এক্সেস লাভ করতে পারে, যেকোনো সিস্টেমকে ইচ্ছামতো নিয়ন্ত্রণ করতে পারে, সবার অলক্ষ্যে ও গোপনে তথ্য পাচার করতে পারে।
বাংলায় একটা প্রবাদ আছে ‘কাঁটা দিয়ে কাঁটা তোলা’। তেমনি হ্যাকারকে ধরতে হলে হ্যাকারের মতো চিন্তা করতে হবে। সে কী কৌশলে হ্যাক করে তা জানতে হবে। সাইবার বিশেষজ্ঞরা হ্যাকারদের মূলত ৩ ক্যাটাগরিতে শনাক্ত করেছেন। ব্ল্যাক হ্যাট হ্যাকার: যারা নিজেদের হ্যাকিং কৌশল খারাপ বা সাইবার ক্রাইমের জন্য ব্যবহার করে। হোয়াইট হ্যাট হ্যাকার: এরা সাইবার ক্রাইম প্রতিরোধ এবং নিরাপত্তা নিয়ে কাজ করে। এদেরকে এথিক্যাল হ্যাকার বা পেনটেস্টারও বলা হয়। গ্রে হ্যাট হ্যাকার: এরা ভালো খারাপের সংমিশ্রণ অর্থাৎ এরা এদের সুবিধামতো কখনও ভালোর দলে কখনও খারাপের। হ্যাকাররা হ্যাকিং-এর জন্য অনেক রকমের কৌশল ব্যবহার করে। যেমন: ইমেইল স্পুফিং, ডিডস এট্যাক, এসকিউএল ইনজেকশন, স্লিফিং, কিলগার, স্পাইওয়ার, ফিসিং, সোশ্যাল ইঞ্জিনিয়ারিং, পেলোড ইত্যাদি। তবে বাংলাদেশের প্রেক্ষাপটে সবচেয়ে বেশি ব্যবহার করা হয় সোশ্যাল ইঞ্জিনিয়ারিং কৌশল। সোশ্যাল ইঞ্জিনিয়ারিং নিয়ে বলার আগে একটি সত্য ঘটনা আপনাদের সাথে শেয়ার করি। আমার বন্ধু আরিফ (ছদ্মনাম) ফেসবুকে আমেরিকা প্রবাসী লারা (ছদ্মনাম) নামের একটি মেয়ের সাথে পরিচিত হয়। প্রথম সপ্তাহে তাদের মধ্যে চ্যাটের মাধ্যমে কথাবার্তা চলতে থাকে। দ্বিতীয় সপ্তাহে ভিডিও কলের মাধ্যমে তাদের নিজেদের মধ্যে সম্পর্ক আরো গভীর হয়। এভাবে কিছুদিন পর লারা জানায় সে আরিফকে ভালোবেসে ফেলেছে এবং সে বাংলাদেশে আসতে চায়। আমার বন্ধুটিতো খুশিতে আত্মহারা। আমাকে কল করে জানায়, বন্ধু আমার তো আমেরিকার লটারি লেগে গেছে। আমি তাদের কিছু কথাবার্তা এবং ছবি দেখে বিশ্বাস করতে বাধ্য হই ঘটনা সত্যি হতেও পারে। এরকম ঘটনা বাংলাদেশে আরো অনেক ঘটেছে কিন্তু কিছুদিন পর আসল ব্যাপারটা বুঝলাম। লারা আরিফকে ফোন করে বলে তার পরিবারে সমস্যা। তারা তাকে বাংলাদেশে আসতে দিতে চায় না তাই সে তাদের না জানিয়ে বাংলাদেশে আসবে। এখন তার টিকেটের ১০০০ ডলার কম আছে। তাই আরিফ যদি তাকে টাকা পাঠায় তাহলে সে আসতে পারবে। আমার আর বুঝতে বাকি রইল না যে আরিফ ফাঁদে পড়তে যাচ্ছে। তাই তাকে সতর্ক করলাম এবং আরিফকে ভিকিটিম হওয়ার হাত থেকে রক্ষা করতে পারলাম। এখানে আরিফের সাথে যা ঘটেছিল তা ছিল একটি সোশ্যাল ইঞ্জিনিয়ারিং কৌশল।
সোশ্যাল ইঞ্জিনিয়ারিং হচ্ছে এমন একটি কৌশল যার মাধ্যমে একজন মানুষের মনকে ম্যানিপুলেট করে তার কাছ থেকেই গুরুত্বপূর্ণ তথ্য সংগ্রহ করে নিজের স্বার্থ হাসিল করা। এ তথ্য ব্যক্তিগত বা প্রতিষ্ঠানের তথ্যও হতে পারে। যেমন: ব্যক্তির ব্যাংক, ভোটার আইডির বা ফেসবুক লগ-ইন তথ্য অথবা প্রতিষ্ঠানের কম্পিউটার বা নেটওয়ার্ক সম্পর্কিত তথ্য। সোশ্যাল ইঞ্জিনিয়ারিং কৌশলটি অনেকের কাছে নতুন মনে হলেও এটি অনেক পুরানো এবং সর্বাধিক ব্যবহৃত কৌশল। লটারিতে মিলিয়ন পাউন্ড জেতার ই-মেইল বা জিনের বাদশার ফোন কল আমাদের সবারই জানা। এর মূল লক্ষ্য হচ্ছে মানুষের দুর্বলতার সুযোগ নিয়ে তাকে বোকা বানিয়ে নিজের স্বার্থটি উদ্ধার করা যা অন্যভাবে সম্ভব নয়।
অনেক ক্ষেত্রে মানুষের মনকে ক্র্যাক করা সফটওয়ার ক্র্যাক করার চেয়েও সহজ। কিছুদিন আগে ফেসবুকের একটা গ্রূপে পোস্ট দেখলাম, গ্রূপ এডমিন একটি অ্যাপসের লিংক দিয়ে বললেন এই অ্যাপস ব্যবহার করে ফেসবুক চালালে নাকি কোনো ডাটা খরচ হবে না। অনেকেই লোভে পড়ে অ্যাপসটি ইন্সটল করে ফেললেন। আসলে অ্যাপসটি ছিল একটি ম্যালওয়ার র‌্যাট (রিমোট এডমিনিস্ট্রেশন টুল) যা দিয়ে মোবাইল বা পিসির নিয়ন্ত্রণ নেয়া যায়। যারা অ্যাপসটি ইন্সটল করেছিলেন তাদের সকলের মোবাইল হ্যাকারের দখলে চলে গেল। এখানে দেখুন হ্যাকার কিন্তু সরাসরি তাদের মোবাইল হ্যাক করেনি তারা ফ্রির লোভে পড়ে নিজেদের ডাটা হ্যাকারের হাতে তুলে দিলেন।
সোশ্যাল ইঞ্জিনিয়ারিং-এর মধ্যে বেশি ব্যবহার করা ভিসিং, স্মিসিং এবং ফিসিং কৌশল। ভিসিং হচ্ছে ভয়েস বা ফোন কলের মাধ্যমে যে প্রতারণা করার ফাঁদ পাতা হয়। যেমন: বিকাশ-এর মাধ্যমে প্রতারণার জন্য হ্যাকার গ্রাহককে যেভাবে কল করে। ভিসিং-এ হ্যাকার স্পুফিং-এরও ব্যবহার করে। স্পুফিং মানে নম্বর পরিবর্তন করে কল করা যাতে ভিকটিম বিশ্বাস করতে বাধ্য হয় যে ফোনটি সঠিক জায়গা থেকেই এসেছে। স্মিসিং মানে মোবাইল মেসেজের মাধ্যমে প্রতারণার কৌশল। মাঝে মাঝে আমাদের মোবাইলে লটারি জেতার মেসেজ আসে যেগুলোতে বলা হয় ‘আপনি লটারি জিতেছেন’ এবং পুরস্কার পেতে তাদের দেয়া ঠিকানায় যোগাযোগ করতে হবে। এ ধরনের মেসেজ স্মিসিং-এর কৌশল। বর্তমানে ইন্টারনেটে বড় বড় অনেক হ্যাকিং-এর ঘটনা ফিসিং কৌশল ব্যবহার করে হচ্ছে। ফিসিং ব্যাপারটা অনেকটা আয়নার সাথে তুলনা করা যায়। একটি অরিজিনাল সাইটের হবহু নকল আরেকটি সাইট তৈরি করে গুরুত্বপূর্ণ তথ্য হাতিয়ে নেয়া হয় ফিসিং-এর মাধ্যমে। ফিসিং-এর জন্য ইমেইল স্প্যামিং কৌশল ব্যবহার করা হয়। ইমেইল স্প্যামিং হচ্ছে মিথ্যা বা ভুয়া মেইল যা মানুষকে বিরক্ত বা ক্ষতির জন্য পাঠানো হয়। যেমন: আপনি ফেসবুক থেকে একটি মেইল পেলেন যে ফেসবুক সিকিউরিটি পারপাসে আপনাকে পাসওয়ার্ড পরিবর্তনের জন্য অনুরোধ করছে এবং সাথে একটি লিংকও দেয়া আছে। এখন আপনি যদি যাচাই না করে ওই লিংকে ক্লিক করেন তাহলে আপনি ফিসিং-এর ফাঁদে পড়ে যাবেন।
এরকম নানা কৌশল ব্যবহার করে সাইবার জগতে হ্যাকিং-এর ঘটনা ঘটছে। বিশেষজ্ঞদের মতে সচেতনতার মাধ্যমেই ৬০-৭০ ভাগ হ্যাকিং প্রতিহত করা সম্ভব। তাই আমাদের সকলকে সাইবার সিকিউরিটি সম্পর্কে জানতে হবে, নতুন কী কৌশলে সাইবার এট্যাক হতে পারে তা সম্পর্কে নিজেকে আপডেট রাখতে হবে। ইন্টারনেটে কোনো লিংকে ক্লিক করার বা ডাউনলোড করার আগে অবশ্যই যাচাই করতে হবে। কোনো ব্যক্তিগত তথ্য ইন্টারনেটে শেয়ার করার ক্ষেত্রে সতর্ক থাকতে হবে। সচেতনতাই হোক আমাদের সাইবার নিরাপত্তার মূল হাতিয়ার। কেউ যদি সাইবার সিকিউরিটি বিষয়ে কোর্স করতে আগ্রহী হন তাহলে রয়েল কম্পিউটার, আগ্রাবাদ চৌমুহনীতে ০১৭১৩৪৭৮২৮৩ নম্বরে যোগাযোগ করতে পারেন।

লেখক: কম্পিউটার হ্যাকিং ফরেনসিক ইনভেস্টিগেটর