ফিশিং কি? এর ক্ষতি থেকে নিরাপদ থাকার উপায় কি? (1 Viewer)

ইন্টারনেট ব্যবহারের ক্ষেত্রে হ্যাকিং একটি দুঃস্বপ্নের নাম। আর হ্যাকিং এর একটি সাধারণ মেথড হলো ফিশিং। ব্যবহারকারী বা প্রতিষ্ঠানের সাথে প্রতারণা করে গুরুত্বপূর্ণ তথ্য হাতিয়ে নেওয়া হয় ফিশিং অ্যাটাক এর মাধ্যমে। চলুন জেনে নেওয়া যাক ফিশিং কি ও এর থেকে নিরাপদ থাকার উপায় সম্পর্কে বিস্তারিত।

ফিশিং কি

ফিশিং হলো এক ধরনের হ্যাকিং মেথড যা মূলত প্রতারণামূলক কৌশল ব্যবহার করে ব্যবহারকারীর ডাটা, যেমনঃ লগিন ইনফরমেশন, ক্রেডিট কার্ড নাম্বার, ইত্যাদি চুরি করতে ব্যবহৃত হয়। সাধারণত একজন অ্যাটাকার বা হ্যাকার ছদ্মবেশ ধারণ করে ও একজন ভিক্টিমকে কোনো ইমেইল বা মেসেজে পাঠানো লিংক ক্লিক করাতে সক্ষম হয়।

শিকার বা ভিক্টিমকে ম্যালওয়্যার যুক্ত লিংকে ক্লিক করতে প্ররোচিত করা হয় ও লিংকে ক্লিক করার পর ডিভাইসে ম্যালওয়্যার ডাউনলোড হয়ে যায়। এরপর উক্ত অ্যাটাকার র‍্যানসম অ্যাটাক বা অন্যান্য ক্ষতিকর আক্রমণের অংশ হিসেবে কম্পিউটার বা মোবাইলের নির্দিষ্ট প্রোগ্রাম বা ফাইল লক করে দেয় কিংবা সেনসিটিভ ইনফরমেশন ফাঁস করে দেয়।

ফিশিং অ্যাটাক ভয়ানক রূপ নিতে পারে। অধিকাংশ ক্ষেত্রে সম্মতিহীন কেনাকাটা, ডিজিটাল অর্থ চুরি, এমনকি আইডেন্টিটি থেফট এর মত বিষয় ও ঘটতে দেখা গিয়েছে।

এছাড়াও কোনো কর্পোরেট বা সরকারি নেটওয়ার্কে বৃহৎ অ্যাটাকের অংশ হিসেবে ফিশিং অ্যাটাক করা হয়ে থাকে। কোনো কর্মচারী যখন অসাবধানতার কারণে কোনো ম্যালওয়্যারযুক্ত লিংকে ক্লিক করে, তখন অ্যাটাকার অ্যাকসেস পেয়ে যায় উক্ত নেটওয়ার্কে।

এই ধরনের ফিশিং অ্যাটাক একটি প্রতিষ্ঠানের ক্ষেত্রে গুরুতর সমস্যা বয়ে আনতে পারে। ফিসিং অ্যাটাকের কবলে পড়া প্রতিষ্ঠান মার্কেট শেয়ার, রেপুটেশন, কনজ্যুমার ট্রাস্ট, ইত্যাদি হারিয়ে ফেলে। ফিশিং অ্যাটাক যেহেতু সিকিউরিটি সংক্রান্ত কারণে ঘটে থাকে, তাই উক্ত প্রতিষ্ঠানের সিকিউরিটির উপর কাস্টমারের ভরসা উঠে যায়। এই ধরনের ঘটনা আমরা অতীতে অনেক দেখেছি।

ফিসিং অ্যাটাক এর উদাহরণ

ফিশিং অ্যাটাক বোঝার স্বার্থে একটি উদাহরণ দেখে নেওয়া যাক। একই বিশ্ববিদ্যালয়ের অসংখ্য শিক্ষার্থীর কাছে পাসওয়ার্ড এক্সপায়ার হয়ে যাওয়ার কথা জানিয়ে বিশ্ববিদ্যালয়ের ইমেইল এর ন্যায় দেখতে একটি ইমেইল এড্রেস থেকে মেইল পাঠানো হলো। আরো লেখা থাকবে যে ২৪ঘন্টার মধ্যে একাউন্টের পাসওয়ার্ড রিনিউ না করলে একাউন্ট লক হয়ে যাবে।

পাসওয়ার্ড রিসেট এর লিংকে ক্লিক করার পর প্রায় বাস্তব দেখতে একটি পাসওয়ার্ড রিসেট এর পেজ দেখতে পাবেন শিক্ষার্থীরা। এরপর বর্তমান ও নতুন পাসওয়ার্ড চাওয়া হবে, যা প্রদান করার পর উক্ত তথ্য চুরি করা হবে ও শিক্ষার্থীর আসল একাউন্টে অবৈধভাবে প্রবেশের ক্ষেত্রে ব্যবহৃত হবে। এছাড়াও লিংকে ক্লিক করার পর রিডিরেক্টের মাধ্যমে ব্রাউজারে ম্যালিসিয়াস স্ক্রিপ্ট ও ইন্সটল হয়ে যেতে পারে যার মাধ্যমে ব্যবহারকারীর সেশন কুকি হাইজ্যাক করা হয়।

একইভাবে ফেসবুক পাসওয়ার্ড রিসেটের নাম করে পাঠানো লিংকেও ফেসবুকের মত দেখতে একটি পেইজ দেখানো হতে পারে যেখানে পাসওয়ার্ড দিলে আপনার ফেসবুক একাউন্ট হ্যাক হতে পারে। এভাবে নকল সাইট দেখিয়ে ব্যবহারকারীকে বোকা বানিয়ে গুরুত্বপূর্ণ তথ্য চুরি নেয়া হয় ফিশিংয়ের দ্বারা।

ফিশিং কৌশল

বিভিন্ন রুপে ফিশিং অ্যাটাক হতে পারে। চলুন জেনে নেওয়া যাক সাধারণ ফিশিং কৌশলসমূহ সম্পর্কে যার মাধ্যমে একজন হ্যাকার ফিশিং অ্যাটাক চালিয়ে থাকে।

ইমেইল ফিশিং

ইমেইল ফিসিং মূলত একটি সংখ্যার খেলা। একজন অ্যাটাকার অসংখ্য ভূয়া ও প্রতারণাপূর্ণ ইমেইল পাঠায় যেখানে ভিকটিমকে (শিকার ব্যক্তিকে) টাকার লোভ বা একাউন্ট লকের ভয় দেখানো হয়। অসংখ্য ইমেইল প্রাপ্ত এসব ব্যক্তির মধ্যে কেউ একজন যখন প্রদত্ত লিংকে ক্লিক করে তারা ফিশিং অ্যাটাকের শিকার হয়।

অ্যাটাকাররা কোনো বাস্তব প্রতিষ্ঠানের অনুকরণের অংশ হিসেবে উক্ত প্রতিষ্ঠানের মত একইভাবে ইমেইল লিখার পাশাপাশি উক্ত প্রতিষ্ঠানের লোগো, টাইপফেস, সিগনেচার, ইত্যাদি ব্যবহার করে ব্যবহারকারীকে উক্ত ইমেইলে ক্লিক করার প্রতি প্ররোচিত করে।

বেশিরভাগ সময়ে ব্যবহারকারীকে দ্রুত কোনো সিদ্ধান্ত নেওয়ার প্রতি ধাবিত করা হয়। যেমনঃ একাউন্ট এক্সপায়ার হয়ে যাওয়া, পাসওয়ার্ড পরিবর্তন করা, ইত্যাদির ক্ষেত্রে উল্লেখিত নির্দিষ্ট সময়ের মধ্যে পদক্ষেপ গ্রহণ না করলে একাউন্ট লক হয়ে যাওয়ার সমস্যার কথা উল্লেখ করা হয়।

এসব ইমেইলে পাঠানো লিংক বা ডোমেইন সঠিক নাকি ফেইক, তা বুঝতে খুব ভালোভাবে বুঝতে হয়। যেমনঃ facebook.com হলো একটি সঠিক ও সেইফ ডোমেইন, যার থেকে আসা ইমেইল ওপেন করা যাবে। আবার faceb00k.com কোনো ভ্যালিড ইমেইল নয়। এখানে ইংরেজি "ও" অক্ষরের পরিবর্তে "শূন্য" ব্যবহার করা হয়েছে যা দেখতে কাছাকাছি মনে হয়। এরকম অনেক ধূর্ত কৌশল অবলম্বন করে প্রতারকেরা। সুতরাং সবসময় যেকোনো লিংক বা ইমেইলে ক্লিক করার আগে এড্রেস সম্পূর্ণরুপে সঠিক কিনা তা বারবার চেক করুন।

স্পিয়ার ফিসিং

নির্দিষ্ট ব্যক্তি বা প্রতিষ্ঠানকে স্পিয়ার ফিশিং এর লক্ষ্য হিসেবে নির্বাচন করা হয়। ফিশিং অ্যাটাক এর অনেকটা আপগ্রেড ভার্সন বলা চলে এটিকে যেখানে কোনো ব্যক্তি বা প্রতিষ্ঠান সম্পর্কে বিষদ তথ্যকে ফিসিং অ্যাটাক এর শক্তি হিসাবে ব্যবহার করা হয়।

একজন অ্যাটাকার যেমন কাজ করতে পারেঃ

• অনুপ্রবেশকারী কোনো প্রতিষ্ঠানের বিপণন বিভাগের কর্মীদের নাম নিয়ে গবেষণা করে এবং সর্বশেষ প্রজেক্ট ইনভয়েসে অ্যাকসেস লাভ করে
• প্রতিষ্ঠানের মার্কেটিং ডিরেক্টর এর অনুকরণ করে। এমনকি প্রতিষ্ঠানের স্ট্যান্ডার্ড ইমেইল এর মত টেক্সট, স্টাইল ও লোগো পর্যন্ত ব্যবহার করে
• প্রদত্ত লিংকে ক্লিক করলে পাসওয়ার্ড প্রটেক্টেড ইন্টারনাল ডকুমেন্ট দেখা যায়, যা আসলে চুরি করা ইনভয়েস এর নকল ভার্সন
• কোনো ডকুমেন্ট দেখতে লগিন করতে বলা হয়। লগিন করার পর লগিন এর তথ্য চুরি করে উক্ত প্রতিষ্ঠানের নেটওয়ার্কে অনুপ্রবেশে ব্যবহৃত হয়।

ফিশিং থেকে নিরাপদ থাকার উপায়

ব্যক্তি হোক বা প্রতিষ্ঠান, ফিশিং অ্যাটাক থেকে বেঁচে থাকতে কিছু গুরুত্বপূর্ণ পদক্ষেপ নেওয়া উচিত। সতর্কতা হলো এসব সমস্যা থেকে বেঁচে থাকার মূল চাবিকাঠি। ফেইক মেসেজে অধিকাংশ সময় খুব ছোটোখাটো ভুল, যেমনঃ স্পেলিং মিসটেক, সামান্য ভুল ইমেইল এড্রেস, ইত্যাদি থাকে। একজন ব্যবহারকারী যদি এমন কোনো মেসেজ বা ইমেইলে ক্লিক করার আগে একটু সময় নিয়ে যাচাই-বাছাই করে দেখে তবে অনেকাংশে ফিশিং অ্যাটাক এর মত সমস্যা থেকে দূরে থাকা যায়।

ফিশিং অ্যাটাক থেকে বাচঁতে নিম্নোক্ত বিষয়গুলো মেনে চলুনঃ

• টু-ফ্যাক্টর অথেনটিকেশন হ্যাকিংকে প্রায় অসম্ভব করে দেয়। তাই যেকোনো অ্যাকাউন্টের ক্ষেত্রে টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করুন। এতে হ্যাকার ইউজারনেম ও পাসওয়ার্ড পেয়ে গেলেও একাউন্টে অ্যাকসেস পাবেনা। আর আপনার মেসেজে বা ইমেইলে আসা ওটিপি কোড কাউকেই জানাবেন না। এটা আপনাকে হ্যাকিং থেকে নিরাপদ রাখবে।
• প্রতিষ্ঠনের ক্ষেত্রে সিকিউরিটি সফটওয়্যার ব্যবহার করা উচিত। এছাড়াও এসব সফটওয়্যার আপডেটেড রাখা উচিত, যাতে নতুন সিকিউরিটি থ্রেট রুখে দিতে পারে।
• ব্যাকাপ গ্রহণ করে ডাটা সংরক্ষণ করে রাখুন। সাধারণ নেটওয়ার্কে যুক্ত নয় এমন মাধ্যম, যেমনঃ এক্সট্রার্নাল হার্ড ড্রাইভ বা ক্লাউড স্টোরেজে ব্যাকাপ নিয়ে রাখতে পারেন।
• ইমেইল এর মাধ্যমে সেনসিটিভ ইনফরমেশন চাওয়া হলে তা প্রতারণার অংশ হিসেবে ধরে নিতে পারেন।
• ইমেইলে বানান ভুল ও গ্রামাটিক্যাল ভুল এর খোঁজ করুন, কেননা প্রফেশনাল ইমেইলে এই ধরনের ভুল থাকেনা।

• আপনার নাম বা একাউন্ট ইনফরমেশন জানেনা, এমন সোর্সকে বিশ্বাস করবেন না। সাধারণ সম্ভাষণ দেখতে পেলে সাবধান হয়ে যান, সম্ভবত সেটি একটি ফিসিং মেসেজ যা অনেকজনকে পাঠানো হয়েছে।
• ইমেইলে প্রাপ্ত এটাচমেন্টে ক্লিক করার আগে সবকিছু যাচাই করে নিন।
• যে প্রতিষ্ঠান বা ব্যক্তির তরফ থেকে ইমেইল পাঠানো হচ্ছে, উক্ত ব্যক্তি বা প্রতিষ্ঠানের ইমেইল আসলেই সঠিক কিনা তা জেনে নিন।
• যে সাইটে প্রবেশ করছেন, সেটি সিকিউর কিনা তা যাচাই করুন। সাইটের ইউআরএল যদি "https" দিয়ে শুরু না হয় তবে উক্ত সাইট ব্যবহার না করাই উত্তম।
• সবসময় ব্রাউজার, এন্টিভাইরাস ও অপারেটিং সিস্টেম আপডেট রাখুন, এতে লেটেস্ট ভাইরাস ও ম্যালওয়্যার থেকে প্রটেকশন পাওয়া যায়।
• সন্দেহজনক ইমেইলে পাওয়া লিংকে সরাসরি ক্লিক না করে লিংক কপি করে ভাইরাসটোটাল ওয়েবসাইটে প্রবেশ করে উক্ত লিংক ক্ষতিকর কিনা তা জেনে নিতে পারেন।

আশা করি এই পোষ্টটি আপনার অনলাইনে নিরাপদ থাকায় সাহায্য করবে। আপনার অভিজ্ঞতা এবং আইডিয়াগুলোও কমেন্টে জানান!