‘ফিশিং’-এর আদ্যোপান্ত: যে বিষয়গুলো জানা জরুরী

না, মাছ ধরা অর্থে ফিশিং (fishing)-এর কথা হচ্ছে না আর এখানে। বলা হচ্ছে প্রযুক্তি জগতের বহুল প্রচলিত প্রতারণার ফাঁদ ফিশিং (phishing)-এর কথা। সাইবার অপরাধীদের পছন্দের কৌশলগুলোর অন্যতম এটি। ব্যবহারকারীর সবচেয়ে গোপনীয় ব্যক্তিগত তথ্য যেমন বেহাত হয়ে যেতে পারে এই প্রতারণার ফাঁদে পড়ে, তেমনি ফাঁস হয়ে যেতে পারে প্রাতিষ্ঠানিক বা রাষ্ট্রীয় পর্যায়ের গুরুত্বপূর্ণ নথিপত্র।

‘ফিশিং (phishing)’ আদতে কী?

‘দ্য ইউনাইটেড স্টেটস কম্পিউটার ইমার্জেন্সি রেডিনেস টিম (ইউএস-সার্ট)’  সাইবার ‘ফিশিং (phishing)’-কে সংজ্ঞায়িত করেছে এভাবে--“এক ধরনের সামাজিক প্রকৌশল যা ইমেইল অথবা ম্যালিশিয়াস বা ক্ষতিকর ওয়েবসাইট (অন্যান্য উপায়ের মধ্যে অন্যতম একটি এটি) ব্যবহার করে নির্ভরযোগ্য কোনো প্রতিষ্ঠান বা পরিচয়ের ছদ্মবেশে কোনো ব্যক্তি বা প্রতিষ্ঠানের তথ্য হাতিয়ে নেয়।

সোজা ভাষায় বললে, সাইবার অপরাধীরা নির্ভরযোগ্য কোনো পরিচয়ের ছদ্মবেশে ভুক্তভোগীদের সঙ্গে ইমেইল বা অনলাইনের অন্য কোনো প্ল্যাটফর্ম ব্যবহার করে যোগাযোগ করে। ব্যবহারকারীকে এমন কোনো মেসেজ পাঠায়, যা পড়ে মনে হবে নিশ্চই বড় কোনো ঝামেলা হয়ে গেছে বহুল ব্যবহৃত প্রযুক্তি সেবাগুলোর কোনোটিতে। বেশিরভাগ ক্ষেত্রে কোনো একটি লিংক বা ইউআরএল জুড়ে দেওয়া হয় ওই মেসেজের সঙ্গে। ওই লিংকে গেলেই সমাধান হয়ে যাবে সব জটিলতার--এমনটাই বলা হয় মেসেজগুলোতে।

আর এখান থেকেই শুরু প্রতারণার। ব্যবহারকারী ওই লিংকে ক্লিক করেছেন তো ধরা পড়ে গেছেন প্রতারকের ফাঁদে। কখনো কখনো ম্যালওয়্যার ইনস্টল করে দেওয়া হয় ব্যবহারকারীর ডিভাইসে, কখনো বা সরাসরি চুরি হয়ে যায় ব্যবহারকারীর ব্যক্তিগত ও গোপন তথ্য। প্রাতিষ্ঠানিক পর্যায়ে অনেক সময় পুরো কম্পিউটার সিস্টেমকে জিম্মি করে মুক্তিপণ দাবি করে বসে সাইবার অপরাধীরা।

এক্ষেত্রে সাইবার অপরাধীদের মূল উদ্দেশ্যটাই থাকে ব্যবহারকারীদের ভুল বুঝিয়ে নিজের ইচ্ছে মতো এমন কিছু করিয়ে নেওয়া যাতে দিন শেষে লাভ হয় শুধু ওই হ্যাকারেরই।

উদাহরণ হিসেবে বলা যেতে পারে ব্যাংকিং ইমেইল পাঠিয়ে প্রতারণার প্রক্রিয়া। ব্যবহারকারীর কাছে হঠাৎ করে একটি ই-মেইল আসে যে তার অ্যাকাউন্টের তথ্য নিয়ে কোনো বড় কোনো জটিলতার সৃষ্টি হয়েছে। আর ওই মেইলটির প্রাপকের ঠিকানা বা ভাষা এমনভাবে লেখা থাকে যে, প্রথম দেখায় ব্যবহারকারীর মনে হবে আসল ব্যাংকের কাছ থেকেই পাঠানো হয়েছে মেইলটি।

ব্যবহারকারীকে পরামর্শ দেওয়া হয় ওই মেইলে দেওয়া লিংকে গিয়ে নিজের ইউজার নেইম আর পাসওয়ার্ড পাল্টে নেওয়ার। আদতে যে ওয়েবসাইটের লিংক দেওয়া হয়েছে, সেটি হ্যাকারদেরই তৈরি কোনো ওয়েবসাইট। ওই সাইটে গিয়ে ব্যবহারকারী যখন তার পুরানো ইউজার নেইম আর পাসওয়ার্ড পাল্টে নতুন কিছু দেওয়ার চেষ্টা করেন, তখনই ওই তথ্যগুলো সংগ্রহ করে নেয় হ্যাকার। পরবর্তীতে ব্যবহারকারীর অজান্তেই খালি করে ফেলা হয় তার ব্যাংক অ্যাকাউন্ট। 

ওই ওয়েবসাইটে ম্যালিশিয়াস সফটওয়্যারের লিংকও দেওয়া থাকতে পারে। এক্ষেত্রে ব্যবহারকারীর ডিভাইসে তার অজান্তে ডাউনলোড হয়ে যায় ম্যালওয়্যার, যা চুপিসারে চুরি করতে থাকে ওই ব্যবহারকারীর ডেটা।

ফিশিং প্রতারণায় আসল উদ্দেশ্য কী?

অ্যান্টিভাইরাস নির্মাতা ক্যাসপারস্কি বলছে, ইন্টারনেট ব্যবহারকারী যে কেউ হতে পারেন এই প্রতারণার ফাঁদের ভুক্তভোগী। প্রতিষ্ঠানটির ফিশিংয়ের মূল উদ্দেশ্যগুলোকে চারটি ভাগে ভাগ করেছে।

ব্যবহারকারীর ডিভাইসে ম্যালওয়্যার সংক্রমণ ঘটানো।

ব্যবহারকারীর অর্থ বা পরিচয় চুরি করার লক্ষ্যে লগ-ইন আইডি, পাসওয়ার্ড, জন্মতারিখ, সোশাল সিকিউরিটি নম্বর, ইত্যাদি চুরি করা।

ব্যবহারকারীর অনলাইন অ্যাকাউন্টগুলোর নিয়ন্ত্রণ বা দখল।

ব্যবহারকারীকে এমন ভাবে ভুল বোঝানো যেন তিনি স্বেচ্ছায় অর্থ-সম্পদ পাঠিয়ে দেন হ্যাকারের কাছে। 

ক্যাসপারস্কি বলছে, ক্ষেত্রবিশেষে কেবল একজন ব্যবহারকারীকে হয়রানি করে ক্ষান্ত দেয় না সাইবার অপরাধীরা। ব্যবহারকারীর ব্যক্তিগত অ্যাকাউন্টে অনুপ্রবেশ করতে পারলে ওই অ্যাকাউন্ট থেকেই তার পরিচিত সবার কাছে পাঠানো হয় ফিশিং মেসেজ। আর পরিচিতরা ধরে নেন যে, নিশ্চই নির্ভরযোগ্য কোনো মেসেজ সেটি।

‘স্প্যাম ফিশিং’ বনাম ‘টার্গেটেড ফিশিং’

সাইবার অপরাধীরা প্রতারণার ফাঁদ পাতে বিভিন্ন ভাবে। তবে এর মধ্যে যে কৌশলটি সবচেয়ে বেশি চোখে পড়ে, সেটি হলো স্প্যাম ফিশিং। ক্যাসপারস্কি এর তুলনা করেছে মাছ ধরার জন্য বড় জাল ফেলার সঙ্গে। এক সঙ্গে অনেক মানুষকে পাঠানো হয় ফিশিং মেসেজগুলো, আর হ্যাকাররা অপেক্ষায় থাকে কখন কোন ব্যবহারকারী না বুঝে ক্লিক করে বসবেন তাদের পাঠানো ম্যালওয়্যার লিংকে। 

সাধারণত ব্যবহারকারীদের ইনবক্সে স্প্যাম হিসেবেই জমা হয় ওই মেসেজগুলো। বেশিরভাগ স্প্যাপ নিয়ে মাথা ঘামানোর কিছু নেই ব্যবহারকারীদের। তবে, সেটা কোনো ফিশিং প্রতারণার অংশ হলে বিপজ্জনক হয়ে দাঁড়াতে পারে ওই স্প্যাম মেসেজ।

স্প্যাম ফিশিংয়ের থেকে ক্ষেত্রবিশেষে আরও বিপজ্জনক হচ্ছে ‘টার্গেটেড ফিশিং’। কখনো কখনো একে রসিকতা করে ‘স্পিয়ার ফিশিং’ বা ‘হোয়েলিং’ নামেও ডাকার কথা বলেছে ক্যাসপারস্কি।

এমন গালভরা নামের পেছনে মূল কারণ হচ্ছে-- সাধারণত বিভিন্ন খাতের গুরুত্বপূর্ণ ব্যক্তিরাই ‘স্পিয়ার ফিশিং’ বা ‘হোয়েলিং’-এর ভুক্তভোগী হন। নির্দিষ্ট কোনো ব্যক্তিকে লক্ষ্যবস্তু হিসেবে চিহ্নিত করে তার পেছনে লেগে যায় হ্যাকার বা সাইবার অপরাধীদের দল। 

সাধারণত কোনো সরকারি বা বেসরকারি গুরুত্বপূর্ণ প্রতিষ্ঠানের দায়িত্বশীল পদে থাকা কর্মকর্তাদের ফাঁদে ফেলার লক্ষ্য নিয়ে চলে এধরনের ফিশিং ক্যাম্পেইন।

এই প্রতারণার ফাঁদগুলো স্প্যাম ফিশিংয়ের চেয়েও বিপজ্জনক, কারণ লক্ষ্যবস্তুকে বোকা বানানোর জন্য ধৈর্য্য ধরে অপেক্ষা করে হ্যাকাররা। প্রতারণার পুরো ফাঁদ সাজানো হয় গোছানো পরিকল্পনা আর সময় নিয়ে। প্রয়োজনে হ্যাকাররা লম্বা সময় ধরে মূল লক্ষ্য যে ব্যক্তি বা প্রতিষ্ঠান, তার সম্পর্কে বিভিন্ন সূত্র থেকে তথ্য সংগ্রহ করে বলে জানিয়েছে ক্যাসপারস্কি।

এক্ষেত্রে ওই ব্যবহারকারীর সামাজিক মাধ্যমের প্রোফাইল অথবা জনসাধারণের জন্য উন্মুক্ত সূত্র থেকে তথ্য সংগ্রহ করে হ্যাকার। ক্ষেত্রবিশেষে, কয়েক মাস সময় নিয়ে প্রস্তুতি চলে প্রতারণার ফাঁদ পাতার জন্য। গুরুত্বপূর্ণ কোনো ব্যক্তিকে ফাঁদে ফেলার জন্য তার পরিচিত কোনো ওয়েবসাইট বা অনলাইনভিত্তিক সেবা হ্যাক করে, সেখান থেকে ফিশিং মেসেজ পাঠানোর ঘটনাও একদম বিরল নয়।

ফিশিংয়ের লক্ষ্য নিয়ে লেখা মেসেজগুলো সাধারণত বেশ যত্ন নিয়েই লেখে হ্যাকাররা। দুর্ভাগ্যজনক হলেও সত্য, অনেক ক্ষেত্রে এই বাড়তি চেষ্টার কারণে সফলও হয় তারা। তারপরও ছোট ছোট কিছু ভুল-ত্রুটির জন্য সজাগ থাকলে ক্ষেত্রবিশেষে এক নজরেই চিহ্নিত করা সম্ভব একটি ফিশিং মেসেজ।

মেইল বা মেসেজের যে বিষয়গুলো দেখলে পাঠককে ফিশিং চেষ্টার ব্যাপারে সতর্ক হতে হবে সেগুলো হলো:

অপরিচিত অ্যাটাচমেন্ট বা লিংক।

বানান ভুল।

ভুল ব্যাকরণ।

অপেশাদারসুলভ গ্রাফিক্স।

ইমেইল অ্যাড্রেস বা ব্যক্তিগত তথ্য নিশ্চিত করার জন্য বাড়তি চাপ।

সরাসরি প্রাপকের নাম ধরে সম্বোধন না করে, ‘ডিয়ার কাস্টমার’ বলে সম্বোধন।

সময় নিয়ে পরিকল্পনা করে প্রতারণার ফাঁদ পাতলেও পেশাদারিত্বের অভাবে অনেক সময়ই ছোট খাটো ভুল করে ফেলে সাইবার অপরাধীরা। যেমন, একটি ব্যাংকের আসল সাইট নকল করে বানানো ফিশিং সাইটে থেকে যেতে পারে নানা ভুল-ত্রুটি। আর এই ভুল-ত্রুটিগুলো চিহ্নিত করতে পারলেই একজন ব্যবহারকারী ধরে ফেলতে পারবেন প্রতারণার চেষ্টা।

আর এমন চেষ্টা একবার ধরে ফেলতে পারলে সঙ্গে সঙ্গেই ওই মেসেজ ডিলিট করে প্রেরককে ব্লক করে দেওয়ার পরামর্শ দিয়েছে ক্যাসপারস্কি। বাড়তি নিরাপত্তা স্তর হিসেবে অ্যান্টিভাইরাস সফটওয়্যারের ব্যবহারও কাজে আসতে পারে।

বিকাশসহ বেশ কিছু প্রতিষ্ঠান যারা মোবাইলের মাধ্যমে আর্থিক সেবা দেয় তারা প্রায়ই বিজ্ঞাপনের মাধ্যমে বলে আসছে তাদের প্রতিষ্ঠান কখনোই কোনো পিন নাম্বার চায় না। একই কথা কিন্তু ইমেইল সেবাদাতা, সামাজিক মাধ্যম বা অন্যান্য অনলাইন সেবার বেলাতেও প্রযোজ্য। গুগলের জিমেইল, ফেইসবুক, ইনস্টাগ্রাম বা টুইটার কখনোই আপনাকে না চাইতে কোনো পিন নাম্বার, যাচাই কোড বা ভেরিিফকেশন নম্বর বা পাসওয়ার্ড বদলানোর জন্য কোনো লিংক পাঠাবে না, বরং সোজাসাপ্টা বলবে পাসওয়ার্ড বদলে ফেলুন।

কেউ যখন কোনো লিংক পাঠায় খুব ভালো করে সেই লিংক খেয়াল করুন। ধরা যাক আপনি ফেইসবুক থেকে একটি মেসেজ পেয়েছেন যেখানে একটি লিংকে যেতে বলেছে প্রেরক। খেয়াল করুন সেই লিংকটি কি ‘ফেইসবুক ডটকম’ বা তাদের আরেকটি সাইট ‘এফবি ডটকম’ থেকে এসেছে? যদি অন্য কোনো ঠিকানা হয়, বিশ্বাস ঝেড়ে ফেলুন ওই মেসেজ থেকে। ফেইসবুক কখনো "ফেইসবুক রিসেট পাসওয়ার্ড ডটকম" থেকে বা এই ধরনের কোনো সাইট থেকে মেইল পাঠাবে না। সেখানে গিয়ে পাসওয়ার্ড বদলাতেও বলবে না।

বিটলি বা অন্য অনেক সাইট ওয়েব লিংক ছোট করার সেবা দেয়। ধরা যাক https://www.facebook.com/media/set/?vanity=Craftsy&set=a.209258579101597 এই ঠিকানাকে ছোট করে লেখা যায় bit.ly/3zPmoAW। এইরকম ছোট করে লিংক পাঠালে ভুলেও সেখানে ক্লিক করবেন না। প্রেরক বিশ্বস্ত হলে যোগাযোগ করে যাচাই করে নিন তিনি সত্যিই আপনাকে ওই লিংক পাঠিয়েছেন কি না। অপরিচিত কেউ হলে সোজা ডিলিট করে দিন ওই মেসেজ।

অন্য কোনো কারণে কি তৃতীয় পক্ষীয় কোনো সাইটে যেতে বলছে বার্তাটি? মনে রাখবেন প্রথম সারির কোনে প্রতিষ্ঠানই আপনাকে অন্য কোনো সাইটে যেতে বলবে না।

সাধারণ ব্যবহারে যেখানে যেখানে আপনি পাসওয়ার্ড ব্যবহার করেন, এর বাইরে অন্য কোথাও পাসওয়ার্ড চাইলে সতর্ক হোন।

যে ভাষায় আপনাকে মেসেজ পাঠিয়েছেন প্রেরক, ঠিক সেই ভাষায় কথাগুলো লিখে গুগলে সার্চ করুন, দেখে নিন একই ভাষায় মেসেজ পাওয়ার কথা অন্য ব্যবহারকারীরা লিখেছেন কি না। কী বলছেন তারা? কী পরামর্শ তাদের দিচ্ছেন অভিজ্ঞরা?

দেখুন মেসেজের ভাষায় কোনোভাবে আপনাকে বাধ্য করার মতো কোনো প্রকাশভঙ্গি আছে কি না। "আপনার অ্যাকাউন্ট বন্ধ হয়ে যাবে", "আপনি আর লেনদেন করতে পারবেন না", "আপনার পরিচয় যাচাই করতে হবে" এই ধরনের ভাষা মানে হচ্ছে আপনি বিপদে পড়বেন যদি এই মেসেজ আমলে নিয়ে কিছু করে বসেন।

হ্যাকাররা ব্যবহারকারীদের বোকা বানাতে যেমন সময় নিয়ে প্রস্তুতি নেয়, ব্যবহারকারীদেরও তেমনি নিজেকে সতর্ক থাকতে কবে সবসময়। অনলাইনে যে কোনো ই-মেইল বা মেসেজের ক্ষেত্রে একজন ব্যবহারকারীর যে কাজ করা উচিত, সেগুলো হলো:

স্পর্শকাতর তথ্যের ব্যাপারে সতর্ক থাকা: ব্যাংক বা গুরুত্বপূর্ণ কোনো প্রতিষ্ঠানের নামে হঠাৎ কোনো সতর্কতা বার্তা পেলে সঙ্গে সঙ্গেই ইমেইলে ক্লিক করা যাবে না। বরং ব্রাউজার খুলে প্রেরকের ঠিকানা সরাসরি টাইপ করে দেখে নিতে হবে যে যে সাইট থেকে মেইল পাঠানো হয়েছে তা আদৌ আসল কি না।

হঠাৎ পাওয়া সতর্কতা বার্তা বিশ্বাস করা যাবে না: ব্যাংক বা ইন্সুরেন্স বিক্রেতা প্রতিষ্ঠানের মতো বেশিরভাগ নির্ভরযোগ্য প্রতিষ্ঠান ইমেইলের মাধ্যমে ব্যবহারকারীর পরিচয় নিশ্চিত করার জন্য বিস্তারিত তথ্য চায় না। তাই এমন কোনো আর্থিক প্রতিষ্ঠানের নামে হঠাৎ সতর্ক বার্তা পেলে, প্রথমেই ডিলিট করে দিতে হবে সেটি। তারপর সরাসরি ওই প্রতিষ্ঠানের সঙ্গে জেনে নিতে হবে আসলে কী হচ্ছে।

অ্যাটাচমেন্ট খোলা যাবে না: সন্দেহজনক কোনো মেইলে কোনো অ্যাটাচমেন্ট ফাইল, যেমন ওয়ার্ড, এক্সেল, পাওয়ার পয়েন্ট বা পিডিএফ ফাইল থাকলে সেটি খোলা যাবে না।

এমবেডেড লিংকে ঢোকা যাবে না: ইমেইলে কোনো লিংক এমবেড করা থাকলে তাতে কখনোই ক্লিক না করার পরামর্শ দিয়েছে ক্যাসপারস্কি। তার আগে ব্রাউজারের মাধ্যমে যাচাই করে নিতে হবে প্রেরকের পরিচয়। প্রয়োজনে পড়ে দেখতে হবে মূল প্রতিষ্ঠানের নীতিমালা।

আপডেট করে রাখতে হবে ডিভাইসের সফটওয়্যার ও অপারেটিং সিস্টেম: উইন্ডোজ পণ্যের উপর ফিশিং আক্রমণের ঘটনা ঘটে অহরহ। তাই অপারেটিং সিস্টেমটি এবং এর অন্যান্য সফটওয়্যারগুলো আপডেট করে রাখতে হবে সবসময়। বিশেষ করে কম্পিউটারে উইন্ডোজ ১০-এর থেকেও পুরনো কোনো সংস্করণ থাকলে সেটি আপডেট করে রাখার পেছনে আলাদা জোর দিতে হবে।

সবধরনের প্রস্তুতি নেওয়ার পরও, সতর্ক থাকার চেষ্টার পরেও ফিশিং প্রতারণার ভুক্তভোগী হতে পারেন একজন ব্যবহারকারী। সেক্ষেত্রে তার করণীয় বিষয়গুলো ধাপে ধাপে সাজিয়েছে শীর্ষ সফটওয়্যার নির্মাতা মাইক্রোসফট।

প্রতারণার ফাঁদে পা দিয়ে ফেলেছেন, এই বোধোদয় হওয়ার সঙ্গে সঙ্গে কাগজ কলমে লিখে রাখতে হবে পুরো ঘটনার বিস্তারিত খুঁটিনাটি। বিশেষ করে যে অ্যাকাউন্টগুলোর আইডি, পাসওয়ার্ড, অ্যাকাউন্ট নম্বরসহ অন্যান্য তথ্য হ্যাকারের সাইটে শেয়ার করেছেন, সেগুলো লিখে ফেলার পরামর্শ দিয়েছে মাইক্রোসফট।

এরপর যতো দ্রুত সম্ভব পাল্টে ফেলতে হবে ওই অ্যাকাউন্টগুলোর পাসওয়ার্ড। একই পাসওয়ার্ড একাধিক অ্যাকাউন্টে ব্যবহৃত হলে, পাল্টে ফেলতে হবে সবগুলো। প্রতিটি অ্যাকাউন্টের জন্য বানাতে হবে জটিল কিন্তু আনকোড়া নতুন পাসওয়ার্ড।

প্রতিটি অ্যাকাউন্টে মাল্টিফ্যাক্টর অথেনটিকেশন বা দুই বা তার চেয়ে বেশি স্তরের নিশ্চিতকরণ ব্যবস্থা চালু করার পরামর্শ দিয়েছে মাইক্রোসফট। এতে করে হ্যাকারের হাতে পাসওয়ার্ড চলে গেলেও বাকি তথ্যের অভাবে অনুপ্রবেশ করতে পারবে না তারা। 

আক্রমণটি যদি প্রতিষ্ঠানিক পর্যায়ে হয়, তবে তাৎক্ষনিকভাবে জানাতে হবে প্রতিষ্ঠানের আইটি বিভাগকে। যদি নিজের ক্রেডিট কার্ড বা ব্যাংক অ্যাকাউন্টের তথ্য হ্যাকারের হাতে চলে যায়, তাহলে সঙ্গে সঙ্গে আর্থিক প্রতিষ্ঠানগুলোর সঙ্গে যোগাযোগ করে জানিয়ে দিতে হবে প্রতারণার আশঙ্কার কথা।

আর শেষ পর্যন্ত যদি ব্যবহারকারী আর্থিক ক্ষতি এড়াতে না পারেন, তবে অবশ্যই আইন শৃঙ্খলা বাহিনীকে পুরো বিষয়টি জানাতে হবে। এক্ষেত্রে প্রথম ধাপটি আইন শৃঙ্খলা বাহিনীর কাজে আসবে বলে জানিয়েছে মাইক্রোসফট।