আপনি যদি ইন্টারনেট নিরাপত্তা সম্পর্কে সচেতন হন, আপনি সম্ভবত ফিশিং সম্পর্কে শুনেছেন৷ আপনি নিঃসন্দেহে আপনার ব্যাঙ্ক বা মাইক্রোসফ্ট থেকে এমন ইমেল পেয়েছেন যা আপনাকে আপনার পাসওয়ার্ড পাঠাতে বলছে। আশা করি আপনি জানেন যে আপনার কখনই এটি করা উচিত নয়।
কিন্তু এই কৌশলটির অনেক বেশি পরিশীলিত সংস্করণ রয়েছে, যাকে বলা হয় স্পিয়ার ফিশিং। এখানেই একজন ব্যক্তি খুব ভালভাবে গবেষণা করা এবং ব্যক্তিগতকৃত ফিশিং প্রচারণার লক্ষ্য।
এমনকি পাকা ইন্টারনেট ব্যবহারকারীরাও স্পিয়ার ফিশিং দ্বারা প্রতারিত হতে পারে, তাই এটি কীভাবে কাজ করে এবং কীভাবে এটি থেকে নিরাপদ থাকতে হয় তা এখানে রয়েছে৷
কিভাবে স্পিয়ার ফিশিং কাজ করে
স্পিয়ার ফিশিং একটি সুপরিচিত প্যাটার্ন অনুসরণ করে। ফিশাররা আপনাকে গবেষণা করে এবং আপনি যে কোম্পানির জন্য কাজ করেন, আপনার সহকর্মী এবং আপনি বর্তমানে যে প্রকল্পগুলিতে কাজ করছেন সেগুলি সম্পর্কে শেখার মাধ্যমে শুরু করবে৷
তারপর আপনি একটি ইমেল পাবেন যা আপনার পরিচিত কারো কাছ থেকে এসেছে বলে মনে হচ্ছে। একটি উদাহরণ হিসাবে, এটি আপনি কাজ করছেন এমন একটি প্রকল্প বা আপনি যে সমস্যার সাথে কাজ করছেন তা উল্লেখ করতে পারে। (বিকল্পভাবে, এটি একটি আসন্ন ইভেন্ট, বা একটি পারস্পরিক যোগাযোগের উল্লেখ করতে পারে)। ইমেলে একটি ফাইলের একটি লিঙ্ক থাকবে যা আপনাকে ডাউনলোড করার নির্দেশ দেওয়া হয়েছে৷
৷প্রায়শই ফাইলটি ড্রপবক্স বা গুগল ড্রাইভের মতো একটি পরিষেবা দ্বারা হোস্ট করা হবে। আপনি যখন ফাইলটি হোস্ট করা পৃষ্ঠায় যান, তখন আপনাকে আপনার শংসাপত্রগুলি লিখতে বলা হবে৷ লগ ইন সাইটটি দেখতে একটি বৈধ Google বা অনুরূপ লগ ইন পৃষ্ঠার মতো হবে৷
৷কিন্তু এই পৃষ্ঠাটি আসলে স্ক্যামার দ্বারা পরিচালিত হচ্ছে। আপনি যখন আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখবেন, তখন আপনাকে লগ ইন করার পরিবর্তে এই তথ্যটি স্ক্যামারের কাছে পাঠানো হবে৷ এটি এমনকি দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথেও কাজ করতে পারে৷ আপনি যখন আপনার প্রমাণীকরণ কোডটি প্রবেশ করেন, তখন এটি স্ক্যামারকেও পাঠানো হয়।
স্ক্যামারের তখন আপনার Google অ্যাকাউন্ট বা অন্যান্য গুরুত্বপূর্ণ অ্যাকাউন্টের ব্যবহারকারীর নাম এবং পাসওয়ার্ড থাকে। তারা আপনার অন্যান্য অ্যাকাউন্টগুলিও অ্যাক্সেস করতে এটি ব্যবহার করতে পারে। আপনার নিরাপত্তা সম্পূর্ণরূপে আপস করা হয়েছে৷
কিভাবে স্পিয়ার ফিশাররা তাদের বার্তাগুলিকে বৈধ দেখায়
নিয়মিত ফিশিং ইমেলগুলি সনাক্ত করা সহজ যদি আপনি জানেন যে কী সন্ধান করতে হবে৷ কিন্তু সাধারণ ফিশিং ইমেলগুলির বিপরীতে যা প্রচুর পরিমাণে পাঠানো হয়, একটি বর্শা ফিশিং আক্রমণ আপনাকে বিশেষভাবে লক্ষ্য করে। ফিশাররা তাদের ইমেলগুলিকে আরও বিশ্বাসযোগ্য করতে কৌশলগুলি ব্যবহার করে৷
৷একটি সাধারণ কৌশল হল ফিশারের জন্য একটি ডোমেন কেনার জন্য যা আসল ডোমেনের সাথে তারা একটি বার্তা জাল করতে চায়।
উদাহরণস্বরূপ, যদি কেউ makeuseof.com থেকে একটি ইমেল জাল করার চেষ্টা করে, তাহলে তারা rnakeuseof.com ডোমেন কিনতে পারে। আপনি যদি দ্রুত পড়তে থাকেন তাহলে r এবং n একসাথে অনেকটা m এর মত দেখায়। যদি কেউ আপনাকে [email protected] থেকে একটি বার্তা পাঠায় তবে আপনি এটিকে বৈধ বলে মনে করতে পারেন৷
বিকল্পভাবে, একজন ফিশার আপনার পরিচিত কারো কাছ থেকে একটি জাল ইমেল তৈরি করতে ইমেল স্পুফিং ব্যবহার করতে পারে।
কোনো বানান বা ব্যাকরণের ভুল ছাড়াই ইমেল বার্তাগুলো সুলিখিত এবং পেশাদার হবে। এবং ফিশাররা খুব ধূর্ত হতে পারে যেভাবে তারা ইমেলগুলিকে জরুরী এবং গুরুত্বপূর্ণ দেখায়। তারা আপনার বস বা আপনার কোম্পানির সিইওর কাছ থেকে একটি ইমেল জাল করতে পারে---এমন কাউকে যাকে আপনি প্রশ্ন করতে চান না।
ফিশাররা এমনকি আপনার সহকর্মীরা কখন একটি ব্যবসায়িক সফরে দূরে থাকে তা খুঁজে বের করার জন্য গবেষণাও করতে পারে। তারপরে তারা আপনাকে ইমেল করবে, সেই সহকর্মী হওয়ার ভান করে, কারণ তারা জানে যে আপনি তাদের সাথে ব্যক্তিগতভাবে কথা বলবেন না। একজন ফিশারের কাছে আপনার কোম্পানি সম্পর্কে জানতে এবং সেই তথ্য ব্যবহার করে আপনাকে প্রতারণা করার অনেক উপায় রয়েছে।
যারা বর্শা ফিশিং-এর জন্য দুর্বল
যেহেতু স্পিয়ার ফিশিং একটি লক্ষ্যবস্তু আক্রমণ যার জন্য অনেক গবেষণার প্রয়োজন, স্ক্যামাররা তাদের লক্ষ্য সাবধানে বেছে নেয়। ফিশাররা একটি কোম্পানিতে এমন একজন ব্যক্তিকে বেছে নেবে যার মূল সিস্টেমে অ্যাক্সেস আছে, বা উচ্চ সম্পদের অধিকারী বা যারা বড় তহবিল অ্যাক্সেস করতে পারে এমন ব্যক্তিদের লক্ষ্য করে৷
বর্শা ফিশিং আক্রমণ থেকে সবচেয়ে বেশি ঝুঁকিতে থাকা ব্যক্তিরা হল একটি ব্যবসার সাধারণ কর্মচারী, অথবা যে কেউ বাড়িতে তাদের কম্পিউটার ব্যবহার করে৷ একটি কোম্পানির জ্যেষ্ঠ ব্যক্তিরা যেমন ম্যানেজমেন্টে কর্মরত বা আইটি-তে কর্মরত ব্যক্তিরা "তিমি শিকার" থেকে বেশি ঝুঁকিতে থাকবেন যা উচ্চ-মূল্যের লক্ষ্যগুলির উপর সাইবার আক্রমণ৷
কিভাবে স্পিয়ার ফিশিং থেকে নিরাপদ থাকা যায়
বর্শা ফিশিং আক্রমণগুলি যতটা অত্যাধুনিক হয়, তাই আপনাকে সতর্ক থাকতে হবে। এমনকি বিশ্বস্ত বন্ধু বা সহকর্মীর কাছ থেকে একটি নিরীহ-শব্দযুক্ত বার্তা একটি ফিশিং আক্রমণ হতে পারে৷
সৌভাগ্যবশত কিছু ব্যবহারিক পদক্ষেপ আছে যা আপনি নিরাপদ থাকতে এবং আপনার উপর ফিশিং আক্রমণ সফল হওয়ার সম্ভাবনা কমাতে পারেন:
- যখনই আপনি একটি ইমেল পাবেন, প্রেরকের ঠিকানাটি দ্বিগুণ এবং তিনবার চেক করুন৷ ঠিকানাটি জাল বা ভুল নয় তা নিশ্চিত করার জন্য আপনাকে সাবধানে দেখতে হবে। আপনার পরিচিত কারো কাছ থেকে একটি ইমেল এসেছে বলে মনে হচ্ছে, তাদের কাছ থেকে একটি নিয়মিত ইমেলের মতো দেখায় (তাদের স্বাক্ষর, কোম্পানির তথ্য এবং আরও অনেক কিছু সহ) এর অর্থ এই নয় যে এটি অগত্যা বৈধ।
- যদি প্রেরক অনুরোধটি খুব জরুরী মনে করে তাহলে সন্দেহজনক হন, বিশেষ করে যদি তারা আপনাকে এমন কিছু করতে বলে যা আপনি সাধারণত করেন না। উদাহরণস্বরূপ, যদি আপনার কোম্পানির মধ্যে আপনি সাধারণত একটি নেটওয়ার্ক ড্রাইভের মাধ্যমে ফাইলগুলি ভাগ করেন, কিন্তু এখন কেউ আপনাকে একটি ড্রপবক্স থেকে জরুরীভাবে একটি ফাইল ডাউনলোড করতে বলে, এটি একটি সংকেত যে কিছু সঠিক নয়৷
- ফোনের মাধ্যমে একটি অনুরোধ নিশ্চিত করুন যদি এটি সাধারণের বাইরে থাকে। ফিশিংকে পরাস্ত করার সর্বোত্তম উপায় হল ফোন তোলা এবং নিজের জন্য প্রেরিত প্রেরকের সাথে কথা বলা। যদি অনুরোধটি সত্যি হয়, তবে এটি নিশ্চিত করতে মাত্র এক মিনিট সময় লাগবে। এটি না হলে, আপনি একটি সম্ভাব্য ক্ষতিকারক পরিস্থিতি এড়াতে পারবেন।
- ইমেলে লিঙ্ক করা ফাইলের দিকে খেয়াল রাখুন। এমনকি এমন কিছু যা আপনি ধরে নিতে পারেন নিরাপদ হবে, যেমন একটি Excel বা Word ফাইল দূষিত সফ্টওয়্যার লুকিয়ে রাখতে পারে। একটি লিঙ্ক করা ফাইলের জন্য ম্যাক্রো সক্ষম করার প্রয়োজন হলে অতিরিক্ত সতর্কতা অবলম্বন করুন, কারণ এটি আপনার ডিভাইসে ম্যালওয়্যার ইনস্টল করার একটি সাধারণ উপায়।
অত্যাধুনিক বর্শা ফিশিং আক্রমণের জন্য সতর্ক থাকুন
স্পিয়ার ফিশিং হল প্রথাগত ফিশিং আক্রমণের অনেক বেশি পরিশীলিত সংস্করণ। এটি একটি নির্দিষ্ট ব্যক্তিকে লক্ষ্য করার জন্য তাদের পরিচিতিগুলির মধ্যে একটি থেকে ইমেল চিঠিপত্র জাল করার জন্য প্রচুর গবেষণা ব্যবহার করে৷
এই ইমেলগুলি খুব বিশ্বাসযোগ্য দেখায় এবং প্রাপককে ম্যালওয়্যার ধারণ করে এমন একটি ফাইল ডাউনলোড করার নির্দেশ দিতে পারে, যা ফিশারকে লক্ষ্যের ইমেল অ্যাকাউন্ট বা অন্যান্য অ্যাকাউন্টগুলিতে অ্যাক্সেস পেতে দেয়৷
এই ইমেলগুলির জন্য সতর্ক থাকুন যেগুলি বৈধ মনে হতে পারে তবে আপনার অ্যাকাউন্টগুলিকে আপস করার একটি উপায় হতে পারে৷ এবং যখন আপনি এখানে থাকবেন, অন্যান্য ফিশিং কৌশলগুলি সম্পর্কেও জানুন যাতে ভিশিং এবং স্মিশিংয়ের মতো সচেতন হতে হয়৷