ইমেল হল একটি সাধারণ আক্রমণ ভেক্টর যা প্রতারক এবং কম্পিউটার অপরাধীরা ব্যবহার করে। কিন্তু আপনি যদি মনে করেন যে এটি শুধুমাত্র ম্যালওয়্যার, ফিশিং এবং নাইজেরিয়ান অগ্রিম ফি স্ক্যাম ছড়িয়ে দেওয়ার জন্য ব্যবহৃত হয়েছিল, আবার চিন্তা করুন। একটি নতুন ইমেল-চালিত কেলেঙ্কারী রয়েছে যেখানে একজন আক্রমণকারী আপনার বস হওয়ার ভান করবে এবং আপনাকে হাজার হাজার ডলার কোম্পানির তহবিল তাদের নিয়ন্ত্রণ করে এমন একটি ব্যাঙ্ক অ্যাকাউন্টে স্থানান্তর করতে বাধ্য করবে৷
একে বলা হয় সিইও ফ্রড, বা "ইনসাইডার স্পুফিং"।
আক্রমণ বোঝা
সুতরাং, আক্রমণ কিভাবে কাজ করে? ঠিক আছে, একজন আক্রমণকারীকে সফলভাবে তা বন্ধ করতে, তারা যে কোম্পানিকে টার্গেট করছে সে সম্পর্কে তাদের অনেক তথ্য জানতে হবে।
এই তথ্যের বেশিরভাগই কোম্পানি বা প্রতিষ্ঠানের শ্রেণীবিন্যাস কাঠামো সম্পর্কে যা তারা লক্ষ্য করছে। তাদের জানতে হবে কে তারা ছদ্মবেশী হবে। যদিও এই ধরনের কেলেঙ্কারী "CEO জালিয়াতি" নামে পরিচিত, বাস্তবে এটি কাউকে টার্গেট করে সিনিয়র ভূমিকা সহ - যে কেউ অর্থপ্রদান শুরু করতে সক্ষম হবে। তাদের তাদের নাম এবং তাদের ইমেল ঠিকানা জানতে হবে। এটি তাদের সময়সূচী এবং তারা কখন ভ্রমণ করবে বা ছুটিতে থাকবে তা জানতেও সাহায্য করবে।
পরিশেষে, তাদের জানা দরকার যে প্রতিষ্ঠানে কে অর্থ স্থানান্তর করতে সক্ষম, যেমন একজন হিসাবরক্ষক, বা অর্থ বিভাগের কর্মরত কেউ।
এই তথ্যের বেশিরভাগই প্রশ্নবিদ্ধ কোম্পানির ওয়েবসাইটে অবাধে পাওয়া যাবে। অনেক মাঝারি এবং ছোট আকারের কোম্পানির "আমাদের সম্পর্কে" পৃষ্ঠা রয়েছে, যেখানে তারা তাদের কর্মচারী, তাদের ভূমিকা এবং দায়িত্ব এবং তাদের যোগাযোগের তথ্য তালিকাভুক্ত করে।
কারো সময়সূচী খোঁজা একটু কঠিন হতে পারে। অধিকাংশ মানুষ তাদের ক্যালেন্ডার অনলাইনে প্রচার করে না। যাইহোক, অনেক লোক সামাজিক মিডিয়া সাইটগুলিতে তাদের গতিবিধি প্রচার করে, যেমন টুইটার, ফেসবুক এবং সোয়ার্ম (পূর্বে ফোরস্কয়ার)। একজন আক্রমণকারীকে শুধুমাত্র অফিস থেকে বের হওয়া পর্যন্ত অপেক্ষা করতে হবে, এবং তারা আঘাত করতে পারে।
আক্রমণকারীর কাছে আক্রমণটি পরিচালনা করার জন্য প্রয়োজনীয় ধাঁধার প্রতিটি অংশ পেয়ে গেলে, তারা তারপরে অর্থ কর্মচারীকে ইমেল করবে, সিইও হতে পারে এবং অনুরোধ করবে যে তারা তাদের নিয়ন্ত্রণ করে এমন একটি ব্যাঙ্ক অ্যাকাউন্টে অর্থ স্থানান্তর শুরু করবে।
এটি কাজ করার জন্য, ইমেলটি আসল দেখতে হবে। তারা হয় এমন একটি ইমেল অ্যাকাউন্ট ব্যবহার করবে যা 'বৈধ' বা যুক্তিযুক্ত বলে মনে হয় (উদাহরণস্বরূপ firstname.lastname.arbitrarynumber@gmail.com ), অথবা যদিও সিইও-এর আসল ইমেল 'স্পুফিং' করে। এটি হবে যেখানে পরিবর্তিত হেডার সহ একটি ইমেল পাঠানো হয়, তাই "থেকে:" ফিল্ডে সিইওর আসল ইমেল থাকে৷ কিছু অনুপ্রাণিত আক্রমণকারী সিইওকে তাদের ইমেল করার চেষ্টা করবে, যাতে তারা তাদের ইমেলের স্টাইলিং এবং নান্দনিকতার নকল করতে পারে।
আক্রমণকারী আশা করবে যে ফাইন্যান্স কর্মচারীকে টার্গেট করা এক্সিকিউটিভের সাথে প্রথমে চেক না করেই স্থানান্তর শুরু করার জন্য চাপ দেওয়া হবে। এই বাজি প্রায়শই পরিশোধ করে, কিছু কোম্পানি অজান্তেই কয়েক হাজার ডলার পরিশোধ করেছে। ফ্রান্সের একটি কোম্পানি যা BBC দ্বারা প্রোফাইল করা হয়েছিল 100,000 ইউরো হারিয়েছে। আক্রমণকারীরা 500,000 পাওয়ার চেষ্টা করেছিল, কিন্তু একটি পেমেন্ট বাদে বাকি সমস্ত ব্যাঙ্কের দ্বারা ব্লক করা হয়েছিল, যারা জালিয়াতির সন্দেহ করেছিল৷
কিভাবে সামাজিক প্রকৌশল আক্রমণ কাজ করে
ঐতিহ্যগত কম্পিউটার নিরাপত্তা হুমকি প্রকৃতির প্রযুক্তিগত হতে থাকে। ফলস্বরূপ, আপনি এই আক্রমণগুলিকে পরাস্ত করতে প্রযুক্তিগত ব্যবস্থা নিযুক্ত করতে পারেন। আপনি ম্যালওয়্যার দ্বারা সংক্রামিত হলে, আপনি একটি অ্যান্টি-ভাইরাস প্রোগ্রাম ইনস্টল করতে পারেন। যদি কেউ আপনার ওয়েব সার্ভার হ্যাক করার চেষ্টা করে, তাহলে আপনি একটি অনুপ্রবেশ পরীক্ষা করার জন্য কাউকে নিয়োগ করতে পারেন এবং অন্যান্য আক্রমণের বিরুদ্ধে আপনি কীভাবে মেশিনটিকে 'কঠিন' করতে পারেন সে সম্পর্কে আপনাকে পরামর্শ দিতে পারেন৷
সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ - যার মধ্যে সিইও জালিয়াতি একটি উদাহরণ - এর বিরুদ্ধে প্রশমিত করা অনেক কঠিন, কারণ তারা সিস্টেম বা হার্ডওয়্যার আক্রমণ করছে না। তারা মানুষের উপর হামলা করছে। কোডে দুর্বলতাগুলিকে কাজে লাগানোর পরিবর্তে, তারা মানব প্রকৃতির সুবিধা নেয় এবং অন্য লোকেদের বিশ্বাস করার জন্য আমাদের সহজাত জৈবিক বাধ্যতামূলক। এই আক্রমণের সবচেয়ে আকর্ষণীয় ব্যাখ্যা 2013 সালে DEFCON সম্মেলনে করা হয়েছিল৷
সবচেয়ে ভয়ঙ্কর দুঃসাহসী হ্যাকগুলির মধ্যে কয়েকটি ছিল সামাজিক প্রকৌশলের একটি পণ্য৷
2012 সালে, প্রাক্তন-ওয়্যারড সাংবাদিক ম্যাট হনান নিজেকে সাইবার-অপরাধীদের একটি দৃঢ়প্রতিজ্ঞ ক্যাডার দ্বারা আক্রমণের শিকার হন, যারা তার অনলাইন জীবনকে ধ্বংস করতে দৃঢ়প্রতিজ্ঞ ছিল। সামাজিক প্রকৌশল কৌশল ব্যবহার করে, তারা অ্যামাজন এবং অ্যাপলকে তার ম্যাকবুক এয়ার এবং আইফোনকে দূর থেকে মুছে ফেলার জন্য প্রয়োজনীয় তথ্য সরবরাহ করতে, তার ইমেল অ্যাকাউন্ট মুছে ফেলতে এবং তার প্রভাবশালী টুইটার অ্যাকাউন্ট বাজেয়াপ্ত করতে জাতিগত এবং সমকামী উপাখ্যান পোস্ট করার জন্য তাদের বোঝাতে সক্ষম হয়েছিল। . আপনি এখানে শীতল গল্প পড়তে পারেন।
সামাজিক প্রকৌশল আক্রমণগুলি খুব কমই একটি নতুন উদ্ভাবন। হ্যাকাররা কয়েক দশক ধরে সিস্টেম, বিল্ডিং এবং তথ্য অ্যাক্সেস করার জন্য কয়েক দশক ধরে তাদের ব্যবহার করে আসছে। সবচেয়ে কুখ্যাত সামাজিক প্রকৌশলীদের মধ্যে একজন হলেন কেভিন মিটনিক, যিনি 90-এর দশকের মাঝামাঝি সময়ে কম্পিউটার অপরাধের একটি স্ট্রিং করার পরে পুলিশের কাছ থেকে লুকিয়ে ছিলেন। তাকে পাঁচ বছরের জন্য কারাদণ্ড দেওয়া হয়েছিল, এবং 2003 সাল পর্যন্ত কম্পিউটার ব্যবহার করা নিষিদ্ধ ছিল। হ্যাকাররা যখন যায়, মিটনিক আপনার রকস্টার মর্যাদা পাওয়ার মতো কাছাকাছি ছিল। অবশেষে যখন তাকে ইন্টারনেট ব্যবহার করার অনুমতি দেওয়া হয়, তখন এটি লিও লাপোর্টের দ্য স্ক্রিন সেভারসতে টেলিভিশনে প্রচারিত হয়। .
অবশেষে তিনি বৈধ হয়ে গেলেন। তিনি এখন তার নিজস্ব কম্পিউটার-সিকিউরিটি কনসালটেন্সি ফার্ম চালান এবং সোশ্যাল ইঞ্জিনিয়ারিং এবং হ্যাকিং সম্পর্কে বেশ কিছু বই লিখেছেন। সম্ভবত সবচেয়ে সুপরিচিত হল "প্রতারণার শিল্প"। এটি মূলত ছোটগল্পের একটি সংকলন যা সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণগুলি কীভাবে বন্ধ করা যায় এবং কীভাবে তাদের থেকে নিজেকে রক্ষা করা যায় তা দেখে এবং অ্যামাজনে কেনার জন্য উপলব্ধ৷
প্রতারণার শিল্প:নিরাপত্তার মানবিক উপাদান নিয়ন্ত্রণ করুন এখনই অ্যামাজনে কিনুন CEO জালিয়াতির বিষয়ে কী করা যেতে পারে?
সুতরাং, এর সংক্ষেপ করা যাক. আমরা জানি যে সিইও জালিয়াতি ভয়ঙ্কর। আমরা জানি এতে অনেক কোম্পানির অনেক টাকা খরচ হয়েছে। আমরা জানি এর বিরুদ্ধে প্রশমিত করা অবিশ্বাস্যভাবে কঠিন, কারণ এটি মানুষের বিরুদ্ধে আক্রমণ, কম্পিউটারের বিরুদ্ধে নয়। শেষ জিনিসটি কভার করার বাকি আছে আমরা কীভাবে এর বিরুদ্ধে লড়াই করি৷
বলা সহজ, করা কঠিন. আপনি যদি একজন কর্মচারী হন এবং আপনি আপনার নিয়োগকর্তা বা বসের কাছ থেকে একটি সন্দেহজনক অর্থপ্রদানের অনুরোধ পেয়ে থাকেন, তাহলে আপনি তাদের সাথে চেক ইন করতে চাইতে পারেন (ইমেল ছাড়া অন্য কোনো পদ্ধতি ব্যবহার করে) এটি আসল কিনা তা দেখতে। তাদের বিরক্ত করার জন্য তারা আপনার সাথে কিছুটা বিরক্ত হতে পারে, কিন্তু তারা সম্ভবত আরো হবে আপনি বিদেশী ব্যাঙ্ক অ্যাকাউন্টে কোম্পানির তহবিলের $100,000 পাঠালে বিরক্ত হন।
প্রযুক্তিগত সমাধান রয়েছে যা ব্যবহার করা যেতে পারে। Office 365-এ Microsoft-এর আসন্ন আপডেটে এই ধরনের আক্রমণের বিরুদ্ধে কিছু সুরক্ষা থাকবে, প্রতিটি ইমেলের উৎস চেক করে এটি একটি বিশ্বস্ত পরিচিতি থেকে এসেছে কিনা তা দেখতে। Microsoft মনে করে যে তারা কিভাবে Office 365 জাল বা জাল ইমেল সনাক্ত করে তাতে 500% উন্নতি করেছে৷
হতাশ হবেন না
এই আক্রমণ থেকে রক্ষা করার সবচেয়ে নির্ভরযোগ্য উপায় হল সন্দেহপ্রবণ হওয়া। যখনই আপনি একটি ইমেল পান যা আপনাকে একটি বড় অর্থ স্থানান্তর করতে বলে, এটি বৈধ কিনা তা দেখতে আপনার বসকে কল করুন৷ আইটি বিভাগের সাথে আপনার যদি কোনো প্রভাব থাকে, তাহলে তাদের Office 365-এ যেতে বলার কথা বিবেচনা করুন, যেটি CEO জালিয়াতির বিরুদ্ধে লড়াই করার সময় প্যাকে নেতৃত্ব দিচ্ছে৷
আমি অবশ্যই আশা করি না, কিন্তু আপনি কি কখনও অর্থ-প্রণোদিত ইমেল স্ক্যামের শিকার হয়েছেন? যদি তাই হয়, আমি এটা সম্পর্কে শুনতে চাই. নীচে একটি মন্তব্য করুন, এবং আমাকে বলুন কি হয়েছে৷৷
ফটো ক্রেডিট:AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
