গত মাস থেকে, শত শত নিন্টেন্ডো ব্যবহারকারী রিপোর্ট করেছেন যে তাদের অ্যাকাউন্ট হ্যাক করা হয়েছে এবং দূরবর্তী অবস্থান থেকে অ্যাক্সেস করা হয়েছে। 5,00,000 এর বেশি জুম অ্যাকাউন্টগুলি ডার্ক ওয়েবে হোস্ট করা হ্যাকার ফোরামে ভাসছে। সম্প্রতি, গবেষকরা 700 টিরও বেশি দূষিত নেটফ্লিক্স এবং ডিজনি প্লাস ক্লোন শনাক্ত করেছেন যা হ্যাকাররা শিকারের ডেটা স্ক্র্যাপ করতে ব্যবহার করে। এই প্রতারণামূলক ক্লোন ওয়েবসাইটগুলি হয় জাল সাবস্ক্রিপশনের মাধ্যমে অর্থ চুরি করছে বা তাদের ভালোর জন্য ব্যাঙ্কিং বিশদ এবং অন্যান্য লগইন শংসাপত্র সংগ্রহ করতে ব্যবহারকারীর ডেটা সংগ্রহ করছে৷
আপনি কি এই সমস্ত সাম্প্রতিক ডেটা চুরির জালিয়াতির মধ্যে একটি জিনিস মিল আছে বুঝতে পারেন? ঠিক আছে, এখন পর্যন্ত এমন কোন ইঙ্গিত পাওয়া যায়নি যে এই সমস্ত জালিয়াতি কোম্পানির স্তরে লঙ্ঘনের ফলে হয়েছে, তবে এটি শংসাপত্র স্টাফিং অ্যাটাক এর কারণে হয়েছে। . এক ধরনের ব্রুট-ফোর্স অ্যাটাক, যেখানে অ্যাকাউন্ট দখল করতে স্বয়ংক্রিয়ভাবে ওয়েবসাইটের বিরুদ্ধে ব্যবহারকারীর নাম এবং পাসওয়ার্ড পরীক্ষা করা হয়।
পার্ট 1- ক্রেডেনশিয়াল স্টাফিং ইন অ্যাকশন
একটি গুরুত্বপূর্ণ দিক যা লক্ষণীয়, ব্যবহারকারীরা আজকাল তাদের ডিজিটাল গোপনীয়তার ক্ষেত্রে খুব সুরক্ষামূলক। আজকাল, লোকেরা 'জটিল পাসওয়ার্ড' রাখার প্রবণতা রাখে - যেটি সংখ্যা এবং বিশেষ অক্ষর সহ উপরের এবং নীচের উভয় অক্ষরের সংমিশ্রণ। কিন্তু দুর্ভাগ্যবশত, একটি শক্তিশালী পাসওয়ার্ড থাকার পরে, লোকেরা তাদের অন্যান্য সাইট এবং পরিষেবাগুলির জন্য একটি অনন্য পাসওয়ার্ড পেতে অসুবিধার সম্মুখীন হয়৷
অবশেষে, তারা সবার জন্য একই পাসওয়ার্ড রাখে। এর মানে, এখন হ্যাকারদের শংসাপত্র স্টাফিং করার জন্য বিশেষ ডাটাবেসের প্রয়োজন নেই। তারা কেবল কিছু বড় ডেটাবেস উল্লেখ করতে পারে এবং সেই ডাটাবেস থেকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ Netflix, Nintendo, Zoom বা অন্য কোনও পরিষেবা অ্যাক্সেস করার চেষ্টা করতে পারে।
গবেষকদের মতে, “জুম-সম্পর্কিত শংসাপত্র স্টাফিং পরিচালনা করতে ‘ওপেনবুলেট’ ব্যবহার করা হয়েছে। উপর ভিত্তি করে OpenBullet GitHub পৃষ্ঠা , এটি একটি অনলাইন পরীক্ষার সরঞ্জাম যা ব্যবহারকারীর ডেটা স্ক্র্যাপ এবং পার্স করার জন্য নিবেদিতভাবে ব্যবহৃত হয়। শংসাপত্রের স্টাফিং আক্রমণকে সহজ ও সহজ করার জন্য এটি একটি ওপেন-সোর্স টুল।"
সুতরাং, আর কোনো ঝামেলা ছাড়াই, আসুন দেখে নেওয়া যাক অ্যানাটমি অফ ক্রেডেনশিয়াল স্টাফিং অ্যাটাক, এটি কীভাবে কাজ করে এবং আপনি এটি প্রতিরোধ করতে কী করতে পারেন?
অংশ 2- শংসাপত্র স্টাফিংয়ের শারীরস্থান
ঠিক আছে, ক্রেডেনশিয়াল স্টাফিং অ্যাটাক হল একজন ব্যবহারকারীর অ্যাকাউন্ট নেওয়ার জন্য একটি সহজ সমাধান। অনুরূপ শংসাপত্র একাধিকবার ব্যবহার করা হয়েছে, আক্রমণের হুমকি প্রকাশ করে এবং অননুমোদিত অ্যাক্সেস লাভ করে। যদিও আক্রমণটি বন্ধ করা চ্যালেঞ্জিং বলে মনে হচ্ছে, এমনকি নবাগত হ্যাকাররা ইন্টারনেটে সহজেই উপলব্ধ নির্দিষ্ট অনলাইন সরঞ্জামগুলির মাধ্যমে এই সাইবার আক্রমণ করতে পারে৷
সাম্প্রতিক একটি সমীক্ষা অনুসারে, হতবাক 43 শতাংশ ওয়েবসাইটের মাধ্যমে জমা দেওয়া লগইন শংসাপত্রগুলির মধ্যে একটি অ্যাকাউন্ট নেওয়ার প্রচেষ্টা মাত্র। ক্রেডেনশিয়াল স্টাফিংয়ের পিছনে একমাত্র কারণ হল পাসওয়ার্ড পুনরায় ব্যবহার করা।
ক্রেডেনশিয়াল স্টাফিং অ্যাটাক দ্বারা সবচেয়ে লক্ষ্য করা সংস্থাগুলি ই-কমার্স, আর্থিক, বিনোদন এবং সোশ্যাল মিডিয়া, আইটি, টেলিকমিউনিকেশন, পরিবহন এবং খুচরা শিল্পগুলি থেকে এসেছে৷
একটি সফল ক্রেডেনশিয়াল স্টাফিং আক্রমণের ফলাফল হল অ্যাকাউন্ট টেকওভার, যখন চুরি করা এবং বৈধ শংসাপত্রগুলি তৃতীয় পক্ষের কাছে বিক্রি করা হয় সঞ্চিত মূল্যের অ্যাকাউন্ট নিষ্কাশন করতে বা ডেটা চুরি করার জন্য৷
শংসাপত্রের অপব্যবহার ও অ্যাকাউন্ট টেকওভারের ওভারভিউ
পর্ব 3- কিভাবে শংসাপত্র স্টাফিং আক্রমণ কাজ করে?
ক্রেডেনশিয়াল স্টাফিং সঞ্চালনের জন্য আক্রমণকারী দ্বারা অনুসরণ করা সাধারণ প্রক্রিয়াটি নীচে বর্ণিত হয়েছে:
আক্রমণকারী:
ধাপ 1- একটি বট তৈরি এবং সেট আপ করে, যা আইপি ঠিকানা জাল করার সময় বিভিন্ন অ্যাকাউন্টে লগ ইন করতে স্বয়ংক্রিয়ভাবে কাজ করে।
ধাপ 2- আরও, চুরি হওয়া শংসাপত্রগুলি বেশ কয়েকটি ওয়েবসাইটের জন্য কার্যকর কিনা তা পরীক্ষা করার জন্য তারা একটি স্বয়ংক্রিয় প্রক্রিয়া চালায়। দূষিত প্ল্যাটফর্মে বিভিন্ন ধরনের শংসাপত্র স্টাফিং টুল উপলব্ধ রয়েছে যা ওয়েবের চারপাশে অনুরোধটি বাউন্স করার জন্য 'প্রক্সি তালিকা' অন্তর্ভুক্ত করে এবং এটিকে এমন দেখায় যেন সেগুলি বিভিন্ন আইপি ঠিকানা থেকে আসছে৷
পদক্ষেপ 3- তারা নিয়মিতভাবে লাভজনক শংসাপত্র খুঁজে পেতে এবং (PII) ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য, যেমন ব্যাঙ্কিং বিশদ এবং অন্যান্য গোপনীয়তা-সম্পর্কিত ডেটা পেতে পর্যবেক্ষণ করে৷
পদক্ষেপ 4- তারা পরে ব্যবহারের জন্য অ্যাকাউন্টের তথ্য ধরে রাখে, যেমন ফিশিং আক্রমণের সাথে লক্ষ্য করে। এমনকি তারা ডেটা কপি করে বিক্রি করে বা প্রকাশ করে (বেশিরভাগই ডার্ক ওয়েবে) অন্য হ্যাকারদের ব্যবহারের জন্য।
আক্রমণকারীরা একবার শিকারের ডেটাতে অ্যাক্সেস পেয়ে গেলে, তারা এটিকে বিভিন্ন ধরণের দুষ্টুমির জন্য ব্যবহার করে, যেমন আপস করা অ্যাকাউন্টে অ্যাক্সেস বিক্রি করা (যেমন Netflix এবং Disney+), বৈধ ব্যবহারকারী হিসাবে ছদ্মবেশ ধারণ করে এবং ই-কমার্স জালিয়াতি করে। যদিও উপরের উভয় অপরাধেরই গ্রাহকদের জন্য কিছু গুরুতর পরিণতি রয়েছে, আরেকটি জালিয়াতি 'কর্পোরেট/প্রাতিষ্ঠানিক গুপ্তচরবৃত্তি এবং চুরি' ব্যবসার জন্য সবচেয়ে ধ্বংসাত্মক হওয়ার সম্ভাবনা রয়েছে৷
যদি একজন আক্রমণকারী কর্মচারী বা প্রশাসকের ডেটাতে অ্যাক্সেস লাভ করে, তবে তারা সমস্ত ধরণের সংবেদনশীল অভ্যন্তরীণ তথ্য বের করতে পারে, যা তারা সর্বোচ্চ দরদাতাদের কাছে বিক্রি করতে পারে।
- এন্টারপ্রাইজে ব্যবসার জন্য সাইবার নিরাপত্তার কী গুরুত্ব আছে?
- কোম্পানিগুলো কি সাইবার হামলার জন্য প্রস্তুত?
পর্ব 4- কেন ক্রেডেনশিয়াল স্টাফিং হ্যাকারদের মধ্যে জনপ্রিয়তা পাচ্ছে?
সংক্ষেপে, ক্রেডেনশিয়াল স্টাফিং আক্রমণ বাড়ছে কারণ কৌশলটি সম্পূর্ণ স্বয়ংক্রিয়, সহজবোধ্য এবং সহজ। যেহেতু মার্কেট জটিল কার্যকারিতা সহ টপ ইন্টারনেট সিকিউরিটি সলিউশনে ভরপুর হয়ে উঠছে, তাই অত্যাধুনিক এবং উন্নত পদ্ধতি সহ একটি সিস্টেমে হ্যাকিং জোরালো হয়ে উঠেছে। অতএব, ক্রেডেনশিয়াল স্টাফিং-এ প্রবেশ করা একটি ব্যয়-কার্যকর এবং কার্যকরী হয়ে ওঠে এমন মৌলিক কৌশলগুলি ব্যবহার করে সিস্টেমে প্রবেশ করা সহজ।
কোনো ব্যবহারকারী যদি স্মার্ট এবং উন্নত নিরাপত্তা শনাক্তকরণ এবং সুরক্ষা সমাধানের উপর নির্ভর করে না কেন, সে যদি ঝুঁকিপূর্ণ আচরণ করে, তাহলে একটি নিরাপত্তার ফাঁক সবসময় তৈরি হবে।
ক্রেডেনশিয়াল স্টাফিং আক্রমণে, একজন ব্যবহারকারীকে শিকার হওয়ার জন্য একাধিক অ্যাকাউন্টের জন্য একই পাসওয়ার্ড সেট করতে হবে। বিভিন্ন গবেষকদের মতে, সাধারণ পাসওয়ার্ড রাখা হল একজন ব্যবহারকারীর করা সবচেয়ে সাধারণ ভুলগুলির মধ্যে একটি যা হ্যাকারদের দ্রুত শোষণ বাস্তবায়নের দরজা খুলে দেয়।
অংশ 5- শংসাপত্র স্টাফিং আক্রমণ প্রতিরোধ করার জন্য আপনি যে ব্যবস্থাগুলি গ্রহণ করতে পারেন
ক্রেডেনশিয়াল স্টাফিং অ্যাটাক থেকে নিজেকে রক্ষা করা বেশ সহজ এবং অনুসরণ করার জন্য মাত্র কয়েকটি নিরাপত্তা অনুশীলন জড়িত৷
1. ভালো পাসওয়ার্ড হাইজিন বজায় রাখুন
আপনার প্রতিটি অ্যাকাউন্টের জন্য একই পাসওয়ার্ড ব্যবহার করা এড়িয়ে চলুন। এই ধরনের আক্রমণ পরিচালিত হয় কারণ ব্যবহারকারীরা তাদের একাধিক অ্যাকাউন্টের জন্য একই বা একই রকমের পাসওয়ার্ড সেট করার প্রবণতা রাখে।
২. আপনার সমস্ত অ্যাকাউন্টের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন
সাইবার অপরাধীরা ব্যক্তিগত ডেটা এবং অন্যান্য গোপনীয়তা-সম্পর্কিত ট্রেস বের করার জন্য আরও ভাল এবং আরও পরিশীলিত কৌশল নিয়ে আসছে। এগুলি প্রতিরোধ করার জন্য, একটি বহু-স্তরযুক্ত সুরক্ষা পদ্ধতি একটি দুর্দান্ত সমাধান উপলব্ধ৷
3. পর্যায়ক্রমে আপনার পাসওয়ার্ডগুলি রিসেট করুন
আরও ভালো নিরাপত্তা ও গোপনীয়তা নিশ্চিত করতে আপনার এটিকে একটি অপরিহার্য করণীয় হিসেবে বিবেচনা করা উচিত। নিশ্চিত করুন যে আপনি পূর্বে ব্যবহৃত পাসওয়ার্ড ব্যবহার করবেন না।
4. নিশ্চিত করুন যে আপনি আপনার ব্যক্তিগত এবং পেশাদার অ্যাকাউন্টের জন্য একই পাসওয়ার্ড ব্যবহার করবেন না
ঠিক আছে, বেশ কিছু কোম্পানি আছে যারা তার কর্মীদের পর্যায়ক্রমিক ডিজিটাল ক্লিন-আপ করতে উৎসাহিত করে। মানে, তারা প্রতি ছয় মাসে তাদের পাসওয়ার্ড পরিবর্তন করা এবং তাদের কাজ এবং ব্যক্তিগত ব্যবহারের জন্য আলাদা রাখা বাধ্যতামূলক করেছে।
5. আপনি যে থ্রেট প্রোটেকশন সার্ভিস ব্যবহার করছেন তা নিশ্ছিদ্র নিশ্চিত করুন
আপনার সিস্টেমের শীর্ষে একটি ঢাল হিসাবে একটি অ্যান্টিভাইরাস সমাধান রাখা যে আজকাল এতটা গুরুত্বপূর্ণ তা বোঝার জন্য একজনের প্রতিভাবান হওয়ার দরকার নেই। আমরা আমাদের পাঠকদের উইন্ডোজ, ম্যাক, অ্যান্ড্রয়েড, আইফোন এবং অন্যান্য ডিভাইসের জন্য সর্বোত্তম-শ্রেণীর অ্যান্টিভাইরাস সুরক্ষা দিয়ে তাদের সিস্টেমগুলিকে সুরক্ষিত করার জন্য অনুরোধ করছি৷
অংশ 6- কীভাবে সিস্টওয়েক ব্যবহারকারীদের শংসাপত্র স্টাফিং আক্রমণ এবং অ্যাকাউন্ট টেকওভার থেকে রক্ষা করে?
Systweak সবচেয়ে উন্নত সমাধানগুলির মধ্যে একটি নিয়ে এসেছে যা ব্যবহারকারীদের এমনকি সবচেয়ে পরিশীলিত আক্রমণগুলিকে বঞ্চিত করতে সাহায্য করে!
শুরুর জন্য, এটি একটি ডেডিকেটেড পাসওয়ার্ড ম্যানেজমেন্ট অ্যাপ, TweakPass অফার করে যেটি আপনার শংসাপত্র এবং ব্যক্তিগত ডেটার 360-ডিগ্রি সুরক্ষা নিশ্চিত করতে AES-256-বিট এনক্রিপশন, PBKDF2 SHA-256 এবং HMac-এর সাথে সুরক্ষিত একটি বিশেষ ভল্ট প্রদান করে। যেহেতু আমরা শিখেছি যে একই পাসওয়ার্ড পুনরায় ব্যবহার করা শংসাপত্র স্টাফিংয়ের ঝুঁকি বাড়ায়। এটি একটি পাসওয়ার্ড জেনারেটর বৈশিষ্ট্য অফার করে যা আপনার সমস্ত অ্যাকাউন্ট, ওয়েবসাইট এবং পরিষেবাগুলির জন্য জটিল এবং অনন্য পাসওয়ার্ড প্রস্তাব করে৷ তদুপরি, আপনাকে এই সমস্ত দীর্ঘ এবং শক্তিশালী পাসওয়ার্ড শিখতে হবে না কারণ TweakPass আপনার জন্য এটি করে। এমনকি এটি আপনাকে কয়েক সেকেন্ডের মধ্যে শংসাপত্র এবং অন্যান্য ব্যক্তিগত ডেটা স্বয়ংক্রিয়ভাবে পূরণ করতে দেয়৷
Read More About The Password Manager App, Here!
For ultimate identity protection &security, they have Advanced Identity Protector. It is a sophisticated tool that helps users freely transact over multiple sites while keeping their data confidential. It performs a single scan over your machine &detects all the sensitive information related to your identity that may pose a threat &easily be available for hackers to commit crimes in your name. Once you find the hidden traces like Social Security Number, Credit Card Details, Contact Information etc., you can choose the store them in a Secure Vault or get rid of them completely, so that it doesn’t go into wrong hands.
To Know More About This Robust Utility, Click Here!
Part 7 – Bottom Line
There is no scarcity of Internet threats which puts the end consumers at risk and keeps IT Professionals busy. Credential Stuffing is one of the scariest risks that brings a significant threat to users. For these reasons, every individual is advised to use unique passwords, protect their accounts with multi-factor authentication &maintain digital hygiene, especially when they suspect they are using any of the fraudulent websites or services.
MUST-READ:
- Best VPN Solutions For Windows 2020
- Best VPN Clients For Mac Users 2020
- Best VPN Services For Android Devices 2020
- Best Free VPN Apps For iPhone &iPad 2020