দ্বি-ফ্যাক্টর প্রমাণীকরণ বাইপাস করার জন্য ফিশিং আক্রমণ সম্পর্কে সতর্কতা

দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) আর কোনও ত্রুটি-বিচ্যুতিহীন নিরাপত্তা ব্যবস্থা নয়। চিত্রের ছবি

আক্রমণের নতুন রূপ

সাইবার নিরাপত্তায় টু-ফ্যাক্টর অথেনটিকেশন (2FA) একটি স্ট্যান্ডার্ড সিকিউরিটি ফিচারে পরিণত হয়েছে। এর জন্য ব্যবহারকারীদের দ্বিতীয় অথেনটিকেশন ধাপের মাধ্যমে তাদের পরিচয় যাচাই করতে হয়, সাধারণত টেক্সট মেসেজ, ইমেল বা অথেনটিকেশন অ্যাপের মাধ্যমে পাঠানো এককালীন পাসওয়ার্ড (OTP)। এই অতিরিক্ত স্তরের নিরাপত্তার উদ্দেশ্য হল ব্যবহারকারীর অ্যাকাউন্ট সুরক্ষিত রাখা, এমনকি যদি তাদের পাসওয়ার্ড চুরি হয়ে যায়।

যদিও 2FA অনেক ওয়েবসাইট দ্বারা ব্যাপকভাবে গৃহীত হয় এবং সংস্থাগুলি দ্বারা প্রয়োজনীয়, সম্প্রতি, ক্যাসপারস্কি সাইবার নিরাপত্তা বিশেষজ্ঞরা 2FA বাইপাস করার জন্য সাইবার অপরাধীদের দ্বারা ব্যবহৃত ফিশিং আক্রমণ আবিষ্কার করেছেন।

ফলস্বরূপ, সাইবার আক্রমণকারীরা সাইবার আক্রমণের আরও পরিশীলিত রূপে পরিবর্তিত হয়েছে, ফিশিং এবং স্বয়ংক্রিয় OTP বট একত্রিত করে ব্যবহারকারীদের প্রতারণা করে এবং তাদের অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস অর্জন করে। বিশেষ করে, স্ক্যামাররা ব্যবহারকারীদের 2FA সুরক্ষা ব্যবস্থা এড়িয়ে যাওয়ার জন্য এই OTP গুলি প্রকাশ করার জন্য প্রতারণা করে।

সাইবার অপরাধীরা ব্যবহারকারীদের প্রতারণা করে তাদের অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস অর্জনের জন্য স্বয়ংক্রিয় OTP বটের সাথে ফিশিং একত্রিত করে। চিত্রের ছবি

এমনকি OTP বট, একটি অত্যাধুনিক হাতিয়ার, স্ক্যামাররা সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের মাধ্যমে OTP কোড আটকাতে ব্যবহার করে। আক্রমণকারীরা প্রায়শই ফিশিং বা ডেটা দুর্বলতা কাজে লাগানোর মতো পদ্ধতির মাধ্যমে ভুক্তভোগীদের লগইন শংসাপত্র চুরি করার চেষ্টা করে। এরপর তারা ভুক্তভোগীর অ্যাকাউন্টে লগ ইন করে, যার ফলে ভুক্তভোগীর ফোনে OTP কোড পাঠানো শুরু হয়।

এরপর, OTP বট স্বয়ংক্রিয়ভাবে ভুক্তভোগীকে কল করবে, একটি বিশ্বস্ত প্রতিষ্ঠানের কর্মচারীর ছদ্মবেশে, একটি পূর্ব-প্রোগ্রাম করা কথোপকথন স্ক্রিপ্ট ব্যবহার করে ভুক্তভোগীকে OTP কোড প্রকাশ করতে রাজি করাবে। অবশেষে, আক্রমণকারী বটের মাধ্যমে OTP কোডটি গ্রহণ করে এবং এটি ব্যবহার করে ভুক্তভোগীর অ্যাকাউন্টে অবৈধভাবে প্রবেশ করে।

প্রতারকরা প্রায়শই টেক্সট মেসেজের চেয়ে ভয়েস কল পছন্দ করে কারণ ভুক্তভোগীরা এই পদ্ধতিতে দ্রুত সাড়া দেয়। সেই অনুযায়ী, OTP বটগুলি বিশ্বাস এবং প্ররোচনার অনুভূতি তৈরি করতে মানুষের কলের সুর এবং তাৎপর্য অনুকরণ করবে।

প্রতারকরা টেলিগ্রামের মতো ডেডিকেটেড অনলাইন ড্যাশবোর্ড বা মেসেজিং প্ল্যাটফর্মের মাধ্যমে OTP বট নিয়ন্ত্রণ করে। এই বটগুলিতে বিভিন্ন বৈশিষ্ট্য এবং সাবস্ক্রিপশন পরিকল্পনাও রয়েছে, যা আক্রমণকারীদের পক্ষে কাজ করা সহজ করে তোলে। আক্রমণকারীরা প্রতিষ্ঠানের ছদ্মবেশ ধারণ করতে, একাধিক ভাষা ব্যবহার করতে এবং এমনকি পুরুষ বা মহিলা ভয়েস টোন বেছে নিতে বটের বৈশিষ্ট্যগুলি কাস্টমাইজ করতে পারে। উন্নত বিকল্পগুলির মধ্যে রয়েছে ফোন নম্বর স্পুফিং, যা কলারের ফোন নম্বরটিকে একটি বৈধ সংস্থার বলে মনে করে যাতে শিকারকে একটি পরিশীলিত উপায়ে প্রতারণা করা যায়।

প্রযুক্তি যত বেশি বিকশিত হবে, অ্যাকাউন্ট সুরক্ষার প্রয়োজনীয়তা তত বেশি হবে। চিত্রের ছবি

OTP বট ব্যবহার করার জন্য, স্ক্যামারকে প্রথমে ভুক্তভোগীর লগইন শংসাপত্র চুরি করতে হবে। তারা প্রায়শই ফিশিং ওয়েবসাইট ব্যবহার করে যা দেখতে ঠিক ব্যাংক, ইমেল পরিষেবা বা অন্যান্য অনলাইন অ্যাকাউন্টের বৈধ লগইন পৃষ্ঠাগুলির মতো। যখন ভুক্তভোগী তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রবেশ করান, তখন স্ক্যামার স্বয়ংক্রিয়ভাবে তাৎক্ষণিকভাবে (রিয়েল টাইমে) এই তথ্য সংগ্রহ করে।

১ মার্চ থেকে ৩১ মে, ২০২৪ সালের মধ্যে, ক্যাসপারস্কি সিকিউরিটি সলিউশনগুলি ব্যাংকগুলিকে লক্ষ্য করে ফিশিং কিট দ্বারা তৈরি ওয়েবসাইটগুলিতে ৬,৫৩,০৮৮টি ভিজিট প্রতিরোধ করেছে। এই ওয়েবসাইটগুলি থেকে চুরি করা ডেটা প্রায়শই OTP বট আক্রমণে ব্যবহৃত হয়। একই সময়ে, বিশেষজ্ঞরা রিয়েল-টাইম টু-ফ্যাক্টর প্রমাণীকরণকে বাইপাস করার জন্য কিট দ্বারা তৈরি ৪,৭২১টি ফিশিং ওয়েবসাইট সনাক্ত করেছেন।

সাধারণ পাসওয়ার্ড তৈরি করবেন না।

ক্যাসপারস্কির নিরাপত্তা বিশেষজ্ঞ ওলগা সুইস্তুনোভা মন্তব্য করেছেন: "সামাজিক প্রকৌশল আক্রমণগুলিকে অত্যন্ত পরিশীলিত জালিয়াতির পদ্ধতি হিসাবে বিবেচনা করা হয়, বিশেষ করে পরিষেবা প্রতিনিধিদের কাছ থেকে বৈধভাবে কল সিমুলেট করার ক্ষমতা সহ OTP বটগুলির আবির্ভাবের সাথে। সতর্ক থাকার জন্য, সতর্কতা বজায় রাখা এবং সুরক্ষা ব্যবস্থা মেনে চলা গুরুত্বপূর্ণ।"

হ্যাকারদের কেবল স্মার্ট ভবিষ্যদ্বাণী অ্যালগরিদম ব্যবহার করে সহজেই পাসওয়ার্ড খুঁজে বের করতে হবে। চিত্রের ছবি

জুনের শুরুতে ক্যাসপারস্কি বিশেষজ্ঞদের দ্বারা স্মার্ট অনুমান অ্যালগরিদম ব্যবহার করে পরিচালিত ১৯৩ মিলিয়ন পাসওয়ার্ড বিশ্লেষণে, এগুলিও এমন পাসওয়ার্ড যা তথ্য চোরদের দ্বারা ডার্কনেটে আপোস করা হয়েছে এবং বিক্রি করা হয়েছে, এটি দেখায় যে ৪৫% (৮৭ মিলিয়ন পাসওয়ার্ডের সমতুল্য) এক মিনিটের মধ্যে সফলভাবে ক্র্যাক করা যেতে পারে; মাত্র ২৩% (৪৪ মিলিয়নের সমতুল্য) পাসওয়ার্ড সংমিশ্রণ আক্রমণ প্রতিরোধ করার জন্য যথেষ্ট শক্তিশালী বলে মনে করা হয় এবং এই পাসওয়ার্ডগুলি ক্র্যাক করতে এক বছরেরও বেশি সময় লাগবে। তবে, বাকি বেশিরভাগ পাসওয়ার্ড এখনও ১ ঘন্টা থেকে ১ মাস পর্যন্ত ক্র্যাক করা যেতে পারে।

এছাড়াও, সাইবার নিরাপত্তা বিশেষজ্ঞরা ব্যবহারকারীরা পাসওয়ার্ড সেট করার সময় সবচেয়ে বেশি ব্যবহৃত অক্ষর সংমিশ্রণগুলিও প্রকাশ করেছেন যেমন: নাম: "আহমেদ", "নুগুয়েন", "কুমার", "কেভিন", "ড্যানিয়েল"; জনপ্রিয় শব্দ: "চিরকাল", "ভালোবাসা", "গুগল", "হ্যাকার", "গেমার"; স্ট্যান্ডার্ড পাসওয়ার্ড: "পাসওয়ার্ড", "কিউওয়ার্টি১২৩৪৫", "অ্যাডমিন", "১২৩৪৫", "টিম"।

বিশ্লেষণে দেখা গেছে যে মাত্র ১৯% পাসওয়ার্ডে শক্তিশালী পাসওয়ার্ডের সংমিশ্রণ রয়েছে, যার মধ্যে রয়েছে অভিধান-বহির্ভূত শব্দ, বড় এবং ছোট হাতের অক্ষর, সংখ্যা এবং প্রতীক উভয়ই। একই সময়ে, গবেষণায় আরও দেখা গেছে যে ৩৯% শক্তিশালী পাসওয়ার্ড এখনও এক ঘন্টারও কম সময়ে স্মার্ট অ্যালগরিদম দ্বারা অনুমান করা যেতে পারে।

মজার ব্যাপার হলো, পাসওয়ার্ড ক্র্যাক করার জন্য আক্রমণকারীদের বিশেষ জ্ঞান বা উন্নত সরঞ্জামের প্রয়োজন হয় না। উদাহরণস্বরূপ, একটি ডেডিকেটেড ল্যাপটপ প্রসেসর মাত্র ৭ মিনিটের মধ্যে আটটি ছোট হাতের অক্ষর বা সংখ্যার পাসওয়ার্ড সংমিশ্রণকে সঠিকভাবে জোর করে তৈরি করতে পারে। একটি ইন্টিগ্রেটেড গ্রাফিক্স কার্ড ১৭ সেকেন্ডের মধ্যে একই কাজ করতে পারে। অতিরিক্তভাবে, স্মার্ট পাসওয়ার্ড-অনুমান অ্যালগরিদমগুলি অক্ষর ("3 এর জন্য e", "!" এর জন্য "1" বা "@" এর জন্য "a") এবং সাধারণ স্ট্রিং ("qwerty", "12345", "asdfg") প্রতিস্থাপন করে।

হ্যাকারদের অনুমান করা কঠিন করার জন্য আপনার এলোমেলো অক্ষরের স্ট্রিং সহ পাসওয়ার্ড ব্যবহার করা উচিত। চিত্রের ছবি

"অজান্তেই, মানুষ খুব সহজ পাসওয়ার্ড বেছে নেওয়ার প্রবণতা রাখে, প্রায়শই তাদের মাতৃভাষায় অভিধানের শব্দ ব্যবহার করে, যেমন নাম এবং সংখ্যা... এমনকি শক্তিশালী পাসওয়ার্ডের সংমিশ্রণও খুব কমই এই প্রবণতা থেকে বিচ্যুত হয়, তাই অ্যালগরিদম দ্বারা সেগুলি সম্পূর্ণরূপে অনুমানযোগ্য," বলেছেন ক্যাসপারস্কির ডিজিটাল ফুটপ্রিন্ট ইন্টেলিজেন্সের প্রধান ইউলিয়া নোভিকোভা।

অতএব, সবচেয়ে নির্ভরযোগ্য সমাধান হল আধুনিক এবং নির্ভরযোগ্য পাসওয়ার্ড ম্যানেজার ব্যবহার করে সম্পূর্ণরূপে এলোমেলো পাসওয়ার্ড তৈরি করা। এই ধরনের অ্যাপ্লিকেশনগুলি প্রচুর পরিমাণে ডেটা নিরাপদে সংরক্ষণ করতে পারে, যা ব্যবহারকারীর তথ্যের জন্য ব্যাপক এবং শক্তিশালী সুরক্ষা প্রদান করে।

পাসওয়ার্ডের শক্তি বৃদ্ধির জন্য, ব্যবহারকারীরা নিম্নলিখিত সহজ টিপসগুলি প্রয়োগ করতে পারেন: পাসওয়ার্ড পরিচালনা করার জন্য নেটওয়ার্ক সুরক্ষা সফ্টওয়্যার ব্যবহার করুন; বিভিন্ন পরিষেবার জন্য বিভিন্ন পাসওয়ার্ড ব্যবহার করুন। এইভাবে, আপনার একটি অ্যাকাউন্ট হ্যাক হয়ে গেলেও, অন্যগুলি এখনও নিরাপদ থাকে; পাসফ্রেজ ব্যবহারকারীদের পাসওয়ার্ড ভুলে গেলে অ্যাকাউন্ট পুনরুদ্ধার করতে সহায়তা করে, কম সাধারণ শব্দ ব্যবহার করা নিরাপদ। এছাড়াও, তারা তাদের পাসওয়ার্ডের শক্তি পরীক্ষা করার জন্য একটি অনলাইন পরিষেবা ব্যবহার করতে পারেন।

আপনার পাসওয়ার্ড হিসেবে জন্মদিন, পরিবারের সদস্যদের নাম, পোষা প্রাণীর নাম বা ডাকনামের মতো ব্যক্তিগত তথ্য ব্যবহার করা এড়িয়ে চলুন। পাসওয়ার্ড ক্র্যাক করার সময় আক্রমণকারীরা প্রায়শই প্রথমে এই জিনিসগুলি চেষ্টা করে।