ডিজিটাল ওয়ালেট আর নিরাপদ জায়গা নয়

অতীতে, ব্যবহারকারীরা ভুলবশত তাদের ব্যক্তিগত কী প্রকাশ করে ডিজিটাল ওয়ালেট হারাতেন, এখন হ্যাকাররা ব্যবহারকারীদের অজান্তেই তাদের সম্পদ দান করতে "সহায়তা" করার জন্য সরঞ্জাম তৈরি করেছে।

এই প্রবণতাকে চিত্রিত করে এমন দুটি সাম্প্রতিক হাই-প্রোফাইল ঘটনা হল ব্লকচেইন শিল্পের কর্মীদের লক্ষ্য করে দূষিত এক্সটেনশন এবং APT প্রচারণার উত্থান।

TheHackerNews জানিয়েছে যে ২০২৫ সালের নভেম্বরের মাঝামাঝি সময়ে, "Safery: Ethereum Wallet" নামক একটি Chrome ব্রাউজার এক্সটেনশন আবিষ্কারের মাধ্যমে নিরাপত্তা সম্প্রদায় হতবাক হয়ে যায়। একটি নিরাপদ এবং নমনীয় Ethereum ওয়ালেটের ছদ্মবেশে, এই এক্সটেনশনটি আসলে একটি অত্যাধুনিকভাবে ডিজাইন করা "রক্ত-চোষা যন্ত্র"।

"সেফরি" নামক নিরাপত্তা গবেষকদের মতে, সাইবার আক্রমণকারীরা তাদের অপরাধ লুকানোর জন্য ব্লকচেইন প্রযুক্তি ব্যবহার করে। বিশেষ করে, যখন ব্যবহারকারীরা এই জাল ওয়ালেটে পুনরুদ্ধার বাক্যাংশ (বীজ বাক্যাংশ) প্রবেশ করান, তখন ম্যালওয়্যারটি সুই নেটওয়ার্কের (সুই ব্লকচেইন) ওয়ালেট ঠিকানাগুলিতে সেই বাক্যাংশটি এনক্রিপ্ট করবে।

ক্যাসপারস্কির আবিষ্কার থেকে দেখা যায় যে তারা কেবল সাধারণ ব্যবহারকারীদেরই আক্রমণ করছে না, কুখ্যাত সাইবার অপরাধ গ্রুপ ব্লুনোরফ (যা স্যাফায়ার স্লিট বা APT38 নামেও পরিচিত) দুটি নতুন লক্ষ্যবস্তু আক্রমণ প্রচারণা, ঘোস্টকল এবং ঘোস্টহায়ার চালু করেছে, যা সরাসরি ওয়েব3 ক্ষেত্রের প্রোগ্রামার এবং নির্বাহীদের লক্ষ্য করে।

ঘোস্টকল প্রচারণায়, হ্যাকাররা টেলিগ্রামের মাধ্যমে লক্ষ্যবস্তুতে পৌঁছাত, ভেঞ্চার ক্যাপিটালিস্ট (ভিসি) ছদ্মবেশে। ভীতিকর অংশটি ছিল বিস্তৃত সামাজিক প্রকৌশল: তারা জুম বা মাইক্রোসফ্ট টিমের মতো ভুয়া ওয়েবসাইটে ভিডিও মিটিংয়ে যোগদানের জন্য ভুক্তভোগীদের আমন্ত্রণ জানিয়েছিল।

অংশগ্রহণের সময়, ভুক্তভোগীরা অন্যান্য অংশগ্রহণকারীদের ভিডিও দেখতে পাবেন। আসলে, এগুলি ডিপফেক নয় যেমনটি অনেকেই ভুল করে বিশ্বাস করেন, বরং হ্যাকাররা পূর্ববর্তী ভুক্তভোগীদের আসল অডিও/ভিডিও রেকর্ডিং যা চুরি করেছে।

এই "সত্যতা" ভুক্তভোগীদের তাদের সতর্কতা অবলম্বন করতে বাধ্য করে এবং সহজেই দূষিত অ্যাপলস্ক্রিপ্ট (ম্যাকওএসের জন্য) বা দূষিত এক্সিকিউটেবল ফাইল (উইন্ডোজের জন্য) ধারণকারী জাল "আপডেট" ডাউনলোড করে।

অতিরিক্তভাবে, QR কোডের ব্যবহার একটি নতুন রূপ নিয়েছে, PDF সংযুক্তিতে QR কোড এম্বেড করা হচ্ছে। এই PDF গুলি কখনও কখনও পাসওয়ার্ড সুরক্ষিত থাকে (পাসওয়ার্ডটি একটি ইমেল বা একটি পৃথক ইমেলে পাঠানো হয়) যাতে স্বয়ংক্রিয় ভাইরাস স্ক্যানিং সরঞ্জামগুলিকে বাইপাস করা যায়।

QR কোড স্ক্যান করার ফলে ব্যবহারকারীরা তাদের ব্যক্তিগত মোবাইল ডিভাইস ব্যবহার করতে বাধ্য হন - যেগুলিতে প্রায়শই কর্পোরেট কম্পিউটারের মতো শক্তিশালী সুরক্ষা সুরক্ষার অভাব থাকে - জাল, ফিশিং সাইটগুলিতে অ্যাক্সেস করতে।

ক্যাসপারস্কির নিরাপত্তা গবেষকরা একটি উল্লেখযোগ্য কৌশল দেখিয়েছেন যেখানে হ্যাকাররা জাল লগইন পৃষ্ঠা তৈরি করে (যেমন, পিক্লাউড স্টোরেজ পরিষেবার ছদ্মবেশ ধারণ করে) যা API এর মাধ্যমে আসল পরিষেবার সাথে রিয়েল-টাইম ইন্টারঅ্যাকশন করতে সক্ষম।

যখন কোনও ব্যবহারকারী তাদের লগইন তথ্য এবং ওটিপি কোড ভুয়া সাইটে প্রবেশ করান, তখন সাইটটি তাৎক্ষণিকভাবে সেই তথ্য আসল পরিষেবার কাছে ফরোয়ার্ড করে। তথ্যটি সঠিক হলে, ব্যবহারকারী বুঝতে পারার আগেই হ্যাকার লগইন সেশনটি দখল করে নেয়।

এছাড়াও, ফিশিং ওয়েবসাইটের নিরাপত্তা ফিল্টার দ্বারা সনাক্ত এবং বিশ্লেষণ এড়াতে, হ্যাকাররা "যাচাইকরণ শৃঙ্খল" স্থাপন করেছে। ব্যবহারকারীরা যখন লিঙ্কটিতে ক্লিক করেন, তখন তাদের গন্তব্য পৃষ্ঠায় (নকল গুগল/মাইক্রোসফ্ট লগইন পৃষ্ঠা) পৌঁছানোর আগে ক্যাপচা প্রমাণীকরণ কোড বা জাল যাচাইকরণ পৃষ্ঠাগুলির অনেক স্তর অতিক্রম করতে হবে। এটি স্বয়ংক্রিয় যাচাইকরণ বটগুলিকে ফিল্টার করে এবং ব্যবহারকারীদের মধ্যে একটি মিথ্যা বিশ্বাস তৈরি করে যে ওয়েবসাইটটি সম্পূর্ণরূপে নিরাপদ।

"ফিশিং-অ্যাজ-এ-সার্ভিস" মডেলের মাধ্যমে ফিশিংয়ের বিপদ আরও বেড়ে যায়, যা লাইটহাউস প্ল্যাটফর্মের পিছনে থাকা হ্যাকারদের বিরুদ্ধে গুগলের সাম্প্রতিক মামলার মাধ্যমে প্রমাণিত হয়েছে।

বিনিয়োগকারীদের জন্য, "আপনার ব্যক্তিগত কী শেয়ার করবেন না" এই পরামর্শ এখন আর যথেষ্ট নয়। ক্যাসপারস্কি বিশেষজ্ঞরা বলছেন যে এক্সটেনশনের উৎস সম্পর্কে সাবধানে পরীক্ষা করা, যেকোনো অনলাইন মিটিং আমন্ত্রণ বা অপ্রত্যাশিত চাকরির অফার সম্পর্কে সতর্ক থাকা এবং ইমেল থেকে লগইন অনুরোধ (এমনকি PDF বা CAPTCHA সুরক্ষা থাকা সত্ত্বেও) সম্পর্কে সতর্ক থাকা এই ডিজিটাল যুগে বাধ্যতামূলক বেঁচে থাকার দক্ষতা।

সূত্র: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html