নতুন কৌশলে ৩০ হাজার ফেসবুক অ্যাকাউন্ট হ্যাক করে অনলাইনে বিক্রি
· Prothom Alo
গুগলের অ্যাপশিট প্ল্যাটফর্ম ব্যবহার করে সাইবার অপারাধীরা প্রায় ৩০ হাজার ফেসবুক অ্যাকাউন্ট হ্যাক করেছে বলে জানিয়েছে সাইবার নিরাপত্তাপ্রতিষ্ঠান গার্ডিও। নতুন এই কৌশলকে ‘অ্যাকাউন্টডাম্পলিং’ নামে অভিহিত করে প্রতিষ্ঠানটি জানিয়েছে, ভিয়েতনামভিত্তিক একটি চক্র দীর্ঘদিন ধরে পরিকল্পিতভাবে এই আক্রমণ চালিয়ে আসছে এবং হ্যাক করা অ্যাকাউন্টগুলো অবৈধভাবে অনলাইনে বিক্রি করছে।
Visit asg-reflektory.pl for more information.
গার্ডিওর নিরাপত্তা গবেষক শেকড চেন বলেন, এটি কোনো এককালীন ফিশিং কৌশল নয়, এটি একটি ধারাবাহিক ও ক্রমবিবর্তিত অপরাধ। এতে রিয়েল-টাইম অপারেটর প্যানেল, উন্নত কৌশল এবং একটি সুসংগঠিত বাণিজ্যিক কাঠামো রয়েছে।
বিশ্লেষকদের মতে, সাম্প্রতিক সময়ে ফেসবুক অ্যাকাউন্ট দখল করে তা বিক্রির প্রবণতা বেড়েছে। বিশেষ করে যেসব অ্যাকাউন্টের সঙ্গে ব্যবসায়িক কার্যক্রম বা বিজ্ঞাপন ব্যবস্থাপনার ইতিহাস যুক্ত থাকে, সেগুলোর চাহিদা অবৈধ বাজারে তুলনামূলক বেশি। এই আক্রমণের শুরু হয় লক্ষ্যভিত্তিক ফিশিং ই–মেইলের মাধ্যমে। মূলত ফেসবুকের বিজনেস অ্যাকাউন্টধারীদের উদ্দেশে পাঠানো এসব ই–মেইলে মেটার সাপোর্ট বিভাগের পরিচয় ব্যবহার করা হয়। সেখানে দাবি করা হয়, অ্যাকাউন্টে সমস্যা আছে এবং দ্রুত আবেদন না করলে অ্যাকাউন্টটি চিরতরে বন্ধ হয়ে যাবে। গুগল অ্যাপশিট প্ল্যাটফর্মের ‘নোরিপ্লাই’ ঠিকানা থেকে ই–মেইল পাঠানোর কারণে সাধারণ স্প্যাম ফিল্টার এগুলো শনাক্ত করতে পারছে না। পরে তাদের একটি ভুয়া ওয়েবসাইটে নেওয়া হয়, যেখানে লগইন তথ্য সংগ্রহ করা হয়।
ফেসবুক অ্যাকাউন্টের লগইন তথ্য চুরির জন্য নতুন ফাঁদগার্ডিও এই অভিযানে ব্যবহৃত চারটি প্রধান কৌশল চিহ্নিত করেছে। প্রথমত, নেটলিফাইয়ে হোস্ট করা ভুয়া ফেসবুক সাপোর্ট পেজের মাধ্যমে ব্যবহারকারীদের জন্মতারিখ, ফোন নম্বর এবং পরিচয়পত্রের ছবি সংগ্রহ করা হয়। পরে এসব তথ্য সাইবার অপরাধীদের টেলিগ্রাম চ্যানেলে পাঠানো হয়। দ্বিতীয়ত, ‘ব্লু ব্যাজ’ যাচাইয়ের প্রলোভন দেখিয়ে ব্যবহারকারীদের ভেরসেলে হোস্ট করা ভুয়া নিরাপত্তা যাচাই পেজে নেওয়া হয়। সেখানে নকল ক্যাপচা যাচাইয়ের পর ব্যবহারকারীদের ফিশিং পেজে পাঠিয়ে যোগাযোগের তথ্য, ব্যবসায়িক তথ্য, পাসওয়ার্ড এবং টু-ফ্যাক্টর অথেন্টিকেশন কোড সংগ্রহ করা হয়। তৃতীয়ত, গুগল ড্রাইভে রাখা পিডিএফ ফাইলের মাধ্যমে ভেরিফিকেশন করার নির্দেশনা দেওয়া হয়। এই পিডিএফগুলো ‘ক্যানভা’ ব্যবহার করে তৈরি করা। এর মাধ্যমে পাসওয়ার্ডের পাশাপাশি ব্যবহারকারীর ব্রাউজারের স্ক্রিনশটও হাতিয়ে নেওয়া হয়।। চতুর্থত, হোয়াটসঅ্যাপ, মেটা, অ্যাপল বা কোকা-কোলার মতো বড় প্রতিষ্ঠানের নাম ব্যবহার করে ভুয়া চাকরির প্রস্তাব দেওয়া হয়। এতে প্রথমে ব্যবহারকারীদের আস্থা অর্জন করে পরে তাঁদের হ্যাকারদের নিয়ন্ত্রিত প্ল্যাটফর্মে নেওয়া হয়।
ফেসবুক ও গুগল অ্যাকাউন্ট দিয়ে অন্য ওয়েবসাইটে লগইন করা কি নিরাপদগার্ডিওর তথ্য অনুযায়ী, প্রথম তিনটি কৌশলের সঙ্গে সংশ্লিষ্ট টেলিগ্রাম চ্যানেলগুলোতে প্রায় ৩০ হাজার ভুক্তভোগীর তথ্য পাওয়া গেছে। ভুক্তভোগীদের বড় অংশ যুক্তরাষ্ট্র, ইতালি, কানাডা, ফিলিপাইন, ভারত, স্পেন, অস্ট্রেলিয়া, যুক্তরাজ্য, ব্রাজিল ও মেক্সিকোর বাসিন্দা। তাঁদের অনেকেই ইতিমধ্যে নিজেদের অ্যাকাউন্টে প্রবেশাধিকার হারিয়েছেন।
সূত্র: দ্য হ্যাকার নিউজ