গুগলের বিশ্বস্ত প্ল্যাটফর্ম অ্যাপশিটকে ফাঁদ হিসেবে ব্যবহার করে প্রায় ৩০ হাজার ফেসবুক অ্যাকাউন্ট হাতিয়ে নিয়েছে একটি ভিয়েতনামি হ্যাকার চক্র। সাইবার নিরাপত্তা প্রতিষ্ঠান গার্ডিও এই অভিযানটি শনাক্ত করে একাউন্ট ডাম্পলিং নাম দিয়েছে। হ্যাক করা অ্যাকাউন্টগুলো পরে অবৈধভাবে বাজারে বিক্রি করছে একই চক্র।
গার্ডিওর নিরাপত্তা গবেষক শেকড চেন বলেন, এটি কোনো এককালীন ফিশিং কৌশল নয়, এটি একটি ধারাবাহিক ও ক্রমবিবর্তিত অপরাধ।
বিশ্লেষকদের মতে, সাম্প্রতিক সময়ে ফেসবুক অ্যাকাউন্ট দখল করে তা বিক্রির প্রবণতা বেড়েছে। বিশেষ করে যেসব অ্যাকাউন্টের সঙ্গে ব্যবসায়িক কার্যক্রম বা বিজ্ঞাপন ব্যবস্থাপনার ইতিহাস যুক্ত থাকে, সেগুলোর চাহিদা অবৈধ বাজারে তুলনামূলক বেশি। এই আক্রমণের শুরু হয় লক্ষ্যভিত্তিক ফিশিং ই–মেইলের মাধ্যমে। মূলত ফেসবুকের বিজনেস অ্যাকাউন্টধারীদের উদ্দেশে পাঠানো এসব ই–মেইলে মেটার সাপোর্ট বিভাগের পরিচয় ব্যবহার করা হয়। সেখানে দাবি করা হয়, অ্যাকাউন্টে সমস্যা আছে এবং দ্রুত আবেদন না করলে অ্যাকাউন্টটি চিরতরে বন্ধ হয়ে যাবে। গুগল অ্যাপশিট প্ল্যাটফর্মের ‘নোরিপ্লাই’ ঠিকানা থেকে ই–মেইল পাঠানোর কারণে সাধারণ স্প্যাম ফিল্টার এগুলো শনাক্ত করতে পারছে না। পরে তাদের একটি ভুয়া ওয়েবসাইটে নেওয়া হয়, যেখানে লগইন তথ্য সংগ্রহ করা হয়।
গার্ডিও এই অভিযানে ব্যবহৃত চারটি প্রধান কৌশল চিহ্নিত করেছে। সেগুলো হলো-
১। নেটলিফাইয়ে হোস্ট করা ভুয়া ফেসবুক সাপোর্ট পেজের মাধ্যমে ব্যবহারকারীদের জন্মতারিখ, ফোন নম্বর এবং পরিচয়পত্রের ছবি সংগ্রহ করা হয়। পরে এসব তথ্য সাইবার অপরাধীদের টেলিগ্রাম চ্যানেলে পাঠানো হয়।
২। ‘ব্লু ব্যাজ’ যাচাইয়ের প্রলোভন দেখিয়ে ব্যবহারকারীদের ভেরসেলে হোস্ট করা ভুয়া নিরাপত্তা যাচাই পেজে নেওয়া হয়। সেখানে নকল ক্যাপচা যাচাইয়ের পর ব্যবহারকারীদের ফিশিং পেজে পাঠিয়ে যোগাযোগের তথ্য, ব্যবসায়িক তথ্য, পাসওয়ার্ড এবং টু-ফ্যাক্টর অথেন্টিকেশন কোড সংগ্রহ করা হয়।
৩। গুগল ড্রাইভে রাখা পিডিএফ ফাইলের মাধ্যমে ভেরিফিকেশন করার নির্দেশনা দেওয়া হয়। এই পিডিএফগুলো ‘ক্যানভা’ ব্যবহার করে তৈরি করা। এর মাধ্যমে পাসওয়ার্ডের পাশাপাশি ব্যবহারকারীর ব্রাউজারের স্ক্রিনশটও হাতিয়ে নেওয়া হয়।
৪। হোয়াটসঅ্যাপ, মেটা, অ্যাপল বা কোকা-কোলার মতো বড় প্রতিষ্ঠানের নাম ব্যবহার করে ভুয়া চাকরির প্রস্তাব দেওয়া হয়। এতে প্রথমে ব্যবহারকারীদের আস্থা অর্জন করে পরে তাঁদের হ্যাকারদের নিয়ন্ত্রিত প্ল্যাটফর্মে নেওয়া হয়।
গার্ডিওর তথ্য অনুযায়ী, প্রথম তিনটি কৌশলের সঙ্গে সংশ্লিষ্ট টেলিগ্রাম চ্যানেলগুলোতে প্রায় ৩০ হাজার ভুক্তভোগীর তথ্য পাওয়া গেছে। ভুক্তভোগীদের বড় অংশ যুক্তরাষ্ট্র, ইতালি, কানাডা, ফিলিপাইন, ভারত, স্পেন, অস্ট্রেলিয়া, যুক্তরাজ্য, ব্রাজিল ও মেক্সিকোর বাসিন্দা। সূত্র: দ্য হ্যাকার নিউজ
কেএম/কে
