নতুন চ্যানেলগুলি ব্যবহার করে সামাজিক ইঞ্জিনিয়ারিং আক্রমণ হচ্ছে কিন্তু কৌশলগুলো পুরনোই
সম্প্রতি আত্মীয়দের সঙ্গে আড্ডা দিতে গিয়ে “বিয়ে বাড়িতে ডাকাতি” প্রবাদটি আমার দৃষ্টি আকর্ষণ করে।
বিয়ে বাড়ি হচ্ছে, সাধারণত কনে বা বর ভবিষ্যতে যেখানে বাস করবে অথবা যে স্থানে বিয়ের প্রস্তুতি নেওয়া হয়। আমি জীবনে অনেক বিয়ে বাড়িতে গিয়েছি যেখানকার মূল বিষয়বস্তু ছিল প্রচুর হাসাহাসি, আনন্দ, রীতি-নীতি পালন, নতুন চিন্তা-ভাবনা উদ্ভাবন, চিৎকার চেঁচামেচি ও নানা রকম বিশৃঙ্খলা।
আমি খুব দ্রুতই বুঝতে পারলাম যে, “ডাকাতিটি” প্রকৃতপক্ষে পাত্রীপক্ষের বাড়িতে চুরি চেষ্টা ছিল, যেখানে কয়েকদিন ধরে পাত্রীপক্ষের বাড়িতে মূল অনুষ্ঠানের আয়োজন চলছিল।
এই অনুষ্ঠানে দু’জন ব্যক্তি সন্দেহজনক আচরণ করছিল, যার মধ্যে একজন নিজেকে বরের পক্ষ থেকে পাঠানো ভিডিওগ্রাফার বলে পরিচয় দেয়। কিন্তু যখন পাত্রীপক্ষের লোকজনের ব্যাপক জিজ্ঞাসাবাদের মুখে বিপাকে পড়ে তখন তারা স্বীকার করতে বাধ্য হয় যে, তারা একটি সংঘবদ্ধ দলের সদস্য এবং চুরির উদ্দেশে তথ্য সংগ্রহের জন্য এসেছিল।
এটি আমার চেনাজানা মানুষদের মধ্যে ঘটে যাওয়া সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণগুলোর মধ্যে একটি ঘটনা। বিষয়টি নিয়ে বেশ হাঙ্গামার পরে জানা যায়, এসবের সঙ্গে তাদের কোনো গৃহকর্মী জড়িত ছিল না। মজার বিষয় হচ্ছে, দোষী ব্যক্তিরা শুধু ক্যামেরাই (অস্ত্র বা ঘুমের ওষুধও নয়) সঙ্গে এনেছিল। তাদের কৌশলটি ছিল- আস্থাভাজন ব্যক্তিদের সঙ্গে কথা বলা, পরবর্তী কর্মকৌশল ঠিক করতে পর্যাপ্ত তথ্য সংগ্রহ এবং লোকেদের কাজকর্ম পর্যবেক্ষণ করা।
আজ, কয়েক দশক পরে, সামাজিক ইঞ্জিনিয়ারিং ক্রমবর্ধমান হারে সাইবার আক্রমণে পরিণত হয়েছে। অন্তর্নিহিত বিষয় এবং হ্যাকিংয়ের অভিনব সরঞ্জামগুলো গুরুত্বপূর্ণ কৌশল, কিন্তু সোস্যাল ইঞ্জিনিয়ারিংই অপরাধীদের জন্য সবচেয়ে শক্তিশালী পদ্ধতি।
আমি সাধারণত সোশ্যাল ইঞ্জিনিয়ারিংকে এমনভাবে সংজ্ঞায়িত করি যে, কেউ আপনাকে এমন প্রয়োজনীয় তথ্য দিচ্ছে, যা আপনার জানা নেই। বানর্জ বিষয়টি “মানুষকে আপনার ইচ্ছামতো পরিচালিত করার কলা ও বিজ্ঞান” বলে সংজ্ঞায়িত করেছেন।
২০১৬ সালের ফেব্রুয়ারি মাসে যখন বাংলাদেশ ব্যাংকে রিজার্ভে সাইবার আক্রমণের খবরটি জানাজানি হয়, আমি হ্যাকিংয়ে প্রযুক্তি সম্পর্কে কিছুটা আগ্রহী হয়ে উঠেছিলাম। এতে এমন একটি ম্যালওয়্যার ব্যবহার করা হয়েছিল যেটি নিজে নেটওয়ার্কের দুর্বলতার সুযোগ নিয়ে আক্রমণ করে এবং নিজে নিজেই আক্রমণের সকল তথ্য মুছে ফেলে।
কিন্তু প্রথমবার কিভাবে এই ম্যালওয়্যার নেটওয়ার্কে প্রবেশ করেছিল? রয়টার্সের তথ্যমতে, হ্যাকারদের পক্ষ থেকে পাঠানো কোনো ইমেইল বা লিংকে ক্লিক করেছিলেন ব্যাংকের কোনো কর্মী। যদি এটাই হয়ে থাকে তবে তার আগে কী হয়েছিল?
হ্যাকাররা কিভাবে টার্গেটের সংক্ষিপ্ত তালিকা তৈরি করেছিল। তারা কী সামাজিক যোগাযোগ মাধ্যম থেকে তথ্য সংগ্রহ করেছিল? তারা কি ব্রাউজারে দুর্বলতা ব্যবহার করে টার্গেটকৃত কর্মীদের তাদের (হ্যাকারদের) আইপির সাথে যুক্ত করতে পেরেছিল? প্রকৃতপক্ষে কী হয়েছিল তা না জানায়, আমি কেবল অনুমান করতে পারি, এটা অনেকটা বিয়ে বাড়ির ঘটনার মতোই ঘটেছিল।
পুরনো কৌশল সত্ত্বেও, সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ সফল। কারণ তারা ইতিবাচক মানবিক বৈশিষ্ট্যের ওপর নির্ভরশীল… বিশ্বাস, সামাজিকীকরণ এবং পর্যাপ্ত তথ্য পাওয়া। আমরা যদি সোশ্যাল ইঞ্জিনিয়ারিং বৈশিষ্ট্যগুলো নিজেদের মধ্যে বন্ধ করে দেই, তখন কেউ-ই ততটুকু মানবিক হবে না যতটুকু হলে একজন গর্ভবতী নারী বা বয়স্ক ব্যক্তির প্রতি সহায় হবেন।
সময়ের সাথে সাথে আমরা কল্পনাতীত সচেতন হয়েছি, সামাজিক মানুষের মৌলিক বৈশিষ্ট্যগুলো লঞ্চ-প্যাডের মতো কাজ করে, যদিও বিবর্তনশীল সর্বাধুনিক প্রযুক্তি দিয়ে সম্মিলিতভাবে আক্রমণের নতুন চ্যানেল রয়েছে।
অপরাধ করার ক্ষেত্রে সোশ্যাল ইঞ্জিনিয়ারিং এর ব্যবহারের বিরুদ্ধে আমরা কিভাবে লড়াই করতে পারি? আমার ফেলো, সাইবার সিকিউরিটি বিশেষজ্ঞ ড. ডালিয়া খাদার এবং আমাকে প্রায়শই এই প্রশ্নটি করা হয়। এখানে সে বিষয়ে প্রধান তিনটি দিক তুলে ধরা হলো।
লজ্জা ছুঁড়ে ফেলা
ক্ষতিগ্রস্থদের লজ্জাজনক পরিস্থিতির মুখোমুখি পড়া ঘটনার (অপরাধের) তাৎক্ষণিক সনাক্তকরণ ও প্রতিরোধের জন্য বাধা হয়ে দাঁড়ায়। উদাহরণসরূপ বলা যায়, একজন কর্মীর ক্লিক যদি ম্যালওয়্যারকে বাংলাদেশ ব্যাংকের নেটওয়ার্কের প্রবেশ করতে সাহায্য করে, পাত্রীপক্ষের পরিবারের কোনো সদস্য যদি বিশ্বাস করেন যে, ভিডিওগ্রাফার বিশ্বস্ত, তবে তারা কি আস্থা রাখবেন না?
সম্ভবত না, কারণ তারা যখন অপসারণের সম্মুখীন হবেন অথবা হবেন না, তখন তাদের বোকামিতে আজীবনের জন্য তিরস্কৃত হবেন। বিয়ে বাড়ির বিষয়টিও তেমন, আমাদের এটা মনে রাখা দরকার, সামাজিক মানবিক বৈশিষ্ট্যগুলো এই ধরনের অপরাধগুলো করতে সহায়তা করে, আসলে একজন যার কোনো বন্ধু নেই, হ্যাকারদের জন্য তারা সবচেয়ে খারাপ টার্গেট।
এটি একটি অনুজ্ঞাসূচক বিষয় যে, এমন সংস্কৃতির উৎসাহ দেওয়া উচিত, যেখানে একজন লজ্জার বা ভয় ছাড়াই স্বাচ্ছন্দ্যে তথ্য এসব নিয়ে এগিয়ে আসতে পারেন যাতে ঘটনাটি পরবর্তীতে শিক্ষার সুযোগ হিসাবে ব্যবহার করা যায়।
সচেতনতা
শিক্ষার কথা বলছি, আমাদের সেই পর্যন্ত সচেতনতা তৈরি করা প্রয়োজন যে পর্যন্ত ইচ্ছাকৃত অজ্ঞতার কোনো সুযোগ নেই। প্রতিষ্ঠানগুলোর উচিত, কর্মীদের সোশ্যাল ইঞ্জিনিয়ারিং প্রশিক্ষণের ওপর বিনিয়োগ করা। যেখানে বর্তমান বিশ্বের সাইবার আক্রমণগুলোর সাম্প্রতিক প্রবণতা বা কৌশলগুলোর বিরক্তিকর উপস্থাপন না করে বাস্তবভিত্তিক উপস্থাপনা করা।
ব্যক্তিগতভাবে, আমরা কুকিজ ও সঙ্কেত সম্পর্কে জানা উচিত যা আমাদের আগ্রহগুলো অত্যন্ত ভালভাবে বোঝার জন্য যথেষ্ট। এবং না, কোনো অলৌকিক প্রতিষেধক নেই যা স্বাস্থ্যকর জীবনধারা ব্যতীত ডায়াবেটিসকে হ্রাস করে, আমি প্রায় আমার পরিবারের প্রবীণদের কাছে ক্ষমা প্রার্থনা করছি, যারা সোশ্যাল মিডিয়ায় প্রচারিত আচরণগত বিজ্ঞাপনের অন্যতম লক্ষ্য। পেছনে কী ঘটছে তা জানলে আশা করা যায়, যে কেউ এ ধরনের টোপে পড়ার আগে সন্দেহ করতে শুরু করবে।
দুষ্টু লোকের বিশ্রাম নেই
উপযুক্ত সময় নির্ধারণ করাই সমস্ত অপরাধীর মূল চাবিকাঠি। চোরেরা বিয়ে বাড়িতে আক্রমণের আগে এমন দিনের পরিকল্পনা করেছিল, যখন পরিবারের লোকজন কোনো অনুষ্ঠানে যোগ দিতে দূরে থাকতো, এবং বাইরে ব্যয় করা সময় দীর্ঘ হতো।
বাংলাদেশ ব্যাংকে সাইবার আক্রমণ হয়েছিল বৃহস্পতিবার, যার পরবর্তী দিন শুক্রবার মুসলমানদের জন্য পবিত্র ছুটির দিন, তারপর দিনও ছুটি (শনিবার), এবং সবশেষে রবিবারও যুক্তরাষ্ট্রে ছুটি থাকে।
একটি ভালো প্রতিষ্ঠানের জন্য এমন একটি দলের প্রয়োজন যারা সংস্থার প্রয়োজনীয়তা উপলব্ধি করে সপ্তাহে ৭ দিন, ২৪ ঘণ্টাই সার্ভিস দিতে পারে।
নতুন চ্যানেলগুলি ব্যবহার করে সামাজিক ইঞ্জিনিয়ারিং আক্রমণ হচ্ছে কিন্তু কৌশলগুলো পুরনোই। অনেক সময় কিছু বিষয় দীর্ঘসময় ধরে অবহেলিত ও অমীমাংসিত হয়ে যায়, বিয়ের বাড়ির ক্ষেত্রে যেটি ভালোভাবে শেষ হয়েছিল। যেখানে অতিথিরা অভিযোগ থেকে অব্যহতি পেয়েছিল এবং আনন্দ উপভোগ ছাড়াও খাবারের ভাগ পেয়েছিল।
হুসনা সিদ্দিকী, সিআইপিপি/ই ২০০৬ সাল পর্যন্ত যুক্তরাজ্যের একটি তথ্য সুরক্ষা ব্যবস্থাপনা পরামর্শক ছিলেন। এর আগে তিনি একজন সফটওয়্যার ইঞ্জিনিয়ার (বাংলাদেশ ও যুক্তরাজ্য) ছিলেন। ইতোপূর্বে তিনি বাংলাদেশের একটি বিশ্ববিদ্যালয়ের একজন প্রভাষক ছিলেন।
**************************************************************************************************************
প্রকাশিত মতামত লেখকের একান্তই নিজস্ব। প্রকাশিত লেখার জন্য ঢাকা ট্রিবিউন কোনও ধরনের দায় নেবে না।
