ফিশিং কি? কিভাবে এর ক্ষতি থেকে নিরাপদ থাকা যায়?

‘ফিশিং’ শব্দটার সঙ্গে নিশ্চই পরিচয় আছে পাঠকের; সোজা বাংলায় যে শব্দটির মানে হচ্ছে ‘মাছ ধরা’। না, মাছ ধরা অর্থে ফিশিং (fishing)-এর কথা হচ্ছে না আর এখানে। বলা হচ্ছে প্রযুক্তি জগতের বহুল প্রচলিত প্রতারণার ফাঁদ ফিশিং (phishing)-এর কথা।

ইন্টারনেট ব্যবহারকারির জন্য হ্যাকিং একটি দুঃস্বপ্নের নাম। আর হ্যাকিং এর একটি সাধারণ মাধ্যম হলো ফিশিং। ব্যবহারকারী বা প্রতিষ্ঠানের সাথে প্রতারণা করে গুরুত্বপূর্ণ তথ্য হাতিয়ে নেওয়া হয় ফিশিং অ্যাটাক এর মাধ্যমে। চলুন জেনে নেওয়া যাক ফিশিং কি এবং কিভাবে এর ক্ষতি থেকে নিরাপদ থাকা যায়।

ফিশিং কি

ফিশিং (Phishing) হলো এক ধরনের হ্যাকিং এর মাধ্যম যা মূলত প্রতারণামূলক কৌশল ব্যবহার করে ব্যবহারকারীর তথ্য, যেমনঃ লগিন তথ্য, ক্রেডিট কার্ড নাম্বার, ইত্যাদি চুরি করতে ব্যবহৃত হয়। সাধারণত একজন অ্যাটাকার বা হ্যাকার ছদ্মবেশ ধারণ করে, একজন ভিক্টিমকে কোনো ইমেইল বা মেসেজে পাঠানো লিংক ক্লিক করাতে সক্ষম হয়।

ভিক্টিমকে ম্যালওয়্যার যুক্ত লিংকে ক্লিক করতে প্ররোচিত করা হয় এবং লিংকে ক্লিক করার পর ডিভাইসে ম্যালওয়্যার ডাউনলোড হয়ে যায়। এরপর হ্যাকার র‍্যানসম অ্যাটাক কিংবা অন্যান্য ক্ষতিকর আক্রমণের অংশ হিসেবে কম্পিউটার বা মোবাইলের নির্দিষ্ট ফাইল লক করে দেয় কিংবা সেনসিটিভ তথ্য ফাঁস করে দেয়।

ফিশিং অ্যাটাক ভয়ানক রূপ নিতে পারে। বেশীরভাগ ক্ষেত্রে সম্মতিহীন ডিজিটাল অর্থ চুরি, কেনাকাটা, এমনকি আইডেন্টিটি থেফট এর মত বিষয় ও ঘটতে দেখা যায়।

এছাড়াও কোনো কর্পোরেট কিংবা সরকারি নেটওয়ার্কে বড় অ্যাটাকের অংশ হিসেবে ফিশিং অ্যাটাক হয়ে থাকে। কোনো কর্মচারী যখন অসাবধানতার কারণে কোনো ম্যালওয়্যারযুক্ত লিংকে ক্লিক করে, তখন অ্যাটাকার উক্ত নেটওয়ার্কের অ্যাকসেস পেয়ে যায়।

এই ধরনের ফিশিং অ্যাটাক একটি প্রতিষ্ঠানের বা বাক্তির ক্ষেত্রে গুরুতর সমস্যা বয়ে আনতে পারে। ফিসিং অ্যাটাকের কবলে পড়া প্রতিষ্ঠান মার্কেট শেয়ার, সম্মান, গ্রাহকের বিশ্বাস, ইত্যাদি হারিয়ে ফেলে। যেহেতু ফিশিং অ্যাটাক সিকিউরিটি সংক্রান্ত কারণে ঘটে থাকে, তাই উক্ত প্রতিষ্ঠানের সিকিউরিটির উপর গ্রাহকের ভরসা উঠে যায়। অতীতে আমরা এই ধরনের ঘটনা অনেক দেখেছি।

ফিশিং কৌশল

বিভিন্ন মাধ্যমে ফিশিং অ্যাটাক হতে পারে। চলুন জেনে নেওয়া যাক সাধারণ ফিশিং কৌশল সম্পর্কে যার মাধ্যমে হ্যাকার ফিশিং অ্যাটাক চালিয়ে থাকে।

ইমেইল ফিশিং (Email Phishing): মূলত একটি সংখ্যার খেলা। একজন অ্যাটাকার অসংখ্য ভূয়া ও প্রতারণাপূর্ণ ইমেইল পাঠায় যেখানে ভিকটিমকে টাকার লোভ বা একাউন্ট লকের ভয় দেখানো হয়। অসংখ্য ইমেইল প্রাপ্ত এসব ব্যক্তির মধ্যে কেউ একজন যখন ফিশিং লিংকে ক্লিক করে, তখন তারা ফিশিং অ্যাটাকের শিকার হয়।

অ্যাটাকাররা কোনো বাস্তব প্রতিষ্ঠানের অনুকরণের অংশ হিসেবে উক্ত প্রতিষ্ঠানের মত একইভাবে ইমেইল লিখার পাশাপাশি উক্ত প্রতিষ্ঠানের সিগনেচার, টাইপফেস, লোগো ইত্যাদি ব্যবহার করে ব্যবহারকারীকে উক্ত ইমেইলে ক্লিক করার জন্য প্ররোচিত করে।

বেশিরভাগ সময়ে ব্যবহারকারীকে দ্রুত কোনো সিদ্ধান্ত নেওয়ার জন্য চাপ সৃষ্টি করা হয়। যেমনঃ একাউন্ট মেয়াদ পার হয়ে যাওয়া, পাসওয়ার্ড পরিবর্তন করা, ইত্যাদির ক্ষেত্রে উল্লেখিত সময়ের মধ্যে পদক্ষেপ গ্রহণ না করলে একাউন্ট লক হয়ে যাওয়ার বা নষ্ট হয়ে যাওয়ার সমস্যার কথা উল্লেখ করা হয়।

এসব ইমেইলে পাঠানো লিংক সঠিক নাকি ফেইক, তা খুব ভালোভাবে বুঝতে হয়। যেমনঃ facebook.com হলো একটি সঠিক  ডোমেইন, যার থেকে আসা ইমেইল ওপেন করা যাবে। আবার faceb00k.com কোনো ভ্যালিড ডোমেইনের ইমেইল নয়। এখানে ইংরেজি ‘ও(O)’ অক্ষরের পরিবর্তে ‘শুন্য (0)’ ব্যবহার করা হয়েছে যা দেখতে একই রকম মনে হয়। এরকম অনেক ধূর্ত কৌশল অবলম্বন করে প্রতারকেরা। সুতরাং সবসময় যেকোনো ইমেইলে বা লিংক ক্লিক করার আগে এড্রেস সঠিক কিনা তা বারবার চেক করুন।

স্পিয়ার ফিসিং: নির্দিষ্ট ব্যক্তি বা প্রতিষ্ঠানকে স্পিয়ার ফিশিং এর লক্ষ্য হিসেবে নির্বাচন করা হয়। ফিশিং অ্যাটাক এর অনেকটা আপগ্রেড ভার্সন বলা চলে এটিকে যেখানে কোনো ব্যক্তি বা প্রতিষ্ঠান সম্পর্কে বিষদ তথ্যকে ফিসিং অ্যাটাক এর শক্তি হিসাবে ব্যবহার করা হয়। যেমনঃ

  • অনুপ্রবেশকারী কোনো প্রতিষ্ঠানের কর্মীদের নাম নিয়ে গবেষণা করে এবং সর্বশেষ প্রজেক্ট ইনভয়েসে অ্যাকসেস পেয়ে থাকে
  • প্রতিষ্ঠানের মার্কেটিং ডিরেক্টর এর অনুকরণ করে। এমনকি প্রতিষ্ঠানের স্ট্যান্ডার্ড ইমেইল এর মত টেক্সট, স্টাইল ও লোগো পর্যন্ত ব্যবহার করে
  • প্রদত্ত লিংকে ক্লিক করলে পাসওয়ার্ড প্রটেক্টেড  ডকুমেন্ট দেখা যায়, যা আসলে চুরি করা ইনভয়েস এর নকল কপি
  • কোনো ডকুমেন্ট দেখতে লগিন করতে বলা হয়। লগিন করার পর লগিন এর তথ্য চুরি করে উক্ত প্রতিষ্ঠানের নেটওয়ার্কে অনুপ্রবেশে ব্যবহৃত হয়।

ফিশিং থেকে নিরাপদ থাকার উপায়

ব্যক্তি হোক বা প্রতিষ্ঠান, ফিশিং অ্যাটাক থেকে বেঁচে থাকতে কিছু গুরুত্বপূর্ণ পদক্ষেপ নেওয়া উচিত। সতর্কতা হলো এসব সমস্যা থেকে বেঁচে থাকার মূল চাবিকাঠি। ফেইক মেসেজে অধিকাংশ সময় খুব ছোটোখাটো ভুল, যেমনঃ স্পেলিং মিসটেক, সামান্য ভুল ইমেইল এড্রেস, ইত্যাদি থাকে। একজন ব্যবহারকারী যদি এমন কোনো মেসেজ বা ইমেইলে ক্লিক করার আগে একটু সময় নিয়ে যাচাই-বাছাই করে দেখে তবে অনেকাংশে ফিশিং অ্যাটাক এর মত সমস্যা থেকে দূরে থাকা যায়।

ফিশিং এর ক্ষতি থেকে নিরাপদ থাকার জন্য নিম্নোক্ত বিষয়গুলো মেনে চলুনঃ

  • টু-ফ্যাক্টর অথেনটিকেশন হ্যাকিংকে প্রায় অসম্ভব করে দেয়। তাই যেকোনো অ্যাকাউন্টের ক্ষেত্রে টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করুন। এতে হ্যাকার ইউজারনেম ও পাসওয়ার্ড পেয়ে গেলেও একাউন্টে অ্যাকসেস পাবেনা। আর আপনার মেসেজে বা ইমেইলে আসা ওটিপি কোড কাউকেই জানাবেন না। এটা আপনাকে হ্যাকিং থেকে নিরাপদ রাখবে।
  • প্রতিষ্ঠনের ক্ষেত্রে সিকিউরিটি সফটওয়্যার ব্যবহার করা উচিত। এছাড়াও এসব সফটওয়্যার আপডেটেড রাখা উচিত, যাতে নতুন সিকিউরিটি থ্রেট রুখে দিতে পারে।
  • ব্যাকাপ গ্রহণ করে ডাটা সংরক্ষণ করে রাখুন। সাধারণ নেটওয়ার্কে যুক্ত নয় এমন মাধ্যম, যেমনঃ এক্সট্রার্নাল হার্ড ড্রাইভ বা ক্লাউড স্টোরেজে ব্যাকাপ নিয়ে রাখতে পারেন।
  • ইমেইল এর মাধ্যমে সেনসিটিভ তথ্য চাওয়া হলে তা প্রতারণার অংশ হিসেবে ধরে নিতে পারেন।
  • ইমেইলে বানান ভুল এবং গ্রামাটিক্যাল ভুল এর খোঁজ করুন, কারন প্রফেশনাল ইমেইলে এই ধরনের ভুল থাকেনা।
  • আপনার নাম বা একাউন্ট সম্পর্কে জানেনা, এমন সোর্সকে বিশ্বাস করবেন না। 
  • ইমেইলে প্রাপ্ত এটাচমেন্ট লিংকে ক্লিক করার আগে সবকিছু সঠিক কিনা তা যাচাই করে নিন।
  • যে প্রতিষ্ঠান বা ব্যক্তির তরফ থেকে ইমেইল পাঠানো হয়েছে, উক্ত ব্যক্তি কিংবা প্রতিষ্ঠানের ইমেইল আসলেই সঠিক কিনা তা জেনে নিন।
  • যে সাইটে প্রবেশ করছেন, সেটি সিকিউর সাইট কিনা তা যাচাই করুন। সাইটের লিংক যদি “https” দিয়ে শুরু না হয় তবে সেই সাইট ব্যবহার না করাই উত্তম।
  • সবসময় এন্টিভাইরাস, ব্রাউজার এবং অপারেটিং সিস্টেম আপডেট রাখুন, তাতে আপডেট ভার্সন এর ভাইরাস ও ম্যালওয়্যার থেকে প্রটেকশন পাওয়া যায়।
  • সন্দেহজনক ইমেইলে পাওয়া লিংকে সরাসরি ক্লিক না করে লিংক কপি করে ভাইরাসটোটাল (VirusTotal) ওয়েবসাইটে প্রবেশ করে উক্ত লিংক ক্ষতিকর কিনা তা জেনে নিতে পারেন।

Leave a Comment