সাইবার অপরাধীরা এখন আরও অত্যাধুনিক কৌশল ব্যবহার করছে, যা প্রচলিত নিরাপত্তা ব্যবস্থাকেও সহজে ফাঁকি দিতে সক্ষম। সম্প্রতি তেমনই এক নতুন ফিশিং পদ্ধতির খোঁজ মিলেছে, যা ব্যবহারকারীর ব্রাউজারের ভেতরেই নকল লগ ইন পেজ তৈরি করে সংবেদনশীল তথ্য, এমনকি এনক্রিপ্টেড লগ ইন ডেটাও চুরি করতে পারে। সাইবার নিরাপত্তা বিশেষজ্ঞদের এক নতুন গবেষণায় এই চাঞ্চল্যকর তথ্য উঠে এসেছে।
এই নতুন এবং বিপজ্জনক ফিশিং কৌশলে ব্যবহার করা হচ্ছে ‘ব্লব ইউআরআই’ (Blob URI) নামে ব্রাউজারের একটি ফিচার, যা মূলত সাময়িকভাবে লোকাল কনটেন্ট দেখানোর জন্য তৈরি। সাইবার হামলাকারীরা এই ফিচারটিকে অপব্যবহার করে ভুক্তভোগীর ব্রাউজারের ভেতর একেবারে স্থানীয়ভাবে একটি ভুয়া লগ ইন পেজ তৈরি করছে, যা দেখতে হুবহু আসল পেজের মতো।
এই ধরনের ভুয়া পেজ অনলাইনের কোথাও হোস্ট করা থাকে না। ফলে ‘সিকিউর ই-মেইল গেটওয়ে (এসইজি)’ কিংবা আর্টিফিশিয়াল ইন্টেলিজেন্স (AI)-ভিত্তিক ফিল্টারের মতো সাধারণ নিরাপত্তা ব্যবস্থার মাধ্যমেও এসব পেজ স্ক্যান বা শনাক্ত করা সম্ভব হয় না। যুক্তরাষ্ট্রের সাইবার নিরাপত্তা প্রতিষ্ঠান কোফেন্সের একটি গবেষণায় এসব তথ্য বিস্তারিত উঠে এসেছে। এই গবেষণার খবরটি টেক রাডার সূত্রে জানা গেছে।
কীভাবে কাজ করে এই নতুন ফিশিং কৌশল?
প্রতারণা সাধারণত একটি আসল ও বিশ্বাসযোগ্য ই-মেইল দিয়ে শুরু হয়। ই-মেইলে থাকা একটি লিংকে ক্লিক করলে ব্যবহারকারী মাইক্রোসফট ওয়ানড্রাইভ বা অনুরূপ কোনো পরিচিত সাইটে চলে গেছেন বলে মনে করেন। তবে আসলে, সেই পেজটি একটি গোপন এইচটিএমএল ফাইল চালু করে যা ব্লব ইউআরআই তৈরি করে এবং ব্যবহারকারীর ব্রাউজারে হুবহু আসল লগ ইন পোর্টালের মতো দেখতে একটি ভুয়া লগ ইন পেজ দেখায়। ব্যবহারকারী যখন সেখানে ইউজারনেম ও পাসওয়ার্ড সহ প্রয়োজনীয় তথ্য দিয়ে ‘সাইন-ইন’ বাটনে ক্লিক করেন, সেই তথ্য সরাসরি হামলাকারীর সার্ভারে চলে যায় এবং ব্যবহারকারী বুঝতেই পারেন না যে তার গুরুত্বপূর্ণ তথ্য চুরি হয়ে গেছে।
কোফেন্সের গবেষক জ্যাকব মালিমবান বলেন, “ব্লব ইউআরআই দিয়ে ফিশিং পেজ তৈরি হয় সম্পূর্ণভাবে ব্যবহারকারীর ব্রাউজারের ভেতরেই। এটি কোথাও হোস্ট করা হয় না। তাই প্রচলিত উপায়ে এটি স্ক্যান বা ব্লক করা যায় না।” ব্লব ইউআরআই সাধারণত ক্ষতিকর হিসেবে বিবেচিত নয় এবং এআই মডেলের প্রশিক্ষণ ডাটায় এর উপস্থিতি খুব কম থাকে, যা নিরাপত্তা ব্যবস্থাগুলোকে বিভ্রান্ত করে।
উদ্বেগের বিষয় ও করণীয়:
আরো উদ্বেগের বিষয় হলো, এই পদ্ধতিতে এনক্রিপ্টেড লগ ইন বা টু-ফ্যাক্টর অথেন্টিকেশন (2FA) ব্যবস্থার মতো উন্নত সুরক্ষাও উপেক্ষা করা সম্ভব। কারণ পুরো প্রতারণা ঘটে ব্যবহারকারীর ব্রাউজারের ভেতর, যেখানে সাধারণ নিরাপত্তা পদ্ধতিগুলো ঠিকমতো কাজ করতে পারে না। গবেষকরা সতর্ক করছেন যে এই কৌশলটি ভবিষ্যতে আরো ব্যাপকভাবে ব্যবহার হতে পারে এবং সরকারি ও আর্থিক প্রতিষ্ঠানের মতো গুরুত্বপূর্ণ অ্যাকাউন্টগুলি এদের প্রধান লক্ষ্য হতে পারে।
এই ধরনের ঝুঁকি মোকাবেলায় বিশেষজ্ঞরা প্রতিষ্ঠানগুলোকে ‘জিরো ট্রাস্ট নেটওয়ার্ক অ্যাকসেস (জেডটিএনএ)’ এবং ‘ফায়ারওয়াল অ্যাজ আ সার্ভিস (এফডব্লিউএএএস)’-এর মতো উন্নত নিরাপত্তা ব্যবস্থার দিকে নজর দিতে বলছেন। পাশাপাশি কর্মীদের নিয়মিত ফিশিং সচেতনতামূলক প্রশিক্ষণ এবং ব্যবহারভিত্তিক মনিটরিং ব্যবস্থা গ্রহণের পরামর্শও দেওয়া হয়েছে, যাতে সন্দেহজনক আচরণ শনাক্ত করা যায়।
বিশেষজ্ঞরা আশঙ্কা প্রকাশ করছেন, প্রযুক্তি যত উন্নত হচ্ছে, সাইবার অপরাধীদের পদ্ধতিও তত চতুর হয়ে উঠছে। এই প্রবণতা রোধে নিরাপত্তা কৌশলগুলোকেও সময়োপযোগী ও আধুনিক করে তুলতে হবে, তা না হলে আগামী দিনে এমন আরো নীরব আক্রমণের শিকার হতে পারে অনেক প্রতিষ্ঠান। ব্যবহারকারীদেরও সন্দেহজনক ই-মেইল লিঙ্ক ক্লিক করা থেকে বিরত থাকতে এবং পরিচিত সাইটেও লগ ইনের আগে ইউআরএল ভালোভাবে পরীক্ষা করার বিষয়ে আরও সতর্ক হতে হবে।
