সোশ্যাল ইঞ্জিনিয়ারিংয়ে বাড়ছে ‘মনুষ্য হ্যাকিং’

প্রযুক্তি যত আধুনিক হচ্ছে, প্রতারণার ধরনও তত জটিল হয়ে উঠছে। ইন্টারনেটভিত্তিক প্রতারণার নতুন রূপ- সামাজিক প্রকৌশল বা সোশ্যাল ইঞ্জিনিয়ারিং এখন বৈশ্বিকভাবে এক বড় নিরাপত্তার হুমকি। একে বলা হচ্ছে ‘মনুষ্য হ্যাকিং’; অর্থাৎ প্রযুক্তিকে নয়, মানুষকেই লক্ষ্য করে হ্যাকিং। এই কৌশলে অপরাধীরা মানুষের বিশ্বাস, আবেগ বা তাড়াহুড়া কাজে লাগিয়ে ব্যক্তিগত তথ্য, আর্থিক তথ্য বা সিস্টেম অ্যাক্সেস আদায় করে নিচ্ছে।

বাংলাদেশের ব্যাংকিং, ফ্রিল্যান্সিং- এমনকি করপোরেট সেক্টরেও সোশ্যাল ইঞ্জিনিয়ারিংয়ের প্রভাব বাড়ছে। অনেক সময় একটি মেইল বা ফোনকলই হতে পারে কোটি টাকার ক্ষতির সূত্রপাত। তবে অনেক ঘটনাই প্রকাশ্যে আসছে না। 

তবে গত আগস্টের শেষ সপ্তাহে বহুজাতিক স্ট্যান্ডার্ড চার্টার্ড ব্যাংক (এসসিবি) বাংলাদেশের গ্রাহকদের ক্রেডিট কার্ড থেকে অভিনব উপায়ে ‘ওটিপি’ পাঠিয়ে ৫৪ গ্রাহকের ২৭ লাখ টাকা হাতিয়ে নিয়েছে একটি চক্র। গ্রাহকরা কার্ডে লেনদেন না করলেও ৫০ হাজার টাকা করে তাদের ব্যাংক হিসাব থেকে একাধিক এমএফএস বা মোবাইলে আর্থিক সেবাদাতা প্রতিষ্ঠানের হিসাবে স্থানান্তর হয়েছে। পরে সেখান থেকে কয়েক মিনিটের মধ্যে প্রতারক চক্র ওই অর্থ তুলে নেন। কিন্তু কীভাবে এই ঘটনা ঘটল তা জানে না ব্যাংক। তাদের দাবি, বিকাশ বা নগদই বলতে পারবে। যদিও তারাও কিছু জানে না। 

সম্প্রতি ডিসমিসল্যাবের মাসব্যাপী অনুসন্ধানে আরেকটি স্কিমের বিস্তার স্পষ্ট হয়েছে। ফেসবুক বা ইনস্টাগ্রামে ঝকঝকে বিজ্ঞাপন, সেখানে অল্প সময়ে শেয়ারবাজারে বড় মুনাফার প্রতিশ্রুতি। বিজ্ঞাপন থেকে নিয়ে যাওয়া হয় হোয়াটসঅ্যাপ গ্রুপে, সেখানে সাজানো প্রশংসা আর তথাকথিত বিশেষজ্ঞের পরামর্শ। এরপর ভুয়া ওয়েবসাইট বা অ্যান্ড্রয়েড অ্যাপে নিবন্ধন করিয়ে শেষ ধাপে বিকাশ বা নগদে টাকা পাঠাতে বলা হয়। এভাবেই গড়ে উঠেছে এক বহু-প্লাটফর্ম প্রতারণার জাল। শুধু সেপ্টেম্বর মাসেই পাওয়া গেছে অন্তত ১৫টি ফেসবুক পেজ থেকে চালানো শত শত বিজ্ঞাপন, যেগুলোর লক্ষ্য ছিল নতুন নতুন হোয়াটসঅ্যাপ গ্রুপে মানুষ টেনে নেওয়া। এমন অন্তত ২০টি গ্রুপ শনাক্ত হয়েছে, যেখানে সদস্য সংখ্যা সব মিলিয়ে ৩ হাজারের বেশি। গ্রুপগুলো চালানো হচ্ছে দুটি বৈধ ব্রোকারেজ হাউসের নামে- সিটি ব্রোকারেজ লিমিটেড (সিবিএল) এবং ব্র্যাক ইপিএল সিকিউরিটিজ। 

যুক্তরাষ্ট্রের বিশিষ্ট কম্পিউটার নিরাপত্তা পরামর্শদাতা, লেখক ও একসময়ের সাজাপ্রাপ্ত হ্যাকার- কেভিন ডেভিড মিটনিক, যাকে ‘বিশ্বের সবচেয়ে বিখ্যাত হ্যাকার’ হিসেবেও অভিহিত করা হয়। তিনি মূলত তার হ্যাকিং পদ্ধতির জন্য পরিচিত, যেখানে তিনি প্রযুক্তিগত দুর্বলতার চেয়ে ‘সামাজিক প্রকৌশল’ কৌশলটির ওপর সবচেয়ে বেশি নির্ভর করতেন। 

গত বছর এক সাক্ষাৎকারে কেভিন ডেভিড মিটনিক বলেন, ‘নিরাপত্তা শৃঙ্খলের সবচেয়ে দুর্বল অংশ হলো মানুষ নিজেই।’ তার ভাষ্য, মানুষ প্রায়ই মানসিক শর্টকাট নেয়। তারা জানে যে নির্দিষ্ট তথ্য দেওয়া উচিত নয়, তবু সৌজন্য না দেখানোর ভয়, কর্তৃত্বশীল ব্যক্তির প্রতি ভয় বা অজ্ঞ মনে হওয়ার আশঙ্কা- এসব আবেগ কাজে লাগিয়েই আক্রমণকারীরা সফল হয়।

মানবিক দুর্বলতাই মূল অস্ত্র

আন্তর্জাতিক সাইবার নিরাপত্তা সংস্থা ভেরাইজনের ২০২৪ সালের রিপোর্ট অনুযায়ী, বিশ্বের মোট ডেটা ব্রিচের ৬৮ শতাংশেই ‘মানবিক ত্রুটি’ জড়িত। অর্থাৎ আক্রমণকারীরা প্রযুক্তিগত দুর্বলতার চেয়ে বেশি গুরুত্ব দিচ্ছে মানুষের মনস্তত্ত্বকে কাজে লাগানোর দিকে।

যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন (এফবিআই) জানিয়েছে, ২০২৩ সালে শুধু ই-মেইলভিত্তিক প্রতারণায় ক্ষতির পরিমাণ দাঁড়িয়েছে প্রায় ১২ বিলিয়ন ডলার। এসব ঘটনায় সবচেয়ে বেশি ব্যবহৃত হয়েছে ফিশিং, প্রিটেক্সটিং, ভিশিং (ভয়েস কলের মাধ্যমে প্রতারণা) এবং স্মিশিং (এসএমএস প্রতারণা)।

এশিয়ার দেশগুলোতেও এর ঝুঁকি দ্রুত বাড়ছে। সাইবার নিরাপত্তা বিশেষজ্ঞদের মতে, বাংলাদেশে ‘অফিসিয়াল ই-মেইল হ্যাক’ বা ‘ফেক ইনভয়েস ট্রান্সফার’ ধরনের প্রতারণা বেড়েছে প্রায় ৪০ শতাংশ। সরকারি দপ্তর, আর্থিক প্রতিষ্ঠান, এমনকি সংবাদ মাধ্যমের ই-মেইল সার্ভারও এসব আক্রমণের লক্ষ্য হচ্ছে। 

কৃত্রিম বুদ্ধিমত্তা যুক্ত হওয়ায় আরও ভয়াবহ

নতুন প্রজন্মের প্রতারণায় এখন যুক্ত হয়েছে কৃত্রিম বুদ্ধিমত্তা (এআই)। এর মাধ্যমে তৈরি হচ্ছে ডিপফেক কণ্ঠস্বর ও ভিডিও, যা অনেক সময় আসল ব্যক্তির মতোই শোনায় বা দেখায়। সম্প্রতি ইউরোপে এক করপোরেট প্রতিষ্ঠানের সিইওর কণ্ঠস্বর নকল করে ২৫ লাখ ইউরো হাতিয়ে নেওয়ার ঘটনা ঘটেছে, যা ছিল সম্পূর্ণ একটি ‘এআই জেনারেটেড ভয়েস স্ক্যাম’। 

বাংলাদেশেও সামাজিক যোগাযোগ মাধ্যমে ছড়িয়ে পড়ছে এমন নকল অডিও বা ভিডিও, যা দিয়ে প্রতারণার ফাঁদ পাতা হচ্ছে। সাইবার বিশেষজ্ঞরা বলছেন, এসব মোকাবিলায় প্রযুক্তি সচেতনতার পাশাপাশি ব্যক্তিগত সতর্কতাও জরুরি।

করণীয় কী

বিশেষজ্ঞরা মনে করছেন, ‘মনুষ্য হ্যাকিং’ প্রতিরোধের মূল উপায় হলো মানুষের নিজেকে সুরক্ষিত করা। তাদের পরামর্শ- প্রতিটি অনলাইন বা ব্যাংকিং অ্যাকাউন্টে দ্বৈত স্তরের নিরাপত্তা (এমএফএ) ব্যবহার করা উচিত। অপরিচিত ই-মেইল বা লিংকে ক্লিক না করা, আর্থিক তথ্য ফোনে না দেওয়া এবং যাচাই ছাড়া কোনো ফাইল বা লিংক খোলা যাবে না। অফিস ও প্রতিষ্ঠানে নিয়মিত সাইবার সচেতনতা প্রশিক্ষণ চালু রাখা প্রয়োজন। আইটি টিমকে বাস্তব ফিশিং সিমুলেশনের মাধ্যমে কর্মীদের প্রস্তুত রাখতে হবে। তৃতীয়-পক্ষ বা সাপ্লায়ার প্রতিষ্ঠানের তথ্য নিরাপত্তা যাচাই করা জরুরি। 

সরকারি ও প্রাতিষ্ঠানিক উদ্যোগ প্রয়োজন 

দেশে বাংলাদেশ কম্পিউটার ইনসিডেন্ট রেসপন্স টিম ইতোমধ্যে ব্যক্তিগত ও প্রাতিষ্ঠানিক সাইবার হুমকির বিষয়ে পরামর্শ দিচ্ছে। কিন্তু বিশেষজ্ঞদের মতে, সামাজিক প্রকৌশল প্রতারণা ঠেকাতে শুধু প্রযুক্তিগত প্রতিরোধ যথেষ্ট নয়। গণমাধ্যম, শিক্ষাপ্রতিষ্ঠান ও টেলিকম খাতকে যুক্ত করে বৃহত্তর জনসচেতনতা অভিযান চালানো প্রয়োজন।

সাইবার নিরাপত্তা বিশ্লেষক সৈয়দ সাইফুল ইসলাম বলেন, ‘আমরা সাইবার ফায়ারওয়াল বানাই, কিন্তু মানব ফায়ারওয়াল বানাই না। মানুষকেই প্রশিক্ষিত করতে না পারলে এই যুদ্ধ জেতা যাবে না।’

প্রতারণার ধরন বদলেছে, কিন্তু লক্ষ্য এক- মানুষের বিশ্বাস। প্রযুক্তির অগ্রগতি যেমন জীবনের গতি বাড়াচ্ছে, তেমনি অপরাধীদের হাতেও তুলে দিচ্ছে নতুন অস্ত্র। তাই এখনই ব্যক্তিগত ও প্রাতিষ্ঠানিক সচেতনতা বাড়াতে না পারলে ‘মনুষ্য হ্যাকিং’ ভবিষ্যতের সবচেয়ে বড় ডিজিটাল ঝুঁকি হয়ে উঠবে।