ফিশিং (Phishing) কী?
সুচিপত্র
ফিশিং এর ধরণ কী কী?
ফিশিং কিভাবে প্রতিরোধ করতে হয়?
ফিশিং (Phishing) কী?
হোম
নিবন্ধ
ফিশিং (Phishing) কী?

ফিশিং (Phishing) কী?

প্রকাশিত হয়েছে Nov 28, 2018আপডেট হয়েছে Nov 11, 2022
6m

ফিশিং হলো এক ধরণের সাইবার আক্রমণ যেখানে কোনো ক্ষতিকর ব্যক্তি মানুষকে প্রতারিত করার জন্য এবং ক্রেডিট কার্ডের বিবরণ, ব্যবহারকারীর নাম, পাসওয়ার্ড এবং এমন আরও অনেক কিছুর মত সংবেদনশীল তথ্য সংগ্রহ করার জন্য কোনো সম্মানজনক প্রতিষ্ঠান বা ব্যবসা হিসেবে নিজেকে উপস্থাপন করে। যেহেতু ফিশিং এর সাথে মনস্তাত্ত্বিক প্রতারণা জড়িত এবং এটি মানুষের ব্যর্থতার (হার্ডওয়্যার বা সফ্টওয়্যারের পরিবর্তে) উপর নির্ভর করে, তাই এটি এক ধরণের সামাজিক প্রকৌশল আক্রমণ হিসেবে বিবেচিত।

সাধারণত, ফিশিং আক্রমণগুলো প্রতারণামূলক ইমেইলগুলো ব্যবহার করে যা ব্যবহারকারীকে একটি প্রতারণামূলক ওয়েবসাইটে সংবেদনশীল তথ্য প্রবেশ করতে রাজি করায়। এই ইমেইলগুলো সাধারণত ব্যবহারকারীকে তার পাসওয়ার্ড রিসেট করার জন্য বা তার ক্রেডিট কার্ডের তথ্য নিশ্চিত করতে অনুরোধ করে, যা এমন কোনো জাল ওয়েবসাইটের দিকে নিয়ে যায় যা দেখতে অনেকটা আসলটির মতো। ফিশিং এর প্রধান ধরণ হলো ক্লোন ফিশিং, স্পিয়ার ফিশিং এবং ফার্মিং।

ফিশিং আক্রমণগুলোও ক্রিপ্টোকারেন্সি ইকোসিস্টেমের মধ্যে ব্যবহার করা হচ্ছে যেখানে ক্ষতিকর ব্যক্তিরা ব্যবহারকারীদের কাছ থেকে বিটকয়েন বা অন্যান্য ডিজিটাল মুদ্রা চুরি করার চেষ্টা করে। উদাহরণস্বরূপ, এই ঘটনাটি একজন আক্রমণকারীর দ্বারা এমনভাবে করা হতে পারে যেখানে কোনো বাস্তব ওয়েবসাইট স্পুফিং করে তার নিজের ওয়ালেট ঠিকানা পরিবর্তন করার মাধ্যমে ব্যবহারকারীদের এমন ধারণা দেয় যে তারা একটি বৈধ পরিষেবার জন্য পেমেন্ট করছে যখন বাস্তবে আসলে তাদের অর্থ চুরি হচ্ছে।


ফিশিং এর ধরণ কী কী?

অনেক ধরণের ফিশিং আছে এবং এগুলোকে সাধারণত টার্গেট ও অ্যাটাক ভেক্টর অনুযায়ী শ্রেণীবদ্ধ করা হয়। এখানে আমরা কয়েকটি সাধারণ উদাহরণ তালিকাভুক্ত করছি। 

  • ক্লোন ফিশিং: একজন আক্রমণকারী পূর্বে প্রেরিত, বৈধ ইমেইল ব্যবহার করবে এবং এর কন্টেন্টকে একটি ক্ষতিকর সাইটের লিংকসহ অনুরূপ আরেকটি মেইলে কপি করবে। আক্রমণকারী তখন দাবি করতে পারে যে এটি একটি আপডেট বা নতুন লিংক, হয়ত এই বলে যে পুরানোটির মেয়াদ শেষ হয়ে গেছে।

  • স্পিয়ার ফিশিং: এই ধরণের আক্রমণ এক ব্যক্তি বা প্রতিষ্ঠানের উপর ফোকাস করে - যাকে সাধারণত অন্যরা চেনে। স্পিয়ার আক্রমণ অন্যান্য ফিশিংয়ের ধরণের তুলনায় অনেক বেশি পরিশীলিত কারণ এটির করার জন্য প্রোফাইল ব্যবহার করা হয়। এর মানে হলো যে আক্রমণকারী প্রথমে শিকার সম্পর্কে তথ্য সংগ্রহ করে (যেমন বন্ধু বা পরিবারের সদস্যদের নাম) এবং তারপরে এই ডেটার উপর ভিত্তি করে একটি বার্তা তৈরি করে যার প্রধান কাজ হল ক্ষতিগ্রস্থ ব্যক্তিকে একটি প্রতারণার ওয়েবসাইট ভিজিট করতে বা কোনো ক্ষতিকর ফাইল ডাউনলোড করতে রাজি করা।

  • ফার্মিং: একজন আক্রমণকারী একটি DNS রেকর্ডকে বিকৃত করবে যা বৈধ কোনো ওয়েবসাইটের দর্শকদেরকে আক্রমণকারী কর্তৃক আগে থেকেই তৈরি করে রাখা একটি প্রতারণামূলক ওয়েবসাইটে পুনঃনির্দেশ করবে। এটি আক্রমণগুলোর মধ্যে সবচেয়ে বিপজ্জনক কারণ DNS রেকর্ডগুলো ব্যবহারকারীর নিয়ন্ত্রণে থাকে না, ফলে ব্যবহারকারী নিজেকে রক্ষা করতে পারে না।

  • হোয়েলিং: স্পিয়ার ফিশিংয়ের একটি রূপ যা সিইও এবং সরকারি কর্মকর্তাদের মত ধনী ও গুরুত্বপূর্ণ ব্যক্তিদের টার্গেট করে।

  • ইমেইল স্পুফিং: ফিশিং ইমেইলগুলো সাধারণত বৈধ কোম্পানী বা মানুষের ছদ্মবেশ নিয়ে যোগাযোগ করে। ফিশিং ইমেইলগুলো অজানা শিকারকে ক্ষতিকারক সাইটের লিংক দিতে পারে যেখানে আক্রমণকারীরা চতুরতার সাথে ছদ্মবেশী লগইন পেজ ব্যবহার করে লগইন ক্রেডেনশিয়াল এবং PII সংগ্রহ করে। পৃষ্ঠাগুলোতে ট্রোজান, কীলগার এবং অন্যান্য ক্ষতিকারক স্ক্রিপ্ট থাকতে পারে যা ব্যক্তিগত তথ্য চুরি করে।

  • ওয়েবসাইট পুনঃনির্দেশ: ওয়েবসাইট পুনঃনির্দেশ ব্যবহারকারীদের কাঙ্ক্ষিত ওয়েবসাইটের চেয়ে ভিন্ন URL-এ পাঠায়। দুর্বলতাকে কাজে লাগানো ক্ষতিকর ব্যক্তিরা ব্যবহারকারীদের কম্পিউটারে পুনঃনির্দেশ এবং ম্যালওয়্যার ইনস্টল করতে পারে।

  • Typosquatting: Typosquatting ট্রাফিককে নকল ওয়েবসাইটে নির্দেশ করে যেগুলো টপ-লেভেল ডোমেইনে বিদেশী ভাষার বানান, সাধারণ ভুল বানান বা সূক্ষ্ম পরিবর্তন ব্যবহার করে। ফিশাররা URL ভুল টাইপ করেছে বা ভুল পড়েছে এমন ব্যবহারকারীদের ভুলের সুযোগ নিয়ে বৈধ ওয়েবসাইট ইন্টারফেস নকল করতে ডোমেইন ব্যবহার করে।

  • 'ওয়াটারিং হোল': ওয়াটারিং হোল আক্রমণে, ফিশাররা ব্যবহারকারীদের প্রোফাইল তৈরি করে এবং তারা যে ওয়েবসাইটগুলো ঘন ঘন ভিজিট করে সেগুলো নির্ধারণ করে। ফিশাররা এই সাইটগুলোর দুর্বলতা খুঁজে বের করে এবং যদি সম্ভব হয় তাহলে পরবর্তী ভিজিটের সময় ব্যবহারকারীদের টার্গেট করার জন্য ডিজাইন করা ক্ষতিকর স্ক্রিপ্ট প্রবেশ করায়।

  • ছদ্মবেশ এবং উপহার: ফিশিং স্কিমগুলোতে সোশ্যাল মিডিয়াতে প্রভাবশালী ব্যক্তিদের ছদ্মবেশ নেয়া আরেকটি কৌশল। ফিশাররা কোম্পানির প্রধান নেতাদের ছদ্মবেশ ধারণ করতে পারে এবং তাদের অডিয়েন্সের জন্য পুরস্কারের বিজ্ঞাপন দিতে পারে বা অন্যান্য প্রতারণামূলক চর্চার জড়িত হতে পারে। এই প্রতারণার শিকার ব্যক্তিদেরকে সহজ সরল ব্যবহারকারী খুঁজে বের করার লক্ষ্যে সামাজিক প্রকৌশল প্রক্রিয়ার মাধ্যমে আলাদাভাবে টার্গেট করা হয়ে থাকতে পারে। ক্ষতিকর ব্যক্তিরা যাচাইকৃত অ্যাকাউন্ট হ্যাক করতে পারে এবং যাচাইকৃত স্ট্যাটাস বজায় রেখে কোনো বাস্তব ব্যক্তির ছদ্মবেশ ধারণ করতে ব্যবহারকারীর নাম পরিবর্তন করতে পারে। ভুক্তভোগীদের সাধারণত প্রভাবশালী ব্যক্তিদের সাথে যোগাযোগ করার এবং PII প্রদান করার সম্ভাবনা বেশি, যা ফিশারদের তাদের তথ্য ব্যবহার করার সুযোগ তৈরি করে।
    চ্যাট স্পুফিং করে, কোনো ব্যক্তির ছদ্মবেশ ধারণ করে এবং বৈধ পরিষেবা নকল করে সম্প্রতি ফিশাররা একই উদ্দেশ্যে স্ল্যাক, ডিসকর্ড এবং টেলিগ্রামের মতো প্ল্যাটফর্মগুলোকে ব্যাপকভাবে টার্গেট করছে।  

  • বিজ্ঞাপন: পেইড বিজ্ঞাপনগুলো ফিশিংয়ের জন্য ব্যবহৃত আরেকটি কৌশল। আক্রমণকারীরা ভুলে টাইপ করেছে এমন ডোমেন এই (জাল) বিজ্ঞাপনগুলো ব্যবহার করে এবং সার্চ রেজাল্টকে উপরে আনার জন্য পে করে। সাইটগুলো এমনকি Binance-এর মতো বৈধ কোম্পানি বা পরিষেবাগুলোর শীর্ষ সার্চ রেজাল্টের মত উপস্থিত হতে পারে। সাইটগুলো প্রায়ই সংবেদনশীল তথ্য ফিশ করার মাধ্যম হিসেবে ব্যবহার করা হয়, যার মধ্যে আপনার ট্রেডিং অ্যাকাউন্টের লগইন ক্রেডেনশিয়াল অন্তর্ভুক্ত থাকতে পারে।

  • ক্ষতিকর অ্যাপ্লিকেশন: ফিশাররা ম্যালওয়্যার ইনজেক্টের জন্য ভেক্টর হিসেবে ক্ষতিকারক অ্যাপ ব্যবহার করতে পারে যা আপনার আচরণ পর্যবেক্ষণ করে বা সংবেদনশীল তথ্য চুরি করে। অ্যাপগুলো প্রাইস ট্র্যাকার, ওয়ালেট এবং অন্যান্য ক্রিপ্টো-সম্পর্কিত ট্যুল (যেটির ট্রেডিং ব্যবহারের সম্ভাবনা থাকা ব্যবহারকারী রয়েছে ও ক্রিপ্টোকারেন্সি রয়েছে) হিসেবে উপস্থিত হতে পারে।

  • টেক্সট এবং ভয়েস ফিশিং: ফিশিংয়ের একটি টেক্সট মেসেজ-ভিত্তিক ধরণ এসএমএস ফিশিং, এবং ভয়েস/ফোনের সমতুল্য ভিশিং, অন্যান্য কিছু উপায় যেগুলোর মাধ্যমে আক্রমণকারীরা ব্যক্তিগত তথ্য অর্জনের চেষ্টা করে।


ফিশিং বনাম ফার্মিং (Pharming)

ফার্মিংকে যদিও কেউ কেউ ফিশিং আক্রমণের ধরণ হিসেবে বিবেচনা করে, তবে এটি একটি ভিন্ন প্রক্রিয়ার উপর নির্ভর করে। ফিশিং এবং ফার্মিংয়ের মধ্যে প্রধান পার্থক্য হলো যে ফিশিং এর জন্য শিকারকে ভুল করতে হয়, যেখানে ফার্মিং এর জন্য শুধুমাত্র ভিকটিমকে একটি বৈধ ওয়েবসাইট অ্যাক্সেস করার চেষ্টা করতে হয় যেটির DNS রেকর্ড আক্রমণকারীর দ্বারা বিকৃত করা হয়েছে।


ফিশিং কিভাবে প্রতিরোধ করতে হয়?

  • সতর্ক থাকুন: ফিশিং থেকে রক্ষা করার জন্য আপনার সর্বোত্তম প্রতিরক্ষা হল আপনার প্রাপ্ত ইমেইলগুলো সম্পর্কে সতর্কতার সাথে চিন্তা করা। কারও কাছ থেকে যে ইমেইল এসেছে সে বিষয়ক কোনো ইমেইল কি তার কাছ থেকে আশা করছিলেন? আপনার কি এই সন্দেহ হচ্ছে যে ব্যক্তিটি যে তথ্য চাচ্ছে তার সাথে এই তথ্যের কোনো সম্পর্ক নেই? যদি কোনো সন্দেহ থাকে, তাহলে অন্য কোনো মাধ্যমে প্রেরকের সাথে যোগাযোগ করার জন্য যথাসাধ্য চেষ্টা করুন।

  • বিষয়বস্তু পরীক্ষা করুন: আপনি কোনো সার্চ ইঞ্জিনে বিষয়বস্তুর অংশ (বা প্রেরকের ইমেইল ঠিকানা) টাইপ করে ওই নির্দিষ্ট পদ্ধতি ব্যবহার করে ফিশিং আক্রমণের কোনো রেকর্ড আছে কিনা তা চেক করতে পারেন।

  • অন্যান্য উপায়গুলো ব্যবহার করে দেখুন: আপনি যদি মনে করেন যে আপনি আপনার পরিচিত কোনো ব্যবসার জন্য আপনার অ্যাকাউন্টের ক্রেডেনশিয়াল নিশ্চিত করার জন্য একটি বৈধ অনুরোধ পেয়েছেন, তাহলে ইমেইলের মধ্যে লিংটিতে ক্লিক করার পরিবর্তে ভিন্ন কোনো মাধ্যমে তা করার চেষ্টা করুন।

  • URL-টি চেক করুন: লিংটিতে ক্লিক না করেই, এটি HTTP-এর পরিবর্তে HTTPS দিয়ে শুরু হয় কিনা চেক করুন। তবে মনে রাখবেন, সাইটটি বৈধ কিনা তার জন্য শুধুমাত্র এটিই কোনো গ্যারান্টি নয়। ভুল বানান, অস্বাভাবিক অক্ষর এবং অন্যান্য যেকোনো অস্বাভাবিকতার জন্য URL ভালোভাবে পরীক্ষা করুন।

  • আপনার প্রাইভেট কী শেয়ার করবেন না: আপনার বিটকয়েন ওয়ালেটের প্রাইভেট কী কখনও কাউকে দেবেন না এবং আপনি যে পণ্য এবং বিক্রেতাকে কোনও ক্রিপ্টোকারেন্সি দিতে চলেছেন তা বৈধ কিনা তা নির্ধারণে সতর্ক থাকুন। ক্রেডিট কার্ডের বিপরীতে ক্রিপ্টো ডিল করার পার্থক্য হলো যে আপনি যদি পূর্বে সম্মত হওয়া পণ্য বা পরিষেবা না পান তাহলে অভিযোগ করার মত কোনো কেন্দ্রীয় কর্তৃপক্ষ নেই। এই কারণেই ক্রিপ্টোকারেন্সি লেনদেন করার সময় বিশেষভাবে সতর্ক থাকতে হবে।

ফিশিং হলো সবচেয়ে বিস্তৃত এবং প্রচলিত সাইবার-আক্রমণ কৌশলগুলোর মধ্যে একটি। মূলধারার পরিষেবাগুলোর যদিও আসল বার্তা থেকে স্পুফ ফিল্টার করার ক্ষেত্রে বেশ ভালোই কাজ করে, তবুও অবশ্যই সতর্ক থাকতে হবে এবং প্রতিরক্ষার শেষ স্তর বজায় রাখতে হবে। আপনার কাছ থেকে সংবেদনশীল বা ব্যক্তিগত তথ্য লাভের যেকোনো প্রচেষ্টা থেকে সতর্ক থাকুন। যদি সম্ভব হয়, তাহলে সর্বদা যোগাযোগের অন্য মাধ্যমে নিশ্চিত করুন যে প্রেরক এবং অনুরোধটি বৈধ। নিরাপত্তা সংক্রান্ত ঘটনা সম্পর্কে ইমেইলের লিংগুলোতে ক্লিক করা এড়িয়ে চলুন এবং URL-এর শুরুতে HTTPS পরীক্ষা করে নিয়ে আপনার নিজের মত করে ওয়েবপেজে নেভিগেট করুন। পরিশেষে, ক্রিপ্টোকারেন্সি লেনদেন সম্পর্কে বিশেষভাবে সতর্ক থাকুন কারণ মার্চেন্ট তাদের চুক্তির শর্ত পূরণ না করলে সেটিকে ফেরত আনার কোনো উপায় নেই। সর্বদা আপনার প্রাইভেট কী এবং পাসওয়ার্ড গোপন রাখুন এবং কখনোই কোনো বিশ্বাসকে হালকাভাবে নেবেন না।