সহজ ভাষায় ফিশিং কী?

ফিশিং হলো যখন একজন আক্রমণকারী একটি বাস্তব সাইটের (আপনার ব্যাংক, ইমেইল, কর্মক্ষেত্রের লগইন) হুবহু নকল ওয়েবসাইট তৈরি করে এবং আপনাকে সেখানে পাসওয়ার্ড টাইপ করতে প্রতারণা করে। আপনি ফর্ম জমা দেওয়ার সাথে সাথে সেগুলো আপনার পরিচয়পত্র দখল করে এবং বাস্তব সাইটে ব্যবহার করে।

2FA কি ফিশিং ঠেকাতে পারে?

অ্যাপ-ভিত্তিক 2FA (TOTP) এবং SMS কোড আধুনিক ফিশিং ঠেকাতে পারে না। আক্রমণকারীরা রিয়েল-টাইম প্রক্সি ব্যবহার করে যা সেকেন্ডের মধ্যে আপনার কোড বাস্তব সাইটে ফরোয়ার্ড করে দেয়। শুধুমাত্র FIDO2/WebAuthn হার্ডওয়্যার কী এবং পাসকীগুলো ফিশিং-প্রুফ, কারণ এগুলো ক্রিপ্টোগ্রাফিক্যালি বাস্তব ডোমেইনের সাথে আবদ্ধ।

আমি কীভাবে একটি ফিশিং ইমেইল চিনব?

ক্লিক করার আগে লিঙ্কের উপর হোভার করুন এবং আসল গন্তব্য যাচাই করুন। জরুরিতা ("আপনার অ্যাকাউন্ট ২৪ ঘণ্টার মধ্যে বন্ধ হবে"), সাধারণ শুভেচ্ছা ("প্রিয় গ্রাহক"), এবং ডোমেইনের সামান্য ভুল বানান (paypaI.com যেখানে বড় হাতের i, ছোট হাতের L নয়) লক্ষ্য রাখুন। সন্দেহ হলে, লিঙ্কে ক্লিক না করে ম্যানুয়ালি সাইটে যান।

আমি যদি মনে করি ফিশিং আক্রমণে পড়েছি তাহলে কী করব?

অবিলম্বে অন্য একটি ডিভাইস থেকে সংশ্লিষ্ট অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করুন। অ্যাকাউন্ট সেটিংসে সমস্ত সক্রিয় সেশন বাতিল করুন। যদি না করা থাকে তাহলে 2FA সক্ষম বা পুনরায় সক্ষম করুন। অননুমোদিত কার্যকলাপের জন্য অ্যাকাউন্ট পরীক্ষা করুন। যদি এটি আর্থিক অ্যাকাউন্ট হয়, সরাসরি প্রতিষ্ঠানে ফোন করুন।

ফিশিংয়ের বিরুদ্ধে পাসওয়ার্ড ম্যানেজার ব্যবহার কি নিরাপদ?

হ্যাঁ, এবং এটি আপনার সেরা প্রতিরক্ষাগুলোর মধ্যে একটি। পাসওয়ার্ড ম্যানেজার সঠিক ডোমেইনের ভিত্তিতে অটোফিল করে। আপনি যদি paypal.com-এর পরিবর্তে paypaI.com-এ পৌঁছান, তাহলে আপনার ম্যানেজার অটোফিল করবে না — এটি একটি গুরুত্বপূর্ণ সতর্ক সংকেত যে কিছু একটা ভুল হচ্ছে।

ফিশিং আক্রমণ থেকে নিজেকে কীভাবে রক্ষা করবেন

ফিশিং কী?

ফিশিং হলো একটি সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ যেখানে একজন আক্রমণকারী একটি বৈধ ওয়েবসাইটের বিশ্বাসযোগ্য কপি তৈরি করে — প্রায়ই হুবহু একই রকম — এবং ভিকটিমকে সেখানে পরিচয়পত্র প্রবেশ করাতে প্রতারণা করে। ভিকটিম ফর্ম জমা দেওয়ার সাথে সাথে আক্রমণকারী ইউজারনেম, পাসওয়ার্ড এবং যেকোনো দ্বিতীয় ফ্যাক্টর দখল করে নেয়, তারপর সেকেন্ডের মধ্যে বাস্তব অ্যাকাউন্ট দখলে সেগুলো ব্যবহার করে।

শব্দটি এসেছে টোপ দিয়ে ভিকটিম "মাছ শিকার" করার রূপক থেকে (সাধারণত একটি ইমেইল)। বানানটি পরিবর্তন করা হয়েছে এটি জোর দিতে যে আক্রমণকারীরা প্রায়ই phone নম্বর (SMS ফিশিং, বা "smishing") এবং পেশাদার চেহারার পরিকাঠামো ব্যবহার করে।

ফিশিং কেন এখনো #১ হুমকি

আজকের বেশিরভাগ বড় আকারের অ্যাকাউন্ট লঙ্ঘনে হ্যাকিং, পাসওয়ার্ড ক্র্যাকিং বা এনক্রিপশন বাইপাস করা জড়িত নয়। এগুলোতে একজন মানুষ নকল সাইটে পাসওয়ার্ড টাইপ করেন। ফিশিং হলো:

সস্তা — একজন আক্রমণকারী একটি VPS এবং স্পুফড ডোমেইনের খরচে কোটি কোটি ইমেইল পাঠাতে পারে
ফিল্টার করা কঠিন — আধুনিক কিটগুলো ডোমেইন রোটেট করে, বৈধ হোস্টিং ব্যবহার করে এবং রিয়েল টাইমে ফিল্টারের সাথে মানিয়ে নেয়
কার্যকর — নিরাপত্তা-সচেতন ব্যবহারকারীরাও সুনির্দিষ্টভাবে তৈরি লক্ষ্যভিত্তিক প্রচেষ্টায় (স্পিয়ার ফিশিং) পড়েন
মাপযোগ্য — একটি সফল ফিশিং প্রায়ই পাসওয়ার্ড পুনর্ব্যবহারের মাধ্যমে ডজনখানেক সংযুক্ত পরিষেবায় প্রবেশাধিকার দেয়

২০২৪ সালের Verizon Data Breach Investigations Report-এ দেখা গেছে যে ফিশিং ছিল সমস্ত লঙ্ঘনের ৩৬%-এরও বেশি ক্ষেত্রে প্রাথমিক প্রবেশপথ — যেকোনো একক কারণের চেয়ে বেশি।

আধুনিক ফিশিং কীভাবে কাজ করে

ফিশিং ২০০০-এর দশকের "নাইজেরিয়ান প্রিন্স" ইমেইলের অনেক বাইরে বিকশিত হয়েছে। একটি আধুনিক ফিশিং আক্রমণে সাধারণত অন্তর্ভুক্ত থাকে:

১. একটি বিশ্বাসযোগ্য প্রলোভন

সাধারণত একটি ইমেইল, টেক্সট বা চ্যাট বার্তা জরুরিতা ("আপনার অ্যাকাউন্ট স্থগিত করা হবে"), কর্তৃত্ব ("Microsoft সিকিউরিটি টিম"), বা কৌতূহল ("কেউ আপনাকে একটি ছবিতে ট্যাগ করেছে") তৈরি করে। স্পিয়ার-ফিশিং এটি আরও এগিয়ে নিয়ে যায় LinkedIn, ব্রিচ ডাম্প বা আগের চিঠিপত্র থেকে সংগ্রহ করা ব্যক্তিগত বিবরণ সহ।

২. একটি হুবহু নকল নকল সাইট

আক্রমণকারীরা অফ-দ্য-শেলফ ফিশিং কিট ব্যবহার করে যা লক্ষ্য সাইটের HTML, CSS এবং JavaScript ক্লোন করে। অনেক কিট সার্ভিস হিসেবে বিক্রি হয় (ফিশিং-অ্যাজ-আ-সার্ভিস), কার্যকরী ড্যাশবোর্ড এবং কাস্টমার সাপোর্ট সহ।

৩. 2FA-এর জন্য একটি রিয়েল-টাইম প্রক্সি

বিপজ্জনক অংশ: আধুনিক কিটগুলো শুধু আপনার পাসওয়ার্ড দখল করে না। এগুলো একটি ম্যান-ইন-দ্য-মিডল প্রক্সি হিসেবে কাজ করে যা আপনি যা টাইপ করেন তা — আপনার TOTP কোড সহ — সেকেন্ডের মধ্যে বাস্তব সাইটে ফরোয়ার্ড করে, বেশিরভাগ 2FA বাইপাস করে। এই কৌশলটিকে অ্যাডভার্সারি-ইন-দ্য-মিডল (AiTM) বলা হয় এবং এটি Evilginx2 এবং Modlishka-এর মতো টুলে ব্যবহৃত হয়।

৪. সেশন টোকেন চুরি

আপনি প্রক্সির মাধ্যমে প্রমাণীকরণ করার পরে, আক্রমণকারী আপনার সেশন কুকি দখল করে এবং আপনি পাসওয়ার্ড পরিবর্তন করার পরেও লগইন থাকতে পারে। এ কারণেই ফিশিং প্রতিক্রিয়ায় সবসময় সক্রিয় সেশন বাতিল করা অন্তর্ভুক্ত থাকে, শুধু পাসওয়ার্ড পরিবর্তন নয়।

যা সত্যিই ফিশিং ঠেকায়

হার্ডওয়্যার সিকিউরিটি কী (FIDO2 / WebAuthn)

এটি হলো একমাত্র প্রতিরক্ষা বিভাগ যা ডিজাইনগতভাবে ফিশিং-প্রুফ। আপনি যখন FIDO2 কী দিয়ে লগইন করেন, তখন আপনার কী প্রমাণীকরণ অনুরোধ করা সাইটের সঠিক ডোমেইন ক্রিপ্টোগ্রাফিক্যালি যাচাই করে। একটি নকল সাইট — দেখতে যতই নিখুঁত হোক না কেন — ভিন্ন ডোমেইন রাখে, তাই কী সাড়া দিতে অস্বীকার করে। ক্রিপ্টোগ্রাফিক হ্যান্ডশেক সম্পূর্ণ হয় না।

Google ২০১৭ সালে তাদের ৮৫,০০০+ কর্মচারীর জন্য YubiKeys বাধ্যতামূলক করেছিল এবং পরবর্তী বছরগুলোতে কোম্পানির অ্যাকাউন্টে শূন্য সফল ফিশিং আক্রমণ রিপোর্ট করেছিল।

পাসকী

পাসকী হলো FIDO2-এর ভোক্তা-বান্ধব বিবর্তন। এগুলো একই ডোমেইন-আবদ্ধ ক্রিপ্টোগ্রাফি ব্যবহার করে এবং iOS, Android, macOS এবং Windows-এ অন্তর্নির্মিত। আপনি যে সাইট ব্যবহার করেন সেটি যদি পাসকী সমর্থন করে, তাহলে একটি সক্ষম করলে সেই অ্যাকাউন্ট ফিশিং-প্রুফ হয়ে যায়।

পাসওয়ার্ড ম্যানেজার

পাসওয়ার্ড ম্যানেজার আপনার দ্বিতীয় প্রতিরক্ষা লাইন কারণ এটি শুধুমাত্র সঠিক ডোমেইনে যেখানে পরিচয়পত্র সংরক্ষিত হয়েছিল সেখানে অটোফিল করে। আপনি যদি paypal.com-এর পরিবর্তে paypaI.com (বড় হাতের I)-তে পৌঁছান, তাহলে আপনার ম্যানেজার নীরবে ফর্ম পূরণ করতে অস্বীকার করে। সেই অস্বীকৃতি একটি জোরালো সতর্কতা যে কিছু একটা ভুল হচ্ছে।

ইমেইল এবং DNS ফিল্টারিং

ইমেইল প্রদানকারীরা স্পুফড প্রেরকের ঠিকানা শনাক্ত করতে DMARC, SPF এবং DKIM ব্যবহার করে। বেশিরভাগ আধুনিক প্রদানকারী স্পষ্ট প্রচেষ্টাগুলো ধরে, কিন্তু লক্ষ্যভিত্তিক আক্রমণ এখনো ফাঁক দিয়ে পার হয়ে যায়। আপনার মেইল ক্লায়েন্টে "report phishing" বোতাম সক্ষম করুন যাতে আপনি ফিল্টার উন্নত করতে সাহায্য করেন।

লক্ষ্য রাখার সতর্ক সংকেত

আপনি যখন লগইন করতে, যাচাই করতে বা জরুরি ভিত্তিতে কাজ করতে বলা কোনো বার্তা পান:

জরুরিতা এবং হুমকি — "আপনার অ্যাকাউন্ট ২৪ ঘণ্টার মধ্যে বন্ধ হবে"
সাধারণ শুভেচ্ছা — আপনার নামের পরিবর্তে "প্রিয় গ্রাহক"
দেখতে একই রকম ডোমেইন — paypaI.com, app1e.com, secure-microsoft-login.net
অপ্রত্যাশিত সংযুক্তি — বিশেষত .zip, .html, বা .pdf ফাইল যা দেখতে লগইন করতে বলে
ব্যাকরণ বা ফরম্যাটিং ত্রুটি — বড় কোম্পানিগুলো তাদের ইমেইল প্রুফরিড করে
লিঙ্কের অমিল — লিঙ্কের উপর হোভার করুন এবং গন্তব্য টেক্সটের সাথে মিলছে কিনা দেখুন

কিছু ভুল মনে হলে ইমেইলটি বন্ধ করুন। ম্যানুয়ালি সাইটে যান। যদি সত্যিই কোনো সমস্যা থাকে, আপনি স্বাভাবিক কার্যপ্রবাহে লগইন করলে তা দেখতে পাবেন।

আপনি যদি এতে পড়ে যান তাহলে কী করবেন

দ্রুত কাজ করুন — গতি গুরুত্বপূর্ণ কারণ আক্রমণকারীরা মিনিটের মধ্যে পরিচয়পত্র ব্যবহার শুরু করে।

অবিলম্বে পাসওয়ার্ড পরিবর্তন করুন অন্য একটি ডিভাইস থেকে (যেমন আপনার ফোন, যদি আপনি ল্যাপটপে পড়ে যান)
সমস্ত সক্রিয় সেশন বাতিল করুন অ্যাকাউন্ট সেটিংসে — এটি চুরি করা সেশন টোকেন ব্যবহার করে এমন যেকাউকে বের করে দেয়
2FA সক্ষম করুন যদি এখনো না করা থাকে, এবং সম্ভব হলে হার্ডওয়্যার কী বা পাসকী ব্যবহার করুন
অননুমোদিত কার্যকলাপ পরীক্ষা করুন — পাঠানো ইমেইল, সাম্প্রতিক লগইন, বিলিং পরিবর্তন, নতুন ফরওয়ার্ডিং নিয়ম
সংশ্লিষ্ট প্রতিষ্ঠানকে অবহিত করুন যদি এটি আর্থিক বা কর্মক্ষেত্রের অ্যাকাউন্ট হয়
অন্যান্য অ্যাকাউন্ট পরীক্ষা করুন যেগুলো একই পাসওয়ার্ড ব্যবহার করেছিল — এমনকি যদি আপনি নিশ্চিত হন যে পাসওয়ার্ড পুনর্ব্যবহার করেননি, তবুও পরীক্ষা করুন

মূল বক্তব্য

ফিশিং সফল হয় কারণ এটি প্রযুক্তিকে বাইপাস করে মানুষকে লক্ষ্য করে। সেরা প্রতিরক্ষায় তিনটি স্তর মেশানো হয়: পাসওয়ার্ড ম্যানেজার (ভুল ডোমেইনে অটোফিল করতে অস্বীকার করে), ফিশিং-প্রতিরোধী 2FA (হার্ডওয়্যার কী বা পাসকী যা বাস্তব ডোমেইনের সাথে আবদ্ধ), এবং সুস্থ সংশয়বাদ (ইমেইল লিঙ্ক থেকে কখনো লগইন করবেন না)।

আপনার সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টে — আপনার ইমেইলে — প্রথমে তিনটি সক্ষম করুন। সেখান থেকে, আপনার বাকি ডিজিটাল জীবন অর্থপূর্ণভাবে আরও নিরাপদ হয়ে যায়।