ইথেরিয়াম ফাউন্ডেশনের একজন প্রধান ডেভেলপার নিক জনসনকে লক্ষ্য করে গুগল পরিষেবা ব্যবহার করে একটি অত্যন্ত উন্নত ফিশিং আক্রমণের সাম্প্রতিক প্রতিবেদন প্রমাণ করে যে ইন্টারনেট ব্যবহারকারীদের ফিশিংয়ের মতো সামাজিক প্রকৌশল কৌশল থেকে নিজেদের রক্ষা করার জন্য আরও সতর্কতা অবলম্বন করা উচিত।
আক্রমণের জটিলতা হ্যাকারদের প্রতিটি উপাদানকে অত্যন্ত বৈধ দেখানোর ক্ষমতার মধ্যে নিহিত। এই আক্রমণে, হ্যাকাররা DomainKeys Identified Mail (DKIM) স্বাক্ষর চেকগুলিকে ফাঁকি দিয়েছে, যা কোনও ইমেল আসলে প্রশংসিত ডোমেন থেকে কিনা তা যাচাই করার জন্য ডিজাইন করা হয়েছে। এই বাইপাসের কারণে, গুগল আপনাকে আসন্ন সাইবার আক্রমণ সম্পর্কে সতর্ক করবে না। নিকের ক্ষেত্রে, ফিশিংটি no-reply@accounts.google.com থেকে এসেছে, একটি বৈধ ডোমেন সহ একটি ইমেল। তবে, ফিশিং লিঙ্কের URL-এ “sites.google.com” রয়েছে।
এটি কীভাবে সম্ভব হতে পারে? হ্যাকাররা sites.google.com দিয়ে একটি অনুকরণ সমর্থন পোর্টাল পৃষ্ঠা তৈরি করেছিল, যা মূলত গুগল অ্যাকাউন্ট মালিকদের মৌলিক ওয়েবসাইট তৈরি করতে সহায়তা করার জন্য ডিজাইন করা হয়েছিল। তারপরে সহায়তা পৃষ্ঠার একটি লিঙ্ক ফিশিং ইমেলে এমবেড করা হয় যাতে সন্দেহাতীত ভুক্তভোগীদের বিশ্বাস করানো যায় যে তারা কেবল গুগলের সাথে যোগাযোগ করছে। সাপোর্ট পেজে, ভুক্তভোগীদের তাদের গুগল অ্যাকাউন্টের শংসাপত্রগুলি দেওয়ার জন্য প্রলুব্ধ করা হয়, যা আক্রমণকারীরা পরে তাদের অ্যাকাউন্টগুলিতে অ্যাক্সেস করার জন্য ব্যবহার করবে।
এটি উল্লেখ করার মতো যে গুগলও যে কারও জন্য Google.com এর সাথে একটি সাইট তৈরি করা সম্ভব করার জন্য দোষ ভাগ করে নিতে পারে। এটি আরও উদ্বেগজনক যে এটি স্ক্রিপ্ট এবং ইচ্ছাকৃত এম্বেডগুলিকে অনুমতি দেয় যখন এটি জানে যে দূষিত ব্যক্তিরা সহজেই এই বৈশিষ্ট্যগুলি ব্যবহার করে শংসাপত্র সংগ্রহের সাইট তৈরি করতে পারে। যদিও গুগল তাদের পরিষেবাগুলি ব্যবহার করার সময় ব্যবহারকারীদের অভিজ্ঞতা বৃদ্ধির উপর মনোনিবেশ করে বলে মনে হচ্ছে, এই ধরণের পরিষেবাগুলির সাথে সম্পর্কিত সুরক্ষা ঝুঁকি তাদের সুবিধার চেয়ে বেশি বলে মনে হচ্ছে। সম্ভবত গুগল এই বিষয়ে তার অবস্থান পুনর্বিবেচনা করবে।
আক্রমণের জটিলতা সত্ত্বেও, একটি সত্য রয়ে গেছে: সাইবার আক্রমণ যতই বৈধ হোক না কেন, সাইবার অপরাধীরা খুব কমই কোনও চিহ্ন না রেখে কাজ করে। এই আক্রমণের পিছনের কৌশলটি বুঝতে সাহায্য করার জন্য নিক নীচের টুইটার থ্রেডে মূল বিষয়গুলি প্রদান করেছেন।
এই আক্রমণটি স্পষ্ট করে তোলে যে দূষিত ব্যক্তিদের কৌশলের শিকার হওয়া এড়াতে আপনি কখনই খুব বেশি সতর্ক থাকতে পারবেন না। যদিও আপনি একটি মৌলিক নিরাপত্তা পরীক্ষা হিসেবে ইমেল প্রেরকের ডোমেন এবং URL গুলি তাদের ইমেলগুলিতে পরীক্ষা চালিয়ে যেতে পারেন, তবুও আপনাকে প্রাপ্ত ইমেলের সাথে জড়িত সমস্ত ইমেল ঠিকানা সাবধানে পরীক্ষা করতে হবে। এটি করার পরেও, অতিরিক্ত সতর্কতা প্রয়োজন, বিশেষ করে যখন আপনার শংসাপত্রগুলি ইনপুট করার জন্য অনুরোধ করা হয়। আশা করি, Google এই আক্রমণগুলিতে ব্যবহৃত দুর্বলতাগুলি ঠিক করবে যাতে একই কৌশল বা পরিবর্তিত সংস্করণ ব্যবহার করে আরও আক্রমণ প্রতিরোধ করা যায়।
সূত্র: হট হার্ডওয়্যার / ডিগপু নিউজটেক্স