আক্রমণকারীরা একটি ফিশিং প্রচারণায় গুগলের ছদ্মবেশ ধারণ করেছে, বৈধ ইমেল সুরক্ষা স্বাক্ষরগুলি চালাকির সাথে পুনঃব্যবহার করে খাঁটি বলে মনে হয় এমন ইমেলগুলি প্রেরণ করেছে। সুরক্ষা সংস্থা EasyDMARC কীভাবে আক্রমণকারীরা রিপ্লে কৌশল ব্যবহার করে ডোমেনকিস আইডেন্টিফাইড মেইল (DKIM) স্ট্যান্ডার্ডকে কাজে লাগায় তা বিস্তারিতভাবে জানিয়েছে। প্রচারণাটি ব্যবহারকারীদের তাদের গুগল অ্যাকাউন্টগুলি সম্ভাব্যভাবে আপস করার জন্য চাপ দেওয়ার জন্য জাল সমন নোটিশ ব্যবহার করে।
প্রতারণার জন্য OAuth এবং DKIM ব্যবহার করা
প্রতারণার মূল বিষয় হল গুগলের নিজস্ব সিস্টেম, বিশেষ করে এর OAuth অ্যাপ্লিকেশন ফ্রেমওয়ার্ক, ব্যবহার করে আক্রমণকারীর ক্ষতিকারক সামগ্রী ধারণকারী DKIM-স্বাক্ষরিত ইমেল তৈরি করা। গবেষকদের দ্বারা ব্যাখ্যা করা হয়েছে এবং EasyDMARC এর পুনরুত্পাদন প্রচেষ্টার মাধ্যমে নিশ্চিত করা হয়েছে, আক্রমণকারীরা একটি গুগল OAuth অ্যাপ তৈরি করেছে এবং তাদের ফিশিং বার্তা – জাল আইনি সতর্কতা – সরাসরি অ্যাপের নাম ক্ষেত্রে এমবেড করেছে।
যখন এই অ্যাপটিকে অনুমতি দেওয়া হয় (সম্ভাব্যভাবে Namecheap-এর মাধ্যমে নিবন্ধিত এবং Google Workspace-এর মাধ্যমে যাচাইকৃত ডোমেনে আক্রমণকারী-নিয়ন্ত্রিত অ্যাকাউন্ট ব্যবহার করে), তখন Google স্বয়ংক্রিয়ভাবে একটি স্ট্যান্ডার্ড নিরাপত্তা বিজ্ঞপ্তি ইমেল তৈরি করে। বৈধ no-reply@accounts.google.com ঠিকানা থেকে পাঠানো এই বিজ্ঞপ্তিতে অ্যাপের নামের আক্রমণকারী-নির্মিত টেক্সট অন্তর্ভুক্ত ছিল এবং একটি নির্দিষ্ট কী শনাক্তকারী (নির্বাচক `s=`) ব্যবহার করে Google-এর DKIM স্বাক্ষর (`d=accounts.google.com`) ব্যবহার করে সঠিকভাবে স্বাক্ষরিত হয়েছিল।
বৈধভাবে স্বাক্ষরিত এই বিজ্ঞপ্তিটি অস্ত্র হয়ে ওঠে। আক্রমণকারীরা এই ইমেলটি ধরে ফেলে, স্বাক্ষরিত হেডার এবং বডি কন্টেন্ট অপরিবর্তিত থাকে তা নিশ্চিত করে। DKIM যাচাই করার জন্য ডিজাইন করা হয়েছে যে প্রেরকের ডোমেন দ্বারা স্বাক্ষরিত হওয়ার পর থেকে কোনও ইমেলের নির্দিষ্ট অংশে কোনও হস্তক্ষেপ করা হয়নি। এর যাচাইকরণ প্রেরকের ডোমেনের DNS-এ প্রকাশিত একটি পাবলিক কী-এর উপর নির্ভর করে, যা স্বাক্ষর করার জন্য ব্যবহৃত ব্যক্তিগত কী-এর সাথে সম্পর্কিত।
রিলে এবং রিপ্লে এর মাধ্যমে প্রমাণীকরণ বাইপাস করা
এরপর আক্রমণকারীরা সম্পর্কহীন তৃতীয় পক্ষের মেল পরিকাঠামো ব্যবহার করে এই ক্যাপচার করা, স্বাক্ষরিত ইমেলটি পুনরায় পাঠায়। বিশ্লেষণে পরামর্শ দেওয়া হয়েছে যে মাইক্রোসফ্টের Outlook.com এবং Namecheap এর PrivateEmail ফরওয়ার্ডিং পরিষেবা সহ সিস্টেমগুলি চূড়ান্ত লক্ষ্যবস্তুতে বার্তাটি রিলে করার জন্য ব্যবহার করা হয়েছিল।
EasyDMARC Namecheap PrivateEmail এ ফরওয়ার্ডিং নিয়ম সেট আপ করে এটি সফলভাবে পুনরুত্পাদন করেছে, যা মূল Google ইমেল রিলে করার সময় `From:` হেডারটি কাস্টমাইজ করার অনুমতি দেয়। গুরুত্বপূর্ণ উপাদান হল যে মূল, বৈধ Google DKIM স্বাক্ষর এই রিলেগুলির মাধ্যমে পুনরায় চালানো বার্তার সাথে ভ্রমণ করেছিল।
Gmail সহ মেল গ্রহণকারী সিস্টেমগুলি DKIM চেক সম্পাদন করে। যেহেতু পুনরায় চালানো বার্তাটিতে `accounts.google.com` থেকে একটি অস্পর্শিত, বৈধ স্বাক্ষর ছিল, তাই এটি এই যাচাইকরণটি পাস করেছে। এই সফল DKIM পাস, `From:` ঠিকানা ডোমেনের সাথে সংযুক্ত হয়ে, পরবর্তীতে ইমেলটিকে ডোমেন-ভিত্তিক বার্তা প্রমাণীকরণ, প্রতিবেদন এবং কনফর্মেন্স (DMARC) চেক পাস করার অনুমতি দেয়।
DMARC নীতিমালা, যা স্পুফিং প্রতিরোধে সাহায্য করে, প্রায়শই সারিবদ্ধ DKIM বা SPF পাসিংয়ের উপর নির্ভর করে। সিকিউরিটি বুলেভার্ডের মতে, DKIM রিপ্লে কৌশলটি কাজ করে কারণ প্রোটোকল স্বাক্ষরিত বার্তার বিষয়বস্তু নিজেই যাচাই করে, ইমেলটি যে পথটি নিয়েছিল তা অপরিহার্য নয়। সুতরাং, স্পুফ করা ইমেলটি লক্ষ্য ইনবক্সে পৌঁছেছে যা সম্পূর্ণরূপে প্রমাণিত দেখাচ্ছে।
গুগল সাইট বৈধতার স্তর যোগ করে
আক্রমণের চূড়ান্ত ধাপে ব্যবহারকারীদের গুগল সাইট ব্যবহার করে তৈরি একটি ওয়েবপৃষ্ঠায় ইমেল লিঙ্কে ক্লিক করার নির্দেশ দেওয়া হয়েছিল। এই বিনামূল্যের ওয়েবসাইট টুলটি আক্রমণকারীদের `google.com` URL এর অধীনে তাদের শংসাপত্র সংগ্রহের ফর্ম হোস্ট করতে সক্ষম করেছিল, বৈধতার একটি প্রতারণামূলক স্তর যোগ করেছিল। যদিও এটি একটি অফিসিয়াল গুগল লগইন বা সহায়তা পৃষ্ঠা নয়, পরিচিত ডোমেন সম্ভবত ব্যবহারকারীদের সতর্কতা হ্রাস করেছে।
EasyDMARC তার বিশ্লেষণে জোর দিয়ে বলেছে, “কেবলমাত্র ডোমেনটি বৈধ বলে মনে হচ্ছে না যে সামগ্রীটি বৈধ।” এই কৌশলটি অন্যান্য সাম্প্রতিক ফিশিং প্রচারণার প্রতিফলন ঘটায়, যেমন ২০২৫ সালের প্রথম প্রান্তিকে দূষিত SVG ফাইল ব্যবহার করে আক্রমণের বৃদ্ধি, যা নিরাপত্তা ফিল্টার এড়াতে বৈধ ফাইল প্রকারের অপব্যবহার করে।
গুগলের প্রতিক্রিয়া এবং বিস্তৃত প্রেক্ষাপট
যখন OAuth অ্যাপের নামের মাধ্যমে টেক্সট ইনজেক্ট করার সাথে সম্পর্কিত দুর্বলতার বিষয়টি প্রাথমিকভাবে রিপোর্ট করা হয়েছিল, তখন ব্লিপিং কম্পিউটার বলেছে গুগলের প্রথম প্রতিক্রিয়া ইঙ্গিত দেয় যে প্রক্রিয়াটি “যেমনটি উদ্দেশ্য ছিল তেমনই কাজ করছে।”
তবে, জনসাধারণের প্রতিবেদন এবং স্পষ্ট সুরক্ষা প্রভাবের মধ্যে, কোম্পানিটি তার অবস্থান পরিবর্তন করেছে। গুগল নিউজউইককে নিশ্চিত করেছে যে তারা “রকফয়েলস” নামক একটি হুমকির জন্য দায়ী প্রচারণা সম্পর্কে সচেতন ছিল, যা প্রশমন ব্যবস্থা স্থাপন করছিল এবং নির্দিষ্ট OAuth ভেক্টরের জন্য একটি সমাধান তৈরি করছিল।
এটি কোনও প্রধান পরিষেবার বিরুদ্ধে DKIM রিপ্লে ব্যবহারের প্রথম উদাহরণ ছিল না; ব্লিপিং কম্পিউটারও ২০২৫ সালের মার্চ মাসে পেপ্যাল ব্যবহারকারীদের লক্ষ্য করে একই ধরণের পদ্ধতি উল্লেখ করেছিল তার উপহার ঠিকানা বৈশিষ্ট্যের অপব্যবহার করে।
যদিও DKIM-এর নিজস্ব টাইমস্ট্যাম্প (`t=`) এবং মেয়াদ শেষ হওয়ার তারিখ (`x=`) এর মতো প্রক্রিয়া রয়েছে যা একটি স্বাক্ষরের আয়ুষ্কাল সীমিত করার উদ্দেশ্যে তৈরি করা হয়েছে, বিভিন্ন ইমেল সিস্টেমে তাদের সার্বজনীন বাস্তবায়ন এবং প্রয়োগ অসঙ্গতিপূর্ণ। এই আক্রমণটি বিশেষভাবে তুলে ধরেছে যে আক্রমণকারী-নিয়ন্ত্রিত সামগ্রী ধারণকারী স্বাক্ষরিত ইমেল তৈরি করার জন্য কীভাবে সমন্বিত অ্যাপ্লিকেশন ফাংশনগুলিকে কাজে লাগানো যেতে পারে।
সবুজকরণের মতো প্রকৃত আইনি প্রক্রিয়াগুলি কঠোর প্রোটোকল অনুসরণ করে এবং সাধারণত no-reply@accounts.google.com থেকে আসে না। শংসাপত্র বা সংবেদনশীল পদক্ষেপের দাবিতে অপ্রত্যাশিত ইমেল প্রাপ্ত ব্যবহারকারীদের স্পষ্ট ইমেল প্রমাণীকরণ সাফল্য নির্বিশেষে পৃথক, পরিচিত যোগাযোগ চ্যানেলের মাধ্যমে অনুরোধটি যাচাই করা উচিত।
সূত্র: উইনবাজার / ডিগপু নিউজটেক্স