সামাজিক প্রকৌশল খুব কমই একটি নতুন ধারণা, এমনকি সাইবার নিরাপত্তার জগতেও। শুধুমাত্র ফিশিং স্ক্যামগুলি প্রায় 30 বছর ধরে চলে আসছে, আক্রমণকারীরা ক্রমাগতভাবে একটি লিঙ্কে ক্লিক করতে, একটি ফাইল ডাউনলোড করতে, বা সংবেদনশীল তথ্য প্রদানের জন্য ক্ষতিগ্রস্তদের প্রলুব্ধ করার নতুন উপায় খুঁজে বের করে৷
ব্যবসায়িক ইমেল সমঝোতা (BEC) আক্রমণগুলি এই ধারণার উপর পুনরাবৃত্তি করে আক্রমণকারী একটি বৈধ ইমেল অ্যাকাউন্টে অ্যাক্সেস লাভ করে এবং এর মালিককে ছদ্মবেশী করে। আক্রমণকারীরা যুক্তি দেয় যে ভুক্তভোগীরা বিশ্বস্ত উত্স থেকে আসা কোনও ইমেল নিয়ে প্রশ্ন করবে না — এবং প্রায়শই, তারা সঠিক।
কিন্তু সাইবার অপরাধীরা সামাজিক প্রকৌশল আক্রমণে জড়িত হওয়ার জন্য ইমেলই একমাত্র কার্যকর উপায় নয়। আধুনিক ব্যবসাগুলি ক্লাউড পরিষেবা এবং ভিপিএন থেকে শুরু করে যোগাযোগের সরঞ্জাম এবং আর্থিক পরিষেবাগুলিতে বিভিন্ন ডিজিটাল অ্যাপ্লিকেশনের উপর নির্ভর করে৷ আরও কি, এই অ্যাপ্লিকেশনগুলি আন্তঃসংযুক্ত, তাই একজন আক্রমণকারী যে একজন আপস করতে পারে সে অন্যকেও আপস করতে পারে। সংস্থাগুলি ফিশিং এবং BEC আক্রমণগুলিতে একচেটিয়াভাবে ফোকাস করার সামর্থ্য রাখে না — যখন ব্যবসায়িক অ্যাপ্লিকেশন আপস (BAC) বৃদ্ধি পাচ্ছে তখন নয়৷
টার্গেটিং একক সাইন-অন
ব্যবসাগুলি ডিজিটাল অ্যাপ্লিকেশন ব্যবহার করে কারণ তারা সহায়ক এবং সুবিধাজনক। দূরবর্তী কাজের যুগে, কর্মীদের বিস্তৃত অবস্থান এবং ডিভাইস থেকে গুরুত্বপূর্ণ সরঞ্জাম এবং সংস্থানগুলিতে অ্যাক্সেসের প্রয়োজন। অ্যাপ্লিকেশনগুলি কর্মপ্রবাহকে স্ট্রিমলাইন করতে পারে, গুরুত্বপূর্ণ তথ্যে অ্যাক্সেস বাড়াতে পারে এবং কর্মীদের জন্য তাদের কাজ করা সহজ করে তুলতে পারে। একটি প্রতিষ্ঠানের মধ্যে একটি পৃথক বিভাগ কয়েক ডজন অ্যাপ্লিকেশন ব্যবহার করতে পারে, যখনগড় কোম্পানি 200 এর বেশি ব্যবহার করে. দুর্ভাগ্যবশত, নিরাপত্তা এবং আইটি বিভাগগুলি সর্বদা জানে না - এই অ্যাপ্লিকেশনগুলিকে অনুমোদন করা যাক - যা তদারকিকে একটি সমস্যা করে তোলে৷
প্রমাণীকরণ আরেকটি সমস্যা। অনন্য ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ তৈরি করা (এবং মনে রাখা) যে কেউ তাদের কাজ করার জন্য কয়েক ডজন বিভিন্ন অ্যাপ ব্যবহার করে তাদের জন্য একটি চ্যালেঞ্জ হতে পারে। একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করা একটি সমাধান, কিন্তু এটি প্রয়োগ করা IT এর পক্ষে কঠিন হতে পারে। পরিবর্তে, অনেক কোম্পানি তাদের প্রমাণীকরণ প্রক্রিয়া স্ট্রিমলাইন করে একক সাইন-অন (SSO) সমাধানের মাধ্যমে, যা কর্মীদের সমস্ত সংযুক্ত অ্যাপ্লিকেশন এবং পরিষেবাগুলিতে অ্যাক্সেসের জন্য একবার অনুমোদিত অ্যাকাউন্টে সাইন ইন করার অনুমতি দেয়৷ কিন্তু যেহেতু SSO পরিষেবাগুলি ব্যবহারকারীদের কয়েক ডজন (বা এমনকি শত শত) ব্যবসায়িক অ্যাপ্লিকেশনগুলিতে সহজে অ্যাক্সেস দেয়, তারা আক্রমণকারীদের জন্য উচ্চ-মূল্যের লক্ষ্য। SSO প্রদানকারীদের অবশ্যই তাদের নিজস্ব নিরাপত্তা বৈশিষ্ট্য এবং ক্ষমতা রয়েছে - কিন্তু মানব ত্রুটি সমাধান করা একটি কঠিন সমস্যা থেকে যায়৷
সামাজিক প্রকৌশল, বিকশিত
অনেক অ্যাপ্লিকেশন - এবং অবশ্যই বেশিরভাগ SSO সমাধানের - মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) আছে। এটি আক্রমণকারীদের জন্য একটি অ্যাকাউন্টের সাথে আপস করা আরও কঠিন করে তোলে, তবে এটি অবশ্যই অসম্ভব নয়। MFA ব্যবহারকারীদের জন্য বিরক্তিকর হতে পারে, যাদের দিনে একাধিকবার অ্যাকাউন্টে সাইন ইন করতে এটি ব্যবহার করতে হতে পারে — যা অধৈর্যতা এবং কখনও কখনও অসাবধানতার দিকে পরিচালিত করে।
কিছু MFA সমাধানের জন্য ব্যবহারকারীকে একটি কোড ইনপুট করতে বা তাদের আঙ্গুলের ছাপ দেখাতে হয়। অন্যরা কেবল জিজ্ঞাসা করে, "এটি কি আপনি?" পরেরটি, ব্যবহারকারীর জন্য সহজ হলেও আক্রমণকারীদের কাজ করার জন্য জায়গা দেয়। একজন আক্রমণকারী যে ইতিমধ্যেই ব্যবহারকারীর শংসাপত্রের একটি সেট পেয়েছে সে একাধিকবার লগ ইন করার চেষ্টা করতে পারে, যদিও অ্যাকাউন্টটি MFA-সুরক্ষিত। MFA প্রমাণীকরণ অনুরোধ সহ ব্যবহারকারীর ফোন স্প্যাম করে, আক্রমণকারীরা শিকারের সতর্কতার ক্লান্তি বাড়ায়. অনেক ভুক্তভোগী, অনুরোধের বন্যা প্রাপ্তির পরে, অনুমান করে যে IT অ্যাকাউন্টটি অ্যাক্সেস করার চেষ্টা করছে বা বিজ্ঞপ্তির বন্যা থামাতে "অনুমোদন" এ ক্লিক করছে। লোকেরা সহজেই বিরক্ত হয় এবং আক্রমণকারীরা তাদের সুবিধার জন্য এটি ব্যবহার করছে।
অনেক উপায়ে, এটি BEC-এর তুলনায় BAC-কে সম্পন্ন করা সহজ করে তোলে। বিএসি-তে জড়িত প্রতিপক্ষদের কেবল তাদের শিকারকে খারাপ সিদ্ধান্ত নেওয়ার জন্য তাড়িত করতে হবে। এবং পরিচয় এবং SSO প্রদানকারীদের লক্ষ্য করে, আক্রমণকারীরা HR এবং বেতন পরিষেবা সহ সম্ভাব্য কয়েক ডজন বিভিন্ন অ্যাপ্লিকেশনে অ্যাক্সেস পেতে পারে। ওয়ার্কডে-এর মতো সাধারণভাবে ব্যবহৃত অ্যাপ্লিকেশনগুলি প্রায়শই SSO ব্যবহার করে অ্যাক্সেস করা হয়, যা আক্রমণকারীদের সরাসরি আমানত এবং বেতনের জালিয়াতির মতো কার্যকলাপে জড়িত হতে দেয় যা সরাসরি তাদের নিজস্ব অ্যাকাউন্টে তহবিল ফানেল করতে পারে।
এই ধরনের ক্রিয়াকলাপ সহজেই অলক্ষিত হতে পারে — এই কারণেই একটি অনুমোদিত ব্যবহারকারীর অ্যাকাউন্ট থেকেও সন্দেহজনক আচরণ সনাক্ত করতে পারে এমন জায়গায় নেটওয়ার্ক সনাক্তকরণ সরঞ্জাম থাকা গুরুত্বপূর্ণ৷ উপরন্তু, ব্যবসার ব্যবহার অগ্রাধিকার দেওয়া উচিত ফিশ-প্রতিরোধী ফাস্ট আইডেন্টিটি অনলাইন (FIDO) নিরাপত্তা কী
এমএফএ ব্যবহার করার সময়। যদি MFA-এর জন্য শুধুমাত্র FIDO-এর কারণগুলি অবাস্তব হয়, তাহলে পরবর্তী সর্বোত্তম জিনিস হল ইমেল, এসএমএস, ভয়েস এবং টাইম-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড (TOTPs) পুশ নোটিফিকেশনের পক্ষে অক্ষম করা, তারপর অ্যাক্সেস সীমাবদ্ধ করতে MFA বা পরিচয় প্রদানকারী নীতিগুলি কনফিগার করুন। নিরাপত্তার একটি অতিরিক্ত স্তর হিসাবে পরিচালিত ডিভাইসগুলিতে।
বিএসি প্রতিরোধকে অগ্রাধিকার দেওয়া
সাম্প্রতিক গবেষণা নির্দেশ করে
যে সমস্ত ঘটনার 51% ক্ষেত্রে BEC বা BAC কৌশল ব্যবহার করা হয়। যদিও BEC এর চেয়ে কম পরিচিত, সফল BAC আক্রমণকারীদের অ্যাকাউন্টের সাথে যুক্ত বিস্তৃত ব্যবসা এবং ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস দেয়। সোশ্যাল ইঞ্জিনিয়ারিং আজকের আক্রমণকারীদের জন্য একটি উচ্চ-রিটার্ন টুল হিসাবে রয়ে গেছে - এটি বন্ধ করার জন্য ডিজাইন করা নিরাপত্তা প্রযুক্তির পাশাপাশি বিকশিত হয়েছে।
আধুনিক ব্যবসায়গুলিকে অবশ্যই তাদের কর্মীদের শিক্ষিত করতে হবে, কীভাবে সম্ভাব্য কেলেঙ্কারির লক্ষণগুলি চিনতে হবে এবং কোথায় রিপোর্ট করতে হবে তা শেখাতে হবে। ব্যবসায়গুলি প্রতি বছর আরও অ্যাপ্লিকেশন ব্যবহার করে, কর্মচারীদের অবশ্যই তাদের নিরাপত্তা দলের সাথে হাতে হাত মিলিয়ে কাজ করতে হবে যাতে সিস্টেমগুলিকে ক্রমবর্ধমান বিভ্রান্তিকর আক্রমণকারীদের থেকে সুরক্ষিত রাখতে সহায়তা করে।
