Facebook 2FA স্ক্যামাররা ফিরে আসে – এইবার মাত্র 21 মিনিটে

আপনি কি কখনো সত্যিই কাকতালীয়ভাবে ফিশিং লিঙ্কে ক্লিক করার কাছাকাছি এসেছেন?

আমরা কয়েকটি চমক পেয়েছি, যেমন কয়েক বছর আগে যখন আমরা একটি ক্লিক এবং সংগ্রহের দোকান থেকে একটি মোবাইল ফোন কিনেছিলাম।

তার আগে বহু বছর ধরে যুক্তরাজ্যের বাইরে বসবাস করার পর, এক দশকেরও বেশি সময় ধরে এই বিশেষ ব্যবসা থেকে আমাদের প্রথম কেনাকাটা ছিল…

…তবুও পরের দিন সকালে আমরা এই দোকান থেকে দাবি করে একটি এসএমএস বার্তা পেয়েছি, আমাদের পরামর্শ দিয়েছিল যে আমরা অতিরিক্ত অর্থ প্রদান করব এবং একটি ফেরত অপেক্ষা করছে।

যুগে যুগে ব্র্যান্ড এক্স-এর সাথে এটিই আমাদের প্রথম মিথস্ক্রিয়াই নয়, এটিই প্রথম এসএমএস (অকৃত্রিম বা অন্যথায়) আমরা কখনও উল্লেখিত ব্র্যান্ড এক্স পেয়েছি।

যে ঘটছে সম্ভাবনা কি?

(তারপর থেকে, আমরা X থেকে আরও কিছু কেনাকাটা করেছি, বিদ্রুপের বিষয় হল যে ফোনগুলি সর্বদা সাইকেল প্রাংগুলিতে ভাল কাজ করে না তা আবিষ্কারের পরে আরেকটি মোবাইল ফোন সহ, এবং আমাদের কাছে এক্সকে লক্ষ্য করে আরও বেশ কয়েকটি এসএমএস স্ক্যাম বার্তা ছিল, কিন্তু তারা এতটা বিশ্বাসযোগ্যভাবে কখনো সারিবদ্ধ হইনি।)

এর পাটিগণিত করা যাক

বিরক্তিকরভাবে, স্ক্যাম-মিট-বাস্তব-জীবনের কাকতালীয় হওয়ার সম্ভাবনা আশ্চর্যজনকভাবে ভাল, যদি আপনি পাটিগণিত করেন।

সর্বোপরি, যুক্তরাজ্যের লটারিতে বিজয়ী সংখ্যা অনুমান করার সুযোগ (6টির মধ্যে 59টি বল) একটি প্রায় সীমাহীনভাবে ক্ষুদ্র 1-in-45-মিলিয়ন, যা সূত্রের মাধ্যমে গণনা করা হয় 59C6 or 59 choose 6, যা হলো 59!/6!(59-6)!, যা হিসাবে আউট আসে 59x56x55x54x53x52/6x5x4x3x2x1 = 45,057,474.

এই জন্য আপনি করেছি কখনো জ্যাকপট জেতেনি...

…যদিও বেশ কয়েকজনের আছে, বহু বছর ধরে এটি চলছে।

একইভাবে, ফিশিং ক্রুকদের লক্ষ্য বা চালাকি করার দরকার নেই আপনি, কিন্তু নিছক চালাকি করার জন্য কেউ, এবং একদিন, হয়তো, শুধু হয়তো, যে কেউ হতে পারে আপনি।

গত রাতে আমাদের এই অদ্ভুত অনুস্মারক ছিল, যখন আমরা সোফায় বসে টেক পাবলিকেশনে একটি নিবন্ধ পড়ছিলাম নিবন্ধনকর্মী প্রায় 2FA স্ক্যামিং।

প্রথম বিস্ময় ছিল যে মুহূর্তে আমরা ভেবেছিলাম, "আরে, আমরা প্রায় দুই সপ্তাহ আগে এরকম কিছু লিখেছিলাম," আমরা অনুচ্ছেদে পৌঁছেছি এল রেজি গল্প যে শুধু শুধু তাই বলে না, কিন্তু সরাসরি লিঙ্ক আমাদের নিজস্ব নিবন্ধে!

যে ঘটছে সম্ভাবনা কি?

অবশ্যই, যে কোন লেখক বলেছেন যে অন্য লোকেরা তাদের কাজ লক্ষ্য করুক বা না করুক তা নিয়ে তারা মাথা ঘামায় না, প্রায় অবশ্যই বিশ্বাসযোগ্য নয়, এবং আমরা স্বীকার করতে প্রস্তুত (আহেম) যে আমরা প্রাসঙ্গিক অনুচ্ছেদের একটি স্ক্রিনশট নিয়েছি এবং এটি ইমেল করেছি। নিজেদের কাছে ("বিশুদ্ধভাবে পিআর ডকুমেন্টেশনের উদ্দেশ্যে" আমরা সিদ্ধান্ত নিয়েছি সেই ব্যাখ্যা)।

এখন এটা আরো অদ্ভুত হয়

এখানে কাকতালীয় ঘটনা আরও অদ্ভুত হয়।

আমাদের ফোন থেকে আমাদের ল্যাপটপে ইমেল পাঠানোর পরে, আমরা আমাদের বাম দিকে দুই মিটারেরও কম দূরে সরে গিয়েছিলাম এবং সংযুক্ত ছবিটি সংরক্ষণ করতে ওই ল্যাপটপের সামনে বসেছিলাম, শুধুমাত্র সেটি খুঁজে পেতে কয়েক সেকেন্ডের মধ্যে আমরা দাঁড়িয়ে ছিলাম...

…খুব একই রকম ক্রুকস যেমন আগে আমাদের আরও একটি ইমেল করেছিল৷ ফেসবুক পেজ 2FA কেলেঙ্কারী, যা আগেরটির সাথে প্রায় অভিন্ন পাঠ্য রয়েছে:

আমরা নিবন্ধটি পড়ার সময় যে পূর্বের কাকতালীয় ঘটনাটি ঘটেছিল তার সাথে মিলিত হয়ে এটি ঘটার সম্ভাবনা কী?

দুঃখজনকভাবে, সাইবার অপরাধীরা যে সহজে নতুন ডোমেইন নাম নিবন্ধন করতে পারে, নতুন সার্ভার সেট আপ করতে পারে এবং বিশ্বজুড়ে লক্ষ লক্ষ ইমেল বিস্ফোরিত করতে পারে…

…সম্ভবত যথেষ্ট বেশি যে এটি আরও আশ্চর্যজনক হবে যদি এই ধরণের সহ-ঘটনা কখনও না ঘটে।

কেলেঙ্কারীতে ছোট পরিবর্তন

মজার বিষয় হল, এই দুর্বৃত্তরা তাদের কেলেঙ্কারীতে সামান্য পরিবর্তন করেছে।

গতবারের মতো, তারা একটি ক্লিকযোগ্য লিঙ্ক সহ একটি HTML ইমেল তৈরি করেছে যা নিজেই একটি URL এর মতো দেখায়, যদিও প্রকৃত URLটি এটির সাথে লিঙ্ক করা পাঠ্যটিতে উপস্থিত ছিল না৷

এইবার, যাইহোক, আপনি যে লিঙ্কটি দেখেছেন যদি আপনি ইমেলের নীল টেক্সটের উপর হোভার করেন ( আসল আপাত একের পরিবর্তে URL টার্গেট) আসলেই হোস্ট করা একটি URL এর লিঙ্ক ছিল facebook.com ডোমেইন.

তাদের ইমেল থেকে সরাসরি তাদের স্ক্যাম সাইটে লিঙ্ক করার পরিবর্তে, এর জাল পাসওয়ার্ড এবং 2FA প্রম্পট সহ, অপরাধীরা তাদের নিজস্ব একটি ফেসবুক পেজের সাথে লিঙ্ক করেছে, এইভাবে তাদের একটি facebook.com ইমেল নিজেই ব্যবহার করার লিঙ্ক:

এই এক-অতিরিক্ত-ক্লিক-অ্যাওয়ে কৌশলটি অপরাধীদের তিনটি ছোট সুবিধা দেয়:

• ইমেল ফিল্টারিং সফ্টওয়্যারে চূড়ান্ত ডজি লিঙ্কটি সরাসরি দৃশ্যমান নয়, এবং যদি আপনি আপনার ইমেল ক্লায়েন্টের লিঙ্কের উপর হোভার করেন তবে পপ আপ হয় না।
• কেলেঙ্কারী লিঙ্কটি আপাত বৈধতা আকর্ষণ করে ফেসবুকে উপস্থিত হওয়া থেকে।
• স্ক্যাম লিঙ্কে ক্লিক করা একরকম কম বিপজ্জনক বোধ করে কারণ আপনি একটি ইমেল থেকে সরাসরি সেখানে যাওয়ার পরিবর্তে আপনার ব্রাউজার থেকে এটি পরিদর্শন করছেন, যা সম্পর্কে আমাদের সবাইকে সতর্ক থাকতে শেখানো হয়েছে।

আমরা বিড়ম্বনা মিস করিনি, কারণ আমরা আশা করি আপনিও করবেন না, আমাদের নিজস্ব Facebook পৃষ্ঠার কথিত নিম্নমানের জন্য আমাদের নিন্দা করার জন্য বিশেষভাবে একটি সম্পূর্ণ ভুয়া ফেসবুক পেজ সেট আপ করা হচ্ছে!

এই মুহুর্তে, কেলেঙ্কারীটি ঠিক একই ওয়ার্কফ্লো অনুসরণ করে যা আমরা গতবার লিখেছিলাম:

প্রথমত, আপনাকে আপনার নাম এবং অন্যান্য যুক্তিসঙ্গত পরিমাণে ব্যক্তিগত তথ্যের জন্য জিজ্ঞাসা করা হয়েছে৷

দ্বিতীয়ত, আপনাকে আপনার Facebook পাসওয়ার্ড দিয়ে আপনার আবেদন নিশ্চিত করতে হবে।

অবশেষে, আপনার পাসওয়ার্ড ব্যবহার করার সময় আপনি যেমন আশা করতে পারেন, আপনাকে আপনার মোবাইল ফোন অ্যাপটি তৈরি করা এক-কালীন 2FA কোড বা SMS এর মাধ্যমে আসতে বলা হবে।

অবশ্যই, আপনি প্রক্রিয়ায় প্রতিটি ডেটা আইটেম সরবরাহ করার সাথে সাথে, দুর্বৃত্তরা রিয়েল টাইমে লগইন করতে ফিশ করা তথ্য ব্যবহার করছে যেন তারা আপনিই, তাই তারা আপনার পরিবর্তে আপনার অ্যাকাউন্টে অ্যাক্সেস পেয়ে যায়।

গতবার, জাল ডোমেইন তৈরির মধ্যে মাত্র ২৮ মিনিট কেটে গেছে যারা জাল ডোমেইন তৈরি করেছে তারা কেলেঙ্কারীতে ব্যবহার করেছিল (লিঙ্কটি তারা ইমেলেই রেখেছিল), যা আমরা ভেবেছিলাম খুব দ্রুত।

এই সময়, এটি মাত্র 21 মিনিট ছিল, যদিও, আমরা যেমন উল্লেখ করেছি, জাল ডোমেনটি সরাসরি আমাদের প্রাপ্ত বোগাস ইমেলে ব্যবহার করা হয়নি, বরং এটি একটি অনলাইন ওয়েব পৃষ্ঠায় হোস্ট করা হয়েছে, হাস্যকরভাবে যথেষ্ট, একটি পৃষ্ঠা হিসাবে facebook.com নিজেই।

আমরা এটি খুঁজে পাওয়ার সাথে সাথে ফেসবুকে বোগাস পেজটি রিপোর্ট করেছি; ভাল খবর হল যে এটি এখন অফলাইনে ছিটকে গেছে, এইভাবে স্ক্যাম ইমেল এবং জাল Facebook ডোমেনের মধ্যে সংযোগ বিচ্ছিন্ন করা হয়েছে:

কি করো?

এই ধরনের কেলেঙ্কারীতে পড়বেন না।

• সামাজিক মিডিয়া সাইটগুলিতে অফিসিয়াল "আবেদন" পৃষ্ঠাগুলিতে পৌঁছানোর জন্য ইমেলের লিঙ্কগুলি ব্যবহার করবেন না৷ নিজে কোথায় যেতে হবে তা শিখুন, এবং একটি স্থানীয় রেকর্ড রাখুন (কাগজে বা আপনার বুকমার্কে), যাতে আপনাকে কখনই ইমেল ওয়েব লিঙ্কগুলি ব্যবহার করতে হবে না, সেগুলি আসল হোক বা না হোক৷
• সাবধানে ইমেল URL চেক করুন. টেক্সট সহ একটি লিঙ্ক যা নিজেই একটি URL এর মত দেখায় সেটি অগত্যা সেই URL নয় যে লিঙ্কটি আপনাকে নির্দেশ করে৷ সত্যিকারের গন্তব্যের লিঙ্কটি খুঁজে পেতে, আপনার মাউস দিয়ে লিঙ্কটির উপর হোভার করুন (বা আপনার মোবাইল ফোনে লিঙ্কটি স্পর্শ করুন এবং ধরে রাখুন)।
• অনুমান করবেন না যে একটি সুপরিচিত ডোমেনের সাথে সমস্ত ইন্টারনেট ঠিকানা একরকম নিরাপদ। ডোমেইন যেমন facebook.com, outlook.com or play.google.com বৈধ পরিষেবাগুলি, কিন্তু যারা এই পরিষেবাগুলি ব্যবহার করে তাদের প্রত্যেককে বিশ্বাস করা যায় না৷ একটি ওয়েবমেইল সার্ভারে স্বতন্ত্র ইমেল অ্যাকাউন্ট, একটি সোশ্যাল মিডিয়া প্ল্যাটফর্মের পৃষ্ঠাগুলি, বা একটি অনলাইন সফ্টওয়্যার স্টোরের অ্যাপগুলি বিশ্বস্ত ডোমেন নাম সহ প্ল্যাটফর্ম দ্বারা হোস্ট করা হয়৷ কিন্তু স্বতন্ত্র ব্যবহারকারীদের দ্বারা সরবরাহ করা সামগ্রীটি সেই প্ল্যাটফর্মের দ্বারা তৈরি বা বিশেষভাবে দৃঢ়ভাবে যাচাই করা হয় না (প্ল্যাটফর্মটি যতই স্বয়ংক্রিয় যাচাইকরণ দাবি করে না কেন)।
• ওয়েবসাইট ডোমেইন নাম সাবধানে পরীক্ষা করুন. প্রতিটি অক্ষর গুরুত্বপূর্ণ, এবং যেকোনো সার্ভারের নামের ব্যবসায়িক অংশটি শেষে থাকে (ইউরোপীয় ভাষায় ডানদিকের দিক যা বাম থেকে ডানে যায়), শুরুতে নয়। আমি ডোমেইন মালিক হলে dodgy.example তারপর আমি শুরুতে আমার পছন্দের যেকোনো ব্র্যান্ড নাম রাখতে পারি, যেমন visa.dodgy.example or whitehouse.gov.dodgy.example. এগুলি কেবল আমার প্রতারণামূলক ডোমেনের সাবডোমেন, এবং অন্য যে কোনও অংশের মতো অবিশ্বাস্য dodgy.example.
• যদি আপনার মোবাইল ফোনে ডোমেইন নামটি স্পষ্টভাবে দৃশ্যমান না হয়, আপনি একটি নিয়মিত ডেস্কটপ ব্রাউজার ব্যবহার না করা পর্যন্ত অপেক্ষা করার কথা বিবেচনা করুন, যেটিতে সাধারণত একটি URL এর প্রকৃত অবস্থান প্রকাশ করার জন্য অনেক বেশি স্ক্রীন স্পেস থাকে।
• একটি পাসওয়ার্ড ম্যানেজার বিবেচনা করুন. পাসওয়ার্ড পরিচালকরা ব্যবহারকারীর নাম এবং লগইন পাসওয়ার্ডগুলি নির্দিষ্ট পরিষেবা এবং URL এর সাথে সংযুক্ত করে। আপনি যদি একটি প্রতারণাকারী সাইটে শেষ করেন, তা যতই বিশ্বাসযোগ্য মনে হোক না কেন, আপনার পাসওয়ার্ড ম্যানেজারকে প্রতারিত করা হবে না কারণ এটি সাইটটিকে তার URL দ্বারা চিনতে পারে, তার চেহারা দ্বারা নয়৷
• আপনার 2FA কোড লাগাতে তাড়াহুড়ো করবেন না। আপনার কর্মপ্রবাহে ব্যাঘাত ব্যবহার করুন (যেমন কোড জেনারেটর অ্যাপ অ্যাক্সেস করার জন্য আপনাকে আপনার ফোন আনলক করতে হবে) একটি কারণ হিসাবে সেই URLটি দ্বিতীয়বার চেক করার জন্য, শুধুমাত্র নিশ্চিত হওয়ার জন্য।
• ফেসবুকে স্ক্যাম পেজ রিপোর্ট করার কথা বিবেচনা করুন। বিরক্তিকরভাবে, এটি করার জন্য আপনার নিজের একটি Facebook অ্যাকাউন্ট থাকতে হবে (অ-ফেসবুক ব্যবহারকারীরা বৃহত্তর সম্প্রদায়কে সাহায্য করার জন্য প্রতিবেদন জমা দিতে অক্ষম, যা দুঃখের বিষয়), অথবা এমন একজন বন্ধু থাকতে হবে যিনি আপনার জন্য প্রতিবেদন পাঠাবেন। . কিন্তু এই ক্ষেত্রে আমাদের অভিজ্ঞতা ছিল যে রিপোর্ট করা কাজ করেছে, কারণ Facebook শীঘ্রই আপত্তিকর পৃষ্ঠায় অ্যাক্সেস ব্লক করে দিয়েছে।

মনে রাখবেন, যখন ব্যক্তিগত ডেটার কথা আসে, বিশেষ করে পাসওয়ার্ড এবং 2FA কোড...

...যদি সন্দেহ হয়/এটা দেবেন না.

---