কীভাবে সোশ্যাল মিডিয়া স্ক্যামাররা আপনার 2FA কোড চুরি করার জন্য সময় নেয়

ফিশিং স্ক্যাম যা আপনাকে আপনার আসল পাসওয়ার্ড একটি জাল সাইটে রাখার জন্য প্রতারণা করার চেষ্টা করে তা কয়েক দশক ধরে চলে আসছে।

নিয়মিত নেকেড সিকিউরিটি পাঠকরা যেমন জানতে পারবেন, সতর্কতা যেমন পাসওয়ার্ড ম্যানেজার ব্যবহার করা এবং টু-ফ্যাক্টর অথেন্টিকেশন (2FA) চালু করা আপনাকে ফিশিং দুর্ঘটনা থেকে রক্ষা করতে সাহায্য করতে পারে, কারণ:

• পাসওয়ার্ড পরিচালকরা নির্দিষ্ট ওয়েব পৃষ্ঠাগুলির সাথে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংযুক্ত করে। এটি পাসওয়ার্ড ম্যানেজারদের পক্ষে ভুল করে জাল ওয়েবসাইটের কাছে আপনার সাথে বিশ্বাসঘাতকতা করা কঠিন করে তোলে, কারণ তারা যদি এমন কোনও ওয়েবসাইটের মুখোমুখি হয় যা তারা আগে কখনও দেখেনি তবে তারা স্বয়ংক্রিয়ভাবে আপনার জন্য কিছু রাখতে পারে না। এমনকি যদি নকল সাইটটি আসলটির একটি পিক্সেল-নিখুঁত অনুলিপি হয়, এমন একটি সার্ভারের নাম যা মানুষের চোখে প্রায় অস্পষ্ট হতে পারে, পাসওয়ার্ড ম্যানেজারকে প্রতারিত করা হবে না কারণ এটি সাধারণত ইউআরএল, পুরো ইউআরএলের সন্ধান করে। , এবং URL ছাড়া আর কিছুই নয়।
• 2FA চালু থাকলে, আপনার একা পাসওয়ার্ড সাধারণত লগ ইন করার জন্য যথেষ্ট নয়। 2FA সিস্টেম দ্বারা ব্যবহৃত কোডগুলি সাধারণত একবারই কাজ করে, সেগুলি আপনার ফোনে SMS এর মাধ্যমে পাঠানো হোক না কেন, মোবাইল অ্যাপ দ্বারা তৈরি করা হোক বা আপনার কম্পিউটার থেকে আলাদাভাবে বহন করা একটি সুরক্ষিত হার্ডওয়্যার ডঙ্গল বা কীফব দ্বারা গণনা করা হোক না কেন। শুধুমাত্র আপনার পাসওয়ার্ড জানা (বা চুরি করা, কেনা বা অনুমান করা) সাইবার অপরাধীর পক্ষে মিথ্যাভাবে "প্রমাণ" করার জন্য যথেষ্ট নয়।

দুর্ভাগ্যবশত, এই সতর্কতাগুলি আপনাকে ফিশিং আক্রমণের বিরুদ্ধে সম্পূর্ণরূপে প্রতিরোধ করতে পারে না, এবং একই আক্রমণের অংশ হিসাবে, সাইবার অপরাধীরা নির্দোষ ব্যবহারকারীদের একই সময়ে তাদের পাসওয়ার্ড এবং তাদের 2FA কোড দুটি হস্তান্তর করার জন্য প্রতারণা করার জন্য আরও ভাল হচ্ছে...

…যে সময়ে দুর্বৃত্তরা অবিলম্বে ব্যবহারকারীর নাম + পাসওয়ার্ড + ওয়ান-টাইম কোডের সংমিশ্রণ ব্যবহার করার চেষ্টা করে, তারা এইমাত্র ধরে ফেলেছে, আপনার অ্যাকাউন্টে প্রবেশ করার জন্য যথেষ্ট দ্রুত লগ ইন করার আশায় আপনি বুঝতে পারছেন যে সেখানে কিছু ঘটছে।

এর চেয়েও খারাপ, বদমাশরা প্রায়শই এমন কিছু তৈরি করার লক্ষ্য রাখে যাকে আমরা "সফট ডিসমাউন্ট" বলতে চাই, যার অর্থ তারা তাদের ফিশিং অভিযানের জন্য একটি বিশ্বাসযোগ্য চাক্ষুষ উপসংহার তৈরি করে।

এটি প্রায়শই দেখে মনে হয় যে আপনি আপনার পাসওয়ার্ড এবং 2FA কোড (যেমন একটি অভিযোগ প্রতিদ্বন্দ্বিতা করা বা একটি অর্ডার বাতিল করা) প্রবেশ করে "অনুমোদিত" কার্যকলাপটি সঠিকভাবে সম্পন্ন করেছে, এবং তাই আপনার পক্ষ থেকে আর কোনো পদক্ষেপের প্রয়োজন নেই।

এইভাবে আক্রমণকারীরা শুধুমাত্র আপনার অ্যাকাউন্টে প্রবেশ করে না, তবে আপনার অ্যাকাউন্টটি সত্যিই হাইজ্যাক করা হয়েছে কিনা তা দেখার জন্য আপনাকে সন্দেহজনক এবং অনুসরণ করার সম্ভাবনা নেই বলে মনে করে।

ছোট কিন্তু ঘোরা রাস্তা

এখানে আমরা সম্প্রতি পেয়েছি একটি Facebook কেলেঙ্কারি যা আপনাকে ঠিক সেই পথে নিয়ে যাওয়ার চেষ্টা করে, প্রতিটি পর্যায়ে বিশ্বাসযোগ্যতার বিভিন্ন স্তরের সাথে।

স্ক্যামাররা:

• ভান করুন যে আপনার নিজের Facebook পৃষ্ঠাটি Facebook-এর ব্যবহারের শর্তাবলী লঙ্ঘন করে৷ দুর্বৃত্তরা সতর্ক করে যে এটি আপনার অ্যাকাউন্ট বন্ধ হয়ে যেতে পারে। আপনি জানেন যে, বর্তমানে টুইটারে এবং তার আশেপাশে ছড়িয়ে পড়া ব্রোহাহা অ্যাকাউন্ট যাচাইকরণ, সাসপেনশন এবং পুনঃস্থাপনের মতো সমস্যাগুলিকে গোলমাল বিতর্কে পরিণত করেছে। ফলস্বরূপ, সোশ্যাল মিডিয়া ব্যবহারকারীরা সাধারণভাবে তাদের অ্যাকাউন্টগুলিকে সুরক্ষিত করার বিষয়ে বোধগম্যভাবে উদ্বিগ্ন, তারা টুইটার সম্পর্কে বিশেষভাবে চিন্তিত হোক বা না হোক:
  

• একটি সঙ্গে একটি বাস্তব পাতা আপনি প্রলুব্ধ facebook.com URL টি। অ্যাকাউন্টটি জাল, এই বিশেষ কেলেঙ্কারী প্রচারের জন্য সম্পূর্ণরূপে সেট আপ করা হয়েছে, কিন্তু আপনি যে ইমেলটি পান তাতে যে লিঙ্কটি দেখায় তা প্রকৃতপক্ষে নেতৃত্ব দেয় facebook.com, এটি আপনার কাছ থেকে বা আপনার স্প্যাম ফিল্টার থেকে সন্দেহ আকর্ষণ করার সম্ভাবনা কম করে তোলে। দুর্বৃত্তরা তাদের পাতার শিরোনাম করেছে ইন্টেলেকচুয়াল প্রপার্টি (কপিরাইট অভিযোগগুলি আজকাল খুব সাধারণ), এবং বৈধতার স্পর্শ যোগ করার জন্য Facebook-এর মূল সংস্থা Meta-এর অফিসিয়াল লোগো ব্যবহার করেছে:
  

  

• বাতিলের বিরুদ্ধে আপিল করতে Facebook-এর সাথে যোগাযোগ করার জন্য আপনাকে একটি URL প্রদান করুন৷ উপরের URL এর মধ্যে শেষ হয় না facebook.com, কিন্তু এটি পাঠ্য দিয়ে শুরু হয় যা এটিকে ফর্মের একটি ব্যক্তিগতকৃত লিঙ্কের মতো দেখায়৷ facebook-help-nnnnnn, যেখানে দুর্বৃত্তরা দাবি করে যে সংখ্যাগুলি nnnnnn একটি অনন্য শনাক্তকারী যা আপনার নির্দিষ্ট ক্ষেত্রে নির্দেশ করে:
  

  

• আপনার Facebook উপস্থিতি সম্পর্কে ব্যাপকভাবে নির্দোষ-শব্দযুক্ত ডেটা সংগ্রহ করুন। এমনকি জন্য একটি ঐচ্ছিক ক্ষেত্র আছে অতিরিক্ত তথ্য যেখানে আপনি আপনার মামলার তর্ক করার জন্য আমন্ত্রিত। (উপরের ছবিটি দেখুন।)

এখন নিজেকে "প্রমাণ" করুন

এই মুহুর্তে, আপনাকে কিছু প্রমাণ প্রদান করতে হবে যে আপনি প্রকৃতপক্ষে অ্যাকাউন্টের মালিক, তাই বদমাশরা আপনাকে বলে:

• আপনার পাসওয়ার্ড দিয়ে প্রমাণীকরণ করুন। আপনি যে সাইটে আছেন তাতে টেক্সট আছে facebook-help-nnnnnnn ঠিকানা বারে; এটি HTTPS ব্যবহার করে (নিরাপদ HTTP, অর্থাৎ একটি প্যাডলক দেখাচ্ছে); এবং ব্র্যান্ডিং এটিকে Facebook এর নিজস্ব পৃষ্ঠাগুলির মতো দেখায়:
  

  

• আপনার পাসওয়ার্ডের সাথে যেতে 2FA কোড প্রদান করুন। এখানকার ডায়ালগটি Facebook-এর দ্বারা ব্যবহৃত ডায়ালগটির মতোই, যার সাথে ফেসবুকের নিজস্ব ইউজার ইন্টারফেস থেকে সরাসরি কপি করা হয়েছে। এখানে আপনি নকল ডায়ালগ (শীর্ষ) এবং আসলটি দেখতে পাবেন যা Facebook নিজেই (নীচে) প্রদর্শন করবে:
  

  

  

• "অ্যাকাউন্ট ব্লক" স্বয়ংক্রিয়ভাবে সরানো হতে পারে এই আশায় পাঁচ মিনিট পর্যন্ত অপেক্ষা করুন৷ দুর্বৃত্তরা এখানে উভয় প্রান্তই খেলে, সম্ভাব্য তাৎক্ষণিক রেজোলিউশনে বাধা না দেওয়ার জন্য আপনাকে একা ছেড়ে যাওয়ার জন্য আমন্ত্রণ জানিয়ে এবং আরও তথ্যের অনুরোধ করা হলে আপনাকে পাশে থাকার পরামর্শ দেয়:

আপনি দেখতে পাচ্ছেন, যে কেউ এই কেলেঙ্কারীতে প্রথম স্থানে চুষে গেছে তার সম্ভাব্য ফলাফল হল যে তারা বদমাশদের পুরো পাঁচ মিনিটের উইন্ডো দেবে যার সময় আক্রমণকারীরা তাদের অ্যাকাউন্টে লগ ইন করে এটি দখল করার চেষ্টা করতে পারে।

অপরাধীরা তাদের বোবি-ট্র্যাপড সাইটে ব্যবহার করা জাভাস্ক্রিপ্ট এমনকি এমন একটি বার্তা ধারণ করে বলে মনে হচ্ছে যা ভিকটিমদের পাসওয়ার্ড সঠিকভাবে কাজ করলে ট্রিগার করা যেতে পারে কিন্তু তারা যে 2FA কোড সরবরাহ করেছে তা নয়:

   আপনি যে লগইন কোডটি লিখেছেন সেটি আপনার ফোনে পাঠানোর সাথে মেলে না। সংখ্যা পরীক্ষা করে আবার চেষ্টা করুন।

কেলেঙ্কারির শেষটি সম্ভবত সবচেয়ে কম বিশ্বাসযোগ্য অংশ, কিন্তু তা সত্ত্বেও এটি আপনাকে স্বয়ংক্রিয়ভাবে প্রতারণামূলক সাইট থেকে সরিয়ে দেয় এবং আপনাকে সম্পূর্ণ সত্যিকারের কোথাও ফিরিয়ে আনতে সাহায্য করে, যেমন Facebook-এর অফিসিয়াল সাহায্য কেন্দ্র:

কি করো?

এমনকি আপনি যদি বিশেষভাবে গুরুতর সোশ্যাল মিডিয়া ব্যবহারকারী না হন, এবং এমনকি যদি আপনি এমন ছদ্মনামে কাজ করেন যা স্পষ্টতই এবং সর্বজনীনভাবে আপনার বাস্তব জীবনের পরিচয়ের সাথে লিঙ্ক না করে, আপনার অনলাইন অ্যাকাউন্ট তিনটি প্রধান কারণে সাইবার অপরাধীদের কাছে মূল্যবান:

• আপনার সোশ্যাল মিডিয়া অ্যাকাউন্টগুলিতে সম্পূর্ণ অ্যাক্সেস আপনার প্রোফাইলের ব্যক্তিগত দিকগুলিতে দুর্বৃত্তদের অ্যাক্সেস দিতে পারে। তারা ডার্ক ওয়েবে এই তথ্য বিক্রি করুক বা নিজে অপব্যবহার করুক না কেন, এর আপস আপনার পরিচয় চুরির ঝুঁকি বাড়িয়ে দিতে পারে।
• আপনার অ্যাকাউন্টের মাধ্যমে পোস্ট করার ক্ষমতা আপনার ভালো নামের অধীনে ভুল তথ্য এবং জাল খবর চালাতে দেয়। আপনি শেষ পর্যন্ত প্ল্যাটফর্ম থেকে বের হয়ে যেতে পারেন, আপনার অ্যাকাউন্ট লক আউট করতে পারেন, বা জনসাধারণের সমস্যায় পড়তে পারেন, যদি না আপনি দেখাতে পারেন যে আপনার অ্যাকাউন্টটি ভেঙে গেছে।
• আপনার নির্বাচিত পরিচিতিগুলিতে অ্যাক্সেসের অর্থ হল দুর্বৃত্তরা আক্রমণাত্মকভাবে আপনার বন্ধু এবং পরিবারকে লক্ষ্য করতে পারে৷ আপনার নিজের পরিচিতিগুলি শুধুমাত্র আপনার অ্যাকাউন্ট থেকে আসা বার্তাগুলি দেখার সম্ভাবনা বেশি নয়, তবে সেগুলিকে গুরুত্ব সহকারে দেখার সম্ভাবনাও বেশি৷

সহজ কথায়, আপনার সোশ্যাল মিডিয়া অ্যাকাউন্টে সাইবার অপরাধীদের প্রবেশ করতে দিয়ে, আপনি শেষ পর্যন্ত শুধু নিজেকেই নয় আপনার বন্ধুবান্ধব এবং পরিবারকে, এমনকি প্ল্যাটফর্মের অন্য সকলকেও ঝুঁকির মধ্যে ফেলেছেন।

কি করো?

এখানে তিনটি দ্রুত-ফায়ার টিপস রয়েছে:

• টিপ 1. আপনি যে সামাজিক নেটওয়ার্কগুলি ব্যবহার করেন তার অফিসিয়াল "আপনার অ্যাকাউন্ট আনলক করুন" এবং "কিভাবে মেধা সম্পত্তি চ্যালেঞ্জ মোকাবেলা করবেন" পৃষ্ঠাগুলির একটি রেকর্ড রাখুন৷ এইভাবে, ভবিষ্যতে সেখানে আপনার পথ খুঁজে পেতে আপনাকে ইমেলের মাধ্যমে পাঠানো লিঙ্কগুলির উপর নির্ভর করতে হবে না। আক্রমণকারীদের দ্বারা ব্যবহৃত সাধারণ কৌশলগুলির মধ্যে রয়েছে কপিরাইট লঙ্ঘন; নিয়ম ও শর্তাবলীর লঙ্ঘন (যেমন এই ক্ষেত্রে); প্রতারণামূলক লগইনগুলির ভুয়া দাবিগুলি আপনাকে পর্যালোচনা করতে হবে; এবং আপনার অ্যাকাউন্টের সাথে অন্যান্য জাল "সমস্যা"। এই কেলেঙ্কারীতে দাবি করা 24-ঘন্টার সীমার মতো, কেবল ক্লিক করে সময় বাঁচানোর জন্য আরও উত্সাহ হিসাবে, দুর্বৃত্তরা প্রায়শই কিছু সময়ের চাপ অন্তর্ভুক্ত করে।
• টিপ 2. এই সত্য দ্বারা প্রতারিত হবেন না যে "ক্লিক-টু-যোগাযোগ" লিঙ্কগুলি বৈধ সাইটগুলিতে হোস্ট করা হয়েছে৷ এই কেলেঙ্কারীতে, প্রাথমিক যোগাযোগের পৃষ্ঠাটি Facebook দ্বারা হোস্ট করা হয়েছে, কিন্তু এটি একটি প্রতারণামূলক অ্যাকাউন্ট, এবং ফিশিং পৃষ্ঠাগুলি হোস্ট করা হয়েছে, Google এর মাধ্যমে একটি বৈধ HTTPS শংসাপত্র সহ সম্পূর্ণ, কিন্তু যে সামগ্রীটি পরিবেশন করা হয়েছে তা জাল৷ আজকাল, কন্টেন্ট হোস্টিং কোম্পানি কদাচিৎ ব্যক্তিরা এটি তৈরি এবং পোস্ট করে।
• টিপ 3. যদি সন্দেহ হয়, তাহলে তা জানাবেন না। একটি লেনদেন দ্রুত সম্পন্ন করার জন্য ঝুঁকি নেওয়ার জন্য কখনই চাপ অনুভব করবেন না কারণ আপনি সময় নিলে ফলাফলের ভয় পান বন্ধ করা, থেকে মনে, এবং শুধুমাত্র তারপর সংযোগ করা. আপনি যদি নিশ্চিত না হন, তাহলে এমন কাউকে জিজ্ঞাসা করুন যাকে আপনি চেনেন এবং বাস্তব জীবনে বিশ্বাস করেন পরামর্শের জন্য, যাতে আপনি বিশ্বাস করতে পারেন না এমন বার্তার প্রেরককে বিশ্বাস করতে পারবেন না। (এবং উপরে টিপ 1 দেখুন।)

মনে রাখবেন, এই সপ্তাহান্তে ব্ল্যাক ফ্রাইডে এবং সাইবার সোমবার আসছে, আপনি সম্ভবত প্রচুর সত্যিকারের অফার পাবেন, প্রচুর প্রতারণামূলক অফার পাবেন এবং বছরের এই সময়ের জন্য বিশেষভাবে কীভাবে আপনার সাইবার নিরাপত্তা উন্নত করবেন সে সম্পর্কে যেকোন সংখ্যক ভাল সতর্কবার্তা পাবেন...

…কিন্তু অনুগ্রহ করে মনে রাখবেন যে সাইবার সিকিউরিটি এমন একটি বিষয় যা সারা বছর গুরুত্ব সহকারে নেওয়া উচিত: গতকাল শুরু করুন, আজ এটি করুন এবং আগামীকাল এটি চালিয়ে যান!

---