রিয়েল এস্টেট পেশাদারদের বিরুদ্ধে একটি অস্বাভাবিক, লক্ষ্যযুক্ত শংসাপত্র সংগ্রহ অভিযানের অংশ হিসাবে, ফিশিং সার্ভারগুলিতে হাজার হাজার মাইক্রোসফ্ট 365 শংসাপত্রগুলি প্লেইনটেক্সটে সংরক্ষণ করা হয়েছে। এই আক্রমণগুলি ঐতিহ্যগত ব্যবহারকারীর নাম-পাসওয়ার্ডের সংমিশ্রণে উপস্থিত ক্রমবর্ধমান, বিকশিত ঝুঁকি প্রদর্শন করে, গবেষকরা বলছেন, বিশেষত মৌলিক ইমেল সুরক্ষা এড়িয়ে ফিশিং পরিশীলিতভাবে বাড়তে থাকে।
Ironscales-এর গবেষকরা আক্রমণাত্মক আবিষ্কার করেছেন, যেখানে সাইবার আক্রমণকারীরা রিয়েলটি স্পেসে দুটি সুপরিচিত আর্থিক-পরিষেবা বিক্রেতাদের কর্মচারী হিসাবে জাহির করেছিল: ফার্স্ট আমেরিকান ফাইন্যান্সিয়াল কর্পোরেশন, এবং ইউনাইটেড হোলসেল মর্টগেজ। সাইবারক্রুকরা অ্যাকাউন্টগুলি ব্যবহার করে রিয়েলটর, রিয়েল এস্টেট আইনজীবী, টাইটেল এজেন্ট এবং ক্রেতা ও বিক্রেতাদের কাছে ফিশিং ইমেল পাঠাচ্ছে, বিশ্লেষকরা বলেছেন, শংসাপত্রগুলি ক্যাপচার করার জন্য মাইক্রোসফ্ট 365 লগইন পৃষ্ঠাগুলিকে ফাঁকি দেওয়ার প্রয়াসে।
ইমেল সতর্কতা লক্ষ্যমাত্রা যা সংযুক্ত নথিগুলি পর্যালোচনা করা প্রয়োজন বা তাদের একটি সুরক্ষিত সার্ভারে হোস্ট করা নতুন বার্তা রয়েছে, একটি অনুসারে 15 সেপ্টেম্বর পোস্টিং Ironscales থেকে প্রচারে. উভয় ক্ষেত্রেই, এমবেড করা লিঙ্কগুলি সরাসরি প্রাপকদেরকে জাল লগইন পৃষ্ঠাগুলিতে মাইক্রোসফ্ট 365-এ সাইন ইন করতে বলে৷
একবার দূষিত পৃষ্ঠায়, গবেষকরা কার্যধারায় একটি অস্বাভাবিক বাঁক দেখেছেন: আক্রমণকারীরা প্রতিটি ফিশিং সেশন থেকে একাধিক পাসওয়ার্ড টিজ করার চেষ্টা করে শিকারদের সাথে তাদের বেশিরভাগ সময় কাটানোর চেষ্টা করেছিল।
"এই 365টি শংসাপত্র জমা দেওয়ার প্রতিটি প্রচেষ্টা একটি ত্রুটি ফিরিয়ে দিয়েছে এবং ব্যবহারকারীকে আবার চেষ্টা করার জন্য অনুরোধ করেছে," গবেষকদের লেখার মতে৷ "ব্যবহারকারীরা সাধারণত একই শংসাপত্রগুলি কমপক্ষে আরও একবার জমা দিতে পারে আগে তারা অতীতে ব্যবহার করা অন্য পাসওয়ার্ডগুলির বৈচিত্র্যের চেষ্টা করার আগে, অপরাধীদের বিক্রি বা ব্যবহার করার জন্য শংসাপত্রের একটি সোনার খনি প্রদান করে। জনপ্রিয় আর্থিক বা সামাজিক-মিডিয়া অ্যাকাউন্ট অ্যাক্সেস করুন।"
একটি সুচিন্তিত পরিকল্পনার মাধ্যমে শিকারদের লক্ষ্য করার ক্ষেত্রে যে যত্ন নেওয়া হয়েছে তা হল প্রচারণার অন্যতম উল্লেখযোগ্য দিক, আইরনস্কেলসের প্রতিষ্ঠাতা এবং সিইও ইয়াল বেনিষ্টি ডার্ক রিডিংকে বলেছেন।
“এই যাচ্ছে পরে যারা রিয়েল এস্টেটে কাজ করে (রিয়েল এস্টেট এজেন্ট, টাইটেল এজেন্ট, রিয়েল এস্টেট আইনজীবী), একটি ইমেল ফিশিং টেমপ্লেট ব্যবহার করে যা একটি খুব পরিচিত ব্র্যান্ড এবং পরিচিত কল টু অ্যাকশনকে ফাঁকি দেয় ('এই সুরক্ষিত নথিগুলি পর্যালোচনা করুন' বা 'এই সুরক্ষিত বার্তাটি পড়ুন'),” তিনি বলেছেন৷
প্রচারণাটি কতদূর ছড়িয়ে পড়তে পারে তা স্পষ্ট নয়, তবে কোম্পানির তদন্তে দেখা গেছে যে অন্তত হাজার হাজার ফিশ করা হয়েছে।
"মোট সংখ্যা কত লোককে ফিশ করা হয়েছে তা অজানা, আমরা শুধুমাত্র কয়েকটি ঘটনা তদন্ত করেছি যা আমাদের গ্রাহকদের ছেদ করেছে," বেনিষ্টি বলেছেন৷ "কিন্তু আমরা যে ছোট নমুনা বিশ্লেষণ করেছি তা থেকে, 2,000টিরও বেশি জমা দেওয়ার প্রচেষ্টায় 10,000টিরও বেশি অনন্য শংসাপত্রের সেট পাওয়া গেছে (অনেক ব্যবহারকারী একই বা বিকল্প শংসাপত্র একাধিকবার সরবরাহ করেছেন)।"
ক্ষতিগ্রস্থদের ঝুঁকি বেশি: রিয়েল এস্টেট-সম্পর্কিত লেনদেনগুলি প্রায়শই পরিশীলিত জালিয়াতি স্ক্যামের জন্য লক্ষ্য করা হয়, বিশেষ করে লেনদেনগুলি রিয়েল এস্টেট শিরোনাম কোম্পানি জড়িত.
"প্রবণতা এবং পরিসংখ্যানের উপর ভিত্তি করে, এই আক্রমণকারীরা সম্ভবত শংসাপত্রগুলি ব্যবহার করতে চায় যাতে তারা রিয়েল এস্টেট লেনদেনের সাথে সম্পর্কিত ওয়্যার ট্রান্সফারগুলি আটকাতে/প্রত্যক্ষ/পুনঃনির্দেশ করতে সক্ষম হয়," বেনিষ্টির মতে৷
মাইক্রোসফ্ট সেফ লিঙ্কগুলি চাকরিতে পড়ে
এছাড়াও উল্লেখযোগ্য (এবং দুর্ভাগ্যজনক) এই বিশেষ প্রচারাভিযানে, একটি মৌলিক নিরাপত্তা নিয়ন্ত্রণ দৃশ্যত ব্যর্থ হয়েছে।
ফিশিংয়ের প্রাথমিক রাউন্ডে, যে URL টি লক্ষ্য করে ক্লিক করতে বলা হয়েছিল তা নিজেকে লুকানোর চেষ্টা করেনি, গবেষকরা উল্লেখ করেছেন — যখন লিঙ্কটির উপর মাউসিং করা হয়, তখন একটি লাল-পতাকা-নড়ানো URL প্রদর্শিত হয়: “https://phishingsite.com /folde...[dot]shtm।"
যাইহোক, পরবর্তী তরঙ্গগুলি একটি নিরাপদ লিঙ্ক URL-এর পিছনে ঠিকানাটি লুকিয়ে রেখেছিল - মাইক্রোসফ্ট ডিফেন্ডারে পাওয়া একটি বৈশিষ্ট্য যা ক্ষতিকারক লিঙ্কগুলি বাছাই করার জন্য URL স্ক্যান করার কথা। সেফ লিংক বিশেষ নামকরণ ব্যবহার করে একটি ভিন্ন URL দিয়ে লিঙ্কটিকে ওভাররাইট করে, একবার সেই লিঙ্কটি স্ক্যান করা হয় এবং নিরাপদ বলে মনে করা হয়।
এই ক্ষেত্রে, টুলটি কেবলমাত্র আপনার মুখের আসল "এটি একটি ফিশ!" দৃশ্যত পরিদর্শন করা কঠিন করে তুলেছে। লিঙ্ক, এবং বার্তাগুলিকে আরও সহজে অতীতের ইমেল ফিল্টার পেতে অনুমতি দেয়। মাইক্রোসফ্ট মন্তব্যের জন্য একটি অনুরোধের জবাব দেয়নি।
"নিরাপদ লিঙ্কগুলির বেশ কয়েকটি পরিচিত দুর্বলতা রয়েছে এবং নিরাপত্তার একটি মিথ্যা অনুভূতি তৈরি করা এই পরিস্থিতিতে উল্লেখযোগ্য দুর্বলতা," বেনিষ্টি বলেছেন। “নিরাপদ লিঙ্কগুলি আসল লিঙ্কের সাথে সম্পর্কিত কোনও ঝুঁকি বা প্রতারণা সনাক্ত করেনি, তবে লিঙ্কটিকে আবার লিখেছে যেন এটি ছিল। ব্যবহারকারী এবং অনেক নিরাপত্তা পেশাদাররা নিরাপত্তার একটি মিথ্যা ধারণা লাভ করে কারণ একটি নিরাপত্তা নিয়ন্ত্রণ রয়েছে, কিন্তু এই নিয়ন্ত্রণটি মূলত অকার্যকর।"
এছাড়াও উল্লেখ্য: ইউনাইটেড হোলসেল মর্টগেজ ইমেলগুলিতে, বার্তাটিকে "নিরাপদ ইমেল বিজ্ঞপ্তি" হিসাবেও পতাকাঙ্কিত করা হয়েছিল, এতে একটি গোপনীয়তা দাবিত্যাগ অন্তর্ভুক্ত ছিল এবং একটি জাল "প্রুফপয়েন্ট এনক্রিপশন দ্বারা সুরক্ষিত" ব্যানার ছিল৷
প্রুফপয়েন্টে সাইবার সিকিউরিটি কৌশলের নির্বাহী ভাইস প্রেসিডেন্ট রায়ান কালেম্বার বলেছেন যে তার কোম্পানি ব্র্যান্ড-হইজ্যাক হওয়ার জন্য অপরিচিত নয়, যোগ করে যে এর নামের জাল ব্যবহার আসলে একটি পরিচিত সাইবার আক্রমণ কৌশল যা কোম্পানির পণ্যগুলি স্ক্যান করে।
এটি একটি ভাল অনুস্মারক যে ব্যবহারকারীরা একটি বার্তার সত্যতা নির্ধারণের জন্য ব্র্যান্ডিংয়ের উপর নির্ভর করতে পারে না, তিনি নোট করেছেন: "হুমকি অভিনেতারা প্রায়ই তাদের লক্ষ্যগুলিকে তথ্য প্রকাশে প্রলুব্ধ করার জন্য সুপরিচিত ব্র্যান্ড হওয়ার ভান করে," তিনি বলেছেন। "তারা প্রায়শই তাদের ফিশিং ইমেলে বৈধতা যোগ করার জন্য পরিচিত নিরাপত্তা বিক্রেতাদের ছদ্মবেশী করে।"
এমনকি খারাপ ছেলেরাও ভুল করে
এদিকে, চুরি হওয়া শংসাপত্রগুলি থেকে উপকৃত হওয়া কেবল ওজি ফিশাররা নাও হতে পারে।
প্রচারাভিযানের বিশ্লেষণের সময়, গবেষকরা ইমেলগুলির মধ্যে একটি ইউআরএল বেছে নিয়েছেন যা সেখানে থাকা উচিত ছিল না: একটি পথ যা একটি কম্পিউটার ফাইল ডিরেক্টরির দিকে নির্দেশ করে৷ সেই ডিরেক্টরির ভিতরে সাইবার অপরাধীদের অর্জিত লাভ ছিল, অর্থাৎ, সেই নির্দিষ্ট ফিশিং সাইটে জমা দেওয়া প্রতিটি ইমেল এবং পাসওয়ার্ড কম্বো, একটি ক্লিয়ারটেক্সট ফাইলে রাখা যে কেউ অ্যাক্সেস করতে পারে।
"এটি সম্পূর্ণ একটি দুর্ঘটনা ছিল," বেনিষ্টি বলেছেন। "অলচ্ছাকৃত কাজের ফলাফল, বা সম্ভবত অজ্ঞতা যদি তারা অন্য কারো দ্বারা তৈরি করা ফিশিং কিট ব্যবহার করে - কালোবাজারে কেনার জন্য প্রচুর পরিমাণে পাওয়া যায়।"
নকল ওয়েবপেজ সার্ভারগুলি (এবং ক্লিয়ারটেক্সট ফাইলগুলি) দ্রুত বন্ধ বা সরানো হয়েছিল, কিন্তু বেনিষ্টি যেমন উল্লেখ করেছেন, সম্ভবত আক্রমণকারীরা যে ফিশিং কিটটি ব্যবহার করছে সেটি ক্লিয়ারটেক্সট ত্রুটির জন্য দায়ী - যার মানে তারা "তাদের চুরি করা শংসাপত্রগুলি উপলব্ধ করা চালিয়ে যাবে৷ বিশ্বের."
চুরি করা শংসাপত্র, আরও পরিশীলিত জ্বালানী ফিশ উন্মাদনা
ক্যাম্পেইনটি আরও বিস্তৃতভাবে ফিশিং এবং শংসাপত্র সংগ্রহের মহামারীকে পরিপ্রেক্ষিতে রাখে — এবং সামনের দিকে প্রমাণীকরণের জন্য এর অর্থ কী, গবেষকরা নোট করেন।
কিপার সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা ড্যারেন গুসিওন বলেছেন যে ফিশিং এর পরিশীলিত স্তরের পরিপ্রেক্ষিতে বিকশিত হচ্ছে, যা একটি এন্টারপ্রাইজগুলিকে স্পষ্ট সতর্কতা, ঝুঁকির উচ্চ স্তর দেওয়া.
"সব স্তরের খারাপ অভিনেতারা তাদের শিকারকে প্রলুব্ধ করার জন্য বাস্তবসম্মত চেহারার ইমেল টেমপ্লেট এবং দূষিত ওয়েবসাইটগুলির মতো নান্দনিক-ভিত্তিক কৌশলগুলি ব্যবহার করে ফিশিং স্ক্যাম তৈরি করছে, তারপরে প্রমাণপত্র পরিবর্তন করে তাদের অ্যাকাউন্ট দখল করে নেয়, যা বৈধ মালিকের অ্যাক্সেসকে বাধা দেয়," সে ডার্ক রিডিংকে বলে। "একটি বিক্রেতার ছদ্মবেশী আক্রমণে [এটির মতো], যখন সাইবার অপরাধীরা একটি বৈধ ইমেল ঠিকানা থেকে ফিশিং ইমেল পাঠানোর জন্য চুরি করা শংসাপত্র ব্যবহার করে, তখন এই বিপজ্জনক কৌশলটি আরও বেশি বিশ্বাসযোগ্য কারণ ইমেলটি একটি পরিচিত উৎস থেকে এসেছে।"
বেশিরভাগ আধুনিক ফিশগুলি নিরাপদ ইমেল গেটওয়েগুলিকে বাইপাস করতে পারে এবং এমনকি স্পুফ বা বিকৃত করতে পারে দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) বিক্রেতা, বোলস্টারের পণ্য বিপণনের পরিচালক মননিয়া ডেং যোগ করেছেন, যখন সাধারণভাবে সামাজিক প্রকৌশল ক্লাউড, গতিশীলতা এবং দূরবর্তী কাজের সময়ে অসাধারণভাবে কার্যকর।
"যখন প্রত্যেকে আশা করে যে তাদের অনলাইন অভিজ্ঞতা দ্রুত এবং সহজ হবে, তখন মানবিক ত্রুটি অনিবার্য, এবং এই ফিশিং প্রচারণাগুলি আরও চতুর হয়ে উঠছে," সে বলে৷ তিনি যোগ করেছেন যে ফিশিং-সম্পর্কিত আক্রমণের রেকর্ড সংখ্যার জন্য তিনটি ম্যাক্রো-প্রবণতা দায়ী: “ব্যবসায়িক ধারাবাহিকতার জন্য ডিজিটাল প্ল্যাটফর্মে মহামারী-জ্বালানি, স্ক্রিপ্ট কিডিদের ক্রমবর্ধমান বাহিনী যারা সহজেই ফিশিং কিট কিনতে পারে বা এমনকি ফিশিং কিনতে পারে। সাবস্ক্রিপশন পরিষেবা, এবং প্রযুক্তি প্ল্যাটফর্মগুলির আন্তঃনির্ভরতা যা একটি ফিশিং ইমেল থেকে একটি সাপ্লাই চেইন আক্রমণ তৈরি করতে পারে।"
সুতরাং, বাস্তবতা হল যে ডার্ক ওয়েব চুরি করা ব্যবহারকারীর নাম এবং পাসওয়ার্ডের বড় ক্যাশে হোস্ট করে; বড় ডেটা ডাম্পগুলি অস্বাভাবিক নয়, এবং এর ফলে শুধুমাত্র শংসাপত্র-স্টাফিং এবং ব্রুট-ফোর্স অ্যাটাকই নয়, অতিরিক্ত ফিশিং প্রচেষ্টাকেও উৎসাহিত করে।
উদাহরণস্বরূপ, এটা সম্ভব যে হুমকি অভিনেতারা ফিশ পাঠাতে তারা যে ইমেল অ্যাকাউন্ট ব্যবহার করেছিল তা আপস করার জন্য সাম্প্রতিক প্রথম আমেরিকান আর্থিক লঙ্ঘনের তথ্য ব্যবহার করেছে; যে ঘটনা ব্যক্তিগত তথ্য ধারণকারী 800 মিলিয়ন নথি উন্মুক্ত.
"ডেটা লঙ্ঘন বা ফাঁস মানুষের ধারণার চেয়ে দীর্ঘ অর্ধেক জীবন আছে," বেনিষ্টি বলেছেন। "প্রথম আমেরিকান আর্থিক লঙ্ঘন মে 2019 সালে ঘটেছিল, তবে উন্মোচিত ব্যক্তিগত ডেটা কয়েক বছর পরে ব্যবহার করা অস্ত্র হতে পারে।"
এই ব্যস্ত বাজার এবং এর মধ্যে কাজ করে এমন মুনাফাখোরদের ব্যর্থ করতে, পাসওয়ার্ডের বাইরে তাকানোর সময় এসেছে, তিনি যোগ করেন।
"পাসওয়ার্ডের জন্য ক্রমবর্ধমান জটিলতা এবং ঘূর্ণন ফ্রিকোয়েন্সি প্রয়োজন, যার ফলে নিরাপত্তা নষ্ট হয়ে যায়," বেনিষ্টি বলেছেন। "অনেক ব্যবহারকারী জটিল পাসওয়ার্ড তৈরি করার প্রচেষ্টার জন্য নিরাপত্তাহীনতার ঝুঁকি গ্রহণ করেন কারণ সঠিক জিনিসটি করা এত জটিল হয়ে উঠেছে। মাল্টিফ্যাক্টর প্রমাণীকরণ সাহায্য করে, কিন্তু এটি একটি বুলেটপ্রুফ সমাধান নয়। আপনি কে তা যাচাই করার জন্য মৌলিক পরিবর্তন প্রয়োজন যে আপনি বলছেন যে আপনি ডিজিটাল বিশ্বে আছেন এবং আপনার প্রয়োজনীয় সংস্থানগুলিতে অ্যাক্সেস পেতে পারেন।”
ফিশিং সুনামির সাথে কীভাবে লড়াই করবেন
বিস্তৃত পাসওয়ার্ডহীন পদ্ধতির সাথে এখনও একটি পথ বন্ধ, প্রুফপয়েন্টের ক্যালেম্বার বলেছেন যে মৌলিক ব্যবহারকারী-সচেতনতা নীতিগুলি ফিশিংয়ের বিরুদ্ধে লড়াই করার সময় শুরু করার জায়গা।
"লোকেদের সতর্কতার সাথে সমস্ত অযাচিত যোগাযোগের সাথে যোগাযোগ করা উচিত, বিশেষ করে যেগুলি ব্যবহারকারীকে কাজ করার জন্য অনুরোধ করে, যেমন একটি সংযুক্তি ডাউনলোড করা বা খোলা, একটি লিঙ্কে ক্লিক করা, বা ব্যক্তিগত বা আর্থিক তথ্যের মতো শংসাপত্রগুলি প্রকাশ করা," তিনি বলেছেন৷
এছাড়াও, এটি গুরুত্বপূর্ণ যে প্রত্যেকে তাদের ব্যবহার করা প্রতিটি পরিষেবা জুড়ে ভাল পাসওয়ার্ড হাইজিন শিখে এবং অনুশীলন করে, Benishti যোগ করে: “এবং যদি আপনাকে কখনও জানানো হয় যে আপনার তথ্য লঙ্ঘনের সাথে জড়িত থাকতে পারে, তাহলে আপনি যে পরিষেবা ব্যবহার করেন তার জন্য আপনার সমস্ত পাসওয়ার্ড রিসেট করুন। . যদি তা না হয়, অনুপ্রাণিত আক্রমণকারীদের কাছে তারা যা চায় তা পাওয়ার জন্য সমস্ত ধরণের ডেটা এবং অ্যাকাউন্টের সাথে সম্পর্কযুক্ত করার সহজ উপায় রয়েছে।"
উপরন্তু, Ironscales সমস্ত কর্মচারীদের জন্য নিয়মিত ফিশিং সিমুলেশন পরীক্ষার সুপারিশ করে, এবং লাল পতাকাগুলির একটি নিয়ম-অনুষ্ঠান সেটের জন্য আহ্বান করে:
- ব্যবহারকারীরা প্রেরককে ঘনিষ্ঠভাবে দেখে এই ফিশিং আক্রমণটি সনাক্ত করতে পারে
- নিশ্চিত করুন যে পাঠানো ঠিকানাটি ফেরত ঠিকানার সাথে মেলে এবং ঠিকানাটি একটি ডোমেন (ইউআরএল) থেকে এসেছে যা সাধারণত তারা যে ব্যবসার সাথে কাজ করে তার সাথে মেলে।
- খারাপ বানান এবং ব্যাকরণের জন্য দেখুন।
- লিঙ্কগুলির উপর মাউস করুন এবং গন্তব্যের সম্পূর্ণ URL/ঠিকানা দেখুন, এটি অস্বাভাবিক দেখাচ্ছে কিনা তা দেখুন।
- মাইক্রোসফ্ট 365 বা Google Workspace লগইন-এর মতো যে সাইটগুলি আপনাকে তাদের সাথে সম্পর্কিত নয় এমন শংসাপত্রের জন্য জিজ্ঞাসা করে সেগুলি সম্পর্কে সর্বদা খুব সতর্ক থাকুন৷
