সোশ্যাল ইঞ্জিনিয়ারিং হলো এমন একটি কৌশল, যেখানে আক্রমণকারী কোনো প্রযুক্তিগত দুর্বলতা কাজে না লাগিয়ে বরং মানুষের মনস্তাত্ত্বিক প্রবণতা —
বিশ্বাস, ভয়, কৌতূহল বা তাড়াহুড়ো — কাজে লাগিয়ে টার্গেটকে নিজে থেকেই সংবেদনশীল তথ্য দিতে বা কোনো ক্ষতিকর কাজ করতে প্ররোচিত করে।
সাইবার সিকিউরিটি বিশেষজ্ঞদের একটি সাধারণ পর্যবেক্ষণ হলো,
বিশ্বের সবচেয়ে শক্তিশালী এনক্রিপশনও অকার্যকর হয়ে পড়ে যদি ব্যবহারকারী নিজে থেকেই তার পাসওয়ার্ড বলে দেন
কেন এটি এত কার্যকর ?
গবেষকদের মতে, সোশ্যাল ইঞ্জিনিয়ারিং প্রযুক্তিগত আক্রমণের চেয়ে সস্তা ও সহজ, কারণ এতে জটিল কোনো সফটওয়্যার তৈরির প্রয়োজন হয় না — শুধু মানুষের স্বাভাবিক প্রতিক্রিয়া বোঝা ও কাজে লাগানো প্রয়োজন।
এই কারণেই রাষ্ট্রীয় ও বেসরকারি উভয় ধরনের আক্রমণকারীই এই পদ্ধতিকে প্রথম পছন্দ হিসেবে বেছে নেয়, বিশেষত যখন টার্গেটের প্রযুক্তিগত নিরাপত্তা তুলনামূলক শক্তিশালী থাকে।
পুনঃব্যবহৃত ও দুর্বল পাসওয়ার্ড কীভাবে কাজে লাগে ?
মানুষ সাধারণত একাধিক ওয়েবসাইটে একই পাসওয়ার্ড ব্যবহার করে। যখন কোনো একটি কম গুরুত্বপূর্ণ ওয়েবসাইট (যেমন কোনো ফোরাম বা পুরনো সার্ভিস) ডেটা ব্রিচের শিকার হয়, সেই ফাঁস হওয়া পাসওয়ার্ড ডেটাবেজ ডার্ক ওয়েবে প্রকাশ্যে পাওয়া যায়।
আক্রমণকারীরা এই তালিকা সংগ্রহ করে এবং সেই একই ইমেইল-পাসওয়ার্ড সমন্বয় ফেসবুক বা অন্যান্য জনপ্রিয় প্ল্যাটফর্মে প্রয়োগ করে দেখে — নিরাপত্তা গবেষণায় একে বলা হয় "ক্রেডেনশিয়াল স্টাফিং"।
Netra News-এর অনুসন্ধান অনুযায়ী, DGFI-সংশ্লিষ্ট একটি ইউনিট এই ধরনের দুর্বল বা পুনঃব্যবহৃত পাসওয়ার্ড কাজে লাগানোর কৌশলে সক্রিয় বলে চিহ্নিত হয়েছে।
প্রতারণামূলক বার্তার মাধ্যমে ক্রেডেনশিয়াল আদায়
এই পদ্ধতির মূল নীতি হলো টার্গেটকে এমন একটি জরুরি বা বিশ্বাসযোগ্য পরিস্থিতির মুখোমুখি করানো,
যাতে সে স্বাভাবিক সতর্কতা ভুলে দ্রুত প্রতিক্রিয়া দেখায়।
গবেষকরা সাধারণত এই ধরনের প্রচেষ্টায় কয়েকটি সাধারণ মনস্তাত্ত্বিক কৌশল চিহ্নিত করেছেন — জরুরিতার অনুভূতি তৈরি করা, পরিচিত প্রতিষ্ঠানের ছদ্মবেশ ধারণ করা, এবং কৌতূহল জাগিয়ে তোলা।
Citizen Lab-এর একাধিক গবেষণায়, বিশেষত মধ্যপ্রাচ্য ও দক্ষিণ এশিয়ার সাংবাদিকদের ওপর হওয়া আক্রমণে,
দেখা গেছে রাষ্ট্র-সমর্থিত আক্রমণকারীরা প্রায়ই এমন বার্তা পাঠায় যা টার্গেটের পেশাগত পরিচিতদের কাছ থেকে আসা বলে মনে হয়,
অথবা তার কাজের সঙ্গে প্রাসঙ্গিক কোনো বিষয়ের ওপর ভিত্তি করে তৈরি — যা এই বার্তাগুলোকে স্বাভাবিক ফিশিং প্রচেষ্টার চেয়ে অনেক বেশি বিশ্বাসযোগ্য করে তোলে।
কেন সাংবাদিক ও অ্যাক্টিভিস্টরা বিশেষভাবে ঝুঁকিপূর্ণ ?
Citizen Lab-এর গবেষণায় বারবার উঠে এসেছে, রাষ্ট্র-সমর্থিত আক্রমণকারীরা টার্গেটের সম্পর্কে আগে থেকে বিস্তারিত তথ্য সংগ্রহ করে — তার সহকর্মী, চলমান প্রতিবেদন, বা সাম্প্রতিক ভ্রমণের তথ্য জেনে নিয়ে সেই অনুযায়ী বার্তা সাজায়।
একে "স্পিয়ার ফিশিং" বলা হয়, যা সাধারণ গণহারে পাঠানো ফিশিংয়ের চেয়ে অনেক বেশি কার্যকর, কারণ এটি ব্যক্তিগতভাবে সাজানো এবং তাই সন্দেহজনক মনে হয় না।
সুরক্ষার জন্য যা করণীয় ;
১] এই ঝুঁকি থেকে বাঁচার সবচেয়ে কার্যকর উপায় হলো একটি স্ট্রং পাসওয়ার্ড ব্যবহার করা, যাতে প্রতিটি অ্যাকাউন্টে আলাদা ও শক্তিশালী পাসওয়ার্ড থাকে।
২] এর পাশাপাশি, কোনো বার্তা যতই পরিচিত বা জরুরি মনে হোক না কেন, সন্দেহজনক ফিশিং লিংকে ক্লিক করা থেকে সতর্ক থাকুন
সোর্স ও তথ্যসূত্র
Citizen Lab — রাষ্ট্র-সমর্থিত স্পিয়ার ফিশিং ও সোশ্যাল ইঞ্জিনিয়ারিং গবেষণা
Netra News — DGFI-এর ক্রেডেনশিয়াল-ভিত্তিক অ্যাকাউন্ট হ্যাকিং
Access Now — ডিজিটাল সিকিউরিটি হেল্পলাইন
EFF Surveillance Self-Defense
Freedom House — Freedom on the Net প্রতিবেদন
Amnesty International Security Lab
__________________________
বিশ্বাস, ভয়, কৌতূহল বা তাড়াহুড়ো — কাজে লাগিয়ে টার্গেটকে নিজে থেকেই সংবেদনশীল তথ্য দিতে বা কোনো ক্ষতিকর কাজ করতে প্ররোচিত করে।
সাইবার সিকিউরিটি বিশেষজ্ঞদের একটি সাধারণ পর্যবেক্ষণ হলো,
বিশ্বের সবচেয়ে শক্তিশালী এনক্রিপশনও অকার্যকর হয়ে পড়ে যদি ব্যবহারকারী নিজে থেকেই তার পাসওয়ার্ড বলে দেন
কেন এটি এত কার্যকর ?
গবেষকদের মতে, সোশ্যাল ইঞ্জিনিয়ারিং প্রযুক্তিগত আক্রমণের চেয়ে সস্তা ও সহজ, কারণ এতে জটিল কোনো সফটওয়্যার তৈরির প্রয়োজন হয় না — শুধু মানুষের স্বাভাবিক প্রতিক্রিয়া বোঝা ও কাজে লাগানো প্রয়োজন।
এই কারণেই রাষ্ট্রীয় ও বেসরকারি উভয় ধরনের আক্রমণকারীই এই পদ্ধতিকে প্রথম পছন্দ হিসেবে বেছে নেয়, বিশেষত যখন টার্গেটের প্রযুক্তিগত নিরাপত্তা তুলনামূলক শক্তিশালী থাকে।
পুনঃব্যবহৃত ও দুর্বল পাসওয়ার্ড কীভাবে কাজে লাগে ?
মানুষ সাধারণত একাধিক ওয়েবসাইটে একই পাসওয়ার্ড ব্যবহার করে। যখন কোনো একটি কম গুরুত্বপূর্ণ ওয়েবসাইট (যেমন কোনো ফোরাম বা পুরনো সার্ভিস) ডেটা ব্রিচের শিকার হয়, সেই ফাঁস হওয়া পাসওয়ার্ড ডেটাবেজ ডার্ক ওয়েবে প্রকাশ্যে পাওয়া যায়।
আক্রমণকারীরা এই তালিকা সংগ্রহ করে এবং সেই একই ইমেইল-পাসওয়ার্ড সমন্বয় ফেসবুক বা অন্যান্য জনপ্রিয় প্ল্যাটফর্মে প্রয়োগ করে দেখে — নিরাপত্তা গবেষণায় একে বলা হয় "ক্রেডেনশিয়াল স্টাফিং"।
Netra News-এর অনুসন্ধান অনুযায়ী, DGFI-সংশ্লিষ্ট একটি ইউনিট এই ধরনের দুর্বল বা পুনঃব্যবহৃত পাসওয়ার্ড কাজে লাগানোর কৌশলে সক্রিয় বলে চিহ্নিত হয়েছে।
প্রতারণামূলক বার্তার মাধ্যমে ক্রেডেনশিয়াল আদায়
এই পদ্ধতির মূল নীতি হলো টার্গেটকে এমন একটি জরুরি বা বিশ্বাসযোগ্য পরিস্থিতির মুখোমুখি করানো,
যাতে সে স্বাভাবিক সতর্কতা ভুলে দ্রুত প্রতিক্রিয়া দেখায়।
গবেষকরা সাধারণত এই ধরনের প্রচেষ্টায় কয়েকটি সাধারণ মনস্তাত্ত্বিক কৌশল চিহ্নিত করেছেন — জরুরিতার অনুভূতি তৈরি করা, পরিচিত প্রতিষ্ঠানের ছদ্মবেশ ধারণ করা, এবং কৌতূহল জাগিয়ে তোলা।
Citizen Lab-এর একাধিক গবেষণায়, বিশেষত মধ্যপ্রাচ্য ও দক্ষিণ এশিয়ার সাংবাদিকদের ওপর হওয়া আক্রমণে,
দেখা গেছে রাষ্ট্র-সমর্থিত আক্রমণকারীরা প্রায়ই এমন বার্তা পাঠায় যা টার্গেটের পেশাগত পরিচিতদের কাছ থেকে আসা বলে মনে হয়,
অথবা তার কাজের সঙ্গে প্রাসঙ্গিক কোনো বিষয়ের ওপর ভিত্তি করে তৈরি — যা এই বার্তাগুলোকে স্বাভাবিক ফিশিং প্রচেষ্টার চেয়ে অনেক বেশি বিশ্বাসযোগ্য করে তোলে।
কেন সাংবাদিক ও অ্যাক্টিভিস্টরা বিশেষভাবে ঝুঁকিপূর্ণ ?
Citizen Lab-এর গবেষণায় বারবার উঠে এসেছে, রাষ্ট্র-সমর্থিত আক্রমণকারীরা টার্গেটের সম্পর্কে আগে থেকে বিস্তারিত তথ্য সংগ্রহ করে — তার সহকর্মী, চলমান প্রতিবেদন, বা সাম্প্রতিক ভ্রমণের তথ্য জেনে নিয়ে সেই অনুযায়ী বার্তা সাজায়।
একে "স্পিয়ার ফিশিং" বলা হয়, যা সাধারণ গণহারে পাঠানো ফিশিংয়ের চেয়ে অনেক বেশি কার্যকর, কারণ এটি ব্যক্তিগতভাবে সাজানো এবং তাই সন্দেহজনক মনে হয় না।
সুরক্ষার জন্য যা করণীয় ;
১] এই ঝুঁকি থেকে বাঁচার সবচেয়ে কার্যকর উপায় হলো একটি স্ট্রং পাসওয়ার্ড ব্যবহার করা, যাতে প্রতিটি অ্যাকাউন্টে আলাদা ও শক্তিশালী পাসওয়ার্ড থাকে।
২] এর পাশাপাশি, কোনো বার্তা যতই পরিচিত বা জরুরি মনে হোক না কেন, সন্দেহজনক ফিশিং লিংকে ক্লিক করা থেকে সতর্ক থাকুন
সোর্স ও তথ্যসূত্র
Citizen Lab — রাষ্ট্র-সমর্থিত স্পিয়ার ফিশিং ও সোশ্যাল ইঞ্জিনিয়ারিং গবেষণা
Netra News — DGFI-এর ক্রেডেনশিয়াল-ভিত্তিক অ্যাকাউন্ট হ্যাকিং
Access Now — ডিজিটাল সিকিউরিটি হেল্পলাইন
EFF Surveillance Self-Defense
Freedom House — Freedom on the Net প্রতিবেদন
Amnesty International Security Lab
__________________________