গুগলের AppSheet প্ল্যাটফর্ম ব্যবহার করে সাইবার অপরাধীরা প্রায় ৩০ হাজার Facebook অ্যাকাউন্ট হ্যাক করেছে বলে জানিয়েছে Guardio। ‘অ্যাকাউন্টডাম্পলিং’ নামে নতুন এই কৌশলের মাধ্যমে ভিয়েতনামভিত্তিক একটি চক্র দীর্ঘদিন ধরে পরিকল্পিতভাবে এই আক্রমণ চালিয়ে আসছে এবং হ্যাক করা অ্যাকাউন্টগুলো অবৈধভাবে অনলাইনে বিক্রি করছে।
গার্ডিওর নিরাপত্তা গবেষক Shaked Chen বলেন, এটি কোনো এককালীন ফিশিং নয়; বরং ধারাবাহিকভাবে পরিচালিত একটি উন্নত সাইবার অপরাধ কার্যক্রম, যেখানে রিয়েল-টাইম অপারেটর প্যানেল ও সংগঠিত বাণিজ্যিক কাঠামো ব্যবহৃত হচ্ছে।
বিশ্লেষকদের মতে, সাম্প্রতিক সময়ে ফেসবুক অ্যাকাউন্ট দখল করে তা বিক্রির প্রবণতা বেড়েছে। বিশেষ করে যেসব অ্যাকাউন্টের সঙ্গে ব্যবসায়িক কার্যক্রম বা বিজ্ঞাপন ব্যবস্থাপনার ইতিহাস রয়েছে, সেগুলোর চাহিদা অবৈধ বাজারে বেশি।
এই সাইবার আক্রমণের সূচনা হয় লক্ষ্যভিত্তিক ফিশিং ই–মেইলের মাধ্যমে। মূলত ব্যবসায়িক অ্যাকাউন্টধারীদের কাছে পাঠানো এসব ই–মেইলে Meta-এর সাপোর্ট টিমের পরিচয় ব্যবহার করা হয়। এতে দাবি করা হয়, অ্যাকাউন্টে সমস্যা রয়েছে এবং দ্রুত ব্যবস্থা না নিলে তা স্থায়ীভাবে বন্ধ হয়ে যাবে। গুগলের অ্যাপশিট প্ল্যাটফর্মের ‘নোরিপ্লাই’ ঠিকানা ব্যবহার করায় সাধারণ স্প্যাম ফিল্টার অনেক সময় এসব ই–মেইল শনাক্ত করতে পারে না।
পরবর্তীতে ব্যবহারকারীদের ভুয়া ওয়েবসাইটে নিয়ে গিয়ে লগইন তথ্য সংগ্রহ করা হয়। গার্ডিও এই হামলায় চারটি প্রধান কৌশল শনাক্ত করেছে—
প্রথমত, নেটলিফাইয়ে হোস্ট করা ভুয়া সাপোর্ট পেজের মাধ্যমে জন্মতারিখ, ফোন নম্বর ও পরিচয়পত্রের ছবি সংগ্রহ করা হয় এবং তা সাইবার অপরাধীদের Telegram চ্যানেলে পাঠানো হয়।
দ্বিতীয়ত, ‘ব্লু ব্যাজ’ যাচাইয়ের প্রলোভন দেখিয়ে ভুয়া নিরাপত্তা যাচাই পেজে নিয়ে গিয়ে পাসওয়ার্ড ও টু-ফ্যাক্টর কোড হাতিয়ে নেওয়া হয়।
তৃতীয়ত, গুগল ড্রাইভে রাখা পিডিএফ ফাইলের মাধ্যমে যাচাইয়ের কথা বলে পাসওয়ার্ড ও ব্রাউজারের স্ক্রিনশট সংগ্রহ করা হয়।
চতুর্থত, Apple, Coca-Cola বা অন্যান্য বড় প্রতিষ্ঠানের নাম ব্যবহার করে ভুয়া চাকরির প্রস্তাব দিয়ে ব্যবহারকারীদের প্রতারণার ফাঁদে ফেলা হয়।
গার্ডিওর তথ্য অনুযায়ী, এই অভিযানের সঙ্গে সংশ্লিষ্ট টেলিগ্রাম চ্যানেলগুলোতে প্রায় ৩০ হাজার ভুক্তভোগীর তথ্য পাওয়া গেছে। ভুক্তভোগীদের বড় অংশ যুক্তরাষ্ট্র, ইতালি, কানাডা, ফিলিপাইন, ভারত, স্পেন, অস্ট্রেলিয়া, যুক্তরাজ্য, ব্রাজিল ও মেক্সিকোর বাসিন্দা। তাঁদের অনেকেই ইতিমধ্যে নিজেদের অ্যাকাউন্টের নিয়ন্ত্রণ হারিয়েছেন।
বিশেষজ্ঞরা বলছেন, এ ধরনের আক্রমণ থেকে বাঁচতে সন্দেহজনক ই–মেইল এড়িয়ে চলা, অজানা লিংকে ক্লিক না করা এবং দুই ধাপ যাচাইকরণ পদ্ধতি (টু-ফ্যাক্টর অথেনটিকেশন) সক্রিয় রাখা জরুরি।
