Select Page

ফিশিং কী? ফিশিং আক্রমণ থেকে কীভাবে সুরক্ষিত থাকবেন?

by | Mar 6, 2025 | Digital Safety Guide, Digital Safety Tools

ডিজিটাল পরিসরে কৌশলে কোনো ব্যক্তির সংবেদনশীল তথ্য সংগ্রহ অথবা চুরি করার নামই ফিশিং। এর কারণে ব্যক্তি মানসিকভাবে বিপর্যস্ত বোধ করা ছাড়াও আর্থিক ক্ষতির সম্মুখীন হতে পারে। সাম্প্রতিক সময়ে ফিশিং করতে দেখা যাচ্ছে নিত্যনতুন কৌশলের ব্যবহার। যেমন, বিশেষ কোনো উৎসবের সময় স্বনামধন্য কোনো প্রতিষ্ঠানের নাম করে মানুষের কাছে পাঠানো হচ্ছে ফিশিং লিংক। কখনো পণ্যে ছাড়, আবার কখনো উৎসব উপলক্ষে গিফটকার্ড আবার কখনো কোনো ব্যাংকের নাম নিয়ে ব্যক্তির কার্ড, অ্যাকাউন্ট নাম্বার ইত্যাদি সংগ্রহ করছে প্রতারকরা। এতে আর্থিক ক্ষতি ছাড়াও ডিভাইসে ভাইরাস, ওয়ার্ম, অ্যাডওয়্যার, বা রান্সমওয়্যার ইত্যাদি ক্ষতিকর ম্যালওয়ার ইন্সটল করে নিরাপত্তা হুমকিতে পড়ছেন ব্যবহারকারীরা।

ফিশিং বিভিন্ন প্রকারের হয়ে থাকে। যেমন- ইমেইল ফিশিং, স্পিয়ার ফিশিং, এসএমএস ফিশিং, ভয়েজ ফিশিং, পেইজ হাইজ্যাকিং, কুইশিং, হোয়েলিং ইত্যাদি। সাধারণত যতভাবে ফিশিং অ্যাটাক হয়ে এসেছে অথবা করা হচ্ছে তার উপর ভিত্তি করে ফিশিংয়ের প্রকারভেদ রয়েছে।

ফিশিং আক্রমণের প্রকারভেদঃ

  • ইমেইল ফিশিংঃ ফিশিং আক্রমণে সাধারণত স্প্যাম ইমেইল পাঠানোর মাধ্যমে ব্যক্তির সংবেদনশীল তথ্য বা লগইন তথ্য চুরির চেষ্টা করা হয়। বেশিরভাগ আক্রমণই “বাল্ক আক্রমণ” হিসেবে পরিচিত, যা নির্দিষ্ট কাউকে লক্ষ্য করে নয়, বরং ব্যাপকভাবে পাঠানো হয়। আক্রমণকারীর লক্ষ্য হতে পারে আর্থিক প্রতিষ্ঠান, ইমেইল ও ক্লাউড সার্ভিস প্রদানকারী, বা স্ট্রিমিং প্ল্যাটফর্ম। চুরি করা তথ্য দিয়ে টাকা হাতানো, ম্যালওয়্যার ইনস্টল করা, বা প্রতিষ্ঠানের ভেতরে স্পিয়ার ফিশিং করা হতে পারে। এছাড়া, চুরি হওয়া স্ট্রিমিং অ্যাকাউন্ট ডার্কনেটে বিক্রি হতে পারে। এ ধরনের ব্যাংক বা সরকারি সংস্থার মতো বিশ্বস্ত সূত্রের ছদ্মবেশে প্রতারণামূলক ইমেইল বা মেসেজ পাঠানো হয়। মেসেজে থাকা লিংকে ক্লিক করলে ব্যবহারকারী ভুয়া লগইন পেজে চলে যায়, যেখানে তাদের ক্রিডেনশিয়ালস বা পরিচয় যাচাইয়ের জন্য ব্যক্তিগত তথ্য চাওয়া হয়।
  • স্পিয়ার ফিশিংঃ স্পিয়ার ফিশিং হলো একটি লক্ষ্যবস্তুভিত্তিক ফিশিং আক্রমণ, যেখানে ব্যক্তিগত বার্তা (বিশেষত ইমেইল) ব্যবহার করে একটি নির্দিষ্ট ব্যক্তি বা প্রতিষ্ঠানকে ফাঁদে ফেলা হয়। আক্রমণকারী যাকে লক্ষ্যবস্তু বানায়, তার ব্যক্তিগত তথ্য ব্যবহার করে বার্তাটিকে বিশ্বাসযোগ্য করে তোলে, যাতে আক্রমণ সফল হওয়ার সম্ভাবনা বাড়ে। সাধারণত কোনো প্রতিষ্ঠানের নির্বাহী কর্মকর্তা বা অর্থ বিভাগের কর্মচারীদের লক্ষ্য করা হয়, যাদের সংবেদনশীল আর্থিক ডেটা ও পরিষেবাগুলিতে অ্যাক্সেস থাকে। অ্যাকাউন্টিং ও অডিট ফার্মের কর্মচারীদের কাছে থাকা তথ্যসমূহ মূল্যবান হওয়ায়, তাদের ক্ষেত্রে আক্রমণের ঝুঁকি বেশি।

  • এসএমএস ফিশিংঃ এসএমএস ফিশিং বা স্মিশিং হলো এক ধরনের ফিশিং আক্রমণ, যেখানে মোবাইল ফোন বা স্মার্টফোনের মাধ্যমে পাঠানো টেক্সট মেসেজ ব্যবহার করে শিকারের কাছে একটি প্রলোভনমূলক বার্তা পৌঁছে দেওয়া হয়। সাধারণত এধরনের বার্তায় কোনো লিংক ক্লিক করতে, নির্দিষ্ট ফোন নম্বরে কল করতে বা আক্রমণকারী প্রদত্ত ইমেইল ঠিকানায় যোগাযোগ করতে বলা হয়। কখনো কখনো তাদের কাছে অন্যান্য ওয়েবসাইটের লগইন ক্রিডেনশিয়ালসের মতো ব্যক্তিগত তথ্য চাওয়া হয়। মোবাইল ব্রাউজারে ইউআরএল সংক্ষেপিত থাকার কারণে জাল লিংক শনাক্ত করা কঠিন হয়ে উঠতে পারে। স্মিশিং ইমেইল ফিশিংয়ের মতোই কার্যকর, কারণ বেশিরভাগ স্মার্টফোনে দ্রুত ইন্টারনেট সংযোগ থাকে। এ ধরনের মেসেজ সন্দেহজনক ফোন নম্বর থেকেও আসতে পারে।
  • ভিশিংঃ ভয়েস ওভার আইপি (VoIP) ব্যবহার করে ভিশিং বা ভয়েস ফিশিং আক্রমণ চালানো হয়, যেখানে আক্রমণকারীরা স্বয়ংক্রিয়ভাবে বিপুল সংখ্যক মানুষের কাছে ফোন কল করে। এতে প্রায়ই টেক্সট-টু-স্পিচ সিন্থেসাইজার ব্যবহার করে তাদের অ্যাকাউন্টে জালিয়াতির দাবি করা হয়। আক্রমণকারীরা কলার আইডি স্পুফ করে, যেন মনে হয় কলটি একটি বৈধ ব্যাংক বা প্রতিষ্ঠান থেকে আসছে। ফাঁদে ফেলা ব্যক্তিকে সংবেদনশীল তথ্য দিতে বলা হয়। কখনোবা প্রতারক সরাসরিই কথা বলেন, যেখানে তিনি সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে প্রভাবিত করার মাধ্যমে তথ্য সংগ্রহ করেন। ইমেইল ফিশিংয়ের তুলনায় ভয়েস টেলিফোনিতে মানুষের সচেতনতা ও আস্থা বেশি থাকায় ভিশিং আক্রমণ সহজেই সফল হয়।
  • পেজ হাইজ্যাকিংঃ পেজ হাইজ্যাকিং হলো একটি পদ্ধতি যেখানে বৈধ ওয়েব পেজকে কম্প্রোমাইজ করে ব্যবহারকারীদের ক্ষতিকর ওয়েবসাইট বা এক্সপ্লয়েট কিটে রিডাইরেক্ট করা হয়। সাধারণত ক্রস-সাইট স্ক্রিপ্টিং (XSS) ব্যবহার করে হ্যাকাররা MPack-এর মতো এক্সপ্লয়েট কিটস কম্প্রোমাইজড ওয়েবসাইটে ঢুকিয়ে দেয়, যাতে সার্ভার পরিদর্শনকারী বৈধ ব্যবহারকারীদের ফাঁদে ফেলা যায়। পেজ হাইজ্যাকিংয়ে ক্ষতিকর ইনলাইন ফ্রেমও যুক্ত করা হতে পারে, যা এক্সপ্লয়েট কিট লোড করতে সাহায্য করে। এই কৌশল প্রায়শই কর্পোরেট টার্গেটে ওয়াটারিং হোল আক্রমণের সাথে যুক্ত থাকে।
  • কুইশিংঃ কুইশিং হলো কিউআর কোডের মাধ্যমে ফিশিংয়ের একটি নতুন পদ্ধতি, যেখানে স্ক্যামাররা ক্ষতিকর লিংকযুক্ত কিউআর কোড ব্যবহার করে ব্যবহারকারীদের ব্যক্তিগত তথ্য চুরি করে। ইমেইল বা ওয়েবসাইটের পরিবর্তে কিউআর কোড ব্যবহার করে স্ক্যামাররা ইমেল ফিল্টার এড়ায় এবং শিকারকে সহজেই প্রতারিত করে, কারণ মানুষ কিউআর কোডে বেশি আস্থা রাখে। এই কোড ইমেল, সোশ্যাল মিডিয়া বা এমনকি বিজ্ঞাপন পোস্টারে জাল স্টিকার আকারে পাওয়া যেতে পারে। ব্যবহারকারীদের অপরিচিত কিউআর কোড স্ক্যান করার সময় সতর্ক থাকা এবং শুধুমাত্র বিশ্বস্ত উৎস থেকে স্ক্যান করার পরামর্শ দেওয়া হয়।
  • হোয়েলিংঃ হোয়েলিং হলো একটি বিশেষ ধরনের ফিশিং আক্রমণ, যা ব্যবসায়িক প্রতিষ্ঠানের উচ্চপদস্থ কর্মকর্তাদের লক্ষ্য করে করা হয়। এতে সাধারণত আইনি নোটিশ বা নির্বাহী বিষয়বস্তু ব্যবহার করে শিকারের মনোযোগ আকর্ষণ করা হয়। আরেকটি সাধারণ পদ্ধতি হলো, কোনো নির্বাহীর নামে জাল ইমেইল পাঠানো, যেখানে অর্থ স্থানান্তরের মতো জরুরি অনুরোধ করা হয়। নিম্নস্তরের কর্মচারীরা অনুরোধের গুরুত্ব এবং প্রেরকের অবস্থানের কারণে এর সত্যতা যাচাই না করে বড় অঙ্কের টাকা আক্রমণকারীর কাছে পাঠিয়ে দেয়।

স্ক্যামাররা আপনার পাসওয়ার্ড, অ্যাকাউন্ট নম্বর বা সোশ্যাল সিকিউরিটি নম্বর চুরি করতে ইমেইল বা টেক্সট মেসেজ ব্যবহার করে। এই তথ্য পেলে তারা আপনার ইমেইল, ব্যাংক বা অন্যান্য অ্যাকাউন্টে প্রবেশ করতে পারে অথবা আপনার তথ্য অন্য স্ক্যামারদের কাছে বিক্রি করতে পারে। প্রতিদিন হাজার হাজার ফিশিং আক্রমণ চালানো হয়, এবং এগুলো প্রায়শই সফল হয়।

ফিশিং আক্রমণ এড়াতে কিছু সহজ কিন্তু কার্যকরী পদক্ষেপ অনুসরণ করা যেতে পারে। এখানে কিছু গুরুত্বপূর্ণ টিপস দেওয়া হলো:

  • অপরিচিত ইমেল বা মেসেজ এড়িয়ে চলুন
    – অজানা বা সন্দেহজনক ইমেল, টেক্সট মেসেজ বা লিংক এড়িয়ে চলুন।
    – অপরিচিত প্রেরকের ইমেল খুলবেন না বা তার সাথে থাকা লিংক বা অ্যাটাচমেন্ট ক্লিক করবেন না।
  • লিংক বা অ্যাটাচমেন্ট যাচাই করুন
    – ইমেল বা মেসেজে থাকা লিংকে হোভার করে দেখুন (মাউস কার্সর রাখুন) আসল URL চেক করুন।
    – অ্যাটাচমেন্ট খোলার আগে নিশ্চিত হোন যে এটি বিশ্বস্ত উৎস থেকে এসেছে।
    -> লিংক যাচাই করার টিপস:
    – লিংকের উপর মাউস কার্সর রাখুন (ডেস্কটপে) বা লিংকটি লং প্রেস করুন (মোবাইলে) এবং URL দেখুন।
    – যদি URL অপরিচিত, ভুল বানানযুক্ত বা HTTP (HTTPS নয়) থাকে, তবে সতর্ক হোন।
    – লিংকটি ভাইরাস টোটাল ওয়েবসাইট থেকে যাচাই করে নিন।
    – সরাসরি ব্রাউজারে ওয়েবসাইটের ঠিকানা টাইপ করে অ্যাক্সেস করুন, লিংক ক্লিক করে নয়।
  • ব্যক্তিগত তথ্য শেয়ার করবেন না
    – ইমেল, টেক্সট বা ফোন কলের মাধ্যমে কখনোই পাসওয়ার্ড, ব্যাংক ডিটেইলস বা সোশ্যাল সিকিউরিটি নম্বর শেয়ার করবেন না।
    – বৈধ প্রতিষ্ঠান কখনোই এই ধরনের তথ্য ইমেল বা মেসেজের মাধ্যমে চাইবে না।
  • টু-ফ্যাক্টর অথেন্টিকেশন (2FA) ব্যবহার করুন
    – আপনার অ্যাকাউন্টে দুই-ফ্যাক্টর অথেন্টিকেশন চালু রাখুন। এটি নিরাপত্তা বাড়ায় এবং ফিশিং আক্রমণ থেকে রক্ষা করে।
  • সফটওয়্যার আপডেট রাখুন
    – আপনার অপারেটিং সিস্টেম, ব্রাউজার এবং অ্যান্টিভাইরাস সফটওয়্যার নিয়মিত আপডেট করুন। এটি নিরাপত্তা ঝুঁকি কমায়।
  • ফিশিংয়ের লক্ষণ চিনুন
    – জরুরি বা ভয় দেখানোর ভাষা (যেমন: “আপনার অ্যাকাউন্ট বন্ধ হয়ে যাবে”) ব্যবহার করা ইমেল বা মেসেজ সন্দেহ করুন।
    – বানান বা গ্রামার ভুল থাকলে সতর্ক হোন।
  • ব্রাউজারে নিরাপত্তা টুলস ব্যবহার করুন
    – ব্রাউজারে ফিশিং ব্লকার এক্সটেনশন বা টুলস ব্যবহার করুন, যা ক্ষতিকর ওয়েবসাইট চিহ্নিত করতে সাহায্য করে।
  • সন্দেহজনক কিছু দেখলে রিপোর্ট করুন
    – সন্দেহজনক ইমেল বা মেসেজ আপনার প্রতিষ্ঠানের আইটি বিভাগ বা সংশ্লিষ্ট কর্তৃপক্ষকে জানান।
  • শিক্ষা ও সচেতনতা বাড়ান
    – ফিশিং সম্পর্কে নিজে এবং পরিবারের সদস্যদের শিক্ষিত করুন। সচেতনতা ফিশিং আক্রমণ প্রতিরোধের সবচেয়ে বড় হাতিয়ার।

ফিশিং আক্রমণ এড়াতে সতর্কতা এবং সচেতনতা সবচেয়ে গুরুত্বপূর্ণ। এই পদক্ষেপগুলো মেনে চললে আপনি ফিশিংয়ের শিকার হওয়ার ঝুঁকি অনেকাংশে কমাতে পারবেন।

A free in-person training is happening every month!
Apply Now!