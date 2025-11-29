মোবাইল মেসেজিং অ্যাপ ব্যবহারকারীদের ওপর লক্ষ্য করে নজরদারি, তথ্য চুরি ও অ্যাকাউন্ট দখলের ঘটনা বেড়েছে বলে জানিয়েছে যুক্তরাষ্ট্রের সাইবার নিরাপত্তা ও অবকাঠামো নিরাপত্তা সংস্থা দ্য ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সাইসা)। সংস্থাটি বলছে, বাণিজ্যিক গুপ্তচর সফটওয়্যার ও রিমোট অ্যাকসেস ট্রোজান ব্যবহার করে দক্ষ সাইবার হামলাকারীরা সিগন্যাল ও হোয়াটসঅ্যাপের মতো জনপ্রিয় যোগাযোগমাধ্যমে অনুপ্রবেশ করছে এবং কিছু ক্ষেত্রে পুরো মোবাইল ডিভাইস পর্যন্ত নিয়ন্ত্রণ নেওয়ার মতো সক্ষমতা অর্জন করছে।
সাইসার তথ্য অনুযায়ী, এসব হামলায় সামাজিক প্রকৌশল কৌশল, ব্যবহারকারীর অসতর্কতা ও প্রযুক্তিগত দুর্বলতা তিনটিই সুশৃঙ্খলভাবে কাজে লাগানো হচ্ছে। ভুক্তভোগীর অ্যাপে অননুমোদিত প্রবেশাধিকার নিশ্চিত করা গেলে পরবর্তী ধাপে ক্ষতিকর সফটওয়্যার প্রেরণ করা হয়, যার মাধ্যমে ডিভাইসের অভ্যন্তরের তথ্য সংগ্রহ, নজরদারি ও স্থায়ী নিয়ন্ত্রণ নেওয়া সম্ভব হয়।
চলতি বছরের শুরু থেকে এ ধরনের একাধিক অভিযান শনাক্ত হয়েছে। সিগন্যাল অ্যাপের ‘লিংকড ডিভাইস’ সুবিধার দুর্বলতা কাজে লাগিয়ে ব্যবহারকারীর অ্যাকাউন্ট দখলের চেষ্টার প্রমাণ পাওয়া গেছে। সংযুক্ত আরব আমিরাতে ‘প্রোস্পাই’ ও ‘টু স্পাই’ নামের দুটি অ্যান্ড্রয়েড স্পাইওয়্যার প্রচারণায় সিগন্যাল ও টোটকের নকল সংস্করণ ব্যবহার করে ব্যক্তিগত তথ্য সংগ্রহের ঘটনা চিহ্নিত হয়েছে। আরেকটি অভিযানে ‘ক্লের্যাট’ নামের অ্যান্ড্রয়েড গুপ্তচর সফটওয়্যার ব্যবহার করে রাশিয়ার ব্যবহারকারীদের নিশানা করা হয়। সেখানে টেলিগ্রাম চ্যানেল ও নকল ডাউনলোড সাইট ব্যবহার করে হোয়াটসঅ্যাপ, ইউটিউব, টিকটক ও গুগল ফটোজের মতো একই রকম দেখতে ভুয়া অ্যাপ ইনস্টল করিয়ে ডেটা চুরি করা হয়।
একই সঙ্গে হোয়াটসঅ্যাপের দুটি নিরাপত্তা দুর্বলতার (সি–ভি–ই ২০২৫–৪৩৩০০ ও সি–ভি–ই ২০২৫–৫৫১৭৭) ত্রুটি ব্যবহার করে প্রায় ২০০ জনের কম ব্যবহারকারীকে লক্ষ্য করে আলাদা আক্রমণ পরিচালিত হয়েছে। আবার স্যামসাংয়ের নিরাপত্তা দুর্বলতা (সি–ভি–ই ২০২৫–২১০৪২) কাজে লাগিয়ে মধ্যপ্রাচ্যের গ্যালাক্সি ডিভাইসে ‘ল্যান্ডফল’ গুপ্তচর সফটওয়্যার আক্রমণের ঘটনাও সাইসা নিশ্চিত করেছে। সংস্থাটি বলছে, ডিভাইস লিংক কিউআর কোডের মাধ্যমে অ্যাকাউন্ট দখল, জিরো ক্লিক হামলা ও জনপ্রিয় অ্যাপের নকল সংস্করণ ছড়িয়ে ব্যবহারকারীকে ভুল পথে চালিত করার মতো কৌশল দেখা যাচ্ছে। এসব তৎপরতার মূল লক্ষ্য সরকারি ও সামরিক কর্মকর্তা, রাজনৈতিক ব্যক্তিত্ব, নাগরিক সমাজের কর্মী এবং যুক্তরাষ্ট্র, ইউরোপ ও মধ্যপ্রাচ্যের গুরুত্বপূর্ণ ব্যক্তি।
সাইসা বলছে, নিরাপদ যোগাযোগের জন্য এন্ড টু এন্ড এনক্রিপশনযুক্ত মেসেজিং ব্যবহার করা জরুরি। ফিশিং–প্রতিরোধী ‘ফাইডো’ পরিচয় যাচাইকরণ ব্যবহার করতে হবে এবং মাল্টি ফ্যাক্টর অথেনটিকেশনে এসএমএস–নির্ভরতা এড়িয়ে চলা উচিত। পাসওয়ার্ড ব্যবস্থাপনায় আলাদা পাসওয়ার্ড ম্যানেজার ব্যবহার উপযোগী।
মোবাইল অপারেটর অ্যাকাউন্টে পিন চালু করা এবং ডিভাইস ও সফটওয়্যার নিয়মিত হালনাগাদ রাখা নিরাপত্তা জোরদার করে। সাইসার মতে, সম্ভব হলে সবশেষ মডেলের ফোন ব্যবহার করা এবং ব্যক্তিগত ভিপিএন ব্যবহার না করাই উত্তম। আইফোন ব্যবহারকারীর ক্ষেত্রে লকডাউন মোড চালু রাখা, আইক্লাউড প্রাইভেট রিলে সক্রিয় রাখা এবং সংবেদনশীল অ্যাপের অনুমতি সীমিত রাখতে পরামর্শ দিয়েছে প্রতিষ্ঠানটি। অ্যান্ড্রয়েড ব্যবহারকারীদের ক্ষেত্রে এনক্রিপশন সক্রিয় থাকলে তবেই আরসিএস ব্যবহার, গুগল ক্রোমে বাড়তি নিরাপত্তা সুরক্ষা চালু রাখা, গুগল প্লে প্রটেক্ট সচল রাখা ও নিয়মিত অ্যাপের অনুমতি পর্যালোচনা করার পরামর্শ দিয়েছে সংস্থাটি।
সূত্র: দ্য হ্যাকার নিউজ