সিইও ফ্রড: মেইল করে যেভাবে টাকা হাতিয়ে নেয়
প্রতিষ্ঠানের প্রধান নির্বাহী কর্মকর্তা (সিইও) তাঁর আর্থিক কর্মকর্তাকে দিনের বেলা নানা রকম মেইল করেন। কোনো দিন হয়তো আর্থিক কর্মকর্তা দেখলেন তাঁর প্রতিষ্ঠানপ্রধান মেইলে লিখছেন, ‘একটি প্রতিষ্ঠানের সঙ্গে চুক্তি হয়েছে। জরুরি কয়েক লাখ টাকা লাগবে। আজকের অফিস শেষ হওয়ার আগেই পাঠিয়ে দাও।’ ওই কর্মী বসের আদেশে হয়তো কোনো একটি ঠিকানায় অর্থ স্থানান্তর করে দিলেন। কিন্তু এ টাকা কি প্রকৃত প্রতিষ্ঠানে গেল? প্রকৃত প্রতিষ্ঠান যখন টাকা পায়নি বলে দাবি করে বসল, তখনই মাথায় হাত! তখনই জানা যাবে টাকা প্রতারকেরা হাতিয়ে নিয়েছে। সাইবার জগতের এ প্রতারকদের ধরা সহজ নয়। নানা উপায়ে এসব অর্থ ব্যাংকিং চ্যানেল থেকে সরিয়ে ফেলে সাইবার দুর্বৃত্তরা।
সাইবার নিরাপত্তা বিশেষজ্ঞরা বলেন, এ ধরনের ঘটনা প্রায়ই ঘটে। এতে আর্থিক কর্মকর্তা বা প্রতিষ্ঠানপ্রধানের কিছুই করার থাকে না। একেবারে সিইওর মেইলের মতো একটি মেইল থেকে এ ধরনের বার্তা আসে বলে সহজে কারও পক্ষে তা ধরা যায় না। অনেক সময় অ্যাকাউন্ট হ্যাক না করেও এ ধরনের মেইল জালিয়াতি করতে পারে দুর্বৃত্তরা। অর্থাৎ, মেইলের ওপর এখন আর সম্পূর্ণ আস্থা রাখা যায় না।
বিবিসির এক প্রতিবেদনে বলা হয়, মেইলের মাধ্যমে ফাঁসিয়ে যে সাইবার আক্রমণ করা হলো তাকে বলা হয় ‘বিজনেস ই–মেইল কম্প্রোমাইজ’ বা ‘সিইও ফ্রড’। এ ধরনের আক্রমণে খুব স্বল্প প্রযুক্তি কাজে লাগানো হয়। প্রচলিত হ্যাকিংয়ের বদলে সোশ্যাল ইঞ্জিনিয়ারিং বা কৌশল খাটানো হয় বেশি। প্রতারকেরা প্রতিষ্ঠানের প্রধান নির্বাহীর মেইলের মতো ভুয়া মেইল তৈরি করে এবং প্রতিষ্ঠানের স্পর্শকাতর কর্মীদের কাছে বিশ্বাসযোগ্যভাবে সে মেইল পাঠায়। মেইল এমনভাবে পাঠানো হয় যাতে তা প্রতিষ্ঠানপ্রধানের মেইল বলেই মনে হয়। এতে সন্দেহ তৈরি হয় না।
যুক্তরাষ্ট্রের কেন্দ্রীয় গোয়েন্দা সংস্থা এফবিআইয়ের তথ্য অনুযায়ী, সিইও ফ্রডের সংখ্যা ব্যাপক হারে বাড়ছে। ২০১৬ সাল থেকে এ ধরনের প্রতারণার কারণে বিশ্বজুড়ে প্রায় ২৬ বিলিয়ন মার্কিন ডলার লোকসান হয়েছে। স্ক্যামের ভিত্তিতে সাইবার অপরাধের নেটওয়ার্ক চালানোর অভিযোগে এ মাসের শুরুতে বিশ্বের ১০টি দেশে ২৮১ জন সন্দেহভাজন হ্যাকারকে আটক করা হয়েছে।
সাইবার নিরাপত্তা প্রতিষ্ঠান প্রুফপয়েন্টের নির্বাহী ভাইস প্রেসিডেন্ট রায়ান কালেম্বর বলেন, বিজনেস ই–মেইল কম্প্রোমাইজ (বিইসি) এখন সাইবার নিরাপত্তার ক্ষেত্রে সবচেয়ে ব্যয়বহুল সমস্যা। অর্থ খোয়ানোর হিসাব ধরলে এই একটি সাইবার অপরাধ অন্যান্য স্ক্যামের চেয়ে অনেক বেশি ঝুঁকিপূর্ণ।
প্রুফপয়েন্টের তথ্য অনুযায়ী, হ্যাকাররা সিইও এবং সিএফওদের লক্ষ্য করে বেশি হামলা চালায়। তবে এর বাইরে এখন প্রতিষ্ঠানের নিম্নস্তরের কর্মীদেরও ফাঁদে ফেলার চেষ্টা করে প্রতিষ্ঠানটি। অনলাইনে সহজে খুঁজে পাওয়া যায় এমন ই–মেইল ও ঠিকানা থেকে তথ্য সংগ্রহ করে এসব আক্রমণ চালায় তারা। অনেক সময় কর্মীর ই–মেইল হ্যাক করে মানবসম্পদ বিভাগে তাঁর বেতন–ভাতা নতুন ব্যাংক অ্যাকাউন্টে পাঠাতে বলা হয়।
প্রুফপয়েন্টের তথ্য অনুযায়ী, সন্দেহজনক ৩০ শতাংশের বেশি ই–মেইল পাঠানো হয় সোমবার। এতে তারা পুরো সপ্তাহটিকে কাজে লাগানোর সুযোগ পায়।
কালেম্বার বলেন, আক্রমণকারী অনেক দক্ষ ও অফিসের কাজকর্ম সম্পর্কে ব্যাপকভাবে তথ্য সংগ্রহ করে এ ধরনের হামলা চালায় বলে সহজে ধরা যায় না। তারা কর্মীর ভুলের দিকে তাকিয়ে থাকে। তাই এ ধরনের ঘটনায় প্রতিষ্ঠানের কারিগরি ত্রুটির চেয়ে কর্মীর সচেতনতা বেশি গুরুত্বপূর্ণ।
ই–মেইলের মাধ্যমে আক্রমণের আরেকটি নতুন পদ্ধতি হচ্ছে ‘মেইল ফরোয়ার্ড’। এখন অনেক প্রতিষ্ঠানের কর্মকর্তারা বিভিন্ন মেইল ফরোয়ার্ড করেন বা একটি মেইলে নানা রকম আলোচনা চালিয়ে যান। সাইবার দুর্বৃত্তরা এ সুযোগ নেয়। তারা অনেক সময় মেইলের বিষয়বস্তু হিসেবে Re: বা Fwd: কথাটি জুড়ে দেয়, যাতে এটি আগের কোনো মেইলের অংশ বলে মনে হয়। অনেক সময় প্রতিষ্ঠানের কারও কাছ থেকে আসা মেইলের অনুলিপিও মনে হতে পারে। অনেক সময় পুরো মেইলের হিস্ট্রি সাজিয়ে রাখে তারা।
গবেষকেদের মতে, মেইলের মাধ্যমে ধোঁকা দেওয়ার এ পদ্ধতি ৫০ শতাংশ বেড়ে গেছে। প্রতিষ্ঠানের অসচেতন কর্মীদের কারণে এ ধরনের মেইল প্রতারণা সহজে দূর করা সম্ভব হয় না।
এ ধরনের আক্রমণের ক্ষেত্রে সচেতনতা সৃষ্টি ও আর্থিক লেনদেনে টু-ফ্যাক্টর-অথেনটিকেশন চালু করার পরামর্শ দেন বিশেষজ্ঞরা।