মাইক্রোসফটের গ্রাহকসেবা টুলে ফিশিং করছেন হ্যাকাররা
ক্ষতিকর ফিশিং লিংক পাঠানোর জন্য মাইক্রোসফটের গ্রাহকসেবা টুল ‘ডায়নামিকস ৩৬৫’ কাজে লাগাচ্ছেন হ্যাকাররা। চেক পয়েন্ট সফটওয়্যার প্রতিষ্ঠান অ্যাভাননের গবেষক দল এ তথ্য জানিয়েছে।
গ্রাহকদের প্রতিক্রিয়া জানতে মাইক্রোসফটের ডায়নামিকস ৩৬৫ কাস্টমার ভয়েস টুল ব্যবহার করা হয়। গ্রাহক সন্তুষ্টি নিয়ে জরিপ, গ্রাহকের মতামত জানতে এবং এ তথ্যগুলো বিশ্লেষণ করে পরবর্তী সিদ্ধান্ত নেওয়ার জন্য এটি ব্যবহৃত হয়। গ্রাহকদের মতামত জানতে এ টুলের সাহায্যে ফোনের মাধ্যমে যুক্ত হয়েও তথ্য সংগ্রহ করা হয়।
ডায়নামিকস ৩৬৫ যেহেতু গ্রাহকদের বিভিন্ন তথ্য সংগ্রহ করে, তাই এটি হ্যাকারদের লক্ষ্যে পরিণত হয়েছে। হ্যাকাররা এই টুল হ্যাক করে গ্রাহকের তথ্য চুরির চেষ্টা করছেন। চেক পয়েন্ট সফটওয়্যারের তৃতীয় প্রান্তিকের ব্র্যান্ড ফিশিং প্রতিবেদন অনুযায়ী, ফিশিং আক্রমণের দিক থেকে মাইক্রোসফটের অবস্থান তালিকার দ্বিতীয় স্থানে। হ্যাকাররা ক্ষতিকর ফাইল পাঠানোর জন্য স্পুফড স্ক্যানার নোটিফিকেশন ব্যবহার করছেন। অ্যাভাননের প্রতিবেদন অনুসারে, গত কয়েক সপ্তাহে হ্যাকাররা এ রকম শত শত আক্রমণ করেছেন।
ডায়নামিকস ৩৬৫–তে সার্ভে ফিচার থেকে লিংকসহ একটি ই-মেইল পাঠানো হয়। ই-মেইল আসে ‘ফর্মস প্রো’ থেকে। এটি জরিপ সুবিধার পুরোনো নাম। ই-মেইলে লেখা থাকে, একটি ভয়েস মেইল গ্রহণ করা হয়েছে। ভয়েস মেইল শুনতে ক্লিক করলেই হ্যাকড হওয়ার আশঙ্কা তৈরি হয়।
এ ছাড়া ই–মেইলে যে ভয়েস লিংকটি পাঠানো হয়, সেটি মাইক্রোসফটের সত্যিকার ভয়েস লিংক। ফলে ভাইরাস স্ক্যানারে এটি আসল হিসেবেই গণ্য হয়। কিন্তু হ্যাকাররা কৌশল ব্যবহার করেন ‘প্লে ভয়েস মেইল’ বাটনে। তাঁদের লক্ষ্য থাকে ই–মেইল প্রাপক যেন প্লে ভয়েস মেইলে ক্লিক করে। এর মাধ্যমে ফিশিং লিংক ছড়িয়ে দেন হ্যাকাররা।
এর বাইরে আরও একধরনের কৌশল নিচ্ছেন হ্যাকাররা। ই–মেইলে আসা ভয়েস মেইল লিংকে ক্লিক করলে মাইক্রোসফটের লগইন পেজের মতোই একটি পেজ চালু হয়। কিন্তু ইউআরএলে লক্ষ করলে বোঝা যাবে, এটি মাইক্রোসফটের প্রকৃত লগইন পেজ নয়। এই লগইন পেজ থেকে ইউজার নেম এবং পাসওয়ার্ড চুরি করেন হ্যাকাররা।
গবেষকেরা বলছেন, সম্প্রতি ফেসবুক, পেপ্যাল, কুইকবুকে এমন আক্রমণের ঘটনা ঘটছে। এ ধরনের সাইবার আক্রমণ থেকে সুরক্ষিত থাকতে ইউআরএল যাচাই করা যেতে পারে। ইউআরএল প্রকৃত কি না, এটি সম্পর্কে নিশ্চিত হতে হবে। ভয়েস মেইল আসার পর সেই মেইল সম্পর্কে যাচাই করা যেতে পারে। প্রয়োজনে প্রকৃত প্রেরকের সঙ্গে যোগাযোগও করা যেতে পারে।