By (বাংলাদেশ ব্যাংকের রিজার্ভ ডাকাতি নিয়ে নির্মিত ‘বিলিয়ন ডলার হেইস্ট’ ডকুমেন্টারি অবলম্বনে লিখিত)
পার্ট-৩: সোশাল ইঞ্জিনিয়ার
বর্তমান যুগের হ্যাকাররা একক কোন ব্যাক্তি নন। ৯০ এর দশকের মত কম্পিউটারের সামনে বসা কোন টিনএজার বা কোডিং এ দক্ষ কোন ব্যক্তি নয়, বর্তমানে বড় বড় অপরাধী সংস্থা হ্যাকিং এ যুক্ত। তাদের দলে খুবই দক্ষ বিভিন্ন শ্রেনীর লোক থাকেন, কেউ নেটওয়ার্কে ঢুকতে দক্ষ, কেউ বা তথ্য চুরি আবার কেউ আর্থিক চুরির পর সেই অর্থ নিরাপদে সরিয়ে ফেলতে দক্ষ। মোটকথা খুবই দক্ষ একদল লোক এর সাথে জড়িত না থাকলে এই মাত্রার অপরাধ করা অসম্ভব।
এই জটিল হ্যাকিং প্রক্রিয়ার শুরু শুন্য আর এক এর বাইনারি দিয়ে নয়, বরং মানুষকে দিয়ে। সাইবার অপরাধ শুরু হয় ব্যক্তিগত তথ্য চুরি করে নেটওয়ার্কে ঢুকার চাবি বা পাসওয়ার্ড চুরির মাধ্যমে। এক্ষেত্রেই সবচেয়ে কাজে আসে সোশাল ইঞ্জিনিয়াররা। কারণ কোন নেটওয়ার্কে ঢুকতে গেলে কোন ডিজিটাল প্রক্রিয়া কাজে আসে না, প্রয়োজন হয় রক্তমাংসের মানুষের। এটা একটা মনস্তাত্তিক খেলা। সোশাল ইঞ্জিনিয়ার বাংলাদেশ ব্যাংকের কর্মীদের সোশাল মিডিয়া প্রোফাইলে চিরুনি অভিযান চালাতে লাগল, উপযুক্ত টার্গেটের সন্ধানে।
হ্যাকাররা প্রায় তিন ডজন উপযুক্ত টার্গেট খুজে পেল। তারা খুবই একটা সাধারণ দেখতে ফিশিং মেইল বানালো, যেখানে রাসেল আলম নামক একজনের কাছ থেকে একটা ই-মেইল এল। ই-মেইলের ভাষাও খুবই সাধারণ ছিল, “হাই, আমি রাসেল আলম, তোমার প্রতিষ্ঠানে কাজ করতে ইচ্ছুক। আমার সিভি সংযুক্ত করলাম, একটু দেখ, ইত্যাদি”। ৩৬ জন কর্মীর মধ্যে তিনজন কর্মী সেই মেইল খুলে এটাচমেন্টে ক্লিক করেছিলেন। এটাচমেন্টটা ছিল একটা জিপফাইল, জিপফাইল খুলে তারা দেখলেন, সেখানে রাসেল আলমের একটা সিভি রয়েছে। কিন্তু সেই এটাচমেন্টের ভিতরে লুকানো ছিল ক্ষতিকারক কোড, যেটা এটাচমেন্ট ক্লিক করার সাথে সাথেই সক্রিয় হয়ে গিয়েছিল।
যেকোন তথ্য চুরি দুটি কারণে হতে পারে, এক-কারিগরী ত্রুটি, অন্যটি মানুষের ত্রুটি। কারিগরী ত্রুটি সারানো খুব সময়সাপেক্ষ, কষ্টসাধ্য ও খরচের বিষয় হতে পারে, কিন্তু সেটা একসময় সারানো যায়। কিন্তু মানুষের ত্রুটি সারানোর মত কোন প্রোগ্রাম এখনো আবিস্কার হয়নি কারণ মানুষের বোকার মত সিদ্ধান্তনেয়ার বিরুদ্ধে কোন সমাধান আজও নেই।
হ্যাকাররা যখন ফিশিং মেইল পাঠায়, তারা দুটি কাজ করে। হয় দেখতে সাধারণ কোন বার্তা পাঠায়, কিংবা প্রলুদ্ধ করার চেষ্টা করে। বাংলাদেশ ব্যাংকের ক্ষেত্রে এটা ছিল খুবই একটা সাধারণ ই-মেইল, এটায় একটা রেজিউমে ছিল। প্রথম যেই ভাইরাসটি ৪৮ ঘন্টায় সারা দুনিয়া ঘুরে ফেলেছিল, সেটা ছিল I LOVE YOU ভাইরাস। আপনি হয়ত কম্পিউটারের সামনে বসে আছেন, এমন সময় আপনার ইনবক্সে একটা ম্যাসেজ এল,I LOVE YOU. আপনি হয়ত এমন একটা ম্যাসেজের অপেক্ষাই ছিলেন, ম্যাসেজে ক্লিক করলেন, আর ধরা পড়ে গেলেন।
আই লাভ ইউ ভাইরাসটিতে ক্লিক করলে সেটি মেইলে থাকা সকল মেইল এড্রেসে একই মেইল পাঠিয়ে দেয়, তাতে একসময় গোটা মেইল সিস্টেম ক্রাশ করে ও সার্ভারগুলো অফলাইন করে দিতে হয় এবং সারাদুনিয়ায় বিলিয়ন ডলারের ক্ষতি হয়।
এই ভাইরাস যে ব্যক্তি ছড়িয়ে ছিলেন, ডিগুজমেন, তার বিশেষ কোন উদ্দেশ্য ছিল না, তিনি শুধু দুনিয়াকে একটা কিছু করে দেখাতে চেয়েছিলেন। কিন্তু এই ভাইরাসের ঘটনা চোখে আঙুল দিয়ে দেখিয়েছিল, আমরা ইন্টারনেটের উপর নির্ভর করি, আর্থিক লেনদেন আর বানিজ্যে যে ব্যবস্থার উপর নির্ভর করি, সেটা ঝুঁকিপূর্ণ।
হ্যাকারেরা অনেক আগেই বুঝতে পেরেছিল, যদি তারা মানুষের ইউজার আইডি আর পাসওয়ার্ড হ্যাক করতে পারে, বিশেষ করে ইমেইল আইডির পাসওয়ার্ড জানতে পারে, অনেক কিছুই করা সম্ভব। তারা আপনার শেয়ার ব্রোকার একাউন্টে ঢুকতে পারে, ব্যাংক একাউন্টের নিয়ন্ত্রন নিতে পারে, আপনার মেইল ব্যবহার করে অন্য কাউকে ফিশিং মেইল পাঠাতে পারে।
সোশাল ইঞ্জিনিয়ার বাংলাদেশ ব্যাংকের কর্মীদের টার্গেট করার পর যখন ফিশিং ই-মেইল পাঠায়, তিনজন সেটায় ক্লিক করেছিলেন। ক্লিক করার সাথে সাথেই ক্ষতিকারক ম্যালওয়্যার একটিভ হয়ে যায় আর হ্যাকররা কম্পিউটার সিস্টেমে প্রবেশ করে, কিন্তু কেউই কিছু বুঝতে পারেনি। তারা কম্পিউটারের স্ক্রিনে যাই হচ্ছিল কপি করছিল, কর্মীদের প্রতি টিকিস্ট্রোক পড়তে পারছিল।
এটা ছিল হ্যাকিং এর প্রথম ধাপ, সিস্টেমে অনুপ্রবেশ। নিরাপত্তা ব্যবস্থার প্রথম ধাপকে তারা পার করে গিয়েছে। এবার ‘ডিগার’ তার কাজ শুরু করল।
(চলবে)
