মিরপুরের রাস্তায় বসে মোবাইল ঘাঁটছিলেন রুবিনা ইসলাম। হঠাৎ একটি এসএমএস আসে, “ডিয়ার কাস্টমার, ইয়োর অ্যাকাউন্ট হ্যাজ বিন টেম্পোরেরলি সাসপেন্ডেড। ক্লিক হিয়ার টু ভেরিফাই ইয়োর ইনফরমেশন”। লিংকটিতে ক্লিক করার পরপরই তার ব্যাংক একাউন্ট থেকে একাধিক ট্রানজ্যাকশন হয়ে যায়। তদন্তে উঠে আসে, এটি ছিল একটি সফিস্টিকেটেড ফিশিং অ্যাটাক, যেখানে শুধুই ভুয়া লিংক নয়, বরং এআই-জেনারেটেড স্পুফড পেজ, রিয়েল-টাইম সেশন হাইজ্যাকিং এবং জিও-টার্গেটেড ক্রিডেনশিয়াল হার্ভেস্টিং টেকনিক ব্যবহার করা হয়েছিল। এটি ছিল সেই বৃহৎ ‘শ্যাডো ওয়ার’-এর একটি ক্ষুদ্র অংশ-যে যুদ্ধে বাংলাদেশ এখন নীরবে আক্রান্ত।
এই ‘শ্যাডো ওয়ার’ এক সময় কি-বোর্ড-এ গেম খেলা হ্যাকারদের খেলা ছিল। এখন এটি একটি মানবিক যন্ত্রণা, একটি মাইন্ড ম্যানিপুলেশন যুদ্ধ, যেখানে প্রতিপক্ষ জানেন আপনি কখন অনলাইনে থাকেন, কোন পোস্টে লাইক দেন, কার ফোন কল আপনি গুরুত্ব দেন। এই সোশ্যাল ইঞ্জিনিয়ারিং-ভিত্তিক হামলাগুলো এখন এতটাই পারসোনালাইজড যে, আপনি বুঝতেই পারবেন না আপনি ফাঁদে পড়ছেন। ই-মেইল, এসএমএস, ভয়েস কল, সবই যেন এক একটি সাইবার ট্র্যাপ। এখনকার হ্যাকার্স, এইআই ও মেশিন লার্নিং ব্যবহার করে মানুষের ইমোশনাল প্যাটার্ন বুঝে টার্গেটেড অ্যাটাক চালায়।
>> আরও পড়ুন: তথ্যযুদ্ধে নতুন ফ্রন্টলাইন: ক্লাউড-নেটিভ অ্যাপ্লিকেশন সিকিউরিটি ও বাংলাদেশের প্রস্তুতি
সাম্প্রতিক সময়ের সবচেয়ে বিপজ্জনক কৌশলগুলোর একটি হলো, ‘ডিপফেক ভয়েস ভিশিং’। এক প্রতারণার শিকার ব্যক্তি জানিয়েছেন, তিনি ভেবেছিলেন তার বস ফোন করেছেন। অথচ সেটি ছিল এআই দিয়ে তৈরি একটি ‘ডিপফেক ভয়েস’। ফোনের ওপাশ থেকে তার বসের মতো শোনানো কণ্ঠে ওটিপি চাওয়া হয়। তিনি তা দিয়ে দেন, অল্প সময়ের মধ্যেই তার একাউন্ট পুরোপুরি খালি হয়ে যায়।
এছাড়া ব্যবহার করা হচ্ছে কুইশিং, যেখানে ইনোসেন্ট-লুকিং কিউআর কোড-এর মাধ্যমে ইউজার্স রিডিরেক্ট হন ম্যালিশাস ওয়েবসাইটস-এ। রাজধানীর একটি দোকানে দেখা গেছে, বিল পরিশোধের কিউআর কোড স্ক্যান করার মাধ্যমে একাধিক ডিভাইসে রিমোট অ্যাক্সেস ট্রোজান ইন্সটল হয়ে গেছে। অপরদিকে, ‘ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক’ নামে একটি নতুন ফাঁদে ব্যবহারকারীরা পড়ছেন, যেখানে তারা মনে করছেন তারা গুগল বা ফেসবুকের লগইন পেজে আছেন, অথচ আসলে তারা একটি ভুয়া এম্বেডেড ব্রাউজার ইন্টারফেসে লগইন করছেন এবং তাদের ক্রিডেনশিয়ালস হ্যাকারদের হাতে তুলে দিচ্ছেন।
বাংলাদেশের ক্রিটিকাল ইনফ্রাস্ট্রাকচার, ইউনিভার্সিটি ও ফিনান্সিয়াল ইনস্টিটিউশনগুলোতে দেখা যাচ্ছে ‘ক্রেডেনশিয়াল হারভেস্টিংয়ে’র এক ভয়ঙ্কর চিত্র। বিভিন্ন ম্যালওয়্যার, ফিশিং ক্যাম্পেইন ও ‘জিরো ডে এক্সপ্লয়েটে’র মাধ্যমে হ্যাকাররা এখন সাধারণ নাগরিক থেকে শুরু করে উচ্চ পর্যায়ের সরকারি কর্মকর্তাদের তথ্য সংগ্রহ করছে। অনেক সময় এই তথ্য বিদেশি অ্যাডভান্সড পারসিসটেন্ট থ্রেড (এপিটি) গ্রুপগুলোর হাতে যাচ্ছে, যারা ‘ন্যাশন-স্টেট-ব্যাকড’ হ্যাকার দল হিসেবে কাজ করে। লক্ষ্য হচ্ছে দেশের স্টেবিলিটি নষ্ট করা এবং ভবিষ্যতের ‘হাইব্রিড ওয়ারফেয়ার’-এর প্রস্তুতি নেওয়া।
চিন্তার বিষয় হলো, এখনও বাংলাদেশের বেশিরভাগ প্রতিষ্ঠান মাল্টি-ফ্যাক্টর অথেনটিকেশন, এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (ইডিআর) কিংবা থ্রেট ইন্টেলিজেন্স ফিড ব্যবহার করে না। অনেক গুরুত্বপূর্ণ দপ্তর এবং শিক্ষা প্রতিষ্ঠান এখনো ডিফল্ড পাসওয়ার্ড-এ চলমান, যার ফলে একটি সহজ ক্রেডেনশিয়াল লিক দিয়েই পুরো নেটওয়ার্ক কমপ্রোমাইজ হয়ে যাচ্ছে।
এই যুদ্ধের সবচেয়ে বড় দুর্বলতা আমরা নিজেরাই। দেশের সাধারণ নাগরিকদের সাইবার অ্যাওয়ারনেস এতটাই কম যে, এখনো অনেকেই ‘এইচটিটিপিএস’ আর ‘এইচটিটিপি’ এর পার্থক্য জানেন না। এখনো অনেকে র্যানডম ইউএসবি ড্রাইভ কম্পিউটারে ঢোকান, কিংবা ফ্রি ওয়াই-তে সেনসিটিভ ডাটা প্রবেশ করেন, এই প্রতিটি অসাবধানতাই হ্যাকারদের হাতে খুলে দেয় ডাটা ব্রিচের নতুন দরজা।
এই ‘শ্যাডো ওয়ার’ আর ভবিষ্যতের আশঙ্কা নয়, এটি এখনই ঘটছে। প্রতিদিন লাখো মানুষ তাদের ডিজিটাল আইডেন্টিটি হারাচ্ছেন, আর প্রতিপক্ষ ধীরে ধীরে আমাদের পার্সোনাল, ইনস্টিটিউশনাল, ন্যাশনাল নিরাপত্তা দুর্বল করে তুলছে। এখন যদি আমাদের কালেক্টিভ সাইবার ডিফেন্স গড়ে না তোলা হয়, তবে হয়তো একদিন আমরা ঘুম ভাঙার আগেই বুঝব-আমাদের পরিচয়, সম্পদ ও সার্বভৌমত্ব ছিনিয়ে নেওয়া হয়েছে এবং সেটিও নিঃশব্দে-একটি ক্লিকেই।
লেখক: ড. মো. মারুফ হাসান, সহযোগী অধ্যাপক, কম্পিউটার সায়েন্স অ্যান্ড ইঞ্জিনিয়ারিং বিভাগ এবং পরিচালক, সেন্টার ফর সাইবার সিকিউরিটি, সাউথইস্ট ইউনিভার্সিটি