পাসওয়ার্ড ছাড়াই হ্যাক হচ্ছে মাইক্রোসফট ৩৬৫ অ্যাকাউন্ট
পাসওয়ার্ড ছাড়াই হ্যাক হচ্ছে মাইক্রোসফট ৩৬৫ অ্যাকাউন্ট

যুক্তরাষ্ট্রের কেন্দ্রীয় তদন্ত সংস্থা (এফবিআই) সম্প্রতি এক সতর্কবার্তায় জানিয়েছে, নতুন ধরনের ফিশিং কৌশল ব্যবহার করে হ্যাকাররা পাসওয়ার্ড ছাড়াই মাইক্রোসফট ৩৬৫ ব্যবহারকারীদের অ্যাকাউন্টে প্রবেশ করতে পারছে। এই হামলায় মাল্টি-ফ্যাক্টর অথেনটিকেশন (এমএফএ) প্রযুক্তি চালু থাকলেও তা প্রতিরোধ করতে পারছে না।

কালি৩৬৫ প্ল্যাটফর্মের মাধ্যমে হামলা

এফবিআই জানিয়েছে, 'কালি৩৬৫' নামের একটি ফিশিং প্ল্যাটফর্মের মাধ্যমে এই হামলা চালানো হচ্ছে। এই প্ল্যাটফর্ম ব্যবহার করে হ্যাকাররা গোপনে মাইক্রোসফট ৩৬৫-এর অ্যাকসেস টোকেন সংগ্রহ করে। এর মাধ্যমে তারা ব্যবহারকারীদের আউটলুক ই-মেইল, মাইক্রোসফট টিমস এবং ওয়ানড্রাইভ অ্যাকাউন্টে প্রবেশ করছে। উদ্বেগের বিষয় হলো, এই হামলায় হ্যাকারদের পাসওয়ার্ড সংগ্রহের প্রয়োজন হয় না।

ডিভাইস কোড ফ্লো-এর অপব্যবহার

এফবিআইয়ের তথ্যমতে, কালি৩৬৫ প্ল্যাটফর্মটি মাইক্রোসফটের বৈধ লগইন পদ্ধতি 'ডিভাইস কোড ফ্লো'-এর অপব্যবহার করছে। সাধারণত স্মার্ট টেলিভিশন, স্ট্রিমিং ডিভাইস বা সীমিত ইনপুট সুবিধাসম্পন্ন যন্ত্রে সহজে লগইনের জন্য এই পদ্ধতি ব্যবহার করা হয়। হামলার শুরুতে শেয়ারপয়েন্ট, ওয়ানড্রাইভ বা মাইক্রোসফট টিমসের নামে ভুয়া ই-মেইল পাঠায় হ্যাকাররা। সেখানে একটি সংক্ষিপ্ত নিরাপত্তা কোড দেওয়া থাকে এবং ব্যবহারকারীদের লগইনের সময় কোডটি ব্যবহার করতে বলা হয়। কোডটি ব্যবহার করলে মাইক্রোসফটের সিস্টেম স্বয়ংক্রিয়ভাবে একটি ডিজিটাল অ্যাকসেস টোকেন তৈরি করে, যা গোপনে সংগ্রহ করে হ্যাকাররা। এর ফলে হ্যাকাররা ব্যবহারকারীদের পাসওয়ার্ড না জানলেও টোকেনটি ব্যবহার করে তাঁদের ই-মেইল, ক্লাউডে সংরক্ষিত ফাইল ও অন্যান্য সেবায় প্রবেশ করতে পারে।

Pickt নিবন্ধের পরে ব্যানার — পারিবারিক চিত্রসহ সহযোগী শপিং লিস্ট অ্যাপ
Pickt প্রশস্ত ব্যানার — টেলিগ্রামের জন্য সহযোগী শপিং লিস্ট অ্যাপ

পূর্ণাঙ্গ ফিশিং প্ল্যাটফর্ম

কালি৩৬৫ শুধু একটি ফিশিং কিট নয়, এটি একটি পূর্ণাঙ্গ প্ল্যাটফর্ম। এর ফলে তুলনামূলক কম প্রযুক্তিগত দক্ষতাসম্পন্ন ব্যক্তিরাও জটিল সাইবার হামলা পরিচালনা করতে পারেন। প্ল্যাটফর্মটিতে কৃত্রিম বুদ্ধিমত্তাভিত্তিক ফিশিং বার্তা তৈরির সুবিধা, স্বয়ংক্রিয় প্রচারণা পরিচালনার টেমপ্লেট, লক্ষ্যবস্তুর কার্যক্রম পর্যবেক্ষণের ড্যাশবোর্ড এবং অ্যাকসেস টোকেন সংগ্রহের টুলও রয়েছে।

সাইবার নিরাপত্তা বিশেষজ্ঞদের মতামত

সাইবার নিরাপত্তাবিশেষজ্ঞদের মতে, বিভিন্ন প্রতিষ্ঠান ও সংস্থায় এমএফএ ব্যবহারের হার বাড়ায় পাসওয়ার্ড চুরি করে অ্যাকাউন্টে প্রবেশ করা আগের তুলনায় কঠিন হয়ে পড়েছে। ফলে হ্যাকাররা এখন বৈধ লগইন প্রক্রিয়াকেই আক্রমণের হাতিয়ার হিসেবে ব্যবহার করছে। কালি৩৬৫ সেই নতুন প্রবণতারই একটি উদাহরণ।

সূত্র: টাইমস অব ইন্ডিয়া