পিউতে ফিশিং: চার্চ সম্প্রদায়গুলিতে QR কোডের লুকানো বিপদ

সেখানে আমি পিউয়ে বসে সকালের খুতবা শুনছিলাম। এটা আমার স্ত্রী এবং আমি বসে বসে শুনছিলাম এবং আমার মেয়ে আমার বাহু থেকে নাড়াচাড়া করার চেষ্টা করার সাথে একটি নিয়মিত রবিবার সকাল ছিল। ধর্মোপদেশ শেষ হওয়ার সাথে সাথে, আমি চেয়ারের পিছনে টেপ করা QR কোডগুলি লক্ষ্য করেছি। গির্জা এবং তারা যে প্রোগ্রামগুলি অফার করে সে সম্পর্কে আরও জানতে অংশগ্রহণকারীদের জন্য QR কোডগুলি ব্যবহার করা হয়।

আপনি চার্চ এবং এর সদস্যদের সম্পর্কে জানতে এবং চার্চকে দিতে পারেন। আপনাকে যা করতে হবে তা হল QR কোড স্ক্যান করা। একজন সাইবার সিকিউরিটি প্রফেশনাল হিসেবে….এবং এমন কেউ যিনি সবসময়ই বিভ্রান্ত থাকেন, আমি কখনই একটি QR কোড স্ক্যান করি না তা সে যেখানেই থাকুক না কেন। আমি জানি এটা বেঁচে থাকার কোন উপায় নয় কিন্তু আমাকে একটি QR কোড স্ক্যান করা পোপকে একটি অভিশাপ শব্দ শোনার মতো।

আমরা প্রার্থনায় মাথা নত করার সময় আমার কাছে একটি ধারণা এসেছিল। কেউ যদি তাদের নিজস্ব দূষিত QR কোড দিয়ে চার্চের QR কোড অদলবদল করে এবং ক্রেডিট কার্ডের তথ্য চুরি করে তাহলে কী হবে? তখনই আমি সিদ্ধান্ত নিয়েছিলাম যে আমি চার্চটিকে "হ্যাক" করব...তাত্ত্বিকভাবে যাইহোক। "পিতা আমাকে ক্ষমা করুন, কারণ আমি পাপ করেছি।"

QR কোড বোঝা

QR কোড কি? একটি QR কোড (দ্রুত প্রতিক্রিয়া কোডের জন্য সংক্ষিপ্ত) হল একটি গ্রিডে সেট করা কালো এবং সাদা স্কোয়ার বা পিক্সেলগুলির একটি অ্যারে যা একটি মেশিনের পড়ার জন্য ডেটা সঞ্চয় করে। একটি স্মার্টফোন বা ক্যামেরা একটি QR কোডের পিক্সেলের নির্দিষ্ট বিন্যাসে থাকা তথ্য দ্রুত প্রক্রিয়া করতে পারে, এটি ডেটা সংরক্ষণ এবং অ্যাক্সেস করার একটি সুবিধাজনক উপায় করে তোলে। গির্জার সেটিংসে সাধারণ ব্যবহার (যেমন, ডিজিটাল বুলেটিন, অনলাইন প্রদান, ইভেন্ট নিবন্ধন)।

ফিশিং বেসিক

ফিশিং হল সামাজিক প্রকৌশলের এক প্রকার যা ইমেল, ফোন বা পাঠ্যের মাধ্যমে যোগাযোগের সাথে জড়িত থাকে যাতে ব্যবহারকারীকে পদক্ষেপ নেওয়ার অনুরোধ করা হয় , যেমন একটি জাল ওয়েবসাইটে নেভিগেট করা। ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিং উভয় আক্রমণেই, সংগৃহীত তথ্য ব্যবহার করা হয় সুরক্ষিত অ্যাকাউন্ট বা ডেটাতে অননুমোদিত অ্যাক্সেস পাওয়ার জন্য।

QR কোড ফিশিং কিভাবে কাজ করে

QR কোড ফিশিং অন্যান্য ফিশিং আক্রমণের মতোই কাজ করে, তবে QR কোডগুলি আরও সুবিধাজনক এবং সাধারণত দেখার জন্য কোনও লিঙ্ক নেই৷ এগুলি আরও বহুমুখী এবং বিশ্বজুড়ে যে কোনও জায়গায় প্রয়োগ করা যেতে পারে। আপনি এগুলিকে আপনার প্রিয় টিভি শো, বিজ্ঞাপন, সংবাদ স্টেশন, ব্যবসা এবং গীর্জাগুলিতে খুঁজে পেতে পারেন৷ কেন গির্জার সম্প্রদায়গুলি একটি আকর্ষণীয় লক্ষ্য-বিশ্বাসের পরিবেশ হবে?

প্রায়শই কম প্রযুক্তি-বুদ্ধিমান ব্যক্তি এবং উচ্চ-মূল্যের অনুদানের সম্ভাবনা থাকে। পিউয়ের পিছনে কোন প্রকারের বৈধতা নেই যা নির্দেশ করে যে QR কোডগুলি বৈধ QR কোড... যদি না আপনি একটি স্ক্যান করেন এবং নিজের জন্য খুঁজে পান যদি এই দৃশ্যটি একটি যুক্তিসঙ্গত হয়, তাহলে সাইবার অপরাধীরা কীভাবে এটি অর্জন করবে? আপনার কমিউনিয়ন জুস এবং ক্র্যাকারস করুন, পরে স্বীকার করার জন্য অনেক কিছু থাকবে।

অপবিত্র অভিপ্রায়

যদি একজন সাইবার অপরাধী একটি গির্জার উপর একটি QR কোড ফিশিং আক্রমণ পরিচালনা করতে চায়, তাহলে তাদের প্রথমে যা করতে হবে তা হল পুনরুদ্ধার করা এবং কৌশলটি কী হবে। এই ক্ষেত্রে, আমরা একটি QR কোড ফিশিং আক্রমণ ব্যবহার করব এবং ক্রেডিট কার্ডের তথ্য চুরি করার চেষ্টা করব৷ সফল হওয়ার জন্য, তাদের গির্জা নিয়ে গবেষণা করতে হবে এবং গির্জার সদস্যরা যখন অনুদান দেয় তখন তারা কী করে।

এই আক্রমণের জন্য, সাইবার অপরাধী আক্রমণটি সংগঠিত করার জন্য নিম্নলিখিতগুলি করবে৷

• কিভাবে গির্জা অনুদান গ্রহণ করে তার উপর পুনর্বিবেচনা।
• গির্জার ওয়েবসাইট এবং দেওয়ার জন্য অংশ ক্লোন করুন।
• চার্চ ডোমেনের অনুরূপ একটি ডোমেন কিনুন এবং এটি একটি VPS পরিবেশে হোস্ট করুন।
• সাইবার অপরাধীকে অর্থপ্রদানের নির্দেশ দিতে কোড লিখুন।
• পরীক্ষা।
• চার্চে যোগ দিন এবং পিউয়ের পিছনে QR কোড রাখুন।
• অপেক্ষা করুন এবং ক্রেডিট কার্ডের তথ্য ক্যাপচার করুন।
• জাহান্নাম থেকে মুক্তি পাওয়ার জন্য যথেষ্ট অনুগ্রহ কিনুন...

"সমস্ত আশা ত্যাগ কর, তোমরা যারা এখানে প্রবেশ কর"

আক্রমণের পুনরুদ্ধারের অংশটি শেষ করার পরে, সাইবার অপরাধী চার্চের ওয়েবসাইটটি সনাক্ত করবে এবং আক্রমণের জন্য এটি ক্লোন করবে। এটি গির্জার সদস্যদের গির্জায় QR কোড স্ক্যান করার পরে আরও এগিয়ে যাওয়ার জন্য প্ররোচিত করতে সহায়তা করবে। ধারণাটি হল গির্জার সদস্যদের সন্দেহ করা থেকে বিরত রাখা যে তারা যে ওয়েবসাইটটি পরিদর্শন করছে সেটি দূষিত। প্রকৃত ওয়েবসাইট ক্লোন করা আক্রমণে সাহায্য করে কারণ মানুষ হিসেবে আমরা কদাচিৎ URL অংশের দিকে তাকাই।

আক্রমণ শুরু করার জন্য, আমরা "সোশ্যাল ইঞ্জিনিয়ারিং টুলকিট" বা "SET" নামে পরিচিত একটি টুলের দিকে তাকাই। সোশ্যাল ইঞ্জিনিয়ার টুলকিট (SET) বিশেষভাবে মানব উপাদানের বিরুদ্ধে উন্নত আক্রমণ করার জন্য ডিজাইন করা হয়েছে। SET এর সাথে প্রকাশ করার জন্য ডিজাইন করা হয়েছিল https://www.social-engineer.org লঞ্চ এবং দ্রুত একটি অনুপ্রবেশ পরীক্ষকের অস্ত্রাগারে একটি আদর্শ হাতিয়ার হয়ে উঠেছে। SET লিখেছিলেন ডেভিড কেনেডি (ReL1K) এবং সম্প্রদায়ের অনেক সাহায্যে, এটি শোষণের টুলসেটে আগে কখনও দেখা যায়নি এমন আক্রমণকে অন্তর্ভুক্ত করেছে।

টুলকিটে নির্মিত আক্রমণগুলিকে একটি অনুপ্রবেশ পরীক্ষার সময় ব্যবহৃত ব্যক্তি বা সংস্থার বিরুদ্ধে লক্ষ্যবস্তু এবং ফোকাসড আক্রমণের জন্য ডিজাইন করা হয়েছে৷

SET ব্যবহার করে একটি ওয়েবসাইট ক্লোন করা সহজ। SET এর সাথে, ওয়েবসাইটটি ক্লোন করার আগে আমাদের কয়েকটি বিকল্পের মধ্য দিয়ে যেতে হবে। একবার আমরা SET চালু করলে, আমাদের নিম্নলিখিত বিকল্পগুলির প্রয়োজন হবে:

• সোশ্যাল-ইঞ্জিনিয়ারিং আক্রমণের জন্য বিকল্প 1 নির্বাচন করুন।

• ওয়েবসাইট অ্যাটাক ভেক্টর নির্বাচন করুন

• শংসাপত্র হারভেস্টার আক্রমণ পদ্ধতি নির্বাচন করুন।

  
  

পরবর্তী মেনু আপনাকে জিজ্ঞাসা করবে যে আপনি শিকারের শংসাপত্র সংগ্রহ করার জন্য কোন পদ্ধতিটি বেছে নিতে চান। এই উদাহরণে, আমরা চার্চের ওয়েবসাইট ক্লোনিং করব, তাই বিকল্প 2 বেছে নিন।

SET আপনাকে আপনার IP ঠিকানা জিজ্ঞাসা করবে যাতে এটি ক্লোন করা ওয়েবসাইট থেকে আপনার মেশিনে POST অনুরোধ পাঠাতে পারে। একবার আপনি SET-কে বলবেন যে আপনি একটি ওয়েবসাইট ক্লোন করতে চান, এটি তারপরে আপনি যে সাইটের ক্লোন করতে চান তার URL চাইবে।

একবার URL প্রবেশ করানো হলে, SET সাইটটিকে ক্লোন করবে এবং সাইটের সমস্ত POST অনুরোধ এই টার্মিনালে ফিরে প্রদর্শন করবে। এখন ক্লোন করা সাইটে নেভিগেট করার সময়।

এখন QR কোড তৈরিতে ফোকাস করার সময় এসেছে যা ব্যবহারকারীদের আমাদের নকল ওয়েবসাইটে পুনঃনির্দেশিত করবে। ইন্টারনেটে অনেক ওয়েবসাইট উপলব্ধ রয়েছে যা আপনাকে QR কোড তৈরি করতে দেয়, কিন্তু সোশ্যাল ইঞ্জিনিয়ারিং টুলকিট আমাদের জন্য একটি QR কোডও তৈরি করতে পারে। প্রক্রিয়া খুব সহজ; আমরা শুধু বিকল্প 9 নির্বাচন করি যা হল QRCode জেনারেটর অ্যাটাক ভেক্টর ।

SET একটি URL চাইবে যা এই QR কোড স্ক্যান করবে এমন ব্যবহারকারীদের পুনঃনির্দেশ করবে। আমরা URLটিকে আমাদের IP ঠিকানা হিসাবে ব্যবহার করব কারণ আমরা এই ঠিকানায় শ্রোতা সেট আপ করেছি৷

আপনি একটি QR কোড প্রদান করতে পারেন এমন অনেক উপায় আছে, কিন্তু আমরা এটিকে গির্জার পিউয়ের পিছনে আটকে দেব এবং পরে ক্ষমা চাইব।

চার্চে পাপীর মতো ঘামছে

আমি একটি প্রার্থনা বলেছিলাম যখন আমরা পিউতে বসে কিউআর কোড রেখেছিলাম। এটা শুধুমাত্র আমার জন্য অবশ্যই স্ক্যান করার জন্য ছিল, এবং আমরা শুধু একটি তত্ত্ব পরীক্ষা করছিলাম। "মুক্তা গেটস"-এ প্রবেশ করতে আমার বিরুদ্ধে আর বেশি চিহ্নের প্রয়োজন নেই। আমি একটা গভীর শ্বাস নিয়ে QR কোড স্ক্যান করলাম। আমার তৈরি করা ক্লোন করা ওয়েবসাইটটি আমাকে উপস্থাপন করা হয়েছিল।

আমি তারপর গিভ সেকশনে ক্লিক করেছি, এবং এটি গির্জাকে দেওয়ার জন্য সাইনআপের জন্য ইনপুট অংশ নিয়ে এসেছে।

আমি ধীরে ধীরে বিভাগগুলিতে সমস্ত তথ্য ইনপুট করেছি এবং সাবমিট ক্লিক করেছি। আমি তখন কোন তথ্য ধারণ করা হয়েছে কিনা তা দেখার জন্য অপেক্ষা করলাম। এটি সম্ভব হয়েছে এই কারণে যে আপনি যখন আমার তৈরি জাল ওয়েবসাইটটি অ্যাক্সেস করেন, তখন এটি পোর্ট 80-এ কাজ করে যা সমস্ত স্পষ্ট পাঠ্য যোগাযোগ।

মাত্র কয়েক মুহূর্ত অপেক্ষা করার পর, আমি আমার কম্পিউটার পরীক্ষা করে দেখলাম কোন অনুরোধ পাঠানো হয়েছে কিনা। আমি নিচের দিকে তাকালে দেখতে পেলাম যে ক্রেডিট কার্ডের মাধ্যমে যে অনুরোধগুলি করা হয়েছিল তা সফলভাবে ক্যাপচার করা হয়েছে৷ আক্রমণটি একটি জাল QR কোড দিয়ে কাজ করেছিল এবং একটি জাল ওয়েবসাইট ক্লোন করেছিল।

পাপী থেকে সেন্ট

আক্রমণটি আমার কাছে উদ্বেগজনক ছিল, কিন্তু এর কারণ হল আমি একজন সাইবার নিরাপত্তা পেশাদার এবং জানি কিভাবে আক্রমণ কাজ করে। গির্জার গড় সদস্যদের কাছে, যাজক আপনাকে QR কোড স্ক্যান করার নির্দেশ দিয়েছিলেন যদি আপনি দিতে চান, তারা এটিকে প্রশ্ন করবে না। QR কোডের সমস্যাটি এখানেই। একজন ব্যক্তি যিনি গির্জায় যোগদান করেন তিনি যখন QR কোডের ক্ষেত্রে কী করতে পারেন? আমাকে প্রতিশ্রুত জমি দেখাতে অনুমতি দিন।

• QR কোড স্ক্যান করার পরিবর্তে দিতে অ্যাপটি ব্যবহার করুন।

• গির্জা দিতে প্রকৃত ওয়েবসাইট ব্যবহার করুন.

• আপনি যদি একটি QR কোড স্ক্যান করেন, তাহলে ওয়েবসাইটের URL বিভাগটি বিশ্লেষণ করতে ভুলবেন না। আপনাকে বোকা বানানোর জন্য ব্যবহার করা অতিরিক্ত শব্দ বা চিহ্ন ছাড়াই সঠিকভাবে বানান করা উচিত।

• আপনি যদি একটি QR কোড স্ক্যান করেন, সবসময় সন্দেহজনক আইটেমগুলি পরীক্ষা করুন৷ খোলার সময় আপনার ব্রাউজারে সর্বদা একটি "HTTPS" থাকা উচিত এবং কখনও কখনও একটি কোম্পানি লেনদেনের জন্য একটি তৃতীয় পক্ষ ব্যবহার করবে, যেমন Stripe বা PayPal৷

QR কোডের ক্রমাগত ব্যবহারে অনেক ঝুঁকি রয়েছে। এবং কিছু যা নিরাপত্তার চেয়ে বেশি। লোকেরা একটি QR কোড নিয়ে আসা সহজ অ্যাক্সেস উপভোগ করে। লোকেদের স্ক্যান ছাড়া আর কিছু করার দরকার নেই এবং পরবর্তী যা আসে তা উপভোগ করুন। যদি পরবর্তীতে যা আসে তা আপনার ব্যাঙ্ক অ্যাকাউন্টের ব্যয়ে আসে যা কিছু সময়ের জন্য আপনার জীবনকে নষ্ট করে দিতে পারে? যেমন যীশু একবার বলেছিলেন, "আমি তোমাকে পাঠাচ্ছি, নেকড়েদের মধ্যে ভেড়া।"