The way CEO Fraud is raising money
প্রতিষ্ঠানের প্রধান নির্বাহী কর্মকর্তা (সিইও) তাঁর আর্থিক কর্মকর্তাকে দিনের বেলা নানা রকম মেইল করেন। কোনো দিন হয়তো আর্থিক কর্মকর্তা দেখলেন তাঁর প্রতিষ্ঠানপ্রধান মেইলে লিখছেন, ‘একটি প্রতিষ্ঠানের সঙ্গে চুক্তি হয়েছে। জরুরি কয়েক লাখ টাকা লাগবে। আজকের অফিস শেষ হওয়ার আগেই পাঠিয়ে দাও।’ ওই কর্মী বসের আদেশে হয়তো কোনো একটি ঠিকানায় অর্থ স্থানান্তর করে দিলেন। কিন্তু এ টাকা কি প্রকৃত প্রতিষ্ঠানে গেল? প্রকৃত প্রতিষ্ঠান যখন টাকা পায়নি বলে দাবি করে বসল, তখনই মাথায় হাত! তখনই জানা যাবে টাকা প্রতারকেরা হাতিয়ে নিয়েছে। সাইবার জগতের এ প্রতারকদের ধরা সহজ নয়। নানা উপায়ে এসব অর্থ ব্যাংকিং চ্যানেল থেকে সরিয়ে ফেলে সাইবার দুর্বৃত্তরা।
সাইবার নিরাপত্তা বিশেষজ্ঞরা বলেন, এ ধরনের ঘটনা প্রায়ই ঘটে। এতে আর্থিক কর্মকর্তা বা প্রতিষ্ঠানপ্রধানের কিছুই করার থাকে না। একেবারে সিইওর মেইলের মতো একটি মেইল থেকে এ ধরনের বার্তা আসে বলে সহজে কারও পক্ষে তা ধরা যায় না। অনেক সময় অ্যাকাউন্ট হ্যাক না করেও এ ধরনের মেইল জালিয়াতি করতে পারে দুর্বৃত্তরা। অর্থাৎ, মেইলের ওপর এখন আর সম্পূর্ণ আস্থা রাখা যায় না।
বিবিসির এক প্রতিবেদনে বলা হয়, মেইলের মাধ্যমে ফাঁসিয়ে যে সাইবার আক্রমণ করা হলো তাকে বলা হয় ‘বিজনেস ই–মেইল কম্প্রোমাইজ’ বা ‘সিইও ফ্রড’। এ ধরনের আক্রমণে খুব স্বল্প প্রযুক্তি কাজে লাগানো হয়। প্রচলিত হ্যাকিংয়ের বদলে সোশ্যাল ইঞ্জিনিয়ারিং বা কৌশল খাটানো হয় বেশি। প্রতারকেরা প্রতিষ্ঠানের প্রধান নির্বাহীর মেইলের মতো ভুয়া মেইল তৈরি করে এবং প্রতিষ্ঠানের স্পর্শকাতর কর্মীদের কাছে বিশ্বাসযোগ্যভাবে সে মেইল পাঠায়। মেইল এমনভাবে পাঠানো হয় যাতে তা প্রতিষ্ঠানপ্রধানের মেইল বলেই মনে হয়। এতে সন্দেহ তৈরি হয় না।
যুক্তরাষ্ট্রের কেন্দ্রীয় গোয়েন্দা সংস্থা এফবিআইয়ের তথ্য অনুযায়ী, সিইও ফ্রডের সংখ্যা ব্যাপক হারে বাড়ছে। ২০১৬ সাল থেকে এ ধরনের প্রতারণার কারণে বিশ্বজুড়ে প্রায় ২৬ বিলিয়ন মার্কিন ডলার লোকসান হয়েছে। স্ক্যামের ভিত্তিতে সাইবার অপরাধের নেটওয়ার্ক চালানোর অভিযোগে এ মাসের শুরুতে বিশ্বের ১০টি দেশে ২৮১ জন সন্দেহভাজন হ্যাকারকে আটক করা হয়েছে।
সাইবার নিরাপত্তা প্রতিষ্ঠান প্রুফপয়েন্টের নির্বাহী ভাইস প্রেসিডেন্ট রায়ান কালেম্বর বলেন, বিজনেস ই–মেইল কম্প্রোমাইজ (বিইসি) এখন সাইবার নিরাপত্তার ক্ষেত্রে সবচেয়ে ব্যয়বহুল সমস্যা। অর্থ খোয়ানোর হিসাব ধরলে এই একটি সাইবার অপরাধ অন্যান্য স্ক্যামের চেয়ে অনেক বেশি ঝুঁকিপূর্ণ।
প্রুফপয়েন্টের তথ্য অনুযায়ী, হ্যাকাররা সিইও এবং সিএফওদের লক্ষ্য করে বেশি হামলা চালায়। তবে এর বাইরে এখন প্রতিষ্ঠানের নিম্নস্তরের কর্মীদেরও ফাঁদে ফেলার চেষ্টা করে প্রতিষ্ঠানটি। অনলাইনে সহজে খুঁজে পাওয়া যায় এমন ই–মেইল ও ঠিকানা থেকে তথ্য সংগ্রহ করে এসব আক্রমণ চালায় তারা। অনেক সময় কর্মীর ই–মেইল হ্যাক করে মানবসম্পদ বিভাগে তাঁর বেতন–ভাতা নতুন ব্যাংক অ্যাকাউন্টে পাঠাতে বলা হয়।
প্রুফপয়েন্টের তথ্য অনুযায়ী, সন্দেহজনক ৩০ শতাংশের বেশি ই–মেইল পাঠানো হয় সোমবার। এতে তারা পুরো সপ্তাহটিকে কাজে লাগানোর সুযোগ পায়।
কালেম্বার বলেন, আক্রমণকারী অনেক দক্ষ ও অফিসের কাজকর্ম সম্পর্কে ব্যাপকভাবে তথ্য সংগ্রহ করে এ ধরনের হামলা চালায় বলে সহজে ধরা যায় না। তারা কর্মীর ভুলের দিকে তাকিয়ে থাকে। তাই এ ধরনের ঘটনায় প্রতিষ্ঠানের কারিগরি ত্রুটির চেয়ে কর্মীর সচেতনতা বেশি গুরুত্বপূর্ণ।
ই–মেইলের মাধ্যমে আক্রমণের আরেকটি নতুন পদ্ধতি হচ্ছে ‘মেইল ফরোয়ার্ড’। এখন অনেক প্রতিষ্ঠানের কর্মকর্তারা বিভিন্ন মেইল ফরোয়ার্ড করেন বা একটি মেইলে নানা রকম আলোচনা চালিয়ে যান। সাইবার দুর্বৃত্তরা এ সুযোগ নেয়। তারা অনেক সময় মেইলের বিষয়বস্তু হিসেবে Re: বা Fwd: কথাটি জুড়ে দেয়, যাতে এটি আগের কোনো মেইলের অংশ বলে মনে হয়। অনেক সময় প্রতিষ্ঠানের কারও কাছ থেকে আসা মেইলের অনুলিপিও মনে হতে পারে। অনেক সময় পুরো মেইলের হিস্ট্রি সাজিয়ে রাখে তারা।
গবেষকেদের মতে, মেইলের মাধ্যমে ধোঁকা দেওয়ার এ পদ্ধতি ৫০ শতাংশ বেড়ে গেছে। প্রতিষ্ঠানের অসচেতন কর্মীদের কারণে এ ধরনের মেইল প্রতারণা সহজে দূর করা সম্ভব হয় না।
এ ধরনের আক্রমণের ক্ষেত্রে সচেতনতা সৃষ্টি ও আর্থিক লেনদেনে টু-ফ্যাক্টর-অথেনটিকেশন চালু করার পরামর্শ দেন বিশেষজ্ঞরা।
