ঢাকা, বাংলাদেশ   শুক্রবার ০১ আগস্ট ২০২৫, ১৭ শ্রাবণ ১৪৩২

পাসওয়ার্ড চুরি হলে বদলাবেন না! প্রতারণা এড়াতে এফবিআই-এর পরামর্শ

প্রকাশিত: ০০:২৭, ১ আগস্ট ২০২৫

পাসওয়ার্ড চুরি হলে বদলাবেন না! প্রতারণা এড়াতে এফবিআই-এর পরামর্শ

ছবি: সংগৃহীত

'স্ক্যাটার্ড স্পাইডার'—নামটি শুনতে যতটা নিরীহ মনে হয়, বাস্তবে এটি ঠিক ততটাই ভয়ংকর। এই গ্রুপটি বর্তমানে অন্যতম বিপজ্জনক সাইবার হুমকি হিসেবে উঠে এসেছে, যারা রিটেইল ও এভিয়েশন খাতসহ বিভিন্ন গুরুত্বপূর্ণ খাতে একের পর এক ভয়াবহ র‍্যানসমওয়্যার হামলা চালিয়ে যাচ্ছে।

সম্প্রতি মার্কিন যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন (FBI) এবং সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) একটি হালনাগাদ যৌথ সাইবার নিরাপত্তা নির্দেশনা জারি করেছে। এতে একটি চমকপ্রদ সতর্কবার্তা দেওয়া হয়েছে—হ্যাকারদের হামলার পর পাসওয়ার্ড রিসেট না করতে বলা হয়েছে।

কেন পাসওয়ার্ড রিসেট না করার পরামর্শ?

প্রথমে শুনলে বিষয়টি অবাক করার মতো। সাধারণত পাসওয়ার্ড চুরি হলে সেটি রিসেট করার পরামর্শই দেওয়া হয়। গুগলসহ অধিকাংশ প্রযুক্তি প্রতিষ্ঠান দীর্ঘদিন ধরেই সেই পরামর্শ দিয়ে আসছে। তবে এফবিআই-এর এই পরামর্শ একটি নির্দিষ্ট প্রেক্ষাপটে দেওয়া—'স্ক্যাটার্ড স্পাইডার' হ্যাকারদের কৌশল লক্ষ্য করেই এমন নির্দেশনা।

২৯ জুলাইয়ের হালনাগাদ সতর্কবার্তায় (Alert Code: AA23-320A) এফবিআই জানিয়েছে, এই হ্যাকার গ্রুপটি “কর্মচারী সেজে আইটি ও হেল্পডেস্ক কর্মীদের ফোন করে সংবেদনশীল তথ্য হাতিয়ে নিচ্ছে, পাসওয়ার্ড রিসেট করাচ্ছে এবং মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) অন্য ডিভাইসে স্থানান্তর করাচ্ছে।”

তারা একাধিক ধাপে সামাজিক প্রতারণার (সোশ্যাল ইঞ্জিনিয়ারিং) মাধ্যমে তথ্য সংগ্রহ করছে। প্রথমে ফোন ও অন্যান্য যোগাযোগের মাধ্যমে তারা বুঝে নেয় কীভাবে হেল্পডেস্ক পাসওয়ার্ড রিসেট করে। এরপর সেই তথ্য ব্যবহার করে নির্দিষ্ট কোনো কর্মচারীর পরিচয়ে ফোন করে হেল্পডেস্ক থেকে পাসওয়ার্ড ও MFA নিয়ন্ত্রণ নিয়ে নেয়।

করণীয় কী?

এফবিআই ও CISA কিছু গুরুত্বপূর্ণ করণীয় নির্দেশনা দিয়েছে:

* ফিশিং-প্রতিরোধী মাল্টি-ফ্যাক্টর অথেনটিকেশন চালু করতে হবে, বিশেষ করে যে কোনো গুরুত্বপূর্ণ সিস্টেম বা অ্যাকাউন্টে।

* ভিশিং ও স্পিয়ারফিশিং থেকে সুরক্ষা পেতে কর্মীদের প্রশিক্ষণ নিশ্চিত করতে হবে।

* হেল্পডেস্কে পাসওয়ার্ড রিসেটের প্রক্রিয়া পর্যালোচনা করতে হবে। বিশেষ করে যেসব অ্যাকাউন্টে প্রশাসনিক (অ্যাডমিন) অধিকার রয়েছে, সেগুলোর ক্ষেত্রে কর্মচারীর পরিচয় যাচাই করার পদ্ধতি জোরদার করতে হবে।

* ব্রিটেনের ন্যাশনাল সাইবার সিকিউরিটি সেন্টারের (NCSC) হালনাগাদ সুপারিশগুলোও অনুসরণ করার পরামর্শ দেওয়া হয়েছে।

পাসওয়ার্ড চুরি হলে তা রিসেট করাই যেন স্বাভাবিক নিয়ম—এই ধারণা থেকে বেরিয়ে এসে পরিস্থিতিভিত্তিক ব্যবস্থা নিতে হবে। হ্যাকারদের কৌশল যদি পাসওয়ার্ড রিসেট করিয়ে কন্ট্রোল নেওয়ার হয়, তাহলে রিসেট করাটাই হতে পারে বিপদের মূল। এই জটিল বাস্তবতায় প্রযুক্তি প্রতিষ্ঠান ও কর্মীদের আরও সচেতন হতে হবে।

আসিফ

×