গুগল অ্যাপশিটকে কাজে লাগিয়ে ৩০ হাজার ফেসবুক অ্যাকাউন্ট হ্যাকের নেপথ্যে

তথ্য-প্রযুক্তি কণ্ঠ ডেস্ক :

২০২৬ সালের মে মাসে সাইবার নিরাপত্তা প্রতিষ্ঠান গার্ডিও যে তথ্য প্রকাশ করেছে, তা শুধু ফেসবুক ব্যবহারকারী নয়, পুরো ডিজিটাল নিরাপত্তা ব্যবস্থার জন্য একটি বড় সতর্কবার্তা। ভিয়েতনামভিত্তিক একটি সুসংগঠিত চক্র ‘অ্যাকাউন্টডাম্পলিং’ নামের নতুন কৌশলে প্রায় ৩০ হাজার ফেসবুক অ্যাকাউন্ট হ্যাক করে অনলাইনে বিক্রি করছে। এই ঘটনা প্রমাণ করে, ফিশিং এখন আর শুধু নকল ইমেইল বা ওয়েবসাইটের মধ্যে সীমাবদ্ধ নেই — বৈধ প্ল্যাটফর্মকেই অস্ত্র বানানো হচ্ছে।

কীভাবে কাজ করছে ‘অ্যাকাউন্টডাম্পলিং’ কৌশল

গার্ডিওর গবেষক শেকড চেনের মতে, এটি এককালীন কোনো আক্রমণ নয়, বরং ধারাবাহিক ও বিবর্তিত একটি অপরাধমূলক অপারেশন। এর পেছনে রয়েছে রিয়েল-টাইম অপারেটর প্যানেল, অটোমেশন টুল এবং বাণিজ্যিক কাঠামো। হ্যাকাররা মূলত চারটি ধাপে কাজটি করছে:

আরও পড়ুন

প্রযুক্তি নিয়ে ২৪টি ভুল ধারণা: আপনি যা জানেন, তার সবই সত্য নয়

৩০ এপ্রিল ২০২৬

ভিউ’র নেশায় নীতি বিসর্জন: প্রযুক্তির হাত ধরে এগিয়ে যাওয়া বিনোদন সাংবাদিকতা কি এখন নায়িকাদের ‘টপ অ্যাঙ্গেল’ ট্র্যাপে বন্দি?

২১ এপ্রিল ২০২৬

স্ক্রিনের ভেতর শৈশব—মুঠোফোন কি ধ্বংসের অস্ত্র, নাকি জ্ঞানের জানালা?

১৭ এপ্রিল ২০২৬

১. গুগল অ্যাপশিটকে ‘ট্রাস্টেড সেন্ডার’ হিসেবে ব্যবহার
আক্রমণের শুরুটা হয় টার্গেটেড ফিশিং ই-মেইল দিয়ে। হ্যাকাররা গুগলের ‘অ্যাপশিট’ প্ল্যাটফর্ম ব্যবহার করে ই-মেইল পাঠায়। যেহেতু ই-মেইলটি আসে `noreply@appsheet.com` থেকে, তাই জিমেইল বা কর্পোরেট স্প্যাম ফিল্টার একে বৈধ মনে করে। মেইলে দাবি করা হয়, “আপনার ফেসবুক বিজনেস অ্যাকাউন্টে নীতিমালা লঙ্ঘন ধরা পড়েছে। ২৪ ঘণ্টার মধ্যে আপিল না করলে অ্যাকাউন্ট স্থায়ীভাবে বন্ধ হবে।” আতঙ্কিত হয়ে ব্যবহারকারী মেইলে দেওয়া ‘আপিল’ বাটনে ক্লিক করেন।

২. নকল সাপোর্ট পেজ ও তথ্য সংগ্রহ
লিংকটি ব্যবহারকারীকে নিয়ে যায় নেটলিফাই বা ভেরসেলে হোস্ট করা হুবহু মেটা সাপোর্টের মতো দেখতে একটি পেজে। এখানে তিনটি উপ-কৌশল ব্যবহার করা হয়:

পরিচয়পত্র সংগ্রহ: ‘অ্যাকাউন্ট ভেরিফাই’ করার নামে জন্মতারিখ, ফোন নম্বর, সরকারি আইডি কার্ডের ছবি চাওয়া হয়। তথ্যগুলো সরাসরি হ্যাকারদের টেলিগ্রাম বটে চলে যায়।

ব্লু-ব্যাজের ফাঁদ: ‘আপনার পেজ বিনামূল্যে ভেরিফাই করা হবে’— এমন প্রলোভন দেখিয়ে নকল ক্যাপচা যাচাইয়ের পর পাসওয়ার্ড, বিজনেস ম্যানেজার আইডি এবং টু-ফ্যাক্টর অথেন্টিকেশনের কোড নেওয়া হয়।

ক্যানভায় তৈরি পিডিএফ: গুগল ড্রাইভে রাখা একটি পিডিএফ ডাউনলোড করতে বলা হয়। পিডিএফে নির্দেশনা থাকে — ব্রাউজারের স্ক্রিনশট ও কুকি ফাইল আপলোড করতে। এতে হ্যাকার সেশন হাইজ্যাক করতে পারে, 2FA থাকলেও লাভ হয় না।

৩. চাকরির প্রলোভন
মেটা, অ্যাপল, কোকা-কোলার মতো ব্র্যান্ডের নামে ভুয়া চাকরির অফার পাঠানো হয়। প্রথমে কয়েক দফা ইন্টারভিউ নিয়ে বিশ্বাস অর্জন করা হয়। পরে ‘অনবোর্ডিং ফর্ম’ পূরণের নামে ফেসবুক লগইন করতে বলা হয়।

৪. রিয়েল-টাইম অপারেশন ও বিক্রি
চুরি করা তথ্য টেলিগ্রাম চ্যানেলে রিয়েল-টাইমে পোস্ট হয়। একজন অপারেটর সঙ্গে সঙ্গে লগইন করে পাসওয়ার্ড বদলে ফেলে, বিজনেস ম্যানেজার থেকে আসল অ্যাডমিনদের সরিয়ে দেয়। এরপর অ্যাকাউন্টগুলো ডার্কওয়েব মার্কেটপ্লেস ও টেলিগ্রাম গ্রুপে বিক্রি হয়। বিজনেস অ্যাকাউন্ট, বিশেষ করে যেগুলোতে অ্যাড অ্যাকাউন্ট চালু আছে বা পুরনো পেজ আছে, সেগুলোর দাম ৫০ থেকে ১৫০০ ডলার পর্যন্ত ওঠে।

কেন বিজনেস অ্যাকাউন্টই মূল টার্গেট

গার্ডিওর তথ্য বলছে, ৩০ হাজার ভুক্তভোগীর বড় অংশই যুক্তরাষ্ট্র, ভারত, ফিলিপাইন, যুক্তরাজ্য ও ব্রাজিলের। এর কারণ:
১. বিজ্ঞাপন ক্রেডিট: হ্যাক করা অ্যাকাউন্ট দিয়ে হ্যাকাররা নিজেদের বিজ্ঞাপন চালায়। বিল ওঠে আসল মালিকের কার্ডে।

২. বিশ্বাসযোগ্যতা: পুরনো পেজ বা হাজার ফলোয়ারের আইডি দিয়ে স্ক্যাম চালালে মানুষ সহজে বিশ্বাস করে।

৩. বিজনেস ম্যানেজার অ্যাক্সেস: একবার বিজনেস ম্যানেজারে ঢুকতে পারলে একসঙ্গে অনেক পেজ, অ্যাড অ্যাকাউন্ট, পিক্সেলের নিয়ন্ত্রণ নেওয়া যায়।

গুগল অ্যাপশিট কেন বিপজ্জনক হয়ে উঠল

অ্যাপশিট মূলত ‘নো-কোড’ অ্যাপ বানানোর জন্য গুগলের একটি বৈধ টুল। এখানে ‘অটোমেশন’ ফিচার দিয়ে ট্রিগার-ভিত্তিক ই-মেইল পাঠানো যায়। হ্যাকাররা এই সুবিধাটাই কাজে লাগিয়েছে। যেহেতু ডোমেইনটি `appsheet.com` এবং গুগলের নিজস্ব, তাই SPF, DKIM, DMARC সব নিরাপত্তা পরীক্ষায় উতরে যায়। সাধারণ ব্যবহারকারীর পক্ষে বোঝা প্রায় অসম্ভব যে এটি ফিশিং।

গুগলকে জানানোর পর তারা কিছু অ্যাকাউন্ট বন্ধ করেছে, কিন্তু অ্যাপশিটের অপব্যবহার ঠেকাতে নতুন নীতিমালা এখনো পরীক্ষাধীন।

ভুক্তভোগীরা কী ধরনের ক্ষতির মুখে পড়ছেন

১. আর্থিক ক্ষতি: অ্যাড অ্যাকাউন্ট থেকে হাজার ডলারের বিজ্ঞাপন চালানো হচ্ছে। কার্ডে চার্জ আসার পর অনেকে টের পাচ্ছেন।
২. রেপুটেশনাল ক্ষতি : হ্যাকড পেজ থেকে ক্রিপ্টো স্ক্যাম, জুয়া বা ভুয়া পণ্যের বিজ্ঞাপন দেওয়া হচ্ছে। এতে ব্র্যান্ড ইমেজ নষ্ট হচ্ছে।
৩. ডেটা লিক: আইডি কার্ড, ফোন নম্বর, ই-মেইল হ্যাকারদের হাতে চলে যাওয়ায় পরবর্তীতে আইডেন্টিটি থেফটের ঝুঁকি বাড়ছে।
৪. অ্যাকাউন্ট ফেরত পেতে জটিলতা: মেটার সাপোর্টে রিপোর্ট করলেও যাচাই প্রক্রিয়া দীর্ঘ। বিজনেস অ্যাকাউন্ট ফেরত পেতে অনেকের ৩০-৬০ দিন লেগে যাচ্ছে।

মেটা ও নিরাপত্তা বিশেষজ্ঞরা কী বলছেন

মেটার একজন মুখপাত্র জানিয়েছেন, “আমরা ফিশিং ডোমেইন শনাক্ত করে প্রতিদিন হাজার হাজার লিংক ব্লক করি। ব্যবহারকারীদের অনুরোধ করব, ই-মেইলে আসা লিংকে ক্লিক না করে সরাসরি business.facebook.com এ গিয়ে নোটিফিকেশন চেক করুন।”

গার্ডিও সুপারিশ করেছে, গুগলের উচিত অ্যাপশিট থেকে বাল্ক ই-মেইল পাঠানোর আগে কনটেন্ট স্ক্যান করা। একইসঙ্গে নেটলিফাই, ভেরসেলের মতো হোস্টিং প্ল্যাটফর্মগুলোরও ফিশিং রিপোর্টের ক্ষেত্রে দ্রুত পদক্ষেপ নেওয়া দরকার।

আপনার অ্যাকাউন্ট নিরাপদ রাখতে ৮টি জরুরি পদক্ষেপ

ফিশিং ই-মেইল : মেটা কখনোই জিমেইল বা অ্যাপশিট থেকে মেইল পাঠায় না। প্রেরকের ঠিকানা `@facebookmail.com` বা `@support.facebook.com` কিনা দেখুন। সন্দেহ হলে লিংকে ক্লিক না করে সরাসরি ফেসবুক অ্যাপে ঢুকে ‘Support Inbox’ চেক করুন।

পাসওয়ার্ড চুরি : প্রতিটি সাইটের জন্য আলাদা পাসওয়ার্ড ব্যবহার করুন। পাসওয়ার্ড ম্যানেজার ব্যবহার করলে ফিশিং সাইটে অটো-ফিল হবে না, তখনই সতর্ক হবেন।

2FA বাইপাস : SMS-ভিত্তিক 2FA-এর বদলে অথেন্টিকেটর অ্যাপ বা হার্ডওয়্যার কী ব্যবহার করুন। ‘লগইন অ্যাপ্রুভাল’ অন রাখুন। |

সেশন হাইজ্যাক : অপরিচিত কাউকে ব্রাউজারের স্ক্রিনশট বা `facebook.com/cookies` ফাইল দেবেন না। Settings > Security > Where you’re logged in থেকে অচেনা ডিভাইস রিমুভ করুন।

বিজনেস ম্যানেজার : Business Settings > Business Info > Business Users এ গিয়ে নিয়মিত অ্যাডমিন লিস্ট চেক করুন। ‘Finance Editor’ রোল অপ্রয়োজনীয় কাউকে দেবেন না।

পেজ রোল : আপনার পেজে ‘Admin’ ছাড়াও একজন বিশ্বস্ত ব্যাকআপ অ্যাডমিন রাখুন। হ্যাক হলেও যেন পেজ রিকভার করা যায়।

অ্যাড অ্যাকাউন্ট লিমিট : Billing > Payment Settings থেকে ‘Account Spending Limit’ সেট করুন। এতে হ্যাক হলেও বড় অঙ্কের বিল উঠবে না।

*সচেতনতা : টিমের সবাইকে নিয়ে মাসে একবার ফিশিং ড্রিল করুন। মেটার ‘Security Checkup’ টুল প্রতি মাসে চালান। |

হ্যাক হয়ে গেলে কী করবেন :

১. তাৎক্ষণিক রিপোর্ট: facebook.com/hacked এ গিয়ে ‘My account is compromised’ সিলেক্ট করুন।

২. পুলিশ রিপোর্ট: বাংলাদেশে সাইবার পুলিশের হেল্পলাইন ৯৯৯ বা cid.gov.bd তে GD করুন। আর্থিক ক্ষতি হলে এটি প্রমাণ হিসেবে লাগবে।

৩. কার্ড ব্লক : বিজ্ঞাপনের জন্য যে কার্ড অ্যাড করা ছিল, ব্যাংকে ফোন দিয়ে ট্রানজেকশন বন্ধ করুন ও চার্জব্যাক ক্লেইম করুন।

৪. বন্ধুদের জানান: হ্যাকড আইডি থেকে টাকা চাওয়া বা স্ক্যাম লিংক যেতে পারে। টাইমলাইনে পোস্ট দিয়ে সবাইকে সতর্ক করুন।

বড় ছবি: বৈধ টুলের অপব্যবহারই নতুন ট্রেন্ড

‘অ্যাকাউন্টডাম্পলিং’ আমাদের চোখে আঙুল দিয়ে দেখিয়ে দিল, সাইবার অপরাধীরা এখন আর শুধু ডার্কওয়েবে থাকছে না। গুগল ড্রাইভ, ক্যানভা, নেটলিফাই, টেলিগ্রাম — সব বৈধ টুলকে একসঙ্গে জোড়া দিয়ে ‘সার্ভিস হিসেবে ফিশিং’ বা PhaaS মডেল তৈরি করছে।

২০২৬ সালের জানুয়ারিতেও একই ধরনের ফিশিং ফাঁদের খবর এসেছিল। তখন টার্গেট ছিল সাধারণ ইউজার। এবার টার্গেট বিজনেস। অর্থাৎ হ্যাকাররা বুঝে গেছে, যেখানে টাকা, সেখানেই আক্রমণ।

ফেসবুক অ্যাকাউন্ট এখন আর শুধু সামাজিক যোগাযোগের প্রোফাইল নয়। ছোট উদ্যোক্তা থেকে শুরু করে বড় ব্র্যান্ড — সবার ব্যবসা, লেনদেন, কাস্টমার ডেটা এর সঙ্গে জড়িত। তাই ‘অ্যাকাউন্টডাম্পলিং’-এর মতো ঘটনা ব্যক্তিগত ক্ষতির পাশাপাশি ডিজিটাল অর্থনীতির জন্যও হুমকি।

প্রযুক্তি প্রতিষ্ঠানগুলোর দায় আছে, কিন্তু সবচেয়ে বড় দায় ব্যবহারকারীর সচেতনতার। মনে রাখবেন, মেটা বা গুগল কখনোই ই-মেইলে আপনার পাসওয়ার্ড, আইডি কার্ড বা 2FA কোড চাইবে না। তাড়াহুড়ো করে কোনো লিংকে ক্লিক করার আগে ১০ সেকেন্ড ভাবুন — এই ১০ সেকেন্ডই আপনার ব্যবসা ও সম্মান বাঁচিয়ে দিতে পারে। তথ্যসূত্র: গার্ডিও সিকিউরিটি রিপোর্ট, দ্য হ্যাকার নিউজ, মেটা বিজনেস হেল্প সেন্টার।

প্রকাশিত : মঙ্গলবার, ০৫ মে ২০২৬ খ্রি.

ডায়াবেট্সি হলে কি করবেন?