সাবধান! নতুন ফিশিং টেকনিক পরিশীলিত ওয়েব অ্যাপ্লিকেশন সহ মোবাইল ব্যাংকিং ব্যবহারকারীদের লক্ষ্য করে
একটি নতুন এবং সম্পর্কিত ফিশিং কৌশল আবির্ভূত হয়েছে, যা iOS এবং Android উভয় প্ল্যাটফর্মে মোবাইল ব্যাঙ্কিং ব্যবহারকারীদের জন্য একটি গুরুতর হুমকি সৃষ্টি করেছে৷ অ্যান্টি-ম্যালওয়্যার বিক্রেতা ESET-এর সাম্প্রতিক সতর্কতা অনুসারে, সাইবার অপরাধীরা নিরাপত্তা ব্যবস্থা বাইপাস করতে এবং সংবেদনশীল ব্যাঙ্কিং শংসাপত্র চুরি করতে প্রগতিশীল ওয়েব অ্যাপ্লিকেশন (PWAs) এবং WebAPK-এর ব্যবহার করছে৷
সুচিপত্র
কিভাবে আক্রমণ কাজ করে
এই নতুন ফিশিং প্রচারাভিযান PWAs-এর নমনীয়তার সুবিধা নেয়, যেগুলো নেটিভ অ্যাপের মতো দেখতে এবং কাজ করার জন্য ডিজাইন করা ওয়েব অ্যাপ্লিকেশন। পিডব্লিউএ-র ব্যবহারকারীদের তৃতীয় পক্ষের অ্যাপ ইনস্টলেশন সক্ষম করার প্রয়োজন হয় না, যাতে সেগুলি কম সন্দেহজনক বলে মনে হয়। সাইবার অপরাধীরা iOS ব্যবহারকারীদের তাদের হোম স্ক্রিনে এই PWA যুক্ত করার জন্য নির্দেশ দিচ্ছে, যখন Android ব্যবহারকারীদের তাদের ব্রাউজারে কাস্টম পপ-আপ নিশ্চিত করতে বলা হচ্ছে, যার ফলে এই প্রতারণামূলক অ্যাপ্লিকেশনগুলি ইনস্টল করা হচ্ছে।
অ্যান্ড্রয়েড ব্যবহারকারীদের জন্য, হুমকি WebAPK ব্যবহার করে বেড়ে যায়। এগুলি মূলত আপগ্রেড করা পিডব্লিউএ যা বৈধ অ্যাপগুলির চেহারা এবং আচরণের অনুকরণ করে, প্রায়শই ব্যবহারকারীদের বোকা বানিয়ে বিশ্বাস করে যে তারা Google Play থেকে ডাউনলোড করেছে। ESET-এর গবেষণা হাইলাইট করে যে এই WebAPKগুলি সাধারণ নিরাপত্তা সতর্কতাগুলিকে ট্রিগার করে না, এমনকি ব্যবহারকারী অজানা উত্স থেকে অ্যাপ ইনস্টল করার অনুমতি না দিলেও৷ একবার ইনস্টল হয়ে গেলে, এই দূষিত অ্যাপ্লিকেশনগুলি ব্যবহারকারীর ডিভাইসে নির্বিঘ্নে মিশে যায়, আইকন এবং তথ্য প্রদর্শন করে যা প্রস্তাব করে যে তারা অফিসিয়াল ব্যাঙ্কিং অ্যাপ।
বিতরণ পদ্ধতি
এই ফিশিং অ্যাপ্লিকেশনগুলির বিতরণ স্বয়ংক্রিয় ভয়েস কল, সোশ্যাল মিডিয়া ম্যালভার্টাইজিং এবং এসএমএস বার্তাগুলির সংমিশ্রণের মাধ্যমে সংগঠিত হয়৷ ব্যবহারকারীদের সেই লিঙ্কগুলিতে ক্লিক করার জন্য প্রলুব্ধ করা হয় যা তাদের অফিসিয়াল অ্যাপ স্টোর বা লক্ষ্যযুক্ত ব্যাঙ্কের ওয়েবসাইটের মতো জাল ওয়েবসাইটের দিকে পরিচালিত করে। তারপরে তাদের মোবাইল ব্যাঙ্কিং অ্যাপের জন্য একটি আপডেট বলে মনে হচ্ছে তা ইনস্টল করতে বলা হয়।
ইনস্টলেশনের পরে, এই অ্যাপগুলি তাদের ব্যাঙ্কিং অ্যাকাউন্ট অ্যাক্সেস করার আড়ালে ব্যবহারকারীর লগইন শংসাপত্রের জন্য অনুরোধ করে৷ ব্যবহারকারীর অজানা, এই সংবেদনশীল তথ্য অবিলম্বে আক্রমণকারীদের কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারে পাঠানো হয়।
থ্রেট ল্যান্ডস্কেপ
ESET-এর তদন্ত ইঙ্গিত করে যে এই ফিশিং প্রচারাভিযান সম্ভবত নভেম্বর 2023-এ শুরু হয়েছিল, মার্চ 2024-এর মধ্যে C&C সার্ভারগুলি সক্রিয় হয়ে উঠবে৷ যদিও প্রাথমিক ফোকাস চেক প্রজাতন্ত্রের মোবাইল ব্যাঙ্কিং ব্যবহারকারীদের উপর করা হয়েছে, আক্রমণগুলি হাঙ্গেরি এবং জর্জিয়াতেও ব্যক্তিদের লক্ষ্য করেছে৷ ESET এই আক্রমণগুলির পিছনে দুটি পৃথক হুমকি অভিনেতা চিহ্নিত করেছে, প্রতিটি ব্যবহারকারীদের সাথে আপস করার জন্য একই কৌশল ব্যবহার করে।
তদুপরি, একটি ক্রমবর্ধমান উদ্বেগ রয়েছে যে এই আক্রমণকারীরা আরও কপিক্যাট অ্যাপ্লিকেশন বিকাশ করে তাদের অস্ত্রাগার প্রসারিত করবে। এই PWAs এবং WebAPK-এর পরিশীলিততা এগুলিকে বিশেষভাবে বিপজ্জনক করে তোলে, কারণ এগুলি বৈধ ব্যাঙ্কিং অ্যাপ থেকে প্রায় আলাদা করা যায় না৷
হুমকি থেকে নিজেকে রক্ষা করা
এই ধরনের উন্নত ফিশিং কৌশলগুলির উত্থানের সাথে, ব্যবহারকারীদের সতর্ক থাকা আগের চেয়ে অনেক বেশি গুরুত্বপূর্ণ। নিজেকে রক্ষা করার জন্য এখানে কিছু পদক্ষেপ আপনি নিতে পারেন:
- অ্যাপ ইন্সটলেশনের ক্ষেত্রে সতর্ক থাকুন : অফিসিয়াল অ্যাপ স্টোর থেকে সরাসরি আসে না এমন অ্যাপ ইনস্টল করা থেকে বিরত থাকুন। একটি লিঙ্কের মাধ্যমে একটি অ্যাপ বা আপডেট ইনস্টল করার জন্য অনুরোধ করা হলে, প্রথমে এটির বৈধতা যাচাই করুন।
- অস্বাভাবিক অনুরোধের জন্য সতর্ক থাকুন : লগইন শংসাপত্র বা ব্যাঙ্কিং বিবরণের মতো সংবেদনশীল তথ্যের অনুরোধ করে এমন কোনো অ্যাপ থেকে সতর্ক থাকুন, বিশেষ করে যদি এটি একটি আপডেট বলে দাবি করে।
- অবগত থাকুন : সর্বশেষ নিরাপত্তা খবরের সাথে আপ টু ডেট রাখুন এবং নিশ্চিত করুন যে আপনার ডিভাইসের নিরাপত্তা সফ্টওয়্যার আপডেট করা আছে যাতে এই ধরনের হুমকি শনাক্ত এবং ব্লক করা যায়।
এই নতুন ফিশিং কৌশলটি সাইবার অপরাধীদের ক্রমবর্ধমান কৌশল এবং ব্যবহারকারীদের মধ্যে উচ্চতর সচেতনতার প্রয়োজনীয়তার উপর জোর দেয়। যেহেতু বৈধ এবং প্রতারণামূলক অ্যাপ্লিকেশনের মধ্যে লাইনটি অস্পষ্ট হতে থাকে, তাই অবগত থাকা এবং সতর্ক থাকাই আপনার সর্বোত্তম প্রতিরক্ষা।