কলফ্যান্টম অ্যান্ড্রয়েড স্ক্যাম
কলফ্যান্টম ক্যাম্পেইনটি উন্মোচন করেছে যে, কীভাবে সাইবার অপরাধীরা প্রতারণামূলক অ্যান্ড্রয়েড অ্যাপ্লিকেশনের মাধ্যমে জনসাধারণের কৌতূহল এবং ভুল তথ্যকে কাজে লাগিয়ে বিপুল মুনাফা অর্জন করতে পারে। অফিসিয়াল গুগল প্লে স্টোরের মাধ্যমে বিতরণ করা এই ২৮টি ক্ষতিকারক অ্যাপের গুচ্ছটি যেকোনো ফোন নম্বরের সাথে যুক্ত কল লগ, এসএমএস রেকর্ড এবং হোয়াটসঅ্যাপ কার্যকলাপ পুনরুদ্ধার করার মিথ্যা দাবি করত। গুগল অ্যাপ্লিকেশনগুলো সরিয়ে ফেলার আগেই, এই ক্যাম্পেইনটি ৭৩ লক্ষেরও বেশি ডাউনলোড অর্জন করেছিল।
সুচিপত্র
বৈধ পরিষেবার ছদ্মবেশে অসম্ভব দাবি
কলফ্যান্টম ক্লাস্টারের প্রতিটি অ্যাপ্লিকেশন একই প্রতারণামূলক কার্যকারিতা প্রচার করত। ব্যবহারকারীদের একটি ফোন নম্বর প্রবেশ করাতে বলা হতো, যার পরে অ্যাপগুলো কল রেকর্ড, টেক্সট মেসেজ এবং হোয়াটসঅ্যাপ কথোপকথনসহ সম্পূর্ণ যোগাযোগের ইতিহাস তৈরি করে দিত বলে দাবি করা হতো।
প্রযুক্তিগত দৃষ্টিকোণ থেকে, এই দাবিগুলো একেবারেই অসম্ভব ছিল। অ্যান্ড্রয়েডের নিরাপত্তা এবং অনুমতি কাঠামো অ্যাপ্লিকেশনগুলোকে অন্য ব্যবহারকারীর ব্যক্তিগত যোগাযোগের তথ্য অ্যাক্সেস করতে বাধা দেয়। আসল তথ্য পুনরুদ্ধার করার পরিবর্তে, অ্যাপগুলো অ্যাপ্লিকেশন কোডের মধ্যেই সরাসরি এমবেড করা হার্ডকোডেড ফোন নম্বর, পূর্বনির্ধারিত নাম এবং এলোমেলোভাবে নির্ধারিত টাইমস্ট্যাম্প থেকে তৈরি মনগড়া ফলাফল প্রদর্শন করছিল।
গবেষকরা পুরো প্রচারাভিযান জুড়ে ব্যবহৃত দুটি প্রধান কার্যপ্রণালী মডেল চিহ্নিত করেছেন:
- একদল অ্যাপ তাৎক্ষণিকভাবে সীমিত সংখ্যক ভুয়া ফলাফল দেখানোর পর কথিত 'সম্পূর্ণ ইতিহাস' আনলক করার জন্য অর্থ দাবি করেছিল।
- আরেকটি দল ব্যবহারকারীদের ইমেল ঠিকানা সংগ্রহ করত, ইমেলের মাধ্যমে বিস্তারিত তথ্য সরবরাহের প্রতিশ্রুতি দিত এবং কোনো ফলাফল পাঠানোর আগেই অর্থ দাবি করত।
উভয় ক্ষেত্রেই, ভুক্তভোগীরা এমন তথ্যের জন্য অর্থ প্রদান করেছিলেন যার কোনো অস্তিত্বই ছিল না।
ফেরত এড়ানোর জন্য পরিকল্পিত কারসাজিপূর্ণ অর্থপ্রদান ব্যবস্থা
কলফ্যান্টমের পেছনের অপারেটররা রাজস্ব সর্বাধিক করার জন্য এবং সফলভাবে অর্থ ফেরত পাওয়ার সম্ভাবনা কমানোর জন্য বিভিন্ন পেমেন্ট পদ্ধতি ব্যবহার করেছিল। কিছু লেনদেন অফিসিয়াল গুগল প্লে বিলিং পরিকাঠামোর মাধ্যমে সম্পন্ন করা হতো, যা ব্যবহারকারীদের চার্জ নিয়ে আপত্তি জানানোর সীমিত সুযোগ দিত। তবে, অনেক অ্যাপ ভুক্তভোগীদের তৃতীয় পক্ষের ইউপিআই পেমেন্ট অ্যাপ্লিকেশন বা এমবেডেড কার্ড পেমেন্ট ফর্মে পাঠিয়ে দিয়ে গুগল প্লে বিলিংকে পুরোপুরি এড়িয়ে যেত।
এই কৌশলগুলো গুগলের নীতিমালা লঙ্ঘন করেছিল এবং ক্ষতিগ্রস্ত ব্যবহারকারীদের জন্য অর্থ ফেরতের প্রক্রিয়াকে উল্লেখযোগ্যভাবে জটিল করে তুলেছিল। এর কিছু সংস্করণ ফায়ারবেস সার্ভার থেকে গতিশীলভাবে পেমেন্ট ইউআরএল সংগ্রহ করার মাধ্যমে কার্যকারিতার নমনীয়তা বাড়িয়ে দিয়েছিল। এর ফলে আক্রমণকারীরা ইচ্ছামতো পেমেন্ট অ্যাকাউন্ট পরিবর্তন করতে পারত এবং নিরাপত্তা ব্যবস্থা দ্বারা স্বয়ংক্রিয়ভাবে শনাক্তকরণ অনেক বেশি কঠিন হয়ে পড়েছিল।
এর একটি বিশেষ প্রতারণামূলক সংস্করণে মনস্তাত্ত্বিক কৌশল ব্যবহার করা হয়েছিল। কোনো ব্যবহারকারী পেমেন্ট সম্পন্ন না করে অ্যাপটি বন্ধ করার চেষ্টা করলে, অনুরোধ করা কল হিস্টোরির ফলাফল এইমাত্র ইনবক্সে এসেছে বলে দাবি করে নকল নোটিফিকেশনের মতো অ্যালার্ট দেখা যেত। এই অ্যালার্টগুলোর একমাত্র উদ্দেশ্য ছিল ব্যবহারকারীদের ফিরে এসে পেমেন্ট চূড়ান্ত করতে চাপ দেওয়া।
আঞ্চলিক লক্ষ্য নির্ধারণ এবং আর্থিক ঝুঁকি
এই প্রচারণার মূল লক্ষ্য ছিল ভারত এবং এশিয়া-প্যাসিফিক অঞ্চলের ব্যবহারকারীরা। স্থানীয় ব্যবহারকারীদের কাছে বৈধতার ধারণাটি আরও জোরালো করার জন্য অনেক অ্যাপ্লিকেশন স্বয়ংক্রিয়ভাবে ভারতের +91 কান্ট্রি কোড বেছে নিত। সাবস্ক্রিপশন প্ল্যানগুলোর মূল্য ছিল প্রায় ৫ থেকে ৮০ মার্কিন ডলার এবং এগুলো সাপ্তাহিক, মাসিক ও বার্ষিক পেমেন্টের মাধ্যমে বাজারজাত করা হতো।
তাৎক্ষণিক আর্থিক ক্ষতির বাইরেও, যেসব ভুক্তভোগী অনানুষ্ঠানিক ইন-অ্যাপ চেকআউট ফর্মের মাধ্যমে পেমেন্ট কার্ডের তথ্য দিয়েছেন, তারা অননুমোদিত চার্জ বা পেমেন্টের তথ্যের অপব্যবহারসহ অতিরিক্ত ঝুঁকির সম্মুখীন হতে পারেন।
কীভাবে কলফ্যান্টম বিপজ্জনক অনুমতি ছাড়াই বিশ্বাসের অপব্যবহার করেছিল
কলফ্যান্টম অপারেশনের অন্যতম উল্লেখযোগ্য দিক ছিল সংবেদনশীল অ্যান্ড্রয়েড অনুমতির অনুরোধ না করেই ব্যাপক আর্থিক ক্ষতি সাধনের ক্ষমতা। এই সম্পূর্ণ জালিয়াতিটি প্রযুক্তিগত কৌশলের পরিবর্তে সোশ্যাল ইঞ্জিনিয়ারিংয়ের ওপর নির্ভরশীল ছিল। ব্যবহারকারীদের অসম্ভব দাবি বিশ্বাস করতে, মনগড়া তথ্যের জন্য অর্থ প্রদান করতে এবং দুর্বলভাবে সুরক্ষিত অর্থপ্রদানের মাধ্যমগুলোর মাধ্যমে অজান্তেই টাকা দিয়ে দিতে প্ররোচিত করা হতো।
যদিও কলফ্যান্টমের মতো প্রচারণা তুলনামূলকভাবে বিরল, বেশিরভাগ সাইবার অপরাধমূলক কার্যকলাপ ব্যবহারকারীদের সফটওয়্যার ডাউনলোড করতে, কেনাকাটা করতে বা সংবেদনশীল তথ্য প্রকাশ করতে প্ররোচিত করার জন্য ভয়, তাগিদ বা প্রতারণার ওপর ব্যাপকভাবে নির্ভর করে।
সতর্কীকরণ চিহ্ন এবং সুরক্ষামূলক ব্যবস্থা
শনাক্তকৃত সমস্ত কলফ্যান্টম অ্যাপ্লিকেশন বিশ্বাসযোগ্য দেখানোর জন্য বিভ্রান্তিকর নাম, মনগড়া বিবরণ এবং কৃত্রিমভাবে বাড়ানো রেটিং ব্যবহার করে অফিসিয়াল গুগল প্লে স্টোরের মাধ্যমে বিতরণ করা হয়েছিল। যদিও গুগল অ্যাপ্লিকেশনগুলো সরিয়ে দিয়েছে, কিন্তু সরানোর আগে যে ডিভাইসগুলোতে এগুলো ইনস্টল করা হয়েছিল, সেগুলোতে এখনও সফটওয়্যারটি থাকতে পারে।
নিম্নলিখিত নিরাপত্তা অনুশীলনগুলি একই ধরনের প্রতারণার ঝুঁকি কমাতে সাহায্য করতে পারে:
- ইনস্টল করা অ্যাপ্লিকেশনগুলো নিয়মিত পর্যালোচনা করুন এবং সন্দেহজনক দাবি বা অজানা ডেভেলপারদের সাথে যুক্ত যেকোনো সফটওয়্যার সরিয়ে ফেলুন।
- শুধুমাত্র গুগল প্লে স্টোর বা যাচাইকৃত ডেভেলপার ওয়েবসাইটের মতো বিশ্বস্ত উৎস থেকে অ্যাপ্লিকেশন ডাউনলোড করুন এবং যেসব রিভিউ অতিরিক্ত অস্পষ্ট বা একতরফাভাবে ইতিবাচক বলে মনে হয়, সেগুলো সমালোচনামূলকভাবে মূল্যায়ন করুন।
- অন্য ব্যক্তির ব্যক্তিগত যোগাযোগ, অবস্থানের ইতিহাস বা কল রেকর্ড অ্যাক্সেস করার দাবি করে এমন যেকোনো অ্যাপ্লিকেশনকে ডিফল্টরূপে প্রতারণামূলক হিসেবে গণ্য করুন।
মোবাইল জালিয়াতি সম্পর্কে একটি স্পষ্ট অনুস্মারক
কলফ্যান্টম প্রচারণাটি একটি জোরালো অনুস্মারক হিসেবে কাজ করে যে, প্রতারণামূলক অ্যাপ্লিকেশনগুলো সফল হওয়ার জন্য সবসময় ম্যালওয়্যার বা উন্নত এক্সপ্লয়েটের উপর নির্ভর করে না। অনেক ক্ষেত্রে, শুধুমাত্র মনস্তাত্ত্বিক কারসাজিই লক্ষ লক্ষ ডাউনলোড এবং বিপুল আর্থিক ক্ষতি সাধনের জন্য যথেষ্ট। অন্য ব্যক্তির ব্যক্তিগত তথ্যে অননুমোদিত প্রবেশের প্রতিশ্রুতি দেয় এমন যেকোনো অ্যাপ্লিকেশনকে অবিলম্বে অবৈধ এবং সম্ভাব্য বিপজ্জনক হিসেবে বিবেচনা করা উচিত।
