ফিফা ২০২৬ বিশ্বকাপ কেলেঙ্কারি
নিরাপত্তা গবেষক এবং এফবিআই সতর্ক করেছে যে, ২০২৬ বিশ্বকাপের টুর্নামেন্ট ১১ জুন শুরু না হওয়া সত্ত্বেও ফিফা-কেন্দ্রিক বড় আকারের প্রতারণার ঢেউ ইতিমধ্যেই এর ভক্তদের লক্ষ্যবস্তু করছে।
এই আয়োজনটি সাইবার অপরাধীদের জন্য একটি আকর্ষণীয় সুযোগ তৈরি করেছে। মার্কিন যুক্তরাষ্ট্র, কানাডা এবং মেক্সিকোর ১৬টি শহরে অনুষ্ঠিত ম্যাচগুলোতে ষাট লক্ষেরও বেশি দর্শকের সমাগম হবে বলে আশা করা হচ্ছে। ফিফা জানিয়েছে, টিকিট বিক্রির প্রথম ১৫ দিনের মধ্যেই তারা ১৫ কোটিরও বেশি টিকিটের আবেদন পেয়েছে, যার ফলে উপলব্ধ সরবরাহের তুলনায় চাহিদা প্রায় ৩০ গুণ বেশি। টিকিটের স্বল্পতা, উদ্বিগ্ন ভক্ত এবং দ্রুত লেনদেন বড় আকারের জালিয়াতির জন্য আদর্শ পরিস্থিতি তৈরি করেছে।
সাম্প্রতিক তদন্তে ফিফা-থিমযুক্ত হাজার হাজার প্রতারণামূলক ডোমেইন, অননুমোদিত স্ট্রিমিং অ্যাপ্লিকেশনের ভেতরে লুকানো ম্যালওয়্যার এবং বৈধ ফিফা অ্যাকাউন্ট হাইজ্যাক করতে সক্ষম অত্যাধুনিক ফিশিং ক্যাম্পেইন উন্মোচিত হয়েছে।
সুচিপত্র
ঘোস্ট স্টেডিয়াম ফিশিং নেটওয়ার্কের উত্থান
গবেষকরা ২০২৫ সালের আগস্ট মাস থেকে নিবন্ধিত ৪,৩০০টিরও বেশি প্রতারণামূলক ফিফা-সম্পর্কিত ডোমেইন শনাক্ত করেছেন। এই কার্যকলাপের কেন্দ্রে রয়েছে ঘোস্ট স্টেডিয়াম (GHOST STADIUM) নামে পরিচিত একটি আর্থিকভাবে লাভবান চীনাভাষী গোষ্ঠী, যা ৩০০টিরও বেশি ওয়েবসাইট জুড়ে একটি ফিশিং পরিকাঠামো পরিচালনা করে।
এই কার্যক্রমটি ফিফার অফিশিয়াল ওয়েবসাইটের একটি অত্যন্ত বিশ্বাসযোগ্য নকলের উপর নির্ভর করে। এই নকল পেজগুলো ফিফার পিংআইডেন্টিটি-চালিত সিঙ্গেল সাইন-অন সিস্টেমকে হুবহু অনুকরণ করে এবং এমনকি আসল প্ল্যাটফর্ম থেকে নকল করা একটি বৈধ ক্লায়েন্ট আইডি ব্যবহার করে। বিশ্বাসযোগ্যতা বাড়ানোর জন্য, ছবিগুলো সরাসরি ফিফার সার্ভার থেকে লোড করা হয়, যা সাইটগুলোকে নকল কন্টেন্ট চিহ্নিতকারী কিছু শনাক্তকরণ পদ্ধতি এড়াতে সাহায্য করে।
এর সবচেয়ে ক্ষতিকর বৈশিষ্ট্যটি হলো একটি প্রতারণামূলক পাসওয়ার্ড-রিসেট ফাংশন। ভুক্তভোগীরা তাদের লগইন তথ্য প্রবেশ করানোর মাধ্যমে অজান্তেই তাদের অ্যাকাউন্টের নিয়ন্ত্রণ আক্রমণকারীদের হাতে তুলে দেন, যারা এরপর প্রকৃত মালিককে অ্যাকাউন্ট থেকে বের করে দিতে পারে এবং এর সাথে যুক্ত যেকোনো টিকিট পুনরায় বিক্রি করে দিতে পারে।
মূলত ফেসবুক বিজ্ঞাপনের মাধ্যমেই ট্র্যাফিক আসে এবং ফিশিং নেটওয়ার্ক জুড়ে একই ট্র্যাকিং আইডেন্টিফায়ার দেখা যায়। টেলিগ্রাম চ্যানেল, হোয়াটসঅ্যাপ মেসেজ এবং কারসাজি করা সার্চ রেজাল্টের মাধ্যমেও অতিরিক্ত ভিজিটর আসে।
এই প্রতারণার পরিকাঠামোটি একাধিক চ্যানেলের মাধ্যমে অর্থ গ্রহণ করে, যার মধ্যে রয়েছে সরাসরি কার্ড লেনদেন, তৃতীয় পক্ষের পেমেন্ট গেটওয়ে, Chime ও Nequi-এর মতো অর্থ স্থানান্তর পরিষেবা, আঞ্চলিক মেক্সিকান প্রসেসর এবং ক্রিপ্টোকারেন্সি রূপান্তর ব্যবস্থা। ক্রিপ্টোকারেন্সির বিকল্পটি বিশেষভাবে বিপজ্জনক, কারণ এর মাধ্যমে চুরি হওয়া অর্থ পুনরুদ্ধার করা উল্লেখযোগ্যভাবে আরও কঠিন হয়ে পড়ে।
একটি সুস্পষ্ট সতর্ক সংকেত চোখে পড়ে: ফিফার অফিসিয়াল টিকেটিং প্ল্যাটফর্ম ক্রিপ্টোকারেন্সি গ্রহণ করে না। ক্রিপ্টো পেমেন্টের অনুরোধকারী যেকোনো বিক্রেতাকে প্রতারক হিসেবে বিবেচনা করা উচিত।
গবেষকদের অনুমান, শুধুমাত্র প্রিমিয়াম এবং হসপিটালিটি টিকিটের জালিয়াতির কারণেই ৭১ মিলিয়ন ডলার থেকে ৪৭৪ মিলিয়ন ডলার পর্যন্ত ক্ষতি হতে পারে। আবিষ্কৃত পরিকাঠামোর ব্যাপকতার উপর ভিত্তি করে, মোট ক্ষতির পরিমাণ সম্ভাব্যভাবে শত শত কোটি ডলারে পৌঁছাতে পারে, যদিও এই অঙ্কগুলো নিশ্চিত ক্ষতির চেয়ে অনুমান মাত্র।
জালিয়াতির একটি ক্রমবর্ধমান বাস্তুতন্ত্র
শুধুমাত্র জানুয়ারি থেকে মে মাসের মধ্যেই বিশ্বকাপ-থিমের ১৩,০০০-এরও বেশি ডোমেইন নিবন্ধিত হয়েছিল, যেগুলোর মধ্যে প্রায় ৮.৮% ক্ষতিকর বা সন্দেহজনক হিসেবে চিহ্নিত হয়েছে।
এফবিআই ইতোমধ্যে অসংখ্য প্রতারণামূলক ফিফা-সম্পর্কিত ডোমেইনের তালিকা দিয়ে সতর্কবার্তা প্রকাশ করেছে, যার মধ্যে ভুল বানানের নকল ওয়েবসাইট এবং ভুয়া ফিফা চাকরির পোর্টালও রয়েছে। তদন্তকারীরা আশঙ্কা করছেন, টুর্নামেন্ট যতই এগিয়ে আসবে, ততই আরও ক্ষতিকর ডোমেইন সামনে আসবে। অন্যান্য নিরাপত্তা দলগুলোও হাজার হাজার নকল ওয়েবসাইট এবং এক হাজারের বেশি ভুয়া সোশ্যাল মিডিয়া প্রোফাইল শনাক্ত করেছে।
টিকিট কেলেঙ্কারি একটি বৃহত্তর অপরাধ চক্রের মাত্র একটি অংশ। প্রতারকরা নকল পণ্যের দোকান, ভুয়া ক্রীড়া-বাজির প্ল্যাটফর্ম এবং প্রতারণামূলক স্ট্রিমিং পরিষেবাও পরিচালনা করছে, যেগুলো শুধু সাবস্ক্রিপশন ফি-ই নেয় না, বরং এমন ম্যালওয়্যারও ছড়ায় যা আক্রমণকারীদের ভুক্তভোগীদের ডিভাইসের ওপর দূর থেকে নিয়ন্ত্রণ এনে দিতে সক্ষম।
অন্যান্য প্রতারণামূলক কৌশলের মধ্যে রয়েছে ২০ লক্ষ ডলার পর্যন্ত পুরস্কারের প্রতিশ্রুতি দেওয়া ভুয়া ফিফা লটারির বিজ্ঞপ্তি। গবেষকরা ‘ফিশিং-অ্যাজ-এ-সার্ভিস’ নামক একটি ক্রমবর্ধমান বাজারও চিহ্নিত করেছেন, যেখানে অপরাধীরা তৈরি প্রতারণার কিট এবং স্বয়ংক্রিয় টিকিট-কেনার বট কিনতে পারে, যা নতুনদের জন্য এই জালিয়াতির জগতে প্রবেশ করা আরও সহজ করে তোলে।
এই কার্যক্রমগুলো একে অপরের সাথে ওতপ্রোতভাবে জড়িত। ভুয়া ডোমেইনগুলো টিকিট-সংক্রান্ত অনুসন্ধান দখল করে, বিজ্ঞাপন ও কারসাজি করা অনুসন্ধানের ফলাফল ট্র্যাফিক তৈরি করে, চুরি করা পরিচয়পত্রের ডেটাবেস অ্যাকাউন্ট দখলের সুযোগ করে দেয়, এবং ক্ষতিকারক মোবাইল অ্যাপ্লিকেশনগুলো বিনামূল্যে স্ট্রিমিংয়ের অনুসন্ধানকে ব্যাংকিং জালিয়াতিতে রূপান্তরিত করে।
স্ট্রিমিং অ্যাপ যা শুধু মনোযোগই নয়, আরও অনেক কিছু কেড়ে নেয়
যেসব দর্শক বিনামূল্যে বিশ্বকাপের সম্প্রচার খুঁজছেন, তাদের জন্য মোবাইল ডিভাইস সবচেয়ে বড় ঝুঁকি তৈরি করতে পারে।
গবেষকরা সম্প্রতি উয়েফা চ্যাম্পিয়ন্স লিগ ফাইনালকে কেন্দ্র করে রোজাডিরেক্টার মতো জনপ্রিয় পরিষেবাগুলোর ছদ্মবেশে থাকা ক্ষতিকারক ও অনানুষ্ঠানিক স্ট্রিমিং অ্যাপ্লিকেশনের ব্যাপক বৃদ্ধি লক্ষ্য করেছেন। বিশ্বকাপ চলাকালীন এই ধরনের প্রচারণা আরও তীব্র হবে বলে আশঙ্কা করা হচ্ছে।
এই অ্যাপ্লিকেশনগুলোর মধ্যে অনেকগুলোই অ্যান্ড্রয়েড ব্যাংকিং ট্রোজানের সাথে যুক্ত, যার মধ্যে ম্যাসিভ এবং পার্সিয়াস নামে পরিচিত ম্যালওয়্যার পরিবারও রয়েছে। যেহেতু এই অ্যাপগুলো গুগল প্লে-তে পাওয়া যায় না, তাই ব্যবহারকারীদের এগুলো ইনস্টল করার জন্য অ্যান্ড্রয়েডের অন্তর্নির্মিত নিরাপত্তা সতর্কতাগুলো এড়িয়ে যেতে হয়।
একবার ইনস্টল হয়ে গেলে, ম্যালওয়্যারটি ডিভাইসের ওপর ব্যাপক নিয়ন্ত্রণ পেতে অ্যান্ড্রয়েড অ্যাক্সেসিবিলিটি পরিষেবাগুলোর অপব্যবহার করে। আক্রমণকারীরা বৈধ অ্যাপ্লিকেশনের ওপর নকল ব্যাংকিং লগইন পেজ প্রদর্শন করতে পারে, কীস্ট্রোক রেকর্ড করতে পারে, এসএমএস বার্তা এবং অথেনটিকেটর অ্যাপ থেকে ওয়ান-টাইম অথেনটিকেশন কোড হাতিয়ে নিতে পারে এবং দূর থেকে ডিভাইসটি পরিচালনা করতে পারে।
সারবেরাস ব্যাংকিং ট্রোজানের ফাঁস হওয়া সোর্স কোড ব্যবহার করে তৈরি পার্সিয়াস আরও এক ধাপ এগিয়ে গিয়ে নোট-টেকিং অ্যাপ্লিকেশনগুলোতে সংরক্ষিত পাসওয়ার্ড এবং ক্রিপ্টোকারেন্সি পুনরুদ্ধারের বাক্যাংশ খুঁজে বের করে।
কোনো স্ট্রিমিং অ্যাপ্লিকেশন বৈধ কারণ ছাড়া অ্যাক্সেসিবিলিটি পারমিশন চাইলে, সেটিকে একটি গুরুতর নিরাপত্তা সতর্কতা হিসেবে বিবেচনা করা উচিত।
সোশ্যাল মিডিয়া শিকারের ক্ষেত্র হয়ে ওঠে
বিশ্বকাপ সংক্রান্ত প্রতারণার জন্য সোশ্যাল মিডিয়া প্ল্যাটফর্মগুলো একটি প্রধান বিতরণ মাধ্যমে পরিণত হয়েছে।
গবেষকরা ফেসবুক এবং ইনস্টাগ্রাম জুড়ে ফুটবল-থিমযুক্ত ৫৫টিরও বেশি বিজ্ঞাপন প্রচারণার সন্ধান পেয়েছেন, যেগুলোতে নকল জার্সি, নকল প্যানিনি সংগ্রহযোগ্য সামগ্রী এবং ফিশিং ওয়েবসাইটের প্রচার করা হচ্ছিল। বিজ্ঞাপন পরিকাঠামোর বিশ্লেষণে এই কার্যক্রমগুলোর বেশ কয়েকটির সঙ্গে চীনা পরিচালনাকারীদের সংযোগ পাওয়া গেছে।
তদন্তকারীরা ১,৭০০টিরও বেশি ভুয়া ফিফা সোশ্যাল মিডিয়া অ্যাকাউন্টও তালিকাভুক্ত করেছেন, যেগুলোর প্রায় ৯০ শতাংশই ফেসবুক ও ইনস্টাগ্রামে পরিচালিত হয়। একটি উল্লেখযোগ্য প্রচারাভিযানে প্রতারণামূলক ফিফা চাকরির বিজ্ঞাপন এবং ক্যালেন্ডার আমন্ত্রণ ব্যবহার করে আবেদনকারীদের নকল গুগল লগইন পেজে পাঠিয়ে দেওয়া হতো।
ইতিমধ্যে, চুরি করা ফিফা ক্রেডেনশিয়ালগুলো অপরাধ জগতের বাজারে ছড়িয়ে পড়েছে। নিরাপত্তা গবেষকরা কয়েক লক্ষ হ্যাক হওয়া ব্যবহারকারীর অ্যাকাউন্ট এবং ৪,৬০০-এর বেশি ফিফা-সম্পর্কিত ওয়েব অ্যাড্রেসকে ভিডার, লুম্মা সি২ এবং রেডলাইনের মতো ক্রেডেনশিয়াল চুরিকারী ম্যালওয়্যার পরিবারের সাথে যুক্ত করেছেন।
হোস্ট শহরগুলিতে পাবলিক ওয়াই-ফাই এর ঝুঁকি
বিশ্বকাপ আয়োজক শহরগুলোতে ওয়্যারলেস নেটওয়ার্ক ঝুঁকির আরেকটি স্তর যুক্ত করে।
মেক্সিকো সিটি, মন্টেরে এবং গুয়াদালাহারা জুড়ে পরিচালিত একটি সমীক্ষায় দেখা গেছে যে, শনাক্ত হওয়া ওয়াই-ফাই নেটওয়ার্কগুলোর মধ্যে ১০% থেকে ১২% সম্পূর্ণ উন্মুক্ত এবং অসুরক্ষিত ছিল। প্রায় অর্ধেকেরই ওয়াই-ফাই প্রোটেক্টেড সেটআপ (WPS) সক্রিয় ছিল, যা আক্রমণের অতিরিক্ত সুযোগ তৈরি করছিল।
এই দুর্বলতাগুলোর কারণে অপরাধীদের পক্ষে 'ইভিল টুইন' হটস্পট স্থাপন করা সহজ হয়ে যায়—এগুলো হলো এমন ক্ষতিকর নেটওয়ার্ক যা বৈধ ওয়াই-ফাই অ্যাক্সেস পয়েন্টের অনুকরণ করে এবং গোপনে ব্যবহারকারীর ট্র্যাফিক হস্তগত করার জন্য তৈরি করা হয়।
ভক্ত ও সংস্থাগুলো কীভাবে সুরক্ষিত থাকতে পারে
ক্ষতি হওয়ার আগেই বিশ্বকাপ-সম্পর্কিত প্রতারণা শনাক্ত করতে কয়েকটি সতর্কতামূলক চিহ্ন সাহায্য করতে পারে:
- বিজ্ঞাপন বা সার্চ ইঞ্জিনের লিঙ্কের উপর নির্ভর না করে শুধুমাত্র ফিফার অফিসিয়াল ওয়েবসাইট থেকে টিকিট কিনুন এবং ওয়েব ঠিকানাটি নিজে হাতে লিখুন। ফিফা অ্যাকাউন্টে মাল্টি-ফ্যাক্টর অথেনটিকেশন চালু করুন এবং ক্রিপ্টোকারেন্সিতে পেমেন্ট করতে বলা যেকোনো বিক্রেতাকে এড়িয়ে চলুন।
- অনানুষ্ঠানিক স্ট্রিমিং অ্যাপ্লিকেশন ইনস্টল করা থেকে বিরত থাকুন, বিশেষ করে যেগুলো অ্যাক্সেসিবিলিটি পারমিশন চায়। হোস্ট শহরে পাবলিক ওয়াই-ফাই ব্যবহার করার সময়, যথাসম্ভব মোবাইল ডেটা ব্যবহার করুন এবং ব্যাংকিং, ইমেল বা অন্যান্য সংবেদনশীল অ্যাকাউন্টে প্রবেশ করা থেকে বিরত থাকুন।
প্রতিষ্ঠানগুলোরও একটি গুরুত্বপূর্ণ ভূমিকা পালন করার আছে। নিরাপত্তা দলগুলোর উচিত নতুন নিবন্ধিত ফিফা-থিমযুক্ত ডোমেইনগুলো পর্যবেক্ষণ করা, প্রতারণামূলক লগইন পেজগুলো শনাক্ত করা, Vidar, LummaC2, বা RedLine ক্রেডেনশিয়াল ডাম্পে ফাঁস হওয়া কর্মচারী বা গ্রাহকদের চিহ্নিত করা এবং টুর্নামেন্ট জুড়ে টিকিট সংক্রান্ত বিরোধ ও চার্জব্যাক কার্যক্রম বৃদ্ধির জন্য প্রতারণা প্রতিরোধকারী দলগুলোকে প্রস্তুত রাখা।
যে হুমকিগুলো এখনো সক্রিয় হওয়ার অপেক্ষায় আছে
সম্ভবত সবচেয়ে উদ্বেগজনক বিষয়টি হলো, প্রায় ৩,৮০০টি পরিচিত জাল ফিফা-সম্পর্কিত ডোমেইন নিষ্ক্রিয় অবস্থায় রয়েছে এবং যেকোনো সময় ব্যবহারের জন্য প্রস্তুত আছে।
যেহেতু ফিশিং কিট, স্বয়ংক্রিয় বট এবং চুরি করা ক্রেডেনশিয়াল ইতিমধ্যেই ব্যাপকভাবে সহজলভ্য, গবেষকরা আশা করছেন যে ১১ই জুন থেকে ১৯শে জুলাই পর্যন্ত সময়কালটি সবচেয়ে ঝুঁকিপূর্ণ থাকবে। এই সময়ে টিকিট, ভ্রমণের ব্যবস্থা এবং স্ট্রিমিং পরিষেবা খোঁজার পরিমাণ সর্বোচ্চ পর্যায়ে পৌঁছাবে, যা সাইবার অপরাধীদের তাদের কার্যক্রম প্রসারিত করার জন্য আদর্শ পরিস্থিতি তৈরি করবে।
