বকেয়া ইনভয়েস ইমেল স্ক্যাম
অপ্রত্যাশিত ইমেল, যেগুলোতে অবিলম্বে মনোযোগ দেওয়ার প্রয়োজন হয়, সেগুলোকে সর্বদা সতর্কতার সাথে বিবেচনা করা উচিত, বিশেষ করে যখন সেগুলোতে চালান, অর্থপ্রদান বা নথিতে স্বাক্ষর করার অনুরোধ থাকে। সাইবার অপরাধীরা প্রায়শই ফিশিং ক্যাম্পেইনকে বৈধ ব্যবসায়িক যোগাযোগের ছদ্মবেশে পাঠায়, যাতে প্রাপকদের মধ্যে জরুরি অবস্থা তৈরি হয় এবং যাচাই-বাছাই ছাড়াই কাজ করতে চাপ সৃষ্টি করা যায়। 'বকেয়া চালান' (Outstanding Invoice) ইমেলটি এমনই একটি প্রতারণা। যদিও এটি ডকুসাইন (DocuSign) থেকে আসা বিজ্ঞপ্তির অনুকরণ করে, এই বার্তাগুলো কোনো বৈধ কোম্পানি, সংস্থা বা প্রতিষ্ঠানের সাথে যুক্ত নয় এবং এগুলোর একমাত্র উদ্দেশ্য হলো সংবেদনশীল তথ্য চুরি করা।
'বকেয়া চালান' প্রতারণা
এই প্রতারণাটি 'Outstanding Invoice' শিরোনামে আসে এবং এটিকে একটি আসল DocuSign নোটিফিকেশনের মতো করে সতর্কতার সাথে ডিজাইন করা হয়। ইমেলটিতে প্রাপকদের জানানো হয় যে একটি ইনভয়েস পর্যালোচনা এবং স্বাক্ষরের জন্য অপেক্ষারত আছে এবং এতে একটি বড় 'REVIEW & SIGN DOCUMENT' বাটন থাকে।
বার্তাটিকে আরও বিশ্বাসযোগ্য করে তোলার জন্য, প্রতারকরা পেশাদার ব্র্যান্ডিংয়ের উপাদান এবং এমন ভাষা ব্যবহার করে যা আসল ব্যবসায়িক চিঠিপত্রের অনুকরণ করে। এর উদ্দেশ্য হলো প্রাপকের সন্দেহ কমানো এবং ইমেইলটির সাথে তাকে যুক্ত হতে উৎসাহিত করা।
আইনি হুমকির মাধ্যমে কৃত্রিম জরুরি অবস্থা তৈরি করা
এই ফিশিং ক্যাম্পেইনের একটি প্রধান বৈশিষ্ট্য হলো ভয় ও জরুরি অবস্থার সৃষ্টি করা। ইমেলটিতে একটি 'অডিট কমপ্লায়েন্স' নোটিশ রয়েছে, যেখানে দাবি করা হয় যে অর্থ পরিশোধের সময়সীমা ইতোমধ্যে শেষ হয়ে গেছে এবং সতর্ক করা হয় যে চালানটির বিষয়ে অবিলম্বে ব্যবস্থা না নেওয়া হলে আইনি পদক্ষেপ নেওয়া হতে পারে।
আতঙ্ক সৃষ্টির জন্য ইচ্ছাকৃতভাবে এই কৌশলটি ব্যবহার করা হয়। যখন ব্যক্তিরা মনে করে যে তারা আর্থিক জরিমানা বা আইনি পরিণতির সম্মুখীন হচ্ছে, তখন তারা বার্তার বৈধতা ভালোভাবে যাচাই না করেই আবেগবশে প্রতিক্রিয়া দেখায় এবং লিঙ্কে ক্লিক করে ফেলে।
ভুয়া লগইন পেজের ফাঁদ
প্রদত্ত বোতামটিতে ক্লিক করলে কোনো ইনভয়েস বা আসল ডকুসাইন ডকুমেন্ট পাওয়া যায় না। এর পরিবর্তে, প্রাপকদের গুগলের ফায়ারবেস স্টোরেজ প্ল্যাটফর্মে হোস্ট করা একটি প্রতারণামূলক ওয়েবমেইল লগইন পৃষ্ঠায় পুনঃনির্দেশিত করা হয়। পৃষ্ঠাটি একটি সিপ্যানেল ওয়েবমেইল লগইন পোর্টালের মতো করে ডিজাইন করা হয়েছে এবং এটি ব্যবহারকারীর ইমেল ঠিকানা ও পাসওয়ার্ড চায়।
এই নকল পেজটিতে প্রবেশ করানো যেকোনো তথ্য সরাসরি আক্রমণকারীদের কাছে চলে যায়। এই প্রতারণার উদ্দেশ্য খুবই সহজ: ইমেইলের তথ্য হাতিয়ে নেওয়া এবং ভুক্তভোগীদের অ্যাকাউন্টে অননুমোদিত প্রবেশাধিকার লাভ করা।
চুরি হওয়া ইমেইল ক্রেডেনশিয়াল কেন মূল্যবান
একটি ইমেল অ্যাকাউন্ট প্রায়শই অসংখ্য অনলাইন পরিষেবার প্রবেশদ্বার হিসেবে কাজ করে। সাইবার অপরাধীরা একবার এতে প্রবেশাধিকার পেলে, তারা যা করতে পারে:
- ইমেল ঠিকানাটির সাথে সংযুক্ত অন্যান্য অ্যাকাউন্টগুলোর পাসওয়ার্ড রিসেট করার চেষ্টা।
যেহেতু অনেক অনলাইন পরিষেবা ইমেল-ভিত্তিক পাসওয়ার্ড পুনরুদ্ধারের উপর নির্ভর করে, তাই একটিমাত্র ইমেল অ্যাকাউন্টের নিরাপত্তা লঙ্ঘন দ্রুত একটি অনেক বড় নিরাপত্তা ঘটনায় পরিণত হতে পারে।
ডকুসাইনের সুনামের অপব্যবহার
ডকুসাইন একটি বৈধ এবং বহুল ব্যবহৃত ইলেকট্রনিক স্বাক্ষর প্ল্যাটফর্ম। তবে, 'বকেয়া ইনভয়েস' ইমেলগুলোর সাথে এর কোনো সম্পর্ক নেই। প্রতারকরা কেবল কোম্পানির নাম, ব্র্যান্ডিং এবং সুনামকে কাজে লাগিয়ে জালিয়াতিপূর্ণ বার্তাগুলোকে বিশ্বাসযোগ্য করে তোলে।
এই ছদ্মবেশ ধারণের কৌশলটি ফিশিং ক্যাম্পেইনে অত্যন্ত প্রচলিত। প্রায়শই সুপরিচিত কোম্পানিগুলোকে ছদ্মবেশ হিসেবে ব্যবহার করা হয়, কারণ প্রাপকরা পরিচিত ব্র্যান্ডগুলোকে চিনতে ও বিশ্বাস করতে বেশি আগ্রহী হন।
লুকানো ম্যালওয়্যার ঝুঁকি
যদিও এই প্রচারণার মূল উদ্দেশ্য ক্রেডেনশিয়াল চুরি, এই ধরনের ফিশিং ইমেলগুলো প্রায়শই ম্যালওয়্যার বিতরণের সাথেও জড়িত থাকে। সাইবার অপরাধীরা সাধারণত সংক্রামিত অ্যাটাচমেন্ট বা ক্ষতিকর লিঙ্কের মাধ্যমে ম্যালিসিয়াস সফটওয়্যার ছড়ানোর জন্য স্প্যাম বার্তা ব্যবহার করে।
সাধারণত অপব্যবহার করা হয় এমন ফাইলের প্রকারগুলির মধ্যে রয়েছে:
- এক্সিকিউটেবল ফাইল এবং আর্কাইভ।
- ক্ষতিকারক ম্যাক্রোযুক্ত অফিস ডকুমেন্ট।
- পিডিএফ ফাইল এবং স্ক্রিপ্ট-ভিত্তিক সংযুক্তি।
- যেসব লিঙ্কের মাধ্যমে ক্ষতিকর সফটওয়্যার ডাউনলোড হয়।
অনেক ক্ষেত্রে, কোনো ডিভাইস হ্যাক হওয়ার আগে ব্যবহারকারীর কিছু না কিছু কার্যকলাপের প্রয়োজন হয়, যেমন—অ্যাটাচমেন্ট খোলা, ম্যাক্রো সক্রিয় করা, বা ম্যানুয়ালি কোনো ফাইল ডাউনলোড করা।
'বকেয়া ইনভয়েস' ইমেলের উত্তর কীভাবে দেবেন
এই ধরনের কোনো ইমেল ইনবক্সে এলে, তা উপেক্ষা করে মুছে ফেলা উচিত। প্রাপকদের কোনো লিঙ্কে ক্লিক করা, অ্যাটাচমেন্ট খোলা বা লগইন তথ্য দেওয়া থেকে বিরত থাকা উচিত। যারা ইতিমধ্যে এই নকল ওয়েবসাইটে নিজেদের তথ্য দিয়েছেন, তাদের অবিলম্বে প্রভাবিত ইমেল অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করা এবং একই লগইন তথ্য ব্যবহারকারী অন্য যেকোনো পরিষেবার পাসওয়ার্ড আপডেট করা উচিত। যেখানে সম্ভব, মাল্টি-ফ্যাক্টর অথেনটিকেশন চালু করলে তা অ্যাকাউন্টের আরও নিরাপত্তা লঙ্ঘনের ঝুঁকি উল্লেখযোগ্যভাবে কমাতে পারে।
শেষ কথা
‘আউটস্ট্যান্ডিং ইনভয়েস’ ইমেলটি একটি ফিশিং স্ক্যাম, যা প্রাপকদের ইমেল ক্রেডেনশিয়াল দিতে প্রতারিত করার জন্য ডকুসাইন (DocuSign)-এর ছদ্মবেশ ধারণ করে। এখানে কোনো বকেয়া ইনভয়েস নেই, স্বাক্ষরের জন্য অপেক্ষারত কোনো বৈধ নথি নেই এবং আসল ডকুসাইন পরিষেবার সাথে এর কোনো সংযোগও নেই। পুরো বার্তাটিই একটি সুপরিকল্পিত প্রতারণা, যা সংবেদনশীল তথ্য চুরি করতে এবং সম্ভাব্য অতিরিক্ত সাইবার আক্রমণের সুযোগ করে দেওয়ার জন্য তৈরি করা হয়েছে। অপ্রত্যাশিত ইমেল সম্পর্কে সন্দিহান থাকা এবং অনুরোধগুলো স্বাধীনভাবে যাচাই করা ফিশিং হুমকির বিরুদ্ধে সবচেয়ে কার্যকর কিছু প্রতিরক্ষা ব্যবস্থা।
System Messages
The following system messages may be associated with বকেয়া ইনভয়েস ইমেল স্ক্যাম:
Subject: Outstanding Invoice |