WebRTC স্কিমার

সাইবার নিরাপত্তা গবেষকরা একটি উন্নত পেমেন্ট স্কিমার শনাক্ত করেছেন, যা ওয়েবআরটিসি ডেটাচ্যানেল ব্যবহার করে গোপনে ক্ষতিকারক পেলোড সংগ্রহ করে এবং সংবেদনশীল তথ্য পাচার করে। প্রচলিত স্কিমারগুলো এইচটিটিপি রিকোয়েস্ট বা ইমেজ বিকনের ওপর নির্ভর করলেও, এই সংস্করণটি গতানুগতিক ওয়েব ট্র্যাফিক প্যাটার্নের বাইরে কাজ করে, যা এটিকে শনাক্ত করার প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তোলে।

শোষণের প্রবেশপথ: পলিশেল দুর্বলতা

এই আক্রমণ অভিযানের উৎস হিসেবে পলিশেল (PolyShell) নামক একটি গুরুতর দুর্বলতার অপব্যবহারকে চিহ্নিত করা হয়েছে, যা ম্যাজেন্টো ওপেন সোর্স এবং অ্যাডোবি কমার্স প্ল্যাটফর্মকে প্রভাবিত করে। এই ত্রুটিটি প্রমাণীকরণবিহীন আক্রমণকারীদের REST API-এর মাধ্যমে যথেচ্ছ এক্সিকিউটেবল ফাইল আপলোড করার সুযোগ দেয়, যার চূড়ান্ত পরিণতি হলো সম্পূর্ণ রিমোট কোড এক্সিকিউশন।

২০২৬ সালের ১৯শে মার্চ থেকে এই দুর্বলতাটি ব্যাপকভাবে সক্রিয়ভাবে কাজে লাগানো হচ্ছে। ৫০টিরও বেশি আইপি অ্যাড্রেসকে স্ক্যানিং কার্যক্রম চালাতে দেখা গেছে এবং গবেষকরা ঝুঁকিপূর্ণ অনলাইন স্টোরগুলোর প্রায় ৫৬.৭%-এ পলিশেল-সম্পর্কিত নিরাপত্তা লঙ্ঘন শনাক্ত করেছেন।

আক্রমণের কৌশল: একটি গোপন মাধ্যম হিসেবে WebRTC

স্কিমারটি হ্যাক হওয়া ওয়েবসাইটের ভেতরে এমবেড করা একটি স্ব-নির্বাহী স্ক্রিপ্ট হিসেবে কাজ করে। এটি চালু হওয়ার পর, UDP পোর্ট 3479-এর মাধ্যমে একটি হার্ড-কোডেড আইপি অ্যাড্রেসে (202.181.177.177) একটি WebRTC পিয়ার কানেকশন শুরু করে। এই চ্যানেলের মাধ্যমে এটি অতিরিক্ত ক্ষতিকারক জাভাস্ক্রিপ্ট সংগ্রহ করে, যা পেমেন্টের ডেটা হাতিয়ে নেওয়ার জন্য সরাসরি ওয়েব পেজে ইনজেক্ট করা হয়।

এই কৌশলের প্রধান বৈশিষ্ট্যগুলো হলো:

• প্রচলিত HTTP-ভিত্তিক যোগাযোগের পরিবর্তে WebRTC ডেটাচ্যানেলের ব্যবহার
• ক্ষতিকারক স্ক্রিপ্টের গতিশীল পুনরুদ্ধার এবং নির্বাহ
• পেমেন্টের তথ্য পরিচালনা করে এমন ওয়েব পেজগুলিতে সরাসরি ইনজেকশন

নিরাপত্তা এড়ানো: প্রচলিত প্রতিরক্ষা ব্যবস্থাকে পাশ কাটানো

এই পদ্ধতিটি স্কিমিং কৌশলের ক্ষেত্রে একটি উল্লেখযোগ্য অগ্রগতি, কারণ এটি বহুল ব্যবহৃত নিরাপত্তা নিয়ন্ত্রণগুলো এড়িয়ে যেতে সক্ষম। অননুমোদিত বহির্গামী সংযোগ সীমিত করার জন্য প্রায়শই ব্যবহৃত কন্টেন্ট সিকিউরিটি পলিসি (সিএসপি) এই হুমকি কার্যকরভাবে প্রশমিত করতে পারে না।

এমনকি কঠোর CSP কনফিগারেশনযুক্ত পরিবেশও ঝুঁকিপূর্ণ থাকে, যা সমস্ত অননুমোদিত HTTP ট্র্যাফিক ব্লক করে। WebRTC ট্র্যাফিক HTTP-এর পরিবর্তে DTLS-এনক্রিপ্টেড UDP-এর উপর দিয়ে পরিচালিত হয়, যার ফলে এটি অনেক নেটওয়ার্ক মনিটরিং এবং পরিদর্শন টুলের কাছে অদৃশ্য থাকে। ফলস্বরূপ, পাচার হওয়া পেমেন্ট ডেটা শনাক্তকরণ সম্পূর্ণরূপে এড়িয়ে যেতে পারে।

প্যাচের প্রাপ্যতা এবং প্রতিরক্ষামূলক ব্যবস্থা

অ্যাডোবি ১০ই মার্চ, ২০২৬-এ প্রকাশিত সংস্করণ ২.৪.৯-বিটা১-এ পলিশেল দুর্বলতাটির সমাধান করেছে। এর অপব্যবহার রোধ করতে অবিলম্বে প্যাচিং করা অত্যন্ত জরুরি।

ঝুঁকি কমাতে এবং সম্ভাব্য আপস শনাক্ত করতে, নিম্নলিখিত পদক্ষেপগুলি জোরালোভাবে সুপারিশ করা হচ্ছে:

pub/media/custom_options/ ডিরেক্টরিতে প্রবেশাধিকার সীমাবদ্ধ করুন
ওয়েব শেল, ব্যাকডোর এবং অন্যান্য ক্ষতিকারক উপাদানের জন্য পুঙ্খানুপুঙ্খভাবে স্ক্যান করুন।

ই-কমার্স নিরাপত্তার জন্য কৌশলগত প্রভাব

WebRTC-ভিত্তিক স্কিমিংয়ের আবির্ভাব আরও অত্যাধুনিক, প্রোটোকল-স্তরের ফাঁকি দেওয়ার কৌশলের দিকে একটি পরিবর্তনের ইঙ্গিত দেয়। ই-কমার্স প্ল্যাটফর্ম পরিচালনাকারী সংস্থাগুলোকে অবশ্যই তাদের প্রতিরক্ষামূলক কৌশল HTTP-কেন্দ্রিক পর্যবেক্ষণের বাইরে প্রসারিত করতে হবে এবং ক্রমবর্ধমান হুমকিগুলোকে কার্যকরভাবে মোকাবেলা করার জন্য অপ্রচলিত যোগাযোগ মাধ্যমগুলোর গভীরতর পরিদর্শন অন্তর্ভুক্ত করতে হবে।