এথিক্যাল হ্যাকিং ফ্রী কোর্সঃ পর্ব ৬; ইমেইল স্পুফিং বৃত্তান্ত!

এথিক্যাল হ্যাকিং ফ্রী কোর্স এর পর্ব ৬ এ আপনাকে স্বাগতম। অনেক দিন পরে আজ শুরু করলাম এথিক্যাল হ্যাকিং পর্ব ৬ এর লেখা। আজ আমি আপনাদের সাথে আলোচনা করবো ইমেইল স্পুফিং নিয়ে, এর নাম হয়তো অনেকে শুনে থাকবেন আবার অনেকে না শুনে থাকতেও পারেন। তবে সম্যসা নাই আপনি যদি শুনে থাকেন ইমেইল স্পুফিং নিয়ে তবে সেটা ভাল আর যদি না শুনে থাকেন তবে সেটা ব্যাপার না আমি আজ এর সকল বিষয় গুলো নিয়ে বিস্তারিত ভাবে বুঝিয়ে বলবো। আগেই বলে রাখি ইমেইল স্পুফিং কে কেও সহজ ভাবে নিবেন না। হতে পারে এটা খুব সহজ পদ্ধতি কিন্তু ইন্টারনেটে সব থেকে ভয়ংকর বিষয় এটি। এখন পৃথীবিতে যত ক্রেডিট কার্ড ও পেপাল একাউন্ট হ্যাক হয় তার ৭৫% শুধু মাত্র এই ইমেইল স্পুফিং করে হয়ে থাকে। তাহলে বুঝতেই পারছেন আপনার অনলাইন একাউন্ট সুরক্ষিত রাখার জন্য এটা জানা কতটা জরুরি।তাহলে চলুন আর কথা না বাড়িয়ে শুরু করা আজকের আলোচনা।

ইমেইল স্পুফিং কি?

ইমেইল স্পুফিং নিয়ে যদি আলোচনা করতেই হয়, সবার আগে আলোচনা করতে হবে ইমেইল স্পুফিং কি এইটা নিয়ে। ইমেইল স্পুফিং হচ্ছে কারো কাছে মিথ্যা ইমেইল পাঠানো। কি বুঝতে পারলেন না? আচ্ছা ধরুন আপনার কাছে আমি আপনার বাবার ইমেইল ব্যবহার করে ইমেইল পাঠাইলাম। সেই ইমেইলে লিখে দিলাম কালকেই তুমি বাসায় চলে আসো। কিন্তু আপনার বাবা আপনার কাছে এই নিয়ে কোন ইমেইল পাঠায় নি। এটা অনেক টা আপনার কাছে মিথ্যা চিঠি পাঠানোর মত, কেও একজন আপনার ঠিকানায় ইচ্ছাকৃত ভুল চিঠি পাঠাচ্ছে। এবার মনে বুঝতে পারলেন ইমেইল স্পুফিং আসলে কি! একে স্পুফিং বলার মূল কারণ হচ্ছে, আপনার কাছে অবিকল একই রকম দেখতে মেইল অ্যাড্রেস থেকে ইমেইল পাঠানো হয়। যদি অ্যাড্রেস আলাদা হয়, তাহলে ফেইক মেইল চেনা অনেক সহজ কিন্তু একই অ্যাড্রেস থেকে আসা মেইল বুঝতে পারা একটু মুশকিলের, বেশিরভাগ মানুষই সহজেই এই স্পুফ করা মেইলের কবলে পড়ে যায়।

স্পুফ করা মেইলে কিন্তু শুধু মেইল অ্যাড্রেসই স্পুফ করা হয় না, মেইলটি কোথা থেকে এসেছে, মেইলকারীর নাম, মেইল অ্যাড্রেস, রিপ্লাই করলে মেইলটি সাধারণত আরেক মেইল অ্যাড্রেসে চলে যায়। তাছাড়া মেইল স্পুফিং করার সময় সার্ভার আইপি অ্যাড্রেস ও নকল করা হয়, সত্যি বলতে কোন এক্সপার্ট যদি মেইল স্পুফ করে, সেটা বোঝা অনেকবেশি কস্টের ব্যাপার হয়ে যায়, যতোক্ষণ পর্যন্ত আপনি ঐ আসল ব্যাক্তিকে কল করে জিজ্ঞাস না করেন, সে মেইল পাঠিয়েছে কিনা।

কারা ইমেইল স্পুফিং করে এবং কেন?

ইমেইল স্পুফিং মূলত করে থাকে হ্যাকারেরা (ব্ল্যাক হ্যাট হ্যাকার), কিন্তু এদের বলা হয়ে থাকে স্প্যামার। এদের কে এই জন্যই স্প্যামার বলা হয়ে থাকে কেননা এরা আসলে যে মেইল গুলো পাঠিয়ে থাকে সেই গুলো স্প্যাম মেইল। এরা আসলে এই কাজ গুলো করে থাকে তাদের স্বার্থ হাসিল এর জন্য। এখন প্রশ্ন আসতে পারে তাদের আবার কি স্বার্থ আছে এখানে? তাদের এটাই স্বার্থ যে তারা কিছু টাকা নিতে পারে মিথ্যা কথা বলে। এই বিষয় টা নিয়ে একটু বেশি বুঝিয়ে বলি। স্প্যামার’রা এই ইমেইল স্পুফিং করে আপনার ইন্টারনেট এর যে কোন আইডি হ্যাক করতে পারে। কিন্তু সব থেকে বেশি তাদের টার্গেট থাকে ব্যাংক একাউন্ট, ক্রেডিট কার্ড, পেপাল একাউন্ট ও বিভিন্ন ই-ব্যাংক একাউন্ট এর দিকে। তারা কিছু ইমেইল খুজে বের করে এবং সেই সব ইমেইল গুলোতে আসলে কিসের একাউন্ট খোলা আছে সেই গুলো সহ বের করে। তারা অনেকটা ডিজিটাল মার্কেটারের মত করেই ইমেইল গুলো বের করে থাকে। তাছাড়া অনেক টুল আছে এই গুলো চেক করা যা বলা সম্ভব  না। এরপরে সেই সব মেইল গুলোতে তারা স্প্যাম মেইল পাঠায়, হয়তো কারো কাছে পাঠায় কম্পানির মেইল ব্যবহার করে। এটা আসলে মূলত একটা অভিজ্ঞতার ব্যাপার আর কি। আর এই সব মেইল গুলো পাঠানোর জন্য অনলাইনে অনেক টুল রয়েছে, তাছাড়া হ্যাকার নিজেও ওয়েব সার্ভার ব্যবহার করে ইমেইল টুল বানিয়ে থাকে। যদিও এখন ওয়েব সার্ভার ব্যবহার করা হয়ে থাকে, এটা আসলে আপডেট ভার্সন।

তবে শুধু ফিশিং কার্জে বা কার্ড হ্যাকিং এর জন্যই কিন্তু মেইল স্পুফিং ব্যবহৃত হয় না, হ্যাকারের প্ল্যান আরো খারাপ এবং আর বিধ্বংসী হতে পারে। বিশেষ করে হ্যাকার আপনার সিস্টেমে র‍্যাটওয়্যার ছড়ানোর জন্যও ফেইক মেইল পাঠাতে পারে, এখানে ফেইক মেইল পাঠালে বেশি সাকসেস হওয়ার সম্ভবনা থাকে, কেনোনা আপনি হয়তো মেইল অ্যাড্রেসটিকে বিশ্বাস করবেন এবং অজান্তে ভাইরাস ফাইলটি ডাউনলোড করবেন। তাছাড়া অনেক ম্যাস-মেইলিং ওয়র্মস থাকে, যেগুলো আপনার অ্যাড্রেস বুক রীড করতে পারে, মানে আপনার সকল কন্টাক্ট গুলোতে স্বয়ংক্রিয়ভাবে ফেইক মেইল পাঠাতে আরম্ভ করবে, হ্যাকার শুধু আপনাকে নয়, এভাবে আপনার সকল কন্টাক্ট মেইল গুলোকেও আক্রান্ত করানোর চেষ্টা করতে পারে।

হ্যাকার’রা কিভাবে কারো ইমেল খুজে পায়?

এখন প্রশ্ন এসে  দাড়াচ্ছে হ্যাকার কিভাবে আপনার বা আমার ইমেইল খুজে পায়? এর আগে আমি একটা আমার সাথে ঘটে যাওয়া একটা ঘটনা বলি, হয়তো এটা শোনার পরে আপনার মনের প্রশ্নের উত্তর পেয়ে যাবেন। গত ২০১৫ তে শেষের দিকে আমি একটা ওয়েব সাইট খুলবো বলে সিদ্ধান্ত নিলাম কিন্তু আমার কাছে তো কোন কার্ড ছিল না তাই বাইরের দেশের কোন কোম্পানির কাছে থেকে হোস্টিং কিনতে পারলাম না, তাই কিনলাম আমার দেশের নাম করা একটা কোম্পানির কাছে থেকে, আমি এখানে কাওকে ছোট করছি না, আসলে এই কাজ টা এখন সারা পৃথিবীর সকলেই করে থাকে। যায় হোক কেনার পরে ৩-৪ দিন পরে বাংলাদেশের আরেকটা বড় কোম্পানির কাছে থেকে আমার কাছে ইমেইল এসেছে, তাদের হোস্টিং এ –% ছাড় চলছে সাথে ছোট্ট করে লেখা আছে আমি নাকি তাদের ওয়েবসাইট এ সাবস্ক্রাইব করেছি। কিন্তু আমি তো তাদের ওয়েবসাইটেই যায়নি। এর মানে কি? তারা আমার ইমেইল কোথায় পেয়েছে? একটু ভাবুন!! কি? ভেবে পেলেন?

আসলে আমি যেই ওয়েবসাইট থেকে হোস্টিং কিনেছি সেই ওয়েবসাইট আমার ইমেইলটা অন্য ওয়েবসাইট এর কাছে বিক্রি করে দিয়েছে। তাহলে একটু ভাবুন তো এই ইমেইল যদি কোন হ্যাকার কিনে থাকে তাহলে তার ফলাফল কি হতে পারে? এখন কি বুঝতে পেরেছেন হ্যাকার আপনার বা আমার ইমেইল কিভাবে পেয়ে থাকে? তারা আসলে ইমেইল লিস্ট কিনে থাকে, তাছাড়া তারা আরো অনেক প্রন্থা ব্যবহার করে থাকে। যেমন বিভিন্ন নিউজ লেটার ব্যবহার করে আপনার বা আমার ইমেইল কালেক্ট করে থাকে। এছাড়াও তারা কিছু বট ব্যবহার করে থাকে, যেই বট গুলো তাদের অটোমেটিক ইমেইল সংগ্রহ করে দেয়। গুগল বট বা ফেসবুকের অনেক বট আছে, আসলে ভাল কাজের জন্য থেকে বট গুলো কিন্তু এই সব বট গুলোর খারাপ ব্যবহার হয় আর কি। আসলে এই বট গুলো কাজ করে থাকে কোন ওয়েব পেজে @ এই টা খোজার মাধ্যমে। কোন ওয়েব সাইটে যদি আপনার ইমেইল টা কোন ভাবে টেক্সট আকারে থেকে থাকে তাহলে যেনে রাখুন আপনি জেনে শুনে হ্যাকারকে মেইল হাতে তুলে দিয়েছেন। তাই ভুল করেও কোন ওয়েবসাইটের কমেন্ট সেকশনে নিজের মেইলটি কমেন্ট আকারে পাবলিশ করবেন না। যদি কমেন্ট সেকশনে মেইলের আলাদা বক্স থাকে, যেখানে প্রবেশ করাতে পারেন, কেনোনা ঐটা প্রটেকটেড হয়ে থাকে।

কিভাবে মেইল স্পুফিং করবেন (এডুকেশন্যাল)

কেও এটাকে খারাপ ভাবে নিবেন না, ভেবেছিলাম কোন প্রাকটিক্যাল দেখাবো না। কিন্তু হ্যাকিং এ যদি প্রাকটিক্যাল না দেখানো হয় তাহলে কেমন যেন লাগে। তাহলে চলুন জ়েনে নেই কিভাবে ইমেইল স্পুফিং করবেন? আপনি ইমেইল স্পুফিং এর জন্য অনেক টুল পেয়ে থাকবেন, কিন্তু বর্তমানে সব থেকে বেশি ব্যবহার করা ওয়েব সার্ভারে ব্যবহৃত টুল। আমি নিজেও ওয়েব সার্ভার ব্যবহার করে ইমেইল স্পুফিং করে থাকি। এর জন্য আপনার লাগবে শেল, শেল বলতে একটা PHP ফাইল। এই শেল টাকে আপনি আপনার অথবা আপনার হ্যাক করা সার্ভারে আপলোড করে দিন আর মজা নিন। আপনি ইন্টারনেটে WSO নামে একটা শেল পাবেন, এই শেল টাতে আপনি ইমেইল স্পুফিং করার অপশন পাবেন। ওয়্যারবিডিে আমি এই শেল গুলো শেয়ার করতে পারছি না। যদি কারো খুব দরকার পরে থাকে তাহলে আমার সাথে কন্টাক্ট করতে পারেন। এখন আমি আপনাকে কিছু স্ক্রীনশট দেখাবো কিভাবে করবেন আপনি ইমেইল স্পুফিং…

এটা হচ্ছে আমার একটা শেল, এটা আমি নিজের সার্ভারে ব্যবহার করছি, চিন্তার কোন কারণ নেই, যদিও এখানে আমি বিস্তারিত সার্ভার সেটআপ দেখাচ্ছি না, কিন্তু আপনি প্রাইভেট ভাবে যোগাযোগ করলে আমি সম্পূর্ণ পদ্ধতি শিখিয়ে দিতে পারবো, ওয়্যারবিডিে সিকিউরিটির জন্য এরকম টিউটোরিয়াল ওপেন করে দেওয়া সম্ভব নয়, তবে আপনি চাইলে গুগল করেও কিভাবে সেটআপ করে নিতে শিখে ফেলতে পারেন, শেলের নাম তো দিয়েই দিলাম, এখন আপনি ভালোকরেই জানেন আপনাকে কি লিখে সার্চ করতে হবে! যাই হোক, আপনি PHP TOOLS এ ক্লিক করলে নিচের মত একটা পেজ আসবে।

এই স্ক্রীনশট টা দেখলে আপনি বুঝতেই পারবেন আপনাকে কি করতে হবে। এখন প্রমাণ দেখতে চান তো? দেখে নিন, আমার মেইল বক্সের এক ঝলক!

কি দেখছেন? হে হে, চলে এসেছে আরেটু কি দেখবেন?

দেখেন , আপনি পেয়েছেন ২ কোটি টাকা এটা হচ্ছে আমার ইমেইল এর সাবজেক্ট। “ওয়্যারবিডিে দেখানোর জন্য ডেমো ইমেইল” এটা হচ্ছে আমার ইমেইল এর বডি। আর আপনি একটু দেখেন কোন ইমেইল থেকে ইমেইল এসেছে? Bangladesh Bank থেকে। তো বুঝলেন তো, কিভাবে সহজেই হ্যাকার আপনাকে একেবারে হুবহু আসল মেইল অ্যাড্রেসের মতো অ্যাড্রেস থেকে মেইল সেন্ড করতে পারে। যদি আপনি সার্ভার সেটআপ না করতে চান, সেক্ষেত্রে বিভিন্ন অনলাইন টুল রয়েছে, যেখানে মেইল অ্যাড্রেস হুবহু ডুপ্লিকেট করে মেইল সেন্ড করতে পাড়বেন, অনেক সার্ভিস হয়তো ফ্রী অনেকের কাছে হয়তো সার্ভিস প্ল্যান কিনতে হয়, তবে যদি আপনার কাছে একটি ওয়েব সার্ভার থাকে, সহজেই এরকম টুল বানানো সম্ভব। চলুন, নিচে আমাকে কমেন্ট করে জানিয়ে দিন, যদি ভালো রেসপন্স পাই, আপনাদের ফ্রী ওয়েব সার্ভারে মেইল স্পুফিং সেটআপ গাইড পিডিএফ বানিয়ে শেয়ার করবো।

ফেক মেইল চেনা ও এর প্রতিকার

সব সম্যসার আসলে একটা সমাধান থাকে, এখন কথা হচ্ছে আমরা কিভাবে ইমেইল স্পুফিং থেকে নিজেকে রক্ষা করবো। আমি কিন্তু আগে থেকে একটা কথা খুব ভালভাবে বলে আসছি সতর্ক থাকুন। কেননা ইন্টারনেটে সতর্ক ছাড়া অন্য কোন উপায় খুব কম কাজ করে থাকে। তারপরেও কিছু কিছু বিষয় তো থাকে সেই গুলোও আমি বলবো চিন্তা নিবেন না। আসলে হ্যাকার’রা অনেক সময় এমন এমন ইমেইল পাঠায় যে মনে হয় আসলে এটা সত্য ইমেইল। কিন্তু মনে রাখবেন আপনার কাছে আপনার ব্যাংক বা ই-ব্যাংক কোন সময় পাসওয়ার্ড পরিবর্তন করতে বলবে না বা আপনার ইনফোরমেশন পূনরায় দিতে বলবেনা। যদিও বা দিতে বলে থাকে তাহলে আপনি যেই ওয়েব সাইটে যাচ্ছেন সেই ওয়েব সাইটের URL ভালভাবে দেখে নিন। খুব ভাল ভাবে বানান গুলো দেখে নিন যদি দেখেন সব ঠিক আছে তাহলে আপনি দিতে পারেন আর যদি দেখেন না ভুল দেখাচ্ছে কিছু একটা তাহলে এই ইমেইল থেকে দূরে থাকুন। এ ছাড়া আপনার কাছে যে ইমেইল টা আসছে সেই মেইল টা কোথায় থেকে আসছে, এর SMTP সার্ভার কি সেটা ভালভাবে দেখে নিন।

আমার কাছে একটা স্প্যাম মেইল আসছে এমন, দেখেন এটার লাল বক্স গুলো দেখলে বুঝবেন। খুব সহজেই বোঝা যাচ্ছে এটা একটা স্প্যাম মেইল। আশা করি এই সব বিষয় গুলো খেয়াল রাখলে আপনি সুরক্ষিত থাকতে পারবেন। আর আবারো বলছি, মেইলে থাকা লিঙ্কে ক্লিক করার আগে হাজারো বার ভেবে নিন, সাথে জেনে রাখুন, ম্যালিসিয়াস লিঙ্ক ক্লিক না করেই কিভাবে বুঝবেন এটি নিরাপদ কিনা?

ইমেইল বোম্বিং

ভাবতে পারেন এটা তো আজকে কথা ছিল না ভাই। দিলাম ভাই আজ একটু বেশি এমনিতেই অনেকদিন লেখা দেইনি, যদি একটু বেশি না দেয় তাহলে কি হয়? আপনি কি এই নাম টা শুনেছেন? হয়তো শুনেছেন। আর যদি না শুনে থাকেন এর নাম শুনে হয়তো বুঝতেই পারছে এটা হবেই সেই রকম একটা জিনিস। আসলে ইমেইল বোম্বিং হচ্ছে কোন ইমেইলে এক সাথে অনেক ইমেইল পাঠানো। কিন্তু ভুলেও ভাবেন না এটা একটা ইমেইল থেকেই পাঠায়, এটা অনেক মেইল থেকে পাঠায়!

ইমেইল বোম্বিং এর মধ্যে হ্যাকারের অনেক গভীর স্বার্থ লুকিয়ে থাকতে পারে। আপনাকে আগেই বলে রাখি, যখন কোন হ্যাকার বা হ্যাকার টিম বড় টাইপের হ্যাকিং করার চেষ্টা করে, সেক্ষেত্রে ভিক্টিমের প্রত্যেকটি বিষয়ের উপর নজর রাখা হয়। অনেক সময় কারো বিজনেস ডাউন করার জন্যও হ্যাকার মেইল বোম্বিং করতে পারে। ধরুন, আপনার এক বিশেষ কোম্পানির সাথে বিশেষ ডিল হতে চলেছে এবং একটি মেইল আসতে পারে সে ব্যাপারে, আর আপনাকে ঐ মেইলের অবশ্যই রিপ্লাই করতে হবে, যদি আপনি ডিলটি ফাইনাল করতে চান। এখন মনে করুণ, কোন হ্যাকার বা আপনার প্রতিদ্বন্দ্বী আপনার সকল বিষয়ের উপর গভীর নজর রেখেই চলছে, সেক্ষেত্রে ঠিক কাজের মেইলটি আসার পূর্বের মুহূর্তে আপনাকে ১ লাখ মেইল সেন্ড করে দেওয়া হবে। এতে আপনার ইনবক্স ফুল হয়ে যাবে, আপনি নতুন মেইল পাবেন না, বা নতুন মেইল আসলেও সেটা এক বিশাল পরিমান মেইলের ব্ল্যাকহোলে হারিয়ে যাবে।

এবার কথা হচ্ছে এই মেইল বোম্বিং কিভাবে থামাবেন? আপনার যেই মেইল আসছে সেই মেইলটাকে সিলেক্ট করে স্প্যাম বক্সে দিয়ে দিন। বাস শেষ, এবার হ্যাকার ব্যাটা মুড়ি খেয়ে বেড়াক। কিভাবে আপনি মেইল বোম্বিং করবেন, ওয়েল, গুগল করুণ, অনেক টিউটোরিয়াল পেয়ে যাবেন ফ্রী’তে! এখানে আলোচনা করলাম না, কেনোনা বিষয়টি তেমন গুরুত্বপূর্ণ নয়। আর এরকম ব্যাপার নিয়ে যতোই বলি “কেউ খারাপ কাজে ব্যবহার করবেন না” — ব্যাট ৮০%ই খারাপ কাজেই ব্যবহার করবে।

পরিশেষে আমি একটা কথায় বলবো নিজের উপস্থিত বুদ্ধি কাজে লাগিয়ে অনেক বড় বড় অ্যাটাক থেকে বেঁচে যেতে পারেন, সেটা অনলাইন/অফলাইন। ইমেইল স্পুফিং খুব ভয়ানক মেথড যেকোন অনলাইন আইডি হ্যাক হবার জন্য। আশা করি আমাদের এথিক্যাল হ্যাকিং ফ্রী কোর্স আপনার ভাল লেগেছে। ওয়্যারবিডি চাই নিজের সুরক্ষা যেন আপনি নিজে দিতে পারেন, আর সেই লক্ষে আমাদের এর ক্ষুদ্র প্রচেষ্টা। এক জন এথিক্যাল হ্যাকার হিসেবে আপনাকে সচেতনা সৃষ্টি করতে হবে, আপনাকে বা আপনার ক্ল্যায়েন্ট’কে বিষয় গুলো বুঝিয়ে দিতে হবে। সাথে অনেক মহৎ কাজ করার জন্য হয়তো আপনাকেও বিভিন্ন টেকনিক ব্যবহার করতে হতে পারে। একজন পরিপূর্ণ এথিক্যাল হ্যাকার বা সিকিউরিটি স্পেশালিষ্ট হিসেবে নিজেকে তৈরি করার জন্য আপনাকে ব্ল্যাক হ্যাটেরও বাপ রুপে নিজেকে তৈরি করতে হবে।