Executive Protection: কর্পোরেট নির্বাহীদের কেন সাইবার অপরাধীরা প্রধান টার্গেট করে?

Executive Protection বলতে সাধারণত শারীরিক নিরাপত্তা বোঝানো হলেও, ডিজিটাল যুগে এর পরিধি ব্যাপকভাবে বিস্তৃত হয়েছে। আধুনিক Executive Protection প্রোগ্রামে শারীরিক নিরাপত্তার পাশাপাশি সাইবার নিরাপত্তা, ডিজিটাল গোপনীয়তা, পরিচয় সুরক্ষা, পরিবার সুরক্ষা এবং ব্যক্তিগত উপস্থিতির নিরাপত্তা—এই সব অন্তর্ভুক্ত। লক্ষ্য হলো একজন গুরুত্বপূর্ণ ব্যক্তির পেশাগত এবং ব্যক্তিগত জীবনে সাইবার আক্রমণের ঝুঁকি সর্বনিম্ন রাখা।

একজন CEO, CFO, বা বোর্ড সদস্যের জন্য Executive Protection প্রোগ্রাম তিনটি স্তরে কাজ করে। প্রথম স্তরে ব্যক্তিগত ডিভাইস এবং অ্যাকাউন্ট সুরক্ষা, দ্বিতীয় স্তরে পরিবার এবং সহকারীদের ডিজিটাল হাইজিন, এবং তৃতীয় স্তরে সরকারি প্রোফাইল এবং সামাজিক উপস্থিতির পর্যবেক্ষণ। প্রতিটি স্তরে বিশেষায়িত কৌশল এবং সরঞ্জাম প্রয়োজন।

নির্বাহীদের লক্ষ্য করার পেছনে আক্রমণকারীদের অনেকগুলো প্রেরণা রয়েছে। প্রথমত, তাদের অ্যাকাউন্টে কোম্পানির সর্বোচ্চ গোপনীয় তথ্য থাকে—অধিগ্রহণ পরিকল্পনা, আর্থিক প্রতিবেদন, প্যাটেন্ট প্রস্তাবনা, গ্রাহক ডেটাবেস। দ্বিতীয়ত, একজন CEO এর নির্দেশকে কর্মচারীরা প্রায় কখনোই প্রশ্ন করেন না, ফলে Business Email Compromise বা BEC আক্রমণে তার পরিচয় ব্যবহার করে কর্মচারীদের কাছ থেকে বড় অংকের অর্থ স্থানান্তর করানো সহজ।

তৃতীয়ত, নির্বাহীরা প্রায়ই উচ্চ-প্রোফাইল ব্যক্তিত্ব এবং তাদের ব্যক্তিগত জীবনের তথ্য সংবাদ মাধ্যমে সহজেই পাওয়া যায়। এই Open Source Intelligence বা OSINT ডেটা ব্যবহার করে আক্রমণকারীরা অত্যন্ত পার্সোনালাইজড Spear Phishing প্রচারণা চালাতে পারে। চতুর্থত, নির্বাহীরা প্রায়শ ভ্রমণ করেন এবং বিভিন্ন দেশে অপরিচিত Wi-Fi নেটওয়ার্ক ব্যবহার করেন, যা মধ্যবর্তী আক্রমণের জন্য আদর্শ পরিস্থিতি। পঞ্চমত, রাষ্ট্রীয় গুপ্তচর সংস্থাগুলো প্রায়শ গুরুত্বপূর্ণ শিল্প খাতের নির্বাহীদের লক্ষ্য করে অর্থনৈতিক গুপ্তচরবৃত্তি চালায়।

নির্বাহীদের বিরুদ্ধে চালানো আক্রমণগুলোর মধ্যে সবচেয়ে ভয়াবহ এবং কার্যকর হলো Whaling Attack। এটি Phishing এর একটি বিশেষ রূপ যেখানে নির্দিষ্টভাবে উচ্চ-প্রোফাইল ব্যক্তিকে লক্ষ্য করা হয়। সাধারণ Phishing ইমেইলের মতো হাজার হাজার মানুষের কাছে পাঠানোর পরিবর্তে, Whaling এ একটি নির্দিষ্ট ব্যক্তির জন্য সাবধানে গবেষণা করে ইমেইল তৈরি করা হয়—সম্ভবত তার সাম্প্রতিক ভ্রমণ, পরিচিত ব্যবসায়িক অংশীদার, বা ব্যক্তিগত শখের ভিত্তিতে।

CEO Fraud বা Business Email Compromise এ আক্রমণকারীরা CEO এর ইমেইল হ্যাক করে কিংবা একটি দেখতে একই রকম ডোমেইন ব্যবহার করে CFO বা Accounts Payable টিমকে নির্দেশ দেয় বড় অংকের অর্থ পাঠাতে। FBI এর তথ্য অনুসারে গত দশকে BEC আক্রমণে প্রতিষ্ঠানগুলো ৫০ বিলিয়ন ডলারের বেশি ক্ষতির শিকার হয়েছে।

Deepfake প্রযুক্তি এই ঝুঁকিকে নতুন মাত্রায় নিয়ে গেছে। ২০১৯ সালে যুক্তরাজ্যের একটি কোম্পানি Deepfake অডিও দ্বারা প্রতারিত হয়েছিল, যেখানে CEO এর কণ্ঠস্বর নকল করে ২৪০,০০০ ডলার পাঠানোর নির্দেশ দেওয়া হয়েছিল। সাম্প্রতিক বছরগুলোতে ভিডিও Deepfake এর মাধ্যমে Zoom বা Teams কলেও আক্রমণ চালানো হচ্ছে।

SIM Swapping আরেকটি গুরুতর হুমকি, যেখানে আক্রমণকারীরা টেলিকম অপারেটরের সাথে যোগাযোগ করে নির্বাহীর ফোন নম্বর তাদের নিয়ন্ত্রিত SIM কার্ডে স্থানান্তরিত করে। এর ফলে SMS ভিত্তিক Two Factor Authentication বাইপাস করা যায় এবং সমস্ত অনলাইন অ্যাকাউন্টে অ্যাক্সেস পাওয়া যায়।

প্রতিটি নির্বাহীর জন্য সবচেয়ে বড় ঝুঁকির একটি হলো তার বিস্তৃত ডিজিটাল ফুটপ্রিন্ট। LinkedIn প্রোফাইল, কোম্পানির ওয়েবসাইট, সংবাদ সাক্ষাৎকার, সম্মেলনে দেওয়া বক্তব্য, সামাজিক মাধ্যমের পোস্ট—প্রতিটি তথ্য আক্রমণকারীর হাতিয়ার। একজন দক্ষ OSINT গবেষক মাত্র কয়েক ঘণ্টায় একজন নির্বাহীর সম্পূর্ণ প্রোফাইল তৈরি করতে পারেন—তার পরিবার, পোষ্যের নাম, প্রিয় রেস্তোরাঁ, ছুটির গন্তব্য, এমনকি দৈনন্দিন রুটিন।

Data Broker প্ল্যাটফর্মগুলো এই সমস্যাকে আরও জটিল করে তুলেছে। Whitepages, Spokeo, BeenVerified এর মতো সাইট নির্বাহীদের বাড়ির ঠিকানা, ফোন নম্বর, পরিবারের সদস্যদের তথ্য প্রকাশ্যে বিক্রি করে। আক্রমণকারীরা এই তথ্য ব্যবহার করে শারীরিক হুমকি, Doxxing বা Swatting এর মতো চরম পদক্ষেপও নিতে পারে। নির্বাহীদের জন্য ডিজিটাল ফুটপ্রিন্ট সংকোচন একটি চলমান প্রক্রিয়া যেখানে নিয়মিত এই সাইটগুলো থেকে তথ্য সরানোর অনুরোধ পাঠাতে হয়।

আক্রমণকারীরা যখন বুঝতে পারে যে CEO এর নিজের নিরাপত্তা শক্তিশালী, তখন তারা পরোক্ষ পথে আক্রমণ করে। নির্বাহীর সঙ্গী, সন্তান, কিংবা ব্যক্তিগত সহকারী—এদের ডিভাইস এবং অ্যাকাউন্ট আক্রমণের মাধ্যমে নির্বাহীর তথ্য পাওয়া যেতে পারে। অনেক CEO এর সঙ্গী কোম্পানির গোপন তথ্য জানেন না, কিন্তু তাদের সামাজিক মাধ্যমের পোস্ট থেকে CEO এর অবস্থান, পরিকল্পনা, এবং ব্যক্তিগত জীবনের বিবরণ পাওয়া সম্ভব।

ব্যক্তিগত সহকারী বা Executive Assistant সাধারণত CEO এর ইমেইল, ক্যালেন্ডার, এমনকি পাসওয়ার্ডে অ্যাক্সেস পান। যদি Executive Assistant এর অ্যাকাউন্ট আপোস হয়, তাহলে CEO এর সমস্ত যোগাযোগ আক্রমণকারীর হাতে চলে যায়। এই কারণে আধুনিক Executive Protection প্রোগ্রাম সম্পূর্ণ পরিবার এবং তাদের পেশাগত পরিবেশকে অন্তর্ভুক্ত করে।

২০২০ সালে টুইটারে একটি বড় হ্যাক ঘটে, যেখানে আক্রমণকারীরা বারাক ওবামা, ইলন মাস্ক, বিল গেটস সহ অসংখ্য সেলিব্রিটি এবং ব্যবসায়িক নেতার অ্যাকাউন্ট দখল করে বিটকয়েন স্ক্যাম পোস্ট করে। এই আক্রমণটি প্রকৃতপক্ষে টুইটারের কর্মচারীদের লক্ষ্য করে Social Engineering এর মাধ্যমে শুরু হয়েছিল। এটি দেখায় যে কীভাবে নির্বাহীদের সুরক্ষা শুধু তাদের নিজস্ব আচরণের ওপর নয়, বরং সংশ্লিষ্ট প্ল্যাটফর্মের কর্মীদের নিরাপত্তা সচেতনতার ওপরও নির্ভরশীল।

আরেকটি বিখ্যাত ঘটনায় Pegasus স্পাইওয়্যার ব্যবহার করে বিশ্বজুড়ে অনেক রাজনৈতিক নেতা, সাংবাদিক এবং ব্যবসায়িক ব্যক্তিত্বের iPhone এ আড়ি পাতা হয়েছিল। NSO Group এর তৈরি এই স্পাইওয়্যার Zero Click Exploit ব্যবহার করে কোনো ব্যবহারকারীর কোনো প্রতিক্রিয়া ছাড়াই ফোনে ইনস্টল হয়ে যেত এবং সম্পূর্ণ ডিভাইস নিয়ন্ত্রণ করতে পারত। এই ঘটনা উচ্চ-প্রোফাইল ব্যক্তিদের জন্য Mobile Device Security এর গুরুত্ব নতুনভাবে আলোচনায় এনেছে।

কার্যকর Executive Protection প্রোগ্রাম গড়ে তুলতে কয়েকটি স্তম্ভ অপরিহার্য। প্রথমত, Hardware Security Key যেমন YubiKey ব্যবহার করে Multi-Factor Authentication সক্রিয় করতে হবে। SMS ভিত্তিক MFA SIM Swapping আক্রমণের কাছে দুর্বল, তাই Hardware Key অথবা Authenticator App ব্যবহার করা উচিত।

দ্বিতীয়ত, আলাদা ডিভাইস কৌশল গ্রহণ করতে হবে। সংবেদনশীল কাজের জন্য একটি Hardened ডিভাইস, ব্যক্তিগত যোগাযোগের জন্য আরেকটি, এবং ভ্রমণের সময় একটি Burner Device—এই বিভাজন নিরাপত্তা অনেক বাড়ায়। তৃতীয়ত, এন্ড টু এন্ড এনক্রিপ্টেড যোগাযোগ মাধ্যম যেমন Signal বা Wickr ব্যবহার করতে হবে, বিশেষত সংবেদনশীল আলোচনার জন্য।

চতুর্থত, ব্যাঙ্কিং এবং আর্থিক লেনদেনের জন্য Out of Band ভেরিফিকেশন বাধ্যতামূলক করতে হবে। অর্থাৎ ইমেইলে আসা যেকোনো অর্থ স্থানান্তরের নির্দেশ ফোন কলের মাধ্যমে যাচাই করতে হবে, এবং ফোন নম্বর অবশ্যই পূর্বনির্ধারিত হতে হবে। পঞ্চমত, নিয়মিত নিরাপত্তা সচেতনতা প্রশিক্ষণে নির্বাহীদের অংশগ্রহণ করতে হবে। CEO রা যখন নিজেরা প্রশিক্ষণে অংশগ্রহণ করেন না, তখন তারা প্রায়ই সবচেয়ে সহজ আক্রমণের শিকার হন।

ভ্রমণের সময় বিশেষ সতর্কতা প্রয়োজন। সরকারি Wi-Fi ব্যবহার এড়ানো, VPN বাধ্যতামূলক করা, ডিভাইস কাস্টমস চেকপয়েন্টে অতিক্রম করার আগে ডেটা ব্যাকআপ এবং অপ্রয়োজনীয় তথ্য মুছে ফেলা—এই অভ্যাসগুলো অপরিহার্য। কিছু দেশে যাওয়ার সময় Burner Phone এবং Laptop ব্যবহার করার পরামর্শ দেওয়া হয়।

ডিজিটাল প্রাইভেসি স্ক্রাব হিসেবে পরিচিত পরিষেবা ব্যবহার করে Data Broker সাইট থেকে নির্বাহীর তথ্য নিয়মিত মুছিয়ে নিতে হবে। সামাজিক মাধ্যমে ভ্রমণের লাইভ পোস্ট না করা, পরিবারের সদস্যদের আলাদা প্রাইভেসি সেটিং নিশ্চিত করা—এই ছোট ছোট অভ্যাসই বড় ঝুঁকি কমায়।

বড় কর্পোরেশনগুলো এখন Executive Threat Intelligence পরিষেবা গ্রহণ করছে, যেখানে বিশেষায়িত সংস্থা নির্বাহীদের নাম, ইমেইল এবং ব্যক্তিগত তথ্য Dark Web এ ক্রমাগত পর্যবেক্ষণ করে। যদি কোনো ক্রেডেনশিয়াল ফাঁস হয় বা কোনো আক্রমণের পরিকল্পনা শনাক্ত হয়, তৎক্ষণাৎ সতর্কতা পাঠানো হয়।

Personal Security Operations Center বা PSOC ধারণা ক্রমশ জনপ্রিয় হচ্ছে, যেখানে একটি ডেডিকেটেড দল ২৪/৭ একজন বা একদল নির্বাহীর ডিজিটাল ও শারীরিক নিরাপত্তা পর্যবেক্ষণ করে। AI চালিত সমাধান ব্যবহার করে অস্বাভাবিক লগইন প্রচেষ্টা, অপরিচিত যন্ত্র থেকে অ্যাক্সেস কিংবা সন্দেহজনক যোগাযোগের প্যাটার্ন রিয়েল টাইমে শনাক্ত করা হয়।