SIM Swapping: মোবাইল অপারেটরদের বিভ্রান্ত করে সিম কার্ড হাইজ্যাক এবং ব্যাংক অ্যাকাউন্ট হ্যাকিং!

মোবাইল অপারেটরের সিস্টেমে প্রতিটি গ্রাহকের ফোন নম্বর একটি নির্দিষ্ট IMSI (International Mobile Subscriber Identity)-এর সাথে যুক্ত থাকে যা সিম কার্ডে সংরক্ষিত। যদি গ্রাহক সিম হারান বা নতুন ফোনে স্থানান্তর করতে চান, তবে অপারেটরের কাছে অনুরোধ করে একটি নতুন সিম পেতে পারেন যেখানে একই নম্বর কিন্তু নতুন IMSI। এই প্রক্রিয়াকেই অপব্যবহার করে SIM Swap আক্রমণ।

আক্রমণের প্রবাহ:

1. Target Profiling: ভিকটিম সম্পর্কে যথাসম্ভব তথ্য সংগ্রহ—নাম, ঠিকানা, জন্ম তারিখ, NID নম্বর, ব্যাংক, ফোন নম্বর। সোশ্যাল মিডিয়া, ফাঁস হওয়া ডেটাবেস, এবং সরাসরি phishing দিয়ে এই তথ্য পাওয়া যায়।

2. Operator Contact: ভিকটিমের পরিচয়ে অপারেটরের কাস্টমার কেয়ারে কল বা সরাসরি দোকানে যাওয়া। দাবি করা হয় ফোন হারিয়ে গেছে বা সিম নষ্ট হয়েছে।

3. Verification Bypass: সংগৃহীত তথ্য দিয়ে অপারেটরের পরিচয় যাচাই প্রক্রিয়া পার করা। কিছু ক্ষেত্রে অভ্যন্তরীণ কর্মীকেও ঘুষ দিয়ে রাজি করানো হয়।

4. SIM Activation: নতুন সিম আক্রমণকারীর হাতে অ্যাকটিভেট হয়। তৎক্ষণাৎ ভিকটিমের ফোনে সিগন্যাল হারিয়ে যায়।

5. Account Takeover: আক্রমণকারী Forgot Password ক্লিক করে ইমেইল, ব্যাংক এবং ক্রিপ্টো অ্যাকাউন্টের OTP নিজের ফোনে পান। তারপর পাসওয়ার্ড রিসেট করে সম্পূর্ণ নিয়ন্ত্রণ নেন।

6. Money Movement: ব্যাংক ট্রান্সফার, ক্রিপ্টো উইথড্রয়াল, বা e-wallet পেমেন্টের মাধ্যমে দ্রুত অর্থ সরিয়ে নেওয়া হয়।

পুরো আক্রমণ সাধারণত ১৫ মিনিট থেকে কয়েক ঘণ্টার মধ্যে সম্পন্ন হয়।

বহু সিস্টেম আজও SMS-ভিত্তিক 2FA-কে সর্বোচ্চ নিরাপত্তা স্তর হিসেবে বিবেচনা করে। ব্যাংক লেনদেন, ক্রিপ্টো এক্সচেঞ্জ অ্যাক্সেস, ইমেইল রিকভারি—সবগুলোই OTP-এর উপর নির্ভর করে। সিম নিয়ন্ত্রণে নিলে আক্রমণকারী একসাথে এই সমস্ত স্তর বাইপাস করতে পারেন।

ক্রিপ্টোকারেন্সির উত্থান SIM Swap-এর জনপ্রিয়তা আরও বাড়িয়েছে। ব্যাংক ট্রান্সফার ট্র্যাক ও বাতিল করা সম্ভব, কিন্তু Bitcoin বা Ethereum একবার একটি wallet-এ চলে গেলে ফেরানো প্রায় অসম্ভব। ২০১৮ সালে Joel Ortiz এক একাধিক ক্রিপ্টো এক্সিকিউটিভের সিম swap করে $৫ মিলিয়ন চুরির অভিযোগে অভিযুক্ত হন।

Michael Terpin Case: একজন বিশিষ্ট ক্রিপ্টো বিনিয়োগকারী Michael Terpin-এর AT&T সিম swap-এর মাধ্যমে $২৪ মিলিয়ন মূল্যের ক্রিপ্টো চুরি হয়। তিনি AT&T-এর বিরুদ্ধে $২২৪ মিলিয়নের মামলা করেন এবং পরে আদালত AT&T-কে দায়ী করে।

Twitter CEO Hack (2019): Twitter-এর তৎকালীন CEO Jack Dorsey-র টুইটার অ্যাকাউন্ট SIM Swap-এর মাধ্যমে হ্যাক হয় এবং Chuckling Squad গ্রুপ তার নামে আপত্তিকর টুইট প্রকাশ করে।

$100M REACT Task Force Bust: ২০২২ সালে আমেরিকার REACT Task Force এক SIM Swap গ্যাং ধরে যারা $১০০ মিলিয়নের বেশি ডিজিটাল সম্পদ চুরি করেছিল।

বাংলাদেশের প্রেক্ষাপট: বাংলাদেশেও বিভিন্ন মোবাইল ফাইন্যান্সিয়াল সার্ভিস (bKash, Nagad) ব্যবহারকারীদের সিম swap-এর মাধ্যমে অর্থ চুরির ঘটনা ক্রমাগত বাড়ছে। BTRC এবং ব্যাংকগুলো সমন্বিত পদক্ষেপ নিয়ে এই হুমকি মোকাবেলায় কাজ করছে।

ভিকটিমদের জন্য SIM Swap শনাক্তকরণে কিছু স্পষ্ট সংকেত আছে:

• ফোনে হঠাৎ "No Service" বা "SOS Only" দেখানো
• নিজের নম্বরে কল করে অপরিচিত কেউ ধরা
• ইমেইল বা অ্যাকাউন্ট থেকে অপ্রত্যাশিত লগইন/পাসওয়ার্ড রিসেট নোটিফিকেশন
• ব্যাংক অ্যাপে অপ্রত্যাশিত লেনদেন
• মোবাইল অপারেটর থেকে "নতুন সিম অ্যাকটিভ" সম্পর্কিত SMS (কখনো কখনো এটি ব্যবহারকারী দেখার আগেই পুরনো সিম নিষ্ক্রিয় হয়ে যায়)

এই লক্ষণগুলো দেখা মাত্র অবিলম্বে মোবাইল অপারেটরের জরুরি লাইনে কল করতে হবে এবং সিম পুনরুদ্ধারের অনুরোধ জানাতে হবে।

মোবাইল অপারেটররা SIM Swap-এর প্রথম প্রতিরক্ষা লাইন। তাদের প্রক্রিয়া যত শক্তিশালী, আক্রমণ তত কঠিন। দুর্বল প্রক্রিয়ার চিহ্ন:

• শুধু নাম, ঠিকানা ও জন্ম তারিখ দিয়ে সিম reissue
• কর্মীদের পর্যাপ্ত প্রশিক্ষণের অভাব
• ভাল callback বা multi-channel verification না থাকা
• ভিতরের কর্মীদের ঘুষ গ্রহণে বাধা না থাকা
• উচ্চ-মূল্যের গ্রাহকদের জন্য বিশেষ সুরক্ষা স্তর না থাকা

GSMA-এর নির্দেশনা অনুসারে অপারেটরদের প্রয়োগ করা উচিত—

• বায়োমেট্রিক প্রমাণীকরণ (NID-এর সাথে ফেস ম্যাচ)
• Cooling Period: নতুন সিম অ্যাকটিভ হলে ২৪-৪৮ ঘণ্টা SMS/Call ব্লক করা
• উচ্চ-মূল্যের গ্রাহকদের জন্য in-person verification বাধ্যতামূলক
• সন্দেহজনক request-এর জন্য আগে থেকে স্থাপিত PIN/পাসওয়ার্ড
• রিয়েল-টাইম fraud detection AI সিস্টেম

বাংলাদেশে BTRC বায়োমেট্রিক ভেরিফিকেশন বাধ্যতামূলক করেছে, যা একটি শক্তিশালী পদক্ষেপ। তবে অভ্যন্তরীণ কর্মীর জড়িত থাকার ঘটনা এখনও সম্পূর্ণরূপে নিয়ন্ত্রণে আসেনি।

১. SMS 2FA পরিহার

যেখানেই সম্ভব SMS-ভিত্তিক 2FA-র পরিবর্তে অন্য পদ্ধতি ব্যবহার করুন:

• Authenticator App: Google Authenticator, Microsoft Authenticator, Authy—এগুলো TOTP জেনারেট করে যা SIM-এর উপর নির্ভর করে না
• Hardware Token: YubiKey, Google Titan—সর্বোচ্চ নিরাপত্তা প্রদান করে
• Passkey: WebAuthn-ভিত্তিক passwordless authentication

বিশেষ করে ব্যাংক, ক্রিপ্টো এক্সচেঞ্জ এবং ইমেইলের প্রাথমিক রিকভারিতে SMS-ভিত্তিক 2FA সম্পূর্ণ এড়ানো উচিত।

২. Carrier-level Protections

আপনার মোবাইল অপারেটরের সাথে যোগাযোগ করে অতিরিক্ত নিরাপত্তা সেটআপ করুন:

• Account PIN/পাসওয়ার্ড সেট
• Port-out Lock চালু
• জরুরি যোগাযোগের জন্য বিকল্প নম্বর নিবন্ধন
• নতুন সিম জারি করার আগে in-person verification বাধ্যতামূলক করার অনুরোধ

৩. ব্যাংকিং প্রটেকশন

• ব্যাংকে large transaction-এর জন্য অতিরিক্ত verification (callback) সক্রিয়
• দৈনিক transfer limit সেট
• লেনদেন alert email-এও পেতে কনফিগার (শুধু SMS নয়)
• Beneficiary add করার জন্য cooling period

৪. PII Minimization

সামাজিক যোগাযোগ মাধ্যমে অতিরিক্ত ব্যক্তিগত তথ্য শেয়ার এড়িয়ে চলুন। জন্ম তারিখ, পুরো ঠিকানা, পরিবারের সদস্যদের নাম—এগুলো আক্রমণকারীদের প্রিয় তথ্য।

৫. Email Recovery Hardening

ইমেইলের রিকভারি অপশনে ফোন নম্বরের পরিবর্তে hardware key বা backup code ব্যবহার। কারণ ইমেইল হ্যাক হলে অন্য সব অ্যাকাউন্টের রিকভারিও সম্ভব।

৬. Dedicated Banking Phone

উচ্চ-নেট-ওয়ার্থ ব্যক্তিদের জন্য একটি পৃথক "banking phone" রাখা ভালো অনুশীলন। এই ফোনের নম্বর কেবল ব্যাংক ও আর্থিক সেবায় ব্যবহার করা হবে; সোশ্যাল মিডিয়া বা সাধারণ যোগাযোগে নয়।

৭. Monitoring

Have I Been Pwned-এর মতো সেবায় ইমেইল রেজিস্টার করে data breach notification পেতে পারেন। নিয়মিত সকল অ্যাকাউন্টের login history পর্যালোচনা।

যদি আপনি SIM Swap-এর ভিকটিম হন, প্রথম কয়েক ঘণ্টা সবচেয়ে গুরুত্বপূর্ণ:

1. মোবাইল অপারেটরকে কল: অন্যের ফোন থেকে অবিলম্বে কল করে সিম পুনরুদ্ধারের অনুরোধ
2. ব্যাংকে যোগাযোগ: সকল অ্যাকাউন্ট সাময়িক স্থগিত করার অনুরোধ
3. ইমেইল পাসওয়ার্ড পরিবর্তন: প্রাথমিক ইমেইলের নিয়ন্ত্রণ পুনরুদ্ধার এবং পাসওয়ার্ড পরিবর্তন
4. পুলিশ রিপোর্ট: সাইবার ট্রাইব্যুনাল এবং স্থানীয় থানায় অভিযোগ
5. ক্রিপ্টো এক্সচেঞ্জে যোগাযোগ: যদি প্রাসঙ্গিক হয়, তাৎক্ষণিক withdrawal freeze
6. 2FA পুনরায় সেট: পুনরুদ্ধারের পর সকল অ্যাকাউন্টে hardware-based 2FA সেট

eSIM প্রযুক্তির ব্যাপক গ্রহণ SIM Swap-কে কঠিন করার সম্ভাবনা রাখে, কারণ eSIM transfer-এ প্রায়শই দুটি ডিভাইস উপস্থিত থাকার প্রয়োজন হয়। তবে অপারেটরদের প্রক্রিয়া দুর্বল হলে eSIM-ও আক্রমণযোগ্য।

বায়োমেট্রিক ভেরিফিকেশনের উন্নতি (3D face mapping, liveness detection) ভিতরের কর্মীর হস্তক্ষেপ কমাতে সাহায্য করবে। ব্লকচেইন-ভিত্তিক ডিজিটাল আইডেন্টিটি ভবিষ্যতে কেন্দ্রীয় অপারেটরের উপর নির্ভরতা কমাতে পারে।

কিন্তু যতদিন SMS-ভিত্তিক প্রমাণীকরণ থাকবে, ততদিন SIM Swap আক্রমণের ঝুঁকিও থাকবে। তাই ব্যবহারকারী, ব্যাংক এবং অপারেটর—সবার সম্মিলিত প্রচেষ্টাই একমাত্র কার্যকর সমাধান।