Smishing Security: মোবাইলে এসএমএসের মাধ্যমে ফিশিং আক্রমণ শনাক্ত এবং প্রতিরোধের কার্যকরী পদ্ধতি!

Smishing-এর মূল ধারণা ঐতিহ্যবাহী Phishing-এর মতোই—ব্যবহারকারীকে এমন এক বার্তা পাঠানো যা বৈধ মনে হয়, এবং সেই বার্তায় থাকা লিংকে ক্লিক বা তথ্য দেওয়ার জন্য প্ররোচিত করা। তবে SMS মাধ্যম এই আক্রমণকে আরও কার্যকর করে কয়েকটি কারণে:

বিশ্বাসযোগ্যতা: মানুষ মনে করে SMS পাঠাতে হলে আক্রমণকারীর কাছে তার ফোন নম্বর থাকতে হবে—এটি বিশ্বাসযোগ্যতা বাড়ায়। অথচ ফোন নম্বর data breach, public directory বা purchase-এর মাধ্যমে সহজেই পাওয়া যায়।

সংক্ষিপ্ততা: ১৬০ অক্ষরের সীমার কারণে SMS-এ বিস্তারিত verification information দেওয়া কঠিন—সাধারণ ব্যবহারকারী shortened URL দেখেই বিশ্বাস করতে অভ্যস্ত।

Click-through Rate: গবেষণায় দেখা গেছে SMS phishing-এ click rate ইমেইল phishing-এর চেয়ে ৮ গুণ বেশি।

Spoofed Sender ID: SS7 দুর্বলতা এবং বিভিন্ন SMS gateway-র সাহায্যে আক্রমণকারীরা প্রকৃত sender ID (যেমন "bKash", "DBBL") spoof করতে পারেন।

১. Banking/Financial Lure

"আপনার অ্যাকাউন্টে সন্দেহজনক লেনদেন শনাক্ত হয়েছে। অবিলম্বে এই লিংকে ক্লিক করে যাচাই করুন।"

এই ধরনের বার্তা ভিকটিমকে একটি ক্লোন ব্যাংকিং পোর্টালে নিয়ে যায় যেখানে credential, OTP এবং কখনো কখনো PIN চাওয়া হয়।

২. Delivery Notification

"আপনার পার্সেল আটকে আছে। ঠিকানা/শুল্ক পরিশোধে এই লিংকে যান।"

কোভিড পরবর্তী যুগে অনলাইন কেনাকাটা বৃদ্ধির সাথে এই কৌশল অত্যন্ত কার্যকর হয়েছে।

৩. Prize/Lottery Scam

"অভিনন্দন! আপনি ৫০,০০০ টাকা জিতেছেন। দাবি করতে এই নম্বরে ফোন করুন।"

মানুষের লোভকে কাজে লাগিয়ে প্রসেসিং ফি বা ব্যাংক তথ্য নেওয়ার চেষ্টা।

৪. Government Impersonation

"NID আপডেট না করায় আপনার অ্যাকাউন্ট বন্ধ হয়ে যাবে। লিংকে ক্লিক করুন।" "BTRC থেকে: আপনার SIM verification প্রয়োজন।"

সরকারি কর্তৃত্বের ভয় ব্যবহার করে দ্রুত প্রতিক্রিয়া আদায়।

৫. MFA Fatigue/Push Bombing

কর্পোরেট পরিবেশে আক্রমণকারীরা একই সাথে authentication push notification পাঠাতে থাকে এবং SMS-এ "এটি বৈধ অনুরোধ, approve করুন" বলে বিভ্রান্ত করে।

৬. Job Offer Scam

"$2000 কাজের সুযোগ! WhatsApp-এ যোগাযোগ করুন।"

এই কৌশলে শুরুতে ছোট কাজ দিয়ে বিশ্বাস অর্জন করা হয়, পরে বড় অংকের টাকা চাওয়া হয়।

৭. CEO/Boss Impersonation

কর্পোরেট পরিবেশে: "আমি CEO, জরুরি কাজে আছি। অফিসে phone করতে পারছি না। দ্রুত এই vendor-কে $৫০০০ পাঠান।"

Smishing-এর সাথে যুক্ত মোবাইল-নির্দিষ্ট কিছু হুমকি:

Malicious APK Distribution: Android ব্যবহারকারীদের একটি লিংকে ক্লিক করতে বলা হয় যা একটি .apk ফাইল ডাউনলোড করে। ইনস্টল করলে banking trojan (যেমন Anubis, Cerberus, FluBot, TeaBot) ফোনে চালু হয় এবং SMS, contact, banking app overlay অ্যাক্সেস নেয়।

iCloud/Apple ID Phishing: iPhone হারানোর পরে "আপনার iPhone পাওয়া গেছে, এখানে লগইন করুন" বার্তা—যা Apple ID হ্যাক করে।

WhatsApp/Telegram Pivot: SMS-এ পরিচিতি স্থাপনের পর encrypted messenger-এ স্থানান্তর, যাতে অপারেটর/CERT-এর monitoring এড়ানো যায়।

Smishing-as-a-Service: ডার্ক ওয়েবে SaaS মডেলে Smishing kit বিক্রি হয়, যাতে কম-প্রযুক্তিগত আক্রমণকারীরাও সহজে কার্যকর ক্যাম্পেইন চালাতে পারেন।

সচেতন ব্যবহারকারী হিসেবে কিছু সুনির্দিষ্ট সংকেত খেয়াল রাখা উচিত:

• অপরিচিত URL: সংক্ষিপ্ত URL (bit.ly, tinyurl) বা সন্দেহজনক ডোমেইন (bksh-verify.com, dhl-bd.xyz)
• জরুরি ভাষা: "এখনই", "১ ঘণ্টার মধ্যে", "অ্যাকাউন্ট বন্ধ হবে"
• ব্যক্তিগত তথ্যের অনুরোধ: বৈধ ব্যাংক কখনো SMS-এ PIN, OTP বা পাসওয়ার্ড চায় না
• Generic Greeting: "প্রিয় গ্রাহক"—বৈধ ব্যাংক সাধারণত নাম ব্যবহার করে
• বানান ভুল: পেশাদার সংস্থার বার্তায় বানান বা ব্যাকরণ ভুল বিরল
• অপ্রত্যাশিত পুরস্কার: যা কখনো অংশগ্রহণ করেননি, এমন কিছুতে জেতা সম্ভব নয়
• অপরিচিত নম্বর: বিদেশী কোড বা অস্বাভাবিক প্রেরক ID

বাংলাদেশের সিআইডি সাইবার ইউনিট ও ব্যাংকগুলোর তথ্য অনুযায়ী, Smishing-এর কারণে গড়ে প্রতি মাসে কোটি টাকার অধিক ক্ষতি হচ্ছে। ভিকটিমদের মধ্যে অনেকেই হলেন প্রবীণ, কম-শিক্ষিত গ্রামীণ ব্যবহারকারী, বা MFS-এর নতুন ব্যবহারকারী।

বিশ্বব্যাপী FBI IC3-এর ২০২৩ রিপোর্টে SMS-ভিত্তিক প্রতারণা থেকে $৩০০ মিলিয়নের বেশি ক্ষতির কথা বলা হয়েছে। যুক্তরাজ্যে FluBot ম্যালওয়্যার লক্ষাধিক ডিভাইস সংক্রমিত করেছিল।

ব্যক্তিগত স্তরে

• লিংকে কখনো সরাসরি ক্লিক নয়: সন্দেহজনক SMS-এ লিংক না খুলে সরাসরি ব্যাংকের অফিসিয়াল অ্যাপ বা ওয়েবসাইটে যান
• OTP কখনো শেয়ার নয়: যেকোনো অনুরোধ—ফোনে, SMS-এ বা WhatsApp-এ—OTP চাইলে সেটি প্রতারণা
• APK install বন্ধ: Android-এ "Unknown Sources" নিষ্ক্রিয় রাখুন; অ্যাপ শুধু Play Store/App Store থেকে নামান
• Spam Reporting: BTRC-এর shortcode (যেমন 2872) বা ব্যাংকের fraud hotline-এ রিপোর্ট
• নম্বর ব্লক: বারবার সন্দেহজনক বার্তা পাঠানো নম্বর ব্লক করুন
• Family Education: পরিবারের প্রবীণ বা কম-প্রযুক্তি-সচেতন সদস্যদের শিক্ষা দিন
• Verify Independently: যেকোনো জরুরি মনে হওয়া বার্তা পেলে সরাসরি সংশ্লিষ্ট প্রতিষ্ঠানের প্রকাশ্য নম্বরে কল করে যাচাই

কর্পোরেট স্তরে

• Mobile Threat Defense (MTD): Lookout, Zimperium-এর মতো সলিউশন কর্মীদের ফোনে সন্দেহজনক SMS এবং URL স্ক্যান করে
• MDM Policy: প্রতিষ্ঠানের মোবাইল ডিভাইসে security policy enforcement
• Smishing Simulation: KnowBe4, Hoxhunt-এর মতো প্ল্যাটফর্ম দিয়ে কর্মীদের কাছে নিয়ন্ত্রিত Smishing simulation এবং প্রশিক্ষণ
• Brand Protection: ব্যাংক ও MFS-এর জন্য brand impersonation monitoring সেবা গ্রহণ
• Phishing-resistant MFA: SMS-ভিত্তিক 2FA-র পরিবর্তে FIDO2/WebAuthn (passkey, hardware token)
• Incident Response: যদি কর্মী Smishing-এ ক্লিক করে ফেলেন, দ্রুত credential reset এবং ডিভাইস isolation

অপারেটর ও নিয়ন্ত্রক স্তরে

• STIR/SHAKEN: caller ID প্রমাণীকরণ technology (যদিও মূলত voice-এর জন্য, SMS-এও সম্প্রসারণযোগ্য)
• Sender ID Verification: bKash, ব্যাংকগুলোর জন্য নিবন্ধিত sender ID; অনিবন্ধিত প্রেরক থেকে আসা বার্তা ব্লক
• URL Reputation Filter: অপারেটর-স্তরে SMS-এর মধ্যে থাকা URL real-time-এ checked
• Public Awareness Campaign: BTRC, ব্যাংক, সরকারি সংস্থার সমন্বয়ে গণ-সচেতনতা অভিযান
• Legal Framework: Smishing-নির্দিষ্ট আইন এবং দ্রুত বিচার প্রক্রিয়া

বাংলাদেশে BTRC এবং বিভিন্ন ব্যাংকের সমন্বিত প্রচেষ্টায় কিছু পদক্ষেপ ইতিমধ্যেই বাস্তবায়িত হয়েছে—যেমন bKash এবং Nagad-এর জন্য authenticated sender ID, এবং ফ্রড হটলাইন। তবে আরও দীর্ঘমেয়াদী এবং সমন্বিত পদক্ষেপ প্রয়োজন।

মোবাইল অপারেটিং সিস্টেমে কিছু বৈশিষ্ট্য Smishing-এর বিরুদ্ধে সহায়ক:

• iOS Spam Filter: Apple-এর Messages app-এ অপরিচিত প্রেরকের বার্তা আলাদা ফোল্ডারে যায়
• Android Messages Spam Protection: Google-এর built-in spam detection
• Verified SMS: Google-এর প্রযুক্তি যেখানে নিবন্ধিত ব্যবসা থেকে আসা SMS-এ verification badge দেখায়
• Link Preview: লিংকে ক্লিক করার আগে preview দেখানো

কর্পোরেট পরিবেশে Mobile Threat Defense (MTD) সলিউশন SMS-কে real-time-এ scan করে—malicious link, banking trojan distribution এবং impersonation শনাক্ত করে।

AI-চালিত Smishing দ্রুত বৃদ্ধি পাচ্ছে। আক্রমণকারীরা LLM ব্যবহার করে—

• নির্দিষ্ট লক্ষ্যবস্তুর জন্য hyper-personalized বার্তা তৈরি
• নিখুঁত স্থানীয় ভাষা (বাংলা) ব্যবহার যা আগে translation দিয়ে বোঝা যেত
• voice clone-এর মাধ্যমে call-back trap

প্রতিরক্ষায়ও AI অপরিহার্য হয়ে উঠছে—real-time NLP-ভিত্তিক content analysis, behavioral baseline detection এবং automated takedown।

RCS (Rich Communication Services) প্রযুক্তির ব্যাপক গ্রহণ Smishing-এর চরিত্র পরিবর্তন করবে। এতে images, buttons এবং interactive elements থাকায় আক্রমণ আরও convincing হতে পারে—তবে অন্যদিকে authenticated sender verification-এর সম্ভাবনাও বাড়ে।