Vishing Security: ভয়েস কলের মাধ্যমে ব্যাংক বা টেক সাপোর্টের ভান করে গ্রাহকের তথ্য হাতিয়ে নেওয়ার সাইবার প্রতারণা!

Vishing হলো Social Engineering-এর একটি শাখা, যেখানে আক্রমণকারী টেলিফোন বা VoIP সিস্টেমের মাধ্যমে লক্ষ্যকে ম্যানিপুলেট করে সংবেদনশীল তথ্য বের করে নেয়। এই আক্রমণের সফলতা নির্ভর করে মানুষের মনস্তত্ত্বের উপর, বিশেষ করে কর্তৃত্বের প্রতি আস্থা, জরুরিতার চাপ, এবং ক্ষতির ভয়। ফিশিং ইমেইলের তুলনায় Vishing অনেক বেশি কার্যকর হতে পারে, কারণ মানব কণ্ঠের একটি বিশ্বাসযোগ্যতার উপাদান আছে যা টেক্সটে অনুপস্থিত।

আধুনিক Vishing আক্রমণে আক্রমণকারীরা প্রায়ই Caller ID Spoofing ব্যবহার করে, যেখানে কলটিকে দেখায় যেন এটি প্রকৃত ব্যাংক বা সরকারি প্রতিষ্ঠান থেকে আসছে। VoIP প্রযুক্তি এবং সস্তা স্পুফিং সার্ভিসের কারণে যেকোনো নম্বর অনুকরণ করা এখন সহজ। বাংলাদেশে এই সমস্যা বিশেষভাবে প্রকট, কারণ গ্রাহকরা সাধারণত Caller ID-কে সত্য বলে ধরে নেন। আক্রমণকারীরা প্রায়ই দেশের জনপ্রিয় ব্যাংক বা মোবাইল ফিনান্সিয়াল সার্ভিসের অফিসিয়াল নম্বর স্পুফ করে।

Vishing আক্রমণকারীরা বিভিন্ন মনস্তাত্ত্বিক কৌশল প্রয়োগ করে তাদের লক্ষ্য অর্জন করে। Authority Impersonation কৌশলে তারা ব্যাংক কর্মকর্তা, পুলিশ অফিসার, ট্যাক্স অফিসার, বা টেক সাপোর্ট ইঞ্জিনিয়ার হিসেবে নিজেদের পরিচয় দেয়। এই কর্তৃত্বের মুখোশ মানুষকে প্রশ্ন করতে নিরুৎসাহিত করে। Urgency Creation কৌশলে তারা এমন একটি জরুরি পরিস্থিতি তৈরি করে যেন তাৎক্ষণিক পদক্ষেপ না নিলে বড় ক্ষতি হবে। যেমন "আপনার অ্যাকাউন্ট এখনই ব্লক হয়ে যাচ্ছে।"

Fear Tactics ব্যবহার করে তারা গ্রাহককে আতঙ্কিত করে, যেমন বলে যে অপরাধমূলক কাজে তার নাম জড়িয়েছে এবং এখনই সহযোগিতা না করলে গ্রেফতার হতে পারেন। Reward-based Vishing কৌশলে তারা লটারি জেতা, পুরস্কার, বা সরকারি অনুদানের কথা বলে। Pretexting-এ তারা একটি বিশ্বাসযোগ্য গল্প তৈরি করে যা পুরো সংলাপের ভিত্তি হিসেবে কাজ করে। অভিজ্ঞ আক্রমণকারীরা টার্গেটের সম্পর্কে আগে থেকে গবেষণা করে রাখে, যেমন তার সাম্প্রতিক ক্রয়, পরিবারের সদস্য, বা চাকরির তথ্য, যা সংলাপকে আরো বিশ্বাসযোগ্য করে তোলে।

বিগত দুই বছরে Voice Cloning প্রযুক্তি অভাবনীয় উন্নতি করেছে। ElevenLabs, Microsoft VALL-E, এবং বিভিন্ন ওপেন সোর্স টুল মাত্র কয়েক সেকেন্ডের অডিও স্যাম্পল থেকে কারো কণ্ঠ হুবহু অনুকরণ করতে পারে। এই প্রযুক্তি Vishing আক্রমণকে এক নতুন মাত্রায় নিয়ে গেছে। আক্রমণকারীরা সোশ্যাল মিডিয়া থেকে ভিডিও বা অডিও সংগ্রহ করে পরিচিত কারো কণ্ঠ ক্লোন করতে পারে। তারপর সেই ক্লোনড ভয়েস ব্যবহার করে পরিবারের সদস্য বা সহকর্মী সেজে ফোন করে।

২০২৪ সালে হংকংয়ে একটি বহুজাতিক প্রতিষ্ঠানের কর্মচারী Deepfake ভিডিও কলের মাধ্যমে প্রতারিত হয়ে ২৫ মিলিয়ন ডলার ট্রান্সফার করেছিলেন। কলে CFO এবং অন্যান্য সিনিয়র এক্সিকিউটিভদের ক্লোন উপস্থিত ছিল। এই ঘটনা প্রমাণ করে AI-চালিত Vishing কতটা বাস্তব এবং বিপজ্জনক হুমকি। বাংলাদেশেও এই ধরনের আক্রমণের ঘটনা ঘটতে শুরু করেছে। সন্তানের কণ্ঠে দুর্ঘটনার কথা বলে অভিভাবকদের কাছ থেকে অর্থ আদায়ের ঘটনা সংবাদমাধ্যমে এসেছে। এই হুমকি মোকাবিলায় গোপন কোড ওয়ার্ড বা পারিবারিক প্রশ্ন ব্যবহারের কৌশল গুরুত্বপূর্ণ।

বাংলাদেশের প্রেক্ষাপটে কয়েকটি Vishing সিনারিও সবচেয়ে বেশি প্রচলিত। প্রথমটি হলো বিকাশ বা নগদের প্রতিনিধি সেজে কল করা, যেখানে আক্রমণকারী বলে যে গ্রাহকের অ্যাকাউন্টে সমস্যা হয়েছে এবং OTP শেয়ার করতে হবে। দ্বিতীয়টি হলো ব্যাংক কার্ড আপগ্রেডের নামে কল করে কার্ডের পূর্ণ নম্বর, CVV, এবং মেয়াদ জিজ্ঞেস করা। তৃতীয়টি হলো Tax Refund Scam, যেখানে NBR-এর প্রতিনিধি সেজে আক্রমণকারী রিফান্ডের জন্য ব্যাংকিং তথ্য চায়।

আন্তর্জাতিকভাবে IRS Scam, Microsoft Tech Support Scam, এবং Social Security Scam সবচেয়ে কুখ্যাত। কিছু সিনারিওতে আক্রমণকারী প্রথমে SMS পাঠায় যেন গ্রাহক সেই নম্বরে কলব্যাক করেন, এটিকে Smishing-Vishing হাইব্রিড আক্রমণ বলা হয়। কর্পোরেট পরিবেশে CEO Fraud বা Whaling Vishing আক্রমণ ভয়াবহ, যেখানে আক্রমণকারী CEO সেজে অর্থ বিভাগের কর্মীকে জরুরি ট্রান্সফারের নির্দেশ দেয়। এই ধরনের আক্রমণে কখনো কখনো লক্ষ লক্ষ ডলার ক্ষতি হয়।

একটি পরিকল্পিত Vishing আক্রমণ সাধারণত কয়েকটি পর্যায়ে সম্পন্ন হয়। প্রথম পর্যায় হলো Reconnaissance, যেখানে আক্রমণকারী টার্গেট সম্পর্কে তথ্য সংগ্রহ করে। সোশ্যাল মিডিয়া, LinkedIn, ডেটা ব্রিচ ডাম্প, এবং পাবলিক রেকর্ড এই তথ্যের উৎস। দ্বিতীয় পর্যায় হলো Infrastructure Setup, যেখানে স্পুফড নম্বর, VoIP সার্ভিস, এবং প্রয়োজনীয় টুল প্রস্তুত করা হয়। তৃতীয় পর্যায় হলো Pretext Development, যেখানে একটি বিশ্বাসযোগ্য গল্প তৈরি করা হয়।

চতুর্থ পর্যায়ে আসল কল করা হয়, যেখানে আক্রমণকারী মনস্তাত্ত্বিক ম্যানিপুলেশন প্রয়োগ করে। পঞ্চম পর্যায়ে সংগৃহীত তথ্য তাৎক্ষণিকভাবে ব্যবহার করা হয়, যেমন ব্যাংক ট্রান্সফার, কেনাকাটা, বা অ্যাকাউন্ট দখল। শেষ পর্যায়ে আক্রমণকারীরা তাদের ট্র্যাকস মুছে ফেলার চেষ্টা করে, যেমন ব্যবহৃত নম্বর বাতিল করা এবং অর্থ একাধিক অ্যাকাউন্টের মাধ্যমে স্থানান্তর করা। এই পুরো প্রক্রিয়া কয়েক ঘণ্টা থেকে শুরু করে কয়েক সপ্তাহ পর্যন্ত স্থায়ী হতে পারে, বিশেষত যখন কর্পোরেট টার্গেটের ক্ষেত্রে দীর্ঘমেয়াদি Pretexting করা হয়।

কর্পোরেট পরিবেশে Vishing আক্রমণ Red Team অপারেশনে একটি গুরুত্বপূর্ণ অংশ। অনেক প্রতিষ্ঠান তাদের কর্মীদের সচেতনতা পরীক্ষা করতে নিয়মিত সিমুলেটেড Vishing ক্যাম্পেইন পরিচালনা করে। আক্রমণকারীরা প্রায়ই IT সাপোর্ট সেজে কর্মীদের পাসওয়ার্ড রিসেট বা VPN ক্রেডেনশিয়াল চায়। বড় প্রতিষ্ঠানে Help Desk Vishing একটি প্রচলিত কৌশল, যেখানে আক্রমণকারী কোনো কর্মীর পরিচয় চুরি করে IT হেল্প ডেস্কে কল করে পাসওয়ার্ড রিসেট করায়।

Wire Transfer Fraud বা Business Email Compromise (BEC) আক্রমণে প্রায়ই Vishing একটি গুরুত্বপূর্ণ ভূমিকা পালন করে। প্রথমে একটি জাল ইমেইল পাঠানো হয় ভেন্ডর সেজে, এবং তারপর ফোন কলের মাধ্যমে সেই অনুরোধ "নিশ্চিত" করা হয়। এই বহুস্তরীয় আক্রমণ সাধারণ অ্যান্টি-ফিশিং প্রশিক্ষণকে ফাঁকি দিতে পারে। বাংলাদেশের গার্মেন্টস এবং রপ্তানি ব্যবসায় BEC আক্রমণের কারণে কোটি কোটি টাকার ক্ষতি হয়েছে, যেখানে বিদেশি বায়ার সেজে প্রতারকরা পেমেন্ট ডিটেলস পরিবর্তন করিয়েছে।

একটি কল Vishing কিনা তা চিনতে কিছু সাধারণ লক্ষণ লক্ষ্য রাখা প্রয়োজন। প্রথম লক্ষণ হলো অস্বাভাবিক জরুরিতা, যেখানে চাপ দিয়ে দ্রুত সিদ্ধান্ত নিতে বলা হয়। প্রকৃত প্রতিষ্ঠান কখনোই গ্রাহককে চাপ দেয় না। দ্বিতীয় লক্ষণ হলো OTP, PIN, বা CVV চাওয়া। কোনো ব্যাংক বা মোবাইল ফিনান্সিয়াল সার্ভিস কখনোই ফোনে এই তথ্য চায় না। তৃতীয় লক্ষণ হলো অপরিচিত নম্বর থেকে কল বা Caller ID-তে অস্বাভাবিকতা।

চতুর্থ লক্ষণ হলো এমন প্রস্তাব যা সত্য হওয়ার পক্ষে বেশি ভালো শোনায়, যেমন বিশাল অংকের লটারি বা পুরস্কার। পঞ্চম লক্ষণ হলো ব্যক্তিগত তথ্যের অস্বাভাবিক অনুরোধ, যেমন NID নম্বর, জন্মতারিখ, বা মায়ের নাম। ষষ্ঠ লক্ষণ হলো ব্যাকগ্রাউন্ডে কল সেন্টারের শব্দ যা পেশাদার মনে হলেও গভীরভাবে শুনলে কৃত্রিম মনে হয়। সপ্তম লক্ষণ হলো ভাষাগত অসঙ্গতি বা উচ্চারণে অস্বাভাবিকতা, যা প্রায়ই বিদেশি কল সেন্টার থেকে আগত আক্রমণে দেখা যায়।

ব্যক্তিগত পর্যায়ে Vishing প্রতিরোধে কয়েকটি নীতি কঠোরভাবে অনুসরণ করুন। কখনোই অযাচিত কলে কোনো সংবেদনশীল তথ্য প্রকাশ করবেন না, এমনকি যদি কলার নিজেকে ব্যাংকের প্রতিনিধি বলে দাবি করেন। সবসময় কল কেটে দিয়ে অফিসিয়াল ওয়েবসাইট বা কার্ডের পিছনের নম্বরে কল করে যাচাই করুন। OTP বা PIN কারো সাথে শেয়ার করবেন না, এটি আপনার ডিজিটাল স্বাক্ষরের মতোই গোপনীয়। পরিবারের সদস্যদের সাথে একটি Code Word নির্ধারণ করুন যা জরুরি কলে যাচাইয়ের জন্য ব্যবহার হবে।

কর্পোরেট পর্যায়ে নিয়মিত Vishing Simulation চালান এবং কর্মীদের প্রশিক্ষণ দিন। আর্থিক লেনদেনের জন্য Out-of-Band Verification নীতি প্রয়োগ করুন, যেখানে কোনো বড় ট্রান্সফারের আগে দ্বিতীয় চ্যানেলের মাধ্যমে নিশ্চিতকরণ প্রয়োজন। Help Desk-এ কঠোর Identity Verification প্রক্রিয়া রাখুন, যেখানে শুধু নাম এবং কর্মী আইডি দিয়ে পাসওয়ার্ড রিসেট করা যাবে না। কল রেকর্ডিং সচল রাখুন সন্দেহজনক কল বিশ্লেষণের জন্য। STIR/SHAKEN-এর মতো প্রযুক্তি ব্যবহার করে Caller ID-এর সত্যতা যাচাই করুন।

বাংলাদেশে Vishing আক্রমণের শিকার হলে দ্রুত পদক্ষেপ নিন। প্রথমে আপনার ব্যাংক বা মোবাইল ফিনান্সিয়াল সার্ভিসকে অবহিত করুন যাতে অ্যাকাউন্ট ফ্রিজ করা যায়। তারপর নিকটস্থ থানায় জিডি করুন এবং সাইবার ক্রাইম ইউনিটে অভিযোগ দাখিল করুন। ডিজিটাল নিরাপত্তা আইন ২০১৮ এবং সাইবার নিরাপত্তা আইনের আওতায় এই অপরাধের বিচার হয়। সিআইডির সাইবার পুলিশ সেন্টার এবং র‍্যাব সাইবার ইউনিট এই ধরনের অভিযোগ গ্রহণ করে।

আন্তর্জাতিকভাবে FCC, FTC, এবং বিভিন্ন দেশের টেলিকম রেগুলেটর Vishing প্রতিরোধে কাজ করছে। ভারতে TRAI-এর Do Not Disturb সিস্টেম, যুক্তরাষ্ট্রে Robocall Mitigation প্রোগ্রাম এই সমস্যা মোকাবিলায় বিভিন্ন উদ্যোগ। বাংলাদেশ টেলিযোগাযোগ নিয়ন্ত্রণ কমিশন (বিটিআরসি) Caller ID Spoofing এবং অননুমোদিত VoIP সার্ভিস বন্ধে নিয়মিত পদক্ষেপ নিচ্ছে। তবে আন্তর্জাতিক প্রকৃতির এই অপরাধে আইনি ব্যবস্থা সবসময় সফল হয় না, তাই সচেতনতাই প্রধান প্রতিরক্ষা।