সেপ্টেম্বর 30, 2022

বিজনেস অ্যাপ্লিকেশন কম্প্রোমাইজ এবং দ্য ইভলভিং আর্ট অফ সোশ্যাল ইঞ্জিনিয়ারিং

1 min read

সামাজিক প্রকৌশল খুব কমই একটি নতুন ধারণা, এমনকি সাইবার নিরাপত্তার জগতেও। শুধুমাত্র ফিশিং স্ক্যামগুলি প্রায় 30 বছর ধরে চলে আসছে, আক্রমণকারীরা ক্রমাগতভাবে একটি লিঙ্কে ক্লিক করতে, একটি ফাইল ডাউনলোড করতে, বা সংবেদনশীল তথ্য প্রদানের জন্য ক্ষতিগ্রস্তদের প্রলুব্ধ করার নতুন উপায় খুঁজে বের করে৷

ব্যবসায়িক ইমেল সমঝোতা (BEC) আক্রমণগুলি এই ধারণার উপর পুনরাবৃত্তি করে আক্রমণকারী একটি বৈধ ইমেল অ্যাকাউন্টে অ্যাক্সেস লাভ করে এবং এর মালিককে ছদ্মবেশী করে। আক্রমণকারীরা যুক্তি দেয় যে ভুক্তভোগীরা বিশ্বস্ত উত্স থেকে আসা কোনও ইমেল নিয়ে প্রশ্ন করবে না — এবং প্রায়শই, তারা সঠিক।

কিন্তু সাইবার অপরাধীরা সামাজিক প্রকৌশল আক্রমণে জড়িত হওয়ার জন্য ইমেলই একমাত্র কার্যকর উপায় নয়। আধুনিক ব্যবসাগুলি ক্লাউড পরিষেবা এবং ভিপিএন থেকে শুরু করে যোগাযোগের সরঞ্জাম এবং আর্থিক পরিষেবাগুলিতে বিভিন্ন ডিজিটাল অ্যাপ্লিকেশনের উপর নির্ভর করে৷ আরও কি, এই অ্যাপ্লিকেশনগুলি আন্তঃসংযুক্ত, তাই একজন আক্রমণকারী যে একজন আপস করতে পারে সে অন্যকেও আপস করতে পারে। সংস্থাগুলি ফিশিং এবং BEC আক্রমণগুলিতে একচেটিয়াভাবে ফোকাস করার সামর্থ্য রাখে না — যখন ব্যবসায়িক অ্যাপ্লিকেশন আপস (BAC) বৃদ্ধি পাচ্ছে তখন নয়৷

টার্গেটিং একক সাইন-অন

ব্যবসাগুলি ডিজিটাল অ্যাপ্লিকেশন ব্যবহার করে কারণ তারা সহায়ক এবং সুবিধাজনক। দূরবর্তী কাজের যুগে, কর্মীদের বিস্তৃত অবস্থান এবং ডিভাইস থেকে গুরুত্বপূর্ণ সরঞ্জাম এবং সংস্থানগুলিতে অ্যাক্সেসের প্রয়োজন। অ্যাপ্লিকেশনগুলি কর্মপ্রবাহকে স্ট্রিমলাইন করতে পারে, গুরুত্বপূর্ণ তথ্যে অ্যাক্সেস বাড়াতে পারে এবং কর্মীদের জন্য তাদের কাজ করা সহজ করে তুলতে পারে। একটি প্রতিষ্ঠানের মধ্যে একটি পৃথক বিভাগ ডজন ডজন অ্যাপ্লিকেশন ব্যবহার করতে পারে, যখন গড় কোম্পানি 200 টির বেশি ব্যবহার করে। দুর্ভাগ্যবশত, নিরাপত্তা এবং আইটি বিভাগগুলি সর্বদা এই অ্যাপ্লিকেশনগুলি সম্পর্কে জানে না — একা অনুমোদন করা যাক, যা তদারকিকে একটি সমস্যা করে তোলে।

প্রমাণীকরণ আরেকটি সমস্যা। অনন্য ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ তৈরি করা (এবং মনে রাখা) যে কেউ তাদের কাজ করার জন্য কয়েক ডজন বিভিন্ন অ্যাপ ব্যবহার করে তাদের জন্য একটি চ্যালেঞ্জ হতে পারে। একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করা একটি সমাধান, কিন্তু এটি প্রয়োগ করা IT এর পক্ষে কঠিন হতে পারে। পরিবর্তে, অনেক কোম্পানি তাদের প্রমাণীকরণ প্রক্রিয়াগুলিকে একক সাইন-অন (SSO) সমাধানের মাধ্যমে প্রবাহিত করে, যা কর্মীদের সমস্ত সংযুক্ত অ্যাপ্লিকেশন এবং পরিষেবাগুলিতে অ্যাক্সেসের জন্য একবার অনুমোদিত অ্যাকাউন্টে সাইন ইন করতে দেয়৷ কিন্তু যেহেতু SSO পরিষেবাগুলি ব্যবহারকারীদের কয়েক ডজন (বা এমনকি শত শত) ব্যবসায়িক অ্যাপ্লিকেশনগুলিতে সহজে অ্যাক্সেস দেয়, তারা আক্রমণকারীদের জন্য উচ্চ-মূল্যের লক্ষ্য। SSO প্রদানকারীদের অবশ্যই তাদের নিজস্ব নিরাপত্তা বৈশিষ্ট্য এবং ক্ষমতা আছে — কিন্তু মানুষের ত্রুটি সমাধান করা একটি কঠিন সমস্যা থেকে যায়।

সামাজিক প্রকৌশল, বিকশিত

অনেক অ্যাপ্লিকেশন – এবং অবশ্যই বেশিরভাগ SSO সমাধানের – মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) আছে। এটি আক্রমণকারীদের জন্য একটি অ্যাকাউন্টের সাথে আপস করা আরও কঠিন করে তোলে, তবে এটি অবশ্যই অসম্ভব নয়। MFA ব্যবহারকারীদের জন্য বিরক্তিকর হতে পারে, যাদের দিনে একাধিকবার অ্যাকাউন্টে সাইন ইন করতে এটি ব্যবহার করতে হতে পারে — যা অধৈর্যতা এবং কখনও কখনও অসাবধানতার দিকে পরিচালিত করে।

কিছু MFA সমাধানের জন্য ব্যবহারকারীকে একটি কোড ইনপুট করতে বা তাদের আঙ্গুলের ছাপ দেখাতে হয়। অন্যরা কেবল জিজ্ঞাসা করে, “এটা কি তুমি?” পরেরটি, ব্যবহারকারীর জন্য সহজ হলেও আক্রমণকারীদের কাজ করার জন্য জায়গা দেয়। একজন আক্রমণকারী যে ইতিমধ্যেই ব্যবহারকারীর শংসাপত্রের একটি সেট পেয়েছে সে একাধিকবার লগ ইন করার চেষ্টা করতে পারে, যদিও অ্যাকাউন্টটি MFA-সুরক্ষিত। MFA প্রমাণীকরণের অনুরোধ সহ ব্যবহারকারীর ফোন স্প্যাম করার মাধ্যমে, আক্রমণকারীরা শিকারের সতর্কতা অবসাদ বাড়ায়। অনেক ভুক্তভোগী, অনুরোধের বন্যা প্রাপ্তির পরে, অনুমান করে যে IT অ্যাকাউন্টটি অ্যাক্সেস করার চেষ্টা করছে বা বিজ্ঞপ্তির বন্যা থামাতে “অনুমোদন” এ ক্লিক করছে। লোকেরা সহজেই বিরক্ত হয় এবং আক্রমণকারীরা তাদের সুবিধার জন্য এটি ব্যবহার করছে।

অনেক উপায়ে, এটি BEC-এর তুলনায় BAC-কে সম্পন্ন করা সহজ করে তোলে। বিএসি-তে জড়িত প্রতিপক্ষদের কেবল তাদের শিকারকে খারাপ সিদ্ধান্ত নেওয়ার জন্য তাড়িত করতে হবে। এবং পরিচয় এবং SSO প্রদানকারীদের লক্ষ্য করে, আক্রমণকারীরা HR এবং বেতন পরিষেবা সহ সম্ভাব্য কয়েক ডজন বিভিন্ন অ্যাপ্লিকেশনে অ্যাক্সেস পেতে পারে। ওয়ার্কডে-এর মতো সাধারণভাবে ব্যবহৃত অ্যাপ্লিকেশনগুলি প্রায়শই SSO ব্যবহার করে অ্যাক্সেস করা হয়, যা আক্রমণকারীদের সরাসরি আমানত এবং বেতনের জালিয়াতির মতো কার্যকলাপে জড়িত হতে দেয় যা সরাসরি তাদের নিজস্ব অ্যাকাউন্টে তহবিল চালাতে পারে।

এই ধরনের ক্রিয়াকলাপ সহজেই অলক্ষিত হতে পারে — এই কারণেই একটি অনুমোদিত ব্যবহারকারীর অ্যাকাউন্ট থেকেও সন্দেহজনক আচরণ সনাক্ত করতে পারে এমন জায়গায় নেটওয়ার্ক সনাক্তকরণ সরঞ্জাম থাকা গুরুত্বপূর্ণ৷ এছাড়াও, MFA ব্যবহার করার সময় ব্যবসার ফিশ-প্রতিরোধী ফাস্ট আইডেন্টিটি অনলাইন (FIDO) নিরাপত্তা কী ব্যবহারকে অগ্রাধিকার দেওয়া উচিত। যদি MFA-এর জন্য শুধুমাত্র FIDO-এর কারণগুলি অবাস্তব হয়, তাহলে পরবর্তী সর্বোত্তম জিনিস হল ইমেল, এসএমএস, ভয়েস এবং টাইম-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড (TOTPs) পুশ নোটিফিকেশনের পক্ষে অক্ষম করা, তারপর অ্যাক্সেস সীমাবদ্ধ করতে MFA বা পরিচয় প্রদানকারী নীতিগুলি কনফিগার করুন। নিরাপত্তার একটি অতিরিক্ত স্তর হিসাবে পরিচালিত ডিভাইসগুলিতে।

বিএসি প্রতিরোধকে অগ্রাধিকার দেওয়া

সাম্প্রতিক গবেষণা ইঙ্গিত করে যে সমস্ত ঘটনার 51% ক্ষেত্রে BEC বা BAC কৌশল ব্যবহার করা হয়। যদিও BEC এর চেয়ে কম পরিচিত, সফল BAC আক্রমণকারীদের অ্যাকাউন্টের সাথে যুক্ত বিস্তৃত ব্যবসা এবং ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস দেয়। সোশ্যাল ইঞ্জিনিয়ারিং আজকের আক্রমণকারীদের জন্য একটি উচ্চ-রিটার্ন টুল হিসাবে রয়ে গেছে – এটি বন্ধ করার জন্য ডিজাইন করা নিরাপত্তা প্রযুক্তির পাশাপাশি বিকশিত হয়েছে।

আধুনিক ব্যবসায়গুলিকে অবশ্যই তাদের কর্মীদের শিক্ষিত করতে হবে, কীভাবে সম্ভাব্য কেলেঙ্কারির লক্ষণগুলি চিনতে হবে এবং কোথায় রিপোর্ট করতে হবে তা শেখাতে হবে। ব্যবসায়গুলি প্রতি বছর আরও অ্যাপ্লিকেশন ব্যবহার করে, কর্মচারীদের অবশ্যই তাদের নিরাপত্তা দলের সাথে হাতে হাত মিলিয়ে কাজ করতে হবে যাতে সিস্টেমগুলিকে ক্রমবর্ধমান বিভ্রান্তিকর আক্রমণকারীদের থেকে সুরক্ষিত রাখতে সহায়তা করে।