সাইবার নিরাপত্তা গবেষকরা একটি ব্যাপক ক্ষতিকর প্রচারণার পর্দা উন্মোচন করেছেন, যা বিশ্বব্যাপী টিকটক শপ ব্যবহারকারীদের লক্ষ্য করে তাদের লগইন তথ্য চুরি এবং ট্রোজানাইজড অ্যাপ বিতরণের লক্ষ্যে পরিচালিত হচ্ছে। বাহরাইন-ভিত্তিক সাইবার নিরাপত্তা কোম্পানি সিটিএম৩৬০ এই প্রচারণার নাম দিয়েছে “ক্লিকটক”। এই প্রতারণামূলক প্রচারণায় মেটা প্ল্যাটফর্মে বিজ্ঞাপন এবং কৃত্রিম বুদ্ধিমত্তা (এআই)-চালিত টিকটক ভিডিও ব্যবহার করা হচ্ছে, যা ইনফ্লুয়েন্সার বা অফিসিয়াল ব্র্যান্ড অ্যাম্বাসেডরদের অনুকরণ করে।
এই প্রচারণার কেন্দ্রীয় কৌশল হলো টিকটকের বৈধ ইউআরএল-এর মতো দেখতে নকল ডোমেইন ব্যবহার। এখন পর্যন্ত ১৫,০০০টিরও বেশি এমন নকল ওয়েবসাইট শনাক্ত করা হয়েছে, যার বেশিরভাগই .top, .shop এবং .icu-এর মতো টপ-লেভেল ডোমেইনে হোস্ট করা হয়েছে। এই ডোমেইনগুলো ফিশিং ল্যান্ডিং পেজ হোস্ট করার জন্য ডিজাইন করা হয়েছে, যা হয় ব্যবহারকারীদের লগইন তথ্য চুরি করে অথবা স্পার্ককিটি নামে একটি পরিচিত ক্রস-প্ল্যাটফর্ম ম্যালওয়্যারের একটি রূপ বিতরণ করে, যা অ্যান্ড্রয়েড এবং আইওএস উভয় ডিভাইস থেকে তথ্য চুরি করতে সক্ষম।
এছাড়াও, এই ফিশিং পেজগুলোর একটি বড় অংশ ব্যবহারকারীদের নকল পণ্য তালিকা এবং বিশাল ছাড়ের প্রলোভন দেখিয়ে জালিয়াতি দোকানে ক্রিপ্টোকারেন্সি জমা দেওয়ার জন্য প্রলুব্ধ করে। সিটিএম৩৬০ জানিয়েছে, তারা কমপক্ষে ৫,০০০টি ইউআরএল শনাক্ত করেছে, যেগুলো টিকটক শপ হিসেবে বিজ্ঞাপন দিয়ে ম্যালওয়্যার-যুক্ত অ্যাপ ডাউনলোড করার উদ্দেশ্যে স্থাপন করা হয়েছে।
কোম্পানিটি জানিয়েছে, “এই প্রতারণা নকল বিজ্ঞাপন, প্রোফাইল এবং এআই-জনিত কনটেন্টের মাধ্যমে বৈধ টিকটক শপ কার্যক্রমের অনুকরণ করে, ব্যবহারকারীদের ম্যালওয়্যার বিতরণে প্রলুব্ধ করে। ফেসবুক এবং টিকটকে ব্যাপকভাবে প্রচারিত নকল বিজ্ঞাপনগুলো এআই-জনিত ভিডিও ব্যবহার করে, যা বাস্তব প্রচারের অনুকরণ করে এবং বড় ছাড়ের প্রস্তাব দিয়ে ব্যবহারকারীদের আকর্ষণ করে।”
এই জালিয়াতি প্রচারণার তিনটি প্রধান উদ্দেশ্য রয়েছে, যদিও চূড়ান্ত লক্ষ্য আর্থিক লাভ:
- ক্রেতা এবং অ্যাফিলিয়েট প্রোগ্রামের বিক্রেতাদের (যারা পণ্য প্রচার করে কমিশন পায়) নকল এবং ছাড়যুক্ত পণ্যের প্রলোভন দেখিয়ে ক্রিপ্টোকারেন্সিতে অর্থ প্রদানের জন্য প্রতারিত করা।
- অ্যাফিলিয়েট অংশগ্রহণকারীদের ভবিষ্যৎ কমিশন বা উত্তোলন বোনাসের প্রতিশ্রুতি দিয়ে নকল ওয়ালেটে ক্রিপ্টোকারেন্সি জমা দেওয়ার জন্য প্ররোচিত করা, যা কখনোই বাস্তবায়িত হয় না।
- নকল টিকটক শপ লগইন পেজ ব্যবহার করে ব্যবহারকারীদের তথ্য চুরি করা বা ট্রোজানাইজড টিকটক অ্যাপ ডাউনলোড করতে প্ররোচিত করা।
ম্যালিসিয়াস অ্যাপটি ইনস্টল হওয়ার পর, ব্যবহারকারীদের ইমেল-ভিত্তিক অ্যাকাউন্টের মাধ্যমে লগইন তথ্য প্রবেশ করতে বলা হয়, কিন্তু ইচ্ছাকৃতভাবে বারবার লগইন ব্যর্থ হয়। এরপর হামলাকারীরা বিকল্প হিসেবে গুগল অ্যাকাউন্ট ব্যবহার করে লগইন করার প্রস্তাব দেয়। এই পদ্ধতি সম্ভবত ঐতিহ্যগত প্রমাণীকরণ প্রক্রিয়া এড়াতে এবং ওএউথ-ভিত্তিক সেশন টোকেন ব্যবহার করে অননুমোদিত প্রবেশাধিকার পেতে ব্যবহৃত হয়, যার জন্য অ্যাপের মধ্যে ইমেল যাচাইয়ের প্রয়োজন হয় না। যদি লগইন করা শিকার টিকটক শপ সেকশনে প্রবেশের চেষ্টা করে, তবে তাদের একটি নকল লগইন পেজে নিয়ে যাওয়া হয়, যেখানে তাদের তথ্য চুরির জন্য পুনরায় লগইন তথ্য চাওয়া হয়।
অ্যাপের মধ্যে এম্বেড করা স্পার্ককিটি ম্যালওয়্যারটি ডিভাইস ফিঙ্গারপ্রিন্টিং করতে সক্ষম এবং অপটিক্যাল ক্যারেক্টার রিকগনিশন (ওসিআর) কৌশল ব্যবহার করে ব্যবহারকারীর ফটো গ্যালারিতে থাকা স্ক্রিনশট থেকে ক্রিপ্টোকারেন্সি ওয়ালেটের সিড ফ্রেজ বিশ্লেষণ করে এবং সেগুলো হামলাকারী-নিয়ন্ত্রিত সার্ভারে পাঠায়।
এই প্রকাশের পাশাপাশি, সিটিএম৩৬০ আরেকটি ফিশিং প্রচারণার বিষয়ে বিস্তারিত তথ্য প্রকাশ করেছে, যার নাম “সাইবারহাইস্ট ফিশ”। এই প্রচারণায় গুগল বিজ্ঞাপন এবং হাজার হাজার ফিশিং লিঙ্ক ব্যবহার করে কর্পোরেট অনলাইন ব্যাংকিং সাইটে সন্ধানকারী শিকারদের প্রতারিত করা হয়, যাদেরকে আপাতদৃষ্টিতে নিরীহ পেজে পুনঃনির্দেশিত করা হয়। এই পেজগুলো লক্ষ্যযুক্ত ব্যাংকিং লগইন পোর্টালের অনুকরণ করে এবং তথ্য চুরির জন্য ডিজাইন করা হয়েছে।
সিটিএম৩৬০ জানিয়েছে, “এই ফিশিং অপারেশনটি বিশেষভাবে পরিশীলিত কারণ এটি এড়িয়ে যাওয়ার ক্ষমতা, নির্বাচনী প্রকৃতি এবং হামলাকারীদের রিয়েল-টাইম ইন্টারঅ্যাকশনের মাধ্যমে লগইন, সুবিধাভোগী তৈরি এবং তহবিল স্থানান্তরের প্রতিটি পর্যায়ে দুই-ফ্যাক্টর প্রমাণীকরণ সংগ্রহ করে।”
সাম্প্রতিক মাসগুলোতে, মেটা বিজনেস স্যুট ব্যবহারকারীদের লক্ষ্য করে “মেটা মিরাজ” নামে আরেকটি প্রচারণা শনাক্ত হয়েছে, যেখানে নকল নীতি লঙ্ঘনের ইমেল সতর্কতা, বিজ্ঞাপন অ্যাকাউন্ট সীমাবদ্ধতার নোটিশ এবং প্রতারণামূলক যাচাই অনুরোধ ব্যবহার করা হয়। এই প্রচারণাগুলো ভার্সেল, গিটহাব পেজ, নেটলিফাই এবং ফায়ারবেসে হোস্ট করা ক্রেডেনশিয়াল এবং কুকি হার্ভেস্টিং পেজে শিকারদের নিয়ে যায়।
কোম্পানিটি জানিয়েছে, “এই প্রচারণা উচ্চ-মূল্যের ব্যবসায়িক সম্পদ, যেমন বিজ্ঞাপন অ্যাকাউন্ট, যাচাইকৃত ব্র্যান্ড পেজ এবং প্ল্যাটফর্মের মধ্যে অ্যাডমিনিস্ট্রেটর-স্তরের প্রবেশাধিকার কম্প্রোমাইজ করার উপর দৃষ্টি নিবদ্ধ করে।”
এই ঘটনাগুলোর সঙ্গে মিলিয়ে, যুক্তরাষ্ট্রের ট্রেজারি বিভাগের ফিনান্সিয়াল ক্রাইমস এনফোর্সমেন্ট নেটওয়ার্ক (ফিনসেন) একটি পরামর্শ জারি করেছে, যেখানে আর্থিক প্রতিষ্ঠানগুলোকে কনভার্টেবল ভার্চুয়াল কারেন্সি (সিভিসি) কিয়স্কের সঙ্গে সম্পর্কিত সন্দেহজনক কার্যকলাপ শনাক্ত ও রিপোর্ট করতে সতর্ক থাকার আহ্বান জানানো হয়েছে।
ফিনসেনের পরিচালক আন্দ্রেয়া গ্যাকি বলেছেন, “অপরাধীরা শিকারদের কাছ থেকে অর্থ চুরির জন্য নিরলস প্রচেষ্টা চালাচ্ছে, এবং তারা সিভিসি কিয়স্কের মতো উদ্ভাবনী প্রযুক্তি শোষণ করতে শিখেছে। যুক্তরাষ্ট্র বৈধ ব্যবসা এবং গ্রাহকদের জন্য ডিজিটাল সম্পদের ইকোসিস্টেম সুরক্ষিত করতে প্রতিশ্রুতিবদ্ধ, এবং এই প্রচেষ্টায় আর্থিক প্রতিষ্ঠানগুলো একটি গুরুত্বপূর্ণ অংশীদার।”
বাংলাদেশের প্রেক্ষাপটে, এই ধরনের প্রচারণা স্থানীয় টিকটক ব্যবহারকারীদের জন্যও একটি বড় ঝুঁকি। টিকটক বাংলাদেশে তরুণদের মধ্যে অত্যন্ত জনপ্রিয়, এবং অনেকে টিকটক শপের মাধ্যমে কেনাকাটা বা অ্যাফিলিয়েট প্রোগ্রামে অংশ নেন। ব্যবহারকারীদের উচিত সন্দেহজনক লিঙ্ক এড়ানো, শুধুমাত্র অফিসিয়াল অ্যাপ স্টোর থেকে অ্যাপ ডাউনলোড করা, এবং মাল্টি-ফ্যাক্টর অথেনটিকেশন (এমএফএ) সক্রিয় করা। এছাড়া, ক্রিপ্টোকারেন্সি লেনদেনের ক্ষেত্রে সতর্ক থাকা এবং শুধুমাত্র বিশ্বস্ত প্ল্যাটফর্ম ব্যবহার করা জরুরি। স্থানীয় ব্যবসা প্রতিষ্ঠান এবং সরকারি সংস্থাগুলোর উচিত তাদের কর্মীদের সাইবার নিরাপত্তা সচেতনতা বাড়ানো এবং নিয়মিত নিরাপত্তা আপডেট প্রয়োগ করা।
