প্রধান টেকওয়ে
- হ্যাকাররা ফোন-ভিত্তিক মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) কোড চুরি করতে পারে, বিশেষজ্ঞরা বলছেন৷
- অপরাধীদের কোড পেতে অনুমতি দেওয়ার জন্য ফোন কোম্পানিগুলি ফোন নম্বর স্থানান্তর করার জন্য প্রতারিত হয়েছে৷
- নিরাপত্তা বাড়ানোর একটি সহজ, কম খরচের উপায় হল আপনার ফোনে প্রমাণীকরণকারী অ্যাপ ব্যবহার করা।
হ্যাকারদের থেকে নিরাপদ থাকতে, এসএমএস এবং ভয়েস কলের মাধ্যমে পাঠানো ফোন-ভিত্তিক মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) কোড ব্যবহার বন্ধ করুন, একজন শীর্ষ নিরাপত্তা বিশেষজ্ঞ একটি নতুন বিশ্লেষণে লিখেছেন৷
ফোন কোডগুলি হ্যাকারদের দ্বারা বাধার জন্য ঝুঁকিপূর্ণ, মাইক্রোসফ্টের পরিচয় সুরক্ষা পরিচালক অ্যালেক্স ওয়েইনার্ট একটি সাম্প্রতিক ব্লগ পোস্টে লিখেছেন৷ টেক্সট-ভিত্তিক কোডগুলি কিছুই না করার চেয়ে ভাল, পর্যবেক্ষকরা বলছেন। কিন্তু ব্যবহারকারীদের উচিত ফোন-ভিত্তিক প্রমাণীকরণকে অ্যাপ এবং নিরাপত্তা কী দিয়ে প্রতিস্থাপন করা।
"এই মেকানিজমগুলি পাবলিকলি সুইচড টেলিফোন নেটওয়ার্কের (PSTN) উপর ভিত্তি করে তৈরি করা হয়েছে, এবং আমি বিশ্বাস করি যে এগুলি আজ উপলব্ধ MFA পদ্ধতির মধ্যে সবচেয়ে কম নিরাপদ," তিনি লিখেছেন৷
"এই ব্যবধানটি কেবলমাত্র প্রশস্ত হবে কারণ MFA গ্রহণ এই পদ্ধতিগুলি ভাঙতে আক্রমণকারীদের আগ্রহ বাড়ায় এবং উদ্দেশ্য-নির্মিত প্রমাণীকরণকারীরা তাদের সুরক্ষা এবং ব্যবহারযোগ্যতার সুবিধাগুলিকে প্রসারিত করে৷ এখনই পাসওয়ার্ডহীন শক্তিশালী প্রমাণীকরণে আপনার যাওয়ার পরিকল্পনা করুন- প্রমাণীকরণকারী অ্যাপটি অবিলম্বে প্রদান করে এবং বিকশিত বিকল্প।"
MFA হল একটি নিরাপত্তা পদ্ধতি যেখানে একজন কম্পিউটার ব্যবহারকারীকে একটি ওয়েবসাইট বা অ্যাপ্লিকেশনে অ্যাক্সেস দেওয়া হয় শুধুমাত্র একটি প্রমাণীকরণ প্রক্রিয়ার কাছে সফলভাবে দুই বা তার বেশি প্রমাণ উপস্থাপন করার পরে। এই কোডগুলি প্রায়ই ফোনে পাঠানো হয়৷
হ্যাকাররা নিজেকে জাহির করে
হ্যাকাররা ফোন কোডগুলিতে অ্যাক্সেস পেতে পারে এমন উপায় রয়েছে, তবে পর্যবেক্ষকরা বলছেন। কিছু কিছু ক্ষেত্রে, হ্যাকারদের কোডগুলি পেতে দেওয়ার জন্য ফোন কোম্পানিগুলি ফোন নম্বর স্থানান্তর করার জন্য প্রতারিত হয়েছে৷
"টেলিফোনগুলি এতটাই অনিরাপদ যে ব্যবহারকারীরা প্রায়শই আমেরিকান আঞ্চলিক ফোন নম্বর দেখানোর সময় তৃতীয় বিশ্বের দেশগুলি থেকে তাদের কাছে স্ক্যাম কলগুলি পাবেন," ক্লাউড প্রদানকারী সিনট্যাক্সের CISO ম্যাথু রজার্স একটি ইমেল সাক্ষাত্কারে বলেছেন৷ "টেলিফোনগুলিও সিম অদলবদল আক্রমণের বিষয়, যা পাঠ্য বার্তার মাধ্যমে সহজেই MFA বাইপাস করতে পারে।"
সম্প্রতি, জনপ্রিয় বিবিসি রেডিও হোস্ট জেরেমি ভাইন আক্রমণের শিকার হয়েছেন যার ফলে তার হোয়াটসঅ্যাপ অ্যাকাউন্টে প্রবেশ করা হয়েছে।
"ভাইনকে সফলভাবে প্রতারিত করা আক্রমণটি একটি আপাতদৃষ্টিতে অযাচিত এসএমএস বার্তার প্রাপ্তির মাধ্যমে শুরু হয় যাতে তাদের অ্যাকাউন্টে দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড রয়েছে," গোপনীয়তা পর্যালোচনা সাইট প্রোপ্রাইভেসির ডেটা গোপনীয়তা বিশেষজ্ঞ রে ওয়ালশ বলেছেন একটি ইমেইল ইন্টারভিউ।
"এর পরে, শিকার একটি পরিচিতি থেকে একটি সরাসরি বার্তা পায় এবং দাবি করে যে তারা দুর্ঘটনাক্রমে একটি কোড পাঠিয়েছে৷ অবশেষে, শিকারকে হ্যাকারকে কোডটি ফরোয়ার্ড করতে বলা হয়, যা তাকে শিকারের অ্যাকাউন্টে তাত্ক্ষণিক অ্যাক্সেস দেয়৷"
সফ্টওয়্যারও একটি সমস্যা হতে পারে। "ডিভাইসের দুর্বলতার কারণে, এমএফএ সম্ভবত একটি ফাঁস হওয়া অ্যাপ বা একটি আপস করা ডিভাইস যা ব্যবহারকারী জানেন না তার দ্বারা গোপন করা যেতে পারে," জর্জ ফ্রিম্যান, লেক্সিসনেক্সিস রিস্ক সলিউশনের সরকারী গ্রুপের সমাধান পরামর্শদাতা, একটি ইমেল সাক্ষাত্কারে বলেছেন৷
এখনও আপনার ফোন ছেড়ে দেবেন না
তবে, টেক্সট-ভিত্তিক এমএফএ কিছুর চেয়ে ভাল, বিশেষজ্ঞরা বলছেন। সাইবারসিকিউরিটি কোম্পানি ট্রেন্ড মাইক্রো-এর ক্লাউড রিসার্চের ভাইস প্রেসিডেন্ট মার্ক নুননিখোভেন একটি ইমেল সাক্ষাত্কারে বলেছেন, "এমএফএ হল একজন ব্যবহারকারীর অ্যাকাউন্টগুলিকে সুরক্ষিত করার জন্য সবচেয়ে শক্তিশালী টুলগুলির মধ্যে একটি৷"
"যখনই সম্ভব এটি সক্ষম করা উচিত৷ আপনার যদি পছন্দ থাকে তবে আপনার স্মার্টফোনে একটি প্রমাণীকরণ অ্যাপ ব্যবহার করুন - তবে শেষ পর্যন্ত, নিশ্চিত করুন যে MFA যে কোনও আকারে সক্ষম করা হয়েছে৷"
নিরাপত্তা বাড়ানোর একটি সহজ, কম খরচের উপায় হল আপনার ফোনে প্রমাণীকরণকারী অ্যাপ ব্যবহার করা, পিটার রবার্ট, আইটি কোম্পানি এক্সপার্ট কম্পিউটার সলিউশনের সহ-প্রতিষ্ঠাতা এবং সিইও, একটি ইমেল সাক্ষাত্কারে বলেছেন৷
“যদি আপনার বাজেট থাকে এবং নিরাপত্তাকে সমালোচনামূলক মনে করেন, আমি আপনাকে হার্ডওয়্যার-ভিত্তিক MFA কীগুলি মূল্যায়ন করতে উৎসাহিত করব, " তিনি যোগ করেছেন৷ "ব্যবসা এবং ব্যক্তি যারা নিরাপত্তা নিয়ে উদ্বিগ্ন তাদের জন্য আমি একটি ডার্ক ওয়েবের সুপারিশ করব৷ আপনার সম্পর্কে ব্যক্তিগত তথ্য পাওয়া যায় কিনা এবং ডার্ক ওয়েবে বিক্রয়ের জন্য আপনাকে জানাতে মনিটরিং পরিষেবা৷"
আরো মিশন ইম্পসিবল-স্টাইল পদ্ধতির জন্য, ওয়েবউথনের সাথে নতুন স্ট্যান্ডার্ড FIDO2 বায়োমেট্রিক প্রমাণীকরণ ব্যবহার করে, ফ্রিম্যান বলেছেন। "ব্যবহারকারী একটি আর্থিক সাইটের সাথে সংযোগ করে, একটি ব্যবহারকারীর নাম প্রবেশ করে, ওয়েবসাইটটি [ব্যবহারকারীর] মোবাইল ডিভাইসের সাথে যোগাযোগ করে, [দ্যা] ফোনে একটি সুরক্ষিত অ্যাপ তারপর ব্যবহারকারীকে [তাদের] ফেসিয়াল আইডি বা আঙ্গুলের ছাপের জন্য অনুরোধ করে। সফল হলে, এটি প্রমাণীকরণ করে। ওয়েব অধিবেশন," তিনি বলেন.
অনেক সম্ভাব্য হুমকির সাথে, ব্যক্তিগত তথ্য সঞ্চয় করে এমন ওয়েবসাইটগুলিতে লগ ইন করার আরও নিরাপদ উপায় খুঁজতে শুরু করার সময় হতে পারে৷ হ্যাকাররা ওয়েবে লুকিয়ে থাকতে পারে শুধু আপনার পাসওয়ার্ড আটকানোর অপেক্ষায়।
