সোশ্যাল ইঞ্জিনিয়ারিং (নিরাপত্তা)
সোশ্যাল ইঞ্জিনিয়ারিং বলতে তথ্য নিরাপত্তা সম্পর্কিত বিষয়ে মানুষকে মনস্তাত্ত্বিকভাবে কার্য সম্পাদনের জন্য ব্যবহার অথবা গোপনীয় তথ্য প্রকাশকে বোঝায়। তথ্য সংগ্রহ, জালিয়াতি বা সিস্টেমে অনুপ্রবেশের উদ্দেশ্য হল এক ধরনের সাহসিক কৌশল, এটি ঐতিহ্যগত প্ররোচনা থেকে ভিন্ন এই কারণে যে এটি প্রায়ই আরো জটিল জালিয়াতি পরিকল্পনার অন্যতম একটি পদক্ষেপ বলে বিবেচিত হয়।
মনস্তাত্ত্বিক খেলা হিসেবে সোশ্যাল ইঞ্জিনিয়ারিং শব্দটি সামাজিক বিজ্ঞানের সাথেও যুক্ত, কিন্তু এটির ব্যবহার কেবলমাত্র কম্পিউটার এবং তথ্য নিরাপত্তা বিশেষজ্ঞদের মধ্যেই দেখা যায়[১]।
কৌশল এবং সময়কাল
সম্পাদনাসকল সোশ্যাল ইঞ্জিনিয়ারিং পদ্ধতিগুলোই নির্দিষ্ট মানবীয় সিদ্ধান্ত গ্রহণ গুণাবলীর উপর ভিত্তি করে তৈরি যা জ্ঞানীয় গোঁড়ামি বলে পরিচিত[২]। ঐ গোঁড়ামিগুলোকে কখনো কখনো “মানুষ্য হার্ডওয়্যারে ত্রুটি” বলা হয় এবং সেগুলো আক্রমণ কৌশল তৈরির জন্য বিভিন্ন সমন্বয়ে কাজে লাগানো হয়, যেগুলোর কয়েকটিকে তালিকায় দেয়া আছে। সোশ্যাল ইঞ্জিনিয়ারিং-এ ব্যবহৃত আক্রমণটি কর্মচারীদের গোপনীয় তথ্য চুরির কাজেও ব্যবহার করা যেতে পারে। সবচেয়ে সাধারণ ধরনের সোশ্যাল ইঞ্জিনিয়ারিং ফোনের মাধ্যমে ঘটে থাকে। সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের এর অন্যান্য আরও উদাহরণগুলো হল অপরাধীদের বিধ্বংশী কর্মকাণ্ড, অগ্নি সেনানায়ক এবং প্রযুক্তিবিদদের অগোচরে কোম্পানির তথ্য চুরি।
সোশ্যাল ইঞ্জিনিয়ারিং এর একটি উদাহরণ হল একজন ব্যক্তিবিশেষ যিনি বিল্ডিং এ প্রবেশ করেন এবং হুবহু আসল ঘোষণাপত্রের মতো দেখতে ঘোষণাপত্র কোম্পানির সংবাদে প্রচার করেন যেটিতে হেল্পডেস্কের নম্বরটি পরিবর্তন করা হয়েছে লেখা থাকে। তাই যখন কর্মচারীরা সাহায্যের জন্য ডাকে তখন ব্যক্তিটি তাদের পাসওয়ার্ড এবং আইডি দিতে বলে। এইভাবে সে কোম্পানিটির ব্যক্তিগত তথ্যে প্রবেশাধিকার পাওয়ার ক্ষমতা পায়। সোশ্যাল ইঞ্জিনিয়ারিং এর আরও একটি উদাহরণ হল, হ্যাকার সোশ্যাল নেটওয়ার্কিং ওয়েবসাইটে লক্ষ্যবস্তুর সাথে যোগাযোগ করে এবং তার সাথে কথোপকথোন শুরু করে। আস্তে ধীরে হ্যাকারটি লক্ষ্যবস্তুর বিশ্বাস অর্জন করে এবং পরবর্তীতে সেটি পাসওয়ার্ড অথবা ব্যাংক হিসাবের তথ্যের মতো সংবেদনশীল তথ্য পাওয়ার জন্য ব্যবহার করবে[৩]।
ছলচাতুরি
সম্পাদনাপ্রিটেক্সটিং বা ছলচাতুরি (বিশেষণ প্রিটেক্সচুয়াল) যুক্তরাজ্যে ব্ল্যাগিং নামেও পরিচিত, তা হল একটি উদ্ভাবিত চিত্রনাট্য (ছল) তৈরি এবং ব্যবহারের কাজ যাতে করে লক্ষবস্তুতে পরিণত করা ব্যক্তিকে এমন ভাবে ফাঁসানো যার দ্বারা ক্ষতিগ্রস্থ ব্যক্তিটির থেকে তথ্য উদঘাটনের সুযোগ বৃদ্ধি পায় বা এমন কাজ করা যা সাধারণ পরিস্থিতিতে ঘটার সম্ভাবনা খুবই কম[৪]। একটি পরিকল্পিত মিথ্যা প্রায়শই কিছু পূর্বের গবেষণা বা কৃতকাজের সাথে জড়িত থাকে এবং জন্মদিন, সামাজিক নিরাপত্তা নম্বর, শেষ বিলের পরিমাণ এই জাতীয় তথ্যের ব্যবহারের মাধ্যমে ব্যক্তিটির মনের মধ্যে বৈধতা স্থাপন করে[৫]।
এই কৌশলটি ব্যবসায় ক্রেতার তথ্য প্রকাশে বোকা বানানোর জন্য ব্যবহার করা যেতে পারে পাশাপাশি ব্যক্তিগত তদন্তকারীদের দ্বারা টেলিফোন নথি, কার্যকারিতা নথি, ব্যাংকিং নথি এবং অন্যান্য তথ্য কোম্পানির সেবা প্রতিনিধির নিকট থেকে সরাসরি পাওয়া যেতে পারে[৬]। পরবর্তীতে তথ্যগুলো অ্যাকাউন্ট পরিবর্তন করা, নির্দিষ্ট ব্যালেন্স পাওয়া ইত্যাদি বিষয়ে ব্যবস্থাপকের সাথে কঠোর জিজ্ঞাসাবাদের মাধমে আরও অধিক বৈধতা প্রাপ্তির জন্য ব্যবহার করা যেতে পারে।
ছলচাতুরি সহকর্মী, পুলিশ, ব্যাংক, ট্যাক্স কর্তৃপক্ষ, যাজক, বীমা তদন্তকারী বা অন্যান্য কোন ব্যক্তিবিশেষকে মুগ্ধ করার কাজেও ব্যবহার করা যেতে পারে যাদের ইন্দ্রিয়গত ক্ষমতা বা প্রতারিত লোকের মন পড়ার সঠিক জ্ঞান আছে। ছলচাতুরি করা ব্যক্তিটিকে অবশ্যই সহজ কিছু প্রশ্নের উত্তর প্রস্তুত করে রাখতে হবে যেগুলো প্রতারিত ব্যক্তিটি জিজ্ঞেস করতে পারে। কিছু ক্ষেত্রে ছলচাতুরির চিত্র তৈরির জন্য শুধুমাত্র একটি কন্ঠ প্রয়োজন হতে পারে যেটি শুনে সত্য বলে মনে হবে, এছাড়াও আন্তরিক স্বর এবং অন্যের মন পড়ার ক্ষমতারও প্রয়োজন হয়।
বিনোদনমূলক চুরি
সম্পাদনাবিনোদনমূলক চুরি যা “কর্ণার গেম” [৭] বা “রাউন্ড দ্যা কর্ণার গেম” নামেও পরিচিত তা পূর্ব লন্ডনের শেষ প্রান্তে উৎপন্ন হয়।
সংক্ষেপে বিনোদনমূলক চুরি হল স্বাভাবিকভাবে পরিবহন বা কুরিয়ার কোম্পানিদের বিরুদ্ধে পেশাদার চোরদের দ্বারা চর্চাকৃত একটি “প্ররোচনা”। এর প্রধান উদ্দেশ্য হল অনুরোধকৃত চালানটির বৈধ বিলির জন্য দায়িত্ব দেয়া ব্যক্তিটিকে অন্যত্র প্রনোদিত করে অতঃপর তাকে “রাউন্ড দ্যা কর্ণার” করা।
ফিশিং
সম্পাদনাফিশিং হল ব্যক্তিগত তথ্য জালিয়াতি করার একটি কৌশল। সাধারণত ফিশার (যে ফিশিং করে) একটি ইমেইল পাঠায় যেটি দেখে কোন বৈধ ব্যবসা প্রতিষ্ঠান ব্যাংক বা ক্রেডিট কার্ড কোম্পানি তথ্যের সত্য প্রতিপাদন করার অনুরোধ করছে বলে মনে হয় এবং যদি তা প্রদান করা না হয় তাহলে কোন ভয়ানক ফল হতে পারে বলা হয়। ইমেইলটিতে সাধারণত একটি প্রতারণাপূর্ণ ওয়েব পেজের লিংক থাকে যেটির কোম্পানি লোগো এবং বিষয়বস্তু দেখে বৈধ বলে মনে হয় এবং এতে বাড়ির ঠিকানা থেকে শুরু করে এটিএম কার্ডের পিন বা ক্রেডিট কার্ডের নম্বর প্রদান করার জন্য একটি ফর্ম দেয়া থাকে। উদাহরণস্বরূপ ২০০৩ সালে একটি ফিশিং কেলেঙ্কারী ঘটে ছিল যেটিতে ব্যবহারকারীরা সম্ভবত ইবে থেকে একটি ইমেইল পেয়েছিল যাতে লিখা ছিল এই যে ব্যবহারকারীদের অ্যাকাউন্ট খুব শীঘ্রই স্থগিত করা হবে এবং তা প্রত্যাহার করতে হলে ইমেইলের সাথে প্রদানকৃত লিংটিতে ক্লিক করার মাধ্যমে ক্রেডিট কার্ডটি হালনাগাদ করতে হবে (আসল ইবের কাছে যে তথ্যটি ইতিমধ্যেই ছিল)। যেহেতু শুধুমাত্র এইচটিএমএল কোড এবং লোগো অনুকরণ করার মাধ্যমেই বৈধ সংস্থার অনুরূপ ওয়েব সাইট তৈরি করা অপেক্ষাকৃত খুবই সোজা তাই কেলেঙ্কারীটি লোকজনদের এমনভাবে প্রতারিত করেছিল যে লোকজনরা ভেবেছিল তারা সত্যি সত্যিই ইবের সাথে যোগাযোগ করছে এবং পরবর্তীকালে তারা ইবের ওয়েব সাইটে তাদের অ্যাকাউন্ট তথ্য হালনাগাদ করার জন্য গিয়েছিল। বৃহৎ সংখ্যক লোকদের সাথে স্প্যামিয়ের মাধ্যমে ফিশারটি এমন লোকদের বেছে নেয় যারা সাড়া দিতে পারে এবং যারা ইমেইল পড়ে ইতোমধ্যে তাদের ক্রেডিট কার্ড নম্বর বৈধভাবে ইবেতে তালিকাবদ্ধ করেছে।
আইভিআর বা ফোন ফিশিং
সম্পাদনাফোন ফিশিং (বা ভিশিং) একটি ব্যাংক বা অন্য প্রতিষ্ঠানের ভিআইআর সিস্টেম পুনরায় সৃষ্টি করার জন্য একটি দুর্বৃত্ত মিথষ্ক্রিয় কণ্ঠস্বর প্রতিক্রিয়া (IVR) পদ্ধতি ব্যবহার করে। প্রতারিত ব্যক্তিটিকে তথ্য “যাচাই” করার জন্য একটি নম্বরের (টোল ফ্রি) মাধ্যমে ব্যাংকটিতে কল (সাধারণত ফিশিং ইমেইলের মাধ্যমে) করার জন্য অনুরোধ করা হয়। একটি সাধারণ ভিশিং পদ্ধতিতে লগইন করাকে অবিরামভাবে প্রত্যাখ্যান করবে, যাতে করে প্রতারিত ব্যক্তিটি তার পিন বা পাসওয়ার্ড বারবার প্রয়োগ করে এবং প্রায়শই কতিপয় ভিন্ন পাসওয়ার্ড প্রকাশ করে। আরও আধুনিক পদ্ধতিতে প্রতারিত ব্যক্তিকে আক্রমণকারী/প্রতারণাকারীর কাছে পাঠানো হয় যে একজন ক্রেতা সেবা প্রতিনিধি বা নিরাপত্তা বিশেষজ্ঞ হিসেবে অভিনয় করবে যাতে করে প্রতারিত ব্যক্তিকে আরও জিজ্ঞেসাবাদ করা যায়।
স্পিয়ার ফিশিং
সম্পাদনাযদিবা স্পিয়ার ফিশিং অনেকটা ফিশিং এর মতোই তবে এই পদ্ধতির জালিয়াতিতে ব্যক্তিগত তথ্য পাওয়ার জন্য কিছু দক্ষ ব্যবহারকারীদের উচ্চ কাস্টমাইজড ইমেইল পাঠানো হয়। এটিই হলো ফিশিং আক্রমণগুলোর মধ্যে প্রধান পার্থক্য, কারণ ফিশিং প্রচারণায় বেশি সংখ্যক সাধারণ ইমেইল পাঠানোর দিকে মনোযোগ দেয়া হয় পাশাপাশি প্রত্যাশা করা হয় যে শুধুমাত্র কিছু সংখ্যক মানুষই তার প্রতি সাড়া দিবে। অন্যদিকে স্পিয়ার ফিশিং ইমেইলে আক্রমণকারীকে তাদের দক্ষ লক্ষ্যবস্তুটিকে অনুরোধকৃত কাজ সম্পাদন করার মাধ্যমে বোকা বানানোর জন্য অতিরিক্ত গবেষণা করার প্রয়োজন পড়ে। স্পিয়ার ফিশিং আক্রমণের সাফল্যের হার ফিশিং আক্রমণের চাইতে বেশি বলে গণ্য করা হয় যেটিতে মোটামুটিভাবে ৭০% সম্ভাব্য চেষ্টার পর মাত্র ৩% লোক ফিশিং ইমেইল খোলে। কিন্তু যখন ব্যবহারকারী প্রকৃত পক্ষে ফিশিং ইমেইলের ইমেইল খোলে তখন এর সাথে যুক্ত লিংকটি বা সংযুক্তিটি ক্লিক করার হার অপেক্ষাকৃত ৫% হয়। যেদিকে স্পিয়ার ফিশিং আক্রমণে এর সাফল্যের হার ৫০%[৮]।
ওয়াটার হোলিং
সম্পাদনাওয়াটার হোলিং হল একটি টার্গেটেড সোশ্যাল ইঞ্জিনিয়ারিং কৌশল যেটি মূলত সেইসব ব্যবহারকারীদের উপর প্রয়োগ করা হয় যারা নিয়মিতভাবে ওয়েবসাইটি পরিদর্শন করে এবং এর উপর আস্থা রাখে। ভুক্তভোগীটি সেই সব কাজ করতে নিরাপদ অনুভব করে যা তারা ভিন্ন পরিস্থিতিতে করতে পারত না। উদাহরণ হিসেবে, একজন সতর্ক ব্যক্তি হয়তো উদ্দেশ্যপূর্ণভাবে অযাচিত ইমেইলের লিংকে ক্লিক করা থেকে বিরত থাকতো কিন্তু সেই একই ব্যক্তি তার প্রায়শই পরিদর্শন করা ওয়েবসাইটের যে কোনো লিংক অনুসরণ করতে দ্বিধা বোধ করতো না। তাই আক্রমণকারী তার অসাবধান শিকারকে এই বিশেষ সুবিধাপ্রাপ্ত ওয়াটারিং হোলের ফাঁদ পাততে প্রস্তুতি নেয়। এই কৌশলটি কিছু খুবই নিরাপদ সিস্টেমে (সম্ভবত) প্রবেশাধিকার পাওয়ার ক্ষেত্রে সফলভাবে ব্যবহৃত হয়ে আসছে[৯]।
আক্রমণকারী ব্যক্তিটি হয়ত একটি দলকে চিহ্নিত করে বা ব্যক্তিবিশেষকে ঘোষণা করার মাধ্যমে নিশানা করবে। প্রস্তুতি কাজটি লক্ষবস্তুটির নিরাপদ সিস্টেম থেকে প্রায়শই পরিদর্শন করা ওয়েবসাইট সম্পর্কিত তথ্য সংগ্রহ করার সাথে জড়িত। তথ্য সংগ্রহ কার্যক্রমটি এই বিষয়টি প্রতিপন্ন করে যে লক্ষবস্তুটি ওয়েবসাইটিতে পরিদর্শন করে এবং সিস্টেমটি এই ধরনের পরিদর্শনকে সমর্থন করে। আক্রমণকারী পরবর্তীতে ঐসব ওয়েবসাইটের দুর্বলতা খোঁজার জন্য পরীক্ষা করে যাতে করে ম্যালওয়্যারের কোড উদ্বুদ্ধ করার মাধ্যমে পরিদর্শনকারীর সিস্টেমটিকে সংক্রামিত করা যায়। প্রবিষ্ট কোডটির ফাঁদ এবং ম্যালওয়্যার হয়ত তাদের ব্যবহৃত নির্দিষ্ট লক্ষবস্তু দল এবং নির্দিষ্ট সিস্টেমের ক্ষেত্রেই প্রযোজ্য। কিছু সময় পর লক্ষবস্তুর দলের এক বা একাধিক সদস্য সংক্রামিত হবে এবং আক্রমণকারী নিরাপদ সিস্টেমে প্রবেশাধিকার পাওয়ার সুযোগ পাবে।
বেটিং
সম্পাদনাবেটিং হল অনেকটা বাস্তব জীবনের ট্রোজেন হর্সের মতন, যেটি বাহ্যিক মাধ্যম ব্যবহার করে এবং ভুক্তভোগীদের কৌতূহল বা লোভের উপর নির্ভর করে থাকে[১০]। এই ধরনের আক্রমণে, আক্রমণকারীরা ম্যালওয়্যার সংক্রমিত ফ্লপি ডিস্ক, সিডি-রম বা ইউএসবি ফ্ল্যাশ ড্রাইভ এমন স্থানে ফেলে যায় যেখানে মানুষজন তাদের খুঁজে পেতে পারে (বাথরুম, লিফট, ফুটপাথ, পার্কিং স্থান ইত্যাদি), পাশাপাশি তাতে বৈধ এবং কৌতূহল সৃষ্টিকারী লেভেল প্রদান করে এবং ভুক্তভোগীর জন্য অপেক্ষা করে। উদাহরণস্বরূপ একজন আক্রমণকারী হয়ত নিশানা করা ব্যক্তিটির ওয়েবসাইট থেকে পাওয়া একটি কর্পোরেট লোগো সমৃদ্ধ একটি ডিস্ক তৈরি করতে পারে এবং সেটি “এক্সিকিউটিভ স্যাল্যারি সামারি কিউ২ ২০১২” নামে লেবেল করতে পারে। আক্রমণকারী পরবর্তীতে সেই ডিস্কটি নিশানাকৃত কোম্পানিটির লিফটের মেঝেতে বা লবির যেকোন স্থানে ফেলে রাখতে পারে। একজন অজ্ঞ কর্মচারী হয়ত তা খুঁজে পেতে পারে এবং তার কৌতূহল মেটানোর জন্য ডিস্কটি কম্পিউটারে প্রবেশ করাতে পারে, অতবা একজন ভাল সাহায্যকারী ব্যক্তি হয়ত সেটি খুঁজে পেতে পারে এবং কোম্পানিটিতে তা ফিরিয়ে দিতে পারে। এর যেকোনটিই ঘটুক না কেন, শুধুমাত্র ডিস্কটি কম্পিউটারে প্রবেশ করানোতেই ম্যালওয়্যার ইনস্টল হবে, ফলস্বরূপ আক্রমণকারী ভুক্তভোগীর কম্পিউটারে প্রবেশাধিকার পেয়ে যাবে এবং খুব সম্ভবত কোম্পানিটির অভ্যন্তরীণ কম্পিউটার নেটওয়ার্ক ব্যবস্থারও নিয়ন্ত্রণ পেয়ে যাবে।
যদি না কম্পিউটার সংক্রমণ ঠেকানো নিয়ন্ত্রণ করতে পারে, সংক্রমণ ডিস্কের সন্নিবেশন পিসির “অটো-রানিং” মিডিয়ার সাথে আপোস করে ফেলে। এবং এটি প্রতিকূল ডিভাইসসমূহও ব্যবহার করতে পারে[১১]। উদাহরণ হিসেবে, একজন “ভাগ্যবান বিজয়ী” নামে একটি ফ্রি ডিজিটাল অডিও প্লেয়ার পাঠানো হয় যেটি এর সাথে প্রবেশ করানো যেকোন কম্পিউটারের সাথে আপোস করে। “রোড অ্যাপল” হল সুযোগসন্ধানী বা প্রসিদ্ধ স্থান যেখানে বিদ্বেষপরায়ণ (malicious) সফটওয়্যারযুক্ত অপসারণযোগ্য মিডিয়া ফেলে রাখা হয়। এটি অন্যান্য মিডিয়ার মধ্যে সিডি, ডিভিডি বা ইউএসবি ফ্ল্যাশ ড্রাইভও হতে পারে। কৌতুহলি লোকজন এটি গ্রহণ করে এবং কম্পিউটারে প্রবেশ করায়, ফলস্বরূপ তাদের এবং সংযুক্ত কোন নেটওয়ার্কে সংক্রমিত করে। হ্যাকাররা হয়ত তাদের “কর্মচারী বেতন” বা “গোপনীয়র” মত প্রলুব্ধকারী লেবেলও প্রদান করতে পারে[১২]।
কুইড প্রো কিউ
সম্পাদনাকুইড প্রো কিউ এর মানে হলো কিছুর জন্য কিছু:
- একজন আক্রমণকারী কোম্পানির এলোমেলো নাম্বারে ফোন কল করে এবং পরিচয় দেয় যে সে প্রযুক্তিগত সমর্থন থেকে কল করেছে। পরিণামে এই ব্যক্তিটি কাউকে বৈধ সমস্যার সমাধান দিবে এবং কেউ যে তাদের সাহায্য করার জন্য কল করেছে সেজন্য তারা তার প্রতি কৃতজ্ঞ থাকবে। আক্রমণকারী সমস্যার সমাধানের জন্য সাহায্য করবে এবং সেই সাথে ব্যবহারকারীর ধরন অনুযায়ী কমান্ড পাবে যেটি আক্রমণকরীকে প্রবেশাধিকার বা ম্যালওয়্যার উৎক্ষেপণ করতে পারবে।
- ২০০৩ সালের তথ্য নিরাপত্তা জরিপে, অফিস কর্মচারীদের নিয়ে গবেষকদের করা সস্তা কলমের সাথে বিনিময় করার জরিপ প্রশ্নে ৯০% তাদের পাসওয়ার্ড বিনিময় করার উত্তর দেয়[১৩]। পরবর্তী বছরগুলোতে করা একই ধরনের জরিপে অনুরূপ ফলাফল পাওয়া যায় যাতে চকলেট এবং অন্যান্য সস্তা জিনিস প্রলুব্ধ করা হয়, যদিও তারা পাসওয়ার্ড জানার কোন চেষ্টা করেনি[১৪]।
টেইলগেটিং
সম্পাদনাএকজন আক্রমণকারী যেকিনা শুধুমাত্র ইলেকট্রনিক প্রবেশ পদ্ধতি দ্বারা নিয়ন্ত্রিত (যেমন রেডিও ফ্রিকুয়েন্সি আইডেন্টিফিকেশন আরএফআইডি কার্ড দ্বারা) সুরক্ষিত সীমাবদ্ধ স্থানে প্রবেশের সুযোগ খুঁজছে, একজন ব্যক্তি যার কাছে বৈধ প্রবেশাধিকার আছে কেবলমাত্র তার পিছনে হাঁটা শুরু করল। সাধারণ ভদ্রতা অনুসারে ঐ বৈধ ব্যক্তিটি সাধারণত আক্রমণকারীর জন্য দরজাটি খোলা রাখবে অথবা হয়ত আক্রমণকারী নিজেই কর্মচারীকে দরজাটি তাদের জন্য খোলা রাখতে বলবে। বৈধ ব্যক্তিটি হয়ত বিভিন্ন কারণে সনাক্তকরণ সম্পর্কে জিজ্ঞেসা করতে ব্যর্থ হতে পারে বা আক্রমণকারী হয়ত যথাযথ পরিচয় চিহ্ন ভুলে গেছে বা হারিয়ে ফেলেছে এ ধরনের কথায় বিশ্বাস করতে পারে। এমনকি আক্রমণকারী হয়ত পরিচয় চিহ্ন দেখানোর জাল অভিনয় উপস্থাপন করতে পারে।
অন্যান্য ধরণ
সম্পাদনাসাধারণ সাহসিক কৌশলকারী বা প্রতারকও কিন্তু ব্যাপক অর্থে “সোশ্যাল ইঞ্জিনিয়ার” হিসেবে বিবেচিত হতে পারে ঠিক এইভাবে, যে তারা ভেবেচিন্তে মানুষকে প্রতারণা করে এবং ব্যবহার করে যাতে করে তাদের দুর্বলতা নিপূণভাবে ব্যবহার করে নিজেদের সুবিধা লাভ করতে পারে। উদাহরণস্বরূপ তারা হয়ত আইটি প্রতারণার একটি অংশ হিসেবে সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করতে পারে।
খুবই সাম্প্রতিক সোশ্যাল ইঞ্জিনিয়ারিং কৌশলের ধরনে স্পুফিং বা ইয়াহু!, জিমেইল, হটমেইল ইত্যাদির মত জনপ্রিয় ই-মেইল আইডিধারী লোকজনের অ্যাকাউন্ট হ্যাক করা অন্তর্ভুক্ত হয়েছে। ছলচাতুরির অনেক উদ্দেশ্যর মধ্যে অন্যতম হল:
- তাদের ক্রেডিট-কার্ড অ্যাকাউন্ট নাম্বার এবং পাসওয়ার্ড ফিশিং করা।
- ব্যক্তিগত ই-মেইল এবং চ্যাট ইতিহাস ক্র্যাক করা এবং সেগুলোকে অর্থ আদায় করার জন্য ব্যবহার করার পূর্বে সাধারণ সম্পাদনা কৌশল ব্যবহারের মাধ্যমে তাদেরকে নিজ স্বার্থে ব্যবহার করা এবং তাদের মধ্যে অবিশ্বাস সৃষ্টি করা।
- কোম্পানি বা সংস্থার ওয়েবসাইটসমূহ ক্র্যাক করে তাদের খ্যাতি নষ্ট করা।
- কম্পিউটার ভাইরাস ধোঁকা দেয়া।
- সেলফ-এক্সএক্স আক্রমণের মাধ্যমে ব্যবহারকরীদের ওয়েব ব্রাউজারের ভিতরে বিদ্বেষপরায়ণ (malicious) কোড চালাতে উপলব্ধি করা যাতে করে আক্রমণকারী তাদের ওয়েব অ্যাকাউন্টে প্রবেশ করতে পারে।
প্রতিব্যবস্থা
সম্পাদনাপ্রতিষ্ঠানরা তাদের নিরাপত্তা ঝুঁকিগুলো কমিয়েছে:
আদর্শ কাঠামো: কর্মচারী/কর্মিবৃন্দ স্তরে আস্থাগত অবকাঠামো প্রতিষ্ঠা। (যেমন কর্মিবৃন্দদের নির্দিষ্ট করে এবং কখন/কোথায়/কেন/কীভাবে সংবেদনশীল তথ্য বিনিময় করা যাবে সে সম্পর্কে হাতে কলমে শিক্ষাদান করে)
তথ্য সম্পর্কে গভীর সতর্ক করা: কোন তথ্যটি সংবেদনশীল তা চিহ্নিত করা এবং এটির সোশ্যাল ইঞ্জিনিয়ারিং এর নিকট প্রকাশ এবং নিরাপত্তা ব্যবস্থার ত্রুটি নির্ণয় করে (দালান, কম্পিউটার সিস্টেম ইত্যাদি।)
নিরাপত্তা প্রোটোকল: নিরাপত্তা প্রোটোকলসমূহ, নীতি এবং সংবেদনশীল তথ্য বিনিময় করার পদ্ধতি স্থাপন করে।
কর্মচারীদের প্রশিক্ষণ: কর্মচারীদের তাদের পদ অনুযায়ী নিরাপত্তা প্রোটোকলের উপর প্রশিক্ষণ প্রদান করে। (যেমন, টেইলগেটিং এর মতো পরিস্থিতিতে, যদি কোন ব্যক্তির পরিচয় যাচাই করা না যায়, পরবর্তীতে কর্মচারীদের অবশ্যই সবিনয়ে প্রত্যাখ্যান করার প্রশিক্ষণ প্রদান করতে হবে।)
ঘটনা পরীক্ষা: নিরাপত্তা অবকাঠামোর অপ্রচারিত, পর্যাবৃত্ত পরীক্ষা সম্পন্ন করে।
পর্যালোচনা: উপর্যুক্ত পদক্ষেপগুলো নিয়মিতভাবে পর্যালোচনা করে: তথ্য পূর্ণতায় কোন সমাধানই নিখুঁত নয়[১৫]।
অপচয় পরিচালন: অপচয় পরিচালন সেবার ব্যবহার করে যেটিতে আবর্জনার স্তূপের সাথে তালাও লাগানো খাকে, শুধুমাত্র অপচয় পরিচালন কোম্পানি এবং পরিষ্কারকারীদের কাছেই এটির সীমিত সংখ্যকভাবে চাবি থাকবে। আবর্জনা স্তূপের অবস্থান নির্ণয়ের ক্ষেত্রে হয় কর্মচারীদের দৃষ্টিসীমার মধ্যে রেখে যাতে এতে প্রবেশ করার চেষ্টাকারীর দেখতে পারার বা ধরে ফেলার ঝুঁকি থাকে অথবা তালাবদ্ধ গেটের পেছনে বা বেড়ায় যেখানে ব্যক্তিটির আবর্জনা স্তূপে প্রবেশ করার চেষ্টা করার আগে তাকে অবশ্যই অনধিকার প্রবেশ করতে হবে[১৬]।
উল্লেখযোগ্য সোশ্যাল ইঞ্জিনিয়ার
সম্পাদনাকেভিন মিটনিক
সম্পাদনাসংশোধিত কম্পিউটার অপরাধী এবং পরবর্তীতে নিরাপত্তা পরামর্শকারী হিসেবে যোগদানকারী কেভিন মিটনিক নির্ণয় করে বলেন যে কাউকে পাসওয়ার্ড দেয়ার জন্য ছলচাতুরি করা সিস্টেম ক্র্যাক করার চেষ্টার চাইতে খুবই সহজ[১৭][১৮]।
ক্রিস্টোফার হ্যাডন্যাগি
সম্পাদনাক্রিস্টোফার হ্যাডন্যাগি হলেন একজন পেশাদার নিরাপত্তা বিশেষজ্ঞ যিনি সোশ্যাল ইঞ্জিনিয়ারিং এর বস্তুগত এবং মনস্তাত্ত্বিক সংজ্ঞার প্রথম কাঠামো প্রণয়ন করেন[১৯]। তিনি বেশির ভাগ ক্ষেত্রে তার বই, পডকাস্ট এবং ডিইএফ কন সোশ্যাল ইঞ্জিনিয়ার ক্যাপচার দ্যা ফ্ল্যাগ এবং দ্যা সোশ্যাল ইঞ্জিনিয়ার সিটিএফ ফর কিডস এর জন্যই বেশি পরিচিত[১৮]।
মাইক লিডপাথ
সম্পাদনামাইক লিডপাথ হলেন নিরাপত্তা পরামর্শকারী, খ্যাতিমান লেখক এবং বক্তা। তিনি সোশ্যাল ইঞ্জিনিয়ারিং কোল্ড কলিং এর জন্য কৌশল এবং কার্যপদ্ধতির উপর জোর দেন। তিনি তার আলোচনার জন্য উল্লেখযোগ্য হন যেখানে তিনি রেকর্ডকৃত কল বাজান এবং তিনি ফোনের মাধ্যমে পাসওয়ার্ড পাওয়ার জন্য কি প্রক্রিয়া অনুসরণ করছিলেন সে সম্পর্কে তার মতামত ব্যাখ্যা এবং সেটির সরাসরি প্রদর্শন করার মাধ্যমে[২০][২১][২২][২৩][২৪]। শিশুকালে লিডপাথ বাদির ভ্রাতৃদ্বয়ের সাথে সংযুক্ত ছিলেন এবং তিনি ফ্রিকিং ও হ্যাকিং সম্প্রদায়ের মধ্যে ব্যাপকভাবে সমাদৃত হয়েছিলেন তার নিবন্ধের জন্য পাশাপাশি ফ্রেক, বি৪বি০, ৯এক্স এর মত জনপ্রিয় আন্ডারগ্রাউন্ড অনলাইন ম্যাগাজিন এবং ওকি ৯০০স পরিবর্তন করে, ব্লুবক্সিং, স্যাটেলাইট হ্যাকিং এবং আরসিএমএসি এর জন্যও[১৮][২৫]।
বাদির ভ্রাতৃদ্বয়
সম্পাদনারেমি, মুযহার এবং সাদি বাদির এই তিন ভ্রাতৃত্রয় সকলেই যারা জন্ম থেকেই অন্ধ ছিলেন তারা ইসরায়েলে ১৯৯০ এর দশকে সোশ্যাল ইঞ্জিনিয়ারিং, ভয়েস ইমপারসোনেশন এবং ব্রেইল-ডিসপ্লে কম্পিউটার ব্যবহারের মাধ্যমে ব্যাপক ফোন এবং কম্পিউটার জালিয়াতি পরিকল্পনা প্রণয়ন করতে সমর্থ হয়েছিল[১৮][২৬]।
আইন
সম্পাদনাসাধারণ আইনে প্রিটেক্সটিং গোপনীয়তার বিরুদ্ধে অন্যায় গ্রাসের আক্রমণ[২৭]।
টেলিফোন নথির ছলচাতুরি
সম্পাদনা২০০৬ সালের ডিসেম্বরে ইউনাইটেড স্টেট কংগ্রেস সেনেট্ স্পন্সরকৃত একটি বিল অনুমোদন দেয় যাতে টেলিফোন নথির ছলচাতুরিকে যুক্তরাষ্ট্রীয় গুরুতর অপরাধ বলে ঘোষণা করা হয় সেই সাথে জড়িত ব্যক্তিকে (কোম্পানির ক্ষেত্রে তা $৫০০,০০০ পর্যন্ত) $২৫০,০০০ ডলার পর্যন্ত ক্ষতিপূরণ এবং দশ বছরের সাজা দেয়ার ব্যবস্থা করা হয়। এটি ১২ই জানুয়ারি ২০০৭ সালে প্রেসিডেন্ট জর্জ বুশ কর্তৃক স্বাক্ষরিত হয়[২৮]।
যুক্তরাষ্ট্রীয় আইন প্রণয়ন
সম্পাদনা১৯৯৯ “জিএলবিএ” আইন হল একটি যুক্তরাষ্ট্রীয় বিধি যেটি যুক্তরাষ্ট্রীয় বিধিবদ্ধের অধিনে ব্যাংকিং নথির ছলচাতুরিকে দণ্ডনীয় অবৈধ নীতি বলে বিশেষভাবে আখ্যায়িত করে। যখন ব্যক্তিগত তদন্তকারী, সিআইইউ বীমা তদন্তকারী বা অ্যাডজাস্টারের মতো বাণিজ্যিক সত্তা যে কোন ধরনের ছলচাতুরির আচরণ করে তাহলে এটি যুক্তরাষ্ট্রীয় ট্রেড কমিশনের (এফটিসি) অধিনে বিচারের সম্মুখীন হবে। এই যুক্তরাষ্ট্রীয় সংস্থার কাছে দায় এবং কর্তৃত্ত্বের ক্ষমতা আছে যাতে করে ভোক্তারা এই নিয়ে নিশ্চিত থাকতে পারে যে তারা কোন অন্যায্য বা ভ্রান্তিজনক বাণিজ্যিক বিষয়ের শিকার হচ্ছেন না। ইউএস ফেডারেল ট্রেড কমিশন আইনের ধারা ৫ এ বলা আছে “যখনই কমিশনের বিশ্বাস করার জন্য যথেষ্ট কারণ থাকবে যে কোন ব্যক্তি, অংশীদার বা করপোরেশন কোন প্রতিদ্বন্দ্বিতাপূর্ণ অসৎ পদ্ধতি বা অন্যায্য কিংবা প্রতারণাপূর্ণ আচরণ বা কাজ করবে অথবা বাণিজ্যকে প্রভাবিত করতে ব্যবহার করবে এবং এটি যদি কমিশনের কাছে পৌঁছায় যে এই জাতীয় আচরণ দ্বারা জনগণের স্বার্থের বিপক্ষে যাবে, তাহলে এটিকে প্রকাশ করা হবে এবং উক্ত ব্যক্তি, অংশীদার বা করপোরেশনের নিকট সম্মানের সাথে অভিযোগ জানানো যাবে।”
সংবিধিটি বলে যে যখন কেউ একটি আর্থিক প্রতিষ্ঠান বা ভোক্তা থেকে কোনো ব্যক্তিগত, সর্বসাধারণের জন্য অউন্মুক্ত তথ্য গ্রহণ করবে তাহলে তাদের কৃতকর্ম সংবিধি মোতাবেক হবে। উদাহরণস্বরূপ একজন প্রিটেক্সটার যেকিনা মিথ্যা অজুহাত ব্যবহার করে ভোক্তার ব্যাংক থেকে কোন ভোক্তার ঠিকানা পেতে অথবা তার ব্যাংকের নাম প্রকাশ করার জন্য কোন ভোক্তাকে পেতে চাচ্ছিল তার পরিচয় অবশ্যই লুকিয়ে রাখা হবে। নিরূপক নীতিটি হলো এই যে ছলচাতুরি শুধুমাত্র তখনই ঘটে যখন তথ্যটি মিথ্যা অজুহাতের মাধ্যমে প্রাপ্ত হয়।
যেহেতু সেল টেলিফোন নথির বিক্রয় উল্লেখযোগ্য মিডিয়ার মনোযোগ অর্জন করেছে এবং মার্কিন সেনেটরের নিকট টেলিযোগাযোগ রেকর্ডই বর্তমানে প্রধান দুটি বিলের কেন্দ্রবিন্দু, তাই ব্যক্তিগত নথির আরও অনেক ধরনগুলো প্রকাশ্যে ক্রয় বিক্রয় করা হচ্ছে। সেল ফোন রেকর্ড, ওয়্যারলাইন রেকর্ড এবং কলিং কার্ডের সাথে সম্পর্কিত অনেক বিজ্ঞাপনই প্রচার করা হয়। যেহেতু ব্যক্তিবিশেষরা ভিওআইপি টেলিফোনে স্থানান্তরিত হচ্ছে, তাই এটা অনেকটাই নিশ্চিত যে ঐসব নথিগুলোও বিক্রয়ের জন্য উপস্থাপন করা হবে। বর্তমানে টেলিফোন নথি বিক্রি করা আইনত বৈধ, তবে তা সংগ্রহ করা অবৈধ[২৯]।
ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্ট
সম্পাদনামার্কিন যুক্তরাষ্ট্রের স্থানীয় প্রতিনিধি (কালামাজু, মিশিগান), এনার্জি এন্ড কমার্স সাবকমিটি অন টেলিকমিউনিকেশনস এন্ড দ্যা ইন্টারনেটের চেয়ারম্যান ফ্রেড উপটন ইন্টারনেটে ব্যক্তিগত মোবাইল ফোন রেকর্ডের সহজ অনুপ্রবেশ সম্পর্কে উদ্বেগ প্রকাশ করেন। হাউজ এনার্জি এন্ড কমার্স কমিটির “ফোন রেকর্ডস ফর সেল: হোয়াই আর নট ফোন রেকর্ডস সেফ ফ্রম প্রিটেক্সটিং?” এর বিতর্ক শোনার সময়ে যখন অ্যাটর্নি জেনারেল লিসা ম্যাডিগান ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্ট. ইনক সংস্থাকে অভিযুক্ত করে, তখন ইলিনোইস অঙ্গরাজ্য প্রথম অনলাইন নথি দালালদের অভিযুক্ত করতে সক্ষম হয়। মামলার একটি কপি অনুসারে ফ্লোরিডা ভিত্তিক কোম্পানিটি কতিপয় ওয়েবসাইট পরিচালনা করে যেগুলো অর্থের বিনিময়ে মোবাইল টেলিফোন নথি বিক্রি করে। ফ্লোরিডা এবং মিসৌরির অ্যাটর্নি জেনারেল খুব দ্রুত ম্যাডিগানের পন্থা অবলম্বন করার মাধ্যমে ১ম তথ্য উৎস বিশেষজ্ঞদের বিরুদ্ধে মামলা দায়ের করে এবং মিসৌরির ক্ষেত্রে অন্যতম তথ্য দালাল সংস্থা ফাস্ট ডাটা সলিউশন, ইনক-কে নিষিদ্ধ করার মাধ্যমে।
বিভিন্ন বেতার সেবাদাতা প্রতিষ্ঠান যেমন টি-মোবাইল, ভেরাইজন এবং চিনগুলার নথি দালালদের বিরুদ্ধে মামলা দায়ের করে, সেই সাথে চিনগুলার ফাস্ট ডাটা সলিওশন এবং ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্টের বিরুদ্ধে করা আদেশজারিতে জিতে যায়। মার্কিন সেনেটর চার্লস স্কিউমার একইভাবে ২০০৬ সালের ফেব্রুয়ারিতে (নিউ ইয়র্ক) আইন প্রণয়নের সূত্রপাত করেন। ২০০৬ সালের ভোক্তা টেলিফোন নথি সংরক্ষণ আইন মোতাবেক মোবাইল ফোন, ল্যান্ডলাইন এবং ভয়েস ওভার ইন্টারনেট প্রোটোকল (ভিওআইপি) গ্রাহকদের তথ্য চুরির ঘটনাকে গুরুতর অপরাধ বলে গণ্য করা হবে।
এইচপি
সম্পাদনাহিউলেট প্যাকার্ডের সাবেক সভাপত্নী পেট্রিকা ডুন রিপোর্ট করেন যে, যে বা যারা বোর্ডের তথ্য ফাঁসের জন্য দায়ী ছিল তাকে খুঁজে বের করার জন্য এইচপি বোর্ড একটি প্রাইভেট তদন্তকারী প্রতিষ্ঠানকে নিয়োগ দেয়। ডুন স্বীকার করেন যে তার কোম্পানি বোর্ডের সদস্য এবং সাংবাদিকদের টেলিফোন নথি প্রকাশে অনুরোধের জন্য ছলচাতুরির আশ্রয় নিয়েছিল। চেয়ারম্যান ডুন পরবর্তীকালে এই ধরনের কাজের জন্য ক্ষমা চান এবং বোর্ড থেকে পদত্যাগের প্রস্তাব দেন যদি বোর্ডের সদস্যরা ইচ্ছুক থাকে[৩০]। যুক্তরাষ্ট্রীয় আইনের বিপরীতে ক্যালিফোর্নিয়া আইন এই ধরনের ছলচাতুরিকে বিশেষভাবে নিষিদ্ধ করে। ডুনের বিরুদ্ধে আনা চারটি গুরুতর অপরাধের অভিযোগ প্রত্যাখ্যান করা হয়[৩১]।
জনপ্রিয় সংস্কৃতিতে
সম্পাদনা- “হোয়াইট কল্যার” টিভি শোতে ম্যাট বম্বার উচ্চ বোধশক্তি সম্পন্ন এবং বহুপ্রতিভাশালী এফবিআই এর অপরাধী সংবাদদাতা হিসেবে অভিনয় করেন।
- আইডেন্টিটি থীফ চলচ্চিত্রে, মেলিসা ম্যাকার্থি প্রতারক চরিত্রে অভিনয় করেন যিনি একজন কার্যনির্বাহীর (জন বেটিম্যান) পরিচয়, ক্রেডিট কার্ড নাম্বার এবং সামাজিক নিরাপত্তা নাম্বার পাওয়ার জন্য ছলচাতুরির আশ্রয় নিয়েছিলেন এবং এটি তাকে ব্যক্তিটির পরিচয় চুরি এবং ক্রেডিট কার্ড জালিয়াতি করার ক্ষমতা দেয়।
- হ্যাকারস চলচ্চিত্রের প্রধান নায়ক ছলচাতুরি ব্যবহার করে যখন সে একজন নিরাপত্তা পাহারাদারকে টিভি সম্প্রচারকেন্দ্রের মডেমের টেলিফোন নাম্বার জিজ্ঞেস করে এবং ধোঁকা দেয়ার জন্য তার সাথে গুরুত্বপূর্ণ কোম্পানির কার্যনির্বাহী বলে অভিনয় করে।
- জেফারি ডেভারের বই “দ্যা ব্লু নোহোয়্যার” এ হত্যাকারী পেট কর্তৃক ব্যবহৃত অন্যতম পদ্ধতি ছিল সোশ্যাল ইঞ্জিনিয়ারিং দ্বারা গোপনীয় তথ্য পাওয়া যেটি সে তার শিকারের কাছাকাছি যাওয়ার জন্য ব্যবহার করেছিল।
- লিভ ফ্রি অর ডাই হার্ড চলচ্চিত্রে জাস্টিন লং কে ছলচাতুরি করতে দেখা যায়, যেখানে তার পিতা অনস্টার অ্যাসিসটেন্ট প্রতিনিধির জন্য হার্ট অ্যাটাকের ফলে মারা যাচ্ছিল যেটি শুরুতে চুরি করা গাড়িতে পরিণত হবে।
- স্নিকার্স চলচ্চিত্রের চরিত্রেগুলোর মধ্যে একজন, নিম্ন স্তরের নিরাপত্তারক্ষীর শ্রেয় হিসেবে নকল অভিনয় করে যাতে করে সে তাকে নিরাপত্তা লঙ্ঘন শুধুমাত্র মিথ্যা সংকেত বলে বুঝাতে পারে।
- দ্যা থমাস ক্রাউন অ্যাফেয়ার সিনেমার একটি চরিত্র যাদুঘররক্ষীর শ্রেয় হিসেবে ছল করে যাতে করে তাকে তার কর্তব্য থেকে দূরে সরানো যায়।
- জেমস বন্ড সিনেমা ডাইমন্ডস আর ফরএভার এ বন্ডকে টেইলগেটিং এর মাধ্যমে হোয়াইটি ল্যাবরেটরির লক সিস্টেমে প্রবেশ করতে দেখা যায়। সে নিছক একজন কর্মচারীর দরজা খুলে দেয়ার জন্য অপেক্ষা করে, পরবর্তীতে সে তাকে গবেষণাগারের নতুন কর্মী বলে পরিচয় দেয় এবং যখন কর্মচারীটি দরজা খুলে দেয় তখন সে একটি নকল কার্ড প্রবেশ করানোর ভান করে।
- “রকফোর্ড ফাইলস” টেলিভিশন অনুষ্ঠানে জিম রকফোর্ড (চরিত্র) তার ব্যক্তিগত তদন্ত কাজে প্রায়শই ছলচাতুরির ব্যবহার করেছিল।
- “দ্যা ম্যানটালিস্ট” টিভি অনুষ্ঠানে নায়ক প্যাট্রিক জোন প্রায়শই ছলচাতুরির ব্যবহার করে যাতে অপরাধীদের বোঁকা বানানোর মাধ্যমে তাদের করা অপরাধ স্বীকার করানো যায়।
- “বার্ন নোটিশ” টিভি শোতে অনেক চরিত্রদের সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করতে দেখা যায়; মাইকেল ওয়েস্টেনের সাইক প্রোফাইলে বিবৃত হয় যে সে সোশ্যাল ইঞ্জিনিয়ারিং এ খুবই দক্ষ।
- “সাই” টিভি শোতে প্রধান চরিত্র শন স্প্যান্সার পুলিশের পরিচয়পত্র ছাড়া প্রবেশ করতে পারবে না এমন স্থানের প্রবেশাধিকার পাওয়ার জন্য প্রায়ই ছলচাতুরির ব্যবহার করে।
- ওয়াচ ডগস ভিডিও গেমসের নায়ক এডেন পিয়ার্স বলে যে সে যখন একজন অপরাধীর জীবনে পদার্পণ করছিল তখন সে সোশ্যাল ইঞ্জিনিয়ারিং সম্পর্কে অধ্যায়ন করেছিল এবং সে পুরো গেমজুড়ে সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে যাতে করে সে অন্যদের নিয়ন্ত্রণ করতে পারে এবং সে যে তথ্য পেতে চায় তা পেতে পারে।
- “মিস্টার রোবট” টিভি শোতে ডার্লিন স্ক্যাটারের ইউএসবি ফ্ল্যাশ ড্রাইভকে (ম্যালওয়্যারযুক্ত ছিল) জেলখানার অভ্যন্তরীণ নেটওয়ার্কে প্রবেশ করানোর মাধ্যমে জেলখানার প্রবেশ মুখের বাইরে একজন কৌতুহলি দারোয়ানকে আপোস করিয়ে ছিল।
- “হু এম আই” চলচ্চিত্রের প্রধান নায়ককে বিভিন্ন সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করেতে দেখা যায়।
- ম্যাক্সিম ফ্রানতিনির ফরাসি উপন্যাসের হ্যাকার হিরো ইয়ালিয়ান ইস্তেভেজ তার আক্রমণের জন্য প্রধানত সোশ্যাল ইঞ্জিনিয়ারিংই ব্যবহার করে। [৩২]
- “মার্স নিডস ওম্যান” সিনেমার পুরোটা অংশজুড়েই এলিয়েনদের সোশ্যাল ইঞ্জিনিয়ারিং এর কৌশল প্রয়োগ করতে দেখা যায়।
আরও দেখুন
সম্পাদনা- প্রত্যয়িত সোশ্যাল ইঞ্জিনিয়ারিং নিবারণ বিশেষজ্ঞ (সিএসইপিএস)
- আস্থা কৌশল
- প্রতিব্যবস্থা (কম্পিউটার)
- সাইবার-হিউমিন্ট
- সাইবারহিস্ট
- ইন্টারনেট নিরাপত্তা সচেতনতা প্রশিক্ষণ
- আইটি ঝুঁকি
- মিডিয়া বিদ্রুপ, যেটি প্রায় একই ধরনের কৌশল ব্যবহার করে।
- অনুপ্রবেশ পরীক্ষা
- ফিশিং
- ফিজিক্যাল ইনফরমেশন সিকিউরিটি
- পিগিব্যাকিং (নিরাপত্তা)
- এসএমএস ফিশিং
- হুমকি (কম্পিউটার)
- ভয়েস ফিশিং
- ভালনেরাবিলিটি (কম্পিউটিং)
তথ্যসূত্র
সম্পাদনা- ↑ Anderson, Ross J. (২০০৮)। Security engineering: a guide to building dependable distributed systems (2nd সংস্করণ)। Indianapolis, IN: Wiley। পৃষ্ঠা 1040। আইএসবিএন 978-0-470-06852-6। Chapter 2, page 17
- ↑ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ↑ "Hack a Facebook Account with Social Engineering (Easiest Way) ~ Amazing Hacking Tricks"। amazinghackingtricks.com। ১০ নভেম্বর ২০১৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।
- ↑ The story of HP pretexting scandal with discussion is available at Davani, Faraz (১৪ আগস্ট ২০১১)। "HP Pretexting Scandal by Faraz Davani"। Scribd। সংগ্রহের তারিখ ১৫ আগস্ট ২০১১।
- ↑ "Pretexting: Your Personal Information Revealed", Federal Trade Commission
- ↑ Fagone, Jason। "The Serial Swatter"। New York Times। সংগ্রহের তারিখ ২৫ নভেম্বর ২০১৫।
- ↑ "Train For Life"। Web.archive.org। ৫ জানুয়ারি ২০১০। ৫ জানুয়ারি ২০১০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ আগস্ট ২০১২।
- ↑ "The Real Dangers of Spear-Phishing Attacks"। FireEye। ২০১৬। সংগ্রহের তারিখ ৯ অক্টোবর ২০১৬।
- ↑ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack"। invincea.com। ১০ ফেব্রুয়ারি ২০১৫। ২৩ ফেব্রুয়ারি ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।
- ↑ "Social Engineering, the USB Way"। Light Reading Inc। ৭ জুন ২০০৬। ১৩ জুলাই ২০০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ এপ্রিল ২০১৪।
- ↑ "সংরক্ষণাগারভুক্ত অনুলিপি" (পিডিএফ)। ১১ অক্টোবর ২০০৭ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৫ মার্চ ২০১৭।
- ↑ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (২০১৫)। Principles of Computer Security, Fourth Edition (Official Comptia Guide)। New York: McGraw-Hill Education। পৃষ্ঠা 193–194। আইএসবিএন 978-0071835978।
- ↑ Leyden, John (১৮ এপ্রিল ২০০৩)। "Office workers give away passwords"। Theregister.co.uk। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "Passwords revealed by sweet deal"। BBC News। ২০ এপ্রিল ২০০৪। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
- ↑ Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241.
- ↑ Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing. A documentary based on Kevin Metnick "Freedom Downtime" was made featuring the real story of Kevin Metnick, featuring some real Hackers.
- ↑ ক খ গ ঘ Social Hacking (গবেষণাপত্র)। Maxim Maximov, Ruslan Iskhakov। সংগ্রহের তারিখ ১১ ফেব্রু ২০০৩।
- ↑ "Social Engineering Framework"। Social-engineer.org। ১ অক্টোবর ২০১০।
- ↑ Social Engineering: Manipulating the human। Scorpio Net Security Services। ১৮ এপ্রিল ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "Mobile Devices and the Military: useful Tool or Significant Threat"। academia.edu। সংগ্রহের তারিখ ১১ মে ২০১৩।
- ↑ "Social Engineering: Manipulating the human"। YouTube। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference"। Ustream.tv। ৭ অক্টোবর ২০১১। ৪ আগস্ট ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "Automated Social Engineering"। BrightTALK। ২৯ সেপ্টেম্বর ২০১১। ১১ এপ্রিল ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "Social Engineering a General Approach" (পিডিএফ)। Informatica Economica journal। সংগ্রহের তারিখ ১১ জানু ২০১৫।
- ↑ "Wired 12.02: Three Blind Phreaks"। Wired.com। ১৪ জুন ১৯৯৯। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ Restatement 2d of Torts § 652C.
- ↑ "Congress outlaws pretexting"। Ars Technica।
- ↑ Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. আইএসবিএন ০-৪৭১-২৩৭১২-৪
- ↑ HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 2006-09-08 1:08 PM PDT CNET News.com
- ↑ "Calif. court drops charges against Dunn"। News.cnet.com। ১৪ মার্চ ২০০৭। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
- ↑ "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle"। সংগ্রহের তারিখ ৩০ নভেম্বর ২০১৬।
আরও পড়ুন
সম্পাদনা- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington আইএসবিএন ০-৫৫৩-২৬৩৫০-১
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. আইএসবিএন ৯৭৮-১-৫৯৭৪৯-২১৫-৭
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. আইএসবিএন ০-৫৬৬-০৮৭৭৩-১ or আইএসবিএন ৯৭৮-০-৫৬৬-০৮৭৭৩-৮
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. আইএসবিএন ০-৪৭১-২৩৭১২-৪ or আইএসবিএন ০-৭৬৪৫-৪২৮০-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. আইএসবিএন ০-৪৭০-৬৩৯৫৩-৯
বহিঃসংযোগ
সম্পাদনা- Social Engineering Fundamentals – Securityfocus.com. Retrieved on ৩ আগস্ট 2009.
- "Social Engineering, the USB Way"। Light Reading Inc। ৭ জুন ২০০৬। ১৩ জুলাই ২০০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ এপ্রিল ২০১৪।
- Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Retrieved on ৩ আগস্ট 2009.
- Social Engineering: Explained – Linkedin.com. Retrieved on ২৭ ফেব্রুয়ারি 2016.
- "Protecting Consumers' Phone Records", Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation . Retrieved on ৮ ফেব্রুয়ারি 2006.
- Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved on ৯ সেপ্টেম্বর 2006.
- Striptease for passwords – MSNBC.MSN.com. Retrieved on ১ নভেম্বর 2007.
- Social-Engineer.org – social-engineer.org. Retrieved on ১৬ সেপ্টেম্বর 2009.