বাংলাদেশ এর বর্তমান তথ্যপ্রযুক্তি আইন এ ক্রেডিট কার্ড হ্যাকিং দণ্ডনীয় অপরাধ । তাই এই নিজ দায়িত্বে লেখাটি পড়বেন ও প্রয়োগ করবেন । আপনার কোন কাজের জন্য লেখক রাশেদ হাসান দায়ী থাকবে না । এটি শিক্ষামূলকএবং সচেতনতা তৈরির উদ্দেশে প্রকাশ করা হল ।
এই লেখার প্রথম পর্ব ক্রেডিট কার্ড হ্যাকিং : প্রযুক্তির এক আশংকাজনক অপব্যবহার (পর্ব ১)
এই লেখার দ্বিতীয় পর্ব ক্রেডিট কার্ড হ্যাকিং : প্রযুক্তির এক আশংকাজনক অপব্যবহার (পর্ব ২ )
আগের দুটো পর্বে আলোচনা করেছিলাম কিভাবে সার্চ ইঞ্জিন ব্যাবহার করে ক্রেডিট কার্ড কার্ড এর তথ্য সংগ্রহ করা যায় এবং সেটিকে কাজে লাগিয়ে কিভাবে অনলাইন মার্কেটিং করা যায় । এই পর্বে আলোচনা করব কিভাবে আসলে কারো পার্সোনাল কম্পিউটার থেকে ক্রেডিট কার্ড বা ব্যাংক অ্যাকাউন্ট এর তথ্য সংগ্রহ করা হয়।
বর্তমানে ই কমার্স ও অনলাইন ব্যাংকিং অনেক জনপ্রিয় একটি মাধ্যম, সারা বিশ্বের মত বাংলাদেশেও ই কমার্স সাইট গুলোর জনপ্রিয়তা বৃদ্ধি পাচ্ছে । আর প্রায় সব ই কমার্স সাইট এ যে কোন ব্যাবহারকারী যখন কোন তথ্য জমা দেন কিংবা কোন পণ্য কেনেন তখন যে বাবস্থা মাধ্যমে পুরো লেনদেন কে সুরক্ষিত রাখা হয় তাকে বলা হয় Secure Sockets Layer বা SSL এটি বাবহারকারী এবং ওয়েবসাইট ের মদ্ধে একটি সুরক্ষিত লেয়ার বা পর্যায় তৈরি করে । কিন্তু একজন দক্ষ হ্যাকার এর পক্ষে এসএসএল কে ভাঙ্গা খুব কঠিন কিছু নয় , তাই আপনি যখন আপনার ক্রেডিট বা ডেবিট কার্ডের তথ্য কোথাও দেবেন , তার নিরাপত্তা ওয়েবসাইট এর হাতে ছেড়ে না দিয়ে সিকিউর কানেকশান বা ওয়ে প্রক্সির মাধ্যমে নিজেকে সুরক্ষিত করুন ।
প্রথমত এসএসএল এর মধ্যে দিয়ে যখন কোন ডেটা ট্রান্সেকশন করা হয় , সেটা যেকোনোভাবেই যে কারো পক্ষেই দেখা অসম্ভব , কিন্তু session hijacking এবং packet sniffing এর সাহায্যে আমরা এঙ্ক্রিপ্টেড ডেটা সংগ্রহ করে তাকে ডিক্রিপ্ট করে নিতে পারি ।
বর্তমানে ই কমার্স ও অনলাইন ব্যাংকিং অনেক জনপ্রিয় একটি মাধ্যম, সারা বিশ্বের মত বাংলাদেশেও ই কমার্স সাইট গুলোর জনপ্রিয়তা বৃদ্ধি পাচ্ছে । আর প্রায় সব ই কমার্স সাইট এ যে কোন ব্যাবহারকারী যখন কোন তথ্য জমা দেন কিংবা কোন পণ্য কেনেন তখন যে বাবস্থা মাধ্যমে পুরো লেনদেন কে সুরক্ষিত রাখা হয় তাকে বলা হয় Secure Sockets Layer বা SSL এটি বাবহারকারী এবং ওয়েবসাইট ের মদ্ধে একটি সুরক্ষিত লেয়ার বা পর্যায় তৈরি করে । কিন্তু একজন দক্ষ হ্যাকার এর পক্ষে এসএসএল কে ভাঙ্গা খুব কঠিন কিছু নয় , তাই আপনি যখন আপনার ক্রেডিট বা ডেবিট কার্ডের তথ্য কোথাও দেবেন , তার নিরাপত্তা ওয়েবসাইট এর হাতে ছেড়ে না দিয়ে সিকিউর কানেকশান বা ওয়ে প্রক্সির মাধ্যমে নিজেকে সুরক্ষিত করুন ।
প্রথমত এসএসএল এর মধ্যে দিয়ে যখন কোন ডেটা ট্রান্সেকশন করা হয় , সেটা যেকোনোভাবেই যে কারো পক্ষেই দেখা অসম্ভব , কিন্তু session hijacking এবং packet sniffing এর সাহায্যে আমরা এঙ্ক্রিপ্টেড ডেটা সংগ্রহ করে তাকে ডিক্রিপ্ট করে নিতে পারি ।
কিভাবে সম্ভব
আসলে প্রকৃতপক্ষে এধরনের সুরক্ষিত সিস্টেম থেকে তথ্য সরিয়ে নেয়া তখনই সম্ভব হয় যখন ব্যাবহারকারী ট্রান্সেসেকশান সিস্টেম ও ক্রেডিট কার্ড এর সম্পর্কে যথেষ্ট ধারনা রাখেন না । এ ধরনের বাবহারকারীর থেকে হ্যাকার যেকোনো এস এস এল এক্সপ্লইট যেমন SSL MITM এর সাহায্যে তথ্য হাতিয়ে নিতে পারে , যদি ব্যাবহারকারী সচেতন এবং ট্রান্সেকশান সম্পর্কে সম্পূর্ণ ভাবে অবগত হন তাহলে কিঞ্চিৎ পরিবর্তনেও তিনি বুঝতে পারবেন কোথাও গোলমাল হয়েছে ।
আসলে প্রকৃতপক্ষে এধরনের সুরক্ষিত সিস্টেম থেকে তথ্য সরিয়ে নেয়া তখনই সম্ভব হয় যখন ব্যাবহারকারী ট্রান্সেসেকশান সিস্টেম ও ক্রেডিট কার্ড এর সম্পর্কে যথেষ্ট ধারনা রাখেন না । এ ধরনের বাবহারকারীর থেকে হ্যাকার যেকোনো এস এস এল এক্সপ্লইট যেমন SSL MITM এর সাহায্যে তথ্য হাতিয়ে নিতে পারে , যদি ব্যাবহারকারী সচেতন এবং ট্রান্সেকশান সম্পর্কে সম্পূর্ণ ভাবে অবগত হন তাহলে কিঞ্চিৎ পরিবর্তনেও তিনি বুঝতে পারবেন কোথাও গোলমাল হয়েছে ।
একজন ব্যাবহারকারী কম্পিউটার থেকে একজন হ্যাকার অনেক পদ্ধতিতেই তথ্য সরাতে পারে , আমি যে পদ্ধতি আলোচনা করব সেখানে একজন সাধারন ব্যাবহারকারী ইন্টারনেট ব্যাবহার করার জন্য WIFI ব্যাবহার করে থাকেন । এখন এই পদ্ধতিতে একজন হ্যাকার সেই বাবহারকারীর ওয়াইফাই হ্যাক করে , কিছু সুনির্দিষ্ট ধাপ অবলম্বন সাপেক্ষে তার এস এস এল পদ্ধতিতে প্রেরন করা ডেটা নিজের সিস্টেমে নিয়ে আসবে । এখানে যে পদ্ধতিটি অবলম্বন করা হবে তাকে বলা হয় Man In The Middle Attack .
একটি গুরুত্বপূর্ণ বিষয় হল এসএসএল সিস্টেমে একটি সার্টিফিকেট ব্যাবহার করা হয় , আপনার সার্টিফিকেট যদি ভাল হয় তাহলে সেটি শুধু আপনার ব্রাউযার থেকে ওয়েবসাইট এ ডেটা সাবমিট করবে , কোন তৃতীয় পক্ষ সেখানে কোন ভাবেই সেখানে হস্তক্ষেপ করতে পারবে না , তাই আপনার সার্টিফিকেট ভাল হলে কোন হ্যাকার হ্যাক করতে সক্ষম হবে না । তাহলে চলুন দেখি কিভাবে একজন হ্যাকার হাতিয়ে নিতে পারে ক্রেডিট কার্ড এর তথ্য , দেখানোর সুবিধার প্রেক্ষিতে লিনাক্স সিস্টেমে এটি করে দেখানো হয়েছে ,
সুনির্দিষ্ট ধাপসমূহ
প্রথমে একজন হ্যাকার Fragrouter চালু করবে
এখন একজন হ্যাকার ব্যাবহারকারীর ওয়াইফাই ডেটা কে নিজের কম্পিউটারে প্রবাহিত করার চেস্টা করবে । অর্থাৎ আপনার ওয়াইফাই থে ইন্টারনেট ডেটা আপনার কাছে আসার আগে তার কম্পিউটার এর মধ্য দিয়ে গমন করবে , এককথায় হ্যাকার মধ্যবর্তী সংস্থা হিসেবে কাজ করবে । এখানে ব্যাবহার করা হবে Arpspoof , ধরুন আপনার প্রকৃত আইপি 192.168.68.1 তখন সঃে সেটি পরিবর্তন করে 192.168.68.24 করে দিবে ।
DNSSpoof এর মাধ্যমে এই পর্যায় এ হ্যাকার ডি এন এস স্পুফিং শুরু করবে ।
যেহেতু হ্যাকার বাবহারকারীকে বোকা বানাতে ব্যাংক বা অনলাইন শপিং সাইট এর এস এস এল সার্টিফিকেট বদলে দিবে , তাই সার্টিফিকেট নিয়ন্ত্রন করতে যেটি ব্যাবহার করা হবে সেটি হচ্ছে webmitm
এই পর্যায় এ একজন হ্যাকার পুরোপুরি প্রস্তুত , তার সিস্টেম থেকে যেহেতু ইন্টারনেট আপনার সিস্টেম এ যাচ্ছে অথচ আপনি টের ও পাচ্ছেন না , এই সময়ে যখন আপনি এস এস এল এর ভেতর দিয়ে আপনার তথ্য বা ক্রেডিট কার্ড দিয়ে অর্থ ট্রান্সেকশান করবেন সঃে তখন যেকোনো ডেটা ক্যাপচার সফটওয়্যার এর মাধ্যমে এই এঙ্ক্রিপ্টেড ডেটা সংগ্রহ করবে ।
এখন হ্যাকার এর কাছে ডেটা আছে , কিন্তু সেটি ১২৮ বিট অ্যালগরিদম এ এঙ্ক্রিপ্ট করা , SSL Dump এর সাহায্যে এটি খুব সহজে সঃে ডিক্রিপ্ট করে পারে ।
এখন আপনার ডেটা ডিক্রিপ্ট করার পর হ্যাকার জেনে যাবে যে আপনার নাম আর পাসওয়ার্ড কি ছিল । সেই সাথে আপনি কোন ব্যাংক থেকে পেমেন্ট করছেন এবং আপনার অ্যাকাউন্ট নাম্বার কত সেটিও সে পেয়ে যাবে । এখন এই ইনফরমেশান হ্যাকার এর কাছে চলে আসলে সে সেটি যেকন ভাবে ব্যাবহার করতে পারে । নিচের ছবিটি দেখুন যেখানে ডিক্রিপ্টেড ডেটা থেকে দেখা যাচ্ছে , কার্ড এর মালিক Elvis Prislyr নাম এবং শহর NY এবং তার কার্ড এর নাম্বার 5440123412341234
এবার নিচের ছবিটি লক্ষ্য করুন , উপরে ডেটা ক্যাপচার সফটওয়্যার এর কথা বলা হয়েছে , এই সফটওয়্যার এস এস এল ট্রান্সেকশান এর ভেতরের তথ্য রেকর্ড করবে যার ফলে আপনি হ্যাঁস অ্যালগরিদমে যে কোন তথ্য পেতে সক্ষম হবেন ।
আপনি কি বাচতে পারবেন
আপনি বাচতে পারবেন কিনা তার সম্ভাবনা আপনার উপরই নির্ভরশীল । আপনাকে বোকা বানাতে যে কোন হ্যাকার নকল এস এস এল সার্টিফিকেট আপনার সামনে উপস্থাপন করবে , আপনি যদি বিষয় টি না বোঝেন তাহলেই আপনি ফাঁদে পা দেবেন । যেমন নিচের ছবিতে যে সার্টিফিকেট দেখা যাচ্ছে আপনি যদি এরকম সার্টিফিকেট এ কিছু না বুঝেই Yes দিয়ে দেন , তাহলে আপনি বিপদে পড়বেন , আপনি View Certificate দেখলেই আসল সার্টিফিকেট এর সাথে এর পরিস্কার পার্থক্য বুঝতে পারবেন ।
আপনি বাচতে পারবেন কিনা তার সম্ভাবনা আপনার উপরই নির্ভরশীল । আপনাকে বোকা বানাতে যে কোন হ্যাকার নকল এস এস এল সার্টিফিকেট আপনার সামনে উপস্থাপন করবে , আপনি যদি বিষয় টি না বোঝেন তাহলেই আপনি ফাঁদে পা দেবেন । যেমন নিচের ছবিতে যে সার্টিফিকেট দেখা যাচ্ছে আপনি যদি এরকম সার্টিফিকেট এ কিছু না বুঝেই Yes দিয়ে দেন , তাহলে আপনি বিপদে পড়বেন , আপনি View Certificate দেখলেই আসল সার্টিফিকেট এর সাথে এর পরিস্কার পার্থক্য বুঝতে পারবেন ।
নিচের ছবিগুলো দেখুন , তাহলে আসল এস এস এল সার্টিফিকেট এর সাথে নকল এর পার্থক্য বুঝতে পারবেন । বাম পাশের ছবিগুলো আসল এবং ডান পাশের ছবিগুলো নকল সার্টিফিকেট
আমি দেখেয়েছি কোন বাবহারকারী যদি ওয়াইফাই ব্যাবহার করেন তাহলে তার সিস্টেম থেকে এই পদ্ধতিতে ক্রেডিট ইনফরমেশন হাতিয়ে নেয়া সম্ভব , ক্রেডিট ইনফরমেশন হাতিয়ে নেয়ার আরো একটি ভাল পদ্ধতি হচ্ছে বটনেট ব্যাবহার করা , ক্রেডিট কার্ড মাফিয়া বা ডিলার রা সার্ভার এর মাধ্যমে বটনেট এর সাহায্যে একসাথে একাধিক সিস্টেম এর গোপন তথ্য সহজে বের করে নিয়ে আসে , আশা করি ভবিষ্যৎ এ এ নিয়ে বিস্তারিত আরো বলতে পারব ।