Spaceship ব্লগ

বিজনেস ইমেইল কম্প্রোমাইজ (BEC) কী?

প্রতি বছর, অপরাধীরা বিলিয়ন বিলিয়ন অর্থ নিয়ে পালিয়ে যায়। জমকালো আর্ট গ্যালারি বা ব্যাংকের ভল্টে ঢুকে নয়, বরং সঠিক সময়ে সঠিক ব্যক্তিকে সঠিক ইমেইল পাঠিয়ে। তারা এভাবেই কাজটি করে।

এই নিবন্ধে আপনি জানবেন:

  • business email compromise আসলে কী

  • ধাপে ধাপে, কীভাবে এই আক্রমণগুলো চালানো হয়

  • BEC আক্রমণের সবচেয়ে সাধারণ ধরনগুলো

  • $37 million আক্রমণের একটি বাস্তব উদাহরণ

  • লক্ষ্যে পরিণত হওয়ার আগেই কীভাবে আপনার ব্যবসাকে সুরক্ষিত করবেন

সাইবার নিরাপত্তায় business email compromise কী?

Business email compromise হলো এমন একটি cyberattack যাতে অপরাধীরা আপনার বিশ্বাসভাজন কারও ছদ্মবেশ ধারণ করে আপনাকে অর্থ পাঠাতে বা সংবেদনশীল ডেটা দিতে প্রতারিত করে। এটিকে বিপজ্জনক করে তোলে এর ধৈর্য ও পরিকল্পনা। আক্রমণকারীরা সপ্তাহের পর সপ্তাহ ধরে শেখে একটি কোম্পানি কীভাবে যোগাযোগ করে, কার হাতে কর্তৃত্ব আছে, এবং কখন আঘাত হানতে হবে। ইমেইলটি যখন এসে পৌঁছায়, তখন এটি পরিচিত কারও কাছ থেকে আসা একটি স্বাভাবিক ইমেইলের মতো দেখায়।

business email compromise আক্রমণ কীভাবে কাজ করে?

এই ধরনের আক্রমণের একটি পরীক্ষিত ও নির্ভরযোগ্য কৌশল আছে, এবং প্রতারকেরা প্রতিবারই সেটাই অনুসরণ করে।

ধাপ ১ – লক্ষ্য খুঁজে বের করুন

একটি business email compromise আক্রমণের মূল বিষয়ই হলো এটি বিশ্বাসযোগ্য হতে হবে। আক্রমণকারীদের জন্য সৌভাগ্যবশত, সম্ভাব্য লক্ষ্য সম্পর্কে তথ্যের এক সোনার খনি হলো ইন্টারনেট। আপনার সোশ্যাল মিডিয়া প্রোফাইলে একবার চোখ বুলালেই আপনার কাজ, ঘনিষ্ঠ বন্ধু, এমনকি আপনার কথাবলার ধরনও জানা যেতে পারে। এর সঙ্গে আপনার কোম্পানির ভবিষ্যৎ পদক্ষেপ নিয়ে প্রেস রিলিজ এবং কোম্পানির ওয়েবসাইটের বায়ো যোগ করলে বিষয়টি বিশ্বাসযোগ্য মনে হতে শুরু করে।

আক্রমণকারীরা সেই সব তথ্য সংগ্রহ করে কয়েক সেকেন্ডের মধ্যেই এমন একটি ইমেইল তৈরি করতে পারে, যা দেখতে ও শুনতে একেবারে আসল মনে হয়।

ধাপ ২ – ইনবক্সে ঢুকে পড়ুন

ইমেইলের বিষয়বস্তু বাস্তব মনে করাতে, আক্রমণকারীদের সেটিকে একটি আকর্ষণীয় ও বিশ্বাসযোগ্য আবরণে মুড়ে দিতে হয়। যদি ইমেইল ঠিকানাটি কোনো বিশ্বস্ত উৎস থেকে এসেছে বলে মনে না হয়, তাহলে পুরো প্রতারণাটাই ভেস্তে যাবে।

আক্রমণকারীরা acmecorp.com-এর বদলে acme-corp.com-এর মতো একটি নাম নিবন্ধন করে ডোমেইন স্পুফ করতে পারে। অথবা, যদি তারা যথেষ্ট দক্ষ হয়, তবে আসল ইনবক্সেই হ্যাক করতে পারে, ফলে সেটিকে প্রকৃত বার্তা থেকে আলাদা করা প্রায় অসম্ভব হয়ে যায়।

শেষ পর্যন্ত, যদি দেখতে হাঁসের মতো হয় এবং হাঁসের মতো ডাক দেয়, তবে বেশিরভাগ মানুষই ভাববে সেটি হাঁস।

ধাপ ৩ – বিশ্বাস তৈরি করুন

এই ধরনের আক্রমণে ধৈর্যই সবচেয়ে বড় অস্ত্র। আক্রমণকারীরা হ্যাক করা ইনবক্সে সপ্তাহের পর সপ্তাহ লুকিয়ে থেকে ইমেইল থ্রেড পড়তে পারে এবং যোগাযোগের ধরন শিখতে পারে। যখন শেষ পর্যন্ত ইমেইলটি আসে, তখন তা আগের ইমেইলগুলোর সঙ্গে মিশে যায় এবং কথোপকথনের সুর ও প্রবাহ অনুকরণ করে।

ধাপ ৪ – অনুরোধটি করুন

আক্রমণকারীরা যখন আপনাকে পুরোপুরি জেনে ফেলে — আপনার কথাবলার ধরন, আপনার সহকর্মীদের নাম ও পদবি, এবং আপনার কোম্পানিতে কী চলছে — এবং তারা সফলভাবে আপনার ইমেইলে ঢুকে পড়ে, তখন অনুরোধটি পাঠানো হয়।

সাধারণত এটি এমন কিছু হয় যা সহজে ফিরিয়ে নেওয়া যায় না। এতে কোনো ব্যাংক অ্যাকাউন্টে টাকা পাঠানো বা ব্যক্তিগত তথ্য শেয়ার করা জড়িত থাকতে পারে। মূল বিষয় হলো, এটি অবশ্যই অপরিবর্তনীয় হতে হবে। 

লক্ষ্য ব্যক্তি যখন বুঝতে পারে কিছু একটা ভুল হয়েছে, তখন পর্যন্ত আক্রমণকারীর দরকার ক্ষতিটা হয়ে যাওয়া। তারা যদি আরও বেশি ধূর্ত হয়, তবে উৎসবের সময়ও এটি পাঠাতে পারে, যখন সবার সতর্কতা কম থাকে এবং সফলতার সম্ভাবনা বেশি থাকে।

ধাপ ৫ – কোনো চিহ্ন না রেখে অদৃশ্য হয়ে যান

অর্থ পাঠানোর পর, তা দ্রুত একাধিক মধ্যবর্তী অ্যাকাউন্টের মাধ্যমে সরিয়ে ফেলা হয়। এগুলো সাধারণত বিদেশে অবস্থিত থাকে, ফলে আইন প্রয়োগকারী সংস্থার জন্যও অর্থের গতিপথ অনুসরণ করা খুব কঠিন হয়ে যায়।

Business email compromise-এর উদাহরণ

Business email compromise হলো ডিজিটাল আক্রমণের চূড়ান্ত বস। এতে সাধারণত বড় কোম্পানি এবং চোখ কপালে তোলার মতো বিপুল অঙ্কের অর্থ জড়িত থাকে। 

২০১৯ সালে, Toyota-এর একটি বড় সরবরাহকারী একবারের ট্রান্সফারেই কয়েক কোটি হারায়। আক্রমণকারী Toyota Boshoku-এর ইমেইল সিস্টেমে ঢুকে পড়ে। তারা বার্তাগুলো পড়ে এবং কোম্পানিটি কীভাবে যোগাযোগ করে তা শিখে ফেলে। যখন বড় অঙ্কের অর্থ স্থানান্তরের বিষয়টি আলোচনায় আসে, তখন তারা কোম্পানির এমন একজনকে, যার অর্থ স্থানান্তরের ক্ষমতা ছিল, ট্রান্সফারের জন্য ব্যাংক অ্যাকাউন্টের তথ্য আপডেট করতে বলে। এটি বৈধ মনে হয়েছিল, এবং অর্থ পাঠানো হয়।

এভাবেই, $37 million, উধাও।

business email compromise আক্রমণের ধরন

সব business email compromise উদাহরণ একরকম দেখায় না। অবশ্যই, লক্ষ্য সবসময়ই মানুষকে যতটা সম্ভব বেশি অর্থ দিতে প্রতারিত করা, কিন্তু পদ্ধতি খুবই ভিন্ন হতে পারে।

CEO Fraud (নির্বাহী সেজে প্রতারণা)

এটি BEC-এর সবচেয়ে পরিচিত রূপ। একজন আক্রমণকারী কোনো জ্যেষ্ঠ নির্বাহী, সাধারণত CEO বা CFO, সেজে ফাইন্যান্স বিভাগের কাউকে অর্থ স্থানান্তরের জন্য চাপ দেয়। এটি কাজ করে ক্ষমতার ভারসাম্যের কারণে। বস যখন কিছু চান, বেশিরভাগ মানুষ থেমে জিজ্ঞেস করে না কেন। এর সঙ্গে যদি একটি বিশ্বাসযোগ্য পটভূমির গল্পও যোগ হয়, তবে কাউকে দ্বিতীয়বার না ভেবেই কাজ করতে বাধ্য করার জন্য সেটাই যথেষ্ট।

Vendor email compromise

আক্রমণকারীরা কোম্পানির ভেতরের কারও সেজে থাকার বদলে কোম্পানির বাইরের সম্পর্কগুলোকে লক্ষ্য করে। তারা বিশ্বস্ত সরবরাহকারী ও ভেন্ডরদের লক্ষ্য করে, চলমান ইমেইল কথোপকথনে ঢুকে পড়ে এবং আসল পেমেন্ট তথ্যের জায়গায় নিজেদের তথ্য বসিয়ে দেয়। ভুক্তভোগীর দিক থেকে এটি এমনই দেখায় যেন বহু বছর ধরে কাজ করা কোনো সরবরাহকারীর কাছ থেকে নিয়মিত ইনভয়েস আপডেট এসেছে।

অ্যাকাউন্ট দখল

এটি সবচেয়ে বিপজ্জনক ধরন, কারণ এতে কোনো স্পুফিং জড়িত নেই। আক্রমণকারী আসল অ্যাকাউন্টই ব্যবহার করছে। ইমেইলটি আসে একটি আসল ঠিকানা থেকে এবং সঠিক সুর ব্যবহার করে। বার্তাটি পুরোপুরি স্বাভাবিক দেখায়, কারণ প্রযুক্তিগতভাবে সেটি স্বাভাবিকই।

Payroll Diversion

এটি কোম্পানির অর্থকে লক্ষ্য করে না। বরং এটি কর্মীদের লক্ষ্য করে। আক্রমণকারীরা HR বা কোনো কর্মী সেজে payroll আপডেটের অনুরোধ করে, এবং নীরবে বেতন এমন একটি অ্যাকাউন্টে ঘুরিয়ে দেয় যা তাদের নিয়ন্ত্রণে থাকে। 

ভুক্তভোগী বিষয়টি জানতে পারে বেতন দেওয়ার দিন, এবং অঙ্কগুলো ছোট হওয়ায় ও অনুরোধটি স্বাভাবিক দেখায় বলে এটি খুব কমই প্রতারণা সতর্কতা চালু করে। এটি BEC-এর ধীর সংস্করণ, কিন্তু যথেষ্ট কর্মীকে আঘাত করলে ক্ষতির পরিমাণ দ্রুত বেড়ে যায়।

BEC বনাম Phishing – পার্থক্য কী?

Phishing ইমেইল অনেক দিন ধরেই আছে, এবং বেশিরভাগ মানুষ জানে এগুলো দেখতে কেমন। এটাই সেই ইমেইল যা আপনাকে বলে যে আপনি পুরস্কার জিতেছেন, অথবা কোনো নাইজেরিয়ান রাজপুত্র আপনার সাহায্য চায়। এগুলো একসঙ্গে অনেকের কাছে পাঠানো হয় এবং কাউকে অসতর্ক অবস্থায় ধরতে সংখ্যার ওপর নির্ভর করে।

যেখানে phishing হলো জাল, সেখানে BEC হলো স্নাইপার। আক্রমণকারীরা একটি কোম্পানি, কখনও কখনও একটি নির্দিষ্ট ব্যক্তিকে নিয়ে সপ্তাহের পর সপ্তাহ গবেষণা করে। ইমেইলটি যখন এসে পৌঁছায়, তখন এটি এমন দেখায় যেন পরিচিত কারও কাছ থেকে মঙ্গলবার সকালের একটি সাধারণ বার্তা।

Phishing সাধারণত আপনার লগইন তথ্যের পেছনে লাগে, কিন্তু BEC সেই ধাপটি পুরোপুরি এড়িয়ে সরাসরি অর্থ বা ডেটার দিকে যায়।

কীভাবে business email compromise আক্রমণ শনাক্ত করবেন

BEC আক্রমণগুলোকে স্বাভাবিক দেখানোর জন্যই তৈরি করা হয়। কিন্তু আপনি যদি কী খুঁজতে হবে জানেন, তবে লক্ষণগুলো আছে।

  • তাড়াহুড়ো— এমন একটি ইমেইল যা আপনাকে দ্রুত অর্থ স্থানান্তর করতে চাপ দেয়, থেমে যাচাই করার কোনো সুযোগ না দিয়ে।

  • হঠাৎ পরিবর্তন — কোনো সরবরাহকারী বা সহকর্মী হঠাৎ করেই কোনো পূর্বাভাস ছাড়াই তাদের পেমেন্ট তথ্য আপডেট করেছে।

  • প্রায়-সঠিক ঠিকানা — প্রেরকের ইমেইলটি আসলটির থেকে মাত্র একটি অক্ষর ভিন্ন।

  • সুরটা ঠিক মিলছে না— কিছু একটা অস্বাভাবিক লাগে, খুব বেশি আনুষ্ঠানিক, খুব বেশি অনানুষ্ঠানিক, বা অদ্ভুতভাবে গোপনীয়।

  • হঠাৎ আসা অনুরোধ — আপনাকে এমন কিছু করতে বলা হচ্ছে যা সাধারণত অন্য কোনো মাধ্যমে করা হতো।

কীভাবে business email compromise আক্রমণ প্রতিরোধ করবেন

এই আক্রমণগুলো কীভাবে কাজ করে তা জানা যুদ্ধের অর্ধেক। বাকি অর্ধেক হলো নিশ্চিত করা যে আপনার ব্যবসা সহজ লক্ষ্য নয়।

ফোন তুলে নিন

যদি কোনো ইমেইল আপনাকে অর্থ স্থানান্তর করতে বা পেমেন্টের তথ্য আপডেট করতে বলে, তবে তার জবাব দেবেন না। ইমেইলে দেওয়া নম্বর নয়, আপনার কাছে আগে থেকেই থাকা নম্বর ব্যবহার করে সরাসরি সেই ব্যক্তিকে ফোন করুন। এতে ত্রিশ সেকেন্ড লাগে, আর আপনি যা করতে পারেন তার মধ্যে এটিই সবচেয়ে কার্যকর।

two-factor authentication চালু করুন

যদি কোনো আক্রমণকারী কারও লগইন তথ্য পেয়ে যায়, 2FA একটি সম্পূর্ণ ইনবক্স দখল ঠেকাতে পারে। এটি সবকিছু থামাতে পারবে না, কিন্তু অ্যাকাউন্ট compromise করা উল্লেখযোগ্যভাবে কঠিন করে তোলে।

আপনার টিমকে শেখান ভালোটা দেখতে কেমন

BEC কী, এটি কীভাবে কাজ করে, এবং সতর্কতার লক্ষণগুলো কেমন দেখায়—এসব বিষয়ে নিয়মিত প্রশিক্ষণ আপনার কর্মীদের প্রতিরক্ষার একটি সারিতে পরিণত করতে পারে।

আপনার টুলগুলোকে কিছু কঠিন কাজ করতে দিন

Spam filter এবং domain authentication টুল যেমন SPF, DKIM, and DMARC আপনার টিমের কাছে পৌঁছানোর আগেই BEC প্রচেষ্টা ফিল্টার করে দিতে পারে। AI-ভিত্তিক শনাক্তকরণ আরও এক ধাপ এগিয়ে যায়। এটি আপনার প্রতিষ্ঠানের ভেতরে স্বাভাবিক ইমেইল আচরণ কেমন তা শিখে এবং সন্দেহজনক কিছু হলে তা চিহ্নিত করে।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

Business email compromise হলো এমন একটি পরিস্থিতি, যখন কোনো অপরাধী ইমেইলের মাধ্যমে আপনার বিশ্বাসভাজন কারও সেজে আপনাকে অর্থ পাঠাতে বা সংবেদনশীল তথ্য শেয়ার করতে প্রতারিত করে। আক্রমণকারীরা এমন একটি বিশ্বাসযোগ্য ইমেইল পাঠায় যা কোম্পানির ইমেইলের সুর অনুকরণ করে এবং এমনকি কোম্পানির ইমেইল ঠিকানা থেকেও আসে।

এগুলো সম্পর্কিত, কিন্তু এক নয়। Phishing বড় পরিসরে জাল ফেলে, যত বেশি সম্ভব মানুষের কাছে সাধারণ ধরনের ইমেইল পাঠায়। BEC আক্রমণ লক্ষ্যভিত্তিক। আক্রমণকারীরা একটি নির্দিষ্ট কোম্পানি, একটি নির্দিষ্ট ব্যক্তি, এবং একটি নির্দিষ্ট সময় নিয়ে গবেষণা করে। ফলাফল হয় অনেক বেশি বিশ্বাসযোগ্য এবং অনেক বেশি ব্যয়বহুল।

বেশিরভাগ business email compromise প্রতারণা গবেষণা দিয়ে শুরু হয়। আক্রমণকারীরা একটি কোম্পানির কাঠামো ও যোগাযোগ পদ্ধতি অধ্যয়ন করে। যথেষ্ট তথ্য জানার পর তারা হয় একটি বিশ্বস্ত ইমেইল ঠিকানা spoof করে, নয়তো একটি আসল ঠিকানা দখল করে।

CEO fraud। একজন আক্রমণকারী কোনো জ্যেষ্ঠ নির্বাহী সেজে ফাইন্যান্স বিভাগের কাউকে দ্রুত অর্থ স্থানান্তরের জন্য চাপ দেয়। এটি কাজ করে কারণ বেশিরভাগ মানুষ বসের জরুরি অনুরোধ নিয়ে প্রশ্ন তোলে না।

হ্যাঁ। Business email compromise থেকে সুরক্ষা শুরু হয় মানুষ দিয়ে। আপনার টিমকে সতর্কতার লক্ষণ চিনতে, ফোনে পেমেন্ট অনুরোধ যাচাই করতে, এবং 2FA ও DMARC-এর মতো টুল ব্যবহার করে আপনার ইমেইল compromise করা কঠিন করতে প্রশিক্ষণ দিন। কোনো একক ব্যবস্থা পুরোপুরি নির্ভুল নয়, কিন্তু সঠিক সমন্বয় আপনাকে অনেক কঠিন লক্ষ্য বানায়।


প্রস্তাবিত নিবন্ধ

আপনার চিন্তাভাবনা শেয়ার করুন

১০টির বেশি অক্ষর প্রয়োজন।
সর্বজনীন প্রদর্শনের জন্য আপনার পরিচয়।
আপনার ইমেল ঠিকানা প্রদান ঐচ্ছিক। এটি তৃতীয় পক্ষের সাথে ভাগ করা হবে না।

আমাদের ব্লগ উন্নত করতে সাহায্য করুন

দ্রুত দুই মিনিটের জরিপে আপনার মতামত শেয়ার করুন।

একটি বৈধ ইমেইল প্রয়োজন