গত কয়েক মাস নর্টন কম্পিউটার সিকিউরিটি স্যুটের জন্য খুব একটা ভালো ছিল বলে মনে হচ্ছে না। ইতিমধ্যেই আমাদের ছিল দুর্ভাগ্যজনকভাবে ক্রিপ্টোকারেন্সি সফ্টওয়্যারকে এর নিরাপত্তা স্যুটে অন্তর্ভুক্ত করার বিষয়ে জানানো হয়েছে। এখন তারা নর্টন পাসওয়ার্ড ম্যানেজারকে আক্রমণ করে।
একটি পাসওয়ার্ড ম্যানেজার একটি অপরিহার্য কম্পিউটার নিরাপত্তা সরঞ্জাম যেহেতু, আমাদের সেগুলি মনে রাখতে বাধা দেওয়ার মাধ্যমে, এটি আমাদের বিভিন্ন পরিষেবার জন্য আলাদা পাসওয়ার্ড রাখতে দেয়৷ তাদের একজনের জন্য আক্রমণ করা পুলিশের ডিপার্টমেন্টে ভাঙার শামিল।
নর্টনের পাসওয়ার্ড ম্যানেজারে আক্রমণ
NortonLifeLock (যা অ্যাভাস্টের সাথে একত্রিত হয়েছে Gen Digital নামে একটি কোম্পানির অংশ) গত মাসের মাঝামাঝি সময়ে ভারমন্ট জেনারেল অফিসে একটি যোগাযোগ পাঠিয়েছে, যা এটি বর্ণনা করেছে "আমাদের গ্রাহক অ্যাকাউন্টে ব্যর্থ লগইনগুলির একটি অস্বাভাবিক উচ্চ পরিমাণ।"
কোম্পানির মতে:
আমরা নির্ধারণ করেছি যে, 1 ডিসেম্বর, 2022 থেকে শুরু করে, একটি অননুমোদিত তৃতীয় পক্ষ নর্টন গ্রাহক অ্যাকাউন্টে লগ ইন করার চেষ্টা করার জন্য ডার্ক ওয়েবের মতো অন্য উৎস থেকে প্রাপ্ত ব্যবহারকারীর নাম এবং পাসওয়ার্ডের একটি তালিকা ব্যবহার করেছে। আমাদের নিজস্ব সিস্টেম আপস করা হয়নি.
নর্টনের মূল কোম্পানি জেনারেল ডিজিটালের একজন মুখপাত্র যেমন বলেছেন, সবচেয়ে হতাশাজনক পরিস্থিতি হবে 8000টি অ্যাকাউন্টকে একটি কৌশলের মাধ্যমে আপস করা হয়েছে যা "ক্রিডেনশিয়াল স্টাফিং অ্যাটাক" নামে পরিচিত।. জেনারেল ডিজিটাল মাস্টার পাসওয়ার্ড পরিবর্তন করতে এবং অতিরিক্ত নিরাপত্তা ব্যবস্থা বাস্তবায়নের একাধিক ব্যর্থ লগইন প্রচেষ্টার মাধ্যমে অ্যাকাউন্টধারীদের সতর্ক করে 925000 আক্রমণ প্রতিরোধ করেছে বলে গর্ব করে।
একটি শংসাপত্র স্টাফিং আক্রমণ কি?
শংসাপত্রের স্টাফিং আক্রমণে একটি পরিষেবার অন্য পরিষেবার ব্যবহারকারীর নাম এবং পাসওয়ার্ড পরীক্ষা করা হয়। সাইবার অপরাধী অবৈধভাবে একটি পরিষেবা থেকে ব্যবহারকারী এবং পাসওয়ার্ডের তালিকা পায় এবং অন্য পরিষেবাগুলিতে সেগুলি পরীক্ষা করে, সেই ব্যবহারকারীদের অলসতা বা স্মৃতির অভাবের উপর বাজি ধরে যা তাদের প্রতিটি নতুন জায়গার জন্য একটি নতুন অ্যাকাউন্ট তৈরি করতে বাধা দেয়। সাধারণভাবে এই চেকগুলি বট দ্বারা সম্পন্ন করা হয়।
হলিউড দ্বারা আরোপিত বিশ্বাস সত্ত্বেও, সেরা কম্পিউটার অপরাধীরা প্রযুক্তি ব্যবহারকারীদের চেয়ে মনোবিজ্ঞানী হিসাবে বেশি দক্ষ। এই ধরনের আক্রমণ এই জ্ঞানের উপর ভিত্তি করে যে 85% ব্যবহারকারী তাদের পাসওয়ার্ড পুনরায় ব্যবহার করে।
পরিসংখ্যানগত ভাষায়, কার্যকারিতা খুবই কম, 1 অ্যাকাউন্টের মধ্যে 1000টিই লঙ্ঘন হতে পারে। এখন, যদি আমরা এটিকে ওয়েবে লক্ষ লক্ষ ব্যবহারকারীর অ্যাকাউন্ট দিয়ে গুণ করি এবং এই অ্যাকাউন্টগুলির মধ্যে অনেকগুলিতে ক্রেডিট কার্ড নম্বর বা কৌশলগত সাইটগুলিতে অ্যাক্সেসের শংসাপত্রের মতো সংবেদনশীল ডেটা থাকে, তাহলে ক্ষতি অপূরণীয় হতে পারে।
শংসাপত্রের স্টাফিং আক্রমণ থেকে কীভাবে নিজেকে রক্ষা করবেন
প্রথাগত নিরাপত্তা ব্যবস্থা যেমন আইপি ব্লক করা যা একাধিক প্রচেষ্টা ব্যর্থ করে বা অ্যাক্সেস বিলম্বিত করে তা আর কার্যকর নয়। বটগুলি বিভিন্ন ডিভাইস এবং বিভিন্ন অবস্থান থেকে আয় অনুকরণ করে।
এই আক্রমণ প্রতিরোধ করার কিছু উপায় হল:
- দ্বি-পদক্ষেপ প্রমাণীকরণ: এটি একটি ডিভাইস বা অ্যাপ-প্রদত্ত কোড ব্যবহার করে যা প্রমাণ করে যে বৈধ ব্যবহারকারীই লগ ইন করার চেষ্টা করছেন। প্রথম ক্ষেত্রে, ব্যবহারকারীকে তাদের পরিচয় নিশ্চিত করতে পাঠ্য বার্তা বা ইমেলের মাধ্যমে একটি নোটিশ পাঠানো হয়। দ্বিতীয়টিতে, অ্যাপ্লিকেশনটি একটি কোড তৈরি করে (এলোমেলো কারণের উপর ভিত্তি করে) যা আপনি যে পরিষেবাটিতে অ্যাক্সেস করতে চান তার লগইন ফর্মে টাইপ করতে হবে।
- ফায়ারফক্স মনিটর: Es একটি ওয়েব মোজিলা ফাউন্ডেশন থেকে যেটি সতর্ক করে যদি কোনো ইমেল ঠিকানা কোনো অনলাইন ডেটা লঙ্ঘনের অংশ হয়। এই নিবন্ধের শীর্ষে থাকা স্ক্রিনশটটি আমি আমার প্রাথমিক ইমেল ঠিকানা প্রবেশ করা থেকে পেয়েছি।
- পাসওয়ার্ড ম্যানেজার: এটি এই ধরণের আক্রমণের জন্য মৌলিক সুরক্ষা সরঞ্জাম কারণ এটি আপনাকে মুখস্ত না করেই প্রতিটি পরিষেবাতে একটি নতুন বরাদ্দ করতে দেয়৷ এটি একটি ব্রাউজার এক্সটেনশন হিসাবে, আপনার বিতরণের সংগ্রহস্থলে বা আপনার মোবাইল ডিভাইসের অ্যাপ স্টোরে পাওয়া যেতে পারে। অবশ্যই, এটিকে একটি মাস্টার পাসওয়ার্ড দিয়ে সুরক্ষিত করুন যা আপনি আগে ব্যবহার করেননি