জিমেইলব্যবহারকারীগণ, অনুগ্রহ করে লক্ষ্য করুন! সম্প্রতি ফাইল অ্যাটাচমেন্ট ডাউনলোডের ক্ষেত্রে একটি গুরুতর দুর্বলতা এবং এক নতুন ধরনের ফিশিং স্ক্যাম উন্মোচিত হয়েছে।
অ্যাটাচমেন্ট ডাউনলোড করার সময় যদি আপনি "এই শব্দগুলো" দেখতে পান, তাহলে সেগুলো বিশ্বাস করবেন না! একবার সেগুলোতে ক্লিক করলেই আপনার সিস্টেম তাৎক্ষণিকভাবে ঝুঁকিপূর্ণ হয়ে যাবে।
গতকাল খবর দেখার সময় হঠাৎ বেশ চাঞ্চল্যকর একটি শিরোনাম চোখে পড়ল—জিমেইলে এমন একটি নিরাপত্তা ত্রুটি আবিষ্কৃত হয়েছে যা উদ্বেগজনক।
শিরোনামে থাকা ওই শব্দগুলো আমি সাথে সাথেই চিনতে পেরেছিলাম:জিমেইল স্ক্যানের মাধ্যমে যাচাই করা হয়েছে।আমার মনে একটা বিপদ সংকেত বেজে উঠল, এবং আমি তৎক্ষণাৎ জানতে চাইলাম কী ঘটছে।
দুর্বলতাটি ঠিক কী?
গবেষক বেন ইলকাশির প্রদর্শনীমূলক পরীক্ষা: তিনি ড্রাইভে একটি পরিচিত ভাইরাস ফাইল আপলোড করে একটি লিঙ্কের মাধ্যমে সেটি পাঠান। এরপরও জিমেইলে 'নিরাপত্তা যাচাইয়ে উত্তীর্ণ' দেখানো হয়।
দুর্বলতাটি পরীক্ষা করার জন্য, সে ইচ্ছাকৃতভাবে একটি ক্ষতিকারক ফাইল গুগল ড্রাইভে আপলোড করে, যেটি জিমেইল দ্বারা ইতিমধ্যেই ভাইরাস হিসেবে চিহ্নিত ছিল এবং সাধারণত সিস্টেম দ্বারা ব্লক করা হতো। এরপর সে ফাইলটি একটি ড্রাইভ লিঙ্কের মাধ্যমে অন্যান্য অ্যাকাউন্টে পাঠিয়ে দেয়।
ফলাফলে দেখা গেল যে, জিমেইল শুধু ইমেইলটি ব্লকই করেনি, বরং ফাইলটি "নিরাপত্তা যাচাইয়ে উত্তীর্ণ হয়েছে" বলেও প্রদর্শন করেছে, যা মানুষকে এই ভ্রান্ত ধারণা দিয়েছে যে আদৌ কোনো সমস্যা ছিল না!
⚠️ সবচেয়ে মারাত্মক ত্রুটি: সতর্কবার্তাগুলো হাওয়ায় হাওয়া হয়ে যায়!
প্রতিবেদন অনুসারে, কোনো অ্যাটাচমেন্টের নিরাপত্তা যাচাই করতে না পারলে জিমেইলের সাধারণত একটি সতর্কীকরণ বার্তা দেখানোর কথা: "আমরা এই ফাইলটি স্ক্যান করতে পারছি না। নিজ দায়িত্বে ডাউনলোড করুন।" তবে, সর্বশেষ পরীক্ষায় এই গুরুত্বপূর্ণ সতর্কবার্তাটি পুরোপুরি উধাও হয়ে গেছে!
অন্য কথায়, ব্যবহারকারীরা 'স্ক্যান করা হয়েছে' শব্দটি দেখলে অসতর্ক হয়ে পড়ার সম্ভাবনা থাকে। ফলে, ডাউনলোড করার জন্য একটি সাধারণ ক্লিকেই সঙ্গে সঙ্গে ভাইরাস সংক্রমণ বা এমনকি ম্যালওয়্যারের সরাসরি অনুপ্রবেশ ঘটতে পারে।
✅ গুগল আনুষ্ঠানিকভাবে এই দুর্বলতার অস্তিত্ব নিশ্চিত করেছে!
গুগল প্রকাশ্যে এই দুর্বলতার অস্তিত্ব স্বীকার করেছে এবং জোর দিয়ে বলেছে যে, তারা বর্তমানে এর সমাধান বের করতে নিরলসভাবে কাজ করছে। সংস্থাটি আরও পুনর্ব্যক্ত করেছে যে, গুগল ওয়ার্কস্পেস ব্যবহারকারীদের নিরাপত্তা রক্ষা করাই তাদের সর্বোচ্চ অগ্রাধিকার।
সাধারণত, জিমেইল এবং গুগল ড্রাইভ ক্ষতিকারক এক্সিকিউটেবল প্রোগ্রামসহ বেশিরভাগ বিপজ্জনক ফাইল স্বয়ংক্রিয়ভাবে ব্লক করতে পারে।
এই ঘটনাটি সকল ব্যবহারকারীর জন্য একটি কঠোর সতর্কবার্তা: কোনো ইমেইলে 'সিকিউরিটি স্ক্যান পাস করেছে' দেখালেও, কখনোই অসতর্ক হবেন না! অপরিচিত প্রেরকের কাছ থেকে আসা গুগল ড্রাইভ লিঙ্কগুলো বিশেষভাবে ঝুঁকিপূর্ণ; কখনোই সেগুলোতে ক্লিক বা অ্যাটাচমেন্ট ডাউনলোড করবেন না। এমনটা করলে শুধু যে অ্যাকাউন্টের তথ্য ফাঁস হতে পারে তাই নয়, আপনার ডিভাইসটি ম্যালওয়্যারের লক্ষ্যবস্তুতেও পরিণত হতে পারে।
আমি নিজেও একবার একই রকম এক বিভ্রমে ভয় পেয়েছিলাম। ঘটনাটা গত মাসের, যখন কেউ আমাকে "প্রজেক্ট রিপোর্ট আপলোড করা হয়েছে" শিরোনামে একটি ইমেল এবং সাথে একটি ড্রাইভ লিঙ্ক অ্যাটাচমেন্ট হিসেবে পাঠিয়েছিল।
আমি সবুজ টিক চিহ্নটি দেখে ডাউনলোড করতে ক্লিক করেছিলাম, কিন্তু যখন ফাইলটি খুললাম, দেখা গেল এটি একটি এনক্রিপ্টেড এক্সিকিউটেবল ফাইল। সিস্টেমটি সঙ্গে সঙ্গে একটি সতর্কবার্তা দেখাল, কিন্তু সৌভাগ্যবশত আমার অ্যান্টিভাইরাস সফটওয়্যার ইনস্টল করা ছিল।软件সঙ্গে সঙ্গে তা আটক করা হলো। সেই মুহূর্তে আমি ‘ভাসা ভাসা নিরাপত্তার’ বিপদটা সত্যি উপলব্ধি করলাম—সামান্য অসাবধানতাই পুরো মেশিনটাকে হ্যাকারদের কাছে অরক্ষিত করে তুলতে পারে।
এই নতুন ধরনের আক্রমণের মোকাবেলায় আমাদের প্রতিরক্ষা ব্যবস্থা আসলে বেশ সহজ-সরল:
- অপরিচিত ড্রাইভ লিঙ্কে ক্লিক করবেন না: প্রেরক যদি পরিচিত সহকর্মী বা বন্ধু না হন, তবে প্রথমে চ্যাটে নিশ্চিত হয়ে নিন, অথবা সরাসরি কোম্পানির অভ্যন্তরীণ সিস্টেমে ফাইলটি অনুসন্ধান করুন।
- ম্যানুয়ালি ফাইলের তথ্য যাচাই করুন: ড্রাইভ পেজে রাইট-ক্লিক করে → ডিটেইলস-এ যান, ফাইলের সাইজ, তৈরির সময়, মালিক ইত্যাদি পর্যবেক্ষণ করুন এবং কোনো অস্বাভাবিকতার দিকে বিশেষভাবে মনোযোগ দিন।
- দ্বি-পদক্ষেপ যাচাইকরণ চালু করুন: কোনো হ্যাকার আপনার অ্যাকাউন্টের পাসওয়ার্ড পেয়ে গেলেও, দ্বিতীয় স্তরের যাচাইকরণ ছাড়া তাদের পক্ষে সরাসরি আপনার গুগল অ্যাকাউন্টে লগ ইন করা খুব কঠিন হবে।
- নিরাপত্তা সেটিংস হালনাগাদ রাখুন: গুগল অ্যাডমিন কনসোলে, "সমস্ত বাহ্যিক লিঙ্কের জন্য উন্নত হুমকি সুরক্ষা" বিকল্পটি সক্রিয় করুন। এর ফলে গুগল আরও পুঙ্খানুপুঙ্খ স্ক্যান করতে পারবে, এমনকি ড্রাইভ লিঙ্কের জন্যও।
- নিয়মিত আপনার নিরাপত্তা লগ পরীক্ষা করুন: আপনার গুগল অ্যাকাউন্টে লগ ইন করার পর, সাম্প্রতিক লগইন রেকর্ড এবং অস্বাভাবিক কার্যকলাপ দেখতে 'সিকিউরিটি চেক' পৃষ্ঠাটি খুলুন। যদি কোনো অস্বাভাবিক কিছু খুঁজে পান, তাহলে অবিলম্বে আপনার পাসওয়ার্ড পরিবর্তন করুন।
আরেকটি উল্লেখযোগ্য বিষয় হলো, এই ধরনের দুর্বলতাগুলো ফাঁস হয়ে যাওয়ার পর হ্যাকাররা প্রায়শই দ্রুত সেগুলোর সুযোগ নেয়, বিশেষ করে প্রাতিষ্ঠানিক ব্যবহারকারীদের লক্ষ্য করে চালানো ফিশিং আক্রমণে।
অনেক কোম্পানিই ‘শুধুমাত্র অভ্যন্তরীণ ইমেল খোলা’কে একটি আদর্শ কার্যপ্রণালী হিসেবে গ্রহণ করেছে, কিন্তু বহিরাগত অংশীদাররা প্রায়শই ড্রাইভের মাধ্যমে ফাইল শেয়ার করে, তাই ‘সহযোগিতা’ এবং ‘নিরাপত্তা’-র মধ্যে একটি ভারসাম্য খুঁজে বের করা প্রয়োজন।
আমার পরামর্শ হলো: যদি আপনাকে এক্সটার্নাল ড্রাইভ লিঙ্ক গ্রহণ করতেই হয়, তাহলে অপর পক্ষকে ফাইলগুলো সরাসরি কম্প্রেসড ফাইল হিসেবে পাঠাতে বলুন, অথবা কোম্পানির অভ্যন্তরীণ ফাইল ট্রান্সফার সিস্টেম ব্যবহার করুন, যাতে পাবলিক ড্রাইভ লিঙ্ক যতটা সম্ভব এড়ানো যায়।
একেবারে শুরুর সেই ইমেইলটির প্রসঙ্গে ফিরে গেলে, আমি মূলত এটিকে একটি সংক্ষিপ্ত কেস স্টাডি হিসেবে তুলে ধরতে চেয়েছিলাম, কিন্তু এটি নিজেই একটি সতর্কবার্তায় পরিণত হয়েছে।
এখন, আমি এটা লিখছি যাতে আপনি, প্রযুক্তি বিশেষজ্ঞ হোন বা একজন সাধারণ অফিস কর্মী, যখনই ‘নিরাপত্তা যাচাই সফল’ লেখাটি দেখবেন, তখন একটু থেমে নিজেকে প্রশ্ন করবেন, “এটা কি সত্যিই নিরাপদ?”। যদি আপনি অনিশ্চিত থাকেন, তবে সহজে ক্লিক করবেন না।
সবশেষে, আপনার প্রতি একটি ছোট্ট অনুরোধ: আজ সম্প্রতি পাওয়া সমস্ত ড্রাইভ লিঙ্কে কোনো অস্বাভাবিক কিছু আছে কিনা তা পরীক্ষা করুন। যদি কোনো সন্দেহজনক কিছু খুঁজে পান, তাহলে অবিলম্বে চ্যাটের মাধ্যমে প্রেরককে জানান অথবা সরাসরি নিরাপত্তা দলকে বিষয়টি জানান।
এই সতর্কতাকে আপনার দৈনন্দিন অভ্যাসের অংশ করে নিন, এবং সময়ের সাথে সাথে আপনার অ্যাকাউন্ট, আপনার ডিভাইস, এমনকি আপনার কোম্পানির ডেটার নিরাপত্তাও উন্নত হবে।
আপনি যেহেতু এতদূর পড়েছেন, যদি এই নিবন্ধটি আপনার জন্য সহায়ক হয়ে থাকে, তবে অনুগ্রহ করে এটি লাইক ও শেয়ার করুন। যত তাড়াতাড়ি সম্ভব আরও নিরাপত্তা সংক্রান্ত তথ্য এবং প্রযুক্তিগত টিপস পেতে, আমার WeChat অফিসিয়াল অ্যাকাউন্টটি ফলো করতে ভুলবেন না – ফলো করুন ⭐! পড়ার জন্য ধন্যবাদ, আবার দেখা হবে।
হোপ চেন উইলিয়াং ব্লগ ( https://www.chenweiliang.com/ এখানে শেয়ার করা "Gmail Attachment Download Vulnerability? Don't Click on These Words, or You'll Be Completely Hacked!" আর্টিকেলটি আপনার জন্য সহায়ক হতে পারে।
এই নিবন্ধটির লিঙ্ক শেয়ার করতে স্বাগতম:https://www.chenweiliang.com/cwl-34155.html