‘জীবনে আর কাজ করে খেতে হবে না’, বিবিসি সাংবাদিককে যে অফার দিলো হ্যাকার
ব্রিটিশ সংবাদমাধ্যম বিবিসি হ্যাক করার চেষ্টা করেছে এক একটি সংঘবদ্ধ হ্যাকার গ্রুপ। আর হ্যাক করতে বিবিসির প্রযুক্তিবিষয়ক প্রতিবেদক জো টিডিকে লক্ষ্য করে তারা। তাকে অফার দেওয়া হয় যদি বিবিসি হ্যাক করতে সহায়তা করেন তাহলে তাকে এত পরিমাণ অর্থ দেওয়া হবে যে তাকে আর জীবনে কাজ করে খেতে হবে না। মূলত বিবিসি হ্যাক করে মুক্তিপণ আদায়ের লক্ষ্য ছিল হ্যাকারদের।
নিজের সঙ্গে ঘটা এই ঘটনার বিস্তারিত জানিয়েছেন জো টিডি। যা প্রতিবেদন আকারে প্রকাশ করেছে বিবিসি। প্রতিবেদনটি নিচে হুবহু তুলে ধরা হলো—
‘সাইবার অপরাধ হলো একটি অন্ধকার জগত। এখানকার অনেক কিছুই ছায়ার অন্তরালে থাকে। যারমধ্যে ‘ইনসাইডার থ্রেট’ একটি। এ বিষয়ে অভিজ্ঞতা আছে এমন মানুষের সংখ্যা খুবই কম। আর এ নিয়ে কেউ সহজে মুখ খুলতেও চায় না।
কিন্তু কিছুদিন আগে একটি অপরাধী চক্র যখন আমাকে সরাসরি প্রস্তাব দেয়, তখন হ্যাকাররা কীভাবে প্রতিষ্ঠানের ভেতরের কর্মীদের ব্যবহার করে, সেই অভিজ্ঞতা আমার হয়।
হ্যাকারদের প্রথম বার্তাটি ছিল, “যদি আপনার আগ্রহ থাকে, তবে বিবিসি হ্যাক করতে আপনার কম্পিউটার ব্যবহারের সুযোগ দিলে মুক্তিপণের ১৫% আমরা আপনাকে দিতে পারি।”
জুলাই মাসে ‘সিগন্যাল’ নামের গোপন চ্যাট অ্যাপে ‘সিন্ডিকেট’ নামে এক ব্যক্তি হঠাৎ আমাকে এই বার্তাটি পাঠায়। লোকটাকে আমি চিনতাম না, কিন্তু কী নিয়ে বার্তা, তা এক মুহূর্তেই বুঝে গেলাম।
আমাকে লোভ দেখানো হচ্ছিল— আমি যদি সাইবার অপরাধীদের আমার ল্যাপটপের মাধ্যমে বিবিসির সিস্টেমে ঢুকতে সাহায্য করি, তবে আমাকে একটা বড় অঙ্কের টাকার ভাগ দেওয়া হবে। তারা তথ্য চুরি করবে বা ক্ষতিকারক প্রোগ্রাম ঢুকিয়ে আমার প্রতিষ্ঠানকে জিম্মি করবে, আর আমি চুপিসারে ভাগটা নেব। এমন ঘটনা আগে শুনেছি বটে।
আসলে, এই অপ্রত্যাশিত বার্তা আসার মাত্র কয়েক দিন আগে ব্রাজিলে খবর এসেছিল যে, এক তথ্যপ্রযুক্তি কর্মীকে হ্যাকারদের কাছে লগইন তথ্য বিক্রির দায়ে গ্রেপ্তার করা হয়েছে। পুলিশ জানিয়েছিল, তার এই কাজের ফলে একটি ব্যাংকের প্রায় ১০০ মিলিয়ন ডলার ক্ষতি হয়েছিল।
বিবিসির একজন জ্যেষ্ঠ সম্পাদকের পরামর্শ নিয়ে আমি ‘সিন্ডিকেট’-এর সঙ্গে কথা চালিয়ে যাওয়ার সিদ্ধান্ত নিলাম। বিশ্বজুড়ে সাইবার হামলা যখন মানুষের জীবনযাত্রা বিপর্যস্ত করছে, তখন এই অপরাধীরা তাদের বিশ্বাসঘাতক কর্মীদের সঙ্গে কীভাবে রফা করে, তা জানার আগ্রহ ছিল আমার।
আমি 'সিন'-কে (সে কথোপকথনের মাঝে নাম বদল করে সিন্ডিকেট থেকে সিন করে) জানালাম যে আমি হয়তো আগ্রহী, তবে পুরো প্রক্রিয়াটা কেমন হবে তা জানতে চাই।
তারা ব্যাখ্যা করল যে আমি আমার লগইন তথ্য আর নিরাপত্তা কোড দিলেই তারা বিবিসি হ্যাক করবে এবং বিটকয়েনের মাধ্যমে মুক্তিপণ দাবি করে ব্ল্যাকমেইল করবে। আর সেই মুক্তিপণের একটা অংশ আমি পাব।
এরপর তারা তাদের প্রস্তাব আরও লোভনীয় করে তুলল।
“বিবিসি আপনাকে ঠিক কত বেতন দেয়, আমরা জানি না। কিন্তু যদি আপনি চূড়ান্ত মুক্তিপণের ২৫% পান? আমরা তো মুক্তিপণ হিসেবে বিবিসির মোট আয়ের ১% দাবি করব। তাহলে আপনাকে আর জীবনে কোনো দিন কাজ করতে হবে না।”
‘সিন’-এর ধারণা ছিল, তারা সফলভাবে ঢুকতে পারলে কোটি কোটি ডলার মুক্তিপণ দাবি করতে পারবে।
বিবিসি আনুষ্ঠানিকভাবে মুক্তিপণ দেবে কি না, তা নিয়ে কিছু জানায়নি, তবে জাতীয় অপরাধ সংস্থার পরামর্শ হলো— কখনোই মুক্তিপণ দেওয়া উচিত নয়। তবুও হ্যাকাররা তাদের প্রস্তাব দিতেই থাকল।
‘সিন’ আমাকে আশ্বাস দিল যে আমি কোটিপতি হয়ে যেতে পারি। তারা জোর দিয়ে বলল, “আপনাকে কেউ যেন খুঁজে না পায়, সেজন্য আমরা এই চ্যাট ডিলিট করে দেব।”
এই হ্যাকার দাবি করল, তারা আগের আক্রমণগুলোতে ভেতরের কর্মীদের সাথে চুক্তি করে খুব সফল হয়েছে। উদাহরণ হিসেবে এই বছর হ্যাক হওয়া দুটি প্রতিষ্ঠানের নাম বলল—একটি যুক্তরাজ্যের স্বাস্থ্যসেবা সংস্থা এবং একটি মার্কিন জরুরি পরিষেবা প্রদানকারী সংস্থা। ‘সিন’-এর কথায়, “কতজন কর্মী আমাদের প্রবেশাধিকার দিতে রাজি হয়, শুনলে আপনি অবাক হবেন।”
‘সিন’ নিজেকে ‘মেডুসা’ নামক সাইবার অপরাধী দলের একজন ‘যোগাযোগ ব্যবস্থাপক’ হিসেবে পরিচয় দিল। সে দাবি করল, সে পশ্চিমা এবং এই দলের একমাত্র ইংরেজি জানা লোক।
‘মেডুসা’ হলো এক ধরনের ‘র্যানসমওয়্যার-অ্যাস-এ-সার্ভিস’ অপারেশন, যার প্ল্যাটফর্ম ব্যবহার করে যেকোনো অপরাধী সংগঠন হ্যাকিং করতে পারে।
সাইবার নিরাপত্তা প্রতিষ্ঠান চেকপয়েন্টের গবেষণা অনুযায়ী, ‘মেডুসা’-র প্রধান পরিচালকরা রাশিয়া বা তার সহযোগী কোনো রাষ্ট্র থেকে কাজ করে বলে ধারণা করা হয়। “তারা রাশিয়া বা তার আশপাশের স্বাধীন রাষ্ট্রগুলোর প্রতিষ্ঠানগুলোকে সাধারণত নিশানা করে না এবং তাদের কার্যক্রম বেশিরভাগই রুশ ভাষার ডার্ক ওয়েব ফোরামে দেখা যায়।”
‘সিন’ গর্ব করে আমাকে ‘মেডুসা’ নিয়ে মার্কিন সরকারের দেওয়া একটি জন সতর্কতার লিঙ্ক পাঠাল, যা গত মার্চ মাসে প্রকাশিত হয়েছিল। মার্কিন সাইবার কর্তৃপক্ষ জানায়, গত চার বছরে এই দলটি “৩০০টিরও বেশি প্রতিষ্ঠান” হ্যাক করেছে।
‘সিন’ জোর দিয়ে বোঝাল যে আমার প্রতিষ্ঠানের লগইন ব্যবস্থা মোটা অঙ্কের টাকার বিনিময়ে কেনার ব্যাপারে তারা খুবই আন্তরিক।
তবে আমি ঠিক জানতাম না কার সাথে কথা বলছি। তাই ‘সিন’-কে প্রমাণ দিতে বললাম। আমি বললাম, “হয়তো তোমরা কিছু ছেলেপেলেরা মজা করছো, অথবা কেউ আমাকে ফাঁদে ফেলার চেষ্টা করছে।”
জবাবে তারা ‘মেডুসা’র ডার্কনেট ঠিকানা পাঠাল এবং তাদের টক্সের (সাইবার অপরাধীদের পছন্দের একটি সুরক্ষিত মেসেজিং প্ল্যাটফর্ম) মাধ্যমে যোগাযোগ করতে বলল।
‘সিন’ খুব অধৈর্য হয়ে পড়ছিল এবং আমাকে দ্রুত জবাব দিতে চাপ বাড়াতে থাকল।
এরপর তারা আমাকে একটি বিশেষ সাইবার-অপরাধ ফোরামে ‘মেডুসা’র কর্মী নিয়োগের পৃষ্ঠার লিঙ্ক পাঠিয়ে একটি ০.৫ বিটকয়েন (প্রায় ৫৫ হাজার ডলার) জমা রাখার প্রক্রিয়া শুরু করতে বলল। এর মানে ছিল, আমি লগইন তথ্য দিলেই যে ন্যূনতম এই টাকাটা পাব, এটা তার নিশ্চয়তা।
“আমরা মিথ্যা বলছি না বা তামাশা করছি না – প্রচার বা অন্য কোনো উদ্দেশ্য আমাদের নেই, আমরা শুধু টাকার জন্য কাজ করি। আমাদের একজন প্রধান ব্যবস্থাপক আপনাকে যোগাযোগ করতে বলেছেন।”— সিন বলে আমাকে।
তারা নাকি আমাকে বেছে নিয়েছে, কারণ তারা ধরে নিয়েছিল যে আমি প্রযুক্তিতে ভালো এবং বিবিসি-র তথ্যপ্রযুক্তি সিস্টেমে আমার প্রবেশাধিকার আছে (যা আসলে আমার নেই)। আমি সাইবার প্রতিবেদক হওয়া সত্ত্বেও তারা আমাকে আইটি কর্মী ভেবেছে কি না, সে বিষয়ে আমি নিশ্চিত নই।
তারা বিবিসির নেটওয়ার্ক সম্পর্কে আমাকে অনেক প্রশ্ন করল, যা জানলেও আমি উত্তর দিতাম না। এরপর তারা কিছু জটিল কম্পিউটার কোড পাঠিয়ে আমার অফিসের ল্যাপটপে একটি কমান্ড হিসেবে সেটি চালিয়ে কী ফল আসে, তা জানাতে বলল। তারা জানতে চাইছিল যে আমার কী ধরনের অভ্যন্তরীণ প্রবেশাধিকার আছে, যাতে ভেতরে ঢোকার পর তারা পরবর্তী পদক্ষেপের পরিকল্পনা করতে পারে।
এই পর্যায়ে আমি ‘সিন’ এর সাথে তিন দিন ধরে কথা বলছিলাম এবং আমি বুঝলাম, যথেষ্ট হয়েছে। এরপর আমি সিদ্ধান্ত নিলাম আমার বিবিসির তথ্য নিরাপত্তা বিশেষজ্ঞদের সঙ্গে কথা বলা দরকার।
সেটা ছিল রোববার সকাল। তাই আমার পরিকল্পনা ছিল পরের দিন সকালে টিমের সাথে কথা বলার।
আমি সময়ক্ষেপণ করতে শুরু করলাম। কিন্তু ‘সিন’ বিরক্ত হলো।
হ্যাকার বলল, “কাজটা কবে করতে পারবেন? আমার ধৈর্য্য কম।”
তারা আরও চাপ দিয়ে বলল, “আমার মনে হয় আপনি বাহামার সৈকতে বিলাসী জীবন চান না?”
তারা আমাকে সোমবার মধ্যরাত পর্যন্ত সময় দিল। এরপর তারা আরও ধৈর্য হারাল।
আমার ফোনে একের পর এক দুই-ধাপের যাচাইকরণের নোটিফিকেশন আসতে শুরু করল। পপ-আপগুলো আসছিল বিবিসির নিরাপত্তা অ্যাপ থেকে, যা জানতে চাইছিল—আমি আমার অ্যাকাউন্টের পাসওয়ার্ড রিসেট করার চেষ্টা করছি কি না।
আমি যখন ফোনটা হাতে ধরে ছিলাম, প্রতি মিনিটে স্ক্রিন নতুন নতুন রিকোয়েস্টে ভরে উঠছিল।
আমি বুঝলাম, এটা হ্যাকারদের কৌশল—যা ‘এমএফএ বোম্বিং’ নামে পরিচিত। হ্যাকাররা কোনো ডিভাইস থেকে পাসওয়ার্ড রিসেট বা লগইন করার চেষ্টা করে বারবার পপ-আপ পাঠিয়ে দেয়। অনেক সময় ভুল করে, নয়তো পপ-আপগুলো সরাতে গিয়ে ‘অনুমতি দিন’-এ চাপ দিয়ে ফেলেন ভিক্টিম। ২০২২ সালে উবারকে এভাবেই হ্যাক করা হয়েছিল।
এমন পরিস্থিতিতে পড়াটা সত্যিই অস্বস্তিকর ছিল।
অপরাধীরা কথোপকথন আমার চ্যাট অ্যাপ্লিকেশন থেকে আমার ফোনের মূল স্ক্রিনে নিয়ে এসেছিল। মনে হচ্ছিল, যেন অপরাধীরা আমার বাড়ির দরজায় এসে প্রচণ্ড জোরে ধাক্কা দিচ্ছে।
কৌশল পরিবর্তনে আমি হতভম্ব হয়ে গেলাম, কিন্তু ভুল করেও যদি ‘অনুমতি দিন’-এ ক্লিক হয়ে যায়, সেই ভয়ে আমি তাদের চ্যাট খোলার সাহস পেলাম না। যদি ক্লিক হতো, তবে হ্যাকাররা মুহূর্তেই আমার বিবিসি অ্যাকাউন্টগুলোর দখল নিত।
নিরাপত্তা ব্যবস্থা এটিকে ক্ষতিকর হিসেবে ধরত না, কারণ এটি আমার কাছ থেকে আসা একটি সাধারণ অনুরোধের মতোই দেখাত। এরপর হ্যাকাররা বিবিসির গুরুত্বপূর্ণ বা সংবেদনশীল সিস্টেমগুলোতে প্রবেশের পথ খুঁজতে শুরু করত।
আমি একজন প্রতিবেদক, আইটি কর্মী নই। তাই বিবিসি সিস্টেমে আমার উচ্চ প্রবেশাধিকার না থাকলেও বিষয়টি উদ্বেগজনক ছিল এবং এর ফলে আমার ফোন কার্যত ব্যবহারের অযোগ্য হয়ে পড়েছিল।
আমি বিবিসির তথ্য নিরাপত্তা টিমের সাথে যোগাযোগ করলাম এবং সতর্কতা হিসেবে তারা আমাকে বিবিসি সিস্টেম থেকে পুরোপুরি বিচ্ছিন্ন করার সিদ্ধান্ত নিল। কোনো ই-মেইল নয়, কোনো অভ্যন্তরীণ নেটওয়ার্ক নয়, কোনো সুযোগ-সুবিধাই থাকল না।
পরে সেই সন্ধ্যায় হ্যাকারদের কাছ থেকে অদ্ভুত শান্ত একটি বার্তা এলো এই লিখে “দুঃখিত। আমরা শুধু আপনার বিবিসি লগইন পাতাটি পরীক্ষা করছিলাম এবং এর ফলে আপনার কোনো সমস্যা হয়ে থাকলে আমরা অত্যন্ত ক্ষমাপ্রার্থী।”
আমি তাদের জানালাম যে এখন আমি বিবিসি সিস্টেম থেকে পুরোপুরি বিচ্ছিন্ন হয়ে গেছি এবং এতে আমি বিরক্ত। ‘সিন’ জোর দিয়ে বলল যে আমি চাইলে তাদের প্রস্তাবটা এখনো গ্রহণ করতে পারি। কিন্তু আমি কয়েক দিন উত্তর না দেওয়ায়, তারা তাদের ‘সিগন্যাল’ অ্যাকাউন্টটি মুছে ফেলে এবং উধাও হয়ে যায়।
অবশেষে, আমার অ্যাকাউন্টে বাড়তি সুরক্ষা যোগ করার পর আমি আবার বিবিসি সিস্টেমে ফিরতে পারলাম। আর এর সাথে অভ্যন্তরীণ হুমকি আক্রমণের শিকার হওয়ার অভিজ্ঞতাও লাভ করলাম।
সাইবার অপরাধীদের ক্রমাগত পরিবর্তিত কৌশলগুলোর এটি একটি অভিজ্ঞতা, যা প্রতিষ্ঠানগুলোর জন্য এক বিশাল ঝুঁকির দিক তুলে ধরল—এমন একটি ঝুঁকি, যা আমি নিজে এর শিকার না হওয়া পর্যন্ত পুরোপুরি উপলব্ধি করতে পারিনি।
সূত্র: ঢাকা পোষ্ট
