করোনা অতিমারির সময় থেকেই সমস্ত গুরুত্বপূর্ণ কাজের বেশিরভাগটাই সারতে হচ্ছে অনলাইনে। ডকুমেন্ট ভেরিফিকেশন থেকে অনলাইন পেমেন্ট, সবকিছুই করা যাচ্ছে মোবাইলে। তবে আপনি কি জানেন এই মোবাইল ব্যবহারের বিষয়কে কেন্দ্র করেই হ্যাকারেরা আবারও নিয়ে এসেছে আরও একটি ভয়ানক ম্যালওয়্যার, যা নিমেষের মধ্যেই চুরি করে নিতে পারে আপনার ব্যাঙ্ক অ্যাকাউন্টের অ্যাক্সেস।
সম্প্রতি কেন্দ্রীয় সংস্থা ‘Indian Computer Emergency Response Team ‘ বা CERT-In নতুন এই অ্যান্ড্রয়েড ম্যালওয়্যার সম্পর্কে গ্রাহকদের সতর্ক করেছেন। দ্রিনিক (Drinik) নামের এই ম্যালওয়্যারটি হাতিয়ে নিতে পারে 27 টিরও বেশি ব্যাঙ্কের ডিটেলস, এমন আশঙ্কা করা হচ্ছে।
দ্রিনিক ম্যালওয়্যার (Drinik Android malware) হল এমন এক ধরণের অ্যান্ড্রয়েড ম্যালওয়্যার যা বিভিন্ন ভারতীয় ব্যাঙ্কের কাস্টমারকে টার্গেট করছে। এরা ইনকাম ট্যাক্স ইন্ডিয়ার ওয়েবসাইটের মতন একটি নকল ওয়েবসাইট তৈরি করে ইউজারদের থেকে ভেরিফিকেশনের নামে তাদের ব্যাঙ্কিং ডিটেলস নিয়ে নিচ্ছে। এরপর ব্যাঙ্ক অ্যাকাউন্টের অ্যাক্সেস নিয়ে চুরি করছে সমস্ত টাকা।
CERT- In সংস্থা এই ম্যালওয়্যার কিভাবে কাজ করে, তা প্রসঙ্গে জানিয়েছে যে –এই ধরণের ম্যালওয়্যারের ক্ষেত্রে ইউজারেরা নিজেদের মোবাইলে একটি এসএমএস পাবেন , যেখানে একটা ওয়েবসাইটের লিঙ্ক পাওয়া যাবে। লিঙ্কে ক্লিক করলে একটি ওয়েবসাইট খুলে যাবে। যা দেখতে অনেকটা ইনকাম ট্যাক্স ইন্ডিয়ার ওয়েবসাইটের মতনই। সেই ওয়েবসাইটে ইউজারের নাম, প্যান নাম্বার, আধার নাম্বার, মোবাইল নাম্বার , ঠিকানা চাওয়া হবে। ভেরিফিকেশন কমপ্লিট করার জন্য ডাউনলোড করার নির্দেশ দেওয়া হবে একটি অ্যাপ।
অ্যাপ ডাউনলোড হয়ে যাবার পর ইউজারের কাছ থেকে এসএমএস,মোবাইলের কনট্যাক্টস ইত্যাদির পারমিশন চাওয়া হয়। ওয়েবসাইটে কোনো ইনফরমেশন না দেওয়া হলে সেই স্ক্রিন বারবার পপ- আপ হয়ে বাকি থেকে যাওয়া ইনফরমেশনের অ্যাক্সেস চায়।
ইউজারের পুরো নাম, প্যান নাম্বার, আধার নাম্বার, ঠিকানা, ডেট অফ বার্থ, মোবাইল নাম্বার, ইমেইল অ্যাড্রেসসহ অন্যান্য ফাইন্যান্সিয়াল ডিটেলস চাওয়া হয়। যেমন ব্যাঙ্ক অ্যাকাউন্ট নাম্বার , IFSC কোড, CIF নাম্বার, ডেবিট কার্ড নাম্বার, এক্সপায়ারি ডেট , সিভিভি পিন চাওয়া হয়।
পারসোনাল ডিটেলস দিয়ে ফেলার পর অ্যাপে বলা হয় ইউজারের ব্যাঙ্ক অ্যাকাউন্টে ইনকাম ট্যাক্স থেকে একটি রিফান্ড অ্যামাউন্ট ট্রান্সফারের কথা। ইউজার যখন ট্রান্সফার বাটনে ক্লিক করে তখন নেটওয়ার্ক কাজ করা বন্ধ হয়ে গেলে যেমন ‘error’ দেখায় তেমনি আপডেট দেখা যায়। সেই সুযোগে ইউজারের সমস্ত ব্যাঙ্ক ডিটেলস হ্যাকারের কম্পিউটারে পৌঁছে যায়।
CERT- In সংস্থা জানিয়েছে যে হ্যাকার এই ডিটেলসগুলি নিয়ে ইউজারের স্পেসিফিক ব্যাঙ্কের স্ক্রিন তৈরি করে ডিভাইসের রেন্ডার করে। ইউজার যখন তার ব্যাঙ্ক অ্যাকাউন্ট দিয়ে পেমেন্ট করে তখন সমস্ত ডিটেলস পৌঁছে যায় হ্যাকারের কাছে।
CERT- In এজেন্সি এই ধরণের বিপদ থেকে বাঁচতে কেবল অফিসিয়াল স্টোর থেকে অ্যাপ ডাউনলোড করবার নির্দেশ দিয়েছেন। গুগল প্লে বা অ্যাপ স্টোর থেকে অ্যাপ ডাউনলোড করলে ফিশিং অ্যাপের রিস্কা কম থাকে।
যে কোনো জায়গা থেকে অ্যাপ ডাউনলোড করবার আগে অ্যাপের রিভিউ দেখে নেওয়া উচিত। গুগল প্লে-স্টোর থেকে অ্যাপ ডাউনলোড করবার সময়েও এই সমস্ত বিষয় মাথায় রাখা উচিত। সেইসঙ্গে অ্যাপের ডিটেলস, কতজন অ্যাপ ডাউনলোড করেছে, ইউজারদের কমেন্টও চেক করা উচিত।
অ্যাপ পারমিশনকে ভেরিফাই করে নেওয়া উচিত। অ্যাপের কাজের সাথে মেলে এমন পারমিশন অ্যাক্সেস দেওয়া উচিত। অচেনা কোনো সোর্স থেকে অ্যাপ ডাউনলোড করা একেবারে উচিত নয়।
