ইন্টারনেট জগতে সাইবার অপরাধীরা প্রতিনিয়ত তাদের কৌশল পরিবর্তন করছে। এর মধ্যে সবচেয়ে চতুর এবং মারাত্মক একটি পদ্ধতি হলো ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক (Browser-in-the-Browser Attack)। সাধারণ ফিশিং লিংকের দিন শেষ; এখন হ্যাকাররা এমন নিখুঁত জাল বিছিয়েছে যা প্রযুক্তিপ্রেমী বা অভিজ্ঞ ব্যবহারকারীদেরও সহজে বোকা বানিয়ে ফেলে। সাধারণত আমরা যখন কোনো ওয়েবসাইটে গুগল বা মাইক্রোসফট অ্যাকাউন্ট দিয়ে 'সিঙ্গেল সাইন-অন' (SSO) করতে যাই, তখন একটি পপআপ উইন্ডো আসে। এই পরিচিত ইউজার ইন্টারফেস বা ইউআই (UI)-কে হুবহু নকল করে তৈরি করা হচ্ছে এই বিপজ্জনক ফাঁদ, যার মূল উদ্দেশ্য আপনার মূল্যবান পাসওয়ার্ড ও সংবেদনশীল তথ্য হাতিয়ে নেওয়া।
আজকের দিনে প্রায় প্রতিটি আধুনিক ওয়েবসাইটেই 'Sign in with Google' বা 'Login with Microsoft' এর মতো অপশন দেখা যায়। একে বলা হয় সিঙ্গেল সাইন-অন বা এসএসও (SSO)। ব্যবহারকারীরা বারবার নতুন পাসওয়ার্ড তৈরি করার ঝামেলা এড়াতে এই ফিচারের ওপর ভরসা করেন। যখনই এই অপশনে ক্লিক করা হয়, সাধারণত ব্রাউজারে একটি নতুন ছোট উইন্ডো বা পপআপ ওপেন হয় যেখানে আমরা আমাদের ইমেইল ও পাসওয়ার্ড ইনপুট করি।
সাইবার অপরাধীরা এই জনপ্রিয় এবং বিশ্বস্ত অভ্যাসটিকেই হাতিয়ার করেছে। তারা এমন একটি স্ক্রিপ্ট তৈরি করে, যা মূল ওয়েবসাইটের ভেতরেই ঠিক এই ধরনের একটি পপআপ উইন্ডোর গ্রাফিক্স তৈরি করে। ফলে খালি চোখে বোঝার কোনো উপায় থাকে না যে এটি গুগলের আসল সার্ভার নাকি কোনো হ্যাকারের তৈরি করা নকল পেইজ।
এই আক্রমণের মূল শক্তি লুকিয়ে আছে এর ডিজাইনের মধ্যে। একজন হ্যাকার যখন এই আক্রমণ পরিচালনা করে, তখন সে কোনো আসল পপআপ উইন্ডো খোলে না। বরং, সে আইফ্রেম (iframe) এবং আধুনিক সিএসএস (CSS) কোড ব্যবহার করে মূল ব্রাউজার ট্যাবের ভেতরেই একটি নিখুঁত উইন্ডো তৈরি করে।
এটি কোনো আসল পপআপ উইন্ডো নয়, resentment বা বাহ্যিক উইন্ডো নয়, বরং একটি ওয়েবসাইটের ভেতরেই এইচটিএমএল এবং সিএসএস দিয়ে তৈরি নিখুঁত ছদ্মবেশ।
এই নকল উইন্ডোতে একটি অ্যাড্রেস বারও থাকে, যেখানে সম্পূর্ণ বৈধ ইউআরএল (যেমন: accounts.google.com) এবং পাশে একটি সবুজ প্যাডলক বা লক আইকন (যা নিরাপদ সংযোগ নির্দেশ করে) প্রদর্শিত হয়। যেহেতু এটি ব্রাউজারের নিজস্ব উইন্ডো নয়, তাই হ্যাকার ওই অ্যাড্রেস বারে যা খুশি তাই লিখে দিতে পারে। ব্যবহারকারী ভাবেন তিনি নিরাপদ সিকিউরড চ্যানেলে লগইন করছেন, কিন্তু বাস্তবে তিনি হ্যাকারের তৈরি করা ফর্মের ভেতর নিজের ইউজারনেম ও পাসওয়ার্ড টাইপ করছেন।
সাধারণ ফিশিং লিংকের ক্ষেত্রে একটু সচেতন ব্যবহারকারী সহজেই ইউআরএল চেক করে জালিয়াতি ধরে ফেলতে পারেন। যেমন, আসল ওয়েবসাইটের বদলে সেখানে হয়তো 'go0gle.com' বা অন্য কোনো সন্দেহজনক ডোমেন নেম থাকে। কিন্তু ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক এই সনাক্তকরণ প্রক্রিয়াকে সম্পূর্ণ অকার্যকর করে দেয়।
এখানে মূল ব্রাউজারের অ্যাড্রেস বারে হয়তো একটি সাধারণ ক্ষতিকারক ওয়েবসাইটের নাম দেখাবে, কিন্তু ভেতরের নকল পপআপ উইন্ডোর অ্যাড্রেস বারে দেখাবে একদম সঠিক এবং বৈধ অফিশিয়াল ইউআরএল। ফলে সবচেয়ে অভিজ্ঞ এবং প্রযুক্তি-সচেতন ব্যবহারকারীরাও অনেক সময় বিভ্রান্ত হয়ে পড়েন এবং এই ফাঁদে পা দেন।
প্রযুক্তি যত উন্নতই হোক না কেন, কিছু সাধারণ কৌশল অবলম্বন করলে এই মারাত্মক আক্রমণ থেকে নিজেকে রক্ষা করা সম্ভব। নিচে কিছু কার্যকর উপায় দেওয়া হলো:
তথ্যপ্রযুক্তির এই যুগে সাইবার অপরাধীদের থেকে এক ধাপ এগিয়ে থাকতে সচেতনতার কোনো বিকল্প নেই। বিশেষ করে এই ক্ষতিকারক ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক থেকে বাঁচতে যেকোনো লগইন উইন্ডোতে ক্লিক করার আগে একটু থমকে দাঁড়ান এবং পরীক্ষা করে নিন। এই নতুন ধরনের সাইবার আক্রমণ সম্পর্কে আপনার মতামত বা পূর্ব অভিজ্ঞতা থাকলে নিচে কমেন্ট করে আমাদের সাথে শেয়ার করুন!









