ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক কীভাবে চেনা সম্ভব?

7 মিনিট পঠিত ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক কীভাবে নকল লগইন উইন্ডো তৈরি করে আমাদের ধোঁকা দেয় তা জানুন এবং সুরক্ষিত থাকুন। জুলাই 01, 2026 13:49 ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক: ফেক উইন্ডোর নতুন ফাঁদ

ইন্টারনেট জগতে সাইবার অপরাধীরা প্রতিনিয়ত তাদের কৌশল পরিবর্তন করছে। এর মধ্যে সবচেয়ে চতুর এবং মারাত্মক একটি পদ্ধতি হলো ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক (Browser-in-the-Browser Attack)। সাধারণ ফিশিং লিংকের দিন শেষ; এখন হ্যাকাররা এমন নিখুঁত জাল বিছিয়েছে যা প্রযুক্তিপ্রেমী বা অভিজ্ঞ ব্যবহারকারীদেরও সহজে বোকা বানিয়ে ফেলে। সাধারণত আমরা যখন কোনো ওয়েবসাইটে গুগল বা মাইক্রোসফট অ্যাকাউন্ট দিয়ে 'সিঙ্গেল সাইন-অন' (SSO) করতে যাই, তখন একটি পপআপ উইন্ডো আসে। এই পরিচিত ইউজার ইন্টারফেস বা ইউআই (UI)-কে হুবহু নকল করে তৈরি করা হচ্ছে এই বিপজ্জনক ফাঁদ, যার মূল উদ্দেশ্য আপনার মূল্যবান পাসওয়ার্ড ও সংবেদনশীল তথ্য হাতিয়ে নেওয়া।

  • এটি একটি অত্যন্ত উন্নতমানের ফিশিং আক্রমণ যা হুবহু বৈধ লগইন উইন্ডো অনুকরণ করে।
  • সাধারণ ব্রাউজার পপআপের মতো দেখতে হলেও এটি আসলে মূল ওয়েবসাইটের ভেতরের একটি নকল উপাদান।
  • এমনকি এসএসএল (SSL) সার্টিফিকেট বা 'https' দেখেও একে সহজে চেনা যায় না।

সিঙ্গেল সাইন-অন (SSO) এবং ইউজার ইন্টারফেসের চাতুরি

আজকের দিনে প্রায় প্রতিটি আধুনিক ওয়েবসাইটেই 'Sign in with Google' বা 'Login with Microsoft' এর মতো অপশন দেখা যায়। একে বলা হয় সিঙ্গেল সাইন-অন বা এসএসও (SSO)। ব্যবহারকারীরা বারবার নতুন পাসওয়ার্ড তৈরি করার ঝামেলা এড়াতে এই ফিচারের ওপর ভরসা করেন। যখনই এই অপশনে ক্লিক করা হয়, সাধারণত ব্রাউজারে একটি নতুন ছোট উইন্ডো বা পপআপ ওপেন হয় যেখানে আমরা আমাদের ইমেইল ও পাসওয়ার্ড ইনপুট করি।

সাইবার অপরাধীরা এই জনপ্রিয় এবং বিশ্বস্ত অভ্যাসটিকেই হাতিয়ার করেছে। তারা এমন একটি স্ক্রিপ্ট তৈরি করে, যা মূল ওয়েবসাইটের ভেতরেই ঠিক এই ধরনের একটি পপআপ উইন্ডোর গ্রাফিক্স তৈরি করে। ফলে খালি চোখে বোঝার কোনো উপায় থাকে না যে এটি গুগলের আসল সার্ভার নাকি কোনো হ্যাকারের তৈরি করা নকল পেইজ।

ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক আসলে কীভাবে কাজ করে?

এই আক্রমণের মূল শক্তি লুকিয়ে আছে এর ডিজাইনের মধ্যে। একজন হ্যাকার যখন এই আক্রমণ পরিচালনা করে, তখন সে কোনো আসল পপআপ উইন্ডো খোলে না। বরং, সে আইফ্রেম (iframe) এবং আধুনিক সিএসএস (CSS) কোড ব্যবহার করে মূল ব্রাউজার ট্যাবের ভেতরেই একটি নিখুঁত উইন্ডো তৈরি করে।

এটি কোনো আসল পপআপ উইন্ডো নয়, resentment বা বাহ্যিক উইন্ডো নয়, বরং একটি ওয়েবসাইটের ভেতরেই এইচটিএমএল এবং সিএসএস দিয়ে তৈরি নিখুঁত ছদ্মবেশ।

এই নকল উইন্ডোতে একটি অ্যাড্রেস বারও থাকে, যেখানে সম্পূর্ণ বৈধ ইউআরএল (যেমন: accounts.google.com) এবং পাশে একটি সবুজ প্যাডলক বা লক আইকন (যা নিরাপদ সংযোগ নির্দেশ করে) প্রদর্শিত হয়। যেহেতু এটি ব্রাউজারের নিজস্ব উইন্ডো নয়, তাই হ্যাকার ওই অ্যাড্রেস বারে যা খুশি তাই লিখে দিতে পারে। ব্যবহারকারী ভাবেন তিনি নিরাপদ সিকিউরড চ্যানেলে লগইন করছেন, কিন্তু বাস্তবে তিনি হ্যাকারের তৈরি করা ফর্মের ভেতর নিজের ইউজারনেম ও পাসওয়ার্ড টাইপ করছেন।

সাধারণ ফিশিংয়ের সাথে এর পার্থক্য কী?

সাধারণ ফিশিং লিংকের ক্ষেত্রে একটু সচেতন ব্যবহারকারী সহজেই ইউআরএল চেক করে জালিয়াতি ধরে ফেলতে পারেন। যেমন, আসল ওয়েবসাইটের বদলে সেখানে হয়তো 'go0gle.com' বা অন্য কোনো সন্দেহজনক ডোমেন নেম থাকে। কিন্তু ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক এই সনাক্তকরণ প্রক্রিয়াকে সম্পূর্ণ অকার্যকর করে দেয়।

এখানে মূল ব্রাউজারের অ্যাড্রেস বারে হয়তো একটি সাধারণ ক্ষতিকারক ওয়েবসাইটের নাম দেখাবে, কিন্তু ভেতরের নকল পপআপ উইন্ডোর অ্যাড্রেস বারে দেখাবে একদম সঠিক এবং বৈধ অফিশিয়াল ইউআরএল। ফলে সবচেয়ে অভিজ্ঞ এবং প্রযুক্তি-সচেতন ব্যবহারকারীরাও অনেক সময় বিভ্রান্ত হয়ে পড়েন এবং এই ফাঁদে পা দেন।

কীভাবে এই ফাঁদ চিনবেন এবং সুরক্ষিত থাকবেন?

প্রযুক্তি যত উন্নতই হোক না কেন, কিছু সাধারণ কৌশল অবলম্বন করলে এই মারাত্মক আক্রমণ থেকে নিজেকে রক্ষা করা সম্ভব। নিচে কিছু কার্যকর উপায় দেওয়া হলো:

  • উиন্ডোটি ড্র্যাগ বা নাড়াচাড়া করে দেখুন: কোনো আসল ব্রাউজার পপআপ উইন্ডোকে টেনে আপনার মূল ব্রাউজার স্ক্রিনের বাইরে বা অন্য মনিটরে নিয়ে যাওয়া যায়। কিন্তু যদি এটি একটি ফেক উইন্ডো হয়, তবে আপনি এটিকে মূল ব্রাউজার ট্যাবের সীমানার বাইরে নিতে পারবেন না। সীমানায় পৌঁছালেই এটি কেটে যাবে বা আটকে যাবে।
  • পাসওয়ার্ড ম্যানেজার ব্যবহার করুন: লাস্টপাস, বিটওয়ার্ডেন বা ক্রোম ব্রাউজারের নিজস্ব পাসওয়ার্ড ম্যানেজারগুলো সাইটের আসল ডোমেন ট্র্যাক করে কাজ করে। নকল পপআপ উইন্ডোটি দেখতে যত আসলই হোক না কেন, পাসওয়ার্ড ম্যানেজার বুঝতে পারবে এটি আসল ডোমেন নয় এবং সেখানে কখনোই আপনার পাসওয়ার্ড অটো-ফিল (Autofill) করবে না।
  • টু-ফ্যাক্টর অথেন্টিকেশন (2FA) চালু রাখুন: আপনার অ্যাকাউন্টে সবসময় দ্বি-স্তরের নিরাপত্তা বা ২এফএ চালু রাখুন। এর ফলে হ্যাকার যদি কোনোভাবে আপনার পাসওয়ার্ড পেয়েও যায়, তাহলেও ওটিপি (OTP) বা সিকিউরিটি কী ছাড়া সে আপনার অ্যাকাউন্টে প্রবেশ করতে পারবে না।

তথ্যপ্রযুক্তির এই যুগে সাইবার অপরাধীদের থেকে এক ধাপ এগিয়ে থাকতে সচেতনতার কোনো বিকল্প নেই। বিশেষ করে এই ক্ষতিকারক ব্রাউজার-ইন-দ্য-ব্রাউজার অ্যাটাক থেকে বাঁচতে যেকোনো লগইন উইন্ডোতে ক্লিক করার আগে একটু থমকে দাঁড়ান এবং পরীক্ষা করে নিন। এই নতুন ধরনের সাইবার আক্রমণ সম্পর্কে আপনার মতামত বা পূর্ব অভিজ্ঞতা থাকলে নিচে কমেন্ট করে আমাদের সাথে শেয়ার করুন!

ব্যবহারকারীর মন্তব্য (0)

মন্তব্য যোগ করুন
আমরা আপনার ই-মেইল অন্য কারো সাথে শেয়ার করব না।