হ্যাকিংয়েও এআই: যে ৫ ধাপে বিঘ্নিত হয় সাইবার সুরক্ষা

কৃত্রিম বুদ্ধিমত্তা বা এআই ব্যবহার করে কীভাবে মানুষের কণ্ঠস্বর ক্লোন করে তাদের হাজার হাজার অর্থ হাতিয়ে নিচ্ছেন সাইবার অপরাধীরা সম্প্রতি তা নিয়ে কথা বলেছেন এক হ্যাকার।

তিনি হচ্ছেন ‘ম্যানচেস্টার মেট্রোপলিটন ইউনিভার্সিটি’র সাইবার সিকিউরিটি বিভাগের প্রভাষক ড. কেটি প্যাক্সটন-ফিয়ার। নিজেকে একজন ‘এথিক্যাল হ্যাকার’ দাবি করে কেটি বলেছেন, “আমি খারাপ মানুষদের কোম্পানি আগে হ্যাক করি।”

যুক্তরাজ্যের ব্যবসায়িক খাতে এআই ফিশিং কেলেঙ্কারির ক্রমাগত হুমকি সম্পর্কে সচেতনতা বাড়াতে এক নতুন প্রচারণায় সম্প্রতি ‘ভোডাফোন বিজনেস’-এর সঙ্গে পার্টনার হয়েছেন কেটি।

প্রযুক্তি কোম্পানি ‘ভোডাফোন বিজনেস’-এর নতুন গবেষণায় দেখা গেছে, অন্য যে কোনো বয়সের তুলনায় কাজের ক্ষেত্রে এআই ফিশিং বা এআইয়ের মাধ্যমে সাইবার আক্রমণের ঝুঁকিতে বেশি রয়েছেন অফিসের জুনিয়র কর্মীরা।

মানুষকে সচেতন করার জন্য গবেষণায় তুলে ধরা হয়েছে ‘বয়সের ব্যবধান’। ধারণা করা হচ্ছে, পুরোনো সহকর্মীদের তুলনায় নতুন ধরনের এআই ফিশিং স্ক্যামের শিকার হওয়ার ঝুঁকি বেশি ১৮ থেকে ২৪ বছর বয়সী তরুণ কর্মীদের।

জেনারেশন জেড বা জেন-জি কর্মীদের তথ্য হ্যাক করা অনেক সহজ বলে উঠে এসেছে গবেষণায়। কারণ, গবেষণায় গড়ে এক তৃতীয়াংশ বা ৩৩ শতাংশ কর্মীর তুলনায় প্রায় অর্ধেক অর্থাৎ ৪৬ শতাংশ কর্মী এক বছরেরও বেশি সময় ধরে কাজের ক্ষেত্রে তাদের পাসওয়ার্ড আপডেট করেননি।

গবেষণায় যুক্তরাজ্যের তিন হাজার অফিস কর্মী এবং ছোট, মাঝারি ও বড় ধরনের কোম্পানির বিভিন্ন ব্যবসা প্রতিষ্ঠানের জ্যেষ্ঠ কর্মীদের এআইয়ের মাধ্যমে সাইবার আক্রমণ সচেতনতা’সহ বিভিন্ন সাইবার নিরাপত্তা বিষয়ে প্রশ্ন করেন গবেষকরা।

দেখা গেছে, এআইয়ের মাধ্যমে সাইবার আক্রমণের হুমকি ঠেকানোর জন্য সার্বিকভাবে প্রস্তুত নয় যুক্তরাজ্যের ৯৪ শতাংশ ব্যবসা।

এআইয়ের মাধ্যমে সাইবার আক্রমণ বিষয়ে সচেতনতা বাড়াতে কেটি বলেছেন, এআই ব্যবহার করে সহজে মানুষের কণ্ঠস্বর ক্লোন করতে পারে সাইবার অপরাধীরা। এমনকি ব্যবহারকারীদের ফোনে ছদ্মবেশ ধারণ করে লুকিয়েও থাকতে পারে তারা। এক্ষেত্রে বেশিরভাগ সময়ই বোকা বানানো হয় ভুক্তভোগীদের।

কারও কণ্ঠস্বর ক্লোন করতে ভয়েস মেইলের মতো কেবল ‘তিন সেকেন্ডের অডিও’ প্রয়োজন সাইবার অপরাধীদের। বেশিরভাগ ক্ষেত্রে ‘ভিশিং বা ভয়েস-ক্লোন ফিশিং স্ক্যাম’ চালানোর জন্য পাঁচটি সহজ পদক্ষেপ অনুসরণ করে তারা।

১. নিরীক্ষণ

“যে কোনো হ্যাকিং শুরু হয় রিকনেসান্স বা পুনর্বিবেচনা বা প্রাথমিক নিরীক্ষণের মাধ্যমে,” বলেন কেটি।

“এর মাধ্যমে একজন হ্যাকার কোনও কোম্পানির প্রধানকে শিকার হিসেবে খুঁজে বের করে এবং ব্যক্তিগত তথ্যের জন্য তার সামাজিক যোগাযোগ মাধ্যমে প্রবেশ করে।”

সামাজিক যোগাযোগ মাধ্যমে অনেকের রয়েছে হাজার হাজার ফলোয়ার। একইসঙ্গে রয়েছে তারা কি ধরনের কাজ করেন ও তাদের ব্যক্তিগত জীবন সম্পর্কে বিশদ তথ্য।

কোনও কোম্পানি প্রধানের এ ধরনের তথ্য হ্যাকারের জন্য ‘খুবই কাজের’।

২. ভয়েস ক্লোনিং

এরপর অডিও বা ভিডিও কনটেন্ট খুঁজতে কোম্পানি প্রধান বা বসের সামাজিক যোগাযোগ মাধ্যম পেইজ ব্রাউজ করে হ্যাকার।

“ভয়েস ক্লোনিংয়ের জন্য বসের সামাজিক যোগাযোগ মাধ্যম পেইজ ভিজিট করতে হবে হ্যাকারদের। এখান থেকে কিছু ভিডিও ডাউনলোড করার মাধ্যমে ব্যবহারকারীর কথা বলার শৈলী নকল করবে হ্যাকার। এজন্য আমাদের কেবল তিন সেকেন্ডের অডিও প্রয়োজন।”

এআই ভয়েস ক্লোনিং সফটওয়্যারের মাধ্যমে কারো ভয়েস পুনরায় তৈরি করতে এই রেকর্ডিংটি ব্যবহার করে হ্যাকাররা। এরপর হ্যাকার তার শিকারকে কী বলতে চায় সেটি টাইপ করে।

৩. যোগাযোগ

তারপর টাইপ করা ভয়েসটি বসের কর্মীকে পাঠ্য বা মেসেজ হিসেবে পাঠাবে হ্যাকার। আর এই মেসেজটি পাঠানো হবে অজানা বা অপরিচিত নম্বর থেকে, যেখানে কর্মীকে কল করতে বলবে হ্যাকার।

এ ক্ষেত্রে কোম্পানি প্রধানের কর্মী মেসেজটি পাবেন এবং তার বসের কলের জন্য অপেক্ষা করবেন।

৪. কল

এবার ভয়েস ক্লোনিং সফটওয়্যাররের একটি অংশ ব্যবহার করে হ্যাকার তার কম্পিউটার থেকে ওই কর্মীকে কল করবে। তারপর বসের গলা নকল করে একটি মেসেজ পাঠাবে কর্মীকে।

মেসেজটি এমন, কর্মীকে তার বস বলছেন “আমি যে চালানটি পাঠিয়েছিলাম তার অর্থ কি আপনি পরিশোধ করতে পেরেছেন? চালানটির অর্থ অবিলম্বে পরিশোধ করা গুরুত্বপূর্ণ।”

এক্ষেত্রে ওই কর্মীর কী করা উচিত? যেহেতু কোম্পানির প্রধান তাকে সরাসরি নির্দেশ দিয়েছেন।

৫. অপেক্ষা

কীভাবে অর্থ দেওয়া হবে সে সম্পর্কে কর্মীকে নির্দেশনা দিয়েছেন বস। এখন কর্মী অর্থ দেবে কি না তা দেখার জন্যই অপেক্ষা।

“হ্যাকিংয়ের ক্ষেত্রে চূড়ান্ত ধাপ হচ্ছে, ভুক্তভোগী এ বিষয়ে কোনও ব্যবস্থা নেন কি না,” বলেন কেটি। বেশিরভাগ ক্ষেত্রে হ্যাকাররা ফোন কলের শেষে জানতে পারে তাদের হ্যাকিং সফল হয়েছে কি না।

এখানে কোম্পানিটির বস হচ্ছেন অ্যানিমেশন ফাইল ফর্মম্যাট কোম্পানি লটি’র উদ্যোক্তা ও প্রধান নির্বাহী ক্রিস ডোনেলি। তিনি বলেন, “সবসময়ই আমার ব্যবসার জন্য অগ্রাধিকার পেয়েছে সাইবার নিরাপত্তার বিষয়টি। এ নিয়ে সব সময় আমরা চিন্তা করি। পাশাপাশি আমাদের নিরাপত্তা প্রোটোকল যতটা সম্ভব আপডেট রাখারও চেষ্টা করি।”

“ভয়েস ক্লোনিংয়ের মতো অত্যাধুনিক এআই ফিশিং কৌশল ব্যবহার করে কেটির মতো নৈতিক হ্যাকাররা আমাদের কোম্পানির প্রতিরক্ষা ব্যবস্থা হ্যাক করতে পেরেছে কি না তা যে কেউ কল্পনা করতে পারেন।”

“কৃত্রিম বুদ্ধিমত্তার মাধ্যমে সাইবার আক্রমণকারীরা মেসেজকে একেবারে নির্দিষ্ট ব্যক্তির মতো করে তৈরি করতে পারে। ফলে কর্মীদের জন্য মেইল ও ভুয়া মেইলের মধ্যে পার্থক্যের বিষয়টি বোঝা আগের চেয়ে এখন আরও কঠিন হয়েছে,” বলেন কেটি।

“বিভিন্ন ব্যবসার আকার যাই হোক না কেন তাদের সাইবার আক্রমণের ঝুঁকি বুঝতে হবে এবং এসব হুমকির বিরুদ্ধে কোম্পানিকে রক্ষার জন্য সক্রিয় পদক্ষেপও নিতে হবে।”