জেমিনাইয়ের মাধ্যমে মেইল অ্যাকাউন্ট চুরি করা ‘সম্ভব’

গুগলের জেনারেটিভ এআই ব্যবহারের মাধ্যমে জিমেইল অ্যাকাউন্ট চুরি করার এক অভিনব উপায় খুঁজে বের করেছে সাইবার অপরাধীরা।

গুগল কিছুদিন আগে এর প্রডাক্টিভিটি অ্যাপগুলোর ‘ওয়ার্কস্পেস স্যুটে’ জেমিনাই নামে একটি এআই চ্যাটবট অ্যাসিসট্যান্ট চালু করে। এই জেমিনাই একাধিক কাজ করতে পারে যার মধ্যে গুরুত্বপূর্ণ একটি ফিচার হল ইনকামিং ইমেইল বা প্রাপ্ত ইমেইলের সারাংশ তৈরি করা।

ব্যবহারকারী কোনো ইমেইল পাওয়ার পর স্ক্রিনের ডান পাশে একটি ভার্টিকাল বা উলম্ব প্যানেল খুলে জেমিনাইয়ের সাহায্য নিতে পারবেন। যেমন- ইমেইলের গুরুত্বপূর্ণ তথ্য তুলে ধরা, ক্যালেন্ডারে ইভেন্ট যোগ করা ইত্যাদি।

তবে প্রযুক্তি বিষয়ক সাইট টেক রেডারের এক প্রতিবেদনে বিশেষজ্ঞরা সতর্ক করেছেন, এ ধরনের সুবিধার পাশাপাশি ‘প্রম্পট ইঞ্জেকশন’ আক্রমণের ঝুঁকিও তৈরি হয়েছে। এই ধরনের হামলায়, যদি কোনো ইনকামিং ইমেইলে লুকানো কোনো প্রম্পট থাকে, তবে সেটি জেমিনাই প্যানেলে স্বয়ংক্রিয়ভাবে কার্যকর হয়ে যেতে পারে। ফলে ব্যবহারকারীর অজান্তেই অনিরাপদ বা অনাকাঙ্ক্ষিত নির্দেশনা চালু হতে পারে, যা জিমেইল নিরাপত্তার জন্য একটি বড় উদ্বেগের বিষয়।।

জেমিনাই কি পাসওয়ার্ড ফিশিং করছে?

নিরাপত্তা গবেষক মার্কো ফিগুয়েরোর মতে, ঠিক এ ধরনের আক্রমণের জন্যই এখন ইমেইল সেবাদাতারা সংবেদনশীল হয়ে পরছেন।

এইচটিএমএল ও সিএসএস ব্যবহার করে হ্যাকাররা জেমিনাইয়ের জন্য ফন্ট সাইজ শূন্য এবং রঙ সাদা করে একটি প্রম্পট ইমেইলের মধ্যে লুকিয়ে রাখতে পারে। ফলে ভিক্টিম সাধারণ চোখে সে প্রম্পট দেখতে পান না কিন্তু জেমিনাই এটি পড়ে সে অনুযায়ী কাজ করে।

যদি সে প্রম্পটে জেমিনাইকে ফিশিং বার্তা দেখাতে বলা হয় তবে সে ঠিক তাই করবে। যেহেতু বার্তাটি একটি বিশ্বস্ত জায়গা থেকে এসেছে বলে মনে করা হয়, ফলে এর সাফল্যের সম্ভাবনাও বেড়ে যায়।

ফিগুয়েরো দেখান, কীভাবে একটি ক্ষতিকর প্রম্পট ভিক্টিমকে জানাতে পারে যে তাদের ইমেইল অ্যাকাউন্ট হ্যাকিংয়ের শিকার হয়েছে এবং সমস্যার সামাধানে হ্যাকারের দেওয়া নম্বরের মাধ্যমে গুগলকে ফোন দিতে বলা হয়।

ভবিষ্যতে ‘প্রম্পট ইঞ্জেকশন’ আক্রমণ থেকে রক্ষা পেতে প্রতিষ্ঠানগুলোকে নিশ্চিত করতে হবে যেন তাদের ইমেইল ক্লায়েন্টগুলো লুকানো স্টাইলযুক্ত কনটেন্ট মুছে ফেলে, নিষ্ক্রিয় করে বা উপেক্ষা করে। এ ছাড়া, একটি ‘পোস্ট প্রসেসিং ফিল্টার’ যুক্ত করা যেতে পারে, যা ইনবক্স স্ক্যান করে ‘জরুরি বার্তা’, ইউআরএল বা ফোন নম্বর চিহ্নিত করতে পারে।

ব্যবসা প্রতিষ্ঠানগুলোকে তাদের কর্মীদের সচেতন করতে হবে যে, জেমিনাই টুলের দেওয়া সারাংশ কখনোই নিরাপত্তা সতর্কবার্তার বিকল্প নয়।

যদিও এখন পর্যন্ত ‘প্রম্পট ইনজেকশন’ আক্রমণ বাস্তবে ব্যবহারের কোনও প্রমাণ নেই, গুগল এর অস্তিত্ব স্বীকার করেছে এবং এ ধরনের আক্রমণ ঠেকাতে কাজ করছে।

টেক রেডার প্রো এর সঙ্গে শেয়ার করা ইমেইল বিবৃতিতে গুগলের একজন মুখপাত্র নিশ্চিত করেন, ‘প্রম্পট ইনজেকশন’ আক্রমণ থেকে রক্ষা করা গুগলের অগ্রাধিকার কাজ।

তিনি বলেন, “আমরা নিয়মিত ‘রেড-টিমিং’ এক্সারসাইজের মাধ্যমে আমাদের মডেলগুলোকে প্রশিক্ষণ দিচ্ছি, যাতে তারা এমন আক্রমণ প্রতিহত করতে পারে এবং আমাদের প্রতিরক্ষা ব্যবস্থা আরও শক্তিশালী হচ্ছে।”

গুগল সম্প্রতি একটি ব্লগও প্রকাশ করেছে যেখানে তারা ‘প্রম্পট ইঞ্জেকশন’ আক্রমণের বিরুদ্ধে যেসব নির্দিষ্ট প্রতিরক্ষা ব্যবস্থা নিচ্ছে, তা ব্যাখ্যা করেছে।

বিবৃতিতে আরও বলা হয়েছে, এসব প্রতিরক্ষা ব্যবস্থা বর্তমানে বাস্তবায়নের মাঝামাঝি পর্যায়ে রয়েছে।