সংগঠিত অপরাধ অনুসন্ধান গাইড

সাইবার অপরাধ অনুসন্ধান

By |
Print More

English

Organized Crime Cybercrime main image

এই অধ্যায়টি লিখেছেন প্রযুক্তি বিষয়ক রিপোর্টার কেট ফাজিনি। তিনি আমেরিকান কেবল টিভি নেটওয়ার্ক সিএনবিসিতে সাইবার নিরাপত্তা নিয়ে কাজ করেন। অধ্যায়টিতে তিনি সাইবার অপরাধের ওপর আলোকপাত করেছেন এবং ডার্ক ওয়েবে অনুসন্ধানের কৌশল তুলে ধরেছেন। 

সাইবার অপরাধ হলো ডিজিটাল পরিসরে সংঘটিত যেকোনো অপরাধমূলক কার্যকলাপ। আমরা প্রায়শই সাইবার অপরাধকে “হ্যাকিং” বলে ভাবি, যা এই প্রেক্ষিতে ডিজিটাল পরিবেশে অননুমোদিত অনুপ্রবেশকে বোঝায়। কিন্তু শারীরিক অপরাধসহ আরও অনেক ধরনের অপরাধ এর মধ্যে পড়ে, যা ভার্চুয়াল বিশ্ব ছাড়িয়ে বাস্তবের জগতেও বিস্তৃত হয়।

শিশু পর্ণোগ্রাফি থেকে শুরু করে ব্যাংকে সংরক্ষিত গ্রাহকের এটিএম তথ্য পরিবর্তন ও অবৈধ অর্থ উত্তোলন, বা সোর্স কোড চুরি পর্যন্ত সব কিছুই “সাইবার” অপরাধের আওতাভুক্ত। সাইবার অপরাধ সফলভাবে সম্পন্ন হলে অনেক সময় আইনি গোপনীয়তা লঙ্ঘনের ঘটনা উন্মোচিত হয় – উদাহরণ হিসেবে বলা যায়, একটি কোম্পানি ব্যক্তিগত তথ্য যথাযথভাবে এনক্রিপ্টেড না করার কারণে যখন ডেটা চুরি হয়, তখন সেই কোম্পানি মূলত ভোক্তার ব্যক্তিগোপনীয়তা লঙ্ঘন করে, এবং ডেটা চুরির সঙ্গে সম্পৃক্তরা সাইবার অপরাধে সংশ্লিষ্ট হন।

সাইবার অপরাধের কারণে যে শুধু বিশাল অংকের আর্থিক ক্ষতি হয় তা নয়,  সেই ক্ষতির পরিমাণ হিসাব করাও বেশ কঠিন হয়ে দাঁড়ায়। বিলিয়নেয়ার বিনিয়োগকারী ওয়ারেন বাফেট একবার বলেছিলেন, তিনি তাঁর ব্যবসায় সাইবার ইন্সুরেন্স মার্কেট এড়িয়ে চলেন, কারণ এতে হারিয়ে যাওয়া অর্থের পরিমাণ অনুমান করার মতো যথেষ্ট ডেটা থাকে না। ঘূর্ণিঝড় বা বন্যার মতো প্রাকৃতিক দুর্যোগ, অথবা ব্যাংক ডাকাতি বা শারীরিক নাশকতার মতো অন্যান্য অপরাধের কারণে যে আর্থিক ক্ষতি হয়, তার সঙ্গে এই দুর্বোধ্য ঝুঁকির বিস্তর পার্থক্য রয়েছে। সাইবার অপরাধের কারণে সরকার ও ব্যবসা প্রতিষ্ঠানগুলোর লাখ লাখ কোটি ডলার ক্ষতি হয় বলে ইঙ্গিত মেলে ম্যাকাফি, সাইবার সিকিউরিটি ভেনচারস, এসএএনএস ইনস্টিটিউট ও এফবিআইসহ বিভিন্ন উৎস থেকে পাওয়া মোটাদাগের হিসেবে। 

আমাদের নিরাপত্তা এজেন্ডায় দ্রুত ও উল্লেখযোগ্য পরিবর্তন সত্ত্বেও, সাইবার অপরাধের জগৎ আশ্চর্যজনকভাবে কর্পোরেট দুনিয়ার মতোই সুগঠিত। এখানে ভৌগলিক বা স্বার্থগতভাবে ততটা যুক্ত না হয়েও ছোট ছোট দল নিয়ে অপরাধী “স্টার্ট-আপ” গড়ে উঠতে পারে, তারা একে অপরের টুল চুরি করতে পারে, নিজেদের মধ্যে প্রতিযোগিতা বা সহযোগিতা করতে পারে – যে তৎপরতা ও উচ্চাভিলাষের সঙ্গে সিলিকন ভ্যালিরই তুলনা মেলে। অপরাধ জগতের আরও বড় ক্রীড়ানকেরা কেন্দ্রীয় নেতৃত্ব, মানব সম্পদ নির্বাহীদের মতো অপরাধী নিয়োগদাতা ব্যবহার করে এশিয়া, ইউরোপ, আফ্রিকা ও আমেরিকা মহাদেশজুড়ে অপরাধের স্বার্থ এক সুতোয় বাঁধার সুযোগ খোঁজে। এমনকি তাদের গ্রাহকসেবা হেল্পডেস্কের একটি পরাবাস্তব সংস্করণও আছে, যেখানে ভুক্তভোগীরা কল করে জানতে চায় তারা মুক্তিপণের টাকা নেওয়ার জন্য কীভাবে বিটকয়েন ওয়ালেট তৈরি করবেন।

Ransomware Attack image

ছবি: শাটারস্টক

এই অবৈধ কর্মকাণ্ডের বেশিরভাগই শুরু বা সংঘটিত হয় “ডার্ক ওয়েব” নামের একটি জায়গায়। ওয়েবের এই গোপন স্তর, সাধারণত শুধুমাত্র টর ব্রাউজার দিয়ে ব্যবহার করা যায়। ইন-কান্ট্রি র‌্যানসমওয়্যার বট অপারেটর, ভুয়া রাইড দেখিয়ে সাইবার জগৎ থেকে অবৈধভাবে অর্জিত মুনাফা সরানো অর্থপাচারকারী উবার চালক, অথবা ভুয়া ডেবিট কার্ড ব্যবহার করে প্রতারণার মাধ্যমে এটিএম মেশিন থেকে টাকা সরানো প্রতারক – এমন সব চাকরির জন্য যে কোনো দিন ডার্ক ওয়েবে গিয়ে আবেদনও করতে পারেন।   

সম্ভাব্য সোর্স

  • একাডেমিক গবেষক: বেশ কিছু বিশ্ববিদ্যালয়ভিত্তিক সেন্টার অনলাইন হামলা পর্যবেক্ষণ ও অনুসরণ করে, এবং তারা নির্দিষ্ট ঘটনায় সহায়ক তথ্য দিতে পারে। এদের মধ্যে কার্নেগি মেলন যুক্তরাষ্ট্রে সবচেয়ে বিখ্যাত এবং দেশটির কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (সিইআরটি) এখানেই অবস্থিত। প্রতিষ্ঠানটি জরুরি ঝুঁকি সম্পর্কে আগাম সতর্কবার্তা দিয়ে থাকে। যুক্তরাজ্যের কেমব্রিজ ইউনিভার্সিটিরও একটি সাইবার অপরাধ সেন্টার আছে।
  • সাইবার নিরাপত্তা প্রতিষ্ঠান: ম্যাকাফি, ক্রাউডস্ট্রাইক, কার্বন ব্ল্যাক, ফায়ারআই, এবং অ্যামাজন, মাইক্রোসফট ও গুগলের মতো ক্লাউড সেবাদানকারী বড় প্রতিষ্ঠানে ফরেনসিক দল থাকে। তারা সর্বশেষ সাইবার হামলা পর্যবেক্ষণ করে। এখন কোন ধরনের হামলা দেখা যাচ্ছে, সে সম্পর্কে জানতে এই কোম্পানিগুলোর একটির সঙ্গে আলোচনা করা খুব একটা কঠিন নয়। তবে মনে রাখবেন, তারা ব্যবসায়ী এবং এই বিষয়গুলোতে তাদের বাণিজ্যিক স্বার্থ আছে। এর মানে এই নয় যে, তাদের বিশেষজ্ঞ জ্ঞান নেই। শুধু মনে রাখতে হবে, বস্তুনিষ্ঠতার প্রশ্নে তাদের স্বার্থের সংঘাত থাকতে পারে। এ কারণেই, কী ঘটেছে বুঝতে হলে হামলার শিকার কোম্পানিগুলোর সাইবার নিরাপত্তা কর্মীদের কাছে যাওয়া জরুরি, এমনকি শুধু ব্যাকগ্রাউন্ড তথ্যের জন্যে হলেও। এমন সোর্স পাওয়া বেশ কঠিন, তবে তাদের পেলে আপনার প্রতিবেদনে গুরুত্বপূর্ণ দৃষ্টিভঙ্গি যুক্ত হবে।
  • সরকারি কর্মকর্তা: কেবল যুক্তরাষ্ট্রে কমপক্ষে ২০টি ফেডারেল বিভাগ ও সংস্থায় সাইবার অপরাধ প্রতিরক্ষা কর্মীরা নিয়োজিত আছেন। হোমল্যান্ড সিকিউরিটির সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) সম্ভবত সবচেয়ে মিডিয়া-বান্ধব। জনসম্পৃক্ততা নিশ্চিত করার জন্য তাদের একটি সক্রিয় শাখা আছে। এফবিআইয়ের সাইবার অপরাধ বিভাগ মূল্যবান ও পক্ষপাতহীন পরিসংখ্যান প্রস্তুত করে, যা সাইবার হামলা ও তার ক্ষতি নিয়ে বস্তুনিষ্ঠ, পক্ষপাতহীন তথ্যসমৃদ্ধ প্রবন্ধ রচনায় কাজে আসে। ইউএস সিক্রেট সার্ভিস এবং ইউএস ডিপার্টমেন্ট অব ট্রেজারিকেও সোর্স হিসেবে বিবেচনা করতে পারেন। অন্যান্য দেশের একই রকম সরকারি সংস্থাগুলোরও আপনাকে সাহায্য করতে পারা উচিত। যুক্তরাজ্যে এ ধরনের প্রতিষ্ঠান হলো ন্যাশনাল সাইবার সিকিউরিটি সেন্টার। তাদের একটি আলাদা দল আছে, যারা সাংবাদিকদের সঙ্গে কাজ করেন। ইউরোপোলেরও নিজস্ব ইউরোপিয়ান সাইবারক্রাইম সেন্টার আছে। জাপানে ন্যাশনাল সেন্টার অব ইনসিডেন্ট রেডিনেস অ্যান্ড স্ট্র্যাটেজি ফর সাইবার সিকিউরিটি (এনআইএসসি) সম্প্রতি সাইবার অপরাধ সামলানোর জন্য একটি বিশেষায়িত ব্যুরো প্রতিষ্ঠার ঘোষণা দিয়েছে। অফিস অন ড্রাগস অ্যান্ড ক্রাইমের অধীনে জাতিসংঘেরও একটি সাইবার অপরাধ কর্মসূচি আছে। 
  • ভুক্তভোগী: শুধু ব্যক্তি নয়, বিভিন্ন ধরনের প্রতিষ্ঠান, গোষ্ঠী, সরকার, এবং সামাজিক মাধ্যম প্লাটফর্মও সাইবার অপরাধের শিকার হতে পারে। সাইবার হামলার অভিজ্ঞতা জানতে তাদের সঙ্গে সম্পৃক্ত হওয়া জরুরি। সাইবার হামলার সব রিপোর্টে ভুক্তভোগীদের কাছে যাওয়া উচিত এবং/অথবা সেই ভুক্তভোগী ব্যক্তি বা প্রতিষ্ঠান কেন মন্তব্য দিতে অস্বীকৃতি জানিয়েছে, তার একটি ব্যাখ্যা থাকা উচিত। মনে রাখবেন, সাইবার হামলার মাত্রা ও ক্ষতি সম্পর্কে প্রাথমিক মূল্যায়ন বিভ্রান্তিকরও হতে পারে। প্রায়ই এমন ঘটে। আমার অভিজ্ঞতায়: একটি ঘটনা প্রাথমিক দৃষ্টিতে খারাপ মনে হলেও প্রতিষ্ঠানের জন্য বিশেষ ক্ষতির নাও হতে পারে; আবার অন্য একটি ঘটনা শুরুতে নিরীহ বলে মনে হলেও শেষ পর্যন্ত প্রচণ্ড ক্ষতিকর হয়ে দাঁড়াতে পারে।   

পরামর্শ ও কৌশল

Organized Crime Cybercrime small image

ছবি: জিআইজেএনের জন্য অ্যান কিয়েরনান এঁকেছেন

ফৌজদারি হোক বা দেওয়ানি, যুক্তরাষ্ট্রে সাইবার অপরাধের অনেক মামলা আদালতেই নিষ্পত্তি হয়। তাই সাইবার-নিরাপত্তা সাংবাদিকতায় অন্যতম মূল্যবান রিসোর্স হলো যুক্তরাষ্ট্রের আইনি ডেটাবেজ, পেসার (সার্চ ও নথির ধরণ বিশেষে মূল্য প্রযোজ্য)। এর বিস্তারিত হলো: পাবলিক এক্সেস টু কোর্ট ইলেক্ট্রনিক রেকর্ডস। স্থানীয় বা বিদেশী সাইবার অপরাধ সংশ্লিষ্ট আইনি নথি, সাইবার হামলার সামগ্রিক চিত্র এবং এগুলো বিচারের ক্ষেত্রে বিদ্যমান আইনি কাঠামোর সীমাবদ্ধতা তুলে ধরতে পারে। রিপোর্টারদের শোডান সার্চ ইঞ্জিনের সঙ্গেও পরিচিয় গড়ে তোলা উচিত। এর সাহায্যে যে কেউ ইন্টারনেটে উন্মুক্ত সংযুক্ত-ডিভাইসগুলো খোঁজ করতে পারে। 

সরকারি সংস্থা এবং বিশেষ করে সাইবার নিরাপত্তা কোম্পানিগুলো, অনলাইন অপরাধীদের মুখোশ উন্মোচন বা অপরাধের ফরেনসিক পরীক্ষার জন্য কার্যকর সহযোগী হতে পারে। তবে ব্যবসায়িক বন্ধন বা স্বার্থের সংঘাতের সম্পর্কগুলো সতর্কতার সঙ্গে পর্যবেক্ষণ করা উচিত, যেন তাঁরা তাদের গবেষণা থেকে পছন্দ-মাফিক ভাষ্য গছিয়ে দিতে না পারে। সাইবার-সিকিউরিটি কোম্পানিগুলো প্রায়ই সাংবাদিকদের বা অন্যান্য পাবলিক সার্ভিস প্রকল্পের সঙ্গে সহযোগিতা করতে আগ্রহী হয়, কারণ এতে ভালো প্রচার পাওয়া যায়। তাই আপনার রিপোর্টে কোম্পানির ভূমিকা প্রকাশ করার বিষয়েও সচেতন থাকা উচিত।

কেস স্টাডি

সোভিয়েত-উত্তর কালের ব্যাংক ডাকাতি

কোনো সংবাদপত্র নয়, এই স্টোরিটি প্রকাশ করেছে ট্রাস্টওয়েভ নামের একটি সাইবার নিরাপত্তা গবেষণা প্রতিষ্ঠান। ২০১৭ সালের এই গবেষণাপত্র স্পষ্টভাবে তুলে ধরেছে, একটি সাইবার অপরাধ ষড়যন্ত্রের প্রতিটি অংশকে ভেঙে এবং সহজ করে বুঝিয়ে বললে সাধারণ মানুষও এই জটিল জগৎ সম্পর্কে বুঝতে পারে। (অনুরোধ সাপেক্ষে ট্রাস্টওয়েভের এই কপি ডাউনলোড করা যায়।)

CNBC Equifax Breach story image

ছবি: স্ক্রিনশট

ইকুইফ্যাক্স ব্যবহারকারীদের ডেটার নিরাপত্তা লঙ্ঘন

যুক্তরাষ্ট্রের অন্যতম প্রধান কনজ্যুমার ক্রেডিট ব্যুরো থেকে ডেটা চুরির বড় এই ঘটনা নিয়ে আমি স্টোরিটি করেছিলাম সিএনবিসির জন্য। এখানে আমি একজন নিরাপত্তা বিশ্লেষককে কথা বলতে রাজি করাই। তিনি পদবীতে “ছোট” হলেও, অত্যন্ত গুরুত্বপূর্ণ একটি দায়িত্বে নিয়োজিত ছিলেন। ইকুইফ্যাক্স থেকে চুরি যাওয়া বিপুল পরিমাণ ডেটা খুঁজতে গিয়ে যে হতাশাজনক অবস্থা তৈরি হয়েছিল, তিনি সেটি বর্ণনা করেছিলেন। এই বিপর্যয়ের জন্য চীনকে দায়ী করা হলেও চুরি হওয়া ডেটা ডার্ক ওয়েব বা অন্য কোথাও পাওয়া যায়নি – যা কিছুটা অস্বাভাবিক। কারণ, সাধারণত এই ধরনের হ্যাক হওয়া ডেটা কোনো না কোনোভাবে বেচাকেনা হয়ে থাকে। ইকুইফ্যাক্স ও অন্যান্য ডেটা চুরির ঘটনায় ইউএস কংগ্রেশনাল শুনানিতে আইনজীবীরা এই স্টোরি উদ্ধৃত করেন।

এনআইএসটি পাসওয়ার্ড স্টোরি

ওয়াল স্ট্রিট জার্নালের এই ধ্রুপদী ফিচার স্টোরি, মূলত এক সরকারি কর্মকর্তার অনুশোচনা নিয়ে। “হরফ, সংখ্যা ও প্রতীকের” সমন্বয়ে পাসওয়ার্ড তৈরির যে চিরচেনা শর্ত, তিনি সেটি তৈরিতে সহায়তা করেছিলেন। পাসওয়ার্ডের কম্বিনেশন বের করতে করতে আমরা যে কতটা বিরক্ত এবং সামগ্রিক বিচারে সাইবার নিরাপত্তা সম্পর্কে আমরা যে কতটা কম জানি – ব্যবহারকারীদের সেই দৃষ্টিকোণ থেকে সাইবার নিরাপত্তা সমস্যাকে বোঝার ক্ষেত্রে এই স্টোরির গুরুত্ব অপরিসীম।

উত্তর কোরিয়ার হ্যাকিং আর্মির উত্থান

নিছক একটি হ্যাকিংয়ের উৎস খোঁজার গণ্ডি পেরিয়ে, নিউ ইয়র্কারের এই সুগভীর অনুসন্ধান সামনে এনেছিল বিশ্বের সবচেয়ে বড় সাইবার অপরাধী চক্রটিকে: উত্তর কোরিয়ার রাষ্ট্রীয় মদদপুষ্ট হ্যাকিং আর্মি। নামটি সাদামাটা হলেও রিকনেইসেন্স জেনারেল ব্যুরো (আরজিবি) একটি “হাইড্রার মতো বহু মাথা বিশিষ্ট” বাহিনী, যা র‌্যানসমওয়্যার হামলা থেকে শুরু করে ব্যাংক ডাকাতি ও ক্রিপটোকারেন্সি চুরি পর্যন্ত সব কিছু করে থাকে। ইতিহাসের অন্যতম দুঃসাহসী হ্যাকিং, ২০১৪ সালের সনি পিকচার্স সাইবার-হামলার পেছনে এর হাত আছে বলে মনে করা হয়। জাতিসংঘের এক প্রতিবেদনে বলা হয়েছে, সংগঠনটির অবৈধ কর্মকাণ্ডের বৈশ্বিক মূল্যমান দুই লক্ষ কোটি মার্কিন ডলার, যার বড় অংশ যায় উত্তর কোরিয়ার সামরিক বাহিনীর অস্ত্র কর্মসূচিতে। আরজিবি কীভাবে হ্যাকার নিয়োগ করে, এবং সর্বোপরি, বিশ্বব্যাপী সাইবার অপরাধ কার্যক্রম চালায় – পাঠককে পর্দার আড়ালের সেই জগতে নিয়ে যায় নিউ ইয়র্কার।

অনুসন্ধান কৌশল

প্রচলিত অপরাধ ও সাইবার অপরাধের মধ্যে মূল পার্থক্য প্রধানত তিনটি জায়গায়: প্রথাগত অপরাধীদের সঙ্গে তুলনা করলে সাইবার অপরাধীরা কেমন, সাইবার অপরাধের শিকারকে কীভাবে সংজ্ঞায়িত করা হয়, এবং প্রথাগত অপরাধের গুরুত্বপূর্ণ ভবিষ্যৎ-সমস্যার সঙ্গে সাইবার অপরাধের সবচেয়ে গুরুত্বপূর্ণ সমস্যাগুলোর ফারাক কোথায়।

অপরাধী

ট্রাফিক আইন লঙ্ঘন বা হত্যাকাণ্ডের মতো প্রচলিত অপরাধে – অপরাধীরা সাধারণত অপরাধ সংঘটনের এলাকার আশপাশেই থাকেন। অভিযুক্ত সাইবার অপরাধীদের সঙ্গে দেখা করার ক্ষেত্রে একেক দেশের আইন একেক রকম হয়ে থাকে। কিন্তু যখন দেখা করা সম্ভব হয়, তখন ঘটনাটি যত নগণ্যই হোক না কেন, তাতে অপরাধীর দিকটি তুলে ধরা সাংবাদিকদের জন্য উত্তম নৈতিক চর্চা। মার্কিন যুক্তরাষ্ট্রে দোষী প্রমাণিত না হওয়া পর্যন্ত মানুষ নির্দোষ। তাই অভিযুক্তদের বক্তব্য জানতে না চাওয়াটা, সেখানে অসদাচরণ বলে বিবেচিত হয়। এমনকি “কোন মন্তব্য নেই” বা “একাধিক প্রচেষ্টার পরেও স্মিথের সঙ্গে যোগাযোগ করা যায়নি” বা “মিসেস মিলারের একজন অ্যাটর্নি মন্তব্য করতে অস্বীকার করেছেন” — এটুকু হলেও থাকতে হয়।

অপরাধীর পরিচয় যদি অজানা থাকে, যেমনটা গ্যাং-সংশ্লিষ্ট সহিংসতা বা জাতিগত অপরাধের বেলায় দেখা যায়, তাহলে রিপোর্টাররা অবশ্যই পুলিশ ও অপরাধ সংঘটনের এলাকা থেকে অপরাধী সম্পর্কে তথ্য সংগ্রহ করবেন।

অবশ্য সাইবার অপরাধের সংবাদে, এ ধরনের সুযোগ কমই আসে। সত্যি, অনেক প্রত্যাশাই বদলে যায়। “অভিযুক্ত” ব্যক্তি কোনো সাইবার অপরাধ দলের সদস্য হতে পারে, যে কিনা অনলাইনে অপরাধচর্চা নিয়ে গর্ব করে, অথবা নেহাত সাধারণ মানুষও হতে পারেন। অপরাধটি একটি প্রক্সি অপরাধী গোষ্ঠী বা ব্যক্তির পৃষ্ঠপোষকতায় একটি বিদেশি সরকার দ্বারা পরিচালিত হতে পারে। সেই সরকারের পক্ষে একজন গুপ্তচর কোনো প্রতিষ্ঠানে ঘটনাটি ঘটাতে পারে, অথবা হেলসিঙ্কির একটি বেসমেন্ট থেকে একটি কিশোরও সেটি জন্ম দিতে পারে।

রেকর্ডেড ফিউচার নামের একটি প্রতিষ্ঠান, তাদের স্ব-নামের প্রকাশনায় সাম্প্রতিক একটি ঘটনার ওপর আলোকপাত করেছে, যেখানে ইতালীয় মাফিয়ার ১০৬ জন সদস্যকে সিম কার্ড অদলবদল (সোয়াপ) ও বিজনেস ইমেইল কম্প্রোমাইজ (বিইসি) এর মতো ধারাবাহিক সাইবার অপরাধ কর্মকাণ্ডে জড়িত থাকার কারণে গ্রেফতার করা হয়েছে। সিম সোয়াপে ভুয়া সিম কার্ড কাজে লাগিয়ে একজন ব্যক্তির ফোনকে নকল করা হয়, সেই ফোনকে ডুয়াল-অথেন্টিকেশনের (এসএমএসে আসা কোডের মাধ্যমে পরিচিতি যাচাইয়ের) জন্য ব্যবহার করে তার ব্যাংক একাউন্টে প্রবেশ করা হয়, এবং শেষ পর্যন্ত টাকা চুরি করা হয়। ইমেইল পাঠিয়ে প্রতারণার মাধ্যমে অনলাইনে টাকা পাঠাতে মানুষকে রাজি করানো হয় বিইসি-তে। এফবিআইয়ের মতে, এ ধরনের অপরাধ প্রায় ক্ষেত্রেই পরস্পর-সংযুক্ত হয়ে থাকে এবং ব্যক্তি ও প্রাতিষ্ঠানিক পর্যায়ে শত শত কোটি ডলার ক্ষতির কারণ হয়। 

যাই হোক, সাইবার অপরাধের ক্ষেত্রে সাধারণত হামলার পরপর হামলাকারী সম্পর্কে কোন তথ্য পাওয়ার সম্ভাবনা কম থাকে। এমনকি কোন দেশ থেকে হামলা হয়েছে, সেটি সনাক্ত করতেও সপ্তাহ, মাস ও কখনো কখনো বছর লেগে যায়। এটি এই অপরাধ কভার করা সাংবাদিকের জন্য বড় চ্যালেঞ্জ। অপরাধীর ব্যাপারে সন্দিহান হলে নিচের পরামর্শগুলো মনোযোগ দিয়ে দেখুন:

১. সাইবার অনুসন্ধান মোটেও সোজাসাপ্টা বিজ্ঞান নয়। তদন্তকারী বা বিশেষজ্ঞরা যখন দাবি করেন একজন নির্দিষ্ট অপরাধী (জাতি-রাষ্ট্র, “হ্যাকার” গোষ্ঠী, বা ব্যক্তি – যে কোনো পর্যায়ের) একটি অপরোধের সঙ্গে যুক্ত, সেটি সাধারণত ভুল হয়। বিশেষ করে, যদি সেটি হয় ঘটনার পরপর। এই দাবিগুলো সতর্কতার সঙ্গে দেখা উচিত।

২. বিশেষ করে, জটিল হামলার সময় সাইবার অপরাধীরা তাদের পরিচয় লুকাতে অনেকগুলো স্তর ব্যবহার করেন। শুরুতেই যদি একজন সন্দেহভাজন হ্যাকার সম্পর্কে তথ্য পেয়ে যান, সেটি আপনাকে বিভ্রান্ত করার জন্য দেওয়া হয়েছে বলে ধরে নেবেন। কোনো একটি অনুসন্ধানে কত সময় লাগতে পারে, তা-ও পাঠকদের জানান।

এসব কারণে যে কোনো সাইবার সমীকরণে অপরাধীদের প্রান্ত থেকে সোর্স জোগাড় করা বেশ কঠিন। যাই হোক, আমি পেয়েছিলাম। ভুক্তভোগীর চেয়ে সাইবার অপরাধ করেছেন, এমন কাউকে কথা বলার জন্য খুঁজে পাওয়া, তাদের দৃষ্টিভঙ্গি ব্যাখ্যা করা, এবং অপরাধের অভিযোগ তাদের দৃষ্টিকোণ থেকে দেখা বেশ সহজ। এটি আমাদেরকে পরবর্তী সমস্যা নিয়ে ভাবার সুযোগ করে দেয়।

ভুক্তভোগী

প্রাথমিকভাবে সাইবার অপরাধীর পরিচয় স্পষ্ট না হওয়ার কারণে, সাংবাদিকেরা অনেক সময় তাদের মনোযোগ ভুক্তভোগীর দিকে নিয়ে যান। বেশিরভাগ ক্ষেত্রেই এই ভুক্তভোগী হলো কোনো ব্যবসা প্রতিষ্ঠান বা সরকারি সংস্থা, যারা গ্রাহক বা নাগরিকের ব্যক্তিগত ডেটার নিরাপত্তা দিতে পারেনি বলে জনরোষের শিকার হওয়ার শংকায় থাকে। 

সাংবাদিকদের মনে রাখা জরুরি যে, এই প্রতিষ্ঠানগুলো আসলে ভুক্তভোগী এবং তাদের কর্মচারীরা হয়তো অপরাধের শিকার। যে কোম্পানি হামলার শিকার হয়েছে, সেটির প্রযুক্তি এবং নিরাপত্তা কর্মচারীদের আক্রমণের প্রতিকার খুঁজে পেতে কয়েক মাস সময় লেগে যেতে পারে, বিশেষ করে অবিরাম ম্যালওয়্যার বা র‌্যানসমওয়্যার হামলার ক্ষেত্রে।

ভুক্তভোগী কোম্পানির অনেক প্রযুক্তি কর্মী আঘাত-পরবর্তী মানসিক চাপজনিত ব্যাধিতে (পিটিএসডি) ভুগছেন বলে জানিয়েছেন। অন্যেরা একটানা কয়েক দিন অফিসে ঘুমিয়েছেন, হামলার জন্য তাদের ব্যক্তিগতভাবে দোষারোপ করা হয়েছে, এবং এজন্য গ্রাহক ও সহকর্মীদের কাছ থেকে গালিও শুনেছেন।

এটি সত্যি যে, অনেক কোম্পানি তাদের নিরাপত্তা নিয়ে উদাসীন থাকে। তারা কোথায় টাকা খরচ করবে এবং নিরাপত্তা বা প্রযুক্তির দায়িত্বে কাকে নিয়োগ দেবে – সে ব্যাপারে অনেক সময় দুর্বল সিদ্ধান্তও নিয়ে থাকে। হ্যাঁ, বেশ কিছু সরকারি সংস্থা ও অলাভজনক প্রতিষ্ঠান তাদের ব্যবস্থাপনা কৌশলে অদূরদর্শী ও পুরনো প্রযুক্তির ওপর নির্ভরশীল। অন্যেরা হয়তো আপ-টু-ডেট থাকে, দায়িত্বশীল ব্যবস্থাপনাও চর্চা করে, কিন্তু হামলাকারীরা সামান্য একটি ভুলই কাজে লাগাতে পারে। 

তারপরও সাংবাদিকেরা এখনো প্রায়ই ভুক্তভোগী ও অপরাধীর মাঝে পার্থক্য বুঝতে পারেন না। ভুক্তভোগী, এবং তাদেরকে লক্ষ্যবস্তু করার কারণ সম্পর্কে বোঝাপড়া আমাদেরকে অপরাধটিকে বুঝতে সহায়তা করে। ভুক্তভোগীর দুর্বলতা যাচাই বাছাই করা এই প্রক্রিয়ার অংশ, তবে ভুলে যাওয়া চলবে না যে অন্য প্রতিষ্ঠান বা ব্যক্তিও এই অপরাধ ঘটাতে পারে। 

সাইবার অপরাধ নিয়ে রিপোর্টিংয়ে আরও সূক্ষ্ম দৃষ্টিভঙ্গি প্রয়োজন। অপরাধী বা অপরাধীদের পরিচয় তাৎক্ষণিকভাবে জানা না গেলেও অপরাধের সূত্র সেখানেও পাওয়া যায়। হামলার সঙ্গে জড়িত ব্যক্তি, প্রতিষ্ঠান বা দেশ সম্পর্কে তথ্য বের করা, আইনপ্রয়োগকারী সংস্থা এবং অন্যান্য তদন্তকারীদের মতোই একজন সাইবার অপরাধ সাংবাদিকেরও চলমান দায়িত্ব।

ঠিক এখানেই যথাযথ সোর্স সবচেয়ে গুরুত্বপূর্ণ। কীভাবে অনুপ্রবেশ ঘটেছে বুঝতে সাংবাদিকদের উচিত প্রেক্ষাপট সম্পর্কে জানার সর্বোচ্চ চেষ্টা করা; এবং তাদের কাছ থেকে শোনা – যারা ঘটনার সঙ্গে নিবিড়ভাবে সম্পর্কিত এবং বলতে পারেন এই অনুপ্রেবেশের অর্থ কী এবং এর প্রতিক্রিয়া কেমন হবে। এমন সোর্স পাওয়া বেশ কঠিন। নিয়োগ চুক্তি লঙ্ঘন করে একজন কর্মীকে প্রেক্ষাপট সম্পর্কে কথা বলতে রাজি করানো কষ্টসাধ্য। সেই ব্যক্তি যদি হন একজন অভিজ্ঞ সাইবার-নিরাপত্তা কর্মী, যিনি গোপন তথ্য নিয়ে সাংবাদিকদের সঙ্গে জট পাকাতে চান না, তাহলে তো আরও কঠিন। 

তবে রিপোর্টারদের উচিত অনুপ্রবেশের সঙ্গে নিবিড়ভাবে সম্পর্কিত ব্যক্তিদের বলয়টিকে চেনা এবং তাদের সঙ্গে যোগাযোগের চেষ্টা করা। যদি দেখা যায় মন্তব্যের জন্য শুধু বাইরের বিশেষজ্ঞ পাওয়া যাচ্ছে, যাদের ঘটনা সম্পর্কে ধারণা নেই, তাহলে সাইবার নিরাপত্তা পেশাজীবীদের অগ্রাধিকার দেওয়া উচিত, কোনো তাত্ত্বিক বা একাডেমিক নয়। এক্ষেত্রে, পেশাজীবী বলতে তাদের বোঝানো হচ্ছে, যারা গত ১২ মাসের মধ্যে সাইবার নিরাপত্তা নিয়ে হাতে কলমে কাজ করেছেন।

বাইরের জগৎ

একটি নির্দিষ্ট অপরাধকে কীভাবে দেখা হচ্ছে, বহির্বিশ্বের কাছে তার আপেক্ষিক গুরুত্ব ও সাইবার নিরাপত্তা রিপোর্টিংকে প্রথাগত অপরাধ রিপোর্টিং থেকে আলাদা করে।

সাইবার নিরাপত্তা নিয়ে কোনো স্টোরি করতে গেলে সেই গল্পের ভেতরকার যাবতীয় জাতীয় ও আন্তর্জাতিক ক্রীড়নকদের সম্পর্কে জানা থাকতে হয়। এতে করে পাঠকেরা একটি পরিপূর্ণ ধারণা পান। 

একটি ভালো উদাহরণ: সম্প্রতি, টেক্সাস শহরে র‌্যানসমওয়্যারের একটি ঘটনা নিয়ে লেখা শ্বেতপত্রে, ঘটনার সঙ্গে সংশ্লিষ্ট হিসেবে টেক্সাস এঅ্যান্ডএম ইউনিভার্সিটি (স্বেচ্ছাসেবীসহ), স্থানীয় এফবিআই দপ্তর, সিক্রেট সার্ভিস (কারণ এর সঙ্গে অর্থ লেনদেনে প্রতারণাও যুক্ত ছিল), হোমল্যান্ড সিকিউরিটি, এবং ওয়াশিংটন ডিসি ভিত্তিক একটি সাইবার ইনসিডেন্ট রেসপন্স কোম্পানিকে অন্তর্ভুক্ত করা হয়। কোম্পানিটি তেল ও গ্যাস শিল্পের সঙ্গে জড়িত এবং সৌদি আরবের মালিকানাধীন বলে তারাও একটি অনুসন্ধানী দল পাঠায়। সৌদি দলটি ফ্রান্সের একটি প্রসেস ইঞ্জিনিয়ারিং সফটওয়্যারে ত্রুটি দেখতে পায়। এরপর ফ্রান্স সরকারের ন্যাশনাল সাইবার-সিকিউরিটি এজেন্সি এবং ইউরোপীয় ইউনিয়নও তদন্ত শুরু করে। এভাবে, আপাতদৃষ্টিতে যুক্তরাষ্ট্রের দক্ষিণ-পশ্চিমাঞ্চলে একটি বিচ্ছিন্ন হ্যাকিংয়ের ঘটনা, যুক্তরাষ্ট্র ও সৌদি আরব, দুই দেশের জাতীয় নিরাপত্তার জন্য উদ্বেগের কারণ হয়ে দাঁড়ায়। যেসব দেশ বা কোম্পানি ফ্রান্সের সেই সফটওয়্যার ব্যবহার করেছে তাদের জন্যেও এটি মাথাব্যাথার কারণ হয় এবং নিয়ন্ত্রণ ব্যবস্থা জোরদার করতে ইউরোপীয় ইউনিয়নের চেষ্টাকে পরীক্ষার মুখে ফেলে দেয়।

আমার শেষ পরামর্শ: সাইবার নিরাপত্তা নিয়ে কাজ করার জন্য গোটা বিশ্বে ছড়িয়ে থাকা অংশীজনদের মধ্যে সোর্স তৈরি করুন। ২০১৬ সালে মার্কিন যুক্তরাষ্ট্রের প্রেসিডেন্ট পদপ্রার্থী হিলারি ক্লিনটনের নির্বাচনী প্রচারণায় হ্যাকিংয়ের সঙ্গে, পরের বছর ফ্রান্সের নির্বাচনে প্রেসিডেন্ট ইমানুয়েল ম্যাঁক্রোর প্রচারণায় হ্যাকিংয়ের পার্থক্যটা ঠিক মত কাভার করতে পারিনি বলে এখনো আমার আফসোস হয়। যুক্তরাষ্ট্রের নির্বাচনে রুশ অনুপ্রবেশ সম্পর্কে অনেকটা জানলেও ফরাসি প্রেসিডেন্ট নির্বাচনে জয়ী হওয়া ম্যাঁক্রোর প্রচারণায় রাশিয়ানরা কেন প্রভাব ফেলতে পারেনি, তার পুরো গল্প আমরা জানি না।

এর কারণ হলো, ম্যাঁক্রোর নির্বাচনী দলের সাইবার-নিরাপত্তা প্রধান আগেই বুঝতে পেরেছিলেন রাশিয়ানরা মিথ্যা প্রচারণা চালাবে। এর জবাব দিতে, তিনি বেশ কিছু চমকপ্রদ ও উদ্ভাবনী কৌশল অবলম্বন করেন। এর মধ্যে ছিল, ইমেইলে কিছু ভুয়া তথ্য দিয়ে রাখা, কারণ তাঁরা জানতেন সম্ভবত এই ইমেইলগুলো হ্যাক হবে; আর এতে করে ভবিষ্যতে পুরো বিষয়টি জনসম্মুখে অস্বীকার করাও তাঁদের জন্য সহজ হয়ে দাঁড়াবে। ফ্রান্স সরকার এবং ম্যাক্রোঁর নির্বাচনী দলে আমার যদি সোর্স থাকত, তাহলে আমি একটি পূর্ণাঙ্গ স্টোরি করতে পারতাম, যেন যুক্তরাষ্ট্রের নির্বাচনে নিরাপত্তার ক্ষেত্রে যেসব ভুল হয়েছে, সেগুলো আর না হয়। আপনারা যারা পড়ছেন, হয়ত তারা-ই একদিন সেই স্টোরিটি লিখবেন।

Leave a Reply

Your email address will not be published. Required fields are marked *