এই সিরিজের প্রথম আর্টিকেল। তাই আপনাদের হাতে ছেড়ে দিলাম এখানে সোশ্যাল ইঞ্জিনিয়ারিং এর প্রয়োগ কোথায় সেটা নিজে খুঁজে নেয়ার জন্য। ব্ল্যাক হ্যাট হ্যাকিং এক কথায় অনৈতিক কিন্তু ব্ল্যাক হ্যাট হ্যাকারদের nmap, nikto, beef এসব না থাকলেও তারা শুধু নিজের মস্তিষ্ক খাটিয়ে আপনাকে নাকানিচুবানি খাইয়ে ছাড়বে। এই আর্টিকেলে যা পড়ছেন তার সবটুকুই আমার ব্যক্তিগত জীবনের ছোট্ট এক গল্প। আমি কোনোভাবেই অনৈতিক কোনো কিছু প্রমোট করছি না।
.
যে যাই বলুক সোশ্যাল ইঞ্জিনিয়ারিং এর সাথে ওতপ্রোতভাবে জড়িয়ে আছে ডার্ক সাইকোলজি বা মাইন্ড ম্যানিপুলেশন। মূলত সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করে কথার মাদ্ধমে কারো থেকে তথ্য হাতিয়ে নেয়াই প্রধান উদ্দেশ্য। আপনারা হয়তো, ‘হ্যালো, আমি বিকাশ থেকে নাহিদ বলছি’ বা ‘স্যার আপনার ক্রেডিট কার্ডের তথ্য হালনাগাদ করার জন্য আপনার ফোনে ৬ সংখ্যার একটা OTP সেন্ড করা হয়েছে সেটি কি বলতে পারবেন?’ এমন ফোন পেয়েছেন যদি সেই মোতাবেক কাজ করে থাকেন তবে আপনি সোশ্যাল ইঞ্জিনিয়ারিং নামক আক্রমণের শিকার হয়ে গিয়েছেন। এসব তো ছিচকে চুরি-বাটপারি। সোশ্যাল ইঞ্জিনিয়ারিং কে শিল্পের মাকামে নিয়ে গিয়েছিলেন বিখ্যাত হ্যাকার স্যার কেভিন ডেভিড মিটনিক।
১৯৯৫ এর দিকে তিনি তখনকার নামকরা সেল ফোন কোম্পানি মটোরোলার সোর্স কোড হাতিয়ে নেন শুধুমাত্র কাস্টমের কেয়ারে কথা বলে। এই গল্প বিস্তারিতভাবে অন্য কখনো বলা যাবে শুধু এটুকু বললাম যেন বুঝতে পারেন সোশ্যাল ইঞ্জিনিয়ারিং এর ক্ষমতা কতটুকু। আমার সোশ্যাল ইঞ্জিনিয়ারিং নিয়ে কাজ করার ধরণ আবার একটু ভিন্ন এসব থেকে।
কোনো এক কারণে একজনকে হ্যাক করার বুদ্ধি মাথায় চেপে বসলো। নিজের মেথডোলজি অনুযায়ী প্রথমে ভাবলাম আমার কি প্রয়োজন? আমি টার্গেট করে নিলাম আমার শুধুই প্রয়োজন ফাইল ম্যানেজার বা নিদৃষ্ট এক ফোল্ডারের এক্সেস এর বাহিরে কিছুই লাগবে না।
দুই একদিন সময় লাগিয়ে ভিকটিমের মনে নিজের জন্য একটা ভরসার জায়গা তৈরী করে নিলাম। এছাড়াও তাকে নিজের কথা এবং কাজের মাদ্ধমে বুঝিয়ে দিলাম আমি আর যাই হউক খুবই হাই কোয়ালিফায়েড টেক রিলেটেড জানা-শোনা মানুষ। তার সামনে বিনা দ্বিধায় গল্প করতে লাগলাম নিজের ইতিহাস নিয়ে যার অর্ধেকেই মিথ্যে। আমি নিজের একটা সিক্রেট শেয়ার করলাম সে শেয়ার করলো দুটো এভাবেই ধীরে ধীরে তার উপর কথার প্যাঁচ আর OSINT (Open Source Intelligence) এর মাধ্যমে টের পেয়ে গেলাম তার মানসিকতা! সে কি চায়? সে কি পছন্দ করে? এছাড়াও খুঁটিনাটি কিছু বিষয় তার ব্যাপারে।
ধীরে ধীরে আমি তার কাছে নিজেকে এমন ভাবে প্রিটেন্ড করতে লাগলাম যেন আমার চাইতে বিজ্ঞ এবং আমার চাইতে বিশ্বাসী মানুষ আর একটাও নেই পৃথিবীতে। যেটাকে আমি বলি Belief of a crocodile বাংলায় মনোযোগ চুরি করা।
আমি সবচাইতে সহজ উপায় বের করলাম তার ফাইল ম্যানেজারের এক্সেস নেয়ার। তা হলো SSH, যারা জানেন না SSH কি? তাদের জানাই SSH বা Secure Shell হচ্ছে এমন এক প্রটোকল যার মাধ্যমে একটা সুরক্ষিত টানেল/রাস্তা তৈরী করে তার মাধ্যমে দুটি ডিভাইসের মধ্যে কমিউনিকেট, ফাইল শেয়ার, কম্যান্ড ইত্যাদি করা যায় সহজেই। খুবই সিকিউর হওয়াতে এর মধ্যে যাতায়াত করা ডাটা প্যাকেট ফিল্টার করা খুবই মুশকিল। ফিল্টারিং বিষয়টি বুঝতে হলে wireshark নিয়ে ছোট একটা ইন্ট্রো পরে ফেলতে পারেন গুগলে। কিন্তু এখন বড় ঝামেলা হচ্ছে একটা ফোনের মধ্যে SSH কিভাবে নিয়ে আসা যায়? আপনারা হয়তো কখনো না কখনো Termux ব্যবহার করেছেন নিজের ফোনে। যারা নতুন এসব বিষয়ে তারা হয়তো বলতে পারবে না Termux কি? আপনাদের সুবিদার্থে বলে দেই Termux কে লিনাক্স টার্মিনাল এমুলেটর বলতে পারেন এর কাজ হচ্ছে আপনার ফোনে এমন একটা পরিবেশ তৈরী করে দেয়া যার মাধ্যমে আপনি আপনার ফোনে লিনাক্সের বিভিন্ন কাজ করতে পারবেন। অর্থাৎ এন্ড্রোইড ফোনে Termux এর মাধ্যমে SSH কানেকশন তৈরী করা যাবে কারণ লিনাক্সেও SSH ব্যবহার করা যায়। কিন্তু এখানেও একটা ঝামেলা আছে কানেকশন তৈরী করার আগে SSH সেটআপ করতে হবে তার জন্য একটা পাসওয়ার্ড সেট করতে হবে যেটা করবে ভিক্টিম নিজে আর সে নিজে পাসওয়ার্ড সেটআপ করলে তো আমি জানতে পারবো না আর না জানতে পারলে আমি SSH এক্সেস পাবো না। Termux এ এখনো এই দুর্বলতা আছে কিনা জানি না কিন্তু আমার সময় ছিল, passwd কম্যান্ড এর মাদ্ধমে লিনাক্সে বর্তমান ইউজারের পাসওয়ার্ড বদলে ফেলা যায় কিন্তু এন্ড্রোইড সম্পূর্ণ লিনাক্সকে নিজের মধ্যে রান করাতে পারবে না। Termux এর ডেভেলপার টিম তাই নিজেরাই passwd এবং আরো অন্যান্য কমান্ডের একটা আলাদা ভার্সন নিজেরা তৈরী করেছেন যেন লিনাক্সের ফিল পাওয়া যায়। এবং এখানেই যত ভুল তাদের, যখন passwd কম্যান্ড দিয়ে একটা পাসওয়ার্ড সেট করবেন Termux এ তখন একটা ফাইল তৈরী হয়ে যায় অটোমেটিক, ‘.passwd’ নামে এবং ফাইলে Blowfish এনক্রিপশন (একটা তথ্যকে লুকোনোর মাধ্যমকে এনক্রিপশন বলা হয়। এবং Blowfish তেমনি একটা টেকনিকের নাম।) ব্যাবহার করে পাসওয়ার্ডটি সেভ করে রাখা হবে যেন পরবর্তীতে পাসওয়ার্ড ম্যাচিং করানো যায়। তাহলে প্ল্যান হচ্ছে যদি আমি ভিক্টিমের ফোনে Termux ইনস্টল করিয়ে দেই এবং যদি তার পাসওয়ার্ড সেট করার আগেই পাসওয়ার্ড দিয়ে রাখি তাহলে আমার সেট করে দেয়া পাসওয়ার্ডই তার বর্তমান পাসওয়ার্ড থেকে যাবে। প্ল্যান শুনতে যতটা সহজ মনে হচ্ছে বাস্তবে খানিকটা ঝামেলারই ছিল আমার জন্য। এছাড়াও আমি তাকে কিভাবে ফোর্স করবো Termux ইনস্টল করে কম্যান্ড রান করানোর জন্য? এটাই সবচাইতে চ্যালেঞ্জিং পার্ট ছিল পুরো প্লানের।
.
আমরা দুজন নির্জন এক জায়গায় বসে গল্প করছি হুট্ করেই তাকে ঘুরিয়ে দিলাম তার অতীতের দিকে। যারা গল্প করে তারা সবসময় গল্প করে না তারা মাঝে মধ্যে গল্প শুনতেও ভালোবাসে। আমিও তার গল্প শুনছি খুবই মনোযোগ দিয়ে ইচ্ছে করেই তাকে তার প্রাক্তন প্রেমিকার দিকে ঘুরিয়ে দিলাম আমি তাকে বুদ্ধি দিলাম কিভাবে তার ক্ষতি করা যায় এবং কিভাবে তার থেকে বদলা নেয়া যায়।
তাকে জানালাম আমার কাছে একটা ভালো রিসৌর্স আছে ফেইসবুক একাউন্ট হ্যাকিং নিয়ে অনেকদিন আগে একটা আর্টিকেল পড়েছিলাম একটা ওয়েবসাইটে।
যেহেতু সে নিজেকে নিয়ে খুবই সংবেদনশীল মানুষ তাই তাকে আরো ফোর্স করলাম যেন কাজটা সে নিজে নিজেই করে এর জন্য তার মাথায় ঢুকিয়ে দিলাম কাজ শেষ হলে সে একটা স্মৃতি পাবে যেখানে সে খুব খুশি এবং মানুষকে গর্বের সাথে বলছে সে এক একাউন্ট হ্যাক করেছে। এই পদ্ধতি আমার সবচাইতে বেশি প্রিয় আমি এই মেথডের নাম দিয়েছি ‘Evil Plantation’ তারপর সে যখনই আমাকে জিজ্ঞেস করতো তাকে যেন রিসৌর্সটা শেয়ার করি আমি বারবার নিজ ইচ্ছেয় এড়িয়ে গিয়েছি যেন আরো এট্ট্রাকশন লাগিয়ে রাখতে পারি। এছাড়াও আমার মাথায় ঘুরছিলো যদি প্রথম চেষ্টায় আমি সফল না হই তবে আমার দ্বিতীয়বার আক্রমণ করার উপায় রাখতে হবে এবং তাই আমি তার এই অনৈতিক চাহিদাকে আরো জোরালো বানালাম যেন সে বারবার চেষ্টা করতে থাকে।
আমি বিরক্তি নিয়ে একবার তাকে বললাম আচ্ছা আজকেই দিয়ে দেব।
অপরদিকে আমি একটা ফেক আর্টিকেল লিখে ফেললাম তাও আবার বাংলায় খুবই ডিটেইলসে লিখলাম। ব্লগারে হোস্ট করে দিলাম আর্টিকেলটি সেখানেই উল্লেখ করে দিয়েছি এই কাজের জন্য Termux খুবই প্রয়োজনীয় এবং ফাইল ম্যানেজার এক্সেস দিতে হবে। (অবশ্য এটুকু না বললেও সে ঠিকই এলাও করতো কারণ মানুষ একালে প্লে স্টোর থেকে ডাউনলোড করা যেকোনো জিনিসকেই সহজে ট্রাস্টেড মনে করে।)
কখনো কি পেস্টজ্যাকিঙ এর নাম শুনেছেন? সহজে এক্সপ্লেইন করি একটা ওয়েবসাইটে খুবই জরুরি কিছু লেখা দেখেছেন আপনি কপি করে নিজের নোটপ্যাডে এনে পেস্ট করলেন আর অমনি সেটা অন্য কিছু হয়ে গেলো। আমি সেই আর্টিকেলে একটা কম্যান্ড লিখে দিয়েছিলাম কিন্তু সেটা ছিল পেস্ট জ্যাকিঙ কম্যান্ড। কম্যান্ড এর কাজ ছিল - একটা স্ক্রিপ্ট ডাউনলোড করবে আমার দেয়া গিটহাব গিস্ট থেকে সেই স্ক্রিপ্ট রান করে দেবে। কিন্তু আসল মশলা ছিল আমার স্ক্রিপ্টে সেখানে যা করতে বলে দিয়েছি তা ছিল এমন, ‘তুমি Termux এর সব কনফিগারেশন ফাইল ডিলেট করে দেবে এবং পেস্টবিন থেকে .passwd ফাইল ডাউনলোড করে সেট করে রেখে দেবে এবং যদি ফাইল ম্যানেজারের এক্সেস না থাকলে এক্সেস চাইবে। এরপর সবসময় যেন SSH কানেকশন স্টেবল থাকে তার জন্য Termux এর কনফিগারেশন ফাইলে SSH এক্টিভ করার কম্যান্ড দিয়ে রাখবে। এছাড়াও স্ক্রিপ্টের কাজ শেষ হলে আমার একটা সাইটে মেসেজ পাঠাবে যেন আমি কাজ শুরু করতে পারি।’
আমার হাতে তেমন সময় ছিল না যতক্ষনে আমি একটা পার্সোনাল নেটওয়ার্ক বানাবো এবং ভিক্টিমকে আমার নেটওর্কে নিয়ে আসবো। এমন রিস্ক নেয়ার কোনো কারণ দেখছিলাম না তাই তার থেকে তার বাড়ির ওয়াইফাই নিয়ে রাখলাম। SSH সার্ভার চলবে তার ফোনে, যদি তার সার্ভারের সাথে যোগাযোগ করতে চাই তাহলে আমাদের একই নেটওয়ার্কে থাকতে হবে। বিকেলের দিকে আর্টিকেলের লিংক দিয়ে বসে রইলাম সন্ধ্যার দিকে আমার সাইটে রিকোয়েস্ট এলো, আমি বুঝে গেলাম কাজের সময় এসে পড়েছে। নিজের ঘর থেকে বেরিয়ে এগিয়ে গেলাম তার ওয়াইফাই জোনের মধ্যে! কানেক্ট করে খুঁজে নিলাম তার লোকাল আইপি আমার ফোন থেকে Termux দিয়ে কানেক্ট করার চেষ্টা করতে লাগলাম, যে পাসওয়ার্ড দিয়েছিলাম সেটাই দিলাম আর ইউরেকা!
.
তারপরের কাজ তেমন কঠিন কিছু না scp কম্যান্ড দিয়ে সব ফাইল কপি করে আমার ফোনে নিয়ে এলাম। সমস্ত ফটো, ভিডিও, অডিও, কল রেকর্ডিং (এটাই প্রয়োজন ছিল।) ইত্যাদি।
আসল গল্পই বলে দিলাম এরপর তার সাথে কি হলো না হলো এসব গল্পের বিষয় না। আমি বলছি না আমি এই কাজের জন্য খুবই খুশি, আমি আসলেই দুঃখিত এসবের জন্য। তারপরও আশা করা যায় এখান থেকে কিছু হলেও শিখতে পারবেন কিন্তু কখনোই এসব অনৈতিক বিষয়গুলো চেষ্টা করতে যাবেন না। যদি চেষ্টা করে আইনি ঝামেলায় জড়িয়ে পড়েন তবে আমি আগেই বলছি এসবের জন্য আমি একদমই দায়ী না শুধুই নিজ দায়িত্বে এসব করতে যাবেন। আচ্ছা আপনাদের ভুলিয়ে দেই যে এটা বাস্তব ছিল।
**বিঃ দ্রঃ উপরে বর্ণিত সমস্ত গল্পই বানোয়াট বা কাল্পনিক এর সাথে বাস্তবের কোনো মিল নেই।**