WhatsApp-এ নতুন ধরনের স্ক্যাম! CERT-In-এর 'ঘোস্টপেয়ারিং' ঝুঁকির সতর্কতা জারি

ভারতের প্রধান সাইবার নিরাপত্তা সংস্থা CERT-In (ইন্ডিয়ান কম্পিউটার ইমার্জেন্সি রেসপন্স টিম)  WhatsApp-এর ডিভাইস-লিঙ্কিং বৈশিষ্ট্যের একটি গুরুতর দুর্বলতা সম্পর্কে একটি উচ্চ-ঝুঁকির সতর্কতা জারি করেছে। ঘোস্টপেয়ারিং (GhostPairing) নামে পরিচিত এই ত্রুটিটি ব্যবহার করে হ্যাকাররা পাসওয়ার্ড, ওটিপি বা ফিজিক্যাল সিম সোয়াপ ছাড়াই একজন ব্যবহারকারীর WhatsApp অ্যাকাউন্টের সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে।

আরও পড়ুন: ২৫ ডিসেম্বর থেকেই বড় বদল আবহাওয়ায়! আরও নামবে পারদ, কনকনে ঠান্ডা, ঘন কুয়াশার সতর্কতা বঙ্গে

advertisement

এই দুর্বলতার সুযোগ নিয়ে আক্রমণকারীরা প্ল্যাটফর্মটির ওয়েব সংস্করণে ভুক্তভোগী ব্যক্তির সম্পূর্ণ চ্যাট হিস্টরি, যার মধ্যে সংবেদনশীল ছবি, ভিডিও, ভয়েস নোট এবং লাইভ মেসেজও অন্তর্ভুক্ত, সেগুলিতে রিয়েল-টাইম অ্যাক্সেস লাভ করতে পারে।

ঘোস্টপেয়ারিং আক্রমণের কার্যপ্রণালী

১৯ ডিসেম্বর, ২০২৫ তারিখে জারি করা CERT-In-এর সতর্কতা বার্তা অনুসারে, এই আক্রমণটি মূলত একটি সোশ্যাল ইঞ্জিনিয়ারিং কৌশল যা WhatsApp-এর বৈধ বৈশিষ্ট্যগুলোর অপব্যবহার করে। এই প্রক্রিয়াটি সাধারণত একটি বিশ্বস্ত পরিচিত ব্যক্তির কাছ থেকে পাঠানো একটি প্রতারণামূলক বার্তা দিয়ে শুরু হয়, যার অ্যাকাউন্টটি সম্ভবত ইতিমধ্যেই হ্যাক করা হয়েছে। বার্তাটিতে প্রায়শই একটি লোভনীয় প্রলোভন থাকে, যেমন, “হাই, তোমার এই ছবিটি দেখো”, সঙ্গে একটি লিঙ্ক থাকে যা তাৎক্ষণিক বিশ্বাস অর্জনের জন্য ফেসবুকের মতো একটি প্রিভিউ প্রদর্শন করে।

আরও পড়ুন: হাঁসখালির নাবালিকা গণধর্ষণ কাণ্ডে ৩ জনের যাবজ্জীবন! বাকিদের কী সাজা দিল আদালত?

যখন কোনও ব্যবহারকারী লিঙ্কটিতে ক্লিক করে, তখন তাকে একটি প্রতারণামূলক verification পেজে পুনঃনির্দেশিত করা হয় যা অফিসিয়াল ফেসবুক বা WhatsApp ওয়েব ইন্টারফেসের আদলে তৈরি। এখানে আক্রমণকারীরা অ্যাকাউন্টটি হ্যাক করার জন্য দুটি প্রধান পদ্ধতি ব্যবহার করে –

পেয়ারিং কোড পদ্ধতি: 

নকল সাইটটি ব্যবহারকারীকে তার ফোন নম্বর প্রবেশ করতে বলে। এক্ষেত্রে আক্রমণকারী তার নিজের ব্রাউজারে একটি বৈধ Link with Phone Number রিকোয়েস্ট পাঠাতে শুরু করে। এরপর WhatsApp একটি ৮-সংখ্যার পেয়ারিং কোড তৈরি করে, যা আক্রমণকারী নকল সাইটটিতে ফিরিয়ে পাঠায়। ভুক্তভোগী এটিকে একটি সাধারণ নিরাপত্তা যাচাই ভেবে তার WhatsApp অ্যাপে কোডটি প্রবেশ করান এবং অজান্তেই আক্রমণকারীর ব্রাউজারটিকে একটি trusted ডিভাইস হিসেবে অনুমোদন দেন।

কিউআর কোড পদ্ধতি: 

কিছু ক্ষেত্রে ফিশিং সাইটটি আক্রমণকারীর WhatsApp ওয়েব সেশন থেকে একটি রিয়েল-টাইম কিউআর কোড এমবেড করে। যদি ভুক্তভোগী তাঁর পরিচয় যাচাই করার জন্য মোবাইল অ্যাপ থেকে এই কোডটি স্ক্যান করেন, তবে আক্রমণকারী তাৎক্ষণিকভাবে লগ ইন করে ফেলে।

কেন এটি অত্যন্ত বিপজ্জনক

এই পেয়ারিংয়ের ভুতুড়ে প্রকৃতিই এর সবচেয়ে মারাত্মক বৈশিষ্ট্য। যেহেতু এই আক্রমণে অফিসিয়াল লিঙ্কড ডিভাইস প্রোটোকল ব্যবহার করা হয়, তাই এটি কোনও নতুন লগইন অ্যালার্ট ট্রিগার করে না, যার জন্য সাধারণত একটি দ্বিতীয় ওটিপি প্রয়োজন হয়। ভুক্তভোগীর প্রধান নম্বরটি স্বাভাবিকভাবে কাজ করতে থাকে, কোনও জোরজবরদস্তি লগআউট হয় না, যা আক্রমণকারীকে কয়েক দিন বা এমনকি কয়েক সপ্তাহ ধরে একজন নীরব পর্যবেক্ষক হিসেবে থাকতে দেয়। এই সময়ে তারা সমস্ত ইনকামিং এবং আউটগোয়িং যোগাযোগ নিরীক্ষণ করতে পারে এবং এমনকি ব্যবহারকারীর ছদ্মবেশ ধারণ করে ভুক্তভোগীর পুরো কন্ট্যাক্ট লিস্ট এবং গ্রুপ চ্যাটগুলিতে ঘোস্টপেয়ারিং ফাঁদটি ছড়িয়ে দিতে পারে।

অ্যাকাউন্ট সুরক্ষিত রাখার উপায়

CERT-In সমস্ত ভারতীয় ডিজিটাল নাগরিকদের অপরিচিত লিঙ্ক পেলে, এমনকি পরিচিত ব্যক্তিদের থেকেও, অত্যন্ত সতর্ক থাকার জন্য অনুরোধ করেছে। নিজেদের অ্যাকাউন্ট সুরক্ষিত করতে –

নিজের ডিভাইসগুলির নিরীক্ষা:

WhatsApp অ্যাপে Settings > Linked Devices যেতে হবে। যদি কোনও অপরিচিত ব্রাউজার বা অপারেটিং সিস্টেম দেখতে পাওয়া যাবে (যেমন, কেউ যখন শুধুমাত্র উইন্ডোজ ব্যবহার করে তখন Google Chrome – macOS), তাহলে অবিলম্বে সেটি থেকে লগ আউট করতে হবে।

টু-স্টেপ ভেরিফিকেশন (2SV) চালু করতে হবে:

নিজেদের অ্যাকাউন্ট সেটিংসে একটি কাস্টম ৬-সংখ্যার পিন সেট আপ করতে হবে। এটি সুরক্ষার একটি গুরুত্বপূর্ণ স্তর যুক্ত করে যা একটি পেয়ার করা ডিভাইস সহজে বাইপাস করতে পারে না।

কখনও বাহ্যিকভাবে পেয়ার করা যাবে না:

কোনও ওয়েবসাইটে কখনও একটি QR কোড স্ক্যান করা যাবে না বা পেয়ারিং কোড প্রবেশ করানো যাবে না। আসল WhatsApp  পেয়ারিং শুধুমাত্র নিজের ফোন এবং একটি অফিসিয়াল WhatsApp অ্যাপ্লিকেশন বা web.whatsapp.com-এর মধ্যে ঘটে।