WhatsApp-এ নতুন ধরনের স্ক্যাম! CERT-In-এর 'ঘোস্টপেয়ারিং' ঝুঁকির সতর্কতা জারি

১৯ ডিসেম্বর, ২০২৫ তারিখে জারি করা CERT-In-এর সতর্কতা বার্তা অনুসারে, এই আক্রমণটি মূলত একটি সোশ্যাল ইঞ্জিনিয়ারিং কৌশল যা WhatsApp-এর বৈধ বৈশিষ্ট্যগুলোর অপব্যবহার করে। এই প্রক্রিয়াটি সাধারণত একটি বিশ্বস্ত পরিচিত ব্যক্তির কাছ থেকে পাঠানো একটি প্রতারণামূলক বার্তা দিয়ে শুরু হয়, যার অ্যাকাউন্টটি সম্ভবত ইতিমধ্যেই হ্যাক করা হয়েছে। বার্তাটিতে প্রায়শই একটি লোভনীয় প্রলোভন থাকে, যেমন, “হাই, তোমার এই ছবিটি দেখো”, সঙ্গে একটি লিঙ্ক থাকে যা তাৎক্ষণিক বিশ্বাস অর্জনের জন্য ফেসবুকের মতো একটি প্রিভিউ প্রদর্শন করে।

নকল সাইটটি ব্যবহারকারীকে তার ফোন নম্বর প্রবেশ করতে বলে। এক্ষেত্রে আক্রমণকারী তার নিজের ব্রাউজারে একটি বৈধ Link with Phone Number রিকোয়েস্ট পাঠাতে শুরু করে। এরপর WhatsApp একটি ৮-সংখ্যার পেয়ারিং কোড তৈরি করে, যা আক্রমণকারী নকল সাইটটিতে ফিরিয়ে পাঠায়। ভুক্তভোগী এটিকে একটি সাধারণ নিরাপত্তা যাচাই ভেবে তার WhatsApp অ্যাপে কোডটি প্রবেশ করান এবং অজান্তেই আক্রমণকারীর ব্রাউজারটিকে একটি trusted ডিভাইস হিসেবে অনুমোদন দেন।

কিছু ক্ষেত্রে ফিশিং সাইটটি আক্রমণকারীর WhatsApp ওয়েব সেশন থেকে একটি রিয়েল-টাইম কিউআর কোড এমবেড করে। যদি ভুক্তভোগী তাঁর পরিচয় যাচাই করার জন্য মোবাইল অ্যাপ থেকে এই কোডটি স্ক্যান করেন, তবে আক্রমণকারী তাৎক্ষণিকভাবে লগ ইন করে ফেলে।

এই পেয়ারিংয়ের ভুতুড়ে প্রকৃতিই এর সবচেয়ে মারাত্মক বৈশিষ্ট্য। যেহেতু এই আক্রমণে অফিসিয়াল লিঙ্কড ডিভাইস প্রোটোকল ব্যবহার করা হয়, তাই এটি কোনও নতুন লগইন অ্যালার্ট ট্রিগার করে না, যার জন্য সাধারণত একটি দ্বিতীয় ওটিপি প্রয়োজন হয়। ভুক্তভোগীর প্রধান নম্বরটি স্বাভাবিকভাবে কাজ করতে থাকে, কোনও জোরজবরদস্তি লগআউট হয় না, যা আক্রমণকারীকে কয়েক দিন বা এমনকি কয়েক সপ্তাহ ধরে একজন নীরব পর্যবেক্ষক হিসেবে থাকতে দেয়। এই সময়ে তারা সমস্ত ইনকামিং এবং আউটগোয়িং যোগাযোগ নিরীক্ষণ করতে পারে এবং এমনকি ব্যবহারকারীর ছদ্মবেশ ধারণ করে ভুক্তভোগীর পুরো কন্ট্যাক্ট লিস্ট এবং গ্রুপ চ্যাটগুলিতে ঘোস্টপেয়ারিং ফাঁদটি ছড়িয়ে দিতে পারে।

CERT-In সমস্ত ভারতীয় ডিজিটাল নাগরিকদের অপরিচিত লিঙ্ক পেলে, এমনকি পরিচিত ব্যক্তিদের থেকেও, অত্যন্ত সতর্ক থাকার জন্য অনুরোধ করেছে। নিজেদের অ্যাকাউন্ট সুরক্ষিত করতে –

WhatsApp অ্যাপে Settings > Linked Devices যেতে হবে। যদি কোনও অপরিচিত ব্রাউজার বা অপারেটিং সিস্টেম দেখতে পাওয়া যাবে (যেমন, কেউ যখন শুধুমাত্র উইন্ডোজ ব্যবহার করে তখন Google Chrome – macOS), তাহলে অবিলম্বে সেটি থেকে লগ আউট করতে হবে।

নিজেদের অ্যাকাউন্ট সেটিংসে একটি কাস্টম ৬-সংখ্যার পিন সেট আপ করতে হবে। এটি সুরক্ষার একটি গুরুত্বপূর্ণ স্তর যুক্ত করে যা একটি পেয়ার করা ডিভাইস সহজে বাইপাস করতে পারে না।

কোনও ওয়েবসাইটে কখনও একটি QR কোড স্ক্যান করা যাবে না বা পেয়ারিং কোড প্রবেশ করানো যাবে না। আসল WhatsApp  পেয়ারিং শুধুমাত্র নিজের ফোন এবং একটি অফিসিয়াল WhatsApp অ্যাপ্লিকেশন বা web.whatsapp.com-এর মধ্যে ঘটে।