26/10/2024
বর্তমানে অনেক দেশেই carding বা পেমেন্ট সিস্টেম প্রতারণা চলছে, যদিও বাংলাদেশে এটি এখন মাত্র শুরু হয়েছে। হ্যাকাররা মূলত বিভিন্ন পদ্ধতি, যেমন phishing, skimming, SQL injection, এবং BIN attack ব্যবহার করে প্রতারণা করে। এর মাধ্যমে তারা কার্ডের তথ্য হাতিয়ে নেয় এবং ডার্ক ওয়েবে বিক্রি করে বা সরাসরি অবৈধ লেনদেনে ব্যবহার করে।
কার্ডিং-এর পদ্ধতি এবং কীভাবে আক্রমণ চালানো হয় চলেন শুরু করি...
Phishing হলো সবচেয়ে প্রচলিত পদ্ধতি, যেখানে ব্যবহারকারীদের কাছে ভুয়া মেইল বা মেসেজ পাঠানো হয় এবং তারা ভুলবশত তাদের কার্ডের তথ্য দিয়ে ফেলে। Social engineering-এর মাধ্যমে অপরাধীরা সরাসরি ফোন কল করে বা মেসেজ পাঠিয়ে গ্রাহকের কাছ থেকে পাসওয়ার্ড, OTP, এবং কার্ডের তথ্য সংগ্রহ করে।
Skimming আক্রমণে POS মেশিন বা ATM-এ স্কিমার ডিভাইস সংযুক্ত করে কার্ডের তথ্য চুরি করা হয়। একবার তথ্য চুরি হলে সেটি অন্য কার্ডে clone করে হ্যাকাররা পণ্য কেনা বা অর্থ উত্তোলন করে।
BIN (Bank Identification Number) দিয়ে সম্ভাব্য কার্ড নম্বর অনুমান করা হয় এবং Brute-force পদ্ধতিতে বিভিন্ন CVV ও Expiry Date ব্যবহার করে লেনদেনের চেষ্টা করা হয়। এ জন্য Credit Card Validator এবং BIN Generator-এর মতো টুল ব্যবহৃত হয়।
SQL Injection-এর মাধ্যমে হ্যাকাররা ডাটাবেসে প্রবেশ করে এবং কার্ডের সংরক্ষিত ডেটা চুরি করে। এর জন্য SQLmap টুল বহুল ব্যবহৃত হয়।
sqlmap -u "https://Kamrul.us/payment?order=069" --dump
Burp Suite দিয়ে MITM আক্রমণ চালানো হয়, যেখানে হ্যাকাররা লেনদেনের ট্রাফিক আটকিয়ে এবং তা পরিবর্তন করে। এভাবে তারা গ্রাহকের পাসওয়ার্ড, কার্ড তথ্য বা লেনদেনের ডেটা চুরি করে।
এখন আসি কি কি টুল'স + স্ক্রিপ্ট ব্যাবহার করে, যদিও অনেক করে সব নাম লিখা, আনইথিক্যাল হবে।
1. SQLmap – SQL Injection চালিয়ে ডাটাবেস থেকে ডেটা বের করার জন্য।
2. Burp Suite – MITM আক্রমণের মাধ্যমে পেমেন্ট ট্রাফিক ম্যানিপুলেট করতে।
3. wfuzz – API-এর দুর্বলতা খুঁজতে এবং ব্রুটফোর্স আক্রমণ চালাতে।
4. Credit Card Validator – সম্ভাব্য কার্ড নম্বর যাচাই করতে।
5. BIN Generator – নির্দিষ্ট ব্যাংকের BIN ব্যবহার করে কার্ড নম্বর তৈরি করতে।
6. John the Ripper – পাসওয়ার্ড ক্র্যাকিং এবং ব্রুটফোর্স আক্রমণের জন্য।
7. Hydra – Online login এবং ফর্মগুলোর ওপর brute-force আক্রমণ চালাতে।
এখানে শেষ না,কিন্তু
ডার্ক ওয়েবে বিভিন্ন চুরি করা কার্ডের ডাম্প বিক্রি করা হয়, যা অপরাধীরা পণ্য কেনা বা অর্থ উত্তোলনে ব্যবহার করে। অনেক সময় এ ধরনের আক্রমণ এড়ানোর জন্য হ্যাকাররা VPN এবং TOR Browser ব্যবহার করে নিজেদের আইডেন্টিটি লুকিয়ে রাখে।
যায় হক এবার আসি ছোট কিছু বাচার উপায় বলতে।
1. 2FA (Two-Factor Authentication) চালু করা, যা প্রতিটি লেনদেনের জন্য অতিরিক্ত সুরক্ষা প্রদান করে।
2. SSL/TLS Encryption ব্যবহার করা, যাতে লেনদেনের সময় ডেটা এনক্রিপ্ট থাকে।
3. Fraud Monitoring System চালু রাখা, যা সন্দেহজনক লেনদেন চিহ্নিত করতে পারে।
4. Pe*******on Testing এবং নিয়মিত সিকিউরিটি অডিট করা, যা পেমেন্ট সিস্টেমের দুর্বলতা খুঁজে বের করে।
5. Advance Based Fraud Detection System ব্যবহার করা, যা অস্বাভাবিক লেনদেন শনাক্ত করতে পারে।
বাংলাদেশে carding-এর মতো প্রতারণা এখনই শুরু হয়েছে, তাই দ্রুত ব্যবস্থা না নিলে এটি আরও বড় সমস্যা হয়ে উঠতে পারে। গ্রাহকদের সচেতন করা এবং পেমেন্ট সিস্টেমে উন্নত সুরক্ষা ব্যবস্থা প্রয়োগ করা এখন সময়ের দাবি। নিয়মিত pe*******on testing এবং সিকিউরিটি অডিটের মাধ্যমে সিস্টেমের দুর্বলতা খুঁজে তা মেরামত করতে হবে। পাশাপাশি, গ্রাহকদের সব সময় সাবধান থাকতে হবে যাতে তারা সহজে phishing বা skimming-এর শিকার না হন।
®কামরুল