আব্দুল্লাহ আল-মামুনঃ মনে করুন, আপনার মোবাইলটি অফিসের ডেস্কের উপর রেখে আপন মনে কাজ করছেন, ফোনটি লক করা, হঠাৎ একটা OTP আসল। লক করা থাকলেও কিন্তু স্মার্টফোনের স্ক্রিনে SMS এর কিছু অংশ দেখা যায়। আপনার পেছন থেকে আপনার কলিগ এক ঝলক দেখেই বুঝে যাবে OTP এর নাম্বারটা কত এবং মুহুর্তেই সে জানিয়ে দেবে তার হ্যাকার বন্ধুকে, ঘটে যাবে ক্রেডিট কার্ডের বড় অংকের ট্রাঞ্জেকশন কিম্বা আপনার ইন্টারনেট ব্যাংকিং চলে যাবে অন্যের হাতে। ভাবছেন আপনার ইউজার নেম কিম্বা পাসওয়ার্ড কিম্বা ক্রেডিট কার্ডের ইনফো কই পাবে?
অনেক আগে আপনার ফেসবুক এ্যকাউন্ট যে হ্যাক হয়েছিল কিম্বা আপনি ফিশিং এর স্বীকার হয়ে ইমেইল আইডি হারিয়েছিলেন কিন্তু আপনার মনেই ছিল না যে আপনার ব্যাংক অ্যাকাউন্টের পাসওয়ার্ড আর ফেসবুকের পাসওয়ার্ড সেম, হ্যাকার কিন্তু সেটা ভুলে নাই। ডার্ক ওয়েবে এই রকম হাজার হাজার ক্রেডিট কার্ড আর ব্যাংক ইনফো বিক্রি হয়।
(ডার্ক ওয়েব কি জিনিস সেটা অন্যদিন লিখব), এইতো কয়দিন আগে এই করোনা মহামারীর ভেতরেই জুমের হাফ মিলিয়ন পাসওয়ার্ড ডার্ক ওয়েবে গেছে বিক্রির জন্য সেই নিউজ আমাদের অনেকেরই জানা এবং হ্যাকাররা অনেক সময় পাসওয়ার্ড পেয়েও ট্রাঞ্জেকশন করতে পারে না শুধুমাত্র আপনার অ্যাকাউন্টে Time-based One-Time Password algorithm (TOTP) এনাবল থাকার জন্য। এখন এই OTP-ই যদি রিস্কের ভেতর পরে তবে ভাবুন ওভারল রিস্কটা কতখানি।
SS7 (Signaling System No. 7) অ্যাটাক হচ্ছে এক ধরনের Man-in-the-Middle অ্যাটাক যেটা খুব সহজেই মোবাইল নেটওয়ার্কের SS7 protocol এর নিরাপত্তা ব্যবস্থা ভেঙ্গে SMS delivery আটকাতে কিম্বা অন্য মোবাইলে রিডিরেক্ট কিম্বা রিড করতে পারে। আপনার OTP আপনার মোবাইলে আসার আগেই যদি হ্যাকার এই পদ্ধতিতে ছিনিয়ে নেয়?
| ব্যাংক, ব্যাংকার, ব্যাংকিং, অর্থনীতি ও ফাইন্যান্স বিষয়ক গুরুত্বপূর্ণ খবর, প্রতিবেদন, বিশেষ কলাম, বিনিয়োগ/ লোন, ডেবিট কার্ড, ক্রেডিট কার্ড, ফিনটেক, ব্যাংকের নিয়োগ বিজ্ঞপ্তি ও বাংলাদেশ ব্যাংকের সার্কুলারগুলোর আপডেট পেতে আমাদের অফিসিয়াল ফেসবুক পেজ 'ব্যাংকিং নিউজ', ফেসবুক গ্রুপ 'ব্যাংকিং ইনফরমেশন', 'লিংকডইন', 'টেলিগ্রাম চ্যানেল', 'ইন্সটাগ্রাম', 'টুইটার', 'ইউটিউব', 'হোয়াটসঅ্যাপ চ্যানেল' এবং 'গুগল নিউজ'-এ যুক্ত হয়ে সাথে থাকুন। |
SMS ও OTP গুলো অপারেটরের ডেলিভারী সার্ভারে (SMSC) এনক্রিপ্টেড থাকে না, যে কেউ এটা পড়তে পারে। কোন অসাধু employee এটা লীক করে দিতে পারে কিম্বা FlexiSpy নামক স্পাইং প্রোগ্রাম দিয়ে হ্যাকাররা এটার অ্যাকসেস নিতে পারে।
SIM Swap ফ্রড হচ্ছে সোস্যাল ইঞ্জিনিয়ারিং এর মাধ্যমে আপনার তথ্য চুরি করে আপনার সিম হাইজ্যাক করা। গত বছরের শেষের দিকে টুইটারের CEO Mr. Jack Dorsey এই SIM Swap অ্যাটাকের স্বীকার হলে তার টুইটার অ্যাকাউন্ট হ্যাকারের দখলে চলে যায়। সুতরাং বুঝতেই পারছেন আপনার সিম অন্যের দখলে গেলে SMS OTP এর কি পরিণতি হবে।
বিকল্প কী?
মনে করুন, আপনি একটা transaction ইনিশিয়েট করেছেন আর সাথে সাথে আপনার স্মার্ট ফোনে একটা Accept আর Deny বাটনযুক্ত Popup window আসল। এটাকে বলে পুশ নোটিফিকেশন। (YouTube এর নোটিফিকেশন যেভাবে আসে)। আপনার ফোন লক করা থাকলে আপনি কোন বাটনেই প্রেস করতে পারবেন না, আপনাকে ফোনের লক আগে খুলতে হবে। সুতরাং আপনার কলীগ পেছন থেকে SMS OTP যেটা দেখে ফেলত সেই সমস্যা কিন্তু আর থাকল না।
উপরন্তু আপনাকে কষ্ট করে OTP টাইপও করতে হল না। শুধু Accept/ Deny এ প্রেস করলেই হবে। তবে এখানে আমার ব্যক্তিগত মত হচ্ছে, Accept/ Deny বাটনের সাথে একটা পিন দেয়ার সুযোগ দেয়া যাতে আপনি ভুলে কিম্বা অন্য মনস্ক হয়ে চাপ দিয়ে না ফেলেন। আবার পুশ নোটিফিকেশন যেহেতু মোবাইল SMS এর নেটওয়ার্ক দিয়ে আসে নাই, তাই এটা SS7 অ্যাটাক প্রুফ। আবার আপনি চাইলে SSL দিয়ে ট্রান্সপোর্ট লেয়ারে এনক্রিপশন দিতে পারেন যাতে Man-in-the-Middle attack না হয়।
SIM Swap অ্যাটাক করে আপনার সিম নিলেও, পুশ নোটিফিকেশন কিন্তু সে পাবে না কারণ তার মোবাইলে আপনার ব্যাংকিং অ্যাপ যেখানে পুশ নোটিফিকেশনে OTP আসবে সেটা ইন্সটল করা নেই। সুতরাং আপনি এই ফ্রড থেকেও বেচে গেলেন।
আবার আপনার ফোনটি চুরি হলেও কিন্তু আপনার ফোন যেহেতু ফেস কিম্বা ফিঙ্গার প্রিন্ট কিম্বা পাসওয়ার্ড দিয়ে লক করা তাই চোর খুব সহজেই কিন্তু পুশ নোটিফিকেশনের Accept/ Deny বাটন চাপতে পারবে না। তবে এই পুশ নোটিফিকেশন টেকনোলোজীও শতভাগ বুলেট প্রুপ না। তবে EU Payment Services Directive (PSD2) এর Strong Customer Authentication (SCA) এর গাইডলাইন অনুসারে এটা SMS OTP এর চাইতে শক্ত এবং ইউজার ফ্রেন্ডলীও। পাশাপাশি SMS পাঠানোর কোন খরচও নেই।
তবে SCA অনুসারে সবচাইতে স্ট্রং হচ্ছে Biometric authentication কিন্তু সেটা এখন পর্যন্ত ততটা ইউজার ফ্রেন্ডলী নয়। সেকারণে পুশ নোটিফিকেশনকেই ভাবা হচ্ছে আগামী দিনের ব্যাংকিং ট্রাঞ্জেকশনের জন্য 2nd Factor authentication. এছাড়াও অনেক জায়ান্ট কোম্পানী যেমন গুগল, মাইক্রোসফট, RSA ইত্যাদি এর অথেন্টিকেটোর অ্যাপ আছে যেগুলো অফলাইন OTP generate করতে পারে কোন SMS কিম্বা ইন্টারনেট ছাড়াই। সেগুলোও SMS ও OTP এর স্ট্রং বিকল্প হতে পারে।
শেষ কথা
সেই ২০১৬ সালে 2nd Factor হিসেবে SMS authentication কে ব্যবহার না করতে রিকমেন্ড করেছে NIST। এই SMS ও OTP আবিস্কার হয়েছে ৮০ এর দশকে। তবু এই প্রায় চল্লিশ বছরের পুরোনো টেকনোলোজী ব্যাংকগুলো কিম্বা অনেক ওয়ার্ল্ড জায়ান্ট আইটি কোম্পানীগুলো এখনও ইউজ করছে? তার একমাত্র কারণ, এর সহজ ব্যবহার এবং সব ইউজারের স্মার্টফোন না থাকা।
রাতারাতি টেকনোলোজী বদলায় না, তাই বাংলাদেশী ব্যাংকগুলোর উচিৎ হবে আস্তে আস্তে SMS ও OTP এর পাশাপাশি পুশ নোটিফিকেশনের মত advance authentication টেকনোলোজী advance ইউজারদেরকে অফার করা, অভ্যস্ত করা তবে অবশ্যই সেটা এখনই SMS ও OTP বাদ দিয়ে নয়।
লেখকঃ ইঞ্জিনিয়ার আব্দুল্লাহ আল-মামুন, বি.এসসি (সিএসই, কুয়েট), এম.এসসি (আইসিটি, বুয়েট), আইটি ম্যানেজার, ইস্টার্ন ব্যাংক লিমিটেড এবং এক্স-সিনিয়র সফটওয়ার ইঞ্জিনিয়ার, ডাচ-বাংলা ব্যাংক লিমিটেড।
আরও দেখুন:
◾ ফিনটেক কী এবং কেন?
◾ ফিনটেক এবং ব্যাংকিং খাতের ভবিষ্যৎ
◾ আগামীর ডিজিটাল ব্যাংকিং কেমন হবে
◾ আধুনিক ব্যাংকিং ও ভবিষ্যৎ চাহিদা
◾ ফিনটেক কি? ফিনটেক ও ব্যাংকিং এর সুবিধা ও অসুবিধাসমূহ
