আর্থিক খাতে ভয়েস অথেনটিকেশনঃ নিরাপত্তা নাকি ঝুকি?

আর্থিক খাতে ভয়েস অথেনটিকেশনঃ নিরাপত্তা নাকি ঝুকি?

আপনি যখনই কোন কারনে ক্রেডিট কিনবা ডেবিট কার্ড সংক্রান্ত কোন সমস্যার জন্য আপনার ব্যাংকের  কাস্টমার কেয়ার নাম্বারে ফোন দেন, ওপার থেকে বলা হয় “নিরাপত্তার স্বার্থে আপনাকে কিছু প্রশ্ন করবো’। এই ধরনের প্রশ্নগুলোই মূলত ভয়েস অথেন্টিকেশন। ভয়েস অথেনটিকেশন ব্যপারটা চলে আসছে বহুদিন যাবত। সাইবার নিরাপত্তার ধরন প্রতিনিয়ত যেভাবে বদলাচ্ছে, এই প্রশ্ন এসেই যায় যে আসলে ভয়েস অথেনটিকেশন কি নিরাপদ? নাকি এই পদ্ধতিই একটি ঝুকি?

এই ধরনের ঝুকির মূলত দুটি রূপ আছে। প্রথমটি হচ্ছে কাস্টমার কেয়ার প্রতিনিধি সেজে একজন  জালিয়াত যেকোন গ্রাহককে ফোন করে তার ব্যক্তিগত গোপন তথ্য যেমন পিনকোড কিংবা সিকিউরিটি কোড জেনে নেয় এবং পরবর্তিতে সেই কোড ব্যবহার করে আর্থিক জালিয়াতি করে। দ্বিতীয়টি হচ্ছে গ্রাহক একজন জালিয়াত সেজে কোন ব্যাংকের কাস্টমার কেয়ারে ফোন করে জালিয়াতি করে। আমরা এই লেখাটিতে মূলত দ্বিতীয় পদ্ধতিটি নিয়েই কথা বলবো।

প্রতিদিন আসলে ঠিক কতগুলো অথেনটিকেশন ফ্রড হয়? বাংলাদেশের প্রেক্ষিতে এর কোন হিসেব না পাওয়া গেলেও আমেরিকার ক্ষেত্রে তা প্রতি মিনিটে ৯০ টি বলে ২০১৯ এর “ভয়েস ইন্টেলিজেন্স রিপোর্ট”  নামের এক প্রতিবেদনে উঠে এসেছে। এই প্রতিবেদনের তথ্যমতে ২০১৪ সালের চেয়ে ২০১৮ সালে এ ধরনের জালিয়াতি বেড়েছে ৩.৫ গুণ। ২০১৮ সালে প্রতি ৬৮৫ টি সঠিক অথেনটিকেশনের বিপরীতে একটি জালিয়াতির ঘটনা ঘটেছে এবং এই বৃদ্ধির হার ইন্সুরেন্স কোম্পানিতে সর্বোচ্চ (২৪৮%)। আপাতদৃষ্টিতে এই জালিয়াতির প্রধান লক্ষ্য ব্যাংকগুলোকে মনে করা হলেও বাস্তবতা কিন্তু ভিন্ন। বাস্তবে ব্যাঙ্ক ছাড়াও ইন্সুরেন্স, রিটেইল ইন্ডাস্ট্রি, ব্রোকারেজ,  ট্রেড ইউনিয়ন সর্বক্ষত্রেই এই জালিয়াতি ঘটছে। সাইবার সিকিউরিটি অপরাধগুলি প্রতিদিন বাড়ছে এবং সেই সাথে প্রতারণাকারী এবং তাদের ব্যবহার করা প্রযুক্তিগুলিও আরও আধুনিক হয়ে উঠছে। বর্তমানের সাইবার প্রতারকরা সোশ্যাল ইঞ্জিনিয়ারিং এর মাধ্যমে গোপনীয় তথ্য পেতে এবং পরবর্তিতে সেইসব সংগ্রহকৃত তথ্য প্রতারনায় ব্যবহারে দক্ষ। সুতরাং, পরিচয় চুরি, অ্যাকাউন্ট হ্যাকিং, এবং প্রতারণামূলক লেনদেনের মতো আক্রমণগুলির উদ্দেশ্যে তারা সহজেই বিভিন্ন ধরণের ডেটা সংগ্রহ করতে পারে।

উন্নত ও নিরাপদ অন্যান্য ডিজিটাল চ্যানেলের সাথে তুলনা করা হলে, কল সেন্টারগুলির ঝুকির মাত্রা অনেক বেশি। এখানকার কার্যক্রম মানবনির্ভর বলে তাদের এই নির্ভরতা জালিয়াতির হার আশংকাজনকভাবে বৃদ্ধি করে। আধুনিক সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণগুলির ক্ষেত্রে কর্মচারীদের প্রশিক্ষণ সাধারণত কম হয় এবং একজন আক্রমনকারী জালিয়াতের পক্ষে গ্রাহকের ডেটা ব্যবহার করে সুরক্ষা প্রশ্নগুলির উত্তর দেওয়া খুব কঠিন নয়। এই দূর্বলতাই জালিয়াতিদের কল সেন্টারগুলিকে লক্ষ্যবস্তুতে পরিনত করতে উৎসাহ দেয়। 

অত্যাধুনিক প্রযুক্তিগুলোর বহুল ব্যবহার আমাদের কলসেন্টার এবং ভয়েস অথেনটিকেশনকে আরও ঝুকিপূর্ণ করে তুলছে। ডিপফেক এবং ভয়েস সিন্থেসাইজার এপ্লিকেশনগুলোর ক্রমাগত উন্নতি পুরো প্রক্রিয়াটিকেই হুমকির মুখে ঠেলে দিয়েছে। ডিপফেকের প্রথম প্রকাশ হাসি-ঠাট্টার বিষয় হলেও খুব দ্রুতই এর ভয়াবহতা সম্পর্কে মানুষ বুঝতে পেরেছে এবং এই প্রযুক্তির ব্যবহার প্রতিরোধে ইতমধ্যেই উন্নত দেশগুলো আইনের দিকে ঝুকছেন। ভয়েস ইন্টেলিজেন্স রিপোর্ট এ উঠে এসেছে ভয়েস সিন্থেসাইজার ব্যবহার করে কিভাবে একটি কল সেন্টারের ফাক-ফোকরগুলি খুজে বের করে সেগুলোকে ব্যবহার করা যায়।

আমাদের দেশের কলসেন্টারগুলো থেকে সাধারনত গতবাধা প্রশ্ন “জন্ম তারিখ” এবং “মায়ের নাম” জানতে চাওয়া হয়। লক্ষ্যনীয় যে এই দুটি তথ্যই আমাদের জাতীয় পরিচয়পত্রে বিদ্যমান সুতরাং যেকোন জালিয়াতের পক্ষে এই তথ্য পাওয়াটা খুব দুষ্কর  নয়। সবসময় জিজ্ঞাসা করা এই গতবাধা প্রশ্নেও পরিবর্তন আনা উচিত।       এছাড়া এই ধরনের আক্রমনের আধুনিকতার সাথে সাথে আমাদের দেশের কলসেন্টারগুলোরও আধুনিকায়ন জরুরী। প্রচলিত তথ্যভিত্তিক অথেন্টিকেশনের পরিবর্তে আমাদের উচিত প্রযুক্তিগত অথেন্টিকেশন যেমন ভয়েস আইডেন্টিফিকেশন কিনবা ভয়েস বায়োমেট্রিক্স সল্যুশনের সাহায্য নেয়া। 

গ্রাহকদেরও নিজেদের ব্যক্তিগত তথ্য সংরক্ষনের ব্যপারে সাবধানতা অবলম্বন  অত্যাবশ্যকীয়। নিজের ব্যক্তিগত তথ্য কারও সাথে শেয়ার না করা, কোথাও লিখে না রাখা, নিজের জাতীয় পরিচয়পত্র, ক্রেডিট/ডেবিট কার্ডের তথ্য গোপন রাখা এগুলোর দিকে খেয়াল রাখতে হবে। গ্রাহকদের সুরক্ষার জন্য আর্থিক প্রতিষ্ঠানগুলোর সচেতনতা ও উদ্যোগ যেমন জরুরী, ঠিক সেভাবে গ্রাহকের সচেতনতাও অত্যাবশ্যক। 


Md Sabbir Hossain

IT Policy & Risk Analyst

BGD e-GOV CIRT

Share