0

 Phishing Defense: ফিশিং ইমেইল চেনার উপায়

by infodinajpuritpark@gmail.com | June 7, 2026
 Phishing Defense ফিশিং ইমেইল চেনার উপায়।

Phishing: ডিজিটাল প্রতারণা ও ফিশিং ইমেইলের কারিগরি ব্যাকগ্রাউন্ড

আপনার জিমেইল (Gmail) বা বিজনেস ইনবক্সে হঠাৎ কি কোনো ইমেইল এসেছে যেখানে বলা হয়েছে—”আপনার ব্যাংক অ্যাকাউন্টটি সাময়িকভাবে ব্লক করা হয়েছে, এখনই নিচের লিংকে ক্লিক করে পাসওয়ার্ড রিসেট করুন”? কিংবা হুট করে ফেসবুক, নেটফ্লিক্স বা পেপ্যালের হুবহু লোগো ব্যবহার করে মেইল পাঠানো হয়েছে যে—”আপনার অ্যাকাউন্টে সন্দেহজনক লগইন পাওয়া গেছে, ১ ঘণ্টার মধ্যে ভেরিফাই না করলে অ্যাকাউন্ট চিরতরে ডিলিট হবে”? সাইবার সিকিউরিটির ভাষায় এই মারাত্মক ও ধূর্ত ডিজিটাল ফাঁদকে বলা হয় Phishing Attack (ফিশিং আক্রমণ)

ফিশিং হলো এক ধরনের সোশ্যাল ইঞ্জিনিয়ারিং (Social Engineering) ক্রাইম, যেখানে হ্যাকাররা নিজেদের কোনো বিশ্বস্ত গ্লোবাল ব্র্যান্ড, ব্যাংক বা সরকারি প্রতিষ্ঠানের ছদ্মবেশে উপস্থাপন করে। এদের মূল লক্ষ্য থাকে ইমেইলের ভেতরে একটি ক্ষতিকারক ম্যালওয়্যার স্ক্রিপ্ট পুশ করা কিংবা একটি নিখুঁত ভুয়া লগইন পেজের লিংক (Spoofed Link) দেওয়া। ব্যবহারকারী যখনই সেই লিংকে ক্লিক করে তার ইউজারনেম, পাসওয়ার্ড বা ক্রেডিট কার্ডের তথ্য ইনপুট করে, ব্যাকগ্রাউন্ডে থাকা হ্যাকাররা তাৎক্ষণিকভাবে সেই সেনসিটিভ ক্রেডেনশিয়াল চুরি (Credential Harvesting) করে নেয়।

কোনো থার্ড-পার্টি পেইড সিকিউরিটি সফটওয়্যার ছাড়াই শুধুমাত্র সচেতনতা এবং ইমেইলের ভেতরের কারিগরি ডিরেক্টরি চেক করে ফিশিং ইমেইল চেনার ৫টি প্রফেশনাল ও টেকনিক্যাল মেথড নিচে ধাপে ধাপে দেওয়া হলো:

ফিশিং ইমেইল চেনার ও ডিফেন্স করার ৫টি প্রফেশনাল মেথড

১. প্রেরকের আসল ইমেইল ডোমেন (Sender’s Domain) পরীক্ষা করা

হ্যাকাররা ডিসপ্লে নেম (Display Name) হিসেবে যেকোনো বড় ব্র্যান্ডের নাম (যেমন: Facebook Support বা Bank of America) লিখে রাখতে পারে। কিন্তু তারা কখনোই অফিশিয়াল ইমেইল ডোমেন ব্যাকএন্ডে ব্যবহার করতে পারে না।

  • ইমেইলটি ওপেন করে প্রেরকের নামের পাশে থাকা আসল ইমেইল অ্যাড্রেসটি ভালোভাবে লক্ষ্য করুন।
  • কারিগরি অমিল: যদি ডিসপ্লে নেমে লেখা থাকে PayPal Support কিন্তু সেটির ভেতরের আসল ইমেইল আইডি দেখায় paypal-security@gmail.com বা support@paypa1-update-system.cc (এখানে l এর জায়গায় 1 ব্যবহার করা হয়েছে), তবে এটি শতভাগ একটি ফিশিং মেইল। অফিশিয়াল ইমেইল সর্বদা নিজস্ব ডোমেন (যেমন: support@paypal.com) থেকে আসে।

২. হাইপারলিংক অডিট ট্রিক (Hovering Over Links)

ফিশিং ইমেইলে থাকা কোনো বাটন (যেমন: “Click Here to Verify”) বা লিংকে ভুলেও সরাসরি ক্লিক করবেন না। লিংকের ভেতরের আসল গন্তব্য বা ইউআরএল (URL) কোড চেক করার একটি প্রফেশনাল টেকনিক্যাল ট্রিক রয়েছে।

  • মাউসের কার্সারটি ইমেইলের বাটনের ওপর ক্লিক না করে শুধুমাত্র ভাসিয়ে রাখুন (Hover Over)।
  • সাথে সাথে আপনার ব্রাউজার বা ইমেইল ক্লায়েন্টের একদম নিচে বাম কোণায় একটি হিডেন হাইপারলিংক ইউআরএল ভেসে উঠবে। যদি মেইলের বাটনে লেখা থাকে [www.facebook.com](https://www.facebook.com) কিন্তু নিচে হোভার লিংকে দেখায় [http://secure-login-facebook-xyz.com](http://secure-login-facebook-xyz.com)—তবে বুঝতে হবে এটি হ্যাকারদের তৈরি একটি ট্র্যাপ বা ভুয়া ফিশিং পেজ।

৩. জরুরিত্ব এবং ভয়ের মানসিকতা (Urgency & Threat Analysis)

ফিশিং অ্যাটাকের মূল মনস্তাত্ত্বিক অস্ত্র হলো ব্যবহারকারীর মনে তীব্র ভয় বা তাড়াহুড়ো তৈরি করা, যাতে সে চিন্তা করার সময় না পায়।

  • যদি কোনো ইমেইলে এই ধরনের ভাষা ব্যবহার করা হয়—“Immediate Action Required”, “Your account will be suspended within 24 hours”, কিংবা “You have won a lottery, claim within 1 hour”, তবে চোখ বন্ধ করে ধরে নিতে পারেন এটি ফিশিং। কোনো অফিশিয়াল প্রতিষ্ঠান বা ব্যাংক কখনো হুট করে ইমেইলের মাধ্যমে অ্যাকাউন্ট ডিলিট বা ব্লক করার আলটিমেটাম দেয় না।

৪. ইমেইলের সিকিউরিটি হেডার (SPF, DKIM, DMARC) ভেরিফিকেশন

আপনি যদি কোনো ইমেইল নিয়ে দ্বন্দ্বে পড়েন, তবে জিমেইলের ইন্টারনাল সিকিউরিটি সিগনেচার চেক করতে পারেন। এটি সবচেয়ে নিখুঁত টেকনিক্যাল মেথড।

  • জিমেইলে আসা ইমেইলটির ডান পাশে থাকা থ্রি-ডট () মেনুতে ক্লিক করে “Show original” অপশনটি সিলেক্ট করুন।
  • একটি নতুন টেকনিক্যাল পেজ ওপেন হবে। সেখানে SPF, DKIM, এবং DMARC নামের তিনটি সিকিউরিটি প্রটোকল দেখতে পাবেন।
  • ফলাফল: এই তিনটি প্রটোকলের পাশেই যদি “PASS” লেখা থাকে, তবে মেইলটি আসল। কিন্তু কোনো একটির পাশেও যদি “FAIL” বা “SOFTFAIL” লেখা থাকে, তবে বুঝতে হবে হ্যাকাররা ইমেইল স্পুফিং (Email Spoofing) এর মাধ্যমে অন্য কারও আইডেন্টিটি নকল করে মেইলটি পাঠিয়েছে।

৫. জেনেরিক সম্ভাষণ ও ভুল বানান (Generic Greetings & Typos)

অফিশিয়াল প্রতিষ্ঠানগুলো যখন আপনাকে মেইল করবে, তখন তাদের ডাটাবেজ থেকে সরাসরি আপনার নাম ধরে সম্বোধন করবে (যেমন: Dear Mithun)।

  • ফিশিং মেইলগুলো হ্যাকাররা সাধারণত একসাথে লাখ লাখ মানুষের কাছে গণহারে পাঠায়। তাই তারা নামের জায়গায় “Dear Customer”, “Dear User”, কিংবা “Dear Account Holder” এর মতো জেনেরিক শব্দ ব্যবহার করে। এছাড়া ইন্টারন্যাশনাল ব্র্যান্ডের নাম করে আসা ইমেইলের ভেতরে যদি ব্যাকরণগত বা বানানের মারাত্মক ভুল লক্ষ্য করেন, তবে নিশ্চিত হোন এটি কোনো হ্যাকারের কাঁচা হাতের কাজ।

💡 আইটি প্রফেশনাল ও ডেভলপারদের জন্য সিএসই ইঞ্জিনিয়ার্স প্রো-টিপ

আপনি যদি আপনার পিসিতে প্রফেশনাল গ্রাফিক্স ডিজাইনিং, কাস্টম পাইথন কোডিং, ওয়েব ডেভলপমেন্ট কিংবা নেটওয়ার্ক অটোমেশন সিস্টেম অ্যাডমিনিস্ট্রেশনের কাজ করেন, তবে ইনবক্সে আসা যেকোনো সন্দেহজনক অ্যাটাচমেন্ট (Attachment) ফাইল নিয়ে সর্বোচ্চ সতর্ক থাকুন।

কারিগরি সত্য: ফিশিং মেইলের সাথে অনেক সময় পিডিএফ বা ইমেজ ফাইলের ছদ্মবেশে ক্ষতিকারক স্ক্রিপ্ট পাঠানো হয় (যেমন: Invoice_2026.pdf.exe)। আমাদের পূর্ববর্তী চ্যাপ্টারের নিয়ম অনুযায়ী উইন্ডোজে ফাইল এক্সটেনশন সর্বদা অন রাখুন। কোনো ফিশিং অ্যাটাচমেন্টে ভুলবশত ক্লিক করলে তা ব্যাকগ্রাউন্ডে সাইন-ইন করা ব্রাউজারের সমস্ত সেভ করা পাসওয়ার্ড, কুকিজ (Cookies) এবং সেশন টোকেন চুরি করে হ্যাকারদের সার্ভারে পাঠিয়ে দিতে পারে, একে বলা হয় Session Hijacking

সমাধান: এই ডিজিটাল হাইজ্যাকিং থেকে বাঁচতে আপনার ব্রাউজারে কখনো ব্যাংক বা বিজনেস অ্যাকাউন্টের পাসওয়ার্ড সেভ করে রাখবেন না। সর্বদা একটি বিশ্বস্ত ডেডিকেটেড পাসওয়ার্ড ম্যানেজার ব্যবহার করুন এবং আপনার সমস্ত অ্যাকাউন্টে 2FA (Two-Factor Authentication) বা দ্বি-স্তর বিশিষ্ট নিরাপত্তা লক সচল রাখুন, যেন হ্যাকাররা পাসওয়ার্ড পেলেও ওটিপি (OTP) ছাড়া আপনার অ্যাকাউন্টে হুক করতে না পারে।

⚠️ সিস্টেম স্ট্যাবিলিটি ও ব্র্যান্ড প্রটেকশন নোট

আপনার পিসিতে যদি শক্তিশালী জিপিইউ এবং উচ্চগতির এসএসডির মতো হাই-এন্ড হার্ডওয়্যার থাকে, তবে ব্যাকগ্রাউন্ডে ফিশিং স্ক্রিপ্ট বা হিডেন ইনফো-স্টিলার (Info-stealer) ম্যালওয়্যার চলতে থাকলে তা সিস্টেম রিসোর্স চুষে ওবিএস স্টুডিও (OBS Studio) রেকর্ডিং বা ভিডিও এডিটিং টাইমলাইনে মারাত্মক ল্যাগ তৈরি করতে পারে।

ডিজিটাল নিরাপত্তা এবং ম্যালওয়্যার ফ্রি ক্লিন অপারেটিং সিস্টেম প্রফেশনাল কাজের পারফরম্যান্স সর্বোচ্চ স্তরে ধরে রাখার মূল চাবিকাঠি। আপনাদের আইটি সেন্টারের যেকোনো গুরুত্বপূর্ণ প্রজেক্টের ফাইল সিকিউরিটি লক, ইমেইল সার্ভার অপ্টিমাইজেশন, উইন্ডোজ সিকিউরিটি বুস্টিং, নেটওয়ার্ক প্রটোকল কনফিগারেশন, কিংবা যেকোনো প্রফেশনাল সিস্টেম অ্যাডমিনিস্ট্রেশন সাপোর্টের জন্য আপনারা সরাসরি আমাদের Dinajpur IT Park-এ যোগাযোগ করতে পারেন.

Leave a Reply