BIN আক্রমণ: কার্ড স্ক্যামিং ও সুরক্ষা

BIN Attack BIN (Bank Identification number) এক ধরনের সাইবার আক্রমণ/ কার্ড স্ক্যামিং যেখানে আক্রমণকারীরা Bank Identification Number (BIN) ব্যবহার করে কার্ডের সম্পূর্ণ তথ্য অনুমান করার চেষ্টা করে । BIN মূলত কার্ডের প্রথম ৬টি সংখ্যা যা ইস্যুকারী ব্যাংক বা আর্থিক প্রতিষ্ঠানের পরিচয় দেয়। আক্রমণকারীরা এই BIN এর ভিত্তিতে বাকি সংখ্যা, CVV, এবং মেয়াদ শেষ হওয়ার তারিখ অনুমান করে বৈধ কম্বিনেশন খুঁজে বের করে ও কার্ড থেকে ট্রানজেকশন করে। BIN Attak ৩ টি ধাপে সম্পন্ন হয়: ১) একটি ব্যাঙ্কের BIN টার্গেট করা: অপরাধীরা ইন্টারনেটের ওপেন ডেটাবেস/ ব্ল্যাক মার্কেট থেকে কোনো ব্যাংকের BIN সংগ্রহ করে ও নির্দিষ্ট কার্ড টাইপ অনুযায়ী BIN ফিল্টার করে। ২) কার্ড নম্বর জেনারেট: BIN নম্বর ঠিক রেখে বাকি নম্বর স্ক্রিপ্ট ব্যাবহার করে জেনারেট করে। মূলত, প্রতারকেরা যে আর্থিক প্রতিষ্ঠানে আক্রমণ করছে তার জন্য হাজার হাজার সম্ভাব্য কার্ডের কম্বিনেশন তৈরি করে বিভিন্ন AI স্ক্রিপ্ট ব্যাবহার করে ফিল্টার করে। এক্সপায়ারি ডেট এবং CVV অনুমান করার প্রক্রিয়াটি সম্পূর্ণরূপে অটোমেটেড নয় বরং এটি কিছু কৌশল এবং দুর্বলতাকে কাজে লাগিয়ে পরিচালিত হয়। আক্রমণকারীরা প্যাটার্ন, হিউম্যান এরর এবং অনলাইন সিস্টেমের দুর্বলতা ব্যবহার করে এই তথ্য অনুমান করে। যেমন: এক্সপায়ারি ডেট সাধারণত ৩ থেকে ৫ বছরের মধ্যে থাকে এবং এটি (MM/YY) ফরম্যাটে দেওয়া হয়। উদাহরণস্বরূপ, একটি কার্ড ২০২৩ সালে ইস্যু হলে এক্সপায়ারি ডেট ২০২৬ থেকে ২০২৮ সালের মধ্যে হতে পারে। আক্রমণকারীরা এই সীমিত কম্বিনেশনগুলো ব্রুট ফোর্স দিয়ে পরীক্ষা করে। আবার, ব্যাংকগুলো প্রায়ই সহজে মনে রাখা যায় এমন এক্সপায়ারি ডেট নির্ধারণ করে (যেমন, ১২/YY বা ০৬/YY)। আক্রমণকারীরা এই প্রবণতা কাজে লাগায়। কিছু ব্যাংক ধারাবাহিকভাবে নির্দিষ্ট সময়ের জন্য (যেমন, ৫ বছর) এক্সপায়ারি ডেট সেট করে আক্রমণকারীরা এই ধরনের ধারাবাহিকতাও লক্ষ্য করে। এছাড়াও আগের ডেটা ব্রিচ/ সোশ্যাল ইঞ্জিনিয়ারিং এর মাধ্যমে আংশিক তথ্য সংগ্রহ করা হয় এবং এভাবে কার্ডের তথ্য প্রিপেয়ার করা হয় টেস্টিং এর জন্য। ৩) টেস্টিং ও ট্রায়াল এই ধাপে অপরাধীরা দুর্বল অনলাইন মার্চেন্ট এবং পেমেন্ট গেটওয়েতে ব্যবহার করে কার্ড পরীক্ষা করে। এই মুহুর্তে, তারা যাচাই করে যে তাদের কাছে একটি বৈধ কার্ড নম্বর আছে। এক্ষেত্রে তারা খুব অল্প ট্রানজেকশন করে টেস্ট করে, সফল হলে তা বড় ট্রানজেকশন এর জন্য অথবা ডার্ক ওয়েবে বিক্রির জন্য রাখা হয়। এখন প্রশ্ন হচ্ছে কার্ড ব্যবহারকারীর করণীয় কি? ১. ট্রাস্টেড ওয়েব/ অ্যাপ ছাড়া কার্ড ব্যাবহার করবেন না, https বিহীন ওয়েবসাইটে কার্ড ব্যাবহার করবেন না। ২. OTP ভেরিফিকেশন অন রাখুন। ৩. কার্ডে দৈনিক লেনদেনের লিমিট সেট করে রাখুন। ৪. এসএমএস নোটিফিকেশন অন রাখুন। ৫. কার্ডের CVV/ এক্সপায়ার ডেট/ ছবি কোথাও শেয়ার করবেন না। ৬. যেকোনো সন্দেহজনক ট্রানজেকশন এর ব্যাপারে সাথে সাথে ব্যাংকের হেল্পলাইনে যোগাযোগ করুন। সতর্ক থাকুন, নিরাপদ থাকুন। #CIRT_News #cybersecurity