trueNetLab logo
BN
দলের ভেতরের শত্রু - উত্তর কোরীয় আইটি কর্মীদের চালাকি

দলের ভেতরের শত্রু - উত্তর কোরীয় আইটি কর্মীদের চালাকি

10 min read
Network

সূচিপত্র

আমি পেশাগত এবং ব্যক্তিগত-দুই দিক থেকেই প্রতিদিন সাইবার সিকিউরিটি নিয়ে কাজ করি। আমি ফায়ারওয়াল অডিট করি, লগ বিশ্লেষণ করি, পেনিট্রেশন সিনারিও টেস্ট করি, আর সব সাইজের কোম্পানির আইটি অ্যাডমিনিস্ট্রেটরদের সঙ্গে কথা বলি। আর বারবার একই জিনিস দেখতে পাই: বেশিরভাগ আইটি অ্যাডমিন ঠিক সেই ঝুঁকিগুলোকেই চেনে না, যেগুলোকে তারা আসলে সবচেয়ে বেশি অবমূল্যায়ন করছে।

তারা ভাবে র্যানসমওয়্যার নিয়ে। ফিশিং নিয়ে। বাইরের হ্যাকারদের নিয়ে, যারা ফায়ারওয়াল ভাঙার চেষ্টা করছে। এটা বোঝা যায়-এগুলোর মধ্য দিয়েই আমরা বড় হয়েছি, এগুলোই ক্লাসিক থ্রেট।

কিন্তু আক্রমণের আরেকটা ধরন আছে। অনেক পুরনো, আর অনেক বেশি সূক্ষ্ম: ভিতরের শত্রু।

2023 সালের গ্রীষ্মের একটি ঘটনা আজও আমার কাছে অত্যন্ত প্রাসঙ্গিক। এটা দেখায়, কীভাবে একটি রাষ্ট্র-সমর্থিত হ্যাকার গ্রুপ-উত্তর কোরিয়ার রেজিম-শুধু বিচ্ছিন্ন কিছু কোম্পানিকে নয়, বরং গোটা একটি গুপ্তচর নেটওয়ার্ক গড়ে তুলতে পারে। আর সবচেয়ে অদ্ভুত (বা সবচেয়ে ভয়ানক) বিষয়: যে মানুষগুলো এই হার্ডওয়্যার সরবরাহ করছে, তারা প্রায়ই জানেই না, তারা আসলে কার জন্য কাজ করছে।

ক্রিস্টিনা চ্যাপম্যান এবং অ্যারিজোনার ল্যাপটপ ফার্ম

অক্টোবর 2023-এ এফবিআই অ্যারিজোনার একদম সাধারণ, বাইরে থেকে একেবারেই অদ্ভুত না-দেখানো একটা বাড়িতে সার্চ ওয়ারেন্ট নিয়ে হাজির হয়। ভেতরে ঢুকে তদন্তকারীরা এক অদ্ভুত জিনিস পায়: 90টিরও বেশি চালু থাকা ল্যাপটপ, প্রতিটার গায়ে রঙিন পোস্ট-ইট লাগানো। ধাতব তাক, সুন্দর করে লেবেল করা আর সিস্টেমেটিকভাবে সাজানো। পুরো একটা ঘর, যা পরে তথাকথিত “ল্যাপটপ ফার্ম” হিসেবে চিহ্নিত হয়।

বাড়ির মালিকের নাম ক্রিস্টিনা চ্যাপম্যান। বয়স পঞ্চাশের কোঠায়, বাড়ি থেকে কাজ করেন, মাঝে মাঝে সোশাল মিডিয়ায় কিছু পোস্ট করেন। কিছুই সন্দেহজনক না। কিছুই চোখে পড়ার মতো নয়।

ঠিক এটাকেই নিখুঁত লুকানোর জায়গা বানানো হয়েছিল।

চ্যাপম্যানকে কেউ ক্লাসিক অর্থে গুপ্তচর হিসেবে রিক্রুট করেনি। তাকে ব্যবহার করা হয়েছে। আর করেছে উত্তর কোরিয়া।

শুরুটা কীভাবে: একটা লিঙ্কডইন মেসেজ

2020 সালে ক্রিস্টিনা চ্যাপম্যান লিঙ্কডইনে একটা মেসেজ পায়। এক অচেনা লোক, নিজের নাম দেয় “Alexander the Great”, তার সঙ্গে যোগাযোগ করে। খুব সাদামাটা একটা প্রস্তাব দেয়: সে নাকি ল্যাপটপ রিসিভ করবে আর সেগুলো সেটআপ করবে।

প্রতি ডিভাইসের জন্য: মাসে প্রায় 300 মার্কিন ডলার।

শুনতে বৈধ লাগে। কাজটাও সহজ মনে হয়। আর তখন চ্যাপম্যান কঠিন অবস্থায় ছিল। তার মা ক্যান্সারে আক্রান্ত ছিলেন। চিকিৎসার জন্য তার টাকার প্রয়োজন ছিল।

সে অফারটা গ্রহণ করে।

যা চ্যাপম্যান জানত না: যে ব্যক্তি তাকে লিখছে, সে আদৌ “Alexander the Great” না। সে উত্তর কোরিয়ার এক হ্যাকার। আর যে ল্যাপটপগুলো সে নিজের কাছে পাঠিয়ে নিচ্ছিল-সেগুলো ছিল মার্কিন কোম্পানিগুলোর ভিতরে ঢুকে পড়া ভুয়া কর্মীদের অর্গ-ডিভাইস। সেই ল্যাপটপগুলো ব্যবহৃত হওয়ার কথা ছিল এভাবে, যেন উত্তর কোরিয়ান প্রোগ্রামাররা পিয়ংইয়ং থেকে বসে ভুয়া পরিচয় নিয়ে কাজ করতে পারে।

শয়তানি প্রক্রিয়া

ফ্রডটা কাজ করে এভাবে:

  1. ভুয়া জব প্রোফাইল: উত্তর কোরিয়ান প্রোগ্রামাররা নকল লিঙ্কডইন প্রোফাইল বানায়। চুরি করা ছবি, কপি করা সার্টিফিকেট, এআই-জেনারেটেড আবেদন ভিডিও-সব ব্যবহার করে। তারা আপওয়ার্ক, ফাইভার আর সরাসরি বড় বড় কোম্পানিতে আবেদন পাঠায়।

  2. ইনফিলট্রেশন: তাদের নিয়োগ দেওয়া হয়। কোম্পানি তাদের একটা ল্যাপটপ পাঠায়-সম্পূর্ণ লিগিট কোম্পানি ডিভাইস, সত্যিকারের সিস্টেমে সত্যিকারের অ্যাক্সেসসহ।

  3. সমস্যা: এই ডিভাইসগুলো নীতিমালা অনুযায়ী শুধু যুক্তরাষ্ট্রেই ব্যবহার করা যায়। জিপিএস ট্যাগ, লোকেশন কন্ট্রোল, মনিটরিং-হাজারটা উপায় আছে বুঝে ফেলার, যে ক্যালিফোর্নিয়ার কথিত কর্মী আসলে চীন বা উত্তর কোরিয়া থেকে বসে কাজ করছে।

  4. সমাধান: ক্রিস্টিনা চ্যাপম্যান এই ডিভাইসগুলো রিসিভ করে। সে একটা পাসওয়ার্ড লিখে রাখে। AnyDesk-একটা রিমোট অ্যাক্সেস সফটওয়্যার-ইনস্টল করে। পিয়ংইয়ংয়ের হ্যাকারটি সেই ডিভাইসে ঢুকে, চ্যাপম্যানের অ্যারিজোনা ঠিকানা থেকে কাজ করে, আর কোম্পানির কাছে সবকিছুই পুরোপুরি স্বাভাবিক দেখায়।

  5. অতিরিক্ত ছদ্মবেশ: এই নেটওয়ার্কটি বাস্তব মার্কিন নাগরিকদের পরিচয় চুরি করে-নাম, সোশাল সিকিউরিটি নম্বর, ঠিকানা-সব। এই ডেটা দিয়ে নতুন ব্যাংক অ্যাকাউন্ট খোলা হয়। বেতন সেখানে জমা হয়-আর পরে সেটা উত্তর কোরিয়ায় পাঠিয়ে দেওয়া হয়।

ক্রিস্টিনা চ্যাপম্যানের মাধ্যমে এই সিস্টেম তিন বছর ধরে অপ্রকাশিত থেকে যায়।

হতাশা

চ্যাপম্যানের চ্যাট মেসেজগুলো, যা সে পর্দার আড়ালের লোকদের সঙ্গে আদান-প্রদান করেছিল, সেখান থেকে দেখা যায়, কিছুদিনের মধ্যেই সে বুঝে যায়, সে যা করছে, তা অপরাধমূলক। সে নার্ভাস হয়ে পড়ে। সে লিখে, এটা অনেক বেশি বিপজ্জনক। সে লিখে, সে থামতে চায়।

এরপর তার মা মারা যান। চিকিৎসার বিলগুলো পরিশোধ হয়ে গেছে। কিন্তু চ্যাপম্যান ইতিমধ্যেই অনেক গভীরে ঢুকে গেছে। সে এখন টাকার ওপর নির্ভরশীল। সে ভয়ের দ্বারা বাঁধা পড়ে আছে।

সে চালিয়ে যায়।

কীভাবে বিষয়টা ফাঁস হয়ে গেল

2023 সালে কিছু অপ্রত্যাশিত ঘটে। সাইবার সিকিউরিটি কোম্পানি Palo Alto Networks-এর এক সিকিউরিটি অ্যানালিস্ট একটা অদ্ভুত জিনিস লক্ষ্য করে: কোম্পানির একজন কর্মীর লিঙ্কডইন প্রোফাইল আপডেট হচ্ছে-কিন্তু সেটা হচ্ছে একটা উত্তর কোরিয়ান আইপি ঠিকানা থেকে।

এটা হওয়ার কথাই না।

ইন্টারনাল তদন্ত শুরু হয়। খুব দ্রুত স্পষ্ট হয়ে যায়: এটা শুধু কিছু আলাদা সন্দেহজনক লগইন না। এখানে নয়জন কর্মী আছেন, যাদের সরাসরি সংযোগ আছে উত্তর কোরিয়ার সাথে। আর এদের মধ্যে তিনজন তাদের ল্যাপটপ একই ঠিকানায় পাঠিয়েছে।

অ্যারিজোনার একটা বাড়ি। ক্রিস্টিনা চ্যাপম্যানের বাড়ি।

অক্টোবর 2023-এ এফবিআই ঢুকে পড়ে। তারা 90টি ল্যাপটপ পায়। তারা প্রমাণ করতে পারে, যে চ্যাপম্যান 309টি মার্কিন কোম্পানিতে অনুপ্রবেশ করতে সাহায্য করেছে-যার মধ্যে ফর্চুন 500 কোম্পানি যেমন নাইকি (যারা এক উত্তর কোরিয়ান কর্মীকে প্রায় 75,000 ডলার পর্যন্ত দিয়েছে), কমিউনিকেশন প্ল্যাটফর্ম Jeenie, পার্সোনেল সার্ভিস প্রোভাইডার DataStaff, একটি টপ-5 টেলিভিশন নেটওয়ার্ক, একটি সিলিকন ভ্যালি টেকনোলজি কোম্পানি, একটি এয়ারোস্পেস নির্মাতা, একটি মার্কিন গাড়ি নির্মাতা, একটি লাক্সারি রিটেইলার, আর একটি প্রমিনেন্ট মার্কিন মিডিয়া ও এন্টারটেইনমেন্ট কোম্পানি আছে। যা বেতনের মাধ্যমে হাতিয়ে নেওয়া হয়েছে তার মোট পরিমাণ: 17.1 মিলিয়ন ডলার, সরাসরি উত্তর কোরিয়ায়।

24 জুলাই 2025-এ ক্রিস্টিনা চ্যাপম্যানের রায়: 102 মাসের কারাদণ্ড (8 বছর 6 মাস)। সে অপরাধ স্বীকার করে। অনুতাপ দেখায়। কিন্তু তখন অনেক দেরি হয়ে গেছে।

কেন এটা যে কোনও কোম্পানিকে প্রভাবিত করতে পারে

আমি যেটা বর্ণনা করলাম, সেটা শুধু অ্যারিজোনার একটা বিচ্ছিন্ন ঘটনা না। বহু আন্তর্জাতিক কোম্পানি ইতিমধ্যেই উত্তর কোরিয়ান আইটি কর্মীদের সঙ্গে চুক্তি করেছে-তারা বুঝেই উঠতে পারে না। তারা সেটা তখনই বুঝতে পারে, যখন অনেক দেরি হয়ে গেছে।

এই কাহিনীতে আরেকটা কেস আছে: একজন জার্মান উদ্যোক্তা, নাম মেমো, যিনি বার্লিনে একটি ডেভেলপার টিম গড়ে তোলেন। তিনি তিনজন “প্রোগ্রামার” নিয়োগ করেন-উচ্চ দক্ষ, ভালো ইংরেজি, চমৎকার পোর্টফোলিও। একজন টিম লিড, নাম “রিয়োসুকে ইয়ামামোটো”, প্রোজেক্টটির নেতৃত্ব দেয়।

শুরুতে সব ভালো চলে। ডেভেলপাররা দ্রুত কাজ করে, কোড ডেলিভার করে, অগ্রগতি করে।

কিন্তু কয়েক মাস পর থেকে কিছু বদলাতে শুরু করে। হঠাৎ করে প্রোগ্রামাররা বারবার একই প্রশ্ন করে। তারা আগের কাজগুলো ভুলে যায়। তারা হঠাৎ করে অনেক কম দক্ষ মনে হয়। যেটা তিন মাসে শেষ হওয়ার কথা ছিল, সেটা প্রথমে ছয় মাস, তারপর নয় মাসে গড়ায়।

এটা একটা ক্লাসিক সাইন। প্রোগ্রামাররা হঠাৎ বোকা হয়ে যায়নি। বরং অনেক বেশি সম্ভাবনা, যে একই অ্যাকাউন্টে নিয়মিত নতুন লোক কাজ করছে-একই ভুয়া পরিচয় ব্যবহার করে। উত্তর কোরিয়ান আইটি সেলগুলো মাফিয়া-স্টাইলে সংগঠিত। প্রতিটি ইউনিটকে নিজেদের ফান্ডিং নিজেকেই জোগাড় করতে হয়। প্রোগ্রামাররা ঘুরে-ফিরে বদলানো হয়। দৈনিক রুটিন খুব কঠোর: দিনে 14 থেকে 16 ঘণ্টা কাজ, নজরদারির মধ্যে, নির্দিষ্ট কোটা পূরণ করে।

মেমো এটা খেয়াল করে। সে গবেষণা শুরু করে। আর শেষে সে বুঝতে পারে: সে ভিডিও কনফারেন্স যাদের সাথে করে, তারা আসলে সেই ব্যক্তি নয়, যারা নিজেদের পরিচয় দিয়ে আবেদন করেছিল।

এর ভূ-রাজনৈতিক মানে কী?

এটা কোনও ছোটখাটো প্রতারণা নয়। এটা রাষ্ট্র-সমর্থিত অর্থনৈতিক গুপ্তচরবৃত্তি, যা উত্তর কোরিয়াকে প্রতি বছর শত শত মিলিয়ন ডলার এনে দিচ্ছে।

জাতিসংঘ নিরাপত্তা পরিষদের হিসেবে, বছরে আনুমানিক 250 থেকে 600 মিলিয়ন ডলার এ ধরনের আইটি-ওয়ার্কার প্রতারণার মাধ্যমে উত্তর কোরিয়ায় প্রবাহিত হয়। এই টাকা সরাসরি অর্থায়ন করে:

  • উত্তর কোরিয়ার পারমাণবিক কর্মসূচি
  • ক্ষেপণাস্ত্র পরীক্ষা
  • নতুন কৌশলগত অস্ত্রের উন্নয়ন

উত্তর কোরিয়া ব্যাপক নিষেধাজ্ঞার আওতায়। দেশটি স্বাভাবিক বাণিজ্যের মাধ্যমে বৈদেশিক মুদ্রা উপার্জন করতে পারে না। তাই তারা সরে যায় সাইবার অপরাধের দিকে। প্রথমে ছিল ক্রিপ্টো চুরি। তারপর ব্যাংক ডাকাতি। এখন: হাজার হাজার ভুয়া আইটি প্রোফাইল, যা পশ্চিমা কোম্পানিগুলোর ভেতরে অনুপ্রবেশ করে।

2025 সালের অক্টোবরের সর্বশেষ পরিসংখ্যান অনুযায়ী, বিশ্বজুড়ে 1,000 থেকে 2,000 উত্তর কোরিয়ান আইটি কর্মী সক্রিয়ভাবে কাজ করছে-চীন, রাশিয়া, লাওস, কম্বোডিয়া সহ আরও বিভিন্ন দেশে।

যুক্তরাষ্ট্র উত্তর কোরিয়ার আর্থিক প্রতারণা অপারেশন সংক্রান্ত তথ্যের জন্য 5 মিলিয়ন ডলার পর্যন্ত পুরস্কার ঘোষণা করেছে।

আইটি সিকিউরিটির ওপর এর প্রভাব কী?

আমার কাছে ব্যক্তিগতভাবে এটিই সবচেয়ে উদ্বেগজনক দিক। আমরা এখানে এমন এক থ্রেট নিয়ে কথা বলছি, যা আসে ভেতর থেকে।

রিমোট ওয়ার্ক, ক্লাউড অ্যাক্সেস, ফ্রিল্যান্সার প্ল্যাটফর্ম-এই সবই আধুনিক অর্থনীতির বৈধ এবং অপরিহার্য টুল। কিন্তু এগুলোর মধ্য দিয়েই নতুন আক্রমণ-পৃষ্ঠ তৈরি হচ্ছে।

ক্লাসিক সিকিউরিটি আর্কিটেকচারের মডেল এখনো এমন:

  • বাইরে একটা শক্ত ফায়ারওয়াল
  • ভেতরে ট্রাস্টেড জোন
  • যে ভেতরে আছে, তাকে ট্রাস্টেড ধরা হয়

কিন্তু যদি যে ব্যক্তি “ভেতরে” আছে, সে আদৌ সেই ব্যক্তি না হয়, যাকে তুমি নিয়োগ করেছ?

ক্রিস্টিনা চ্যাপম্যান নিজে থ্রেট ছিল না। চ্যাপম্যান ছিল ইনফ্রাস্ট্রাকচার। সে ছিল গেটওয়ে। আসল থ্রেট বসেছিল পিয়ংইয়ংয়ে, অন্য একটা মহাদেশ থেকে, অন্য একটা ভুয়া নাম নিয়ে।

কীভাবে প্রটেকশন নেওয়া যায় (কনক্রিটভাবে)

বিভিন্ন কর্তৃপক্ষ থেকে ইতিমধ্যেই বেশ কিছু নির্দিষ্ট সুপারিশ এসেছে। সেগুলোর সাথে আমি আমার নিজস্ব অভিজ্ঞতা যোগ করছি:

1. প্রার্থীদের পরিচয় যাচাই-সত্যিকার অর্থে যাচাই করা

  • ভিডিও কল জরুরি, কিন্তু:

    • দীর্ঘ বিরতি খেয়াল করো
    • প্রার্থী বারবার নোটের দিকে তাকাচ্ছে কি না দেখো
    • পটভূমি-পরিবেশ লক্ষ করো (বাস্তব লাগে, নাকি গ্রিন-স্ক্রিনের মতো?)
    • আধুনিক এআই টুল এখন ভিডিও ইন্টারভিউ ফেক করতে পারে। এর বাস্তব উদাহরণ ইতিমধ্যেই আছে।

  • পূর্বের নিয়োগকর্তাদের ব্যক্তিগতভাবে যোগাযোগ করো। সিভিতে দেওয়া ইমেইল অ্যাড্রেস দিয়ে নয়; বরং আসল কোম্পানির নম্বর রিসার্চ করে ফোন করো।

  • ব্যাকগ্রাউন্ড চেক ব্যবহার করো। লিঙ্কডইন ভেরিফিকেশন। জাতীয় ও আন্তর্জাতিক ক্রেডিট/ব্যাকগ্রাউন্ড এজেন্সি।

2. রিমোট ওয়ার্কস্টেশন জিওফেন্সিং আর এমএফএ দিয়ে সুরক্ষিত করা

  • জিওফেন্সিং: যদি কোনও ওয়ার্ক ল্যাপটপে যেমন উত্তর কোরিয়া বা চীন থেকে আইপি ঠিকানা দিয়ে অ্যাক্সেস হয়, তাহলে সিস্টেমের সতর্কবার্তা ট্রিগার করা উচিত।

  • মাল্টি-ফ্যাক্টর অথেনটিকেশন সব ক্রিটিক্যাল সিস্টেমে থাকা উচিত। শুধু পাসওয়ার্ড না। শুধু এসএমএসও নিরাপদ না (হ্যাকড হতে পারে)। হার্ডওয়্যার কী বা TOTP অ্যাপ।

  • সেশন লিমিট: কেউ যদি 14-16 ঘণ্টা একটানা কাজ করে (উত্তর কোরিয়ান শিফটের ক্লাসিক প্যাটার্ন), সেটা চোখে পড়া উচিত।

3. নেটওয়ার্ক মনিটরিং-সন্দেহজনক সংযোগের জন্য

  • আইপি ঠিকানা লগ করো। যদি বিভিন্ন কর্মী-অ্যাকাউন্ট একই আইপি থেকে অ্যাক্সেস করে, সেটা সন্দেহজনক।

  • ডিএনএস কুয়েরি মনিটর করো। নেটওয়ার্ক যদি পরিচিত উত্তর কোরিয়ান কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারে অস্বাভাবিক সংযোগ তৈরি করে, সেটা সঙ্গে সঙ্গে রিপোর্ট হওয়া উচিত।

  • টাইমজোন অ্যানালাইসিস: কোনও কথিত মার্কিন কর্মী যদি সব সময় 2টা থেকে 8টা ইউটিসি (যেটা উত্তর কোরিয়া সময় অনুযায়ী স্বাভাবিক অফিস টাইম) এর মধ্যে কাজ করে, সেটাও সন্দেহজনক।

4. হার্ডওয়্যার শুধু কেন্দ্রীয়ভাবে এবং ট্রেসেবলভাবে ইস্যু করা

  • কখনও নয়: কোনও কর্মী নিজে ল্যাপটপ অর্ডার করবে, আর কোম্পানি শুধু বিল দেবে।

  • সবসময়: সেন্ট্রাল আইটি ম্যানেজমেন্ট। ডিভাইসগুলো তোমাদের নিজেদের আইটি টিম থেকেই ইস্যু হবে। এমডিএম (মোবাইল ডিভাইস ম্যানেজমেন্ট) সক্রিয় থাকবে।

  • ট্র্যাকিং: প্রতিটি ডিভাইসের একটি ইউনিক সিরিয়াল/অ্যাসেট কোড থাকবে। প্রতিটি বরাদ্দ ডকুমেন্টেড থাকবে।

5. “রেড ফ্ল্যাগ” চেনা এবং গুরুত্ব সহকারে নেওয়া

  • নতুন কর্মী প্রায়ই এমন প্রশ্ন করে, যা আগে একাধিকবার বোঝানো হয়েছে।
  • কোনও রিমোট কর্মী কেবল অদ্ভুত সময়ে কাজ করে।
  • একজন জুনিয়র ডেভেলপার হঠাৎ এমন কোড ডেলিভার করছে, যা তার আগের মানের সঙ্গে মেলে না-কখনও অত্যন্ত ভালো, কখনও খুব খারাপ।
  • মিটিংয়ে ওয়েবক্যাম ভিডিওর কোয়ালিটি/সেটআপ বারবার অদ্ভুতভাবে বদলায় (একই নামের অধীনে আসলে একাধিক ব্যক্তি কাজ করতে পারে)।
  • এমপ্লয়ি অনবোর্ডিং বারবার বিলম্বিত হচ্ছে, কারণ প্রার্থী নাকি “কথা বলার জন্য পাওয়া যাচ্ছে না”।

সারকথা: বিশ্বাস কোনও সিকিউরিটি কনসেপ্ট না

চ্যাপম্যান কেস আমাদের একটা মৌলিক বিষয় শিখিয়ে দেয়: ঝুঁকি প্রায়ই ভেতর থেকেই আসে, কারণ সেটা নিজেকে “বাইরের” মতো ছদ্মবেশ দেয়।

আমরা একটা ভ্রান্ত নিরাপত্তাবোধে বাস করি: কেউ যদি চুক্তি সই করে, তার লিঙ্কডইন রেটিং ভালো হয়, সে ভিডিও কলে সহানুভূতিশীল/বিশ্বাসযোগ্য লাগে-তাহলে সে বিশ্বস্ত।

এটা আর সত্যি না।

উত্তর কোরিয়ান আইটি-ওয়ার্কার স্ক্যাম কোনও ব্যতিক্রম নয়। এটা একটা ব্যবসার মডেল। এমন একটা ব্যবসার মডেল, যেটা রাষ্ট্র-সমর্থিত হ্যাকার গ্রুপ ডিজাইন করেছে, আর তারা জানে:

  • রিমোট ওয়ার্ক এখন নর্মাল।
  • ফ্রিল্যান্সার প্ল্যাটফর্মগুলো প্রতিষ্ঠিত অবকাঠামো।
  • ভিডিও ইন্টারভিউ এখন ফেক করা যায়।
  • বেশিরভাগ আইটি অ্যাডমিন এখনো বরাবরের মতো “বাইরের” থ্রেট নিয়ে ভাবে, “ভেতরের” নিয়ে নয়।

আর সেই কারণেই এটা কাজ করছে।

যেসব কোম্পানি দ্রুত বড় হতে চায় বা খরচ বাঁচাতে চায়, তাদের জন্য এই প্রতারণা বিশেষভাবে বিপজ্জনক। নিয়োগ-প্রক্রিয়া সময়সাপেক্ষ। ব্যাকগ্রাউন্ড চেকের খরচ আছে। ভিডিও ইন্টারভিউ সহজ। আর একটা উচ্চ দক্ষ প্রোগ্রামার যদি বাজারদরের চেয়ে 20% কম রেটে নিজেকে অফার করে? সেটা খুবই আকর্ষণীয়।

কিন্তু এখানেই প্রতিটি আইটি অ্যাডমিন, প্রতিটি সিকিউরিটি-দায়িত্বশীল, প্রতিটি হায়ারিং ম্যানেজারের নিজেকে প্রশ্ন করা উচিত:

আমি আসলে কীভাবে নিশ্চিত হচ্ছি, যে আমি সত্যিকারের মানুষের সাথেই কথা বলছি?

সৎভাবে উত্তর দিলে, অনেক সময় উত্তরটা হবে: আমি নিশ্চিত নই।

আর ঠিক এই কারণেই ক্রিস্টিনা চ্যাপম্যানের গল্প এত গুরুত্বপূর্ণ। সে শুধু অ্যারিজোনার একটা মহিলা না, যে ল্যাপটপ ফরোয়ার্ড করেছে। সে একটা প্রতীক-একটা অনেক বড় বাস্তবতার: ডিজিটাল দুনিয়া এতটা স্বচ্ছ না, যতটা এটা নিজেকে দেখায়।

একটা ভালো ইংরেজি, একটি বিশ্বাসযোগ্য লিঙ্কডইন প্রোফাইল, আর একটি বুদ্ধিদীপ্ত প্রশ্ন কোনও ভিডিও ইন্টারভিউতে-এগুলোর আড়ালে খুব সহজেই কোনও বিদেশি রেজিমের সরকারি এজেন্ট বসে থাকতে পারে।

আর একমাত্র প্রতিরক্ষা হল: অন্ধভাবে বিশ্বাস কোরো না। যাচাই করো। মনিটর করো। আর সিস্টেমগুলো এমনভাবে বসিয়ে রাখো, যাতে কিছু মিল না খেলে তুমি সেটা বুঝতে পারো।

এইটাই আধুনিক সাইবার সিকিউরিটির নতুন বাস্তবতা। থ্রেট শুধু বাইরে থেকে আসে না। এটা ভেতর থেকেও আসে-কর্মীর ছদ্মবেশ নিয়ে।

আবার কথা হবে

জো

Sophos Firewall v22 Health Check - সম্পূর্ণ ওভারভিউ

Sophos Firewall v22 Health Check - সম্পূর্ণ ওভারভিউ

Sophos Firewall v22 - নতুন বৈশিষ্ট্য, সুরক্ষা এবং যা প্রত্যাশা করা যায়

Sophos Firewall v22 - নতুন বৈশিষ্ট্য, সুরক্ষা এবং যা প্রত্যাশা করা যায়

Sophos আপডেট সেপ্টেম্বর 2025 – ফায়ারওয়াল, এন্ডপয়েন্ট, ই-মেইল

Sophos আপডেট সেপ্টেম্বর 2025 – ফায়ারওয়াল, এন্ডপয়েন্ট, ই-মেইল

খুঁজুন