সোশ্যাল ইঞ্জিনিয়ারিং (নিরাপত্তা)

সোশ্যাল ইঞ্জিনিয়ারিং বলতে তথ্য নিরাপত্তা সম্পর্কিত বিষয়ে মানুষকে মনস্তাত্ত্বিকভাবে কার্য সম্পাদনের জন্য ব্যবহার অথবা গোপনীয় তথ্য প্রকাশকে বোঝায়। তথ্য সংগ্রহ, জালিয়াতি বা সিস্টেমে অনুপ্রবেশের উদ্দেশ্য হল এক ধরনের সাহসিক কৌশল, এটি ঐতিহ্যগত প্ররোচনা থেকে ভিন্ন এই কারণে যে এটি প্রায়ই আরো জটিল জালিয়াতি পরিকল্পনার অন্যতম একটি পদক্ষেপ বলে বিবেচিত হয়।

মনস্তাত্ত্বিক খেলা হিসেবে সোশ্যাল ইঞ্জিনিয়ারিং শব্দটি সামাজিক বিজ্ঞানের সাথেও যুক্ত, কিন্তু এটির ব্যবহার কেবলমাত্র কম্পিউটার এবং তথ্য নিরাপত্তা বিশেষজ্ঞদের মধ্যেই দেখা যায়^[১]।

কৌশল এবং সময়কাল

সকল সোশ্যাল ইঞ্জিনিয়ারিং পদ্ধতিগুলোই নির্দিষ্ট মানবীয় সিদ্ধান্ত গ্রহণ গুণাবলীর উপর ভিত্তি করে তৈরি যা জ্ঞানীয় গোঁড়ামি বলে পরিচিত^[২]। ঐ গোঁড়ামিগুলোকে কখনো কখনো “মানুষ্য হার্ডওয়্যারে ত্রুটি” বলা হয় এবং সেগুলো আক্রমণ কৌশল তৈরির জন্য বিভিন্ন সমন্বয়ে কাজে লাগানো হয়, যেগুলোর কয়েকটিকে তালিকায় দেয়া আছে। সোশ্যাল ইঞ্জিনিয়ারিং-এ ব্যবহৃত আক্রমণটি কর্মচারীদের গোপনীয় তথ্য চুরির কাজেও ব্যবহার করা যেতে পারে। সবচেয়ে সাধারণ ধরনের সোশ্যাল ইঞ্জিনিয়ারিং ফোনের মাধ্যমে ঘটে থাকে। সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের এর অন্যান্য আরও উদাহরণগুলো হল অপরাধীদের বিধ্বংশী কর্মকাণ্ড, অগ্নি সেনানায়ক এবং প্রযুক্তিবিদদের অগোচরে কোম্পানির তথ্য চুরি।

সোশ্যাল ইঞ্জিনিয়ারিং এর একটি উদাহরণ হল একজন ব্যক্তিবিশেষ যিনি বিল্ডিং এ প্রবেশ করেন এবং হুবহু আসল ঘোষণাপত্রের মতো দেখতে ঘোষণাপত্র কোম্পানির সংবাদে প্রচার করেন যেটিতে হেল্পডেস্কের নম্বরটি পরিবর্তন করা হয়েছে লেখা থাকে। তাই যখন কর্মচারীরা সাহায্যের জন্য ডাকে তখন ব্যক্তিটি তাদের পাসওয়ার্ড এবং আইডি দিতে বলে। এইভাবে সে কোম্পানিটির ব্যক্তিগত তথ্যে প্রবেশাধিকার পাওয়ার ক্ষমতা পায়। সোশ্যাল ইঞ্জিনিয়ারিং এর আরও একটি উদাহরণ হল, হ্যাকার সোশ্যাল নেটওয়ার্কিং ওয়েবসাইটে লক্ষ্যবস্তুর সাথে যোগাযোগ করে এবং তার সাথে কথোপকথোন শুরু করে। আস্তে ধীরে হ্যাকারটি লক্ষ্যবস্তুর বিশ্বাস অর্জন করে এবং পরবর্তীতে সেটি পাসওয়ার্ড অথবা ব্যাংক হিসাবের তথ্যের মতো সংবেদনশীল তথ্য পাওয়ার জন্য ব্যবহার করবে^[৩]।

ছলচাতুরি

প্রিটেক্সটিং বা ছলচাতুরি (বিশেষণ প্রিটেক্সচুয়াল) যুক্তরাজ্যে ব্ল্যাগিং নামেও পরিচিত, তা হল একটি উদ্ভাবিত চিত্রনাট্য (ছল) তৈরি এবং ব্যবহারের কাজ যাতে করে লক্ষবস্তুতে পরিণত করা ব্যক্তিকে এমন ভাবে ফাঁসানো যার দ্বারা ক্ষতিগ্রস্থ ব্যক্তিটির থেকে তথ্য উদঘাটনের সুযোগ বৃদ্ধি পায় বা এমন কাজ করা যা সাধারণ পরিস্থিতিতে ঘটার সম্ভাবনা খুবই কম^[৪]। একটি পরিকল্পিত মিথ্যা প্রায়শই কিছু পূর্বের গবেষণা বা কৃতকাজের সাথে জড়িত থাকে এবং জন্মদিন, সামাজিক নিরাপত্তা নম্বর, শেষ বিলের পরিমাণ এই জাতীয় তথ্যের ব্যবহারের মাধ্যমে ব্যক্তিটির মনের মধ্যে বৈধতা স্থাপন করে^[৫]।

এই কৌশলটি ব্যবসায় ক্রেতার তথ্য প্রকাশে বোকা বানানোর জন্য ব্যবহার করা যেতে পারে পাশাপাশি ব্যক্তিগত তদন্তকারীদের দ্বারা টেলিফোন নথি, কার্যকারিতা নথি, ব্যাংকিং নথি এবং অন্যান্য তথ্য কোম্পানির সেবা প্রতিনিধির নিকট থেকে সরাসরি পাওয়া যেতে পারে^[৬]। পরবর্তীতে তথ্যগুলো অ্যাকাউন্ট পরিবর্তন করা, নির্দিষ্ট ব্যালেন্স পাওয়া ইত্যাদি বিষয়ে ব্যবস্থাপকের সাথে কঠোর জিজ্ঞাসাবাদের মাধমে আরও অধিক বৈধতা প্রাপ্তির জন্য ব্যবহার করা যেতে পারে।

ছলচাতুরি সহকর্মী, পুলিশ, ব্যাংক, ট্যাক্স কর্তৃপক্ষ, যাজক, বীমা তদন্তকারী বা অন্যান্য কোন ব্যক্তিবিশেষকে মুগ্ধ করার কাজেও ব্যবহার করা যেতে পারে যাদের ইন্দ্রিয়গত ক্ষমতা বা প্রতারিত লোকের মন পড়ার সঠিক জ্ঞান আছে। ছলচাতুরি করা ব্যক্তিটিকে অবশ্যই সহজ কিছু প্রশ্নের উত্তর প্রস্তুত করে রাখতে হবে যেগুলো প্রতারিত ব্যক্তিটি জিজ্ঞেস করতে পারে। কিছু ক্ষেত্রে ছলচাতুরির চিত্র তৈরির জন্য শুধুমাত্র একটি কন্ঠ প্রয়োজন হতে পারে যেটি শুনে সত্য বলে মনে হবে, এছাড়াও আন্তরিক স্বর এবং অন্যের মন পড়ার ক্ষমতারও প্রয়োজন হয়।

বিনোদনমূলক চুরি

বিনোদনমূলক চুরি যা “কর্ণার গেম” ^[৭] বা “রাউন্ড দ্যা কর্ণার গেম” নামেও পরিচিত তা পূর্ব লন্ডনের শেষ প্রান্তে উৎপন্ন হয়।

সংক্ষেপে বিনোদনমূলক চুরি হল স্বাভাবিকভাবে পরিবহন বা কুরিয়ার কোম্পানিদের বিরুদ্ধে পেশাদার চোরদের দ্বারা চর্চাকৃত একটি “প্ররোচনা”। এর প্রধান উদ্দেশ্য হল অনুরোধকৃত চালানটির বৈধ বিলির জন্য দায়িত্ব দেয়া ব্যক্তিটিকে অন্যত্র প্রনোদিত করে অতঃপর তাকে “রাউন্ড দ্যা কর্ণার” করা।

ফিশিং

ফিশিং হল ব্যক্তিগত তথ্য জালিয়াতি করার একটি কৌশল। সাধারণত ফিশার (যে ফিশিং করে) একটি ইমেইল পাঠায় যেটি দেখে কোন বৈধ ব্যবসা প্রতিষ্ঠান ব্যাংক বা ক্রেডিট কার্ড কোম্পানি তথ্যের সত্য প্রতিপাদন করার অনুরোধ করছে বলে মনে হয় এবং যদি তা প্রদান করা না হয় তাহলে কোন ভয়ানক ফল হতে পারে বলা হয়। ইমেইলটিতে সাধারণত একটি প্রতারণাপূর্ণ ওয়েব পেজের লিংক থাকে যেটির কোম্পানি লোগো এবং বিষয়বস্তু দেখে বৈধ বলে মনে হয় এবং এতে বাড়ির ঠিকানা থেকে শুরু করে এটিএম কার্ডের পিন বা ক্রেডিট কার্ডের নম্বর প্রদান করার জন্য একটি ফর্ম দেয়া থাকে। উদাহরণস্বরূপ ২০০৩ সালে একটি ফিশিং কেলেঙ্কারী ঘটে ছিল যেটিতে ব্যবহারকারীরা সম্ভবত ইবে থেকে একটি ইমেইল পেয়েছিল যাতে লিখা ছিল এই যে ব্যবহারকারীদের অ্যাকাউন্ট খুব শীঘ্রই স্থগিত করা হবে এবং তা প্রত্যাহার করতে হলে ইমেইলের সাথে প্রদানকৃত লিংটিতে ক্লিক করার মাধ্যমে ক্রেডিট কার্ডটি হালনাগাদ করতে হবে (আসল ইবের কাছে যে তথ্যটি ইতিমধ্যেই ছিল)। যেহেতু শুধুমাত্র এইচটিএমএল কোড এবং লোগো অনুকরণ করার মাধ্যমেই বৈধ সংস্থার অনুরূপ ওয়েব সাইট তৈরি করা অপেক্ষাকৃত খুবই সোজা তাই কেলেঙ্কারীটি লোকজনদের এমনভাবে প্রতারিত করেছিল যে লোকজনরা ভেবেছিল তারা সত্যি সত্যিই ইবের সাথে যোগাযোগ করছে এবং পরবর্তীকালে তারা ইবের ওয়েব সাইটে তাদের অ্যাকাউন্ট তথ্য হালনাগাদ করার জন্য গিয়েছিল। বৃহৎ সংখ্যক লোকদের সাথে স্প্যামিয়ের মাধ্যমে ফিশারটি এমন লোকদের বেছে নেয় যারা সাড়া দিতে পারে এবং যারা ইমেইল পড়ে ইতোমধ্যে তাদের ক্রেডিট কার্ড নম্বর বৈধভাবে ইবেতে তালিকাবদ্ধ করেছে।

আইভিআর বা ফোন ফিশিং

ফোন ফিশিং (বা ভিশিং) একটি ব্যাংক বা অন্য প্রতিষ্ঠানের ভিআইআর সিস্টেম পুনরায় সৃষ্টি করার জন্য একটি দুর্বৃত্ত মিথষ্ক্রিয় কণ্ঠস্বর প্রতিক্রিয়া (IVR) পদ্ধতি ব্যবহার করে। প্রতারিত ব্যক্তিটিকে তথ্য “যাচাই” করার জন্য একটি নম্বরের (টোল ফ্রি) মাধ্যমে ব্যাংকটিতে কল (সাধারণত ফিশিং ইমেইলের মাধ্যমে) করার জন্য অনুরোধ করা হয়। একটি সাধারণ ভিশিং পদ্ধতিতে লগইন করাকে অবিরামভাবে প্রত্যাখ্যান করবে, যাতে করে প্রতারিত ব্যক্তিটি তার পিন বা পাসওয়ার্ড বারবার প্রয়োগ করে এবং প্রায়শই কতিপয় ভিন্ন পাসওয়ার্ড প্রকাশ করে। আরও আধুনিক পদ্ধতিতে প্রতারিত ব্যক্তিকে আক্রমণকারী/প্রতারণাকারীর কাছে পাঠানো হয় যে একজন ক্রেতা সেবা প্রতিনিধি বা নিরাপত্তা বিশেষজ্ঞ হিসেবে অভিনয় করবে যাতে করে প্রতারিত ব্যক্তিকে আরও জিজ্ঞেসাবাদ করা যায়।

স্পিয়ার ফিশিং

যদিবা স্পিয়ার ফিশিং অনেকটা ফিশিং এর মতোই তবে এই পদ্ধতির জালিয়াতিতে ব্যক্তিগত তথ্য পাওয়ার জন্য কিছু দক্ষ ব্যবহারকারীদের উচ্চ কাস্টমাইজড ইমেইল পাঠানো হয়। এটিই হলো ফিশিং আক্রমণগুলোর মধ্যে প্রধান পার্থক্য, কারণ ফিশিং প্রচারণায় বেশি সংখ্যক সাধারণ ইমেইল পাঠানোর দিকে মনোযোগ দেয়া হয় পাশাপাশি প্রত্যাশা করা হয় যে শুধুমাত্র কিছু সংখ্যক মানুষই তার প্রতি সাড়া দিবে। অন্যদিকে স্পিয়ার ফিশিং ইমেইলে আক্রমণকারীকে তাদের দক্ষ লক্ষ্যবস্তুটিকে অনুরোধকৃত কাজ সম্পাদন করার মাধ্যমে বোকা বানানোর জন্য অতিরিক্ত গবেষণা করার প্রয়োজন পড়ে। স্পিয়ার ফিশিং আক্রমণের সাফল্যের হার ফিশিং আক্রমণের চাইতে বেশি বলে গণ্য করা হয় যেটিতে মোটামুটিভাবে ৭০% সম্ভাব্য চেষ্টার পর মাত্র ৩% লোক ফিশিং ইমেইল খোলে। কিন্তু যখন ব্যবহারকারী প্রকৃত পক্ষে ফিশিং ইমেইলের ইমেইল খোলে তখন এর সাথে যুক্ত লিংকটি বা সংযুক্তিটি ক্লিক করার হার অপেক্ষাকৃত ৫% হয়। যেদিকে স্পিয়ার ফিশিং আক্রমণে এর সাফল্যের হার ৫০%^[৮]।

ওয়াটার হোলিং

ওয়াটার হোলিং হল একটি টার্গেটেড সোশ্যাল ইঞ্জিনিয়ারিং কৌশল যেটি মূলত সেইসব ব্যবহারকারীদের উপর প্রয়োগ করা হয় যারা নিয়মিতভাবে ওয়েবসাইটি পরিদর্শন করে এবং এর উপর আস্থা রাখে। ভুক্তভোগীটি সেই সব কাজ করতে নিরাপদ অনুভব করে যা তারা ভিন্ন পরিস্থিতিতে করতে পারত না। উদাহরণ হিসেবে, একজন সতর্ক ব্যক্তি হয়তো উদ্দেশ্যপূর্ণভাবে অযাচিত ইমেইলের লিংকে ক্লিক করা থেকে বিরত থাকতো কিন্তু সেই একই ব্যক্তি তার প্রায়শই পরিদর্শন করা ওয়েবসাইটের যে কোনো লিংক অনুসরণ করতে দ্বিধা বোধ করতো না। তাই আক্রমণকারী তার অসাবধান শিকারকে এই বিশেষ সুবিধাপ্রাপ্ত ওয়াটারিং হোলের ফাঁদ পাততে প্রস্তুতি নেয়। এই কৌশলটি কিছু খুবই নিরাপদ সিস্টেমে (সম্ভবত) প্রবেশাধিকার পাওয়ার ক্ষেত্রে সফলভাবে ব্যবহৃত হয়ে আসছে^[৯]।

আক্রমণকারী ব্যক্তিটি হয়ত একটি দলকে চিহ্নিত করে বা ব্যক্তিবিশেষকে ঘোষণা করার মাধ্যমে নিশানা করবে। প্রস্তুতি কাজটি লক্ষবস্তুটির নিরাপদ সিস্টেম থেকে প্রায়শই পরিদর্শন করা ওয়েবসাইট সম্পর্কিত তথ্য সংগ্রহ করার সাথে জড়িত। তথ্য সংগ্রহ কার্যক্রমটি এই বিষয়টি প্রতিপন্ন করে যে লক্ষবস্তুটি ওয়েবসাইটিতে পরিদর্শন করে এবং সিস্টেমটি এই ধরনের পরিদর্শনকে সমর্থন করে। আক্রমণকারী পরবর্তীতে ঐসব ওয়েবসাইটের দুর্বলতা খোঁজার জন্য পরীক্ষা করে যাতে করে ম্যালওয়্যারের কোড উদ্বুদ্ধ করার মাধ্যমে পরিদর্শনকারীর সিস্টেমটিকে সংক্রামিত করা যায়। প্রবিষ্ট কোডটির ফাঁদ এবং ম্যালওয়্যার হয়ত তাদের ব্যবহৃত নির্দিষ্ট লক্ষবস্তু দল এবং নির্দিষ্ট সিস্টেমের ক্ষেত্রেই প্রযোজ্য। কিছু সময় পর লক্ষবস্তুর দলের এক বা একাধিক সদস্য সংক্রামিত হবে এবং আক্রমণকারী নিরাপদ সিস্টেমে প্রবেশাধিকার পাওয়ার সুযোগ পাবে।

বেটিং

বেটিং হল অনেকটা বাস্তব জীবনের ট্রোজেন হর্সের মতন, যেটি বাহ্যিক মাধ্যম ব্যবহার করে এবং ভুক্তভোগীদের কৌতূহল বা লোভের উপর নির্ভর করে থাকে^[১০]। এই ধরনের আক্রমণে, আক্রমণকারীরা ম্যালওয়্যার সংক্রমিত ফ্লপি ডিস্ক, সিডি-রম বা ইউএসবি ফ্ল্যাশ ড্রাইভ এমন স্থানে ফেলে যায় যেখানে মানুষজন তাদের খুঁজে পেতে পারে (বাথরুম, লিফট, ফুটপাথ, পার্কিং স্থান ইত্যাদি), পাশাপাশি তাতে বৈধ এবং কৌতূহল সৃষ্টিকারী লেভেল প্রদান করে এবং ভুক্তভোগীর জন্য অপেক্ষা করে। উদাহরণস্বরূপ একজন আক্রমণকারী হয়ত নিশানা করা ব্যক্তিটির ওয়েবসাইট থেকে পাওয়া একটি কর্পোরেট লোগো সমৃদ্ধ একটি ডিস্ক তৈরি করতে পারে এবং সেটি “এক্সিকিউটিভ স্যাল্যারি সামারি কিউ২ ২০১২” নামে লেবেল করতে পারে। আক্রমণকারী পরবর্তীতে সেই ডিস্কটি নিশানাকৃত কোম্পানিটির লিফটের মেঝেতে বা লবির যেকোন স্থানে ফেলে রাখতে পারে। একজন অজ্ঞ কর্মচারী হয়ত তা খুঁজে পেতে পারে এবং তার কৌতূহল মেটানোর জন্য ডিস্কটি কম্পিউটারে প্রবেশ করাতে পারে, অতবা একজন ভাল সাহায্যকারী ব্যক্তি হয়ত সেটি খুঁজে পেতে পারে এবং কোম্পানিটিতে তা ফিরিয়ে দিতে পারে। এর যেকোনটিই ঘটুক না কেন, শুধুমাত্র ডিস্কটি কম্পিউটারে প্রবেশ করানোতেই ম্যালওয়্যার ইনস্টল হবে, ফলস্বরূপ আক্রমণকারী ভুক্তভোগীর কম্পিউটারে প্রবেশাধিকার পেয়ে যাবে এবং খুব সম্ভবত কোম্পানিটির অভ্যন্তরীণ কম্পিউটার নেটওয়ার্ক ব্যবস্থারও নিয়ন্ত্রণ পেয়ে যাবে।

যদি না কম্পিউটার সংক্রমণ ঠেকানো নিয়ন্ত্রণ করতে পারে, সংক্রমণ ডিস্কের সন্নিবেশন পিসির “অটো-রানিং” মিডিয়ার সাথে আপোস করে ফেলে। এবং এটি প্রতিকূল ডিভাইসসমূহও ব্যবহার করতে পারে^[১১]। উদাহরণ হিসেবে, একজন “ভাগ্যবান বিজয়ী” নামে একটি ফ্রি ডিজিটাল অডিও প্লেয়ার পাঠানো হয় যেটি এর সাথে প্রবেশ করানো যেকোন কম্পিউটারের সাথে আপোস করে। “রোড অ্যাপল” হল সুযোগসন্ধানী বা প্রসিদ্ধ স্থান যেখানে বিদ্বেষপরায়ণ (malicious) সফটওয়্যারযুক্ত অপসারণযোগ্য মিডিয়া ফেলে রাখা হয়। এটি অন্যান্য মিডিয়ার মধ্যে সিডি, ডিভিডি বা ইউএসবি ফ্ল্যাশ ড্রাইভও হতে পারে। কৌতুহলি লোকজন এটি গ্রহণ করে এবং কম্পিউটারে প্রবেশ করায়, ফলস্বরূপ তাদের এবং সংযুক্ত কোন নেটওয়ার্কে সংক্রমিত করে। হ্যাকাররা হয়ত তাদের “কর্মচারী বেতন” বা “গোপনীয়র” মত প্রলুব্ধকারী লেবেলও প্রদান করতে পারে^[১২]।

কুইড প্রো কিউ

কুইড প্রো কিউ এর মানে হলো কিছুর জন্য কিছু:

একজন আক্রমণকারী কোম্পানির এলোমেলো নাম্বারে ফোন কল করে এবং পরিচয় দেয় যে সে প্রযুক্তিগত সমর্থন থেকে কল করেছে। পরিণামে এই ব্যক্তিটি কাউকে বৈধ সমস্যার সমাধান দিবে এবং কেউ যে তাদের সাহায্য করার জন্য কল করেছে সেজন্য তারা তার প্রতি কৃতজ্ঞ থাকবে। আক্রমণকারী সমস্যার সমাধানের জন্য সাহায্য করবে এবং সেই সাথে ব্যবহারকারীর ধরন অনুযায়ী কমান্ড পাবে যেটি আক্রমণকরীকে প্রবেশাধিকার বা ম্যালওয়্যার উৎক্ষেপণ করতে পারবে।
২০০৩ সালের তথ্য নিরাপত্তা জরিপে, অফিস কর্মচারীদের নিয়ে গবেষকদের করা সস্তা কলমের সাথে বিনিময় করার জরিপ প্রশ্নে ৯০% তাদের পাসওয়ার্ড বিনিময় করার উত্তর দেয়^[১৩]। পরবর্তী বছরগুলোতে করা একই ধরনের জরিপে অনুরূপ ফলাফল পাওয়া যায় যাতে চকলেট এবং অন্যান্য সস্তা জিনিস প্রলুব্ধ করা হয়, যদিও তারা পাসওয়ার্ড জানার কোন চেষ্টা করেনি^[১৪]।

টেইলগেটিং

একজন আক্রমণকারী যেকিনা শুধুমাত্র ইলেকট্রনিক প্রবেশ পদ্ধতি দ্বারা নিয়ন্ত্রিত (যেমন রেডিও ফ্রিকুয়েন্সি আইডেন্টিফিকেশন আরএফআইডি কার্ড দ্বারা) সুরক্ষিত সীমাবদ্ধ স্থানে প্রবেশের সুযোগ খুঁজছে, একজন ব্যক্তি যার কাছে বৈধ প্রবেশাধিকার আছে কেবলমাত্র তার পিছনে হাঁটা শুরু করল। সাধারণ ভদ্রতা অনুসারে ঐ বৈধ ব্যক্তিটি সাধারণত আক্রমণকারীর জন্য দরজাটি খোলা রাখবে অথবা হয়ত আক্রমণকারী নিজেই কর্মচারীকে দরজাটি তাদের জন্য খোলা রাখতে বলবে। বৈধ ব্যক্তিটি হয়ত বিভিন্ন কারণে সনাক্তকরণ সম্পর্কে জিজ্ঞেসা করতে ব্যর্থ হতে পারে বা আক্রমণকারী হয়ত যথাযথ পরিচয় চিহ্ন ভুলে গেছে বা হারিয়ে ফেলেছে এ ধরনের কথায় বিশ্বাস করতে পারে। এমনকি আক্রমণকারী হয়ত পরিচয় চিহ্ন দেখানোর জাল অভিনয় উপস্থাপন করতে পারে।

অন্যান্য ধরণ

সাধারণ সাহসিক কৌশলকারী বা প্রতারকও কিন্তু ব্যাপক অর্থে “সোশ্যাল ইঞ্জিনিয়ার” হিসেবে বিবেচিত হতে পারে ঠিক এইভাবে, যে তারা ভেবেচিন্তে মানুষকে প্রতারণা করে এবং ব্যবহার করে যাতে করে তাদের দুর্বলতা নিপূণভাবে ব্যবহার করে নিজেদের সুবিধা লাভ করতে পারে। উদাহরণস্বরূপ তারা হয়ত আইটি প্রতারণার একটি অংশ হিসেবে সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করতে পারে।

খুবই সাম্প্রতিক সোশ্যাল ইঞ্জিনিয়ারিং কৌশলের ধরনে স্পুফিং বা ইয়াহু!, জিমেইল, হটমেইল ইত্যাদির মত জনপ্রিয় ই-মেইল আইডিধারী লোকজনের অ্যাকাউন্ট হ্যাক করা অন্তর্ভুক্ত হয়েছে। ছলচাতুরির অনেক উদ্দেশ্যর মধ্যে অন্যতম হল:

তাদের ক্রেডিট-কার্ড অ্যাকাউন্ট নাম্বার এবং পাসওয়ার্ড ফিশিং করা।
ব্যক্তিগত ই-মেইল এবং চ্যাট ইতিহাস ক্র্যাক করা এবং সেগুলোকে অর্থ আদায় করার জন্য ব্যবহার করার পূর্বে সাধারণ সম্পাদনা কৌশল ব্যবহারের মাধ্যমে তাদেরকে নিজ স্বার্থে ব্যবহার করা এবং তাদের মধ্যে অবিশ্বাস সৃষ্টি করা।
কোম্পানি বা সংস্থার ওয়েবসাইটসমূহ ক্র্যাক করে তাদের খ্যাতি নষ্ট করা।
কম্পিউটার ভাইরাস ধোঁকা দেয়া।
সেলফ-এক্সএক্স আক্রমণের মাধ্যমে ব্যবহারকরীদের ওয়েব ব্রাউজারের ভিতরে বিদ্বেষপরায়ণ (malicious) কোড চালাতে উপলব্ধি করা যাতে করে আক্রমণকারী তাদের ওয়েব অ্যাকাউন্টে প্রবেশ করতে পারে।

প্রতিব্যবস্থা

প্রতিষ্ঠানরা তাদের নিরাপত্তা ঝুঁকিগুলো কমিয়েছে:

আদর্শ কাঠামো: কর্মচারী/কর্মিবৃন্দ স্তরে আস্থাগত অবকাঠামো প্রতিষ্ঠা। (যেমন কর্মিবৃন্দদের নির্দিষ্ট করে এবং কখন/কোথায়/কেন/কীভাবে সংবেদনশীল তথ্য বিনিময় করা যাবে সে সম্পর্কে হাতে কলমে শিক্ষাদান করে)

তথ্য সম্পর্কে গভীর সতর্ক করা: কোন তথ্যটি সংবেদনশীল তা চিহ্নিত করা এবং এটির সোশ্যাল ইঞ্জিনিয়ারিং এর নিকট প্রকাশ এবং নিরাপত্তা ব্যবস্থার ত্রুটি নির্ণয় করে (দালান, কম্পিউটার সিস্টেম ইত্যাদি।)

নিরাপত্তা প্রোটোকল: নিরাপত্তা প্রোটোকলসমূহ, নীতি এবং সংবেদনশীল তথ্য বিনিময় করার পদ্ধতি স্থাপন করে।

কর্মচারীদের প্রশিক্ষণ: কর্মচারীদের তাদের পদ অনুযায়ী নিরাপত্তা প্রোটোকলের উপর প্রশিক্ষণ প্রদান করে। (যেমন, টেইলগেটিং এর মতো পরিস্থিতিতে, যদি কোন ব্যক্তির পরিচয় যাচাই করা না যায়, পরবর্তীতে কর্মচারীদের অবশ্যই সবিনয়ে প্রত্যাখ্যান করার প্রশিক্ষণ প্রদান করতে হবে।)

ঘটনা পরীক্ষা: নিরাপত্তা অবকাঠামোর অপ্রচারিত, পর্যাবৃত্ত পরীক্ষা সম্পন্ন করে।

পর্যালোচনা: উপর্যুক্ত পদক্ষেপগুলো নিয়মিতভাবে পর্যালোচনা করে: তথ্য পূর্ণতায় কোন সমাধানই নিখুঁত নয়^[১৫]।

অপচয় পরিচালন: অপচয় পরিচালন সেবার ব্যবহার করে যেটিতে আবর্জনার স্তূপের সাথে তালাও লাগানো খাকে, শুধুমাত্র অপচয় পরিচালন কোম্পানি এবং পরিষ্কারকারীদের কাছেই এটির সীমিত সংখ্যকভাবে চাবি থাকবে। আবর্জনা স্তূপের অবস্থান নির্ণয়ের ক্ষেত্রে হয় কর্মচারীদের দৃষ্টিসীমার মধ্যে রেখে যাতে এতে প্রবেশ করার চেষ্টাকারীর দেখতে পারার বা ধরে ফেলার ঝুঁকি থাকে অথবা তালাবদ্ধ গেটের পেছনে বা বেড়ায় যেখানে ব্যক্তিটির আবর্জনা স্তূপে প্রবেশ করার চেষ্টা করার আগে তাকে অবশ্যই অনধিকার প্রবেশ করতে হবে^[১৬]।

উল্লেখযোগ্য সোশ্যাল ইঞ্জিনিয়ার

কেভিন মিটনিক

সংশোধিত কম্পিউটার অপরাধী এবং পরবর্তীতে নিরাপত্তা পরামর্শকারী হিসেবে যোগদানকারী কেভিন মিটনিক নির্ণয় করে বলেন যে কাউকে পাসওয়ার্ড দেয়ার জন্য ছলচাতুরি করা সিস্টেম ক্র্যাক করার চেষ্টার চাইতে খুবই সহজ^[১৭]^[১৮]।

ক্রিস্টোফার হ্যাডন্যাগি

ক্রিস্টোফার হ্যাডন্যাগি হলেন একজন পেশাদার নিরাপত্তা বিশেষজ্ঞ যিনি সোশ্যাল ইঞ্জিনিয়ারিং এর বস্তুগত এবং মনস্তাত্ত্বিক সংজ্ঞার প্রথম কাঠামো প্রণয়ন করেন^[১৯]। তিনি বেশির ভাগ ক্ষেত্রে তার বই, পডকাস্ট এবং ডিইএফ কন সোশ্যাল ইঞ্জিনিয়ার ক্যাপচার দ্যা ফ্ল্যাগ এবং দ্যা সোশ্যাল ইঞ্জিনিয়ার সিটিএফ ফর কিডস এর জন্যই বেশি পরিচিত^[১৮]।

মাইক লিডপাথ

মাইক লিডপাথ হলেন নিরাপত্তা পরামর্শকারী, খ্যাতিমান লেখক এবং বক্তা। তিনি সোশ্যাল ইঞ্জিনিয়ারিং কোল্ড কলিং এর জন্য কৌশল এবং কার্যপদ্ধতির উপর জোর দেন। তিনি তার আলোচনার জন্য উল্লেখযোগ্য হন যেখানে তিনি রেকর্ডকৃত কল বাজান এবং তিনি ফোনের মাধ্যমে পাসওয়ার্ড পাওয়ার জন্য কি প্রক্রিয়া অনুসরণ করছিলেন সে সম্পর্কে তার মতামত ব্যাখ্যা এবং সেটির সরাসরি প্রদর্শন করার মাধ্যমে^[২০]^[২১]^[২২]^[২৩]^[২৪]। শিশুকালে লিডপাথ বাদির ভ্রাতৃদ্বয়ের সাথে সংযুক্ত ছিলেন এবং তিনি ফ্রিকিং ও হ্যাকিং সম্প্রদায়ের মধ্যে ব্যাপকভাবে সমাদৃত হয়েছিলেন তার নিবন্ধের জন্য পাশাপাশি ফ্রেক, বি৪বি০, ৯এক্স এর মত জনপ্রিয় আন্ডারগ্রাউন্ড অনলাইন ম্যাগাজিন এবং ওকি ৯০০স পরিবর্তন করে, ব্লুবক্সিং, স্যাটেলাইট হ্যাকিং এবং আরসিএমএসি এর জন্যও^[১৮]^[২৫]।

বাদির ভ্রাতৃদ্বয়

রেমি, মুযহার এবং সাদি বাদির এই তিন ভ্রাতৃত্রয় সকলেই যারা জন্ম থেকেই অন্ধ ছিলেন তারা ইসরায়েলে ১৯৯০ এর দশকে সোশ্যাল ইঞ্জিনিয়ারিং, ভয়েস ইমপারসোনেশন এবং ব্রেইল-ডিসপ্লে কম্পিউটার ব্যবহারের মাধ্যমে ব্যাপক ফোন এবং কম্পিউটার জালিয়াতি পরিকল্পনা প্রণয়ন করতে সমর্থ হয়েছিল^[১৮]^[২৬]।

আইন

সাধারণ আইনে প্রিটেক্সটিং গোপনীয়তার বিরুদ্ধে অন্যায় গ্রাসের আক্রমণ^[২৭]।

টেলিফোন নথির ছলচাতুরি

২০০৬ সালের ডিসেম্বরে ইউনাইটেড স্টেট কংগ্রেস সেনেট্ স্পন্সরকৃত একটি বিল অনুমোদন দেয় যাতে টেলিফোন নথির ছলচাতুরিকে যুক্তরাষ্ট্রীয় গুরুতর অপরাধ বলে ঘোষণা করা হয় সেই সাথে জড়িত ব্যক্তিকে (কোম্পানির ক্ষেত্রে তা $৫০০,০০০ পর্যন্ত) $২৫০,০০০ ডলার পর্যন্ত ক্ষতিপূরণ এবং দশ বছরের সাজা দেয়ার ব্যবস্থা করা হয়। এটি ১২ই জানুয়ারি ২০০৭ সালে প্রেসিডেন্ট জর্জ বুশ কর্তৃক স্বাক্ষরিত হয়^[২৮]।

যুক্তরাষ্ট্রীয় আইন প্রণয়ন

১৯৯৯ “জিএলবিএ” আইন হল একটি যুক্তরাষ্ট্রীয় বিধি যেটি যুক্তরাষ্ট্রীয় বিধিবদ্ধের অধিনে ব্যাংকিং নথির ছলচাতুরিকে দণ্ডনীয় অবৈধ নীতি বলে বিশেষভাবে আখ্যায়িত করে। যখন ব্যক্তিগত তদন্তকারী, সিআইইউ বীমা তদন্তকারী বা অ্যাডজাস্টারের মতো বাণিজ্যিক সত্তা যে কোন ধরনের ছলচাতুরির আচরণ করে তাহলে এটি যুক্তরাষ্ট্রীয় ট্রেড কমিশনের (এফটিসি) অধিনে বিচারের সম্মুখীন হবে। এই যুক্তরাষ্ট্রীয় সংস্থার কাছে দায় এবং কর্তৃত্ত্বের ক্ষমতা আছে যাতে করে ভোক্তারা এই নিয়ে নিশ্চিত থাকতে পারে যে তারা কোন অন্যায্য বা ভ্রান্তিজনক বাণিজ্যিক বিষয়ের শিকার হচ্ছেন না। ইউএস ফেডারেল ট্রেড কমিশন আইনের ধারা ৫ এ বলা আছে “যখনই কমিশনের বিশ্বাস করার জন্য যথেষ্ট কারণ থাকবে যে কোন ব্যক্তি, অংশীদার বা করপোরেশন কোন প্রতিদ্বন্দ্বিতাপূর্ণ অসৎ পদ্ধতি বা অন্যায্য কিংবা প্রতারণাপূর্ণ আচরণ বা কাজ করবে অথবা বাণিজ্যকে প্রভাবিত করতে ব্যবহার করবে এবং এটি যদি কমিশনের কাছে পৌঁছায় যে এই জাতীয় আচরণ দ্বারা জনগণের স্বার্থের বিপক্ষে যাবে, তাহলে এটিকে প্রকাশ করা হবে এবং উক্ত ব্যক্তি, অংশীদার বা করপোরেশনের নিকট সম্মানের সাথে অভিযোগ জানানো যাবে।”

সংবিধিটি বলে যে যখন কেউ একটি আর্থিক প্রতিষ্ঠান বা ভোক্তা থেকে কোনো ব্যক্তিগত, সর্বসাধারণের জন্য অউন্মুক্ত তথ্য গ্রহণ করবে তাহলে তাদের কৃতকর্ম সংবিধি মোতাবেক হবে। উদাহরণস্বরূপ একজন প্রিটেক্সটার যেকিনা মিথ্যা অজুহাত ব্যবহার করে ভোক্তার ব্যাংক থেকে কোন ভোক্তার ঠিকানা পেতে অথবা তার ব্যাংকের নাম প্রকাশ করার জন্য কোন ভোক্তাকে পেতে চাচ্ছিল তার পরিচয় অবশ্যই লুকিয়ে রাখা হবে। নিরূপক নীতিটি হলো এই যে ছলচাতুরি শুধুমাত্র তখনই ঘটে যখন তথ্যটি মিথ্যা অজুহাতের মাধ্যমে প্রাপ্ত হয়।

যেহেতু সেল টেলিফোন নথির বিক্রয় উল্লেখযোগ্য মিডিয়ার মনোযোগ অর্জন করেছে এবং মার্কিন সেনেটরের নিকট টেলিযোগাযোগ রেকর্ডই বর্তমানে প্রধান দুটি বিলের কেন্দ্রবিন্দু, তাই ব্যক্তিগত নথির আরও অনেক ধরনগুলো প্রকাশ্যে ক্রয় বিক্রয় করা হচ্ছে। সেল ফোন রেকর্ড, ওয়্যারলাইন রেকর্ড এবং কলিং কার্ডের সাথে সম্পর্কিত অনেক বিজ্ঞাপনই প্রচার করা হয়। যেহেতু ব্যক্তিবিশেষরা ভিওআইপি টেলিফোনে স্থানান্তরিত হচ্ছে, তাই এটা অনেকটাই নিশ্চিত যে ঐসব নথিগুলোও বিক্রয়ের জন্য উপস্থাপন করা হবে। বর্তমানে টেলিফোন নথি বিক্রি করা আইনত বৈধ, তবে তা সংগ্রহ করা অবৈধ^[২৯]।

ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্ট

মার্কিন যুক্তরাষ্ট্রের স্থানীয় প্রতিনিধি (কালামাজু, মিশিগান), এনার্জি এন্ড কমার্স সাবকমিটি অন টেলিকমিউনিকেশনস এন্ড দ্যা ইন্টারনেটের চেয়ারম্যান ফ্রেড উপটন ইন্টারনেটে ব্যক্তিগত মোবাইল ফোন রেকর্ডের সহজ অনুপ্রবেশ সম্পর্কে উদ্বেগ প্রকাশ করেন। হাউজ এনার্জি এন্ড কমার্স কমিটির “ফোন রেকর্ডস ফর সেল: হোয়াই আর নট ফোন রেকর্ডস সেফ ফ্রম প্রিটেক্সটিং?” এর বিতর্ক শোনার সময়ে যখন অ্যাটর্নি জেনারেল লিসা ম্যাডিগান ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্ট. ইনক সংস্থাকে অভিযুক্ত করে, তখন ইলিনোইস অঙ্গরাজ্য প্রথম অনলাইন নথি দালালদের অভিযুক্ত করতে সক্ষম হয়। মামলার একটি কপি অনুসারে ফ্লোরিডা ভিত্তিক কোম্পানিটি কতিপয় ওয়েবসাইট পরিচালনা করে যেগুলো অর্থের বিনিময়ে মোবাইল টেলিফোন নথি বিক্রি করে। ফ্লোরিডা এবং মিসৌরির অ্যাটর্নি জেনারেল খুব দ্রুত ম্যাডিগানের পন্থা অবলম্বন করার মাধ্যমে ১ম তথ্য উৎস বিশেষজ্ঞদের বিরুদ্ধে মামলা দায়ের করে এবং মিসৌরির ক্ষেত্রে অন্যতম তথ্য দালাল সংস্থা ফাস্ট ডাটা সলিউশন, ইনক-কে নিষিদ্ধ করার মাধ্যমে।

বিভিন্ন বেতার সেবাদাতা প্রতিষ্ঠান যেমন টি-মোবাইল, ভেরাইজন এবং চিনগুলার নথি দালালদের বিরুদ্ধে মামলা দায়ের করে, সেই সাথে চিনগুলার ফাস্ট ডাটা সলিওশন এবং ফাস্ট সোর্স ইনফরমেশন স্প্যাসালিস্টের বিরুদ্ধে করা আদেশজারিতে জিতে যায়। মার্কিন সেনেটর চার্লস স্কিউমার একইভাবে ২০০৬ সালের ফেব্রুয়ারিতে (নিউ ইয়র্ক) আইন প্রণয়নের সূত্রপাত করেন। ২০০৬ সালের ভোক্তা টেলিফোন নথি সংরক্ষণ আইন মোতাবেক মোবাইল ফোন, ল্যান্ডলাইন এবং ভয়েস ওভার ইন্টারনেট প্রোটোকল (ভিওআইপি) গ্রাহকদের তথ্য চুরির ঘটনাকে গুরুতর অপরাধ বলে গণ্য করা হবে।

এইচপি

হিউলেট প্যাকার্ডের সাবেক সভাপত্নী পেট্রিকা ডুন রিপোর্ট করেন যে, যে বা যারা বোর্ডের তথ্য ফাঁসের জন্য দায়ী ছিল তাকে খুঁজে বের করার জন্য এইচপি বোর্ড একটি প্রাইভেট তদন্তকারী প্রতিষ্ঠানকে নিয়োগ দেয়। ডুন স্বীকার করেন যে তার কোম্পানি বোর্ডের সদস্য এবং সাংবাদিকদের টেলিফোন নথি প্রকাশে অনুরোধের জন্য ছলচাতুরির আশ্রয় নিয়েছিল। চেয়ারম্যান ডুন পরবর্তীকালে এই ধরনের কাজের জন্য ক্ষমা চান এবং বোর্ড থেকে পদত্যাগের প্রস্তাব দেন যদি বোর্ডের সদস্যরা ইচ্ছুক থাকে^[৩০]। যুক্তরাষ্ট্রীয় আইনের বিপরীতে ক্যালিফোর্নিয়া আইন এই ধরনের ছলচাতুরিকে বিশেষভাবে নিষিদ্ধ করে। ডুনের বিরুদ্ধে আনা চারটি গুরুতর অপরাধের অভিযোগ প্রত্যাখ্যান করা হয়^[৩১]।

আরও দেখুন

প্রত্যয়িত সোশ্যাল ইঞ্জিনিয়ারিং নিবারণ বিশেষজ্ঞ (সিএসইপিএস)
আস্থা কৌশল
প্রতিব্যবস্থা (কম্পিউটার)
সাইবার-হিউমিন্ট
সাইবারহিস্ট
ইন্টারনেট নিরাপত্তা সচেতনতা প্রশিক্ষণ
আইটি ঝুঁকি
মিডিয়া বিদ্রুপ, যেটি প্রায় একই ধরনের কৌশল ব্যবহার করে।
অনুপ্রবেশ পরীক্ষা
ফিশিং
ফিজিক্যাল ইনফরমেশন সিকিউরিটি
পিগিব্যাকিং (নিরাপত্তা)
এসএমএস ফিশিং
হুমকি (কম্পিউটার)
ভয়েস ফিশিং
ভালনেরাবিলিটি (কম্পিউটিং)

তথ্যসূত্র

↑ Anderson, Ross J. (২০০৮)। Security engineering: a guide to building dependable distributed systems (2nd সংস্করণ)। Indianapolis, IN: Wiley। পৃষ্ঠা 1040। আইএসবিএন 978-0-470-06852-6। Chapter 2, page 17
↑ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
↑ "Hack a Facebook Account with Social Engineering (Easiest Way) ~ Amazing Hacking Tricks"। amazinghackingtricks.com। ১০ নভেম্বর ২০১৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।
↑ The story of HP pretexting scandal with discussion is available at Davani, Faraz (১৪ আগস্ট ২০১১)। "HP Pretexting Scandal by Faraz Davani"। Scribd। সংগ্রহের তারিখ ১৫ আগস্ট ২০১১।
↑ "Pretexting: Your Personal Information Revealed", Federal Trade Commission
↑ Fagone, Jason। "The Serial Swatter"। New York Times। সংগ্রহের তারিখ ২৫ নভেম্বর ২০১৫।
↑ "Train For Life"। Web.archive.org। ৫ জানুয়ারি ২০১০। ৫ জানুয়ারি ২০১০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ আগস্ট ২০১২।
↑ "The Real Dangers of Spear-Phishing Attacks"। FireEye। ২০১৬। সংগ্রহের তারিখ ৯ অক্টোবর ২০১৬।
↑ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack"। invincea.com। ১০ ফেব্রুয়ারি ২০১৫। ২৩ ফেব্রুয়ারি ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।
↑ "Social Engineering, the USB Way"। Light Reading Inc। ৭ জুন ২০০৬। ১৩ জুলাই ২০০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ এপ্রিল ২০১৪।
↑ "সংরক্ষণাগারভুক্ত অনুলিপি" (পিডিএফ)। ১১ অক্টোবর ২০০৭ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৫ মার্চ ২০১৭।
↑ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (২০১৫)। Principles of Computer Security, Fourth Edition (Official Comptia Guide)। New York: McGraw-Hill Education। পৃষ্ঠা 193–194। আইএসবিএন 978-0071835978।
↑ Leyden, John (১৮ এপ্রিল ২০০৩)। "Office workers give away passwords"। Theregister.co.uk। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "Passwords revealed by sweet deal"। BBC News। ২০ এপ্রিল ২০০৪। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
↑ Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241.
↑ Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing. A documentary based on Kevin Metnick "Freedom Downtime" was made featuring the real story of Kevin Metnick, featuring some real Hackers.
↑ ^ক ^খ ^গ ^ঘ Social Hacking (গবেষণাপত্র)। Maxim Maximov, Ruslan Iskhakov। সংগ্রহের তারিখ ১১ ফেব্রু ২০০৩।
↑ "Social Engineering Framework"। Social-engineer.org। ১ অক্টোবর ২০১০।
↑ Social Engineering: Manipulating the human। Scorpio Net Security Services। ১৮ এপ্রিল ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "Mobile Devices and the Military: useful Tool or Significant Threat"। academia.edu। সংগ্রহের তারিখ ১১ মে ২০১৩।
↑ "Social Engineering: Manipulating the human"। YouTube। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference"। Ustream.tv। ৭ অক্টোবর ২০১১। ৪ আগস্ট ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "Automated Social Engineering"। BrightTALK। ২৯ সেপ্টেম্বর ২০১১। ১১ এপ্রিল ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "Social Engineering a General Approach" (পিডিএফ)। Informatica Economica journal। সংগ্রহের তারিখ ১১ জানু ২০১৫।
↑ "Wired 12.02: Three Blind Phreaks"। Wired.com। ১৪ জুন ১৯৯৯। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ Restatement 2d of Torts § 652C.
↑ "Congress outlaws pretexting"। Ars Technica।
↑ Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. আইএসবিএন ০-৪৭১-২৩৭১২-৪
↑ HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 2006-09-08 1:08 PM PDT CNET News.com
↑ "Calif. court drops charges against Dunn"। News.cnet.com। ১৪ মার্চ ২০০৭। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।
↑ "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle"। সংগ্রহের তারিখ ৩০ নভেম্বর ২০১৬।

বহিঃসংযোগ

Social Engineering Fundamentals – Securityfocus.com. Retrieved on ৩ আগস্ট 2009.
"Social Engineering, the USB Way"। Light Reading Inc। ৭ জুন ২০০৬। ১৩ জুলাই ২০০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ এপ্রিল ২০১৪।
Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Retrieved on ৩ আগস্ট 2009.
Social Engineering: Explained – Linkedin.com. Retrieved on ২৭ ফেব্রুয়ারি 2016.
"Protecting Consumers' Phone Records", Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation . Retrieved on ৮ ফেব্রুয়ারি 2006.
Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved on ৯ সেপ্টেম্বর 2006.
Striptease for passwords – MSNBC.MSN.com. Retrieved on ১ নভেম্বর 2007.
Social-Engineer.org – social-engineer.org. Retrieved on ১৬ সেপ্টেম্বর 2009.

[1] Anderson, Ross J. (২০০৮)। Security engineering: a guide to building dependable distributed systems (2nd সংস্করণ)। Indianapolis, IN: Wiley। পৃষ্ঠা 1040। আইএসবিএন 978-0-470-06852-6। Chapter 2, page 17

[2] Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.

[3] "Hack a Facebook Account with Social Engineering (Easiest Way) ~ Amazing Hacking Tricks"। amazinghackingtricks.com। ১০ নভেম্বর ২০১৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।

[4] The story of HP pretexting scandal with discussion is available at Davani, Faraz (১৪ আগস্ট ২০১১)। "HP Pretexting Scandal by Faraz Davani"। Scribd। সংগ্রহের তারিখ ১৫ আগস্ট ২০১১।

[5] "Pretexting: Your Personal Information Revealed", Federal Trade Commission

[The_Serial_Swatter-6] Fagone, Jason। "The Serial Swatter"। New York Times। সংগ্রহের তারিখ ২৫ নভেম্বর ২০১৫।

[7] "Train For Life"। Web.archive.org। ৫ জানুয়ারি ২০১০। ৫ জানুয়ারি ২০১০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ আগস্ট ২০১২।

[The_Real_Dangers_of_Spear-Phishing_Attacks-8] "The Real Dangers of Spear-Phishing Attacks"। FireEye। ২০১৬। সংগ্রহের তারিখ ৯ অক্টোবর ২০১৬।

[Forbes.com_watering_hole_attack-9] "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack"। invincea.com। ১০ ফেব্রুয়ারি ২০১৫। ২৩ ফেব্রুয়ারি ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ ফেব্রুয়ারি ২০১৭।

[Social_Engineering,_the_USB_Way-10] "Social Engineering, the USB Way"। Light Reading Inc। ৭ জুন ২০০৬। ১৩ জুলাই ২০০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ এপ্রিল ২০১৪।

[11] "সংরক্ষণাগারভুক্ত অনুলিপি" (পিডিএফ)। ১১ অক্টোবর ২০০৭ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৫ মার্চ ২০১৭।

[12] Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (২০১৫)। Principles of Computer Security, Fourth Edition (Official Comptia Guide)। New York: McGraw-Hill Education। পৃষ্ঠা 193–194। আইএসবিএন 978-0071835978।

[13] Leyden, John (১৮ এপ্রিল ২০০৩)। "Office workers give away passwords"। Theregister.co.uk। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[14] "Passwords revealed by sweet deal"। BBC News। ২০ এপ্রিল ২০০৪। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[15] Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.

[16] Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241.

[CSEPS-4-17] Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing. A documentary based on Kevin Metnick "Freedom Downtime" was made featuring the real story of Kevin Metnick, featuring some real Hackers.

[auto-18] ক ^খ ^গ ^ঘ Social Hacking (গবেষণাপত্র)। Maxim Maximov, Ruslan Iskhakov। সংগ্রহের তারিখ ১১ ফেব্রু ২০০৩।

[19] "Social Engineering Framework"। Social-engineer.org। ১ অক্টোবর ২০১০।

[20] Social Engineering: Manipulating the human। Scorpio Net Security Services। ১৮ এপ্রিল ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[21] "Mobile Devices and the Military: useful Tool or Significant Threat"। academia.edu। সংগ্রহের তারিখ ১১ মে ২০১৩।

[22] "Social Engineering: Manipulating the human"। YouTube। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[23] "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference"। Ustream.tv। ৭ অক্টোবর ২০১১। ৪ আগস্ট ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[24] "Automated Social Engineering"। BrightTALK। ২৯ সেপ্টেম্বর ২০১১। ১১ এপ্রিল ২০১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[25] "Social Engineering a General Approach" (পিডিএফ)। Informatica Economica journal। সংগ্রহের তারিখ ১১ জানু ২০১৫।

[26] "Wired 12.02: Three Blind Phreaks"। Wired.com। ১৪ জুন ১৯৯৯। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[27] Restatement 2d of Torts § 652C.

[28] "Congress outlaws pretexting"। Ars Technica।

[29] Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. আইএসবিএন ০-৪৭১-২৩৭১২-৪

[com-30] HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 2006-09-08 1:08 PM PDT CNET News.com

[31] "Calif. court drops charges against Dunn"। News.cnet.com। ১৪ মার্চ ২০০৭। সংগ্রহের তারিখ ১১ এপ্রিল ২০১২।

[32] "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle"। সংগ্রহের তারিখ ৩০ নভেম্বর ২০১৬।

[১]

[২]

[৩]

[৪]

[৫]

[৬]

[৭]

[৮]

[৯]

[১০]

[১১]

[১২]

[১৩]

[১৪]

[১৫]

[১৬]

[১৭]

[১৮]

[১৯]

[২০]

[২১]

[২২]

[২৩]

[২৪]

[২৫]

[২৬]

[২৭]

[২৮]

[২৯]

[৩০]

[৩১]

[৩২]

দে স মনস্তাত্ত্বিক ক্রীড়া
Positive reinforcement (appetitive stimulus)	মনোযোগ ঘুষ দেয়া শিশু পরিচর্যা তোষামোদ উপহারসমূহ অনুগ্রহ লাভ বম্বিং ঠেলা দেয়া প্রশংসা প্রলোভন হাসি লোকদেখানো আকর্ষণ মায়া কান্না
Negative reinforcement (aversive stimulus)	ক্রোধ ব্ল্যাঙ্কিং Character assassination ক্রন্দন Emotional blackmail Fear mongering ভ্রুভঙ্গি করা তীক্ষ্ণদৃষ্টি Guilt trip অসাবধানতা ভীতিপ্রদর্শন বিরক্তি Nit-picking criticism Passive aggression Punishment Relational aggression Sadism লজ্জা নিরব আচরণ Silent treatment (blanking) Swearing হুমকি Victim blaming Victim playing Yelling
অন্যান্য পন্থা	Bait-and-switch Deception অস্বীকার Deprogramming ভুল তথ্য Distortion বিনোদন Divide and rule Double bind Entrapment Evasion অতিরঞ্জন Gaslighting Good cop/bad cop Indoctrination Low-balling মিথ্যা বলা Minimisation Moving the goalposts Pride-and-ego down Rationalization Reid technique Setting up to fail Trojan horse You're either with us, or against us
প্রসঙ্গ	Abuse Advertising Bullying Catholic guilt Confidence trick Guilt culture জিজ্ঞাসাবাদ Jewish guilt Jewish mother stereotype নৈতিক আতঙ্ক Media manipulation মন নিয়ন্ত্রণ Mind games Mobbing প্রোপাগান্ডা Salesmanship Scapegoating Shame culture Smear campaign Social engineering (blagging) Spin প্রস্তাব দেয়ার সক্ষমতা Whispering campaign
সম্পর্কিত বিষয়	অ্যান্টিসোশ্যাল পার্সোনালিটি ডিসঅর্ডার দৃঢ় উক্তি দোষ বর্ডারলাইন পার্সোনালিটি ডিসঅর্ডার Dumbing down সক্রিয় ভ্রান্ত ধারণা Femme fatale গেমিং দ্যা সিস্টেম Gullibility Histrionic personality disorder Impression management Machiavellianism আত্মরতি নার্সিসিস্টিক পার্সোনালিটি ডিসঅর্ডার ব্যক্তিগত সীমাবদ্ধতা প্রবর্তনা জনপ্রিয়তা Power and control in abusive relationships অভিক্ষেপ মানসিক অস্থিরতা