Science & Engineering

কন্ট্যাক্টলেস পেমেন্টের নিরাপত্তা ঝুঁকি ও বাঁচার উপায়

অপু

I will now search for the YouTube video ID to understand the specific flaw being discussed and then proceed to write the 1200-word analysis in the requested Bengali/English HTML format.

Exposing the Flaw in Tap to Pay: Convenience vs. Security (একটি গভীর প্রযুক্তিগত বিশ্লেষণ)

আজকের ডিজিটাল যুগে, ‘Tap to Pay’ বা কন্টাক্টলেস পেমেন্ট আমাদের দৈনন্দিন জীবনের অবিচ্ছেদ্য অংশ হয়ে দাঁড়িয়েছে। আপনি একটি কফি শপে যান বা গ্রোসারি স্টোরে, আপনার স্মার্টফোন বা ক্রেডিট কার্ড কেবল টার্মিনালের সামনে ধরলেই পেমেন্ট হয়ে যায়। এই সহজলভ্যতা বা convenience আমাদের জীবনকে অনেক দ্রুত করে দিয়েছে। কিন্তু এই গতির আড়ালে কি কোনো বড় ধরনের নিরাপত্তা ঝুঁকি লুকিয়ে আছে? সম্প্রতি Veritasium-এর একটি ভিডিও (YouTube ID: PPJ6NJkmDAo) পেমেন্ট সিস্টেমের একটি ভয়াবহ দুর্বলতা বা security flaw উন্মোচন করেছে, যেখানে গবেষকরা প্রমাণ করেছেন যে আপনার পকেট থেকে ফোন বের না করেই কেউ হাজার হাজার ডলার চুরি করতে পারে। এই আর্টিকেলে আমরা সেই technical vulnerability এবং এর প্রতিকার নিয়ে বিস্তারিত আলোচনা করব।

The Architecture of Contactless Payments: How NFC Works

Tap to pay প্রযুক্তির মূলে রয়েছে Near Field Communication (NFC)। এটি একটি স্বল্প পাল্লার বেতার যোগাযোগ ব্যবস্থা যা সাধারণত ৪ সেন্টিমিটারের মধ্যে কাজ করে। যখন আপনি আপনার ফোন বা কার্ড একটি পেমেন্ট রিডারের কাছে আনেন, তখন রিডারটি একটি ইলেক্ট্রোম্যাগনেটিক ফিল্ড তৈরি করে যা আপনার ফোনের NFC চিপকে সজাগ করে তোলে। এরপর ফোন এবং রিডারের মধ্যে একটি ‘Digital Handshake’ হয়।

এই প্রক্রিয়ায় একগুচ্ছ এনক্রিপ্টেড ডাটা আদান-প্রদান করা হয়। প্রচলিত ধারণা অনুযায়ী, এই ট্রানজ্যাকশনগুলো অত্যন্ত সুরক্ষিত কারণ প্রতিটি পেমেন্টের জন্য একটি ওয়ান-টাইম টোকেন বা ডাইনামিক সিভিভি (dCVV) ব্যবহার করা হয়। এর ফলে কার্ডের আসল নম্বর রিডারের কাছে পৌঁছায় না। তবে, প্রযুক্তির এই সুরক্ষাবলয় ছিঁড়ে ফেলার একটি পথ খুঁজে বের করেছেন গবেষকরা, যা মূলত ‘Express Transit Mode’ নামক একটি ফিচারের ওপর ভিত্তি করে তৈরি।

The Veritasium Revelation: The $10,000 Heist

Veritasium-এর ভিডিওতে দেখা যায়, বিখ্যাত টেক রিভিউয়ার Marques Brownlee (MKBHD)-এর পকেটে থাকা একটি লকড আইফোন থেকে গবেষকরা ১০,০০০ ডলার চুরি করতে সক্ষম হন। এই পুরো প্রক্রিয়াটি সম্পন্ন হয়েছে কোনো পাসকোড, ফেস আইডি বা টাচ আইডি ছাড়াই। কীভাবে এটি সম্ভব হলো? এর উত্তর লুকিয়ে আছে অ্যাপল পে-র ‘Express Transit Mode’ এবং ভিসা (Visa) নেটওয়ার্কের প্রোটোকলের একটি বিশেষ দুর্বলতার মধ্যে।

সাধারণত, পেমেন্ট করার সময় আমাদের বায়োমেট্রিক অথেন্টিকেশন লাগে। কিন্তু সাবওয়ে বা বাসে যাতায়াতের সময় দ্রুত পেমেন্ট করার জন্য অ্যাপল একটি ফিচার নিয়ে আসে যা কোনো আনলক ছাড়াই কাজ করে। গবেষকরা এই ফিচারটিকে একটি লুপহোল হিসেবে ব্যবহার করেছেন।

Deep Dive into Express Transit Mode Vulnerability

Express Transit Mode ডিজাইন করা হয়েছে যাতে যাত্রীরা তাদের ফোন পকেট থেকে বের না করেই গেট পার হতে পারেন। যখন আপনার ফোন কোনো ট্রানজিট রিডারের সিগন্যাল পায়, তখন এটি স্বয়ংক্রিয়ভাবে পেমেন্ট অথোরাইজ করে দেয়। গবেষকরা একটি ‘Man-in-the-Middle’ (MITM) অ্যাটাক সেটআপ করেন। তারা একটি প্রোক্সমার্ক (Proxmark) নামক ডিভাইস ব্যবহার করেন যা পেমেন্ট রিডার এবং ফোনের মাঝখানে একটি ব্রিজ হিসেবে কাজ করে।

এই ডিভাইসের মাধ্যমে তারা ফোনকে বিশ্বাস করান যে সেটি একটি বাস বা সাবওয়ে গেটের রিডার। ফোন তখন স্বয়ংক্রিয়ভাবে ট্রানজ্যাকশন প্রসেস শুরু করে। কিন্তু আসল জালিয়াতি শুরু হয় যখন এই ডাটা প্যাকেটগুলো ভিসা নেটওয়ার্কের মাধ্যমে ব্যাংকের কাছে যায়।

The Technical Exploit: Bit Flipping and Data Manipulation

এই অ্যাটাকের সবচেয়ে জটিল এবং গুরুত্বপূর্ণ অংশ হলো ‘Bit Flipping’। যখন ফোনটি পেমেন্ট সিগন্যাল পাঠায়, গবেষকরা মাঝপথে সেই ডাটা প্যাকেটটি ইন্টারসেপ্ট করেন। ডাটা প্যাকেটের ভেতরে একটি নির্দিষ্ট ‘ফ্ল্যাগ’ থাকে যা নির্দেশ করে ট্রানজ্যাকশনটি ট্রানজিট (যেমন বাস ভাড়া) নাকি রিটেইল (যেমন শপিং)। গবেষকরা সেই নির্দিষ্ট বিটটি পরিবর্তন করে ফোনকে বোঝান যে এটি একটি ট্রানজিট ট্রানজ্যাকশন (যাতে পিন না লাগে), কিন্তু একই সাথে টার্মিনালকে বা ব্যাংকে পাঠান শপিংয়ের জন্য একটি বিশাল অংকের রিকোয়েস্ট।

ভিসার প্রোটোকলে একটি বড় সমস্যা ছিল যে, ট্রানজ্যাকশন অ্যামাউন্ট এবং ট্রানজিট ফ্ল্যাগটি এনক্রিপ্টেড হলেও তারা একে অপরের সাথে ‘Cryptographically Bound’ ছিল না। অর্থাৎ, একটি পরিবর্তন করলে অন্যটির ওপর তার প্রভাব পড়ত না। এর ফলে হ্যাকাররা ট্রানজ্যাকশনের ধরন লুকিয়ে রেখে অংকের পরিমাণ বাড়িয়ে দিতে সক্ষম হয়।

Why Visa? A Protocol Specific Issue

আশ্চর্যজনক বিষয় হলো, এই নির্দিষ্ট হ্যাকটি মাস্টারকার্ড (Mastercard) বা আমেরিকান এক্সপ্রেস (Amex) কার্ডের ক্ষেত্রে কাজ করে না। কারণ ওই নেটওয়ার্কগুলো তাদের প্রোটোকলে ‘Dynamic Data Authentication’ ব্যবহার করে যেখানে ট্রানজ্যাকশন ভ্যালু এবং টাইপ উভয়ই একটি সিগনেচারের মাধ্যমে লক করা থাকে। ভিসার ক্ষেত্রে এই নির্দিষ্ট ‘Express Transit’ লজিকে এই সিগনেচার মেকানিজমটি দুর্বল ছিল। অ্যাপল দাবি করেছে এটি ভিসার সমস্যা, অন্যদিকে ভিসা বলছে এটি একটি অত্যন্ত জটিল অ্যাটাক যা সাধারণ হ্যাকারের পক্ষে করা প্রায় অসম্ভব।

Watch the Full Technical Demonstration

নিচের ভিডিওটি দেখলে আপনি পুরো হ্যাকিং প্রক্রিয়াটি সরাসরি দেখতে পাবেন এবং বুঝতে পারবেন এটি কতটা সূক্ষ্মভাবে কাজ করে।

video
play-rounded-fill

Real-world Risk Assessment: কি আপনার দুশ্চিন্তার কারণ আছে?

এখন প্রশ্ন জাগতে পারে, আমাদের কি এখনই Tap to Pay ব্যবহার বন্ধ করে দেওয়া উচিত? টেকনিক্যালি এই অ্যাটাকটি সম্ভব হলেও, বাস্তব জীবনে এটি বাস্তবায়ন করা বেশ কঠিন।

  • Proximity: হ্যাকারকে আপনার খুব কাছে (কয়েক সেন্টিমিটারের মধ্যে) থাকতে হবে।
  • Hardware: এর জন্য ল্যাপটপ, প্রোক্সমার্ক এবং বিশেষ সফটওয়্যারের প্রয়োজন যা সাধারণ চোরদের কাছে থাকে না।
  • Bank Fraud Detection: ব্যাংকগুলো এখন অনেক উন্নত AI ব্যবহার করে যা অস্বাভাবিক ট্রানজ্যাকশন (যেমন হঠাৎ ১০,০০০ ডলারের ট্রানজিট পেমেন্ট) সহজেই ব্লক করে দিতে পারে।

তবে, ছোট ছোট অংকের ট্রানজ্যাকশন যদি এভাবে করা হয়, তবে ব্যবহারকারী তা বুঝতে অনেক সময় নিতে পারেন। তাই পুরোপুরি নিরাপদ ভাবার অবকাশ নেই।

How to Protect Your Wallet: কিছু প্রয়োজনীয় সতর্কতা

আপনার কন্টাক্টলেস পেমেন্ট সিস্টেমকে সুরক্ষিত রাখতে আপনি নিচের পদক্ষেপগুলো নিতে পারেন:

  1. Disable Express Transit Mode: যদি আপনি নিয়মিত পাবলিক ট্রান্সপোর্ট ব্যবহার না করেন, তবে আপনার আইফোনের Wallet সেটিংস থেকে Express Transit ফিচারটি বন্ধ করে রাখুন।
  2. RFID Blocking Wallet: বাজারে অনেক RFID ব্লকিং ওয়ালেট পাওয়া যায় যা বাইরের কোনো সিগন্যালকে আপনার কার্ড পর্যন্ত পৌঁছাতে দেয় না।
  3. Turn off NFC when not in use: অ্যান্ড্রয়েড ব্যবহারকারীরা সহজেই তাদের ফোনের কুইক সেটিংস থেকে NFC অফ করে রাখতে পারেন।
  4. Monitor Transactions: আপনার ব্যাংকিং অ্যাপের নোটিফিকেশন অন রাখুন যাতে প্রতিটি ট্রানজ্যাকশনের সাথে সাথেই আপনি অ্যালার্ট পান।

The Future of Payment Security

প্রযুক্তির বিবর্তন একটি বিরামহীন লড়াই—একদিকে ডেভেলপাররা নিরাপত্তা বাড়াচ্ছেন, অন্যদিকে হ্যাকাররা নতুন লুপহোল খুঁজছেন। ভিসার এই দুর্বলতাটি জানাজানি হওয়ার পর তারা তাদের প্রোটোকলে পরিবর্তন আনা শুরু করেছে। তবে এই ঘটনা আমাদের মনে করিয়ে দেয় যে ‘Convenience’ বা সুবিধার জন্য আমরা প্রায়ই আমাদের সিকিউরিটির সাথে আপস করি। ভবিষ্যতে হয়তো বায়োমেট্রিক অথেন্টিকেশন আরও বাধ্যতামূলক হবে, যা এই ধরণের MITM অ্যাটাককে পুরোপুরি রুখে দেবে।

Conclusion

পরিশেষে বলা যায়, Tap to Pay প্রযুক্তি আমাদের জীবনকে সহজ করেছে ঠিকই, কিন্তু এর পেছনের জটিলতাগুলো বুঝতে পারা আমাদের জন্য জরুরি। Veritasium-এর এই এক্সপোজারটি কেবল একটি হার্ডওয়্যার হ্যাক নয়, এটি বড় বড় টেক জায়ান্টদের জন্য একটি সতর্কবার্তা। প্রযুক্তি ব্যবহারের সময় আমাদের সচেতন থাকতে হবে এবং সিকিউরিটি সেটিংসগুলো নিয়মিত চেক করা উচিত। আপনার ডিজিটাল ওয়ালেট তখনই সুরক্ষিত থাকবে যখন আপনি তার সক্ষমতা এবং সীমাবদ্ধতা—উভয়ই সম্পর্কে জানবেন।

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.