প্রারম্ভিকতা
হ্যাকিং এর প্রথাগত ডেফিনেশন হলো “কোন সিস্টেমের যাবতীয় বিষয় এনলাইসিস করে ত্রুটি অনুসন্ধান এবং সেই ত্রুটিকে কাজে লাগিয়ে সিস্টেম এক্সেস এবং নিয়ন্ত্রণ করা” – তথাপি সচরাচর হ্যাকিং বলতে টিটকারি করে এভাবে বলা হয় “এতোই যখন হ্যাকিং পারো তাহলে ব্যাংক হ্যাক করো তো? কিংবা হ্যাকিং করে টাকা ইনকাম করে দেখাও তো!” ইত্যাদি ইত্যাদি।
হ্যা, হ্যাকিং করে অবশ্যই টাকা এচিভ (অর্জন বা লাভ করা বোঝাতে) করা যায় তাইবলে সেটাকে ঠিক ইনকাম বলা যায় কি?
যদি সেটা আপনার আপন সময় ও শ্রমের বিপরীতে স্যাটিসফেকশান নিয়ে প্রফোশন হিসেবে টাকা এচিভ করেন – তাহলে আর্নিং বা ইনকাম বলা যায়।
অপরাপর সাইবার সিকিউরিটি ফিল্ডে স্পেশালিষ্ট হয়ে প্রফোশন বেছে নেওয়া কিংবা বাগ বাউন্টিং হতে পারে আর্নিং এর অনন্য উপায়।
তদুপরি এথিক্যাল দিক হতে হালাল/হারাম এর সংজ্ঞা আলোচ্য নয় তাই মোরালিটি উপদেশবানী বিবেচ্য নয়; এখানে শুধুমাত্র টেকনোলজিক্যাল দিক ফোকাস করা হলো….
হ্যাকিং করে অবশ্যই টাকা লাভ/ইনকাম করা যায় সত্য – তাইবলে হ্যাকিং বিষয়টা কেবলই টাকা ইনকাম/লাভ করার প্রফোশনাল উপায় নয় – তারচেয়েও অধিক প্যাশানেটিং যা কিনা মন মস্তিষ্ক জুড়ে থাকে!
এই আর্টিকেলে আক্ষরিকভাবেই “হ্যাকিং করে টাকা ইনকাম” বিষয়টাকে হাইলাইট করা হয়েছে; তবে এটার উদ্দেশ্য এই নয় যে “টাকা উপার্জন করা” মোটিভ বরং “হ্যাকিং জিনিসটা আসলে কি?” এটার রিয়েলাইজেশান।
ডিসক্লেইমার: এই লেখনীতে যে গভঃমেন্ট পোর্টাল উদাহরণস্বরূপ ব্যবহার করা হয়েছে সেটার কোনরূপ মিসইউটিলাইজেশান করা হয়নি; প্রযোজ্য ক্ষেত্রে সেনসেটিভ তথ্য উহ্য রাখা হয়েছে। একইসাথে আর্টিকেলে অহেতুক অতিরিক্ত লিংকিং যেন না হয় সেটার জন্য হাইপারলিংকিং না করে টেক্সট ফরম্যাটে লিংকিং করা হয়েছে।
হ্যাকিং ট্যাকটিস
যেকোন বিষয়ে হ্যাকিং করার জন্য প্রায় সার্বজনীন একটি রুল হলো [এটি আমার লেখার মতোই যে হতে হবে তা নয় তবে ব্যাসিক বিষয় ঠিক এমনই]।
যেকোনো সিস্টেমে আপনার লক্ষ্য অনুসারে হ্যাকিং পরিচালনা করার জন্য টার্গেট ফিক্স করা >>> ঐ সিস্টেম সম্পর্কে পরিপূর্ণ তথ্য এবং উপাত্ত সংগ্রহ করা >>> এটি কি সিস্টেম >>> ঐ সিস্টেম কিভাবে বিল্ডআপ হয়েছে >>> সেই বিল্ডআপ মডিউলে কোন কোন অংশ হতে ব্যাকডোর থাকতে পারে সেটা খুঁজে বের করা / যদি আদৌ ব্যাকডোর না থাকে তবে আপনি নিজেকেই একটি সিস্টেমের অংশ হিসেবে ইনক্লুড করুন >>> এখন সিস্টেমে বিদ্যনান থাকা ব্যাকডোর অথবা ইনক্লুডমেন্ট নিশ্চিত হওয়ার হওয়া পূর্বক আপনি আপনার লক্ষ্য কিভবে পূরণ করবেন সেটার প্ল্যানিং করুন >>> প্ল্যান ইউটিলাইজ করুন >>> আপনার লক্ষ্য পূরণ করুন।
খুব সুন্দর করে ক্যাটালাইজেশান করে বোঝালাম – আপনি কি বুঝেছেন?
মনে হয়না বুঝেছেন….
হ্যাকিং করে টাকা ইনকাম
চলুন এবার উদাহরণ দিয়েই বোঝানো যাক…
উদাহরণস্বরূপ বিবেচনা করা যাক আমার লক্ষ্য হলো হ্যাকিং করে টাকা ইনকাম (টাকা মানে টাকা – একদম BDT আরকি; এটা ইয়ার্কি করে বলা নয় বরং কারেন্সি হিসেবে যে আমি বাংলাদেশী টাকা দরকার সেটাকেই ইন্ডিকেট করছি)। এখন হ্যাকিং হতে বাংলাদেশী টাকা ইনকাম করার জন্য আমাকে প্রেক্ষাপট খুজতে হবে – অবশ্যই সেই প্রেক্ষাপটে আমি তথ্য অনুসন্ধান করার জন্য আদতে সারফেস লেভেল Google সার্চ ইঞ্জিন ব্যবহার করতে পারি কেননা বাংলাদেশী তথ্য অনুসন্ধান করতে সবচেয়ে ইফেক্টিভ উপায় এখন অবধি Google [পারসেপশন: রাশিয়ান পোর্টালের তথ্য সংগ্রহ করে যেমন Yandex বেটার]।
এখন Google তে আমি সার্চ করবো “হ্যাকিং করে টাকা ইনকাম করার উপায়?” – অবশ্যই “না” বরং আমাকে খুঁজতে হবে “টাকা এর রিসোর্স থাকতে পারে এমন পোর্টালসমূহ”
এটার জন্য Google Dork তে আমি Finance / BDT / Transection / Payment ইত্যাদি নানান ফাইনানশিয়াল তথ্য ইনপুট করবো – এক্সটেনশন যদি আরও ক্লাসিফাইড করতে চাই তবে নির্দিষ্ট রিজিওনের জন্য site:gov.bd (বাংলাদেশী সাইটের জন্য) এমনভাবে সংযোজন করবো।
Google সার্চে নানান তথ্য অনুসন্ধান করে দেখা যায়
EkPay [গভঃমেন্ট এক্সটেনশন যুক্ত করে ওয়েব পোর্টাল https://ekpay.gov.bd] হতেই নানান পেমেন্ট ইত্যাদি হয়ে থাকে।
হাইলাইট: এখন আমরা আমাদের লক্ষ্য পূরণে সিস্টেম আইডিয়েন্টিফাই নিশ্চিত করেছি।
এবার আমরা এই EkPay হতে তথ্য অনুসন্ধান করতে হবে যেন আমরা আক্ষরিকভাবেই টাকা পাওয়ার উদ্দেশ্য হ্যাকিং করতে পারি। EkPay বিশ্লেষণ করলে দেখা যায় যে এখানে ব্যক্তিগত একাউন্ট, মার্চেইন্ট একাউন্ট, অটোমেশন, পেমেন্ট ক্রিয়েট এবং সাবডোমেইনে স্পেসিফিক মার্চেইন্ট রিজিওনাল ডাটা পাওয়া যায় [এক্সপ্লোর করুন এভাবে site:https://ekpay.gov.bd]।
হাইলাইট: এখান হতে আমরা সকল তথ্য সংগ্রহ করে নিবো এবং ঐ সকল তথ্য এনালাইসিস করতে কাজে লাগাবো।
এখান হতে আমরা দেখতে পাই যে আমরা যদি কোন একাউন্টে লগইন করতে চাই তাহলে মোবাইল নাম্বার এবং পাসওয়ার্ড এর সাথে সাথে আলাদা করে OTP এর প্রয়োজন হয়। অন্যদিকে মার্চেইন্ট একাউন্টে লগইন করতে মেইল/ইউজারনেইম/আইডি এর সাথে সাথে পাসওয়ার্ড প্রয়োজন হবে।
এখন আমাদের কাছে কি ঐসব একাউন্টের ডিটেইলস লগইন তথ্য আছে?
না নেই, আর যদি থেকেও থাকতো তাহলে OTP ভেরিফিকেশানে আটকে যেতাম।
হ্যাকিং টাস্ক: এই মুহূর্তে যদি আমরা অন্য কোন দিকে না তাকিয়ে শুধুমাত্র বিভিন্ন ইউজার ও মার্চেইন্ট একাউন্ট হ্যাক করতে চাই তাহলে (১) প্রতিটি ইউজার আইডিয়েন্টিফাই করতে হবে (২) ইউজার আইডিয়েন্টিফাই করার পর ঐ সকল একাউন্ট এক্সেস করার জন্য আমাদের মোবাইল নাম্বার ক্লোন করতে হবে যেন একাউন্ট রিকোভারী করতে পারি (৩) অন্যথায় সরাসরি ইউজারের ডিজাইসের এক্সেস নিয়ে একাউন্ট কনট্রোল করতে হবে।
প্রবলেম সলভিং: এই অংশে গিয়ে আমরা আটকে আছি কেননা আমাদের কোন কোন নাম্বার একাউন্ট আছে সেটা জানা নেই – যদিও বিষয়টা ততোটা কঠিন নয় কেননা Ekpay ইউজার মোবাইল নাম্বার OSINT এর মাধ্যমে কালেক্ট করা যেতেই পারে; অন্যান্য সংগ্রহ করার সোস্যাল ইঞ্জিনিয়ারিং তো আছেই। তবুও আমাদের জন্য সীমকার্ড ক্লোনিং করা কিংবা ঐসকল নাম্বারের বিপরীতে ডিভাইস এক্সেস করাটা আদতে অসম্ভব প্রায়।
সুতরাং এই সমস্যা সমাধানে আমাদের রিভার্স থিংকিং ব্যবহার করতে হবে।
আমরা এমনভাবে ভাবতে পারি যে “যদিও আমাদের কাছে ইউজারে সকল তথ্য নেই তবে Ekpay সার্ভারে তো থাকা উচিত তাইনা? সেগুলো তো অবশ্যই কনট্রোল ও মনিটরিং করা হয় যাতে ফাইনানশিয়াল এক্টিভিটি চলতে পারে – সুতরাং ইউজার এন্ড হতে আমরা মাদার এন্ড (Root Point) তে মুভ অন করা যেতে পারে যেন ঐখান হতেই আমরা সকল তথ্য গেইন করতে পারি”।*
এখন আবার আমাদের খুজে বের করতে হবে Ekpay এর এডমিনিস্ট্রেশন এরিয়া কিংবা কনট্রোল এরিয়া যেখান হতে আমরা তথ্য গেইন করতে পারবো।
এটার জন্যও আমরা দুটি মেথড এপ্লাই করতে পারি (১) Ekpay এর এডমিন এরিয়ার একাউন্ট এক্সেস করা অথবা (২) সরাসরি Ekpay এর ওয়েব সার্ভার এক্সেস করা।
আমরা এখানে Ekpay এর ওয়েব সার্ভার হ্যাকিং
তথা Cpanel এক্সেস বিষটাকে Skip করছি কেননা এটি স্পেসিফিক আইপি ডেডিকেটেড – সুতরাং ক্র্যাকিং চেষ্টা খুব একটা ফলপ্রসূ ফিডব্যাক পাওয়ার পসিবিলিটি নেই তাই আমরা Ekpay এর এডমিন এরিয়াতে এক্সেস করার চেষ্টা করবো।
এই মুহূর্তে আমাদের জানতে হবে আসলেই এটার এডমিনিস্ট্রেশান এরিয়া কোথায়? এটার জন্য আবারও আমরা সার্চ ও রিসার্চ শুরু করতে পারি…
হাইলাইট: এতোক্ষণ অবধি আমরা সিস্টেম এনালাইসিস করেছি এবং য়েসকল সসম্যার সম্মুখীন হয়েছি সেগুলো ফিল্টার করে ব্যাকডোর অনুসন্ধান করার চেষ্টা করছি।*
এখন আমরা যদি “ekpay admin login” লিখে সার্চ করি তাহলে আসলে আমরা এডমিন প্যানেলের খোঁজ পাবো না বরং সেখানে আমরা সাধারন লগিন পোর্টাল পেতে পারি যেমন Merchants Login, Wafq Login ইত্যাদি।
আবারো আমরা সমস্যাতে পড়েছি এবং ঘুরপাক খাচ্ছি – কোনভাবেই উদ্দেশ্য পূরণ হচ্ছে না। সুতরাং আমরা এবার আরও স্পেসিফিকভাবে Ekpay এর এডমিন এরিয়ায় পোর্ট খুঁজে বের করার জন্য আমাদের সিস্টেম এনালাইসিস করতে হবে। আমরা যদি Ekpay [অফিশিয়াল ওয়েবসাইট https://ekpay.gov.bd] এর CMS ফলোআপ করি তাহলে দেখতে পারি এটি আসলে কাস্টমাইজ করা একটি পেমেন্ট পোর্টাল যা Canvas সাবডোমেইনে পয়েন্টেড।
এখন স্বাভাবিকভাবেই যদি আমরা Ekpay Canvas লিখে সার্চ করি তাহলে আমরা এটার লগিন প্যাথ এবং ডেডিকেটেড আইপি পোর্টাল এরিয়া ডেফিনাইট হয়।
Vulnerability: আমরা ঐ আইপি পোর্টাল হতে দেখতে পায় এটা আসলে নন সিকিউড একটি প্যাথ তাই এই ছোট্ট ও সামান্য দূর্বলতা মনে হলেও এখান হতেই সার্ভার ডিটেইলস গ্রাব করার চেষ্টা করবো…
ইউটিলাইজেশান: এখন উক্ত সার্ভার ডিটেইলস হতে গ্রাব করা তথ্য ব্যবহার করে ডাটাবেইজে থাকা এডমিন প্যানেলের একাউন্ট হতেই সার্ভারে স্বাভাবিকভাবে Login/Signin করবো [এখানে PostgreSQL ডাটাবেইজে রিমোট’লি কোড এক্সিউটিভ করে ডাটাবেইজ ডাম্পিং করে এডমিন প্যানেল https://admin.ekpay.gov.bd এক্সেস করা]।
হাইলাইট: এই মুহূর্তে আমরা ব্যাকডোর পেয়েছি এবং তাতে প্রবেশ করেছি – এখনও চূড়ান্ত উদ্দেশ্য পূরণ বাকি…
এখন এক্সেস প্যানেল পরিপূর্ণভাবে এনলাইসিস করতে হবে যে এখান হতে আমরা কি কি তথ্য কিভাবে ইউটিলাইজ করতে পারি:
আমরা খুব ভালো করেই জানি যে Ekpay একটি পেমেন্ট পোর্টাল অর্থাৎ যে পেমেন্ট করছে এবং যাকে পেমেন্ট করছে এর মাঝখানের একটি ব্রীজ মাত্র!
এনিওয়্যে আবার পড়ুন “Ekpay একটি পেমেন্ট পোর্টাল অর্থাৎ যে পেমেন্ট করছে এবং যাকে পেমেন্ট করছে এর মাঝখানের একটি ব্রীজ মাত্র” এটি কিন্তু সামান্য কোন কথা নয় বরং হ্যাকিং যদি আপনার প্যাশান হয় তাহলে এটার সিগনিফিকেন্স আপনার ব্রেইনে ট্রিগার হওয়ার কথা।
সাইকোলজিক্যাল ট্রিগার ফ্যাক্ট : এটি এমন একটি মিডিয়াম যেটাতে ব্যবহার করে আপনি ইউজার এবং ডেস্টিনেটেড পোর্টাল যেমন ব্যাংক বা MFS (মাইক্রো ফাইনান্স সাইট) যেমন BKash ইত্যাদির সাথে
টেকনিক্যালি ইনট্রিগেট করে অর্থ আত্মসাৎ করতে পারেন।
শুনতে খারাপ লাগছে “অর্থ আত্মসাৎ?” কিন্ত এটিই তো মূল্য লক্ষ্য ছিলো। বস্তুত আমাদের এভারেইজ মানসিকতার নির্দশন হলো “তৃতীয় শ্রেনী বললে কিছু হয়না কিন্তু থার্ড ক্লাস বললেই গায়ে লাগে” তদুপরি সোজাসাপ্টা “Hacking is Hacking” সেখানে আপনি কোন মেন্টালিটি নিয়ে কি করছেন সেটা ম্যাটার করে বৈকি – তবে Hacking এর ডেফিনেশন বদলে যায় না।
যাই হউক সিংহভাগ ক্ষেত্রে Ekpay ব্যবহৃত হয় বিভিন্ন পেমেন্ট করতে যা বিভিন্ন প্রতিষ্ঠানের সরকারী/ বেসরকারি ফি পরিশোধ করতে, তাই আমরা এক্সেস প্যানেল হতে প্রতিষ্ঠানের ডিটেইলস খুজে বের করার চেষ্টা করবো…
Biller Institute
Biller Institute এক্সেস ডিটেইলস
New Biller Institute ইনট্রিগেট করা [এই বিষয়টা কিন্তু হ্যাকিং এর ভেতর গুরুত্বপূর্ণ – ধরুন আপনি এমন একটি পোর্টালের হয়ে পেমেন্ট নিচ্ছেন যা আসলে সকলে জানবে সরকারী পোর্টাল এবং গভঃমেন্ট পোর্টালের হয়েই পেমেন্ট হবে – যদিও তা রিসিভ হবে আপনার ব্যক্তিগত একাউন্টে]
এখন আমরা Bank এর দিকে নজর দিতে পারি; এই যে এতোসব পেমেন্ট যেমন চালান ফি, ভূমি কর, সরকারী ফি সেগুলো যেসব ব্যাংক হয়ে সরকারী কোষাগারে জমা হয় সেইসব ইনট্রিগেটেড ব্যাংক একাউন্ট ডিটেইলস যা পরিপূর্ণ এক্সেস এবং কনট্রোল/মোডিফাই করা যাবে।
Interface
Access [Control & Modify]
Payment Getaway
ইতিপূর্বে আমরা যে Ekpay এর মার্চেইন্ট একাউন্ট দেখেছি সেইসকল মার্চেইমন্ট একাউন্ট এর পরিপূর্ণ স্ট্যাটিক ইন্টারফেইস
Syndicate এরিয়া
Syndicate এক্সেস ডিটেইলস
সকল মার্চেইন্ট একাউন্ট ম্যানেজমেন্ট [এখান হতেই সকল মার্চেইন্ট একাউন্ট তথ্য ও উপাত্ত ব্যবহার করে এক্সেস এবং কনট্রোল করা যায়]
ইতিপূর্বে বলেছিলাম এটি এমন একটি মিডিয়াম যেটাতে ব্যবহার করে আপনি ইউজার এবং ডেস্টিনেটেড পোর্টাল যেমন ব্যাংক বা MFS (মাইক্রো ফাইনান্স সাইট) যেমন BKash ইত্যাদির সাথে
টেকনিক্যালি ইনট্রিগেট করতে পারেন; তথাপি Information ম্যানেজমেন্ট একজন ইউজার বব্যাংক বা MFS এর সাথে যেভাবে কমিউনিকেট করে কিংবা Bank ও MFS হতে ইউজারকে যেসব তথ্য প্রদান করা হয় – সেই সিস্টেমে ইন্টারএ্যাকশন করতে পারেন:
Bkash Refund Entry
সকল Bkash এর ডিস্ট্রিবিউশন লিস্ট
প্রতিদিনের যাবতীয় লেনদেন হওয়ার পর পোমেন্ট পোর্টালে নীট Bkash এর ব্যালেন্স স্থিতি (স্টেটমেন্ট)
Bkash Fund Withdrawal (Transfer)
Bulk SMS System[এটিও হ্যাকিং এর জন্য গুরুত্বপূর্ণ – এই যে আমরা বিভিন্ন পোর্টালে পেমেন্ট করার পর মোবাইল SMS পাই সেটাই এখান হতে ম্যানেজমেন্ট করা যা সোস্যাল ইঞ্জিনিয়ারিং এর ক্ষেত্রে দারুন একটা হ্যাকিং টুলস হতে পারে]।
হাইলাইট: যেহেতু লক্ষ্য ছিলো “হ্যাকিং করে টাকা ইনকাম” সেটা পূরণ করার যাবতীয় উপায় উপরের বিষয়গুলো নিশ্চয়ই রিয়েলাইজ করতে পেরেছেন।
কনক্লুশন
অবশ্যই হ্যাকিং করে আপনি টাকা উপার্জন/লাভ
করতে পারেন(ইথিক্যাল এবং নন ইথিক্যাল উভয় উপায়ে); তথাপি হ্যাকিং শুধুই যে “টাকা” নামক বিষয়টাতেই সীমাবদ্ধ তা নয় বরং আক্ষরিকভাবে “হ্যাকিং হলো তাই ঠিক যা আপনি চাইছেন” সেটাই বাস্তবায়িত করার পথ…
এই পথে আপনি কোথায় যাবেন সেটা একান্তই আপনার ইচ্ছা!
শুভকামনা রইলো।
টেলিগ্রাম আমন্ত্রণ গ্রহন করতে পারেন: OpenEye