এই আর্টিকেলটি লেখা কতোটা যুক্তিগত বা নৈতিক হচ্ছে সেটার বাইরে কেবলমাত্র টেক হিউমার দিয়ে বিবেচনা করলে সবচেয়ে ভালো হয়…
খানিক মজার ছলে টেক ট্রিক জানা এবং ডার্ক হ্যাকিং এ নিমজ্জিত হওয়াও যাবে!

আপনারা হয়তো অনেকেই ইউটিউব বা ফেসবুকে প্রখ্যাত অভিনেতা ফাহাদ ফয়সালের Vettian মুভির QR কোড হ্যাকিং এর মাধ্যমে টাকা ইনকামের শর্ট ভিডিও/রিলস দেখে থাকবেন…
দেখেননি…?!
আচ্ছা নিচে ভিডিও এটাচমেন্ট দিচ্ছি [মডিফাইড করা সুতরাং ওয়েব কপিরাইটের বালাই নেই]।

আচ্ছা আমরা প্রায় বিকাশে ক্যাশ আউট করতে হলে আমাদের মোবাইল হতে QR স্ক্যান করে নিই – সেখানে যদি আমরা আমাদের মোবাইল নাম্বারটা বসিয়ে দিই তাহলেই তো হলো, মুভির ঐ সীনের মতো?
নাহ, এভাবে আসলে হয়না; সবকিছুই তো আর সিনেমা নয়; বরং কিছু বাস্তবতা সিনেমার চেয়েও আরও সিনেম্যাটিক হয়!

আমরা যখন স্বাভাবিকভাবে Bkash এর QR স্ক্যান করি তখন উক্ত নাম্বার উঠে আসে [শর্ত: ক্যাশ আউটে এজেন্ট নাম্বার / পেমেন্ট মার্চেইন্ট একাউন্ট এমন আরকি] – সেখানে কেবল আপনার মোবাইল নাম্বার দিলেই হবে এমন তো নয়।
আর যদি হয়েও যায় তবুও দিনশেষে তো আপনিই ধরা পড়বেন – হ্যাকিং তাতে হইলো ক্যামনে?!

ওয়েল আমরা যখন কোন Bkash এর QR স্ক্যান করি আদতে তাতে কোন নাম্বারই থাকে না বরং তাতে Deep Link থাকে যা কিনা উক্ত নাম্বারের বিপরীতে স্বীয় Bkash এর সার্ভারের সাথে অথেন্টিকেশান ভেরিফিকেশনের একটি ইউনিক আইডিয়েন্টি তৈরী করে। আমার কথা বুঝতে সমস্যা হচ্ছে?
ওয়েল এখানে আমরা বোঝার সুবিধার্থে অনলাইন হতে প্রাপ্ত একটি BKash এর এজেন্ট QR পোস্টার ব্যবহার করবো [সুরক্ষার খাতিরে কিছু বিষয় ব্লার কর দেওয়া হয়েছে]।

উপরের ইমেজটির QR যদি আমরা Plain Text ফরম্যাটে করি তাহলে পাবো এমন লিংক https://qr.bka.sh/2810149201AsY8mV যেখানে বোঝা যায় এটি https://bka.sh ডোমেইন এর অধীন QR সাব ডোমেইনে Non DNS আইডিয়েন্টফিকেশনাল ডাইনামিক লিংক; অর্থাৎ এই লিংকটি আপনি কোনভাবেই এক্সটার্নালি এক্সেস করতে পারবেন বরং শুধুমাত্র Bkash এপ পরিসেবার কাস্টম কাস্টম হেডার বা টোকেন এবং প্রাইভেট বা সিক্রেট Key এর মাধ্যমে উক্ত প্রোটোকলে এক্সেস পাবেন।

আর্থাৎ সহজ সরল যে হ্যাকিং করার একটা দারুন চিন্তা মাথাতে ছিলো সিনেমার মতো সেটি আর হয়ে উঠলো না….ধূর চুল, ভাল্লাগে নাহ!

ওয়েল, ফান বিষয়টা রেখে সিরিয়াস হই; হ্যাকিং জগতে সকল প্রাইম বা এলীট হ্যাকারদের একটি ইউনিভার্সাল রুল আছে – যা সবাই এনোনিমাস হয়েও মেনে চলে তা হলো “প্রবলেম সলভিং” – এটি কেবল হ্যাকার নয় বরং প্রোগ্রামার বা সাইবার সিকিউরিটি স্পেশালিষ্ট হতে সাধারণ মানুষ সবার জন্যই প্রযোজ্য; তথাপি হ্যাকার’দের আলাদা করে বললাম কারণ “হ্যাকারদের জন্য যেটাই সমস্যা সেটাই সুযোগ” এই নীতিতে কাজ করে।

এখন Bkash যেহেতু সরাসরি এমন নাম্বার স্পুফিং ছাড়াই ডিপ লিংকিং এর মাধ্যমে কাজ করে তাই পুরো সিস্টেমটাই ক্যাপচার করতে হবে।
সবার আগে এমন একটি এজেন্ট নাম্বার কালেক্ট করতে হবে যা ডেস্টিনেটেড পয়েন্ট [Hacker Z Point] – আর সেই শেষের সুতা ধরেই আপনাকে সার্কুলেট আকারে Bkash এর বিভিন্ন দোকানে স্বীয়
Bkash পরিসেবার মার্কেটিং ডিপার্টমেন্টের মানুষ হয়ে আপনার QR এর পোস্টার লাগিয়ে আসবেন [অবশ্যই দোকানের নাম/নাম্বার এগুলো ঠিক থাকবে – শুধু ম্যানিউপুলেট হবে QR কোড কালচার] যা কিনা একটি বৃত্ত তৈরি করবে (হ্যাকিং লুপ আরকি)!

এরপর আর কি কি করে কেমন করে কিভাবে কোথায় কোড রেখে দিয়ে কি করা যায় সেইসব আইডিয়া TrickBD এর টেকি মাথার দুষ্টু বুদ্ধিতে এমনিই চলে আসবে…..

আচ্ছা এমন Deep Linking QR কোড জেনারেশন সিস্টেম এবং ব্ল্যাংক টেম্পলেট এর টুল পেয়ে যাবেন https://humayunshariarhimu.github.io/Bk4sh
হতে।

আচ্ছা যদিও এটা হ্যাকিং এর সোস্যাল ইঞ্জিনিয়ারিং তথাপি সবচেয়ে মজার বিষয় হলো “সোস্যাল ইঞ্জিনিয়ারিং” এর ইনস্ট্যান্ট ফিডব্যাক হলো “গালি” এবং সম্ভব হলে “….” তো আছেই; সুতরাং এই বিষয়টা যে ক্রাইম হয়ে যাবে সেটিও মাথাতে রেখেন; সাথে সাথে মাথায় হ্যাকিং আইডিয়া রাখাটা তো অন্তত পাপ হলেও অন্যায় তো নয় নাকি?!

আবারও আমরা আমরা এমন সোস্যাল ইঞ্জিনিয়ারিং রেখে শুধুমাত্র গুরুত্বপূর্ণ অংশে ফোকাস হই।
এই যে Bkash এর QR কোড সেখানে আসলে ঠিক কোথায় ফিজিক্যাল ট্রিগার করে?
সহজভাবে বলি QR এর সাদা ও কালো রং আর যে ছোট ছোট ব্লকে ডাটার প্যাটার্ন থাকে সেখানে ঠিক কোন পয়েন্ট (ব্লক) কে হিট করলে পুরো QR ডেস্ট্রয় হয়ে যাবে এবং ভাইরাসের মতো ক্ষুদ্র ক্লাস্টার কিউআর রেজোনেন্স করবে?
কঠিন মনে হলে সহজ করে বোঝায় যখন আপনি কোন QR এর সাদা ও কালোর মাঝে ইন্ট্যারএ্যাক্ট করছেন তখন তা ঐ সমস্ত ব্লকের সজ্জাতে থাকা ডাটা বা তথ্যে নষ্ট হচ্ছে (বিক্ষিপ্ত বা বিচ্যুতি ঘটছে) – তাহলে পুরো QR ডিজাইনটাই নষ্ট হয়ে যাচ্ছে, ঐ নষ্ট ডিজাইন আর কোন কাজের কিছু নয়। এরপর যা করতে হবে তা হলো নষ্ট হওয়া ডিজাইনের মাঝে একটি সঠিক ডাটা ব্লক রাখা (ছোট্ট মিনি সাইজ) QR রাখা – যেটা হ্যাকারের ডেস্টিনেটেড একাউন্ট; তখন QR স্ক্যানারের ক্যামেরা যখন টোটাল QR স্ক্যানিং করবে তখন কেবলমাত্র একটিই সক্রিয় এবং সঠিক QR ডিটেক্ট করবে ঐ হ্যাকারের রেখে আসা ক্ষুদ্র বা মিনি টাইপ QR কোডটি (যা একটি ছোট স্টিকারের মতোও হতে পারে – চোখে বাঁধবে না এমন)।
এই ক্ল্যাস্টার পয়েন্ট’টি হলো QR এর ডান দিকের উপরের শীর্ষবিন্দু বরাবর মোটা QR ব্লকের ভরাট চতুর্ভুজটি।
নিচে ডেমোনেস্ট্রেশান হিসেবে মার্চেইন্ট এর QR ব্লকের অংশটি হাইলাইট করা হলো

ডিসক্লেইমার :-

এটা পড়ে আপনার কাছে নিশ্চয়ই খুব খারাপ লাগছে, আরে খারাপ লাগারই তো কথা।
অবশ্যই এটি একটি খারাপ কাজ এবং তা এড়িয়ে চলবেন – তাইবলে এমন উপদেশ যেমন কিয়ৎ খারাপ মানুষ শুনবে না তেমনি ভালো এই বিষয়টা জেনে বা জানিয়ে রাখাটাও অন্যায় নয়।
কোন বুদ্ধিই আসলে খারাপ নয় – যতোক্ষন না অবধি আপনি সেটার সারফেস ব্যবহার না করে ডার্ক ইউটিলাইজ করছেন।
আর তাই যদি হবে তবে জগতের সবচেয়ে দুষ্টু আইডিয়া হতো “মিষ্টি হাসি” কোননা এটি দিয়েই সবচেয়ে বড় বড় মাইন্ড হ্যাকিং করা যায়।
তথাপি মোরালিট অবশ্যই রইবে যে হ্যাকিং আইডিয়া জানুন ও শিখুন – সচেতন হউন; অনৈতিক উদ্দেশ্য পরিহার করুন।

শুভকামনা ও ভালোবাসা রইলো
টেলিগ্রাম নিমন্ত্রণ রইলো গ্রহণ করতে পারেন :- OpenEye