ঢাকা শহরের বিভিন্ন স্থানে সম্প্রতি এআই-ভিত্তিক ট্রাফিক নজরদারি ও স্বয়ংক্রিয় মামলা ব্যবস্থা চালু করা হয়েছে। এ ব্যবস্থা চালুর কিছুদিন পরেই যানবাহনের মালিকের মোবাইলে ফিলিপাইনের নাম্বার থেকে পাঠানো হচ্ছে মামলার এসএমএস। নির্দিষ্ট সময়সীমা বেঁধে দিয়ে জরিমানা পরিশোধের জন্য এসএমএসে যুক্ত করে দেওয়া হয়েছে একটি লিংক। ডিসমিসল্যাবের বিশ্লেষণে দেখা যায়, বাংলাদেশ সড়ক পরিবহন কর্তৃপক্ষের সরকারি সার্ভিস পোর্টালের আদলে ভুয়া ওয়েবসাইটটি বানানো হয়েছে অর্থ হাতানোর ফাঁদ হিসেবে।
সংবাদমাধ্যমের প্রতিবেদন অনুযায়ী, চলতি বছর ৭ মে ঢাকার বিভিন্ন মোড়ে এআই-যুক্ত সিসিটিভি ক্যামেরা ব্যবহার করে পরীক্ষামূলকভাবে ট্রাফিক আইন লঙ্ঘন শনাক্তের কার্যক্রম শুরু করেছে ডিএমপির ট্রাফিক বিভাগ। এই ব্যবস্থাটি স্বয়ংক্রিয়ভাবে বিআরটিএ সার্ভারের সঙ্গে যুক্ত থেকে গাড়ির মালিককে শনাক্ত করতে পারে।
গত ২৩ মে সামাজিক মাধ্যম ফেসবুকে একজন কনটেন্ট ক্রিয়েটর ও বাইক চালক একটি ভিডিও পোস্ট করেন। তিনি জানান, মোবাইলে একটি খুদে বার্তার (এসএমএস) মাধ্যমে জানানো হয়েছে, এআই ক্যামেরা বা ‘ইন্টেলিজেন্ট ভিডিও নজরদারি ব্যবস্থা’য় ট্রাফিক আইন ভঙ্গের দায়ে তার নামে মামলা বা জরিমানা করা হয়েছে। ভিডিওতে বিস্ময় প্রকাশ করেন, মেসেজে যে তারিখের কথা উল্লেখ করা হয়েছে, সেদিন তার মোটরসাইকেল ও ব্যক্তিগত গাড়ি চট্টগ্রামে ছিল।
তিনি প্রশ্ন তোলেন, কোনো গাড়ি না চালানো সত্ত্বেও কীভাবে তার নামে মামলা হলো? আরও জানান, ওই মেসেজে একটি ওয়েবসাইটের লিংক দিয়ে দ্রুত জরিমানার টাকা পরিশোধ করতে বলা হয়েছে, যা মূলত মানুষের ব্যাংক বা মোবাইল ব্যাংকিংয়ের তথ্য হাতিয়ে নেওয়ার একটি সম্পূর্ণ নতুন প্রতারণার ফাঁদ।
ফ্যাক্টওয়াচের প্রতিষ্ঠাতা সম্পাদক ও ইউনিভার্সিটি অব লিবারেল আর্টস বাংলাদেশের মিডিয়া স্ট্যাডিজ ও জার্নালিজম বিভাগের প্রধান অধ্যাপক সুমন রহমানের একটি পোস্টও ডিসমিসল্যাবের সামনে আসে। যেখানে তিনি একই বিষয় উল্লেখ করে লেখেন, “+63 নাম্বার থেকে একটা এসএমএস এসেছে। অভারস্পিড সংক্রান্ত জরিমানা পরিশোধের নোটিশ। জরিমানা প্রদানের জন্য একটা ওয়েব আড্রেস দেয়া হয়েছে:https://bspbrt…..yfeebd.icu। অভারস্পিডের একটা ইনসিডেন্স থাকা অসম্ভব না। কিন্তু সে সংক্রান্ত নোটিশ যদি ফিলিপাইনের ফোন নাম্বার (+৬৩) দিয়ে আসে, আর টাকা পয়সা দেয়ার জন্য একটা “আইসিইউ” ওয়েব এড্রেস দেয়া হয় –মিনিমাম ডিজিটাল লিটারেসি থাকলে কারো পক্ষে সেথা যাওয়া সম্ভব? লিস্টে কনসার্ন কেউ থাকলে ব্যাখ্যা দিতে পারেন। আমি এখনো জিনিসটা খারিজ করছি না। এ ধরণের উদ্ভট কিছু করার রেওয়াজ আমাদের সরকারি প্রতিষ্ঠানগুলোর আছে।”
এছাড়াও, প্রাসঙ্গিক কিওয়ার্ড সার্চে ২৪ মে আপলোড হওয়া আরও একাধিক পোস্ট পাওয়া যায়, যেখানে ব্যবহারকারীরা একই তথ্য জানিয়ে পোস্ট করেছেন (১, ২, ৩, ৪)। ব্যবহারকারীদের এমন তথ্যের ভিত্তিতে পরবর্তীকালে ওয়েবসাইটটি বিশ্লেষণ করে ডিসমিসল্যাব।
পুরো কার্যক্রমের শুরু হচ্ছে গ্রাহককে একটি খুদে বার্তা(এসএমএস) পাঠানোর মাধ্যমে। মেসেজটিতে প্রেরকের স্থানে কোনো নির্দিষ্ট নাম বা ‘বিআরটিএ’ লেখা থাকছে না, বরং দেখা যাচ্ছে একটি আন্তর্জাতিক মোবাইল নাম্বার। নাম্বারটি হলো, +63 948 331 8282। আন্তর্জাতিক ফোন কোড অনুযায়ী +63 হলো ফিলিপাইনের কান্ট্রি কোড। বাংলাদেশ সরকারের পরিচালিত ‘প্রতিষ্ঠান’ ফিলিপাইনের কোড নম্বর ব্যবহার করে জরিমানার নোটিশ পাঠাচ্ছে— ডিসমিসল্যাবের পর্যবেক্ষণে এটাই ছিল প্রথম বড় অসামঞ্জস্যতা।
মেসেজে লেখা হয়, প্রাপক নির্ধারিত এলাকার মধ্যে অবৈধভাবে গাড়ি চালিয়েছেন এবং ক্যামেরায় তা ধরা পড়েছে। এরপর বলা হয়, জরিমানা পরিশোধ না করলে বকেয়া পরিশোধের তথ্য ‘জাতীয় চালক ডেটাবেজ’ এবং ব্যবহারকারীর ‘ক্রেডিট রেকর্ডে’ সিনক্রোনাইজ করা হবে। সবশেষে “ইলেকট্রনিক এভিডেন্স ইমেজ” দেখানোর প্রলোভন দেখিয়ে একটি নির্দিষ্ট লিংকে (https://bsp brtcar – pay feebd.icu) প্রবেশ করতে বলা হয়।
বাংলাদেশ সড়ক পরিবহন কর্তৃপক্ষের সরকারি সার্ভিস পোর্টাল হলো bsp.brta.gov.bd। কিন্তু মেসেজে পাঠানো ওয়েবসাইট যে ডোমেইনটি ব্যবহার করছে তা হলো: bsp brtcar – pay feebd.icu। সরকারি ওয়েবসাইটের নামের সঙ্গে আংশিক মিল রেখে এটি বানানো বলে সাধারণ ব্যবহারকারীদের বিভ্রান্ত হওয়ার সম্ভাবনা থাকে। কেবল নামই নয়– ওয়েবসাইটে লোগো, ডিজাইন ও ইন্টারফেস বিআরটিএ- এর মূল সাইটের অনুরূপ।
তবে আধুনিক ওয়েব ব্রাউজারগুলো এ ধরনের ওয়েবসাইটে প্রবেশের সময় সাধারণত ব্যবহারকারীকের সতর্ক করে থাকে। লিংকটি ফায়ারফক্স, গুগল ক্রোম বা ব্রেভের মতো ব্রাউজারে খুলতে গেলেই একটি উজ্জ্বল লাল পর্দার ওপর “সামনে প্রতারণামূলক সাইট” (Deceptive site ahead) বা “বিপজ্জনক সাইট” (Dangerous site) সতর্কতা দেখা যায়। এই সতর্কবার্তায় স্পষ্ট বলা হয়, সাইটটি ব্যবহারকারীকে বিপজ্জনক কিছু করতে প্রলুব্ধ করতে পারে— যেমন ব্যক্তিগত তথ্য, পাসওয়ার্ড বা ক্রেডিট কার্ডের তথ্য প্রকাশ করা।
ব্রাউজারের সতর্কতা উপেক্ষা করে সাইটটিতে প্রবেশ করলে দেখা যায়, এর ডিজাইন ও ইন্টারফেস বিআরটিএ’র আসল সার্ভিস পোর্টালের (বিএসপি) আদলে তৈরি করা হয়েছে। ওয়েবপেজটির কাজ করার ধরন পরীক্ষা করার জন্য একটি এলোমেলো গাড়ির রেজিস্ট্রেশন নম্বর (যেমন: Dhaka Metro HA-8***5) ইনপুট দেওয়া হয়। এতে দেখা যায়, যেকোনো কাল্পনিক নম্বর দিলেই সাইটটি পরবর্তী পেজে ওই নির্দিষ্ট নম্বরের বিপরীতে একটি ভুয়া ট্রাফিক মামলার বিস্তারিত বিবরণ তৈরি করে দেখায়। সেখানে অপরাধের ধরন হিসেবে বারবার “গতিসীমা অতিক্রম” (Speeding) উল্লেখ করে ও ৩,০০০ টাকা জরিমানা হয়েছে বলে জানায়। এরপর ব্যবহারকারীকে দ্রুত টাকা পরিশোধে প্রলুব্ধ করার জন্য একটি ‘ছাড়ের’ টোপ দেওয়া হয়। বলা হয়, বর্তমান আইন অনুসারে তিন দিনের মধ্যে পরিশোধ করলে ৫০% ছাড় পাওয়া যাবে, অর্থাৎ ব্যবহারকারীকে দিতে হবে ১,৫০০ টাকা। মূলত ভীতি এবং লোভ— এই দুইয়ের মিশ্রণ ঘটিয়ে ব্যবহারকারীকে পেমেন্ট গেটওয়ের দিকে ধাবিত করার একটি প্রচেষ্টা দেখা যায়।
“পরবর্তী ধাপ” বা পেমেন্ট অপশনে ক্লিক করলে এই প্রতারণার মূল দিক ডিসমিসল্যাবের সামনে আসে। ব্যবহারকারীকে একটি পেমেন্ট ফর্মে নিয়ে যাওয়া হয়, সেখানে চাওয়া হয় ব্যক্তিগত আর্থিক তথ্য। ফর্মটিতে কার্ডধারীর নাম, কার্ড নম্বর, মেয়াদোত্তীর্ণ তারিখ ও কার্ড ভেরিফিকেশন ভ্যালু (CVV) নম্বর দিতে বলা হয়।
আন্তর্জাতিক মিডিয়া ও প্রযুক্তি সংস্থা এনগেজ মিডিয়ার ডিজিটাল নিরাপত্তা বিশেষজ্ঞ আশরাফুল হক জানান, এই চারটি তথ্য কোনো সাইবার অপরাধীর হাতে যাওয়ার অর্থ হলো, ওই কার্ডটি ব্যবহার করে বিশ্বের যেকোনো জায়গা থেকে অননুমোদিত লেনদেন বা কেনাকাটা করা সম্ভব।
পরীক্ষার উদ্দেশ্যে ফর্মে ভুয়া তথ্য হিসেবে যেমন কার্ডহোল্ডারের নাম: তারেক রহমান (Tarique Rahman), একটি কাল্পনিক কার্ড নম্বর এবং সিভিভি (CVV) দেওয়ার পর দেখা যায়, সাইটটি একটি ভিসা (VISA) লোগো সম্বলিত প্রসেসিং পেজ দেখায়। কিছুক্ষণ লোড হওয়ার পর, সাইটটি ব্যবহারকারীকে স্বয়ংক্রিয়ভাবে বিআরটিএর আসল ওয়েবসাইট (bsp.brta.gov.bd)-এ রিডাইরেক্ট করে দেয়।
সাইবার নিরাপত্তা বিশেষজ্ঞ আশরাফুল হক ডিসমিসল্যাবকে জানান, “এটি প্রতারকদের অত্যন্ত চতুর একটি কৌশল। পুরো প্রক্রিয়া শেষে আসল সরকারি ওয়েবসাইটে নিয়ে যাওয়ার ফলে সাধারণ ব্যবহারকারীর মনে হতে পারে যে তার পেমেন্টটি সফলভাবে সম্পন্ন হয়েছে এবং পুরো প্রক্রিয়াটি বৈধ ছিল।”
প্রযুক্তিগত টুল ব্যবহার করে ওয়েবসাইটটির পেছনের তথ্য (WHOIS Data) বিশ্লেষণ করলে এই প্রতারণার বিষয়টি আরও স্পষ্ট হয়ে ওঠে। ডোমেইন টুলস (DomainTools) ব্যবহার করে দেখা যায়, ‘bsp brtcar – pay feebd.icu’ নামের এই ডোমেইনটি একেবারেই নতুন। টুলটির রেকর্ড অনুযায়ী সাইটটি মাত্র একদিন আগে অর্থাৎ ২৩ মে, ২০২৬- এ নিবন্ধিত হয়েছে।
বাংলাদেশ সরকারের কোনো প্রতিষ্ঠানের ডোমেইন সাধারণত সংশ্লিষ্ট প্রতিষ্ঠানের নামে নিবন্ধিত হয়। যেমন, বাংলাদেশ টেলিকমিউনিকেশন কোম্পানি লিমিটেড-এর ওয়েবসাইটে বিআরটিএ- এর ডোমেইন সার্চ করে দেখা যায়, এটি ‘বাংলাদেশ রোড ট্রান্সপোর্ট অথরিটি’ নামে নিবন্ধিত রয়েছে। বিশ্লেষণে দেখা যায়, প্রতারণায় ব্যবহৃত ডোমেইনটি ‘নেমসিলো’ (NameSilo) নামের একটি প্রতিষ্ঠান থেকে নিবন্ধন করা হয়েছে, যেখানে নিবন্ধনকারীর নাম-পরিচয় সম্পূর্ণ গোপন রাখা হয়েছে। ‘প্রাইভেসি গার্ডিয়ান’ (PrivacyGuardian.org) নামের একটি থার্ড-পার্টি সেবার মাধ্যমে মালিকের নাম, ঠিকানা ও যোগাযোগের তথ্যও আড়াল করা হয়েছে। এছাড়াও, সাইটটির আসল হোস্টিং সার্ভারের অবস্থান লুকাতে ‘ক্লাউডফ্লেয়ার’ (Cloudflare)-এর প্রক্সি সেবা ব্যবহার করা হয়েছে।
ব্যবহারকারীরা কীভাবে এসব ওয়েবসাইট চিহ্নিত করতে পারেন, তা নিয়ে এর আগে প্রতিবেদন প্রকাশ করেছে ডিসমিসল্যাব। সেখানে বলা হয়েছে, অনলাইন প্রতারণা থেকে বাঁচার সবচেয়ে কার্যকর উপায় হলো তাড়াহুড়ো না করা। স্ক্যামারদের প্রধান কৌশলই হলো ভীতি বা লোভ দেখিয়ে মানুষকে দ্রুত সিদ্ধান্ত নিতে বাধ্য করা। গবেষণায় দেখা গেছে, সিদ্ধান্ত নেওয়ার সময় কম থাকলে বা তাড়াহুড়ো করলে ফিশিং সাইট শনাক্তে মানুষের ভুল করার হার প্রায় ৫০ শতাংশ বেড়ে যায়।
ভুয়া ওয়েবসাইট এড়াতে কয়েকটি বিষয় সতর্কতার সঙ্গে খেয়াল রাখতে হবে। প্রথমত, ওয়েবসাইটের ডোমেইন বা ইউআরএল যাচাই করা; যেমন সরকারি ওয়েবসাইট সাধারণত ‘.gov.bd’ ব্যবহার করে, ‘.icu’ বা ‘.com’ নয়। দ্বিতীয়ত, ব্রাউজারের নিরাপত্তা সতর্কতা (Deceptive site) বা প্যাডলক চিহ্ন চেক করা। তৃতীয়ত, পেজে কোনো বানান ভুল বা অস্বাভাবিক কিছু আছে কি না, তা লক্ষ্য করা। সর্বোপরি, অনলাইনে যেকোনো লিংকে প্রবেশের পর তড়িঘড়ি কোনো তথ্য না দিয়ে শান্ত ও ধীরস্থিরভাবে তা যাচাই করা জরুরি।
