QR কোড রিডাইরেক্ট হাইজ্যাকিং: অদৃশ্য মধ্যস্থতাকারী

আপনি যে প্রতিটি ডায়নামিক QR কোড স্ক্যান করেছেন তা একটি তৃতীয় পক্ষকে জড়িত করেছে যা আপনি কখনও বেছে নেননি। ফোনের ক্যামেরা এবং গন্তব্য ওয়েবসাইটের মধ্যে, QR প্রোভাইডারের মালিকানাধীন একটি রিডাইরেক্ট সার্ভার নীরবে অনুরোধটি ফরোয়ার্ড করেছে। বেশিরভাগ ব্যবহারকারী কখনই লক্ষ্য করে না। এটাই বিন্দু।

এই নিবন্ধটি ব্যাখ্যা করে যে রিডাইরেক্ট হাইজ্যাকিং অনুশীলনে কেমন দেখায়, মধ্যস্থতাকারী আসলে কী করে এবং কী ঝুঁকিতে আছে।

রিডাইরেক্ট ক্রম

যখন আপনি https://shop.example.com-এর জন্য একটি স্ট্যাটিক QR স্ক্যান করেন:

1. ক্যামেরা QR কোড পড়ে
2. OS এটিকে একটি URL হিসাবে চিনে
3. ব্রাউজার https://shop.example.com খোলে

তিনটি ধাপ। কোনো তৃতীয় পক্ষ নেই।

যখন আপনি একই গন্তব্যের জন্য একটি ডায়নামিক QR স্ক্যান করেন:

1. ক্যামেরা QR কোড পড়ে যা https://qr-provider.com/r/x7n2-এর মতো কিছু এনকোড করে
2. OS এই URL খোলে
3. qr-provider.com অনুরোধ পায়, এটি লগ করে, তার ডাটাবেসে x7n2 খোঁজে
4. qr-provider.com https://shop.example.com-এ একটি ৩০১ বা ৩০২ রিডাইরেক্ট জারি করে
5. ব্রাউজার রিডাইরেক্ট অনুসরণ করে এবং প্রকৃত গন্তব্যে পৌঁছায়

পাঁচটি ধাপ। ধাপ ৩-এ একটি অতিরিক্ত পক্ষ — যাকে আপনি কখনো সম্মতি দেননি, কখনো অর্থ প্রদান করেননি এবং যাকে আপনি দেখেন না।

মধ্যস্থতাকারী কী পায়

প্রতিটি পৃথক স্ক্যান একটি সার্ভার লগ এন্ট্রি তৈরি করে যা ধারণ করে:

• স্ক্যান টাইমস্ট্যাম্প
• স্ক্যানারের IP ঠিকানা
• ইউজার এজেন্ট স্ট্রিং (ডিভাইস, OS, ব্রাউজার)
• রেফারার হেডার (স্ক্যানার কোথা থেকে এসেছে, প্রযোজ্য হলে)
• Accept-Language হেডার (ভাষার পছন্দ)

এগুলি থেকে, প্রোভাইডার অনুমান করতে পারে: আনুমানিক ভৌগলিক অবস্থান, ডিভাইসের ধরন, অপারেটিং সিস্টেমের সংস্করণ এবং সময়ের সাথে সাধারণ স্ক্যান প্যাটার্ন। এটি গ্রাহকদের কাছে "অ্যানালিটিক্স" হিসাবে বিপণন করা হয়। এটি আপনার কোড স্ক্যান করা ব্যক্তিদের জন্য সমান পরিমাণে নজরদারি — যারা কখনও সম্মতি দেয়নি।

মধ্যস্থতাকারী কী করতে পারে

গন্তব্য পরিবর্তন করুন

রিডাইরেক্টের গন্তব্য প্রোভাইডারের ডাটাবেসে থাকে। QR মালিক সাধারণত ড্যাশবোর্ডের মাধ্যমে এটি সম্পাদনা করতে পারেন। এটি একটি বৈশিষ্ট্য হিসাবে বিক্রি হয়, এবং কিছু ব্যবহারের ক্ষেত্রে এটি সত্যিই তাই। কিন্তু এর অর্থ হল QR কোড আর যা মনে হয় তা নয়। ভৌত আর্টিফ্যাক্ট বলে "আমাদের ওয়েবসাইট দেখতে স্ক্যান করুন"। প্রকৃত আচরণ হল প্রোভাইডারের ডাটাবেস আজ কী বলে।

রিডাইরেক্ট নিষ্ক্রিয় করুন

যদি মালিকের সাবস্ক্রিপশন মেয়াদ শেষ হয় বা অ্যাকাউন্ট বন্ধ হয় বা প্রোভাইডারের শর্ত লঙ্ঘন করা হয়, রিডাইরেক্ট সরানো যেতে পারে। QR কোডের প্রতিটি মুদ্রিত কপি অবিলম্বে কাজ করা বন্ধ করে। ব্যবহারকারীরা স্ক্যান করে এবং একটি সাধারণ ত্রুটি পৃষ্ঠা বা ৪০৪ দেখে।

একটি অন্তর্বর্তী পৃষ্ঠা সন্নিবেশ করান

কিছু প্রোভাইডার চূড়ান্ত রিডাইরেক্টের আগে একটি ব্র্যান্ডেড অন্তর্বর্তী পৃষ্ঠার মাধ্যমে ডায়নামিক QR স্ক্যান রাউট করে — বিজ্ঞাপন প্রদর্শন, সম্মতি চাওয়া, ইমেল সংগ্রহ। QR মালিক সাধারণত এর জন্য সাইন আপ করেনি। এটি পরে যোগ করা হয় যখন প্রোভাইডার আরও আক্রমণাত্মকভাবে অর্থোপার্জন করে।

স্ক্যান ডেটা বিক্রি বা হারাও

স্ক্যান লগগুলি মূল্যবান। এগুলি অ্যানালিটিক্স ব্রোকারদের কাছে বিক্রি করা হয়েছে, বিজ্ঞাপন টার্গেটিং মডেল প্রশিক্ষণ দিতে ব্যবহৃত হয়েছে এবং — অন্তত কয়েকটি নথিভুক্ত লঙ্ঘনে — ফাঁস হয়েছে যখন প্রোভাইডারগুলি আপোস হয়েছে। আপনার গ্রাহকরা একটি মেনু স্ক্যান করেছে; এখন তাদের ডিভাইসের ফিঙ্গারপ্রিন্ট একটি লঙ্ঘন ডেটাসেটে রয়েছে।

কেন ব্যবহারকারীরা কখনই লক্ষ্য করে না

আধুনিক ব্রাউজারগুলি স্বয়ংক্রিয়ভাবে রিডাইরেক্ট অনুসরণ করে। আপনার ডেভেলপার টুলস খোলা না থাকলে, আপনি অন্তর্বর্তী হপ দেখতে পান না। স্ক্যান তাত্ক্ষণিক মনে হয় কারণ রিডাইরেক্ট দ্রুত (যখন এটি কাজ করে)। ব্যবহারকারীর দৃষ্টিকোণ থেকে, ডায়নামিক QR একটি স্ট্যাটিকের মতো একইভাবে আচরণ করে।

যতক্ষণ না রিডাইরেক্ট সার্ভার ব্যর্থ হয়। তারপর অভিজ্ঞতা দ্রুত ভিন্ন হয় — কিন্তু সেই সময়ে QR কোড ইতিমধ্যে হাজার হাজার পৃষ্ঠে মুদ্রিত।

নিরাপত্তার প্রভাব

রিডাইরেক্ট সার্ভার হল এটির উপর নির্ভরশীল প্রতিটি QR কোডের জন্য ব্যর্থতার একটি একক পয়েন্ট। বিবেচনার যোগ্য তিনটি আক্রমণ পৃষ্ঠ:

• অ্যাকাউন্ট দখল। যদি একজন আক্রমণকারী QR মালিকের প্রোভাইডার অ্যাকাউন্টে অ্যাক্সেস পায়, তারা প্রতিটি QR-কে একটি ফিশিং পৃষ্ঠায় পুনঃনির্দেশ করতে পারে। গ্রাহকরা ভৌত কোড স্ক্যান করে, রেস্তোরাঁর মেনু প্রত্যাশা করে; তারা রেস্তোরাঁর লগইন পৃষ্ঠার একটি শংসাপত্র সংগ্রাহক ক্লোনে অবতরণ করে।
• প্রোভাইডার আপস। যদি QR প্রোভাইডার নিজেই লঙ্ঘিত হয়, প্রচলনে থাকা প্রতিটি ডায়নামিক QR সম্ভাব্যভাবে আক্রমণকারী-নিয়ন্ত্রিত সামগ্রীতে পুনঃনির্দেশিত হয়। এটি তাত্ত্বিক নয় — বেশ কয়েকটি QR-as-a-service প্রোভাইডারের জন্য লঙ্ঘন প্রকাশ বিদ্যমান।
• প্রোভাইডার পাশে DNS বা TLS ব্যর্থতা। যদি রিডাইরেক্ট ডোমেইন সমাধান করা বন্ধ করে বা TLS সার্টিফিকেট মেয়াদ শেষ হয়, এটির উপর নির্ভরশীল প্রতিটি QR ব্যর্থ হয়। ক্ষতিকারক অভিনেতা নয় — কেবলমাত্র স্বাভাবিক অপারেশনাল ঝুঁকি QR মালিক নিয়ন্ত্রণ করে না।

স্ট্যাটিক QR কোডগুলিতে এর মধ্যে কোনও ব্যর্থতার মোড নেই কারণ স্ক্যান এবং গন্তব্যের মধ্যে কোনো তৃতীয়-পক্ষের সার্ভার বসে নেই।

আপনি একটি রিডাইরেক্ট স্ক্যান করছেন কিনা তা কীভাবে পরীক্ষা করবেন

একটি QR স্ক্যানার ব্যবহার করুন যা অনুসরণ করার আগে ডিকোড করা সামগ্রী দেখায় — আমাদের ওয়েব স্ক্যানার এটি করে। একটি QR কোড স্ক্যান করুন এবং ডিকোড করা URL পরীক্ষা করুন। যদি এটি আপনার প্রকৃত গন্তব্য হয়, QR স্ট্যাটিক। যদি এটি qrco.de/xyz-এর মতো কিছু হয় বা একটি সংক্ষিপ্ত ডোমেইন যা আপনি চিনতে পারেন না, এটি একটি রিডাইরেক্ট — এবং মাঝখানে একটি তৃতীয় পক্ষ বসে আছে।

বিকল্প

QR কোড তৈরি করুন যা আপনার গন্তব্য সরাসরি এনকোড করে। কোনো তৃতীয়-পক্ষের সার্ভার নেই, কোনো রিডাইরেক্ট লগ নেই, কোনো সাবস্ক্রিপশন নেই। সম্পূর্ণ তুলনার জন্য স্ট্যাটিক বনাম ডায়নামিক QR কোড দেখুন এবং কেন মধ্যস্থতাকারী মডেল শিল্পে আধিপত্য বিস্তার করে তার জন্য QR কোড স্ক্যামের সত্য দেখুন।

অথবা শুধু একটি স্ট্যাটিক QR কোড তৈরি করুন এবং চিন্তা করা বন্ধ করুন।