Social Engineering Attack ရဲ့ အန္တရာယ်

ဒီနေ့ခေတ်မှာ ဆိုက်ဘာလုံခြုံရေးအန္တရာယ်တွေက ဗိုင်းရပ်စ်တွေ၊ ဟက်ကာတွေကနေပဲ မဟုတ်ဘူး နော်။ လူတွေ ကို အယုံသွင်းပြီး အချက် အလက် တွေခိုးယူတဲ့  "ဆိုရှယ်အင်ဂျင်နီယာ တိုက်ခိုက်မှု"  (Social Engineering Attack) ဆိုတာ လည်း အဖြစ် များပါတယ်။ ဒီတိုက်ခိုက်မှုမျိုးက နည်းပညာနဲ့ ထိုးဖောက်တာ ထက် လူတွေရဲ့ ယုံကြည်မှု ကို အလွဲသုံးစား လုပ်တာ ပိုများပါတယ်။

ဆိုရှယ် အင်ဂျင်နီယာ ဆိုတာ ဟာ လူတွေကို လှည့်ဖြားပြီး လျှို့ဝှက် အချက်အလက်တွေ (ဥပမာ- စကား ဝှက်၊ ဘဏ်အကောင့်၊ အချက် အလက်) ရယူတဲ့နည်းပါ။ တိုက်ခိုက်သူတွေက ဖုန်းခေါ်တာ၊ အိုင်တီ အ ထောက် အပံ့ ဟန်ဆောင် တာ၊ အွန်လိုင်း လှည့်စားမှုတွေ လုပ်ပြီး သင်ယုံအောင်လုပ်ကာ အချက်အလက်တွေထုတ်ယူ တာပါ။ သူတို့က လူတွေရဲ့ စိတ်ခံစားချက်ကိုအလွဲသုံးစားလုပ်တယ်ပြီးတော့ ရယူတာမျိုးပါ – ဥပမာ:

• "သင့်အကောင့်ဟက်ခံရပြီး! အရေးကြီးလို့ ချက်ချင်းပြန်ဝင်ပါ!"
• "ဒီလင့်ခ်ကိုနှိပ်ပြီး ဆုလက်ဆောင်ယူပါ!"
• "ကျွန်တော် သင့်ဘဏ်က ဝန်ထမ်းပါ၊ အကောင့်အတည်ပြုပေးပါ"

ကဲ့သို့သော ကြောက်ရွံ့မှုကိုအသုံးချ တာမျိုးဖြစ်စေ လောဘကိုဆွဲဆောင်တာမျိုးဖြစ်စေ ယုံကြည်မှုကို လှည့်ဖြား တာမျိုး ဖြစ်စေ လုပ်ဆောင်တာမျိုးဖြစ်ပါတယ်။ အဖြစ်များတဲ့နည်းလမ်းများတွေကို အနည်းငယ် ပြောပြပေးချင် ပါတယ် ။

၁. Phishing – Phishing ဆိုတာက အင်တာနက်ပေါ်မှာ အဖြစ်အများဆုံး တွေ့ရတဲ့ လှည့်ဖြားမှု နည်းလမ်း တစ်ခုဖြစ်ပြီး၊ ယုံကြည်လွယ်သူတွေရဲ့ အရေးကြီးတဲ့ အချက်အလက်တွေကို ခိုးယူဖို့အသုံးပြုကြပါတယ်။ ဒီနည်းကိုအသုံးပြုတဲ့ ဟက်ကာတွေက ပုံမှန်အားဖြင့် ဘဏ်၊ Facebook၊ Gmail စတဲ့ နာမည်ကြီး ဝန်ဆောင်မှုများရဲ့ ဝက်ဘ်ဆိုက်ပုံစံကို မိမိတို့ဖန်တီးထားတဲ့အတုအယောင်စာမျက်နှာတွေနဲ့ တူအောင် ပြုလုပ်ပြီး၊ အဲ့ဒီအတု Link ကို SMS, Email, Messenger တို့မှတဆင့် အသုံးပြုသူဆီပို့လေ့ရှိပါတယ်။ သူတို့က သင့်ကို ကြောက်ရွံ့မှုဖြစ်အောင် "သင့်အကောင့်ကို Hacker ဝင်ခဲ့ပြီ!", "သင့်ဘဏ်အကောင့်ကို ယာယီပိတ်ထားပါတယ်!" စတဲ့ စကားများနှင့် သင့်အကောင့်ထဲကို ပြန်ဝင်ရန် တိုက်တွန်းသော Message များပေးပို့ပါတယ်။ သင့်အနေနဲ့ အဲ့ဒီ Link ကို ယုံကြည်ပြီး နှိပ်လိုက်လျှင် အကောင့်ဝင်ရန် Form တစ်ခု ဖော်ပြလာပြီး သင့်ရဲ့ Username နဲ့ Password ကိုရိုက်ထည့်ခိုင်းတတ်ပါတယ်။ သင်ထည့် လိုက်သောအချက်အလက်များသည် တကယ်ဝင်ရန် မဟုတ်ဘဲ ဟက်ကာတွေဆီကို ပေးလိုက်တာဖြစ်သဖြင့် သင့် အကောင့် ကိုသူတို့က ထိန်းချုပ်နိုင်သွားပါလိမ့်မယ်။ ဒါကြောင့် ဖိရှင်းသတိပေးစာများနှင့် Link များကို ယုံကြည်မှုမရှိဘဲ သေချာစစ်ဆေးဖို့အရေးကြီးပါတယ်။

၂. Vishing– Vishing (Voice Phishing) ဆိုတာက ဖုန်းခေါ်ဆိုမှုကနေ အသုံးပြုသူကို လှည့်ဖြားပြီး အရေးကြီးတဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ခိုးယူဖို့ကြိုးပမ်းတဲ့ လုံခြုံရေးခြိမ်းခြောက်မှုတစ်ခုဖြစ်ပါတယ်။ ဒီနည်းကို အသုံးပြုတဲ့ ဟက်ကာတွေက တစ်စုံတစ်ဦးရဲ့ ယုံကြည်မှုကိုရရှိဖို့ ဘဏ်ဝန်ထမ်း၊ အိုင်တီ အကူအညီ ပေးသူ၊ အိမ်သုံးအင်တာနက်ဝန်ထမ်း စတဲ့ မျှော်လင့်ထားတဲ့အဖွဲ့အစည်းတွေရဲ့ ဝန်ထမ်း ဟန်ဆောင်ပြီး ဖုန်းခေါ်တတ် ကြပါတယ်။ပထမဦးဆုံး သူတို့က သင့်ရဲ့ဖုန်းနံပါတ်၊ အင်တာနက် အသုံးပြုမှုသမိုင်းကြောင်းစတဲ့ အချက် အလက် တွေကို စုဆောင်းပြီး၊ ပစ်မှတ်အဖြစ်ရွေးချယ်ပါတယ်။

နောက်ပြီးတော့ သင့်ကို ချက်ချင်း တုံ့ပြန်ဖို့လိုအပ်သလိုမြင်ပေါ်အောင် ခြောက်လှန့်ပါတယ်။ ဥပမာ—"သင့်ဘဏ်အကောင့်မှာ သံသယဖြစ်စရာ လှုပ်ရှားမှုတွေ့ရှိပါတယ်၊ OTP ပေးပါ" သို့မဟုတ် "သင့်ကွန်ပျူတာမှာ ဗိုင်းရပ်စ်တက်နေပါတယ်၊ Remote Access ခွင့်ပြုပါ" ဆိုပြီး တောင်းဆိုတာမျိုးပါ။ ဤလိုမျိုးစိတ်ဖိစီးမှုအခြေအနေအောက်မှာ သင့်အနေနဲ့ မိမိအချက်အလက်တွေကို ရှင်းပြမိတတ်ပါတယ်။ တောင်းခံတဲ့အချက်အလက်များမှာ – ဘဏ်အကောင့် နံပါတ်၊ ATM ကဒ်နံပါတ်၊ OTP နံပါတ်၊ အွန်လိုင်းဘဏ်ဝင်ရန် Username နဲ့ Password သို့မဟုတ် ကွန်ပျူတာ Remote Access ခွင့်ပြုချက် ပါဝင် နိုင်ပါတယ်။သင့်ဆီက တစ်စုံတစ်ခုရရှိသွားပြီးနောက်မှာတော့ ဟက်ကာတွေ က သင့်အကောင့်ထဲကို ဝင်သွားတာ၊ ငွေထုတ်ယူတာ၊ သတင်းအချက်အလက်တွေ ခိုးယူတာတွေအပါအဝင် မတရားလုပ်ဆောင်မှု တွေ ပြုလုပ်နိုင်ပါပြီ။ ထို့ကြောင့် မည်သည့် ဖုန်းခေါ်ဆိုမှုကိုမဆို ယုံကြည်မှုမရှိဘဲ သတိထားစွာ လုပ်ဆောင် ဖို့အရေးကြီးပါသည်။

၃. Pretexting– အကြောင်းပြချက်အတုဖန်တီးပြီး လှည့်ဖြားခြင်း ဆိုတာက သင့်ရဲ့ကိုယ်ရေး အချက်အလက် တွေကို ခိုးယူဖို့အတွက် ဟက်ကာတစ်ဦးက အတုအယောင် ဇာတ်လမ်းတစ်ခုကို တင်ဆက်ပြီး သင့်ယုံကြည်မှုကိုရယူဖို့ ကြိုးပမ်းတဲ့ လှည့်ဖြားမှုနည်းလမ်းတစ်ခုပါ။ ဒီနည်းကို  အသုံးပြုသူဟက်ကာတွေက အိုင်တီအထောက်အကူပေးသူ၊ ဘဏ်ဝန်ထမ်း၊ ရဲ၊ အာမခံကုမ္ပဏီဝန်ထမ်း စတဲ့ ယုံကြည်ရတဲ့ပုဂ္ဂိုလ်အဖြစ် သံသယမဖြစ်အောင် ဟန်ဆောင်ပြီး ဆက်သွယ်လာတတ်ပါတယ်။အရင်ဆုံး သူတို့က သင်ယုံကြည် လွယ်အောင် အတုအယောင် အကြောင်း ပြချက်တစ်ခု ဖန်တီးထားတတ်ပါတယ်။ ဥပမာ — “ကျွန်တော် သင့်အင်တာနက်ဝန်ဆောင်မှုပေးသူဖြစ်ပြီး သင့် Network မှာပြဿနာရှိလို့ Password ပြန်ထည့်ဖို့လိုပါတယ်” ၊ “သင့်ဘဏ်အကောင့်မှာ သံသယဖြစ်စရာအချက်တွေရှိလို့ OTP တောင်းချင်ပါတယ်”၊ “ကျွန်တော်တို့က Technical Support လုပ်သူဖြစ်ပြီး သင့်ကွန်ပျူတာကို Remote Access ခွင့်ပြုဖို့လိုပါတယ်” ဆိုတဲ့အမျိုးမျိုးသော ပြဿနာတင်ဆက်မှုနဲ့ ဆက်သွယ်တတ်ကြပါတယ်။ဒီအတိုင်း သင့်ကို ယုံကြည်မှုနဲ့ ဖိအားဖြစ်အောင်လုပ်ပြီး Password, OTP, ဘဏ်အကောင့်အချက်အလက်၊ Wi-Fi Password၊ မွေးနေ့နဲ့ မိဘအမည်လို ပုဂ္ဂိုလ်ရေးအချက်အလက်တွေကို တောင်းယူတတ်ပါတယ်။ သင်အဲ့ဒီအချက်အလက် တွေကိုပေးလိုက်ရင် သူတို့က သင့်အကောင့်ထဲကို ဝင်သွားတာ၊ ငွေပြတ်သွားတာ၊ သင့်အချက်အလက် တွေကို Dark Web မှာရောင်းချတာမျိုး ပြုလုပ်နိုင်ပါတယ်။ဒါကြောင့် Pretexting ဆိုတာက ရိုးရှင်းတဲ့ ဖုန်းခေါ်မှုတစ်ခု၊ Email တစ်စောင် သို့မဟုတ် Text Message တစ်ခုကတစ်ဆင့်ပင် သင့်ကို ဒုက္ခတွင်းသို့ရောက်အောင် လှည့်ဖြားနိုင်တဲ့ အန္တရာယ်အမျိုးအစားဖြစ်ပါတယ်။ ယုံကြည်စိတ်ချရတဲ့သူ ဖြစ်ကြောင်းပြောတဲ့သူတစ်ဦးက သင့်ကို အချက်အလက်တောင်းလာခဲ့လျှင် အမြဲသတိထားပြီး တိုက်ရိုက်အဖွဲ့အစည်းနဲ့ ပြန်စစ် ဆေးရန်လို အပ်ပါတယ်။

၄. Baiting – Baiting (ဆွဲဆောင်မှုနည်းဖြင့် လှည့်ဖြားခြင်း) ဆိုတာက လူတွေရဲ့စိတ်ဝင်စားမှု၊ လောဘ စတဲ့စိတ်ခံစားမှုတွေကိုအသုံးချပြီး Virus, Malware တွေကို ထည့်သွင်းခြင်း သို့မဟုတ် ကိုယ်ရေး အချက်အလက် ခိုးယူခြင်း စတဲ့ တိုက်ခိုက်မှုတွေကို လုပ်ဆောင်တဲ့နည်းလမ်း တစ်ခုပဲဖြစ်ပါတယ်။ ဒီနည်းမှာ Hacker တွေက လူတွေစိတ်ဝင်စားမယ့် အခမဲ့ဆုလာဘ်များ၊ လိုချင်စရာ ဖိုင်တွေလိုပဲ အိမ်ဆွဲနဲ့အတူ ဆွဲဆောင်ပါတယ်။ ဥပမာ—Game, Movie, Software, Music စတာတွေကို "အခမဲ့ Download" လို့ ကြော်ငြာပြီး သင့်စက်ထဲကို Malware တင်နိုင်ပါတယ်။ပထမဦးဆုံး Hacker တွေက လူတွေ မဖြစ်မနေလိုချင်မယ့်အရာတွေကို ဆွဲဆောင်မှုအနေနဲ့ ဖန်တီးပါတယ်။ ဥပမာ – "GTA 6 အခမဲ့ Download လုပ်ပါ", "Netflix မှာမပါတဲ့ဇာတ်ကားတွေ အခမဲ့ကြည့်ရှုပါ", "Windows 11 Pro Activate Free!" စတဲ့ စကားလုံးတွေဖြင့် လူစိတ်ဝင်စားစေကြပါတယ်။ ဒါတွေကို Facebook, Telegram, Torrent Sites တို့မှာ ပေါင်းဖော်ကြည့်ရမယ်ဆိုတဲ့ Link (သို့) Download File တွေအဖြစ် ပေးထားတတ်ပါတယ်။ သင့်အနေနဲ့ အဲ့ဒီဖိုင်ကိုဖွင့်လိုက်တာနဲ့ပဲ Virus, Spyware, Ransomware စတဲ့ အန္တရာယ်ရှိသောပရိုဂရမ်တွေဟာ သင့်စက်ထဲကို အလိုအလျောက် တင်သွားပါပြီ။တစ်ခါတလေ Baiting ကြောင့် သင့် Password, Bank Detail တို့ကို Keylogger နည်းလမ်းဖြင့် ခိုးယူခံရနိုင်ပါတယ်။ တခြားအခါမှာ Ransomware တင်ပြီး သင့်ဖိုင်တွေကို Lock လုပ်ထားကာ ငွေတောင်းကြတတ်ပါတယ်။ တဖန်မှာတော့ Spyware သွင်းပြီး သင်လုပ်ဆောင်နေတာအားလုံးကို စာရင်းလုပ်ထားပြီး Hacker ဆီကို ပေးပို့တာမျိုး ဖြစ်တတ်ပါတယ်။

ဆိုရှယ်အင်ဂျင်နီယာတိုက်ခိုက်မှုတွေက လူတိုင်းကို ပစ်မှတ်ထားနိုင်ပါတယ်။ သင့်ရဲ့ အကောင့်၊ ငွေကြေးနဲ့ ကိုယ်ရေးအချက်အလက်တွေကို အန္တရာယ်ဖြစ်စေနိုင်ပါတယ်။ ဒါကြောင့် ဖော်ပြပါ နည်းလမ်းတွေကို အမြဲသတိထားပြီး ကာကွယ်ဖို့ အရေးကြီးပါတယ်။ ဒါကြောင့် "အခမဲ့ဆုလာဘ်"၊ "အရေးကြီး အကောင့်အချက် အလက် Update" စတဲ့ Message တွေမှာ သတိကြီးကြီးထားပြီး မယုံမရှိဖို့ အရေးကြီးပါတယ်! ဒီလိုအန္တရာယ်တွေကို သိထားရင် သင့်ရဲ့အွန်လိုင်းလုံခြုံရေးအတွက် ပိုကောင်းမွန်လာနိုင်မှာဖြစ်ပါတယ်!

Dr. La Wynn Sandi

B.C.Sc, CU (KT) , B.C.Sc (Hons), CU (KT) M.C.Sc, CU (KT) ,  Ph.D (IT), (U.C.S.M)