Social Engineering ဆိုတာကလူတစ္ေယာက္ရဲ့ ယံုၾကည္မွဳကိုအသံုးခ်ျပီး Sensitive Data ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကိုရယူတယ္လို ့ဆိုႏုိင္ပါတယ္။
Social Engineering ထိေရာက္မွဳရွိမရွိဆိုတာက ျပဳလုပ္သူ (attacker) ရဲ့လူမွဳေပါင္းသင္းဆက္ဆံေရးေပၚမွာမ်ားစြာသက္ေရာက္မွဳရွိပါတယ္။
ဒါတင္မကပါဘူး ျပဳလုပ္ခံရသူ (victim) ရဲ့ security awareness အားနည္းမွဳေၾကာင့္
လဲျဖစ္ပါတယ္…
ေနာက္တစ္ခ်က္က ထိုသူရဲ့မိမိကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကိုဂရုစုိက္မွဳေလွ်ာ့ေပါ့ျခင္းေၾကာင့္လဲပါပါတယ္။
တကယ္ေတာ့လူတစ္ေယာက္ရဲ့ယံုၾကည္မွဳဆိုတာက ေၾကာက္စရာေကာင္းတတ္ပါတယ္။
Security awareness ကိုသတိမျပဳမိတဲ့သူတစ္ေယာက္ကို S.E ထိုးရတာခက္ခဲမွဳသိပ္မရွိပါဘူး
ကြ်န္ေတာ္လို ့ ဘာမွမပာုတ္တဲ့သူတစ္ေယာက္အတြက္ S.E ထိုးခံရရင္ နစ္နာမွဳမရွိေပမယ့္
Company တစ္ခု ဥပမာ Apple လို company ဆိုသူတို ့ရဲ့ Information Leak ျဖစ္ခဲ့တာမ်ိဳးေတြကအရမ္းကိုနစ္နာမွဳရွိပါတယ္။
ေနာက္ Social Engineering ကဘာလို ့ထိေရာက္မွဳရွိသလဲဆိုရင္
၁. သူ ့ကိုလံုး၀ ကာကြယ္ေပးႏိုင္တဲ့ Software ဒါမွမပာုတ္ Hardware မ်ိဳးမရွိလို ့ပါ။
၂. S.E Attack ကိုေသခ်ာေပါက္ကာကြယ္ႏိုင္ပါတယ္ဆိုတဲ့ နည္းလမ္းမ်ိဳးလဲမရွိလို ့ပါ။
၃. ေနာက္ S.E ကိုသတိမထားမိတာမ်ိဳးေတြေၾကာင့္လဲပါပါတယ္။
အဲ့ ၃ခုေျမာက္အခ်က္ေလးကို နဲနဲအက်ယ္ခ်ဲ ့ခ်င္တယ္ဗ်။
ဘာလို ့သတိမထားမိတာမ်ိဳးေတြျဖစ္တတ္သလဲေပါ့။
လြယ္လြယ္ေလးပဲ စဥ္းစားၾကည့္ပါ ခင္မ်ားကိုလူတစ္ေယာက္က email address ဘာလဲ
Contact ေလးရေအာင္ဘာညာဆိုျပီးေမးမယ္ေပါ့။
ဒါပာာတကယ္ပဲဆက္သြယ္ခ်င္လို ့လား … information collect လုပ္ေနတာလားဆိုတာမသိႏိုင္ပါဘူး
ေနာက္အဲ့ေမးေနခ်ိန္မွာလဲေတာ္ရံုဘယ္သူမွ မစဥ္းစားမိပါဘူး
ေဘာ္ဒါအခ်င္းခ်င္းဆိုေပးမိၾကမွာပါပဲ….
Social Engineering ကို အသံုးခ်ပံု အၾကမ္းျဖင္း ၃ မ်ိဳးလို ့ဆိုႏိုင္ပါတယ္။
1. Through Internet or Online
2. Via Telephone
3. ေနာက္ Personal Approaches လို ့ဆိုႏိုင္တဲ့ လူခ်င္းေတြ ့ျပီး မသိမသာေမးတဲ့အထာမ်ိဳးေပါ့
1. Through Online အင္တာနက္မွ အခ်က္အလက္ရယူျခင္း
Through Online ကို Computer Base Social Engineering လို ့လဲဆိုႏိုင္ပါတယ္။
တျခားအေ၀းၾကီးလိုက္ၾကည့္မေနပါနဲ ့ Social Engineering ဆိုက္ေတြပာာတကယ္ေတာ့ Data Collect လုပ္ဖို ့အတြက္အေကာင္းဆံုးလို ့ဆိုလိုႏိုင္ပါတယ္
like Facebook, Twitter and so on..
ေနာက္ Phishing Method ဆိုတာကိုၾကားဖူးၾကမယ္ထင္ပါတယ္။
Phishing ဆိုတာကို word web မွာေအာက္ပါအတိုင္းဆိုထားပါတယ္။
“The luring of an internet user to reveal personal details (like passwords and credit card information) on a fake web page or email form pretending to come from a legitimate company (like their bank)”
မွန္ပါတယ္ ကြက္တိၾကီးကိုမွန္တာပါ
Attacker တစ္ေယာက္က Victim အား email မွတဆင့္ fake web page တစ္ခုအားပို ့ျပီး
User ရဲ့ကိုယ္ေရးအခ်က္အလက္ေတြကိုရယူျခင္းျဖစ္ပါတယ္။
ဥပမာ ကြ်န္ေတာ္က user.a ရဲ့ facebook အေကာင့္ကိုယူမယ္ဆိုပါစို ့
အရင္ဆံုး original facebook.com ရဲ့ interface ကိုတုပျပီး fake page တစ္ခုလုပ္မယ္
ျပီးရင္ user.a အားေအာက္ပါအတိုင္းေရးသားျပီးပို ့လိုက္မယ္ေပါ့
“We suspect that your facebook account may have been accessed by unauthorized user.
Protecting the security and user privacy, please click below link to change your password.”
ထိုကဲ့သိုျဖင့္ ေအာက္မွာ fake web page အား redirect လုပ္မယ့္ေကာင္ေလးကိုထည့္ေပးလိုက္ပါ။
ၾကည့္ရင္ေတာ့ http://www.facebook.com/ဘာညာ ေပါ့
သို ့ေသာ္ click လုပ္လိုက္ပါက တုပထားတဲ့ page ကို redirect သြားတယ္ေပါ့
For Example…
http://www.facebook.com/ဘာညာ http://www.108.21.ဘာညာ ကိုေရာက္ရွိသြားတာမ်ိဳးေပါ့
သတိထားမိေစဖို ့ကေတာ့
Click လုပ္တာထက္ေပးထားတဲ့ link ကို copy & paste လုပ္တာပိုအေကာင္းပါတယ္
ေနာက္ email ကစာကိုေသခ်ာဖတ္ၾကည့္ပါ။
ေရးသားပံုမွာ grammar error တို ့ဘာတို ့မ်ိဳးေပါ့
ေျပာရရင္ site staff က user တစ္ေယာက္ကိုပို ့ရင္ဘယ္ေတာ့မွ informal ေရးသားျခင္းမရွိပါဘူး
အျမဲတမ္း formal ပံုစံျဖင့္သာေရးသားၾကသလို အေရးအသား error ဆိုတာလဲမရွိဘူးလို ့ဆိုႏုိင္ပါတယ္။
Note: Mozilla Add-On တစ္ခုျဖစ္သည့္ netcraft toolbar ျဖင့္ phishing page အားေဖာ္ထုတ္ႏိုင္ပါတယ္
But CEH အဆိုအရ netcraft က data collect လုပ္တယ္လို ့ဆိုထားပါတယ္။
ဒီေလာက္ဆို Computer Based Social Engineering ကိုသေဘာေပါက္ေလာက္မယ္ထင္ပါတယ္။
Via Telephone ဆိုတာကိုမသြားခင္ Personal Approach ကိုအရင္သြားခ်င္ပါတယ္
Telephone ႏွင့္ Personal Approach ကို Human Based Social Engineering လို ့လဲဆိုထားပါေသးတယ္။
Human Based Social Engineering
ပာုတ္ပါတယ္ ခင္မ်ားတယ္ၾကည့္ေနက် ဇတ္လမ္းေတြထဲကလိုပါပဲ။
(ဘာကားေတြလဲေတာ့ တားလဲမတိပုေပါ့
)Eavesdropping ေခၚ ခိုးနားေထာင္ျခင္း
ေျပာရရင္ လူတစ္ေယာက္ဖုန္းေျပာေနတာကို ေနာက္ကေနဘာလိုလိုညာလိုလိုနဲ ့နားေထာင္ေနျခင္းမ်ိဳးေပါ့။
ဥပမာ target company staff ကအလုပ္အေၾကာင္းေျပာေနစဥ္ ေနာက္မွအရူးကိုက္ဖမ္းကာနားေထာင္ေနျခင္းကိုဆိုပါတယ္။
ထိုနည္းျဖင့္ သားေကာင္ရဲ့ အခ်က္အလက္ေတြကိုရယူႏုိင္ပါတယ္။
Shoulder Surfing
staff တစ္ေယာက္ computer သံုးေနစဥ္ေနာက္ကေနၾကည့္ေနတာမ်ိဳးေတြလဲအက်ံဳး၀င္ပါတယ္။
Like , Staff သည္ password ရိုက္ေနစဥ္မ်ိဳးေတြေပါ့. ဒါကိုဆိုလိုတာျဖစ္ပါတယ္။
Tailgating
Tailgating ဆိုတာကေတာ့ ခြင့္ျပဳခ်က္မရွိေသာ ID အား၀တ္ဆင္ျပီး staff (authorized person) ေနာက္မွလိုက္ကာ safe zone ေခၚ staff area ထဲအား၀င္ေရာက္ျခင္းကိုဆိုလိုပါတယ္။
ဥပမာ။
Staff Area ထဲ၀င္ဖို ့ ID Card ျဖင့္ Security တခါးကိုဖြင့္ျပီး၀င္ရမယ္ေပါ့။
အဲ့မွာမိမိကအထဲကို၀င္ေရာက္ဖို ့အတြက္ staff တစ္ေယာက္ကိုက္ဖမ္းကာ ေရွ ့က staff ကတခါးဖြင့္ျပီး၀င္စဥ္
မိမိကပါေနာက္ကေနကပ္ျပီး၀င္သြားတာမ်ိဳးကိုဆိုလိုတာျဖစ္ပါတယ္။
ဒီအကြက္မ်ိဳးက ဇတ္လမ္းထဲမွာေတြ ့ေနက်ျဖစ္မွာပါ ဥပမာ James Bond ဇတ္ကားမ်ိဳးမွာေပါ့။
Dumpster Diving
Dumpster Diving ဆုိတာကေတာ့ trash ထဲကေန information အားရွာေဖြျခင္းကိုဆိုလိုတာပါ။
ေနရင္းထိုင္ရင္း သူေတာင္းစားျဖစ္ေကာ
For Example..
ေရ တို ့ဖုန္းေဘလ္ တို ့ကေနေပါ့
အဲ့ကေန information ကိုရယူုျခင္းကိုဆိုလိုတာျဖစ္ပါတယ္။
Technical Support ျဖင့္ Victim Data အား Collect လုပ္ျခင္း
ဒါကေတာ့ Via Telephone လို ့ဆိုႏုိင္ပါတယ္ သို ့ေသာ္ Human Based Social Engineering ထဲမွာအက်ံဳး၀င္ပါေသးတယ္။
ဥပမာေလးျဖင့္ရွင္းရရင္ web site တစ္ခ်ိဳ ့မွာ Technical Support ဆိုျပီး ဖုန္း number ေပးထားတာမ်ိဳးေတြရွိတတ္ပါတယ္
ထိုဖုန္းအားဆက္ျပီး အခ်က္အလက္ရယူတာေပါ့
ေျပာရရင္ phone ေခၚျပီး မိမိရဲ့ အေရးၾကီး account ဧ။္ password ေမ့သြားသျဖင့္ staff အားသနားေအာင္ေျပာကာ password reset လုပ္ခုိင္းတာမ်ိဳးေပါ့
Victim ကမိမိအား technical support အကူအညီေတာင္းခံကာ data ရယူျခင္းပါ
ဒါကလဲလြယ္ပါတယ္ ရွင္းရမယ္ဆို
Victim နဲ ့ ခင္မ်ားက တစ္ရပ္ကြက္ထဲေနတယ္ဗ်
ရပ္ကြက္ထဲမွာလဲ ကား tyre ဆိုင္ကခင္မ်ားတစ္ဆိုင္ထဲ အနီးအနားရွိတယ္ေပါ့
သူ ့ကားကအသစ္ဗ်ာ ဒီေတာ့ခင္မ်ားက သူ ့ကား tyre ေတြညဘက္သြားေဖာက္ပလိုက္တယ္ဗ်ာ
မနက္က ဘယ္ေကာင္ကမ်င္းမွန္းမသိေတာ့ ခင္မ်ားစီလာျပီး tyre လဲဖို ့ အကူအညီေတာင္းခံတာမ်ိဴးေပါ့
ဒါကိုဆိုလိုတာပါ…
ဒီမွာေတာ့ မိမိက technical support ကသူဆိုေတာ့ မကူညီခင္ victim အား မိမိ OS ကဘာလဲေနာက္ဘာညာေပါ့အဲ့လိုေမးျမန္းျပီး information ရယူျခင္းကိုဆိုလိုတာပါ။
ဒီမွာပဲရပ္ပရေစဗ်ာ Social Engineering ကိုသေဘာေပါက္သြားရင္ျဖင့္ေက်နပ္ပါတယ္။
Thanks For Reading
Cyko Rat
No comments:
Post a Comment