What 's Social Engineering?

What 's Social Engineering?

Social Engineering မှာ

  1. Computer Based Social Engineering

  2. Human-Based Social Engineering ရှိပါတယ်။

Computer Based Social Engineering

Phishing Attack

Phishing Attack ဆိုတာ လွယ်လွယ်လေးပြောရရင်တော့ Login Form အတုများကို Login ဝင်ခိုင်းပြီး User ရဲ့ Credentials (များသောအားဖြင့် Username and Password) ကို ရယူခြင်းပဲဖြစ်ပါတယ်။ Login Form အတု ဟုတ် မဟုတ် ပြောသလောက်လွယ်ပေမယ့် တကယ်ကြုံတွေ့လာတဲ့အခါ ဇဝေဇဝါတွေဖြစ်တတ်ပါတယ်။ အဲ့တာကြောင့် Internet အသုံးပြုတဲ့သူတွေအတိုင်း Phishing နဲ့ပတ်သက်တဲ့ အကြောင်းအရာတွေကို သိထားသင့်ပါတယ်။ Phishing က များသောအားဖြင့် Email ကနေ တဆင့်ဖောက်တတ်ပါတယ်။ သူတို့ရဲ့ အဓိကရည်ရွယ်ချက်က user တွေရဲ့ အရေးကြီးဒေတာတွေကို ခိုးယူဖို့ဖြစ်ပါတယ်။

  • Email Phishing

Email Phishing ဆိုတာက mail တစ်ခု (သို့) text message တစ်ခုပို့ပြီး victim (attack လုပ်ခံရသူ သို့ သားကောင်) ရဲ့ data, login credentials(username-password) or credit card numbers တွေကိုခိုးယူတဲ့ social engineering(လိမ်လည်နည်း) နဲ့ spoofing(အတုပြုလုပ်လှည့်ဖျားနည်း) ပေါင်းစပ်ထားတဲ့ attack တစ်ခုပဲဖြစ်ပါသည်။

  • Spear Phishing

Attacker က ပုံမှန် Phishing လို သားကောင်တွေကို generally(သာမန်ကာသျှံကာ) ရွေးချယ်ပြီး vulnerable(အားနည်း) ဖြစ်တဲ့ သူကို attack လုပ်တာမဟုတ်ဘဲ လူနည်းစုကို ရည်ရွယ်ချက်ရှိရှိ နဲ့ သေချာစီစဉ် ရွေးချယ်ပြီး specifically(သေသေချာချာ ) attack လုပ်တယ် ဆိုရင် Spear Phishing လို့ခေါ်ပါသည်။( ဥပမာ company တစ်ခုထဲမှာပဲ ရှိတဲ့ ဝန်ထမ်းအနည်းစုကို phishing လုပ်တာမျိုးပေါ့)

Trojans

Trojans တွေဟာ Backdoor Application အနေနဲ့ အလုပ်လုပ်ပါတယ်။အထူးသဖြင့် Software တွေ Data တွေကြား ပုန်းအောင်းနေတတ်ပြီး Security ရဲ့ Weak Point ကို Attack လုပ်ပါတယ်။ ( e.g victim က secure မဖြစ်တဲ့ website တစ်ခုကနေ game တစ်ခုကို down လိုက်ရာကနေ game ထဲမှာ Trojan virus ပါလာတာမျိုးပေါ့) Networking Ports တွေကနေ PC ထဲကို ရောက်လာတတ်ပါတယ် ။Trojans တွေဟာ Denial of Service ( DoS ) လိုမျိုး Attack လုပ်နိုင်ပါတယ်။

Malware Attack

Malware ဆိုတာက Malicious + software ရဲ့အတိုကောက်ပါ။အသုံးပြုသူကို ဒုက္ခပေးတဲ့ မသမာဆော့ဝဲလ် Malicious Software ကို အတိုချုံထားတာသာဖြစ်ပါတယ်။ Malware ခေါင်းစဉ်ရဲ့အောက်မှာဆိုရင်တော့ User တွေကို အမြဲဒုက္ခပေးတဲ့ Virus, Worm, Trojan, Ransomware, Botnet, Adware, Spamware အစရှိတာတွေ အကုန်ပါပါတယ်၊ network device တွေ workstation တွေကို attack မျိုးစုံနဲ့တိုက်ခိုက်ဖို့သုံးတဲ့ malicious software တွေကိုလည်း malware လို့ခေါ်ပါတယ်။ ။Attacker က သူတိုက်ခိုက်ချင်တဲ့ ရည်ရွယ်ချက်ပေါ်မူတည်ပြီး malware type အမျိုးမျိုးကို အသုံးပြုပါတယ် e.g Keylogger လို malware တွေဆိုရင် victim keyboard မှာရိုက်သမျှ key တိုင်းကို capture ပြီး attacker ဆီပြန်ပို့ပေးခြင်းဖြင့် victim ရဲ့ activity တွေကို Attacker ကစောင့်ကြည့်နိုင်ပါသည်။

Personal Data မှာဆို မိသားစု photos တွေ vidoes တွေ၊ ဆေးမှတ်တမ်းတွေ၊ ပိုင်ဆိုင်မှုစာချုပ်စာတမ်းတွေ၊မှတ်ပုံတင်တွေ ပါဝင်ပြီး Organizational Data မှာတော့ အလုပ်နဲ့ဆိုင်တဲ့ စာရွက်စာတမ်းတွေ financial info လို့ခေါ်တဲ့ ငွေကြေးနဲ့သက်ဆိုင်တဲ့ အချက်အလက်တွေ ဝန်ထမ်းတွေရဲ့ info တွေ စတဲ့ Company ရဲ့ Private data တွေပါဝင်ပါသည်။

Personal data ပဲဖြစ်ဖြစ် Organizational data ပဲဖြစ်ဖြစ် ကျနော်တို့က ကိုယ့်ရဲ့ data တွေကို သူများလက်ထဲမရောက်သွားစေချင်ပါဘူး အဲ့လို သူများသိလို့မရတဲ့ private data တွေ sensitive data တွေကို hacker တွေက အခွင့်ကောင်းယူ hack လုပ်ပြီး ငွေညှစ် ပိုက်ဆံတောင်းတာကို Ransomware Attack လို့ခေါ်ပါသည်။

Men in the middle attack

Attacker က On-path (Man-in-the-middle) attack ကိုသုံးပြီး သားကောင် နဲ့ DNS server ကြားမှာသွားလာနေတဲ့ conversation ကိုကြားဖြတ်နားထောင်ကာ ရလာတဲ့ data တွေကို modify လုပ်ပါတယ် Modified လုပ်ထားတဲ့ data တွေကို သားကောင် ဆီပြန်ပို့ပြီး DNS info တွေ​ပြောင်းလဲပြီး အမှားတွေကို သားကောင် ရဲ့ host files တွေထဲရောက်ရှိအောင်ပြုလုပ်ပါသည်။ (သားကောင် က attack လုပ်ခံရတာကိုမသိဘဲ dns info အမှားကြီးတွေသုံးပြီး attacker redirect လုပ်ချင်တဲ့ spoofed web server တွေဆီရောက်ရှိသွားမှာပါ) သူကအရမ်း common ဖြစ်တဲ့ cyber attack တစ်ခုဖြစ်ပြီး သားကောင် အများစုက သူတို့ MITM attack အလုပ်ခံလိုက်ရတယ် ဆိုတာတောင် မသိကြပါဘူး။

network တစ်ခုကနေ တိုက်ခိုက်မယ် ဆိုရင်တော့ man-in-the-browser ကိုအသုံးပြုပါတယ် MITB လုပ်မယ်ဆိုရင် အရင်ဆုံး သားကောင် အသုံးပြုတဲ့ Browser ထဲကို Trojan လို Proxy လုပ်နိုင်တဲ့ Malware တစ်ခုထည့်ပေးရပါတယ် (malware ထည့်ဖို့တော့ Phishing attack တစ်ခုကို အသုံးပြုပါတယ်) အဲ့ဒီ proxy ကနေ တစ်ဆင့် attacker က သားကောင် လုပ်သမျှ browser activity အားလုံးကို သားကောင် ရဲ့ computer ရှေ့မှာထိုင်ကြည့်နေသလို ကြည့်ရှု့နိုင်မှာ ဖြစ်ပါတယ် MITM ထက်ပိုကောင်းတာက MITB မှာ သုံးတဲ့ malware က victim ရဲ့ browser proxy တစ်ခုအနေနဲ့ အလုပ်လုပ်တဲ့အတွက် encrpytion ရှိရှိ မရှိရှိ data တွေအားလုံးကို attacker က in the clear မြင်နိုင်ပါတယ်၊ သားကောင် က secure ဖြစ်တဲ့ Paypal လို HTTPS website တစ်ခု အသုံးပြုနေမယ် ဆိုရင်တောင် မှ သားကောင် ရိုက်ထည့်လိုက်သမျှ bank credentials တွေကို attacker က access ရရှိမှာဖြစ်ပါသည်။

Third Party Risks

  • Lack of vendor support

  • Supply Chain risk

  • Outsourced code development

  • Data storage (cloud service)

ကိုယ်ဝယ်ယူအသုံးပြုတဲ့နေတဲ့ 3rd party ဘက်ကနေလည်း တိုက်ခိုက်မှုတွေရှိလာနိုင်တယ်ဆိုတာလည်း ထည့်သွင်းစဉ်းစားထားရမည်ဖြစ်ပါတယ်။ အခုဆို Cloud ကိုသွားရင် third party risk မဟုတ်တော့ပဲ 4th party risk ကနေ Nth party risk အထိဖြစ်လာနိုင်ပါပြီ။

ဥပမာ - Adobe App တစ်ခုခုဝယ်သုံးမယ်ဆိုရင် ကျနော်တို့စက်ထဲ install လုပ်မယ် သုံးမယ် အဲဒါဆို ကျနော်တို့ရဲ့ risk က 3rd party risk ဖြစ်သော adobe ဖြစ်နိုင်တယ်၊ ဒါမဲ့ Cloud Computing ကိုရောက်လာတဲ့အခါ adobe သည် cloud မှာ hosted လုပ်ထားတဲ့အတွက် သူတို့ကိုဝန်ဆောင်မှုပေးနေတဲ့ အချင်းချင်းချိတ်ဆက်နေပြီး နောက်ထပ် host တွေဖြစ်သော 4th party risk ကနေ ဘယ်‌လောက်အထိ risk ရှိမှာလဲ မသိနိုင်သော N-Party အထိကျယ်ပြန့်လာပါတော့တယ်။

Human-Based Social Engineering

  • စိတ်ရဲ့ အားနည်းချက်ကို တိုက်ခိုက်ခြင်း

လူတစ်ယောက်ဟာ အားငယ်စိတ်ရှိတယ်ဆိုပါစို့။ အဲဒီလူတစ်ယောက်ကို အားပေးစကားပြောရင်းနဲ့ ခွန်အားဖြစ်စေမယ့်စာတွေ ဒီမှာရှိတယ် သွားဖတ်ကြည့်ပါလား ဆိုပြီး Link တစ်ခုပေးခြင်း ပုံစံမျိုး။

  • စိတ်ရဲ့ အားသာချက်ကို တိုက်ခိုက်ခြင်း

လူတစ်ယောက်ဟာ Proud အရမ်းဖြစ်တတ်တယ်ဆိုပါစို့။ အဲဒီလူတစ်ယောက်ကို ဒီ Link မှာတော့ မင်းအကြောင်းရေးထားတာ ရစရာမရှိဘူး မင်းအပုတ်ချထားတယ် သွားကြည့်ပါဦး ဆိုပြီး Link တစ်ခု ပေးခြင်းမျိုး။

  • အခြားစိတ်နေစိတ်ထားကို တိုက်ခိုက်ခြင်း

အရမ်းစပ်စုတတ်တဲ့သူကို ဒီအကြောင်းအရာလေးကတော့ မင်းဆို စိတ်ဝင်စားလောက်တယ် ဆိုရုံလောက်နဲ့ Link ပေးလိုက်တာမျိုး။

Prevention

  • အယုံမလွယ်ပါနဲ့။

  • လိုအပ်လို့ Login ဖြည့်ရမယ်ဆို Domain name ကို စစ်ပါ ယုံကြည်ရတဲ့ site လားဆိုတာ ( facebook.com , gmail.com)

  • Software တွေကို တွေ့တဲ့ link ကနေ ဝင်မဒေါင်းပါနဲ့။

  • Email Attachment File များကို စိတ်ချရမှဝင်ပါ။

  • Link မြင်တိုင်းမဝင်ပါနဲ့ စိတ်ချရတယ်ထင်မှ ဝင်ပါ။

  • Anti-Virus Software သုံးစွဲခြင်း။

  • Keep updated

  • ကိုယ်နဲ့အတူတွဲလုပ်သူရဲ့လုံခြုံရေးကိုလည်း သတိပြုပါ။

  • ‌‌Cloud ခေတ်ဖြစ်‌သောကြောင့် Cloud Computing ကိုအသုံးပြုမယ်ဆို 3rd party, 4th party risk ကိုသတိပြုပါ။

  • Cloud ရဲ့ endpoint management and protection ကိုအသုံးပြုပြီး စောင့်ကြည့်ကာကွယ်ပါ။

“ဆိုက်ဘာလုံခြုံရေးဆိုတာ လူတိုင်းနဲ့ သက်ဆိုင်ပါတယ်...”

“သင်ကိုယ်တိုင်လည်း မျှဝေခြင်းဖြင့် ပူးပေါင်းပါဝင်နိုင်ပါတယ်...”

digitalsecinfo