Social Engineering မှာ
Computer Based Social Engineering
Human-Based Social Engineering ရှိပါတယ်။
Computer Based Social Engineering
Phishing Attack
Phishing Attack ဆိုတာ လွယ်လွယ်လေးပြောရရင်တော့ Login Form အတုများကို Login ဝင်ခိုင်းပြီး User ရဲ့ Credentials (များသောအားဖြင့် Username and Password) ကို ရယူခြင်းပဲဖြစ်ပါတယ်။ Login Form အတု ဟုတ် မဟုတ် ပြောသလောက်လွယ်ပေမယ့် တကယ်ကြုံတွေ့လာတဲ့အခါ ဇဝေဇဝါတွေဖြစ်တတ်ပါတယ်။ အဲ့တာကြောင့် Internet အသုံးပြုတဲ့သူတွေအတိုင်း Phishing နဲ့ပတ်သက်တဲ့ အကြောင်းအရာတွေကို သိထားသင့်ပါတယ်။ Phishing က များသောအားဖြင့် Email ကနေ တဆင့်ဖောက်တတ်ပါတယ်။ သူတို့ရဲ့ အဓိကရည်ရွယ်ချက်က user တွေရဲ့ အရေးကြီးဒေတာတွေကို ခိုးယူဖို့ဖြစ်ပါတယ်။
- Email Phishing
Email Phishing ဆိုတာက mail တစ်ခု (သို့) text message တစ်ခုပို့ပြီး victim (attack လုပ်ခံရသူ သို့ သားကောင်) ရဲ့ data, login credentials(username-password) or credit card numbers တွေကိုခိုးယူတဲ့ social engineering(လိမ်လည်နည်း) နဲ့ spoofing(အတုပြုလုပ်လှည့်ဖျားနည်း) ပေါင်းစပ်ထားတဲ့ attack တစ်ခုပဲဖြစ်ပါသည်။
- Spear Phishing
Attacker က ပုံမှန် Phishing လို သားကောင်တွေကို generally(သာမန်ကာသျှံကာ) ရွေးချယ်ပြီး vulnerable(အားနည်း) ဖြစ်တဲ့ သူကို attack လုပ်တာမဟုတ်ဘဲ လူနည်းစုကို ရည်ရွယ်ချက်ရှိရှိ နဲ့ သေချာစီစဉ် ရွေးချယ်ပြီး specifically(သေသေချာချာ ) attack လုပ်တယ် ဆိုရင် Spear Phishing လို့ခေါ်ပါသည်။( ဥပမာ company တစ်ခုထဲမှာပဲ ရှိတဲ့ ဝန်ထမ်းအနည်းစုကို phishing လုပ်တာမျိုးပေါ့)
Trojans
Trojans တွေဟာ Backdoor Application အနေနဲ့ အလုပ်လုပ်ပါတယ်။အထူးသဖြင့် Software တွေ Data တွေကြား ပုန်းအောင်းနေတတ်ပြီး Security ရဲ့ Weak Point ကို Attack လုပ်ပါတယ်။ ( e.g victim က secure မဖြစ်တဲ့ website တစ်ခုကနေ game တစ်ခုကို down လိုက်ရာကနေ game ထဲမှာ Trojan virus ပါလာတာမျိုးပေါ့) Networking Ports တွေကနေ PC ထဲကို ရောက်လာတတ်ပါတယ် ။Trojans တွေဟာ Denial of Service ( DoS ) လိုမျိုး Attack လုပ်နိုင်ပါတယ်။
Malware Attack
Malware ဆိုတာက Malicious + software ရဲ့အတိုကောက်ပါ။အသုံးပြုသူကို ဒုက္ခပေးတဲ့ မသမာဆော့ဝဲလ် Malicious Software ကို အတိုချုံထားတာသာဖြစ်ပါတယ်။ Malware ခေါင်းစဉ်ရဲ့အောက်မှာဆိုရင်တော့ User တွေကို အမြဲဒုက္ခပေးတဲ့ Virus, Worm, Trojan, Ransomware, Botnet, Adware, Spamware အစရှိတာတွေ အကုန်ပါပါတယ်၊ network device တွေ workstation တွေကို attack မျိုးစုံနဲ့တိုက်ခိုက်ဖို့သုံးတဲ့ malicious software တွေကိုလည်း malware လို့ခေါ်ပါတယ်။ ။Attacker က သူတိုက်ခိုက်ချင်တဲ့ ရည်ရွယ်ချက်ပေါ်မူတည်ပြီး malware type အမျိုးမျိုးကို အသုံးပြုပါတယ် e.g Keylogger လို malware တွေဆိုရင် victim keyboard မှာရိုက်သမျှ key တိုင်းကို capture ပြီး attacker ဆီပြန်ပို့ပေးခြင်းဖြင့် victim ရဲ့ activity တွေကို Attacker ကစောင့်ကြည့်နိုင်ပါသည်။
Personal Data မှာဆို မိသားစု photos တွေ vidoes တွေ၊ ဆေးမှတ်တမ်းတွေ၊ ပိုင်ဆိုင်မှုစာချုပ်စာတမ်းတွေ၊မှတ်ပုံတင်တွေ ပါဝင်ပြီး Organizational Data မှာတော့ အလုပ်နဲ့ဆိုင်တဲ့ စာရွက်စာတမ်းတွေ financial info လို့ခေါ်တဲ့ ငွေကြေးနဲ့သက်ဆိုင်တဲ့ အချက်အလက်တွေ ဝန်ထမ်းတွေရဲ့ info တွေ စတဲ့ Company ရဲ့ Private data တွေပါဝင်ပါသည်။
Personal data ပဲဖြစ်ဖြစ် Organizational data ပဲဖြစ်ဖြစ် ကျနော်တို့က ကိုယ့်ရဲ့ data တွေကို သူများလက်ထဲမရောက်သွားစေချင်ပါဘူး အဲ့လို သူများသိလို့မရတဲ့ private data တွေ sensitive data တွေကို hacker တွေက အခွင့်ကောင်းယူ hack လုပ်ပြီး ငွေညှစ် ပိုက်ဆံတောင်းတာကို Ransomware Attack လို့ခေါ်ပါသည်။
Men in the middle attack
Attacker က On-path (Man-in-the-middle) attack ကိုသုံးပြီး သားကောင် နဲ့ DNS server ကြားမှာသွားလာနေတဲ့ conversation ကိုကြားဖြတ်နားထောင်ကာ ရလာတဲ့ data တွေကို modify လုပ်ပါတယ် Modified လုပ်ထားတဲ့ data တွေကို သားကောင် ဆီပြန်ပို့ပြီး DNS info တွေပြောင်းလဲပြီး အမှားတွေကို သားကောင် ရဲ့ host files တွေထဲရောက်ရှိအောင်ပြုလုပ်ပါသည်။ (သားကောင် က attack လုပ်ခံရတာကိုမသိဘဲ dns info အမှားကြီးတွေသုံးပြီး attacker redirect လုပ်ချင်တဲ့ spoofed web server တွေဆီရောက်ရှိသွားမှာပါ) သူကအရမ်း common ဖြစ်တဲ့ cyber attack တစ်ခုဖြစ်ပြီး သားကောင် အများစုက သူတို့ MITM attack အလုပ်ခံလိုက်ရတယ် ဆိုတာတောင် မသိကြပါဘူး။
network တစ်ခုကနေ တိုက်ခိုက်မယ် ဆိုရင်တော့ man-in-the-browser ကိုအသုံးပြုပါတယ် MITB လုပ်မယ်ဆိုရင် အရင်ဆုံး သားကောင် အသုံးပြုတဲ့ Browser ထဲကို Trojan လို Proxy လုပ်နိုင်တဲ့ Malware တစ်ခုထည့်ပေးရပါတယ် (malware ထည့်ဖို့တော့ Phishing attack တစ်ခုကို အသုံးပြုပါတယ်) အဲ့ဒီ proxy ကနေ တစ်ဆင့် attacker က သားကောင် လုပ်သမျှ browser activity အားလုံးကို သားကောင် ရဲ့ computer ရှေ့မှာထိုင်ကြည့်နေသလို ကြည့်ရှု့နိုင်မှာ ဖြစ်ပါတယ် MITM ထက်ပိုကောင်းတာက MITB မှာ သုံးတဲ့ malware က victim ရဲ့ browser proxy တစ်ခုအနေနဲ့ အလုပ်လုပ်တဲ့အတွက် encrpytion ရှိရှိ မရှိရှိ data တွေအားလုံးကို attacker က in the clear မြင်နိုင်ပါတယ်၊ သားကောင် က secure ဖြစ်တဲ့ Paypal လို HTTPS website တစ်ခု အသုံးပြုနေမယ် ဆိုရင်တောင် မှ သားကောင် ရိုက်ထည့်လိုက်သမျှ bank credentials တွေကို attacker က access ရရှိမှာဖြစ်ပါသည်။
Third Party Risks
Lack of vendor support
Supply Chain risk
Outsourced code development
Data storage (cloud service)
ကိုယ်ဝယ်ယူအသုံးပြုတဲ့နေတဲ့ 3rd party ဘက်ကနေလည်း တိုက်ခိုက်မှုတွေရှိလာနိုင်တယ်ဆိုတာလည်း ထည့်သွင်းစဉ်းစားထားရမည်ဖြစ်ပါတယ်။ အခုဆို Cloud ကိုသွားရင် third party risk မဟုတ်တော့ပဲ 4th party risk ကနေ Nth party risk အထိဖြစ်လာနိုင်ပါပြီ။
ဥပမာ - Adobe App တစ်ခုခုဝယ်သုံးမယ်ဆိုရင် ကျနော်တို့စက်ထဲ install လုပ်မယ် သုံးမယ် အဲဒါဆို ကျနော်တို့ရဲ့ risk က 3rd party risk ဖြစ်သော adobe ဖြစ်နိုင်တယ်၊ ဒါမဲ့ Cloud Computing ကိုရောက်လာတဲ့အခါ adobe သည် cloud မှာ hosted လုပ်ထားတဲ့အတွက် သူတို့ကိုဝန်ဆောင်မှုပေးနေတဲ့ အချင်းချင်းချိတ်ဆက်နေပြီး နောက်ထပ် host တွေဖြစ်သော 4th party risk ကနေ ဘယ်လောက်အထိ risk ရှိမှာလဲ မသိနိုင်သော N-Party အထိကျယ်ပြန့်လာပါတော့တယ်။
Human-Based Social Engineering
- စိတ်ရဲ့ အားနည်းချက်ကို တိုက်ခိုက်ခြင်း
လူတစ်ယောက်ဟာ အားငယ်စိတ်ရှိတယ်ဆိုပါစို့။ အဲဒီလူတစ်ယောက်ကို အားပေးစကားပြောရင်းနဲ့ ခွန်အားဖြစ်စေမယ့်စာတွေ ဒီမှာရှိတယ် သွားဖတ်ကြည့်ပါလား ဆိုပြီး Link တစ်ခုပေးခြင်း ပုံစံမျိုး။
- စိတ်ရဲ့ အားသာချက်ကို တိုက်ခိုက်ခြင်း
လူတစ်ယောက်ဟာ Proud အရမ်းဖြစ်တတ်တယ်ဆိုပါစို့။ အဲဒီလူတစ်ယောက်ကို ဒီ Link မှာတော့ မင်းအကြောင်းရေးထားတာ ရစရာမရှိဘူး မင်းအပုတ်ချထားတယ် သွားကြည့်ပါဦး ဆိုပြီး Link တစ်ခု ပေးခြင်းမျိုး။
- အခြားစိတ်နေစိတ်ထားကို တိုက်ခိုက်ခြင်း
အရမ်းစပ်စုတတ်တဲ့သူကို ဒီအကြောင်းအရာလေးကတော့ မင်းဆို စိတ်ဝင်စားလောက်တယ် ဆိုရုံလောက်နဲ့ Link ပေးလိုက်တာမျိုး။
Prevention
အယုံမလွယ်ပါနဲ့။
လိုအပ်လို့ Login ဖြည့်ရမယ်ဆို Domain name ကို စစ်ပါ ယုံကြည်ရတဲ့ site လားဆိုတာ ( facebook.com , gmail.com)
Software တွေကို တွေ့တဲ့ link ကနေ ဝင်မဒေါင်းပါနဲ့။
Email Attachment File များကို စိတ်ချရမှဝင်ပါ။
Link မြင်တိုင်းမဝင်ပါနဲ့ စိတ်ချရတယ်ထင်မှ ဝင်ပါ။
Anti-Virus Software သုံးစွဲခြင်း။
Keep updated
ကိုယ်နဲ့အတူတွဲလုပ်သူရဲ့လုံခြုံရေးကိုလည်း သတိပြုပါ။
Cloud ခေတ်ဖြစ်သောကြောင့် Cloud Computing ကိုအသုံးပြုမယ်ဆို 3rd party, 4th party risk ကိုသတိပြုပါ။
Cloud ရဲ့ endpoint management and protection ကိုအသုံးပြုပြီး စောင့်ကြည့်ကာကွယ်ပါ။
“ဆိုက်ဘာလုံခြုံရေးဆိုတာ လူတိုင်းနဲ့ သက်ဆိုင်ပါတယ်...”
“သင်ကိုယ်တိုင်လည်း မျှဝေခြင်းဖြင့် ပူးပေါင်းပါဝင်နိုင်ပါတယ်...”
digitalsecinfo