Social Engineering ( Security ) လူမႈဆိုင္ရာအင္ဂ်င္နီရာအတတ္ပညာအေၾကာင္း ( လံုျခံဳေရး )

ကြၽန္ေတာ္ ခုေရးမည့္ေဆာင္းပါးကေတာ့ social engineering အေၾကာင္းကို လူတိုင္းသိရိွနားလည္၍ မိမိတို႔ devices ေတြကို hacker, attacker မ်ားတိုက္ခိုက္ျခင္းမွ ႀကိဳတင္ကာကြယ္ဖို႔ရန္အတြက္ ေရးသားေပးရျခင္းျဖစ္ေပတယ္။

social engineering ဆိုတာ ကြန္ပ်ဴတာပ႐ိုဂရမ္ေတြ၏ အလုပ္လုပ္ပံု၊ အားနည္းခ်က္ႏွင့္ လိုအပ္ခ်က္ေတြကို သိရိွနားလည္၍ လုပ္ေဆာင္ရေသာ အတတ္ပညာရပ္ တစ္ခုပင္ျဖစ္တယ္။

social engineering ကိုတတ္ေျမာက္ေသာ social engineer, hacker, attacker ေတြက ပ႐ိုဂရမ္ေတြရဲ႕ အားနည္းခ်က္ ခ်ဳိ့ယြင္းခ်က္ေတြကို ခ်ဳိးေဖာက္ဝင္ေရာက္ၿပီး လူေတြရဲ႕ယံုၾကည္ႏွင့္ ေပါ့ေလ်ာ့မႈကို အခြင့္ေကာင္းယူ၍ vector ေတြကို တိုက္ခိုက္ျခင္း ျဖစ္ပါတယ္။

Social Engineering: This definition is part of our essential guide how to hone an effective vulnerability management program.

Social engineering is an attack vector that relies heavily on human interaction and often involves tricking people into breaking normal security procedures.

attacker တစ္ေယာက္က လူေတြကို အယံုသြင္းၿပီး ကလိမ္ဉာဏ္သံုး၍ တိုက္ခိုက္ႏိုင္တယ္။
၎က လူေတြရဲ႕ ေလာဘႀကီးမႈ၊ အသိဉာဏ္နည္းပါးမႈ၊ ေၾကာက္ရြံ႔မႈႏွင့္ ေက်ာ္ေဇာလိုမႈ ေတြကို အခြင့္ေကာင္းယူ၍ တိုက္ခိုက္ျခင္း ျဖစ္တယ္။

လြန္ခဲ့ေသာ ႏွစ္ႏွစ္ေလာက္က ႐ု႐ွားဟက္ကာေတြက social engineering attacks ကိုအသံုးျပဳ၍ facebook, twitter, etc အစရိွသျဖင့္ social web ေတြကိုတိုက္ခိုက္ခဲ့ပါတယ္။ အထူးျပဳလုပ္ထားတဲ့ phishing tool, software ေတြလည္း အသံုးျပဳ၍ တိုက္ခိုက္ခဲ့ပါတယ္။ ၎တိုက္ခိုက္မႈေတြေၾကာင့္ အေမရိကန္သမၼတ ေရြးေကာက္ပဲြေတာင္ ကေမာက္ကမျဖစ္တဲ့ထိ ျပင္းထန္ခဲ့ပါတယ္။ facebook user သန္းငါးဆယ္၏ data ေတြကို အသံုးခ်ၿပီး ထရမ့္အႏိုင္ရေအာင္ လံု႔ေစာ္ခဲ့သည္ဟုလည္း ၾကားသိခဲ့ရတယ္။

A social engineer runs what used to be called a “con game.” Techniques such as appeal to vanity, appeal to authority and appeal to greed are often used in social engineering attacks.

အမ်ားအားျဖင့္ social engineering attack က လူေတြ မိမိတို႔ဘက္ပါလာေအာင္ စည္းရံုးသိမ္းသြင္း၍ တိုက္ခိုက္တာ မ်ားပါတယ္။

ဥပမာ အားျဖင့္ attacker ေတြက မိမိတို႔ႏွင့္အတူတကြအလုပ္လုပ္သည့္ သူငယ္ခ်င္းမိတ္ေဆြအျဖစ္ ဟန္ေဆာင္ေနတတ္တယ္။ ပထမဆံုး ၾကင္နာတတ္သလို ဟန္ေဆာင္၍ သင္တို႔၏ network device ေတြကို တိုက္ခိုက္ဖို႔အတြက္ spy software ေတြထည့္ဖို႔ သူႀကိဳးစားလိမ့္မယ္။

Many social engineering exploits simply rely on people’s willingness to be helpful. For example, the attacker might pretend to be a co-worker who has some kind of urgent problem that requires access to additional network resources.

ေက်ာ္ၾကားေသာ social engineering attack ငါးမ်ဳိးရိွတယ္

Baiting, Phishing, Spear Phishing, Pretexting & Scareware

Baiting
baiting ဆိုတာ attacker တစ္ေယာက္က physical device ေပၚတြင္ မက္လံုးမ်ားေပး၍ ေၾကာက္စရာေကာင္းေသာ malware-infected virus ကိုထားခဲ့တယ္။ ၎ကို finder က ေတြ႔ရိွ၍ installing လုပ္မိပါက အမွတ္မထင္ဘဲ
malware-infected မ်ား ထို႐ွာေဖြသူ၏ device အတြင္းသို႔ ဝင္ေရာက္သြားေပလိမ့္မည္။

Phishing
phishing ဆိုတာက malicious party တစ္ခုကေန တရားဝင္ email ႏွင့္ဆင္တူေသာ email အတုမ်ား မၾကာခဏဆိုသလို လူေတြဆီ ေပးပို႔၍ တိုက္ခိုက္ျခင္းျဖစ္တယ္။ ၎ messages ေတြကိုလက္ခံရရိွသူသည္ ၎၏ ကိုယ္ေရးအခ်က္အလက္မ်ားႏွင့္ ေငြေၾကးဆိုင္ရာအခ်က္အလက္မ်ားမွာ malware သြင္းထားေသာ link ေတြထဲ အလြယ္တကူ ဝင္ေရာက္သြားႏိုင္တယ္။

Spare Phishing
spare phishing ကေတာ့ phishing နဲ႔ဆင္တူတယ္။ သို႔ေသာ္ ၎က သက္မွတ္ထားတဲ့ လူေတြႏွင့္ အဖဲြ႔အစည္းေတြကိုသာ ဦးတည္၍ တိုက္ခိုက္ပါတယ္။ ႐ု႐ွားဟက္ကာေတြ social engineering attack လိုမ်ဳိးပင္ ျဖစ္တယ္။

Pretexting
pretexting ဆိုတာကေတာ့ one party တစ္ခုကေန တျခားသူေတြကို ေငြအျမတ္အစြန္းေတြရမည္ဟု စည္းရံုးသိမ္းသြင္း၍ လိမ္လည္ရယူျခင္းပင္ ျဖစ္တယ္။
ဥပမာ။ ။ပစၥည္းတစ္ခု လက္ခံရရိွမည့္ သူတစ္ဦး၏ identity ကိုအတည္ျပဳမည့္ အစီအစဥ္တြင္ ထိုသူကဲ့သို႔ ဟန္ေဆာင္၍ ေငြေၾကးႏွင့္ အခ်က္အလက္မ်ားကို attacker မွရယူျခင္းမ်ဳိးပင္ ျဖစ္တယ္။

facebook account ကို user ပံုစံဟန္ေဆာင္၍ မွတ္ပံုတင္အတုျပဳလုပ္ၿပီး ရယူျခင္းမ်ဳိးမွာ pretexting attack မွာပါဝင္ပါတယ္။ သို႔ေပမယ့္ Pretexting ဆိုတာက အဲ့ဒီထက္အမ်ားႀကီးက်ယ္ျပန္႔ေပတယ္။ bank, economies, activism database ဆိုင္ရာအခ်က္အလက္ေတြကို တိုက္ခိုက္ရာတြင္ pretexting attack ကိုသံုးၾကပါတယ္။

Scareware
scareware ဆိုတာက victim ၏ ကြန္ပ်ဴတာပ႐ိုဂရမ္ေတြထဲကို malware သို႔မဟုတ္ ဥပေဒနဲ႔မကိုက္ညီေသာ အရာေတြကိုထည့္သြင္း၍ ေငြေၾကးႏွင့္ ကိုယ္ေရးအခ်က္အလက္မ်ားကို လိမ္လည္ရယူျခင္းမ်ဳိးပင္ ျဖစ္တယ္။ attacker တစ္ေယာက္က ကမ္းလွမ္းလာတဲ့ ကြန္ပ်ဴတာပိုေကာင္းမြန္ေစမည္ဟုေျပာေသာ ကြန္ပ်ဴတာပ႐ိုဂရမ္ ျပင္ဆင္ခ်က္ေတြကို တကယ္ထင္၍ လက္ခံလိုက္ပါက victim ၏ ကြန္ပ်ဴတာထဲကို attacker’s malware မ်ားေရာက္ရိွသြားႏိုင္သည္။

Popular types of social engineering attacks include:

Baiting: Baiting is when an attacker leaves a malware-infected physical device, such as a USB flash drive in a place it is sure to be found. The finder then picks up the device and loads it onto his or her computer, unintentionally installing the malware.

Phishing: Phishing is when a malicious party sends a fraudulent email disguised as a legitimate email, often purporting to be from a trusted source. The message is meant to trick the recipient into sharing personal or financial information or clicking on a link that installs malware.

Spear phishing: Spear phishing is like phishing, but tailored for a specific individual or organization.

Pretexting: Pretexting is when one party lies to another to gain access to privileged data. For example, a pretexting scam could involve an attacker who pretends to need personal or financial data in order to confirm the identity of the recipient.

Scareware: Scareware involves tricking the victim into thinking his computer is infected with malware or has inadvertently downloaded illegal content. The attacker then offers the victim a solution that will fix the bogus problem; in reality, the victim is simply tricked into downloading and installing the attacker’s malware.

နည္းပညာဌာနမ်ားမွ လံုျခံဳေရးဆိုင္ရာ ကြၽမ္းက်င္သူေတြက social engineering နည္းပညာအသံုးျပဳ၍ ထိုးေဖာက္ဝင္ေရာက္ပံုနည္းမ်ားကို အခ်ိန္မွန္ေဖာ္ျပ၍ အၾကံျပဳခ်က္မ်ားေပးပါတယ္။ ဒီအသိဉာဏ္ေတြက social engineering တိုက္ခိုက္မႈမ်ားကို နားလည္သေဘာေပါက္ေစ၍ administrators ေတြကိုကူညီႏိုင္ပါတယ္။ လံုျခံဳေရးဆိုင္ရာ နားလည္သေသာေပါက္ေအာင္ ေလ့က်င့္သင္ၾကားျခင္းေတြက social engineering attacks မွကာကြယ္ႏိုင္ပါတယ္။

Security experts recommend that IT departments regularly carry out penetration tests that use social engineering techniques. This will help administrators learn which types of users pose the most risk for specific types of attacks while also identifying which employees require additional training. Security awareness training can go a long way towards preventing social engineering attacks.

http://searchsecurity.techtarget.com/definition/social-engineering

They are the social engineers, hackers who exploit the one weakness that is found in each and every organization: human psychology. Using a variety of media, including phone calls and social media, these attackers trick people into offering them access to sensitive information.

https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/

သင္တို႔အေနနဲ႔ နည္းပညာရပ္ေတြကို စိတ္ဝင္စားသည္ ျဖစ္ေစ မဝင္စားသည္ျဖစ္ေစ ယခုလိုနည္းပညာေခတ္မွာ နည္းပညာေဆာင္းပါးေတြကို ဖတ္႐ႈေလ့လာ ထားသင့္တယ္။ ထိုသို႔ နည္းပညာဗဟုသုတမရိွပါက သင္တို႔၏ devices မ်ားတိုက္ခိုက္ခံရပါက အပ်က္အစီးအဆံုးအရံႈးေတြမ်ားႏိုင္ေပသည္။

If people know what forms social engineering attacks are likely to take, they will be less likely to become victims.

အမ်ားျပည္သူတို႔အေနျဖင့္ social engineering attacks သံုး၍တိုက္ခိုက္ေသာ နည္းစနစ္ေတြကို သိရိွထားမယ္ဆိုလွ်င္ မိမိတို႔ devices ေတြကို hacker, attacker တို႔၏ တိုက္ခိုက္မႈမွကာကြယ္ ႏိုင္လိမ့္မည္ျဖစ္ပါသည္။

CD-္ရဲတံခြန္

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.