Cyber Security

මොනවද මේ social engineering attacks කියන්නේ ?

kjwenbog

මොනවද මේ social engineering attacks කියන්නේ ?

හලෝ , කොහොමද ඉතින්. අපිමුලින්ම බලමු මොකක්ද Social engineering කියන්නේ  කියලා. Social engineering කියන්නේ මේ වෙද්දි ගොඩක් famous hacking technology එකක් කිව්වොත් හරියටම හරි. මේක  social networks නිසාම ඔයාට වෙන්න පුලුවන්  attack  එකක් වගේම තමයි,  මේක නිසා ඔයාව රෑකඩයක් වගේ පාලනය කරන්න හැකියාව  අදාල attacker ට ලැබෙනවා. ඔයාට දැන් ඒක බොරුවක් වගේ හිතෙනවා ඇති නේද? හරි අපි තව විස්තර කරන් යමුකෝ. 

Social engineering attacks වල ගොඩක් technology එකට වඩා විශ්වාස මත තමයි base වෙන්නේ. ඒ කියන්නේ ඔයා කාව හරි trust කරලා ඔයාගේ account details  දුන්නොත් ඔයාට social engineering attacks එන්න තියෙන  chance  එක ගොඩක් වැඩී. ඒ කියන්නේ ඔයාගේ accounts වල details hacker  කෙනෙක් ගාවට ගියාම ඔයා නොදැනුවත්වම ඔයාගේ accounts එයාට ඕනි විදියට  පාලනය වෙනවා. දැන් ඔයා ඔයාට හිතෙනවා ඇති ඔයා කාටවත්  accounts  details  දෙන්නේ නෑ. ඒ නිසා Social engineering  attacks කොහොමත් ඔයාට එන්න බෑ කියලා. ඒත් ඔයා හිතනවට වඩා මේක ගොඩක්  complex  දෙයක්. දැන් අපි example  එක්කම ඒ ගැන කතා කරමු.

දැන් කාලේ අපි ගොඩක් දේවල් කරන්නේ  internet  එකෙනේ. ඒ කියන්නේ  online education , health  වගේ හැම දේම. ඉතිං ඒ නිසාම අපි හිතන් නැති sides වලින්  අපට social engineering  attacks එන්න පුලුවන්. සරලම example  එකක් කිව්වොත් ,ඔයා internet  use කරන්කොට හරි ඔයාගේ WhatsApp  එකට හරි message  එකක් එනවා full body check up එක්ක discount  එක්ක කරලා දෙනවා. ඒකට මේ link එකෙන් register  වෙන්න කියලා. 

ඉතිං ඔයා වැඩි විස්තර හොයන් නැතුව අර link එකා ගිහින්  register  වෙනවා. ඒකේ ඔයාගේ private details  සේරම  fill කරන්න තියෙනවා. ඒ කියන්නේ ඔයගේ full name,  email, telephone, address වගේ දේවල්. මේවට අමතරව තව ඔයාගේ import  document  attached  කරන්න කියලා තියෙන්නත් පුලුවන්. (Birth certificate , ID copy).  ඔයා මේ advertisement  එක trust කරලා මේ details  සේරම submit  කරනවා. 

දැන් තමයි වැඩේ වෙන්නේ. දැන් ඔයාගේ privet details හැම දේම hacker ගාව තියෙනවා. ඉතිං දැන් එයාට ඔයාගේ details use කරලා ඔයා විදියට පෙනී ඉන්න පුලුවන්. ඒ කියන්නේ මෙහෙම දෙයක්. දැන් ඔයා අර details  fill කරපු එකේ ඔයාගේ email  එකත් fill කරානේ. Telephone number එකත් fill කරා. ඉතිං ඔයාට එක පාරටම call එකක් එන්න පුලුවන්. ඔයාගේ email එකට හරි phone  එකට හරි දැන් opt එකක එයි. ඒක කියන්න කියලා. ඉතිං ඔයාට දැන් මේ ගැන හිතන්නවත් time එකක් නැහැ නේ. ඔයා line එකේ ඉන්න ගමන්ම opt එක  hacker ට දෙනවා. ඔයා hacker ට OTP එක කිව්ව නිසා දැන් එයාට ඔයාගේ accounts වලට log වෙන්න පුලුවන්. 

අනිත් වැදගත්ම දේ තමයි, hacker ට ඔයාගේ bank accounts වලට access  වෙලා සල්ලි ගන්නත් හැකියාව තියෙනවා. මොකද මේ වෙද්දී  ඔයාගේ email  එක hack වෙලා ඉවරයි. ඔයගේ අනිත්  privet details  එහෙමත් hacker  ගාව තියෙනවා. ඒ කියන්නේ birth certificate  එක. ඔයාගේ address  එක වගේ දේවල්. දැන් hacker ta පුලුවන් ඔයා වගේ පෙනී ඉදලා bank account  එකෙන් payment  එහෙමත් කරන්න. හදිසියෙන්වත් bank එකට සකයක් ඇවිල්ල ඔයාගේ birthday certificate  එක ID එක වගේ දේවල් ඉල්ලුවත් ඔයා එවා hacker ට දුන්න නිසා hacker  ට ඒවා bank එකට දෙන්නත් පුලුවන්.   

Social engineering attacks වල main parts 5ක් තියෙනවා. දැන් අපි බලමු මොනවද parts කියලා.  

Phishing

මොකක්ද මේ Phishing  කියන්නේ? හරි ඔයා මෙහෙම හිතන්නකෝ ඔයාට online  ඇදුමක් ගෙන්නන්න ආසාවක් ඇවිල්ලා ඔයා net එකේ search  කරලා බලනවා online ඇදුම්  delivery  කරන තැන්. එහෙම search  කරන්කොට ඔයා එහෙම clothes delivery  කරන site එකක fb link එකක් දකිනවා. මේ link එක fb link එකක් වගේ තිබ්බට ඇත්ටටම fb link එකක් නෙවෙයි. ඒක hacker  කෙනෙක් හදපු fake link එකක්. හැබැයි ඒක ඔයාට ඒක fake link එකක් කියලා අදුර ගන්න එක පාරට බෑ. ඉතිං ඔයා මේ link එකට ගිහින්  username password  දීලා  log වෙන්වා. ඔන්න ඔතනදි hacker  ඔයාගේ fb එකේ username password  collect  කර ගන්නවා.

ඒ වගේම තව phishing attack  වලට් හේතුවක් තමයි, ඔයා download  කරන mobile applications, desktop applications. ඔයා normally දන්නවා ඇති මේවා download  කරාට පස්සේ ඔයාගෙන් call logs, camera, keyboard  වලට access  ඉල්ලනවා. ඉතිං ඔයා නිකමට හිතලා බැලුවද මේ මොකටද මේ access  ඉල්ලන්නේ කියලා? මේ දේවල් වලිනුත් ඔයාව hack කරන්න හැකියාව තියෙනවා. ඒ නිසා ඔයා අනිවාර්යයෙන්ම  app එකක access  දෙන්න කලින් ඒක ගැන හිතන්න.

Spear phishing or whaling

Spear phishing, whaling මේ දෙකම එකක්ද? මොනවද මේවගේ වෙන්නේ? 
මේ දෙකේම process  එක එකයි. Spear phishing කියන්නේ personalized attack එකක්. ගොඩක් වෙලාවට මේ attack එක කරන්නේ තනි person කෙනෙක්, business  එකක් නැත්නම්  organization  එකක් base කරලා.  Whaling කියන්නෙත් Spear phishing වගේම process එකක්. හැබැයි මේක use කරන්නේ ගොඩක්  famous  අයව hack කරන්න. ඒ කියන්නේ  politics  කරන අය, actors ලා වගේ අය. හරි දැන් බලමු කොහොමද මේ process  එක වෙන්නේ කියලා.  Spear phishing, Whaling වල main process එක steps 4 ක් යටතේ වෙනවා.

1. Identify people
2. Collect information
3. Crafting attack
4. Stealing data

මේ steps 4 ට අනුව, Spear phishing  සහ Whaling වලදී මුලින්ම  attack  එකට ලක් කරන කෙනාව හොදට identify කරන්න ඕනි. ඒ කියන්නේ individually attack කරන කෙනාව හොය ගන්න ඕනි. ( company  එකක නම් manager)  ඊලග step එක විදියට hack කරන්න ඉන්න කෙනාගේ  details collect කර ගන්න ඕනි. ඒ කිව්වේ friend details, social media details, family details  වගේ.  Third step එක විදියට ඊලගට හොයා ගත්ත details වලට අනුව ඒ person ව hack   කරන්න සුදුසු method එකක් හොයා ගන්න ඕනි. ( Email attacking). 

Fourth step එක විදියට attack කරන්න ඉන්න කෙනාට, third step එකේදී හොයා ගත්ත attack method එක use කරලා attack කරන්න ඕනි. Example එකක් විදියට, your login password has expired, plz click on this for more details කියලා email එකක් යැව්වම attack එකට ලක් වෙන කෙනාව ලේසියෙන්ම අල්ල ගන්න පුලුවන්. මොකද අපි උනත් login password expired කියලා email  එකක් ආවම එච්චර හිතන්නේ නෑනේ. 

Baiting 

මොකක්ද මේ Baiting  කියන්නේ? Baiting කියන්නෙත් අපි කලින් කතා කරපු attacks වගේම social engineering attack එකක් කිව්වොත් හරියටම හරි. මේ attack  එකටනම් සමහර විට ඔයා නොදැනුවත්වම අහු වෙලා ඇති. ඔයා දැකලා ඇති WhatsApp, Facebook  වගේ social media වල 

“ඔයාට phone එකක් TV එකක් gift එකක් විදියට ලැබිලා තියෙනවා. ඒක ගෙදරට එවන්න නම් ඔයාගේ details fill කරලා මේ link එකට RS 10000.00 deposit  කරන්න. ” වගේ messages. 

මේ වගේ messages වලින් එන attacks තමයි  baiting  කියලා කියන්නේ.  ඔයාට  gift එකක් හම්බු වෙලා කියලා message  එකක් ආවම, ඇයි මට මේක හම්බු උනේ? කවුද මේක එවන්නේ වගේ details  හොයන්නේ නෑනේ. ඉතිං මේ දේවල් වලින්  attackers ලා ගොඩක්  benefits  ගන්නවා. ඒ නිසා ඔයා ඔයාගේ private details කොහේ හරි සදහන් කරනවා නම් දෙපාරක් හිතලා බලන්න.

Pretexting

ඊලගට අපි කතා කරන topic  එක තමයි  pretexting  කියලා කියන්නේ. මේකෙදී වෙන්නේ මේ වගේ දෙයක්, හිතන්නකෝ ඔයා smart phone  වලට ගොඩක්  ආස කෙනෙක් කියලා. ඔය smart phones ගැන නිතර එක එක්කෙනාගෙන් අහලා බලනවා, google search  කරනවා. මේ අතරේ කවුරු හරි ඔයාව hack කරන්න ඉන්නවා නම්, ඔයා smart phone  ගැන ගොඩක්  interest  කියලා ඔයාගේ වැඩ වලින් ලේසියෙන්ම identify  කර ගන්න පුලුවන්. 

එහෙම ඔයා ආස දේවල් identify කර ගත්තට පස්සේ තමයි  attacks pretexting method  එක use කරන්නේ.  Example එකක් විදියට ඔයා ABC කියන company එකේ ලගදි දවසක phone ගැන search කරා කියලා හිතන්න. ඔයාගේ activities follow  කරන hacker  ඊලගට ඔයාට call එකක් දෙනවා ABC company  එක වගේ. මේ call එකෙන් තමයි hacker  ඔයාගේ personal data ගන්නේ. ඒ ඔයාට හිතාගන්නවත් බැරි විදියට. Hacker call එකේ ඉන්න ගමන්ම ඔයා ඉන්න තැන, job එක, ඔයාගේ bank details වගේ දේවල් ඔයාට නොදැනුවත්වම අහන්න පුලුවන්. ඉතිං මේ වගේ calls වලට answer  දෙද්දී ඔයා අනිවාර්යයෙන්ම පරිස්සම් වෙන්න.

ඒ විතරක් නෙවෙයි වැදගත්ම කාරනය තමයි මේ වගේ calls එද්දී  අදාල company  එකේ නමින්ම call එක එන එක තවත්  hacking method  එකක්. මොකද  company  name එකකින්  save වෙච්චි  call එකක් එද්දී ඔයා කවදාවත් සැක කරන් නෑනේ. ඒ නිසා මේ වගේ calls වලට answer  දෙද්දී අනිවාර්යයෙන්ම  පරිස්සම් වෙන්න.

Business email frauds

email marketing concept, company sending many e-mails or digital newsletter to customers

Social engineering types වල අපි කතා කරන last topic එක තමයි business email frauds කියලා කියන්නේ.  මේ වෙද්දී ලෝකේ  Cyber Security side එකේ තියෙන ගොඩක්  ලොකු attack   එකක් තමයි  Business email frauds  කියන්නේ.ඔයා මෙහෙම හිතන්නකෝ. Company එකක් තියෙනවා එකේ CEO ඉන්නවා, accountant ඉන්නවා. Company එකේ මොකක් හරි දේකට funds දෙනවා නම්, accountant CEO ට email කරලා, CEO email එක accept කරාම අදාලා payment වෙනවා. CEO සහ accountant අතරට hacker කෙනෙක් ආවොත් මොකද වෙන්නේ?

බැරි වෙලාවත් accountant  ගේ email එක hack උනොත්  hacker  ට accountant  විදියට ඉදලා fund transaction  කරගන්න පුලුවන්. Company එක ඇතුලේ විතරක් නෙවෙයි company එකේ CEO සහ company එකට පිටින් invest කරන අය අතරෙත් මේ වගේ දේවල් වෙන්න පුලුවන්.

දැන් අපි බලමු social engineering attack  අදුර ගන්නේ කොහොමද කියලා.

Social engineering attack එකක් ඔයාට email එකකින් වගේ වෙනවනම් ඒක ඔයා හිතන්නෙවත් නැති කෙනෙක් එවන email එකක් විදියට තමයි ඔයාට ලැබෙන්නේ. අපි මුලින්ම කතා කරානේ social  engineering attacks කියන්නේ විශ්වාස මත පදනම් වෙච්චි  attack  එකක්. ඉතිං ඔයා office  එකක වැඩ කරන කෙනෙක් නම් ඔයාගේ boss විදියට  attacker කෙනෙක්  email  කරන්න පුලුවන්.  

ඒ විතරක් නෙවෙයි අපි කලින් කතා කරා වගේ ඔයාට gift එකක් හම්බු වෙලා තියෙනවා, එහෙම නැත්නම් ඔයාගේ email එකේ password  expires  වෙලා වගේ ඔයා trust  කරන message  එවලා ඔයාට attack  කර ගන්න ලේසියෙන්ම  hacker  කෙනෙක් පුලුවන්.

ඒ වගේම තමයි social engineering attack  එකක් වෙනකොට  attack  එක කරන කෙන ඔයාගෙන්  instant reply  ගන්න try කරනවා. මොකද ඔයාට gift එකක් හම්බු උනා එහෙම නැත්නම් password reset කරන්න වගේ email  ආවම ඔයා වැඩිය හිතන්න නැතුව  ඉක්මනට  reply  කරනවා. ඉතිං මේ දේවල් වලින් protect  වෙන්න නම්, ඔයා හදිසි තීරණ ගන්න එපා. හැම දේ ගැනම අවදානයෙන් ඉන්න.  

දැන් අපි බලමු කොහොමද  social engineering attacks වලින්  protect  වෙන්නේ කියලා.  

Social engineering attacks ගත්තම ගොඩක් attacks වෙන්නේ නොදන්න links click කරන්න ගිහින්. ඒ නිසා ඔයා අනිවාර්යයෙන්ම email  එකකින් එන link එකක් click  කරන්න කලින් දෙපාරක් හිතන්න. ඒ වගේම තමයි මොකක් හරි site එකකට log වෙන්කොට ඒ site එක https වලින්  secure  වෙලා තියෙනවාද කියලත් බලන්න. මොකද සමහර වෙලාවට ඔයා WhatsApp  වල Facebook  වල දැකලා ඇති මේ link එකට ගියාම free data හම්බු වෙනවා වගේ message. ඇත්තටම මේ links හදලා තියෙන්නේ ඔයාට free data දෙන්න නෙවෙයි. මේ වගේ  links click කරාම සමහර විට ඔයාව Facebook,  වගේ site එකට link වෙන්න පුලුවන්. එහෙම වෙලාවට ඔයා වැඩිය හිතන්න යන්නේ නෑනේ. ඔයා username password  දීලා log වෙනවා. ඔන්න ඕක තමයි ඔයාට වැරදුණු තැන. මොකද ඔයා ඔයාගේ username password දීලා තියෙන්නේ hacker  කෙනෙක්ට. ඒ නිසා ඔයා site එකකට log වෙනකොට ඒකේ secure  එක ගැන ගොඩක් හිතලා බලන්න.

ඒ වගේම තමයි අපි කලින් කතා කරානේ social engineering attacks වලදී එයලා අපට හිතන්න  time දෙන්නේ නෑ. එයාලා අපෙන් ඉක්මනින්  reply  ගන්න තමයි  try කරන්නේ. ඒ නිසා ඔයා අනිවාර්යයෙන්ම ඔයාගේ sensitive data add කරන්න කලින් දෙපාරක් හිතන්න.  ඒ වගේම සමහර අවස්තා වල ඔයාව ලේසියෙන්  attack  කර ගන්න එක එක company  වගේ මේ attackers  ලා  act කරනවා. එහෙම දේවල් ගැන සැකයක් ආවොත් ඔයා අනිවාර්යයෙන්ම අදාලා පාර්ශව එක්ක කතා කරලා මේ දේවල් ගැන දැන ගන්න. මේ දේවල් වලට අමතරව ඔයා ඔයාගේ lap එක phone එක  නිතරම  update  කරලා තියාගන්න. මොකද මේ දේවල් නිසා ටිකක් හරි ඔයාලව safe වෙන්න පුලුවන්.

Leave your thought here

Your email address will not be published. Required fields are marked *

Supportscreen tag