මොනවද මේ social engineering attacks කියන්නේ ?
හලෝ , කොහොමද ඉතින්. අපිමුලින්ම බලමු මොකක්ද Social engineering කියන්නේ කියලා. Social engineering කියන්නේ මේ වෙද්දි ගොඩක් famous hacking technology එකක් කිව්වොත් හරියටම හරි. මේක social networks නිසාම ඔයාට වෙන්න පුලුවන් attack එකක් වගේම තමයි, මේක නිසා ඔයාව රෑකඩයක් වගේ පාලනය කරන්න හැකියාව අදාල attacker ට ලැබෙනවා. ඔයාට දැන් ඒක බොරුවක් වගේ හිතෙනවා ඇති නේද? හරි අපි තව විස්තර කරන් යමුකෝ.
Social engineering attacks වල ගොඩක් technology එකට වඩා විශ්වාස මත තමයි base වෙන්නේ. ඒ කියන්නේ ඔයා කාව හරි trust කරලා ඔයාගේ account details දුන්නොත් ඔයාට social engineering attacks එන්න තියෙන chance එක ගොඩක් වැඩී. ඒ කියන්නේ ඔයාගේ accounts වල details hacker කෙනෙක් ගාවට ගියාම ඔයා නොදැනුවත්වම ඔයාගේ accounts එයාට ඕනි විදියට පාලනය වෙනවා. දැන් ඔයා ඔයාට හිතෙනවා ඇති ඔයා කාටවත් accounts details දෙන්නේ නෑ. ඒ නිසා Social engineering attacks කොහොමත් ඔයාට එන්න බෑ කියලා. ඒත් ඔයා හිතනවට වඩා මේක ගොඩක් complex දෙයක්. දැන් අපි example එක්කම ඒ ගැන කතා කරමු.
දැන් කාලේ අපි ගොඩක් දේවල් කරන්නේ internet එකෙනේ. ඒ කියන්නේ online education , health වගේ හැම දේම. ඉතිං ඒ නිසාම අපි හිතන් නැති sides වලින් අපට social engineering attacks එන්න පුලුවන්. සරලම example එකක් කිව්වොත් ,ඔයා internet use කරන්කොට හරි ඔයාගේ WhatsApp එකට හරි message එකක් එනවා full body check up එක්ක discount එක්ක කරලා දෙනවා. ඒකට මේ link එකෙන් register වෙන්න කියලා.
ඉතිං ඔයා වැඩි විස්තර හොයන් නැතුව අර link එකා ගිහින් register වෙනවා. ඒකේ ඔයාගේ private details සේරම fill කරන්න තියෙනවා. ඒ කියන්නේ ඔයගේ full name, email, telephone, address වගේ දේවල්. මේවට අමතරව තව ඔයාගේ import document attached කරන්න කියලා තියෙන්නත් පුලුවන්. (Birth certificate , ID copy). ඔයා මේ advertisement එක trust කරලා මේ details සේරම submit කරනවා.
දැන් තමයි වැඩේ වෙන්නේ. දැන් ඔයාගේ privet details හැම දේම hacker ගාව තියෙනවා. ඉතිං දැන් එයාට ඔයාගේ details use කරලා ඔයා විදියට පෙනී ඉන්න පුලුවන්. ඒ කියන්නේ මෙහෙම දෙයක්. දැන් ඔයා අර details fill කරපු එකේ ඔයාගේ email එකත් fill කරානේ. Telephone number එකත් fill කරා. ඉතිං ඔයාට එක පාරටම call එකක් එන්න පුලුවන්. ඔයාගේ email එකට හරි phone එකට හරි දැන් opt එකක එයි. ඒක කියන්න කියලා. ඉතිං ඔයාට දැන් මේ ගැන හිතන්නවත් time එකක් නැහැ නේ. ඔයා line එකේ ඉන්න ගමන්ම opt එක hacker ට දෙනවා. ඔයා hacker ට OTP එක කිව්ව නිසා දැන් එයාට ඔයාගේ accounts වලට log වෙන්න පුලුවන්.
අනිත් වැදගත්ම දේ තමයි, hacker ට ඔයාගේ bank accounts වලට access වෙලා සල්ලි ගන්නත් හැකියාව තියෙනවා. මොකද මේ වෙද්දී ඔයාගේ email එක hack වෙලා ඉවරයි. ඔයගේ අනිත් privet details එහෙමත් hacker ගාව තියෙනවා. ඒ කියන්නේ birth certificate එක. ඔයාගේ address එක වගේ දේවල්. දැන් hacker ta පුලුවන් ඔයා වගේ පෙනී ඉදලා bank account එකෙන් payment එහෙමත් කරන්න. හදිසියෙන්වත් bank එකට සකයක් ඇවිල්ල ඔයාගේ birthday certificate එක ID එක වගේ දේවල් ඉල්ලුවත් ඔයා එවා hacker ට දුන්න නිසා hacker ට ඒවා bank එකට දෙන්නත් පුලුවන්.
Social engineering attacks වල main parts 5ක් තියෙනවා. දැන් අපි බලමු මොනවද ඒ parts කියලා.
Phishing
මොකක්ද මේ Phishing කියන්නේ? හරි ඔයා මෙහෙම හිතන්නකෝ ඔයාට online ඇදුමක් ගෙන්නන්න ආසාවක් ඇවිල්ලා ඔයා net එකේ search කරලා බලනවා online ඇදුම් delivery කරන තැන්. එහෙම search කරන්කොට ඔයා එහෙම clothes delivery කරන site එකක fb link එකක් දකිනවා. මේ link එක fb link එකක් වගේ තිබ්බට ඇත්ටටම fb link එකක් නෙවෙයි. ඒක hacker කෙනෙක් හදපු fake link එකක්. හැබැයි ඒක ඔයාට ඒක fake link එකක් කියලා අදුර ගන්න එක පාරට බෑ. ඉතිං ඔයා මේ link එකට ගිහින් username password දීලා log වෙන්වා. ඔන්න ඔතනදි hacker ඔයාගේ fb එකේ username password collect කර ගන්නවා.
ඒ වගේම තව phishing attack වලට් හේතුවක් තමයි, ඔයා download කරන mobile applications, desktop applications. ඔයා normally දන්නවා ඇති මේවා download කරාට පස්සේ ඔයාගෙන් call logs, camera, keyboard වලට access ඉල්ලනවා. ඉතිං ඔයා නිකමට හිතලා බැලුවද මේ මොකටද මේ access ඉල්ලන්නේ කියලා? මේ දේවල් වලිනුත් ඔයාව hack කරන්න හැකියාව තියෙනවා. ඒ නිසා ඔයා අනිවාර්යයෙන්ම app එකක access දෙන්න කලින් ඒක ගැන හිතන්න.
Spear phishing or whaling
Spear phishing, whaling මේ දෙකම එකක්ද? මොනවද මේවගේ වෙන්නේ?
මේ දෙකේම process එක එකයි. Spear phishing කියන්නේ personalized attack එකක්. ගොඩක් වෙලාවට මේ attack එක කරන්නේ තනි person කෙනෙක්, business එකක් නැත්නම් organization එකක් base කරලා. Whaling කියන්නෙත් Spear phishing වගේම process එකක්. හැබැයි මේක use කරන්නේ ගොඩක් famous අයව hack කරන්න. ඒ කියන්නේ politics කරන අය, actors ලා වගේ අය. හරි දැන් බලමු කොහොමද මේ process එක වෙන්නේ කියලා. Spear phishing, Whaling වල main process එක steps 4 ක් යටතේ වෙනවා.
1. Identify people
2. Collect information
3. Crafting attack
4. Stealing data
මේ steps 4 ට අනුව, Spear phishing සහ Whaling වලදී මුලින්ම attack එකට ලක් කරන කෙනාව හොදට identify කරන්න ඕනි. ඒ කියන්නේ individually attack කරන කෙනාව හොය ගන්න ඕනි. ( company එකක නම් manager) ඊලග step එක විදියට hack කරන්න ඉන්න කෙනාගේ details collect කර ගන්න ඕනි. ඒ කිව්වේ friend details, social media details, family details වගේ. Third step එක විදියට ඊලගට හොයා ගත්ත details වලට අනුව ඒ person ව hack කරන්න සුදුසු method එකක් හොයා ගන්න ඕනි. ( Email attacking).
Fourth step එක විදියට attack කරන්න ඉන්න කෙනාට, third step එකේදී හොයා ගත්ත attack method එක use කරලා attack කරන්න ඕනි. Example එකක් විදියට, your login password has expired, plz click on this for more details කියලා email එකක් යැව්වම attack එකට ලක් වෙන කෙනාව ලේසියෙන්ම අල්ල ගන්න පුලුවන්. මොකද අපි උනත් login password expired කියලා email එකක් ආවම එච්චර හිතන්නේ නෑනේ.
Baiting
මොකක්ද මේ Baiting කියන්නේ? Baiting කියන්නෙත් අපි කලින් කතා කරපු attacks වගේම social engineering attack එකක් කිව්වොත් හරියටම හරි. මේ attack එකටනම් සමහර විට ඔයා නොදැනුවත්වම අහු වෙලා ඇති. ඔයා දැකලා ඇති WhatsApp, Facebook වගේ social media වල
“ඔයාට phone එකක් TV එකක් gift එකක් විදියට ලැබිලා තියෙනවා. ඒක ගෙදරට එවන්න නම් ඔයාගේ details fill කරලා මේ link එකට RS 10000.00 deposit කරන්න. ” වගේ messages.
මේ වගේ messages වලින් එන attacks තමයි baiting කියලා කියන්නේ. ඔයාට gift එකක් හම්බු වෙලා කියලා message එකක් ආවම, ඇයි මට මේක හම්බු උනේ? කවුද මේක එවන්නේ වගේ details හොයන්නේ නෑනේ. ඉතිං මේ දේවල් වලින් attackers ලා ගොඩක් benefits ගන්නවා. ඒ නිසා ඔයා ඔයාගේ private details කොහේ හරි සදහන් කරනවා නම් දෙපාරක් හිතලා බලන්න.
Pretexting
ඊලගට අපි කතා කරන topic එක තමයි pretexting කියලා කියන්නේ. මේකෙදී වෙන්නේ මේ වගේ දෙයක්, හිතන්නකෝ ඔයා smart phone වලට ගොඩක් ආස කෙනෙක් කියලා. ඔය smart phones ගැන නිතර එක එක්කෙනාගෙන් අහලා බලනවා, google search කරනවා. මේ අතරේ කවුරු හරි ඔයාව hack කරන්න ඉන්නවා නම්, ඔයා smart phone ගැන ගොඩක් interest කියලා ඔයාගේ වැඩ වලින් ලේසියෙන්ම identify කර ගන්න පුලුවන්.
එහෙම ඔයා ආස දේවල් identify කර ගත්තට පස්සේ තමයි attacks pretexting method එක use කරන්නේ. Example එකක් විදියට ඔයා ABC කියන company එකේ ලගදි දවසක phone ගැන search කරා කියලා හිතන්න. ඔයාගේ activities follow කරන hacker ඊලගට ඔයාට call එකක් දෙනවා ABC company එක වගේ. මේ call එකෙන් තමයි hacker ඔයාගේ personal data ගන්නේ. ඒ ඔයාට හිතාගන්නවත් බැරි විදියට. Hacker call එකේ ඉන්න ගමන්ම ඔයා ඉන්න තැන, job එක, ඔයාගේ bank details වගේ දේවල් ඔයාට නොදැනුවත්වම අහන්න පුලුවන්. ඉතිං මේ වගේ calls වලට answer දෙද්දී ඔයා අනිවාර්යයෙන්ම පරිස්සම් වෙන්න.
ඒ විතරක් නෙවෙයි වැදගත්ම කාරනය තමයි මේ වගේ calls එද්දී අදාල company එකේ නමින්ම call එක එන එක තවත් hacking method එකක්. මොකද company name එකකින් save වෙච්චි call එකක් එද්දී ඔයා කවදාවත් සැක කරන් නෑනේ. ඒ නිසා මේ වගේ calls වලට answer දෙද්දී අනිවාර්යයෙන්ම පරිස්සම් වෙන්න.
Business email frauds
Social engineering types වල අපි කතා කරන last topic එක තමයි business email frauds කියලා කියන්නේ. මේ වෙද්දී ලෝකේ Cyber Security side එකේ තියෙන ගොඩක් ලොකු attack එකක් තමයි Business email frauds කියන්නේ.ඔයා මෙහෙම හිතන්නකෝ. Company එකක් තියෙනවා එකේ CEO ඉන්නවා, accountant ඉන්නවා. Company එකේ මොකක් හරි දේකට funds දෙනවා නම්, accountant CEO ට email කරලා, CEO email එක accept කරාම අදාලා payment වෙනවා. CEO සහ accountant අතරට hacker කෙනෙක් ආවොත් මොකද වෙන්නේ?
බැරි වෙලාවත් accountant ගේ email එක hack උනොත් hacker ට accountant විදියට ඉදලා fund transaction කරගන්න පුලුවන්. Company එක ඇතුලේ විතරක් නෙවෙයි company එකේ CEO සහ company එකට පිටින් invest කරන අය අතරෙත් මේ වගේ දේවල් වෙන්න පුලුවන්.
දැන් අපි බලමු social engineering attack අදුර ගන්නේ කොහොමද කියලා.
Social engineering attack එකක් ඔයාට email එකකින් වගේ වෙනවනම් ඒක ඔයා හිතන්නෙවත් නැති කෙනෙක් එවන email එකක් විදියට තමයි ඔයාට ලැබෙන්නේ. අපි මුලින්ම කතා කරානේ social engineering attacks කියන්නේ විශ්වාස මත පදනම් වෙච්චි attack එකක්. ඉතිං ඔයා office එකක වැඩ කරන කෙනෙක් නම් ඔයාගේ boss විදියට attacker කෙනෙක් email කරන්න පුලුවන්.
ඒ විතරක් නෙවෙයි අපි කලින් කතා කරා වගේ ඔයාට gift එකක් හම්බු වෙලා තියෙනවා, එහෙම නැත්නම් ඔයාගේ email එකේ password expires වෙලා වගේ ඔයා trust කරන message එවලා ඔයාට attack කර ගන්න ලේසියෙන්ම hacker කෙනෙක් පුලුවන්.
ඒ වගේම තමයි social engineering attack එකක් වෙනකොට attack එක කරන කෙන ඔයාගෙන් instant reply ගන්න try කරනවා. මොකද ඔයාට gift එකක් හම්බු උනා එහෙම නැත්නම් password reset කරන්න වගේ email ආවම ඔයා වැඩිය හිතන්න නැතුව ඉක්මනට reply කරනවා. ඉතිං මේ දේවල් වලින් protect වෙන්න නම්, ඔයා හදිසි තීරණ ගන්න එපා. හැම දේ ගැනම අවදානයෙන් ඉන්න.
දැන් අපි බලමු කොහොමද social engineering attacks වලින් protect වෙන්නේ කියලා.
Social engineering attacks ගත්තම ගොඩක් attacks වෙන්නේ නොදන්න links click කරන්න ගිහින්. ඒ නිසා ඔයා අනිවාර්යයෙන්ම email එකකින් එන link එකක් click කරන්න කලින් දෙපාරක් හිතන්න. ඒ වගේම තමයි මොකක් හරි site එකකට log වෙන්කොට ඒ site එක https වලින් secure වෙලා තියෙනවාද කියලත් බලන්න. මොකද සමහර වෙලාවට ඔයා WhatsApp වල Facebook වල දැකලා ඇති මේ link එකට ගියාම free data හම්බු වෙනවා වගේ message. ඇත්තටම මේ links හදලා තියෙන්නේ ඔයාට free data දෙන්න නෙවෙයි. මේ වගේ links click කරාම සමහර විට ඔයාව Facebook, වගේ site එකට link වෙන්න පුලුවන්. එහෙම වෙලාවට ඔයා වැඩිය හිතන්න යන්නේ නෑනේ. ඔයා username password දීලා log වෙනවා. ඔන්න ඕක තමයි ඔයාට වැරදුණු තැන. මොකද ඔයා ඔයාගේ username password දීලා තියෙන්නේ hacker කෙනෙක්ට. ඒ නිසා ඔයා site එකකට log වෙනකොට ඒකේ secure එක ගැන ගොඩක් හිතලා බලන්න.
ඒ වගේම තමයි අපි කලින් කතා කරානේ social engineering attacks වලදී එයලා අපට හිතන්න time දෙන්නේ නෑ. එයාලා අපෙන් ඉක්මනින් reply ගන්න තමයි try කරන්නේ. ඒ නිසා ඔයා අනිවාර්යයෙන්ම ඔයාගේ sensitive data add කරන්න කලින් දෙපාරක් හිතන්න. ඒ වගේම සමහර අවස්තා වල ඔයාව ලේසියෙන් attack කර ගන්න එක එක company වගේ මේ attackers ලා act කරනවා. එහෙම දේවල් ගැන සැකයක් ආවොත් ඔයා අනිවාර්යයෙන්ම අදාලා පාර්ශව එක්ක කතා කරලා මේ දේවල් ගැන දැන ගන්න. මේ දේවල් වලට අමතරව ඔයා ඔයාගේ lap එක phone එක නිතරම update කරලා තියාගන්න. මොකද මේ දේවල් නිසා ටිකක් හරි ඔයාලව safe වෙන්න පුලුවන්.