විදුසර සයිබර් වංචා ලිපි මාලාව - 3

 

සයිබර් වංචාවක තිරය පිටුපස කතාව

පෙර ලිපි දෙකින් අප සයිබර් වංචා පසුපස ක්‍රියාත්මක වෙන මනෝ විද්‍යාත්මක පසුබිම සහ සයිබර් අපරාධ මූලික වශයෙන් මොනවාද යන්න සාකච්ඡාවට ගත් බව ඔබට මතක ඇත. ඒ ලිපි වල අරමුණ වූයේ තාක්ශණික කටයුතුවලින් වියුක්තව මූලික අවබෝධයක් ලබා දීමය.

තෙවන ලිපියෙන් අප අද බලාපොරොත්තු වන්නේ, සයිබර් වංචාවක, තිරය පිටුපස ඔවුන් යොදා ගන්නා තාක්ශණික ක්‍රමවේද සම්බන්ධ හැඳින්වීමක් ඉදිරිපත් කිරීමය.

අප කලින් සඳහන් කල පරිදි, සයිබර් වංචාවක් පිටුපස ක්‍රියාත්මක වන්නේ මිනිස් සිතේ දුර්වලතාවයන් ඉතා ශූර ලෙස අවභාවිතා කරමින් සැලසුම් සහගත ලෙස ක්‍රියාවේ යොදවන සැලසුමකි.

එය මූලික වශයෙන් පියවර කිහිපයක් හරහා සිදුවෙයි.

1. මාන බැලීම (target selection)
ඔවුන් මුලින්ම සිදු කරන්නේ තමන්ගේ ගොදුර හඳුනා ගැනීමයි. ඉතා විශාල පිරිසක් ඉලක්ක කරන පුලුල් තතුබෑම් (phishing) උත්සාහයක සිට නිශ්චිතව හඳුනා ගෙන විශේෂ පුද්ගලයන් පසු පස හඹා ගොස් කරන හෙල්ලෙන් තතුබෑම (spear-phishing) දක්වා අඩු වැඩි වශයෙන් සිදු වන්නේ මෙයයි.

මෙහිදී සියලුම දේ විමසීමකින් තොරව අන්තර්ජාලයට එකතු කරනා අය විශේෂයෙන් සැලකිලිමත් විය යුතුය. තමන්ගේ උපන්දිනය, රැකියාවේ විස්තර, ලිපිනයන්, පිටරට යන දින, නවතින ස්ථාන ආදී සියල්ල පුරුද්දක් ලෙස, විශේෂයෙන් ෆේස්බුක් වැනි සමාජ ජාලා වලට එකතු කරන අය, අඩුම වශයෙන් ඒවා තමන්ගේ මිතුරන්ට පමණක්වත් පෙනෙන පරිදි privacy settings හරහා සීමා කල යුතු වෙනවා.
නවීන තාක්ශනය සමඟ, සයිබර් සොරුන්ට අන්තර්ජාලය හරහා රිංගා ගොස් ඔබගේ සියලු පෞද්ගලික විස්තර එකතු කරගෙන, ඔබ සම්බන්ධ යාවත්කාලීන වූ වාර්තාවක් ගැනීමට යන්නේ අසුරු සැණකි.

ඉතා මෑතක මා දන්නා වෛද්‍යවරයෙක්ට අයිති වෛද්‍ය ආයතනයක, එම වෛද්‍යවරයා ලෙසින් පෙනී සිටිමින්, එහි වැටුප් සම්බන්ධව කටයුතු කරන ලිපිකාරිනියට ‍යැවූ ඊමේල් එකකින් අලුත් බැංකු ගිනුමකට ඔහුගේ වැටුප හරවන ලෙස ඉල්ලීමක් කර තිබිණ. එය spear-phishing බව නොදැන, ඇය වෛදයවරයාගේ මසක වැටුප එම හොර ගිනුමට තැන්පත් කර තිබිණ. මේ ආයතනයේ සේවකයන්ගේ විස්තර ආදිය බොහෝ විට ඔවුන් සොයා ගන්නට ඇත්තේ වෛද්‍ය ආයතනයට අදාල Facebook පිටුව, Google පිටුව සහ Linkedin  හරහා විය යුතුය.

2. ඇම (bait) – initial contact
විස්තර එකතු කිරීමෙන් අනතුරුව, ඔවුන් පිවිසෙන්නේ දෙවැනි අදියරයටයි. අප එය ඇම ලෙසින් හඳුන්වමු. එහි බලාපොරොත්තුව එම ඇම හරහා යම්කිසි ක්‍රියාවක් සිදු කර ගැනීමටය. (designed to trigger a reaction). ඔබ නමවත් අසා නැති ලොතරැයියක් දිනු බව කියනා ඊමේල‍යක්, අතරමඟ නැවතුනු පාර්සලයක් සම්බන්ධ කෙටි පනිවිඩයක්, Whatsapp හරහා ලැබෙන විශාල ලාබ ලබාදෙන ක්‍රිප්ටො ආයෝජන සම්බන්ධ පනිවිඩයක් ආදියෙන් එකක් හෝ ඔබටත් ලැබී ඇතිවාට සැක නැත. මේ සම්බන්ධ මෑතක ලාංකීය උදාහරණයක් වන්නේ, සැකකටයුතු ගිනුම් ක්‍රියාකාරකම් නිසා ‘immediate verification’ ඉල්ලා සිටින, බැංකුවෙන් එවන ලෙස එවූ කෙටි පනිවිඩය.

පෙර ලිපියේ සඳහන් වූ social engineering උපක්‍රම යොදාගනිමින් ඔවුන් විශ්වාසනීයත්වය ඇති කර ගැනීම හරහා රැවටිමට අදාල පසුබිම් නිර්මාණය කර ගන්නේ මේ අදියරයේදීය. එම වංචාසහගත වෙබ් අඩවිය නිර්මාණය කර තිබෙන්නේම නිල වෙබ් අඩවිය අනුකරණය කරමින්, අපගේ ඇසට හුරු ලාංඡන (Logos, themes), වෙලඳ ලකුනු ආදිය යොදාගනිමිනි. දුරකථනය හරහා 'ඇම' ක්‍රියාත්මක කරන්නන්, ඉතා ව්ෘත්තීමය ලෙස බස හසුරවමින් විශ්වාසය ලබා ගැනීමට මනා පුහුනුව ලැබු අය වේ.

3. බිලී කොක්ක (hook) – demands action
වංචාකරුවා, ඔබව ගොදුරු කර ගන්නා මොහොත ඊලඟ අදියරයි. මෙය සයිබර් වංචාවේ බිලී කොක්ක මොහොතයි. හොර වෙබ් අඩවියට ඔබේ පුද්ගලික හෝ මූල්‍ය විස්තර ලබා දීම, යම් ගෙවීමක් සිදු කිරීම, දුරකථන ඇමතුමේ සිටින පුද්ගලයාට ඔබේ පරිඝනකය දුරස්ථ පාලනයට ගැනීමට ඉඩ දීම, යම් ගොනුවක් භාගත කිරීම ආදිය හරහා සිදුවන්නේ අප ඔවුන්ගේ ඇම ගිලිමින්, බිලී කොක්කට නතු වීමයි. උදාරහරණයක් ලෙස, ව්‍යාජ ණය පහසුකමක් වෙනුවෙන්, 'සැකසුම් ගාස්තු' (processing fees) ඉල්ලා සිටි අවස්ථා ගැන ලංකාවේ මාධ්‍ය වාර්තා කර තිබුනි.

5.  ගොදුරු වීම - exploitation
අප මුල් ලිපියෙන් සාකච්ඡා කල, මිනිස් සිතේ සංජාණන පක්ශපාතකම් (cognitive biases) හරහා හදිසිය, බිය ආදී දුර්වලතාවයන් ක්‍රියාත්මක වී වංචාව සම්පූර්ණ වීම සිදු වන්නේ මේ අවස්ථාවේදීය.
ඒ හරහා මුදල් නැති වීම, පෞද්ගලික විස්තර සොරකම් කිරීම හරහා අනන්‍යතා සොරකම් සිදුවීම හෝ අපගේ උපාංගයන් malware වලට ගොදුරු වීම ආදිය සිදුවේ.

කෙටි පනිවිඩ තාක්ශණයේ දැනට පවතින දුර්වලතාවයක් වන්නේ නිල ආයතනයට සමාන නමකින් (උදා: BOC-Alert, SLT-Notice) කෙටි පනිවිඩ එවීමේ හැකියාවය (spoofed messages appearing to come from legitimate senders). ඔස්ට්‍රේලියාවේ පවා මේ සම්බන්ධව තාක්ශණික සහ නෛතික මට්ටමෙන් ක්‍රියාත්මක වී මෙය පාලනය කිරීමට හැකි වූයේ ඉතා මෑතකයි. නමුදු දැනටද ඒ තාක්ශණයේ සිදුරු හරහා යෑම අපට විටින් විට දකිනට ලැබේ.

තාක්ශණික ක්‍රම වේදයන් හරහා මෙම වංචා යම් තරමකට නැවතිය හැකි වුවද, කිසි විටෙක 100% එය සාර්ථක නොවේ.
අප ඉදිරි ලිපියෙන් සාකච්ඡා කිරීමට බලාපොරොත්තු වන්නේ, සයිබර් අපරාධ කරුවන් තාක්ශණික රැහැන් මඟ හැරයන උපක්‍රම (evasion techniques) පිලිබඳවය.