විදුසර සයිබර් වංචා ලිපි මාලාව - 4

 

How Scammers Evade Detection

මෙතරම් දියුණු තාක්ශණික ආරක්ශණ ක්‍රමවේදයන් පවතින අද දවසේ, සයිබර් අප‍රාධකරුවන් සම්පූර්ණයෙන්ම නවත්වන්න බැරිද? සමහර විට ඔබ කල්පනා කරනවා ඇති.

සයිබර් ආරක්ශණ ක්‍රම වේදයන් දිනෙන් දින දියුණු වෙනවා සේම, සයිබර් අපරාධකරුවන්ද, තාක්ශණයේ දියුනුව ඔවුන්ගේ කූට අභිප්‍රායයන් වෙනුවෙන් යොදාගන්නවා. ආරක්ශා කිරීමට සාපේක්ශව හොරෙන් රිංගා යාම, විනාශ කිරීම පහසුයි. උදාහරණයක් විදියට, ඔබේ නිවස ඉතා ශක්තිමත් වැටක් යොදාගෙන ආරක්ශා කරනවා නම්, එහි සෑම අඟලක්ම එක ලෙසින් ශක්තිමත් කිරීමේ අභියෝගාත්මක කාර්‍යභාර්ය ඔබ සතු වුවද, වැටෙන් රිංගන්නට උත්සාහ ගන්නා සොරෙකුට අවශ්‍ය වන්නේ, වැටේ එක දුර්වල තැනක් සොයාගැනීම පමණයි.

අද දවසේ අපි සාකච්ඡා කරන්නේ සයිබර් අපරාධකරුවන් වංචා හසුකරගැනීම මඟහරවා ගන්නා ක්‍රමවේද (Evasion Tricks) සම්බන්ධවයි.

සයිබර් වෘත්තිකයෙක් ලෙසින් මෙම සංකීර්ණ මඟහැරීමේ ක්‍රමවේදයන් මා දිනපතා දකිනවා. එනිසා මේ සම්බන්ධව උනන්දුවක් දක්වන අය වෙනුවෙන් එවැනි ක්‍රමවේදයන් නවත්වන්නට අප ගන්නා ක්‍රි‍යාමාර්ගත් සඳහන් කරන්නට බලාපොරොත්තු වෙනවා.


1. Delayed Weaponization
ආරක්ශිත ගේට්ටුව හරහා හාවෙක් ලෙසින් ඇතුලු වී ඇතුලෙදි කොටියෙක් බවට පරිවර්තනය වීම වැනි උදාහරණයකින් මෙය සරලව තේරුම් ගත හැකිය. වංචනිකයා ඊමේල් එක හෝ SMS එක යවද්දී එහි අන්තර්ගත ලින්ක් එක යොමුවන්නේ හානියෙන් තොර වෙබ් පිටුවකටය. විනාඩි කිහිපයක් ඇතුලත, එම 'අහිංසක' පිටුව වෙනුවට මතුවන්නේ හානිකර පිටුවකි.

නව තාක්ශණික ක්‍රමවේද හරහා, මුලින් හානිකර නොවූ ලෙසින් සටහන් වූ පිටු scanning හරහා පසුව හානිකර දේ අඩංගු බවට සොයාගැනීමේ හැකියාව ඇතත්, ඒවා යවත්කාලීන (update) වෙන කාලය තුල, අවබෝධයෙන් තොර කෙනෙක් මේ හරහා අනතුරට පත්වන්න ඉඩ තිබෙනවා.


2. CAPTCHA Challenge
 ඔබ සමහර පිටුවලට යද්දි, එම පිටුවල ආරක්ශාව වෙනුවෙන් ඔබ ඇත්තටම මිනිසෙක්ද යන්ත්‍රයක්ද යන්න සොයා ගැනීම වෙනුවෙන් “I’m not a robot”/”Are you a human?” අභියෝග ඔබ වෙත ලබා දෙනු ඇත. සයිබර් වංචනිකයන්ට තිබෙන ලොකුම හිසරදය තමා ස්ව්‍යංක්‍රීය scanners විසින් ඔවුන්ගේ හොර වෙබ් අඩවිය පරීක්ශා කිරීම. මේ ක්‍රමවේදය භාවිතා කරමින් ඔවුන්ට බොහෝ විට මින් රිංගා යා හැකිය.

මෙයට ප්‍රතිකර්මයක් ලෙසින් අප ආරක්ශණය හුදු ස්ව්‍යංක්‍රීය ක්‍රියාවලියක් නොකොට, එයට අමතර තට්ටුවක් ලෙසින් මිනිස් විමසීම (human review/manual investigation) එක් කරනවා.

3. Location Locking (Geo-Fencing)
මෙහිදී සයිබර් අපරාධකරුවන් වෙබ් අඩවිය එය නරඹන රටට අනුව, එහි අන්තර්ගතය වෙනස් කරයි. උදාහරණ‍යක් ලෙසින් එය ලංකාවට හොර ආයෝජන පිටුවක් පෙන්වා ඒ හරහා ලාංකිකයන් රවටන අතරේ, අනික් රටවලට සංචාරක පිටුවක් පෙන්විය හැකිය.
මේ හරහා නිරන්තර වෙබ් අඩවි පරීක්ශා කරන global security tools මඟ හැර යන අතර, වෙබ් අඩවිය ගැන ලංකාවෙන් එය ලියාපදිංචි කල රටේ අදාල registrar වෙත පැමිනිලි කරද, ඔවුන්ට එහි කිසිම වංචනික දෙයක් සොයා ගත නොහැකි වීම නිසා එම take down ඉල්ලීම නිශ්ප්‍රභා වීම බොහෝ විට සිදුවේ.
මෙයට විරුද්ධව අප regional targeting හසු කර ගැනීමට හැකි වන පරිදි ගෝලීය ජාලයක් හරහා පරීක්ශා කිරීම කල හැකි මෙවලම් භාවිතා කරනවා.

4. Device-Based Deception
මෙය බොහෝ විට භාවිතා වන්නේ SMS හරහා එන තතුබෑම් උත්සාහයන් වෙනුවෙනි. දිගුව ජංගම දුරකථන‍යක් හරහා click කල විට එය හානිකර වෙබ් අඩවියක් වෙත යොමු වුවද, සාමාන්‍ය පරිගනකයකදී එය පෙන්වන්නේ හානිකර නොවූ පිටුවකි. බොහෝ ස්ව්‍යංක්‍රීය සාම්ප්‍රදායික ආරක්ශන මෙවලම් මේ හරහා ඔවුන්ට මඟ හැර යාහැකි වුවද, අප භාවිතා කරන සුවිශේෂ පද්ධති හරහා දුරකථන, ටැබ්ලට්, පරිඝනක ආදී පද්ධතීන් අනුකරණය කල හැකි පහසුකම් හරහා මේවා නවතාලිය හැකිය. නමුත් සයිබර් ආරක්ශනය හැම රටකම, ආයතනයකම එක ලෙසින් දියුනු නැති අවසරය තුල ඔවුන්ට මේ උපක්‍රම හරහා සැලකිය යුතු හානියක් කල හැකි වේ.

5. Cloaking
සයිබර් වංචාද එක්තරා ආකාරයකින් හොරා පොලිස් සෙල්ලමකි. වංචාවලට වැට බඳින ගෝලීය ආරක්ශණ පද්ධති සහ ඒවා ක්‍රියාත්මක වෙන ජාලයන් සහා ජාල ලිපිනයන් (IP address ranges), ඉතා සුපරීශාකාරීව හඳුනා ගන්න සයිබර් හොරුන්, එම පද්ධතිවලට හොඳ මුහුන (හානිකර නොවූ වෙබ් අඩවියක්) පෙන්වා, තමන් ඉලක්ක කරන අය වෙනුවෙන් හානිකර වෙබ් අඩවියක් ඉදිරිපත් කරයි.
බොහෝ විට අපට වංචනික වෙබ් අඩවි වාර්තා කරන්නන්, එම අඩවියේ පින්තූරයක් (screenshot) ඒ සමඟ එවන නිසා, ඒවා වාර්තා වූ සැණින් ඒ හරහා මෙම අඩවි සම්බන්ධව ගෝලීය ජාලවලට ඔත්තු සැපයීම (threat intel) සහ ඒවා අඩපණ කිරීමට අවශ්‍ය ක්‍රියාමාර්ග ගත හැකි වෙනවා.

6. Short-Lived Domains
සමහර වංචනික වෙබ් අඩවි ක්‍රියාත්මක වන්නේ පැය කිහිපයකට පමණි. ඔවුන්ට මිනිසුන් රැවටීමට එය අවශ්‍ය වන්නේ කෙටි කාලයකි. කාරිය කෙරුනු පසු ඔවුන් එම අඩවිය වසා දමයි. මේ හරහා, එය වාර්තා වී ඒ ගැන සොයා බැලීමට හෝ එම අඩවියට විරුද්ධව ක්‍රියාමාර්ග ගැනීමේ ඉඩ වසා දැමෙනවා.
මේ උත්සාහයන් කලින්ම හඳුනා ගැනීමේ ක්‍රමවේද පවතී. අදාල සේවා ස්ථානයේ හෝ brand එකට සමාන නමකින් වෙබ් අඩවියක් ලියාපදිංචි කිරීමේදී ඒවා එසැනින් අප වෙත වාර්තා වෙනවා. ඊට අමතරව හඳුනාගත් වංචනික රටාවන් (scam kits) ස්වයංක්‍රීයව අන්තර්ජාලය හරහා පීරා ගොස් සොයාගෙන ඒවා අපට වාර්තා කල හැකි සුවිශේෂ URL scan මෙවලාංග පවතී. ඒ හරහා සමහර අවස්ථාවලදී වංචාව ක්‍රියාත්මක වීමට කලින්ම එම අඩවි වසා දැමීමටද අපට හැකියාව ලැබුනු අවස්ථාද තිබෙනවා.

ඔබ සිටින්නේ තාක්ශණයට ඉහලිනි
සියයට සීයක් මෙම වංචා හුදු තාක්ශණික ක්‍රමවේද මඟින් පමණක් නවත්විය නොහැක්කේ මන්ද යන්න ගැන දැන් ඔබට යම් අවබෝධයක් මින් ලැබෙන්නට ඇතැයි විශ්වාස කරමි.
වංචාවක් දුටු සැණින් ඒවා අදාල ආයතනවලට වාර්තා කරන්න. ඒ හරහා සයිබර් වෘත්තිකයන්ට   ඒ සම්බන්ධයෙන් ක්‍රියාත්මක විය හැකිය. ඒ සමඟ අනෙක් අයද දැණුවත් කරන්න.

සයිබර් වංචාවලට එරෙහිව සටනේ බර අවිය වන්නේ තාක්ශණය නොවේ. ඒ සම්බන්ධ අවබෝධය සහ දැණුවත්කමය. ඔබ ද අනෙක් අය දැනුවත් කරමින් ඒ සටනට එක් වී ශ්‍රී ලාංකීය සහ ගෝලීය ප්‍රජාවන් සයිබර් අපරාධකරුවන්ගෙන් ආරක්ශා කරන්නට පෙරමුණ ගන්නා මෙන් යෝජනා කරමි.

විදුසර සයිබර් වංචා ලිපි මාලාව - 3

 

සයිබර් වංචාවක තිරය පිටුපස කතාව

පෙර ලිපි දෙකින් අප සයිබර් වංචා පසුපස ක්‍රියාත්මක වෙන මනෝ විද්‍යාත්මක පසුබිම සහ සයිබර් අපරාධ මූලික වශයෙන් මොනවාද යන්න සාකච්ඡාවට ගත් බව ඔබට මතක ඇත. ඒ ලිපි වල අරමුණ වූයේ තාක්ශණික කටයුතුවලින් වියුක්තව මූලික අවබෝධයක් ලබා දීමය.

තෙවන ලිපියෙන් අප අද බලාපොරොත්තු වන්නේ, සයිබර් වංචාවක, තිරය පිටුපස ඔවුන් යොදා ගන්නා තාක්ශණික ක්‍රමවේද සම්බන්ධ හැඳින්වීමක් ඉදිරිපත් කිරීමය.

අප කලින් සඳහන් කල පරිදි, සයිබර් වංචාවක් පිටුපස ක්‍රියාත්මක වන්නේ මිනිස් සිතේ දුර්වලතාවයන් ඉතා ශූර ලෙස අවභාවිතා කරමින් සැලසුම් සහගත ලෙස ක්‍රියාවේ යොදවන සැලසුමකි.

එය මූලික වශයෙන් පියවර කිහිපයක් හරහා සිදුවෙයි.

1. මාන බැලීම (target selection)
ඔවුන් මුලින්ම සිදු කරන්නේ තමන්ගේ ගොදුර හඳුනා ගැනීමයි. ඉතා විශාල පිරිසක් ඉලක්ක කරන පුලුල් තතුබෑම් (phishing) උත්සාහයක සිට නිශ්චිතව හඳුනා ගෙන විශේෂ පුද්ගලයන් පසු පස හඹා ගොස් කරන හෙල්ලෙන් තතුබෑම (spear-phishing) දක්වා අඩු වැඩි වශයෙන් සිදු වන්නේ මෙයයි.

මෙහිදී සියලුම දේ විමසීමකින් තොරව අන්තර්ජාලයට එකතු කරනා අය විශේෂයෙන් සැලකිලිමත් විය යුතුය. තමන්ගේ උපන්දිනය, රැකියාවේ විස්තර, ලිපිනයන්, පිටරට යන දින, නවතින ස්ථාන ආදී සියල්ල පුරුද්දක් ලෙස, විශේෂයෙන් ෆේස්බුක් වැනි සමාජ ජාලා වලට එකතු කරන අය, අඩුම වශයෙන් ඒවා තමන්ගේ මිතුරන්ට පමණක්වත් පෙනෙන පරිදි privacy settings හරහා සීමා කල යුතු වෙනවා.
නවීන තාක්ශනය සමඟ, සයිබර් සොරුන්ට අන්තර්ජාලය හරහා රිංගා ගොස් ඔබගේ සියලු පෞද්ගලික විස්තර එකතු කරගෙන, ඔබ සම්බන්ධ යාවත්කාලීන වූ වාර්තාවක් ගැනීමට යන්නේ අසුරු සැණකි.

ඉතා මෑතක මා දන්නා වෛද්‍යවරයෙක්ට අයිති වෛද්‍ය ආයතනයක, එම වෛද්‍යවරයා ලෙසින් පෙනී සිටිමින්, එහි වැටුප් සම්බන්ධව කටයුතු කරන ලිපිකාරිනියට ‍යැවූ ඊමේල් එකකින් අලුත් බැංකු ගිනුමකට ඔහුගේ වැටුප හරවන ලෙස ඉල්ලීමක් කර තිබිණ. එය spear-phishing බව නොදැන, ඇය වෛදයවරයාගේ මසක වැටුප එම හොර ගිනුමට තැන්පත් කර තිබිණ. මේ ආයතනයේ සේවකයන්ගේ විස්තර ආදිය බොහෝ විට ඔවුන් සොයා ගන්නට ඇත්තේ වෛද්‍ය ආයතනයට අදාල Facebook පිටුව, Google පිටුව සහ Linkedin  හරහා විය යුතුය.

2. ඇම (bait) – initial contact
විස්තර එකතු කිරීමෙන් අනතුරුව, ඔවුන් පිවිසෙන්නේ දෙවැනි අදියරයටයි. අප එය ඇම ලෙසින් හඳුන්වමු. එහි බලාපොරොත්තුව එම ඇම හරහා යම්කිසි ක්‍රියාවක් සිදු කර ගැනීමටය. (designed to trigger a reaction). ඔබ නමවත් අසා නැති ලොතරැයියක් දිනු බව කියනා ඊමේල‍යක්, අතරමඟ නැවතුනු පාර්සලයක් සම්බන්ධ කෙටි පනිවිඩයක්, Whatsapp හරහා ලැබෙන විශාල ලාබ ලබාදෙන ක්‍රිප්ටො ආයෝජන සම්බන්ධ පනිවිඩයක් ආදියෙන් එකක් හෝ ඔබටත් ලැබී ඇතිවාට සැක නැත. මේ සම්බන්ධ මෑතක ලාංකීය උදාහරණයක් වන්නේ, සැකකටයුතු ගිනුම් ක්‍රියාකාරකම් නිසා ‘immediate verification’ ඉල්ලා සිටින, බැංකුවෙන් එවන ලෙස එවූ කෙටි පනිවිඩය.

පෙර ලිපියේ සඳහන් වූ social engineering උපක්‍රම යොදාගනිමින් ඔවුන් විශ්වාසනීයත්වය ඇති කර ගැනීම හරහා රැවටිමට අදාල පසුබිම් නිර්මාණය කර ගන්නේ මේ අදියරයේදීය. එම වංචාසහගත වෙබ් අඩවිය නිර්මාණය කර තිබෙන්නේම නිල වෙබ් අඩවිය අනුකරණය කරමින්, අපගේ ඇසට හුරු ලාංඡන (Logos, themes), වෙලඳ ලකුනු ආදිය යොදාගනිමිනි. දුරකථනය හරහා 'ඇම' ක්‍රියාත්මක කරන්නන්, ඉතා ව්ෘත්තීමය ලෙස බස හසුරවමින් විශ්වාසය ලබා ගැනීමට මනා පුහුනුව ලැබු අය වේ.

3. බිලී කොක්ක (hook) – demands action
වංචාකරුවා, ඔබව ගොදුරු කර ගන්නා මොහොත ඊලඟ අදියරයි. මෙය සයිබර් වංචාවේ බිලී කොක්ක මොහොතයි. හොර වෙබ් අඩවියට ඔබේ පුද්ගලික හෝ මූල්‍ය විස්තර ලබා දීම, යම් ගෙවීමක් සිදු කිරීම, දුරකථන ඇමතුමේ සිටින පුද්ගලයාට ඔබේ පරිඝනකය දුරස්ථ පාලනයට ගැනීමට ඉඩ දීම, යම් ගොනුවක් භාගත කිරීම ආදිය හරහා සිදුවන්නේ අප ඔවුන්ගේ ඇම ගිලිමින්, බිලී කොක්කට නතු වීමයි. උදාරහරණයක් ලෙස, ව්‍යාජ ණය පහසුකමක් වෙනුවෙන්, 'සැකසුම් ගාස්තු' (processing fees) ඉල්ලා සිටි අවස්ථා ගැන ලංකාවේ මාධ්‍ය වාර්තා කර තිබුනි.

5.  ගොදුරු වීම - exploitation
අප මුල් ලිපියෙන් සාකච්ඡා කල, මිනිස් සිතේ සංජාණන පක්ශපාතකම් (cognitive biases) හරහා හදිසිය, බිය ආදී දුර්වලතාවයන් ක්‍රියාත්මක වී වංචාව සම්පූර්ණ වීම සිදු වන්නේ මේ අවස්ථාවේදීය.
ඒ හරහා මුදල් නැති වීම, පෞද්ගලික විස්තර සොරකම් කිරීම හරහා අනන්‍යතා සොරකම් සිදුවීම හෝ අපගේ උපාංගයන් malware වලට ගොදුරු වීම ආදිය සිදුවේ.

කෙටි පනිවිඩ තාක්ශණයේ දැනට පවතින දුර්වලතාවයක් වන්නේ නිල ආයතනයට සමාන නමකින් (උදා: BOC-Alert, SLT-Notice) කෙටි පනිවිඩ එවීමේ හැකියාවය (spoofed messages appearing to come from legitimate senders). ඔස්ට්‍රේලියාවේ පවා මේ සම්බන්ධව තාක්ශණික සහ නෛතික මට්ටමෙන් ක්‍රියාත්මක වී මෙය පාලනය කිරීමට හැකි වූයේ ඉතා මෑතකයි. නමුදු දැනටද ඒ තාක්ශණයේ සිදුරු හරහා යෑම අපට විටින් විට දකිනට ලැබේ.

තාක්ශණික ක්‍රම වේදයන් හරහා මෙම වංචා යම් තරමකට නැවතිය හැකි වුවද, කිසි විටෙක 100% එය සාර්ථක නොවේ.
අප ඉදිරි ලිපියෙන් සාකච්ඡා කිරීමට බලාපොරොත්තු වන්නේ, සයිබර් අපරාධ කරුවන් තාක්ශණික රැහැන් මඟ හැරයන උපක්‍රම (evasion techniques) පිලිබඳවය.

විදුසර සයිබර් වංචා ලිපි මාලාවේ දෙවැන්න..

 

Unedited draft below.

පසුගිය ලිපියෙන් අප සාකච්ඡා කලේ සයිබර් හෝ ඕනෑම වංචාවකට නතු වීම ආශ්‍රිතව ක්‍රියාත්මක වෙන මනෝ විද්‍යාත්මක පසුබිම පිලිබඳවය. අප පැහැදිලි කරේ, සයිබර් අපරාධකරුවන් ඉතා සූක්ශමව යොදා ගන්නා, මිනිස් සිතේ නිසඟයෙන්ම අන්තර්ගත සංජානන පක්ශපාතකම් (cognitive biases) මොනවාද යන්නය.

එම කාරනා සාරාංශගත කරහොත්,  මිනිසා ස්වභාවිකවම  අනෙකා අවංක බවට විශ්වාස කිරීම (Truth default bias),  තමන් අවට සිදුවන නරක/අහිතකර දේ තමන්ට නොවෙනු ඇති බවට උපකල්පනය කිරීම (Optimism bias), තමන් විශ්වාස කරන දේට එකඟ වෙන කාරනා වලට කැමැත්තක් ඇතිවීම (Confirmation bias), පොලීසිය, නීතිය වැනි බලාධිකා‍රයන් හෝ එවැනි ආයතනයන් වෙත ස්වභාවිකව කීකරු වීම (Authority bias), යමක් විරල හෝ ඉක්මනින් නැති වේ යැයි සිතෙන අවස්ථාවල, කලබලයෙන් ඒ දේ/අවස්ථාව ලබා ගැනීමට පෙලඹීම (scarcity) ආදී නිසඟ පක්ශපාතකම්, අප සයිබර් අපරාධ වලට ගොදුරු වීමේ අවකාශයන් විවර කරනවා. එම විශ්වාසයේ අවකාශය, රැවටීමේ දඩබිමයි. ("රැවටුනා නොවෙයි මෙමා, විශ්වාස කළා")

මෙම ලිපියෙන් අපි සාකච්ඡා කරන්නේ සයිබර් අපරාධ මුලික වශයෙන් මොනවාද යන්නයි. ඊලඟ ලිපියෙන් මේ ආශ්‍රිතව ඔවුන් යොදාගන්නා තාක්ශණික ක්‍රමවේදයන් ගැන අවධානය යොමු කිරීමට බලාපොරොත්තු වෙන නිසා, මෙම ලිපියේදී හැකි තරම් තාක්ශණික කරුනුවලින් වියුක්තව, සරලව මේ සයිබර් වංචා හැඳින ගැනීමක් පමණක් මුඛ්‍ය අරමුන වෙනු ඇත.

1. තතුබෑම් (Phishing) - මේ වචනය නිර්මාණය වන්නේ මසුන් ඇල්ලීම සඳහා බිලීබෑමට සමාන අයුරකින් වංචාකරුවන් ඔබගේ  සංවේදී පුද්ගලික දත්ත, මුරපද (passwords) , ගිනුම්, ක්‍රෙඩිට් කාඩ් විස්තර ආදිය සොරා ගැනීමය. මෙය ඉතා බහුලව භාවිතා වීමට හේතුවක් වන්නේ බොහෝ දෙනෙක් මෙයට නතුවන නිසාය.

බොහෝ විට බැංකු, වෙනත් වානිජ ආයතන නියෝජනය කරනවා සේ හැඟී යන පරිද්දෙන් (impersonation), SMS, Email, Whatsapp හෝ Messenger වැනි සමාජ මාධ්‍ය chat හරහා එවන බොරු පනිවිඩ (fake messages) එම අදාල ාඅයතනයේ වෙබ් අඩවියට අතිශය සමාන වෙබ් අඩවියක් වෙත ඔබව පිවිසෙන්නට සලස්වයි. මේ අඩවි නිර්මාණය කර ඇත්තේම එයට පිවිසෙන ඔබ එයට ඇතුල් කරන දත්ත සොරාගැනීම වෙනුවෙන්මය.

උදාහරණයක් ලෙස, ලංකාවේ මෑතක වාර්තා වූ වංචාවක, එක්තරා බැංකුවක් එවූ ලෙස පෙන්වූ පනිවිඩයක, අදාල ග්‍රාහයකායගේ බැංකු ගිනුම හැක් වීමකට ලක් වී ඇති බවත්, එය නිවැරදි කර ගැනීමට, පනිවිඩයේ සඳහන් දිගුව (link) click කරන ලෙස සඳහන් වී තිබින. එය click කිරීමේදී, ඔබ පිවිසෙන අඩවිය, බැංකුවේ නිල අඩවියට අතිශයින්ම සමාන වුවද, ඉතා පරීක්ශාවෙන් එහි වෙබ් ලිපිනය බලද්දී, එය බැංකුවේ නිල වෙබ් ලිපිනය නොවන බව හඳුනාගත හැක.

 

2. මාර්ගතගත සාප්පු සවාරි වංචා (Online Shopping scams) - ලංකාවේ මේ වංචාව බහුලව දැකිය හැක්කේ Facebook Marketplace හෝ ikman.lk වැනි විකුනුම්/මිලදීගැණීම් වේදිකාවන්හිදීය. අදහාගත නොහැකි අඩු මිලට බොහෝ විට දකින්නට ලැබෙන වෙලඳ දැන්වීම් පසු පස ඇත්තේ ඉතා හදිසියේ ඔවුන් වෙතින් ඉල්ලා සිටින ගෙවීම් ය. ගෙවීමෙන් පසු සමහර විට බාල හෝ ව්‍යාජ අනුකාරක (counter-feit) ලැබෙන්නට ඉඩ ඇත. සමහර අවස්ථාවල නිල නොවන ගෙවීමක් ලබා ගන්නා වංචාකරු අතුරුදහන් වීම දක්නට ලැබේ.

ඔස්ට්‍රේලියාවේ මෑතක ඉතා ශීග්‍රයෙන් පැතිරගිය Facebook Marketplace වංචාවක් වුයේ, යමක් විකුණන අය වෙත එය මිලදී ගැණීමට උනන්දු වෙන ගැණුම්කරුවෙකු ලෙසින් ලඟා වෙන වංචාකරු, තමන් එයට අදාල මුදල සහ තැපැල් ගාස්තු ගෙවා ඇති බවත්, එය ලබා ගැනීමට ඔවුන් ව්‍යාජ Australia Post වෙබ් අඩවියකට පිවිසවා ඒ හරහා ඔවුන්ගේ බැංකු ප්‍රවේශ විස්තර හෝ කාඩ්පත් විස්තර සොරකම් කිරීමය.

 

3. ලොතරැයි හෝ ත්‍යාග වංචා (Lottery and Prize scams)

බොහෝ විට SMS හෝ WhatsApp හරහා එන පනිවිඩයේ සඳහන් වන්නේ, ඔබ යම්කිසි ලොතරැයියක් හෝ විසල් ත්‍යාග මුදලක් දිනා ඇති බවත්, එය ලබා ගැණීමට නම් (processing/taxes/shipping) වැනි කාරනාවක් වෙනුවෙන් යම්කිසි පෙර ගෙවීමක් කිරීමට ඇති වගයි. සාමාන්‍යයෙන් නිල ලොතරැයි හෝ ප්‍රමුඛ තරඟවල, එලෙසින් කිසි විටෙක මූලික ගෙවීමක් ඉල්ලා නොසිටින බව දැණුවත්ව සිටීම මේ වංචාවට නතු නොවීමට හේතුවනු ඇත.

4. ආයෝජන වංචා (Investment scams):  ඩිජිටල් වත්කම් සම්බන්ධ උනන්දුව ඉහල යාමත් සමඟ, විශේෂයෙන්ම crypto currency ආශ්‍රිත ආයෝජන වංචා ඉහල යාමක් දකින්නට ලැබේ. ව්‍යාජ online trading platforms හෝ ඇත්තට නොපවතින ආයෝජන ව්‍යාප්ෘති (non-existent investment schemes) වෙනුවෙන්, ඉතා ඉහල ප්‍රතිපාදන ලබා දෙන නමුත් කිසිදු අවදානමක් නැති හෝ අවම අවධානමක් නැති ලෙස ඔවුන් පෙන්වන ආයෝජන වංචා වෙත  ආයෝජකයන් ආසක්ත කර ගැනීම මෙහි අරමුණයි.

 

5.  තාක්ෂණික සහාය වංචා (Tech Support scams)
ඔබට ලැබෙන බලාපොරොත්තු නොවු දුරකථන ඇමතුමක් හෝ යම් අඩවියක් වෙත පිවිසීමේදී එහි මතු වූ පනිවිඩයක් (pop-up browser warnings) හරහා පැවසුනේ ඔබගේ පරිගනකයට වයිරසයක් ඇතුලු වී ඇති බව හෝ ඔබගේ ගිනුමේ ප්‍රශ්නයක් ඇති බවයි. ඇත්තටම මේ මොහොතේදී ඔබේ පරිගණකයේ හෝ ගිනුමේ කිසිදු ගැටලුවක් නොමැත. නමුත් බොහෝ විට දුරකථනය හරහා ශූර ලෙසින් ඔවුන් ඔබව එලෙසින් ගැටලුවක් ඇති බව හුවා දක්වා, ඔබගේ පරිගණකයට දුරස්ථව ඇතුවීම සඳහා ඔබගේ අවසරය පතා සිටී. එම සම්බන්ධය ලබා දුන් සැණින් ඒ හරහා පරිගණකයට අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීම (malware install), පුද්ගලික දත්ත සොරකම් කිරීම හෝ ව්‍යාජ 'සේවාවකට' මුදල් අය කිරීම් වැනි වංචාවකට ඔවුන්ට ඉඩ විවර වේ.

මීට අමතරව වෙනත් වංචාවන් ද දක්නට ලැබුනත්, ඉහත වංචාවන් විශේෂයෙන් සඳහන් කලේ ශ්‍රී ලංකාවේ බහුලව දක්නට ලැබෙන වංචාවන් මේ කාන්ඩයන්ට අයත් නිසාවෙන් සහ මූලික වශයෙන් වෙනත් වංචාද මේ මූලික රැවටීමේ ක්‍රමවේදයන්ට අනුගත වෙන බැවිනි.

අවසාන වශයෙන් සිහි කටයුතු කාරනාව නම්, සයිබර් වංචාකරුවන්  සිතේ අඩුපාඩු ඉලක්ක කරමින් (exploiting psychological vulnerabilities), විවිධ මාධ්‍ය සහ සන්නිවේදන ක්‍රමවේද  හරහා ඔබව රැවටීමට උත්සාහ ගන්නා බවයි. ඔවුන්ගේ වංචා විධි ක්‍රම, රටා ගැන සබුද්ධිකව සහ විමසීලිමත්ව සිටීමෙන් ඔවුන්ට ගොදුරුවීමෙන් වැලකී සිටීමට යම් අවකාශයක් විවර වෙනු ඇත.

 

මතු සම්බන්ධයි.

සයිබර් විපරම පොඩ්කාස්ට් එක

සයිබර් විපරම බ්ලොග් පිටුව එතරම් මෑතක සක්‍රිය නොවුවද, මාගේ පොඩ්කාස්ට් චැනල් එක, විටින් විට ගුවන් විදුලි වැඩසටහන් හා පවත්වන ලද සාකච්ඡා සමගින් යාවත්කාලීන ව තිබුනි.

සයිබර් විපරම ඔබට ප්‍රධාන ඕනෑම පොඩ්කාස්ට් ප්ලැට්ෆෝම් එකක් හරහා ශ්‍රවණය කල හැක. ඉදිරියේදී කාලීන කතිකා සම්බන්ධව, මාගේ අදහස් පොඩ්කාස්ට් හරහා ප්‍රචාරය කිරීමට බලාපොරොත්තු වෙන නිසා, එය හා සම්බන්ධ වෙන ලෙස ඔබට ආදරයෙන් ඇරයුම් කර සිටිමි.

 Cyber Wiaparama Podcast

✈️ ගුවන් යානයේදී අකුරු කල විදුසර ලිපිය 📰 ✍️

 'අලුත්කඩේ මහේස්ත්‍රාත් උසාවියේ විත්ති කූඩුවේ සිටි සැකකරුවෙකු වෙත නීතිඥයෙක් ලෙසින් වෙස්ගත් පුද්ගලයෙකු ලඟා වී, වෙඩි තබා ඝාතනය කොට පලා යයි. දැඩි ආරක්ශිත රැකවරනයක් ඇති මෙම උසාවි පරිශ්‍රය තුලට ඔහු ඇතුලු වීමත්, වෙඩි තැබීමෙන් අනතුරුව පවා අත් අඩංගුවට පත් නොවී එම ස්ථානයෙන් මිදී යාමට හැකි වීමත් පිටුපස රහස කුමක්ද?'

විදුසර කියන්නෙ අපේ පොඩි කාලයේ දැනුම් පිපාසයට උල්පතක් වගේ පත්තරයක්. අන්තර්ජාලය කියා දෙයක් ලොවෙත් නැති වුනු ඒ කාලේ අපි විශ්ව දැණුම ලබා ගත්තෙ මේ පත්තර පිටු හරහා සැරි සරමින්.

ඒ වගේ වටිනා විද්‍යා පුවත්පතකට ලිපි මාලාවකින් දායක වෙන්න ඇරයුමක් ලැබුන එක සොම්නසට කාරන්‍යක් වුනා. නමුත් කාර්‍යබහුල කම නිසා, මේ ලිපි කල්වේලා ඇතිව සම්පාදනය කරන්න පුලුවන් වේද කියා මට තිබුනෙ පොඩි අවිනිශ්චිතබවක්. කොහොම හරි, මගේ රස්සාව හරහා ගන්නා දැනුම මගේ රටේ දරුවන් මිනිසුන් වෙනුවෙන් අකුරු කරන්න ලැබුනු එකම භාග්‍යයක් නොවේද කියලා මම වැඩේ පටන් ගත්තා.

ලිපිය එවන්න නියමිත අන්තිම දිනයේ, ගුවන් යානාවක් තුල සිට ජංගම දුරකථන තිරයක අකුරු කල පළමු ලිපිය ගිය සතියේ පලවුනා.

මේ සඳහා මාව යෝජනා කල අනුරාධ පියදාස සොයුරාටත්, සියලුම සම්බන්ධීකරණ කටයුතු කල ධනේශ් විසුම්පෙරුම සොයුරාටත් බොහෝ පින්.

මුල් ලිපියෙන් මා සාකච්ඡා කලේ වංචාවකට රැවටීම පලය නම්, එහි මූලබීජ හේතුව වෙන මිනිස් සිතේ දුබලකම් (vulnerabilities) සහ සංජානන පක්ශපාතකම් (cognitive biases) ගැනය.

අහසේ සිට එය ලියුවත්, ඉදිරි ලිපි පොලොවේ සිට ලිවීමට බලාපොරොත්තු වෙමි.

මෙම ලිපිය සයිබර් වංචා (cyber scams) සම්බන්ධව ලියැවෙන ලිපි මාලාවක පළමුවැන්න වේ. මේ ලිපි මාලාව මඟින් සයිබර් අපරාධකරුවන්ගේ අරමුණු, ඔවුන් ඒ වෙනුවෙන් යොදා ගන්නා තාක්ෂණිත ක්‍රමවේද, නව නැඹුරුතාවයන් සහ ඉන් මිදෙන්නට ගත හැකි ආරක්ෂණ ක්‍රමවේද සම්බන්ධයෙන් දැනුවත්කිරීමට අපේක්ෂා කෙරේ. වෘත්තීමය වශයෙන් සයිබර් ආරක්ෂණය සහ දැනුවත් කිරීම සම්බන්ධයෙන් නියුක්තිකයෙකු (Cyber Defence and Awareness Specialist) ලෙස ඔස්ට්‍රේලියාවේ කටයුතු කරන මෙම ලේඛකයා මේ ලිපි මාලාව පුරාවට, ඒ අත්දැකීම් මත පදනම් වූ, සත්‍ය අත්දැකීම් හ බැඳුණු උදාහරණ වලින් සමන්විත දැනුමක් ඔබට ලබා දීමට අපේක්ෂා කරයි. මෙම ලිපිය මඟින් සයිබර් වංචාවක් පිටුපස ක්‍රියාත්මක වෙන මනෝ විද්‍යාත්මක පසුබිම සාකච්ඡා කරනු ලැබේ. ****** ආරක්ෂාව සම්බන්ධ ච කුමන ක්‍රමවේද සහ තාක්ෂණයන් තිබුණද, ඒ සම්බන්ධව අවසාන තීරණාත්මක තීන්දුව ගන්නේ මිනිසෙකු හෝ සමූහයකි. එනිසා අපරාධකරුවෙකු තමන්ගේ කුට අභිප්‍රාසයන් ඉටු කර ගැනීමට මූලික වශයෙන් කරන්නේ තවත් කෙනෙකුගේ සිතක් රැවටීමක් හෝ නො මඟ යැවීමකි. මෙය සියලු අපරාධ සඳහා වලංගු වන අතර දැන් දැන් දිනපතා අපට අසන්නට ලැබෙන සයිබර් වංචා සඳහා ද මෙය එලෙසින්ම වලංගු ය. වංචාවල මානසික මෙහෙයුම - අප ඒවාට හසුවන්නේ ඇයි? (The Mind Games of Scams: Why We Fall for Them?) මිනිසුන් මෙලෙසින් ඔවුන්ට රැවටිය හැකි වන්නේ ඇයි ද යන්නට ඇති පැහැදිලි පිළිතුර වන්නේ. මිනිස් සිතේ නිසඟයෙන් පවතින සංජානන පක්ෂපාතකම් (cognitive biases) නිසාය. වංචනිකයන් උත්සාහ ගන්නේ මේ හිඩැස් හෙවත් දුර්වලතාවයන් (vulnerabilities) තමන්ගේ වාසිය වෙනුවෙන් යොදා ගැනීමටයි (manipulation). අපි මුලින් මේ cognitive biases මොනවාද යන්න කෙටියෙන් සටහන් කොට, ඒවා සයිබර් අපරාධ කරුවන් ඉතා සූක්ෂම ව යොදා ගන්නා ආකාරය හඳුනාගනිමු. 1. Truth default bias: ස්වභාවයෙන් ම තවත් කෙනෙක් විශ්වාස කරයි. කාණ්ඩ වශයෙන් ජීවත් වන සමාජශීලි මිනිස් ප්‍රජාව තුළ පැවැත්ම රඳවා ගත්තේ එකි - නෙකා කෙරෙහි වන විශ්වාසයයි. 2. Optimism bias: ‘අනික් අයට වුණාට මට එහෙම වෙන එකක් නෑ' යන අදහස තවත් එකකි. මේ හරහා, ඇස් පනාපිට දකින අවදාතම සුළු කොට ගෙන, අප සම්බන්ධයෙන් ව්‍යාජ ආරක්ෂාවක් (false sense of security) ආරෝපණය කරගන්නට පෙළඹීමක් ඇති වේ. 3. Confirmation bias: අප විශ්වාස කරන දේ සමඟ අනුගත වන දේට අපගේ නිසඟ කැමැත්තක් ඇති වීම මෙමඟින් දැක්වේ. උදාහරණයක් ලෙස, ඉතා පහසුවෙන් මුදල් ලැබෙන ක්‍රම වේදයක් දුටු සැණින්, එය සම්බන්ධ ව ව්‍යාප් රෙකමදාරුවක් පමණක් මත පදනම්ව ඒ වංචාවට නතු වීම දැක්විය හැකි ය. 4. Authority bias: ශිෂ්ටගත වී විනය ගරුක ප්‍රජාවක් වීම පිටුපස තිබෙන අධිපති ආයතන, පුද්ගලයන්ගේ විධානයන්ට ප්‍රශ්න කිරීමකින් තොරව එකඟවීම, ක්‍රියාත්මක වීමේ ඇති නැඹුරුවයි. 5. Scarcity: යමක් විරල බව හැඟෙන්නේ නම් හෝ යම් අවස්ථාවක් නැති වෙන්නට ආසන්න බවක් හැගේ නම් මිනිසාගේ තර්කන ශක්තිය, කරුණු නිරවුල් ව පසිඳලන ආස්ථානය වෙනුවට වෙන්නේ කලබලයෙන් තීන්දු ගැනීමයි. කෝවිඩ් 19 නිසා රටවල් වසා තැබුණු (lockdown) කාලයේ බටහිර රටවල ජනතාව වැසිකිළි කඩදයයි (toilet papers) ගොඩ ගසා ගත් විකාරරූපී ක්‍රියාව මීට උදාහරණයක් ලෙසින් ගත හැකි ය. අපේ මනස අපට එරෙහි ව. (Our Minds Against Us) මේ නැඹුරුතා සහිත අපේ සිත්, අපට එදිරි ව ඔවුන් යොදා ගන්නා හැටි දැන් බලමු. මේවා හඳුන්වන්නේ Social Engineering Techniques නමිනි. නැඟීම් වලට කරන බලපෑම (emotional manipulation) ඉන් ප්‍රධාන වේ. බිය. හදිසිය, අනුකම්පාව, ප්‍රේමය ආදී හැඟීම සමඟ තදින් බැඳුණු මෘදු චින්තන කලාපයන් හරහා සබුද්ධික තීරණ ගැනීම වළකාලීමට හැකි වේ. ව්‍යාජ පුන්‍යායතන (charities) වෙනුවෙන් මුදල් එකතු කරන sympathy scams (අනුකම්පා වංචා) සහ මුදල් ලබා ගැනීම වෙනුවෙන් ම ආරම්භ කරන සම්බන්ධතා හරහා මිනිසුන් රවටන romance scams (ආදර වංචා) මේ සඳහා උදාහරණ වේ. එලෙසින් ම, වහා ම ගෙවිය යුතු දඩ මුදලක් නීතිය පසිඳලන ආයතනයක් ලෙසින් එවන විට, එය කරුණු නො විමසා කෙනෙක් ගෙවන්නට පෙලඹෙන්නේ කලින් සඳහන් කළ Authority bias සහ බිය නිසාය. නොමඟ යැවීම කලාවකි (Misdirection is a deceptive art) 'ඔබගේ පරිගණකයට වයිරසයක් ඇතුළු වී ඇත හෝ ඔබගේ ගිණුමේ අසාමාන්‍ය යමක් (unusual activity) නිරීක්ෂණය වී ඇත වැනි පණිවුඩ මඟින් ඒ ගැන දැනුවත් වීමක් නැති කෙනෙක් ඉතා පහසුවෙන් නො මග යනු ඇති බවට සාධාරණ ලෙස අනුමාන කළ හැකිය. මේ සඳහා නිදසුනක් ලෙස මෑත කාලයේ දී ශ්‍රී ලංකාවේ අධිකරණයක් තුළ සිදු වූ ඝාතනය ගනිමු. ඒ ඝාතකයා පෙනුමෙන් ඉතා කඩවසම් තරුණයෙකු විය. මනා ව හැඳ පැළද ගත් නීතීඥයෙකු ලෙස ඔහු කිසිවකුගේ සැකයට භාජනය නොවී අධිකරණ ශාලාවට ඇතුළු විය. අපරාධකරුවා මේ වැනි යැයි අප සිත් තුළ තැන්පත් වී ඇති රූපයට සම්පූර්ණ වෙනස් රූපමය මායාවේ අවසරයෙන් ඔහුගේ ඉලක්කය වෙත ඔහු බාධාවකින් තොර ව ළඟා විය.

සයිබර් ආරක්ෂණයේ වෘත්තිකයන් ලෙස අප මුහුණ දෙන විශාලතම අභියෝගය මෙලෙසින් මිනිසුන් ඉතා පහසුවෙන් රැවටීමට ලක් වීමය. Humans are the weakest link in cyber security ප්‍රකාශයෙන් මේ බව මනාව ගම්‍ය වේ. ඔබගේ නිවසේ දොර ලොව හොඳ ම අගුළ දමා ආරක්ෂා කළ හැකි ය. නමුත් එම දොරේ යතුර සොරෙක්ගේ සුරතට ඔබ විසින් ම ලබා දෙන තැනට පත් වුවහොත් ඒ අගුළෙන් වැඩක් වේද? එනිසා මේ සඳහා පවතින ස්ථිරසාර ම විසඳුම වන්නේ ඒ සම්බන්ධයෙන් ලබා ගන්නා අවබෝධයයි. තාක්ෂණික ආරක්ෂණ ක්‍රමවේද ද්විතීයික වේ. ඉදිරි ලිපි වලින් සයිබර් වංචා සම්බන්ධව තවත් තොරතුරු ඔබගේ දැනුවත් වීම වෙනුවෙන් ම ගෙන ඒමට අපි බලාපොරොත්තු වෙමු