පාඩම 08: සමාජ ඉංජිනේරු ශිල්පය

පරිගණකය නොව, මිනිස් මනස හැක් කිරීම. ආරක්ෂාවේ ඇති දුර්වලම පුරුක ඔබද?

8.1 සමාජ ඉංජිනේරු ශිල්පය (Social Engineering) යනු කුමක්ද?

සමාජ ඉංජිනේරු ශිල්පය යනු තාක්ෂණික දුර්වලතා භාවිතා කරනවා වෙනුවට, මිනිසුන්ගේ මනෝභාවය, විශ්වාසය සහ හැඟීම් හසුරුවා, ඔවුන්ව රවටා, සංවේදී තොරතුරු (මුරපද, බැංකු විස්තර) හෙළි කරවා ගැනීමට හෝ ආරක්ෂක ක්‍රියාමාර්ග මඟ හැරීමට පොළඹවා ගැනීමේ කලාවයි. සරලවම කිවහොත්, මෙය "මිනිස් හැකින්" (Human Hacking) ලෙස හැඳින්විය හැක.

කොතරම් ශක්තිමත් Firewall, Antivirus මෘදුකාංග තිබුණත්, එක් සේවකයෙකු හෝ පරිශීලකයෙකු රැවටීමට හසු වුවහොත්, සම්පූර්ණ පද්ධතියම අවදානමකට ලක්විය හැකිය. හැකර්වරුන් දන්නවා, තාක්ෂණික ආරක්ෂක පද්ධතියක් බිඳ දමනවාට වඩා මිනිසෙකු රැවටීම බොහෝ විට පහසු බව.

8.2 සුලභ සමාජ ඉංජිනේරු ප්‍රහාර

හැකර්වරුන් මිනිසුන්ව රැවටීමට විවිධ උපක්‍රම භාවිතා කරයි. ඒවායින් කිහිපයක් මෙසේය:

1. Phishing (ෆිෂින්)

මෙය බහුලවම දක්නට ලැබෙන ප්‍රහාරයකි. මෙහිදී හැකර්වරයා, බැංකුවක්, සමාජ මාධ්‍ය සේවාවක් හෝ වෙනත් විශ්වාසවන්ත ආයතනයක් ලෙස පෙනී සිටිමින්, විශාල පිරිසකට ව්‍යාජ ඊමේල් හෝ කෙටි පණිවිඩ යවයි. මෙම පණිවිඩවල "ඔබගේ ගිණුම අවහිර කර ඇත," "ඔබ ලොතරැයියක් දිනා ඇත" වැනි හදිසි හෝ ආකර්ෂණීය දෙයක් සඳහන් කර, ව්‍යාජ වෙබ් අඩවියකට පිවිසෙන ලෙස පරිශීලකයන්ව පොළඹවයි.

උපමාව: ධීවරයෙකු මුහුදට දැලක් දමා, අසුවන ඕනෑම මාළුවෙක් අල්ලා ගැනීමට උත්සාහ කරනවා වැනිය.

2. Spear Phishing (ඉලක්කගත ෆිෂින්)

මෙය Phishing වලට වඩා දියුණු සහ භයානක ප්‍රහාරයකි. මෙහිදී හැකර්වරයා විශාල පිරිසකට එකම පණිවිඩය යවනවා වෙනුවට, නිශ්චිත පුද්ගලයෙකු හෝ කුඩා කණ්ඩායමක් ඉලක්ක කරයි. ප්‍රහාරය එල්ල කිරීමට පෙර, ඉලක්කය පිළිබඳව (ඔහු වැඩ කරන ස්ථානය, මිතුරන්, කැමති දේවල්) හොඳින් අධ්‍යයනය කර, එම පුද්ගලයාටම විශේෂයෙන් සකස් කළ, ඉතා විශ්වාසනීය පණිවිඩයක් යවයි.

උපමාව: දඩයක්කරුවෙකු නිශ්චිත සතෙකු ඉලක්ක කර, සැලසුම් සහගතව දඩයමේ යෙදෙනවා වැනිය.

3. Baiting (ඇමක් යෙදීම)

මෙහිදී හැකර්වරයා, මිනිසුන්ගේ කුතුහලය හෝ කෑදරකම ප්‍රයෝජනයට ගනී. උදාහරණයක් ලෙස, "Latest Movies" හෝ "Confidential Salaries" ලෙස ලේබල් ගැසූ, අනිෂ්ට මෘදුකාංග (malware) අඩංගු USB පෙන් ඩ්‍රයිව් එකක් පොදු ස්ථානයක (කාර්යාලයේ, වාහන නැවතුම්පළක) දමා යයි. යමෙකු එය සොයාගෙන, කුතුහලයට තම පරිගණකයට සම්බන්ධ කළහොත්, එහි ඇති malware එක ස්වයංක්‍රීයව ක්‍රියාත්මක වී හැකර්වරයාට පද්ධතියට ප්‍රවේශය ලබා දෙයි.

8.3 සමාජ ඉංජිනේරු ප්‍රහාර වලින් ආරක්ෂා වන්නේ කෙසේද?

තාක්ෂණයට වඩා ඔබගේ විචක්ෂණභාවය මෙහිදී වැදගත් වේ. සැමවිටම "සැකයෙන් සිතන්න, ක්ලික් කිරීමට පෙර සිතන්න" යන ආකල්පය ඇති කරගන්න.

ආරක්ෂා වීමට ප්‍රධාන උපදෙස්:
  • 📧 ඊමේල් යවන්නා තහවුරු කරන්න: ඔබට ලැබෙන ඊමේල් වල "From" ලිපිනය දෙස හොඳින් බලන්න. බැංකුවකින් යැයි කියන ඊමේල් එකක් `bankofceylon@gmail.com` වැනි பொது ලිපිනයකින් පැමිණිය නොහැක. (උදා: `info@boc.lk` වැනි නිල ලිපිනයක් විය යුතුය).
  • 🔗 ලින්ක් මත සැරිසරන්න (Hover): ඊමේල් එකක ඇති ලින්ක් එකක් ක්ලික් කිරීමට පෙර, මවුසය ඒ මතට ගෙන යන්න. එවිට බ්‍රව්සරයේ පහළින් එම ලින්ක් එක ඇත්තටම ඔබව රැගෙන යන වෙබ් ලිපිනය පෙන්වයි. එය සැක සහිත නම් (උදා: `bankofceylon.login-page.com` වැනි) කිසිවිටෙක ක්ලික් නොකරන්න.
  • 🏃‍♂️ හදිසි සහ තර්ජනාත්මක පණිවිඩ ගැන සැක සිතන්න: "වහාම ක්‍රියාත්මක වන්න," "ඔබගේ ගිණුම පැය 24කින් අක්‍රිය වේ" වැනි ඔබව බිය ගන්වන හෝ හදිසි කරන පණිවිඩ ගැන දෙවරක් සිතන්න. හැකර්වරුන් ඔබව සිතන්නට පෙළඹවීමට පෙර ක්‍රියා කරවීමට උත්සාහ කරයි.
  • 🔒 පුද්ගලික තොරතුරු ඉල්ලීම් ගැන සැලකිලිමත් වන්න: කිසිදු නීත්‍යානුකූල ආයතනයක් ඊමේල් එකක් හරහා ඔබගේ මුරපදය, PIN අංකය හෝ සම්පූර්ණ ක්‍රෙඩිට් කාඩ් විස්තර ඉල්ලා නොසිටී.
  • 🎁 නොමිලේ ලැබෙන දේ ගැන ප්‍රවේශම් වන්න: "ඔබ iPhone එකක් දිනා ඇත!" වැනි ද предложения ඇත්ත වීමට නොහැකි තරම් හොඳ යැයි හැඟේ නම්, එය බොහෝ විට වංචාවකි.
  • ❓ සැක නම්, සෘජුවම අමතන්න: ඔබට බැංකුවකින් යැයි කියන ඊමේල් එකක් ගැන සැකයක් ඇත්නම්, එම ඊමේල් එකට පිළිතුරු දෙනවා වෙනුවට, ඔබ දන්නා බැංකුවේ නිල දුරකථන අංකයට කතා කර එය තහවුරු කරගන්න.
« පාඩම 07 වෙත යන්න පාඩම 09 වෙත යන්න »