Phishing ဆိုတာဟာ တရား၀င္ ၀က္ဘ္ဆိုက္ပံုစံမ်ဳိးအေယာင္ေဆာင္ၿပီး အသံုးျပဳသူေတြဆီကေန Username, Password, အေႂကး၀ယ္ကတ္နံပါတ္စတဲ့ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြ ရယူႏိုင္ေအာင္ တိုက္ခိုက္တဲ့ နည္းစနစ္ကို ေခၚဆုိျခင္းျဖစ္ပါတယ္။ Phising နည္းကို e-mail နဲ႔ instant messaging စနစ္ေတြအသံုးျပဳၿပီး တိုက္ခိုက္သူေတြရဲ႕ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြထဲ လမ္းၫႊန္သြားကာ ကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ အေသးစိတ္ကို ရယူတာျဖစ္ပါတယ္။ အဓိကအားျဖင့္ေတာ့ PayPal, eBay, YouTube နဲ႔ online ဘဏ္ေတြဟာ phishing တိုက္ခိုက္သူေတြရဲ႕ ဦးတည္ရာျဖစ္ေနၾကတာကို ေတြ႕ရပါတယ္။ Phishing နည္းနဲ႔တိုက္ခိုက္ႏိုင္ေၾကာင္း နည္းပညာဆိုင္ရာ အေသးစိတ္ရွင္းလင္းေရးသားထားခ်က္ကို ၂၀၀၇ ခုႏွစ္အတြင္း Interex လို႔ေခၚတဲ့ International HP Users Group ဆီတင္သြင္းတဲ့စာတမ္းတစ္ခုမွာေဖာ္ျပထားၿပီး phishing ဆိုတဲ့စကားလံုးကိုေတာ့ ၁၉၉၆ ခုႏွစ္ ဇန္န၀ါရီလ ၂ ရက္ေန႔မွာ America Online ရဲ႕ Usenet newsgroup မွာ စတင္အသံုးျပဳခဲ့တာကို ေတြ႕ရပါတယ္။ အေစာပိုင္း phishing နည္းနဲ႔တိုက္ခိုက္သူေတြဟာ AOL ၀န္ထမ္းအေယာင္ေဆာင္ၿပီးအသံုးျပဳသူေတြဆီ instant message ကေနတစ္ဆင့္ password ေတြေတာင္းယူကာ spam message ေတြ ေပးပို႔ၾကတယ္လို႔ သိရပါတယ္။ ဒီလိုကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ေတြ ရယူကာ တိုက္ခိုက္တဲ့လုပ္ရပ္ေတြက်ယ္ ျပန္႔လာတာေၾကာင့္ ေနာက္ပိုင္းမွာ ကုမၸဏီကေန ဘယ္ AOL ၀န္ထမ္းကမွ အသံုးျပဳသူရဲ႕ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္နဲ႔ password ေတြ ေတာင္းယူျခင္း မျပဳဆိုတဲ့စာသားကို instant message တိုင္းမွာ ထည့္သြင္းေပးလာရတယ္လို႔ ဆိုထားပါတယ္။ အဲဒီေနာက္မွာေတာ့ တိုက္ခိုက္သူေတြဟာ online ေငြေခ်စနစ္ေတြကို ေျပာင္းလဲတိုက္ခိုက္လာၾကတာကို ေတြ႕ရပါတယ္။ ၂၀၀၁ ခုႏွစ္ ဇြန္လမွာ E-gold ဟာ phising နည္းနဲ႔ ပထမဆံုး တိုက္ခိုက္ခံရတဲ့ ေငြေခ်စနစ္ ျဖစ္လာပါတယ္။ ၂၀၀၄ ခုႏွစ္ အေရာက္မွာေတာ့ phishing တိုက္ခိုက္မႈေတြဟာ တစ္ကမၻာလံုး အတိုင္းတာနဲ႔ က်ယ္ျပန္႔လာတဲ့ ရာဇ၀တ္မႈႀကီးတစ္ခုျဖစ္လာခဲ့ပါတယ္။ တိုက္ခိုက္သူေတြအေနနဲ႔ online ေငြေခ်မႈစနစ္ ဒါမွမဟုတ္ အေမရိကန္ျပည္တြင္းအခြန္မ်ားဌာနကေန ေပးပို႔တဲ့ပံုစံမ်ဳိးအေယာင္ ေဆာင္ e-mail ေတြကို သုံးၿပီး ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကို ရယူလာၾကပါတယ္။ လူတစ္ဦးခ်င္းစီကို သီးျခားရည္ရြယ္တဲ့ phishing တိုက္ခိုက္မႈေတြကို spear phishingု လုိ႔ေခၚဆိုၿပီး စီးပြားေရးလုပ္ငန္းရွင္ေတြနဲ႔ကုမၸဏီအမႈေဆာင္အရာရွိေတြကို ရည္ ရြယ္တိုက္ခိုက္တာေတြကိုေတာ့ whaling လို႔ ေခၚဆိုၾကတဲ့ အေၾကာင္းလည္း သိရပါတယ္။ Social networking ၀က္ဘ္ဆိုက္ေတြဟာလည္း phishing တိုက္ခိုက္မႈေတြရဲ႕ ဦးတည္ရာျဖစ္လာေနတာကို ေတြ႕ရပါတယ္။ ၂၀၀၆ ခုႏွစ္ေႏွာင္းပိုင္းမွာေပၚထြက္ခဲ့တဲ့ worm က MySpace ရဲ႕ စာမ်က္ႏွာအတြင္းက linkက ေတြကို ေျပာင္းလဲကာ တိုက္ခိုက္သူ ေတြရဲ႕၀က္ဘ္ဆိုက္ထဲ redirect လုပ္ၿပီး login အခ်က္အလက္ေတြကို ခိုးယူခဲ့ပါတယ္။ ေလ့လာမႈေတြ အရလည္း social networking ၀က္ဘ္ဆိုက္ေတြကို ဦးတည္တဲ့ တိုက္ခိုက္မႈေတြရဲ႕ ၇၀ ရာခိုင္ႏႈန္းဟာ ေအာင္ျမင္တဲ့အေၾကာင္း သိရပါတယ္။ Phishing တိုက္ခိုက္မႈေတြအတြင္း အမ်ားဆံုးအသံုးျပဳတဲ့နည္းလမ္းကေတာ့ အမွန္တကယ္ရွိေနတဲ့ ၀က္ဘ္ဆိုက္ေတြကိုစာလံုးမွား ေပါင္းထားတဲ့ URL ဒါမွမဟုတ္ subdomain ေတြကို အသံုးျပဳျခင္းအားျဖင့္ လွည့္စားထားၾကတာျဖစ္ပါတယ္။ ဒါ့အျပင္ မ်က္စိနဲ႔ ျမင္ေန ရတဲ့ link မွာ ယံုၾကည္စိတ္ခ်ရတဲ့ ၀က္ဘ္ဆိုက္နာမည္ထည့္ထားကာ ေနာက္ကြယ္မွာတိုက္ခိုက္သူေတြရဲ႕ အေယာင္ေဆာင္၀က္ဘ္ဆိုက္ထဲေရာက္ရွိသြားေအာင္ လုပ္ေဆာင္ၾကတာေတြလည္း ရွိပါတယ္။ ေနာက္ထပ္နည္းလမ္းေဟာင္းတစ္ခုကေတာ့ username နဲ႔ password ကို address bar ထဲမွာ တစ္ခါတည္း႐ိုက္ထည့္လို႔ရတဲ့နည္းကို သံုးတာပဲျဖစ္ပါတယ္။ ဥပမာအားျဖင့္ သာမန္အသံုးျပဳသူတစ္ ေယာက္အေနနဲ႔ http:www.google.com@members.tripod.com ဆိုတဲ့လိပ္စာဟာ Google ၀က္ဘ္ဆိုက္ထဲေရာက္ရွိမယ္လို႔ ထင္ၾကေပမယ့္ အမွန္တကယ္အားျဖင့္ members. tripod. com ထဲ ေရာက္ရွိသြားကာ www.google.com ကေတာ့ username အျဖစ္၀င္ေရာက္သြားမွာျဖစ္ပါတယ္။ အခုအခါ Inter- net Explorerv မွာ ဒီလိုအသံုးျပဳတဲ့နည္းလမ္းကို disable ျပဳလုပ္ထားၿပီး Firefox နဲ႔ Opera တို႔မွာေတာ့ သတိေပးခ်က္ထုတ္ျပန္ေပးတာကို ေတြ႕ရပါတယ္။ တခ်ဳိ႕ phishing တိုက္ခိုက္မႈ ေတြမွာဆုိရင္ JavaScript ကိုသံုး ၿပီး address bar အတြင္းက လိပ္စာကို ေျပာင္းလဲထားျခင္း URL အတြင္း အစစ္အမွန္၀က္ဘ္ ဆိုက္လိပ္စာအတုိင္း ဖန္တီးထားတဲ့ image ထည့္သြင္းျခင္းစတာမ်ဳိး ေတြလည္း လုပ္ေဆာင္တတ္ၾကပါ တယ္။ အခု ေနာက္ပိုင္းမွာေတာ့ cross-site scripting လို႔ေခၚတဲ့ တိုက္ခိုက္မႈ နည္းလမ္းသစ္ကို အသံုးျပဳလာၾကတာကို ေတြ႕ရပါ တယ္။ ဒီစနစ္ဟာ တျခား phi-shing တိုက္ခိုက္မႈေတြလိုမ်ဳိး အေယာင္ေဆာင္၀က္ဘ္ဆိုက္ေတြ ကို အသံုးျပဳတာမဟုတ္ဘဲ မူရင္း ၀က္ဘ္ဆိုက္ထဲ script ထည့္သြင္းကာ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကို ခိုးယူျခင္းျဖစ္ပါ တယ္။ Anti-phishing ကုမၸဏီ ေတြအေနနဲ႔ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြကို ရွာေဖြမွတ္တမ္းတင္ကာ အသံုးျပဳသူေတြဆီ သတိေပးခ်က္ထုတ္ျပန္ေပးေနတာေၾကာင့္ phishing တိုက္ခိုက္သူေတြအေနနဲ႔ ၎တို႔ရဲ႕ ၀က္ဘ္ ဆိုက္ထဲမွာ ႐ိုး႐ိုးစာသားေတြအစား Flashး ကို အေျခခံထားတဲ့၀က္ဘ္ ဆိုက္ေတြ အသံုးျပဳလာေနၾကတဲ့ အေၾကာင္း သိရပါတယ္။ ၀က္ဘ္ဆိုက္အေျချပဳတိုက္ခိုက္မႈေတြအျဖစ္ မိုဘိုင္းဖုန္းေတြကေန message ေပးပို႔ၿပီး အသံုးျပဳသူ ေတြရဲ႕ ဘဏ္စာရင္းထဲျပႆနာ ေပၚေနတာေၾကာင့္ ဖုန္းဆက္ဖို႔ ေျပာဆိုကာ နံပါတ္တစ္ခုကိုေပးထားတတ္ပါတယ္။ အဲဒီနံပါတ္ကို ေခၚဆိုလိုက္တာနဲ႔တစ္ၿပိဳင္နက္ ဘဏ္စာရင္းနံပါတ္နဲ႔ PIN တို႔ကို ေတာင္းယူသြားတာျဖစ္ပါတယ္။ ဒီ Vishing (Voice Phishing) တိုက္ခိုက္မႈေတြမွာ တရား၀င္အဖဲြ႕ အစည္းေတြဆီကေန ဆက္သြယ္ ေျပာဆိုလာတယ္လို႔ ထင္ရေအာင္ caller ID ေတြကိုလည္း လိုသလိုေျပာင္းလဲအသံုးျပဳတတ္ၾကတဲ့ အေၾကာင္း သိရပါတယ္။ Phishing တိုက္ခိုက္မႈေတြ ေၾကာင့္ ၂၀၀၄ ခုႏွစ္ ေမလကေန ၂၀၀၅ ခုႏွစ္ ေမလအတြင္း အေမ ရိကန္ႏိုင္ငံအတြင္းက ကြန္ပ်ဴတာ အသံုးျပဳသူေတြ ထိခိုက္ခဲ့ရၿပီး ေဒၚလာ ၉၂၉ သန္း နစ္နာခဲ့ၾက ရတဲ့အေၾကာင္း သိရပါတယ္။ ယူ ေကႏိုင္ငံအတြင္းမွာလည္း ကြန္ပ်ဴတာအသံုးျပဳသူ ၅ ရာခိုင္ႏႈန္း ဟာ Phishing တိုက္ခိုက္မႈေတြ ခံေနၾကရေၾကာင္း သိရပါတယ္။ Phishing တိုက္ခိုက္ခံရမႈေတြ ကို ေလွ်ာ့ခ်ဖို႔အတြက္ ကြန္ပ်ဴတာ အသံုးျပဳသူေတြကို ပညာေပးျခင္း၊ Web browser ေတြအတြင္း anti-phishing လုပ္ေဆာင္ခ်က္ေတြ ထည့္သြင္းေပးျခင္းစတာေတြ လုပ္ေဆာင္လာၾကပါတယ္။ အေမရိကန္ျပည္ေထာင္စုမွာ Anti-Phishing Act of ၂၀၀၅ ကို ျပ႒ာန္းကာ အေယာင္ေဆာင္၀က္ဘ္ဆိုက္ ဖန္တီးသူနဲ႔ အေယာင္ေဆာင္ e-mail ေပးပို႔သူေတြကို ေထာင္ဒဏ္ ၅ ႏွစ္နဲ႔ ေငြဒဏ္ ေဒၚလာ ၂ သိန္း ၅ ေသာင္းအထိျပစ္ဒဏ္ေပးႏိုင္ေအာင္ လုပ္ေဆာင္ခဲ့ၿပီးယူေကႏိုင္ငံမွာလည္း ေထာင္ဒဏ္ ၁၀ ႏွစ္ အထိ ျပစ္ဒဏ္ေပးႏိုင္တဲ့ Fraud Act 2006 ကို ျပ႒ာန္းထားတဲ့အေၾကာင္း သိရပါတယ္။
Credit to:
0 comments:
Post a Comment