Phishing
ဆိုတာဟာ တရား၀င္ ၀က္ဘ္ဆိုက္ပံုစံမ်ဳိးအေယာင္ေဆာင္ၿပီး
အသံုးျပဳသူေတြဆီကေန Username, Password, အေႂကး၀ယ္ကတ္နံပါတ္စတဲ့
ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြ ရယူႏိုင္ေအာင္ တိုက္ခိုက္တဲ့ နည္းစနစ္ကို
ေခၚဆုိျခင္းျဖစ္ပါတယ္။ Phising နည္းကို e-mail နဲ႔ instant messaging
စနစ္ေတြအသံုးျပဳၿပီး တိုက္ခိုက္သူေတြရဲ႕ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြထဲ
လမ္းၫႊန္သြားကာ ကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ အေသးစိတ္ကို ရယူတာျဖစ္ပါတယ္။
အဓိကအားျဖင့္ေတာ့ PayPal, eBay, YouTube နဲ႔ online ဘဏ္ေတြဟာ phishing
တိုက္ခိုက္သူေတြရဲ႕ ဦးတည္ရာျဖစ္ေနၾကတာကို ေတြ႕ရပါတယ္။ Phishing
နည္းနဲ႔တိုက္ခိုက္ႏိုင္ေၾကာင္း နည္းပညာဆိုင္ရာ
အေသးစိတ္ရွင္းလင္းေရးသားထားခ်က္ကို ၂၀၀၇ ခုႏွစ္အတြင္း Interex လို႔ေခၚတဲ့
International HP Users Group ဆီတင္သြင္းတဲ့စာတမ္းတစ္ခုမွာေဖာ္ျပထားၿပီး
phishing ဆိုတဲ့စကားလံုးကိုေတာ့ ၁၉၉၆ ခုႏွစ္ ဇန္န၀ါရီလ ၂ ရက္ေန႔မွာ
America Online ရဲ႕ Usenet newsgroup မွာ စတင္အသံုးျပဳခဲ့တာကို
ေတြ႕ရပါတယ္။ အေစာပိုင္း phishing နည္းနဲ႔တိုက္ခိုက္သူေတြဟာ AOL
၀န္ထမ္းအေယာင္ေဆာင္ၿပီးအသံုးျပဳသူေတြဆီ instant message ကေနတစ္ဆင့္
password ေတြေတာင္းယူကာ spam message ေတြ ေပးပို႔ၾကတယ္လို႔ သိရပါတယ္။
ဒီလိုကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ေတြ ရယူကာ တိုက္ခိုက္တဲ့လုပ္ရပ္ေတြက်ယ္
ျပန္႔လာတာေၾကာင့္ ေနာက္ပိုင္းမွာ ကုမၸဏီကေန ဘယ္ AOL ၀န္ထမ္းကမွ
အသံုးျပဳသူရဲ႕ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္နဲ႔ password ေတြ ေတာင္းယူျခင္း
မျပဳဆိုတဲ့စာသားကို instant message တိုင္းမွာ ထည့္သြင္းေပးလာရတယ္လို႔
ဆိုထားပါတယ္။ အဲဒီေနာက္မွာေတာ့ တိုက္ခိုက္သူေတြဟာ online ေငြေခ်စနစ္ေတြကို
ေျပာင္းလဲတိုက္ခိုက္လာၾကတာကို ေတြ႕ရပါတယ္။ ၂၀၀၁ ခုႏွစ္ ဇြန္လမွာ E-gold
ဟာ phising နည္းနဲ႔ ပထမဆံုး တိုက္ခိုက္ခံရတဲ့ ေငြေခ်စနစ္ ျဖစ္လာပါတယ္။
၂၀၀၄ ခုႏွစ္ အေရာက္မွာေတာ့ phishing တိုက္ခိုက္မႈေတြဟာ တစ္ကမၻာလံုး
အတိုင္းတာနဲ႔ က်ယ္ျပန္႔လာတဲ့ ရာဇ၀တ္မႈႀကီးတစ္ခုျဖစ္လာခဲ့ပါတယ္။
တိုက္ခိုက္သူေတြအေနနဲ႔ online ေငြေခ်မႈစနစ္ ဒါမွမဟုတ္
အေမရိကန္ျပည္တြင္းအခြန္မ်ားဌာနကေန ေပးပို႔တဲ့ပံုစံမ်ဳိးအေယာင္ ေဆာင္
e-mail ေတြကို သုံးၿပီး ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကို ရယူလာၾကပါတယ္။
လူတစ္ဦးခ်င္းစီကို သီးျခားရည္ရြယ္တဲ့ phishing တိုက္ခိုက္မႈေတြကို spear
phishingု လုိ႔ေခၚဆိုၿပီး
စီးပြားေရးလုပ္ငန္းရွင္ေတြနဲ႔ကုမၸဏီအမႈေဆာင္အရာရွိေတြကို ရည္
ရြယ္တိုက္ခိုက္တာေတြကိုေတာ့ whaling လို႔ ေခၚဆိုၾကတဲ့ အေၾကာင္းလည္း
သိရပါတယ္။ Social networking ၀က္ဘ္ဆိုက္ေတြဟာလည္း phishing
တိုက္ခိုက္မႈေတြရဲ႕ ဦးတည္ရာျဖစ္လာေနတာကို ေတြ႕ရပါတယ္။ ၂၀၀၆
ခုႏွစ္ေႏွာင္းပိုင္းမွာေပၚထြက္ခဲ့တဲ့ worm က MySpace ရဲ႕
စာမ်က္ႏွာအတြင္းက linkက ေတြကို ေျပာင္းလဲကာ တိုက္ခိုက္သူ
ေတြရဲ႕၀က္ဘ္ဆိုက္ထဲ redirect လုပ္ၿပီး login အခ်က္အလက္ေတြကို
ခိုးယူခဲ့ပါတယ္။ ေလ့လာမႈေတြ အရလည္း social networking ၀က္ဘ္ဆိုက္ေတြကို
ဦးတည္တဲ့ တိုက္ခိုက္မႈေတြရဲ႕ ၇၀ ရာခိုင္ႏႈန္းဟာ ေအာင္ျမင္တဲ့အေၾကာင္း
သိရပါတယ္။ Phishing တိုက္ခိုက္မႈေတြအတြင္း
အမ်ားဆံုးအသံုးျပဳတဲ့နည္းလမ္းကေတာ့ အမွန္တကယ္ရွိေနတဲ့
၀က္ဘ္ဆိုက္ေတြကိုစာလံုးမွား ေပါင္းထားတဲ့ URL ဒါမွမဟုတ္ subdomain ေတြကို
အသံုးျပဳျခင္းအားျဖင့္ လွည့္စားထားၾကတာျဖစ္ပါတယ္။ ဒါ့အျပင္ မ်က္စိနဲ႔
ျမင္ေန ရတဲ့ link မွာ ယံုၾကည္စိတ္ခ်ရတဲ့ ၀က္ဘ္ဆိုက္နာမည္ထည့္ထားကာ
ေနာက္ကြယ္မွာတိုက္ခိုက္သူေတြရဲ႕ အေယာင္ေဆာင္၀က္ဘ္ဆိုက္ထဲေရာက္ရွိသြားေအာင္
လုပ္ေဆာင္ၾကတာေတြလည္း ရွိပါတယ္။ ေနာက္ထပ္နည္းလမ္းေဟာင္းတစ္ခုကေတာ့
username နဲ႔ password ကို address bar ထဲမွာ
တစ္ခါတည္း႐ိုက္ထည့္လို႔ရတဲ့နည္းကို သံုးတာပဲျဖစ္ပါတယ္။ ဥပမာအားျဖင့္
သာမန္အသံုးျပဳသူတစ္ ေယာက္အေနနဲ႔ http:www.google.com@members.tripod.com
ဆိုတဲ့လိပ္စာဟာ Google ၀က္ဘ္ဆိုက္ထဲေရာက္ရွိမယ္လို႔ ထင္ၾကေပမယ့္
အမွန္တကယ္အားျဖင့္ members. tripod. com ထဲ ေရာက္ရွိသြားကာ www.google.com
ကေတာ့ username အျဖစ္၀င္ေရာက္သြားမွာျဖစ္ပါတယ္။ အခုအခါ Inter- net
Explorerv မွာ ဒီလိုအသံုးျပဳတဲ့နည္းလမ္းကို disable ျပဳလုပ္ထားၿပီး Firefox
နဲ႔ Opera တို႔မွာေတာ့ သတိေပးခ်က္ထုတ္ျပန္ေပးတာကို ေတြ႕ရပါတယ္။ တခ်ဳိ႕
phishing တိုက္ခိုက္မႈ ေတြမွာဆုိရင္ JavaScript ကိုသံုး ၿပီး address
bar အတြင္းက လိပ္စာကို ေျပာင္းလဲထားျခင္း URL အတြင္း အစစ္အမွန္၀က္ဘ္
ဆိုက္လိပ္စာအတုိင္း ဖန္တီးထားတဲ့ image ထည့္သြင္းျခင္းစတာမ်ဳိး ေတြလည္း
လုပ္ေဆာင္တတ္ၾကပါ တယ္။ အခု ေနာက္ပိုင္းမွာေတာ့ cross-site scripting
လို႔ေခၚတဲ့ တိုက္ခိုက္မႈ နည္းလမ္းသစ္ကို အသံုးျပဳလာၾကတာကို ေတြ႕ရပါ တယ္။
ဒီစနစ္ဟာ တျခား phi-shing တိုက္ခိုက္မႈေတြလိုမ်ဳိး
အေယာင္ေဆာင္၀က္ဘ္ဆိုက္ေတြ ကို အသံုးျပဳတာမဟုတ္ဘဲ မူရင္း ၀က္ဘ္ဆိုက္ထဲ
script ထည့္သြင္းကာ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္ေတြကို ခိုးယူျခင္းျဖစ္ပါ တယ္။
Anti-phishing ကုမၸဏီ ေတြအေနနဲ႔ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြကို
ရွာေဖြမွတ္တမ္းတင္ကာ အသံုးျပဳသူေတြဆီ သတိေပးခ်က္ထုတ္ျပန္ေပးေနတာေၾကာင့္
phishing တိုက္ခိုက္သူေတြအေနနဲ႔ ၎တို႔ရဲ႕ ၀က္ဘ္ ဆိုက္ထဲမွာ
႐ိုး႐ိုးစာသားေတြအစား Flashး ကို အေျခခံထားတဲ့၀က္ဘ္ ဆိုက္ေတြ
အသံုးျပဳလာေနၾကတဲ့ အေၾကာင္း သိရပါတယ္။
၀က္ဘ္ဆိုက္အေျချပဳတိုက္ခိုက္မႈေတြအျဖစ္ မိုဘိုင္းဖုန္းေတြကေန message
ေပးပို႔ၿပီး အသံုးျပဳသူ ေတြရဲ႕ ဘဏ္စာရင္းထဲျပႆနာ ေပၚေနတာေၾကာင့္
ဖုန္းဆက္ဖို႔ ေျပာဆိုကာ နံပါတ္တစ္ခုကိုေပးထားတတ္ပါတယ္။ အဲဒီနံပါတ္ကို
ေခၚဆိုလိုက္တာနဲ႔တစ္ၿပိဳင္နက္ ဘဏ္စာရင္းနံပါတ္နဲ႔ PIN တို႔ကို
ေတာင္းယူသြားတာျဖစ္ပါတယ္။ ဒီ Vishing (Voice Phishing) တိုက္ခိုက္မႈေတြမွာ
တရား၀င္အဖဲြ႕ အစည္းေတြဆီကေန ဆက္သြယ္ ေျပာဆိုလာတယ္လို႔ ထင္ရေအာင္ caller
ID ေတြကိုလည္း လိုသလိုေျပာင္းလဲအသံုးျပဳတတ္ၾကတဲ့ အေၾကာင္း သိရပါတယ္။
Phishing တိုက္ခိုက္မႈေတြ ေၾကာင့္ ၂၀၀၄ ခုႏွစ္ ေမလကေန ၂၀၀၅ ခုႏွစ္
ေမလအတြင္း အေမ ရိကန္ႏိုင္ငံအတြင္းက ကြန္ပ်ဴတာ အသံုးျပဳသူေတြ
ထိခိုက္ခဲ့ရၿပီး ေဒၚလာ ၉၂၉ သန္း နစ္နာခဲ့ၾက ရတဲ့အေၾကာင္း သိရပါတယ္။ ယူ
ေကႏိုင္ငံအတြင္းမွာလည္း ကြန္ပ်ဴတာအသံုးျပဳသူ ၅ ရာခိုင္ႏႈန္း ဟာ Phishing
တိုက္ခိုက္မႈေတြ ခံေနၾကရေၾကာင္း သိရပါတယ္။ Phishing တိုက္ခိုက္ခံရမႈေတြ
ကို ေလွ်ာ့ခ်ဖို႔အတြက္ ကြန္ပ်ဴတာ အသံုးျပဳသူေတြကို ပညာေပးျခင္း၊ Web
browser ေတြအတြင္း anti-phishing လုပ္ေဆာင္ခ်က္ေတြ
ထည့္သြင္းေပးျခင္းစတာေတြ လုပ္ေဆာင္လာၾကပါတယ္။ အေမရိကန္ျပည္ေထာင္စုမွာ
Anti-Phishing Act of ၂၀၀၅ ကို ျပ႒ာန္းကာ အေယာင္ေဆာင္၀က္ဘ္ဆိုက္
ဖန္တီးသူနဲ႔ အေယာင္ေဆာင္ e-mail ေပးပို႔သူေတြကို ေထာင္ဒဏ္ ၅ ႏွစ္နဲ႔
ေငြဒဏ္ ေဒၚလာ ၂ သိန္း ၅ ေသာင္းအထိျပစ္ဒဏ္ေပးႏိုင္ေအာင္
လုပ္ေဆာင္ခဲ့ၿပီးယူေကႏိုင္ငံမွာလည္း ေထာင္ဒဏ္ ၁၀ ႏွစ္ အထိ
ျပစ္ဒဏ္ေပးႏိုင္တဲ့ Fraud Act 2006 ကို ျပ႒ာန္းထားတဲ့အေၾကာင္း သိရပါတယ္။
Credit to:
0 comments:
Post a Comment