සමාජ ඉංජිනේරු විද්‍යාව (Social Engineering)

සමාජ ඉංජිනේරු විද්‍යාව යන්න සරලව පැහැදිලි කලොත්, යම් අහිංසක පුද්ගලයෙක්ව උපායශීලීව රැවටීමට ලක්කිරීම හෝ වැරදි ක්‍රියාවක් සිදු කිරීම සඳහා පෙළඹවීම, එම පුද්ගලයාගේ පරිශීලක තොරතුරු (user credentials) සහ රහස්‍ය පෞද්ගලික තොරතුරු ලබා ගැනීමේ අරමුණින් නොමඟ යැවීම යනාදී පුළුල් පරාසයක විහිදෙන අනිෂ්ට මිනිස් ක්‍රියාකාරකම් රාශියක් අන්තර්ගත වේ.

වර්තමාන ලෝකයේ, අපරාධකරුවන් සහ සයිබර් වංචාකරුවන් විසින් පරිශීලකයින් රවටා රහස්‍ය තොරතුරු හෙළි කරගැනීමට භාවිතා කරන තාක්‍ෂණයක් ලෙස, සමාජ ඉංජිනේරු විද්‍යාව හඳුනාගෙන ඇත. මෙසේ ඔවුන් විසින් හෙළි කරගනු ලබන්නේ ආරක්‍ෂිත අරමුණු සඳහා හෝ සත්‍යාපනය / verification සඳහා අදාළ යෙදුමෙන් / මෘදුකාංගයෙන් ඉල්ලා සිටියොත් මිස කිසිවෙකුවට නොදිය යුතු තොරතුරු වේ.

‘සමාජ ඉංජිනේරුවන්’ (‘hacker’ / ‘හැකර්’ සඳහා වෘත්තීය යෙදුමක් ලෙසද භාවිතා කළ හැකිය) විවිධ පද්ධති සහ යෙදුම් (උදා: ෆේස්බුක්, ඊමේල්, ඉමෝ, වෙනත් සමාජ ජාල ඇප්ස්) වෙත ප්‍රවේශය ලබා ගැනීම සඳහා එම දත්ත රැස් කර ඔවුන් ඉලක්ක කරන ප්‍රතිලාභය ලැබෙන තෙක් ඒවා පාලනය කරයි. මෙම ප්‍රතිලාභය බොහෝ විට ප්‍රමාණවත් තරම් තාර්කික නොවන / බුද්ධිමත්ව සිතා නොබැලූ පරිශීලකයින්ව බ්ලැක්මේල් කිරීමෙන් උපයා ගත් දෙයක් විය හැකිය.

පහත දැක්වෙන රූපසටහන සමාජ ඉංජිනේරු විද්‍යාව භාවිතා කර ප්‍රහාර සිදුවන ආකාරය පෙන්වයි.

සමාජ ඉංජිනේරු ප්‍රහාර ක්‍රම ආකාර පහකින් හඳුනාගත හැකිය;

1. ඇමක් (Baiting) හරහා ප්‍රහාරකයින් බොහෝ විට භෞතික උපකරණ භාවිතා කරමින් ඇමක් තබයි. නිදසුනක් වශයෙන්, ග්‍රහණයට හසු කර ගත වින්දිතයන් සිටින ස්ථානවල (සමාගමක සේවකයෙකු විය හැකිය) අනිෂ්ට මෘදුකාංග ආසාදිත (malware-infected) ෆ්ලෑෂ් ඩ්‍රයිව් ඔවුන්ට නිසැකවම පෙනෙන පරිදි – විශේෂයෙන් කාර්යාල මේසයක / විවේකාගාරයක / සෝපානයක තැබීම වැනි කථා අපට අසන්නට ලැබේ. මෙසේ සූදානම් කර ඇති ඇම කෙනෙකුට ගැනීමට සිතෙන පරිදි ආකර්ශනීය වන ලෙස අව්‍යාජ පෙනුමක් ඇති ආකාරයට ඉදිරිපත් කරයි. එනම් එය සමාගමේ ‘වැටුප් ලැයිස්තුව’ හෝ ‘රහස්‍ය’ වැනි ලේබලයක් සහිතව ඉදිරිපත් කිරීමෙනි. ඉන් පසු මෙම සේවකයින් විසින් එම ‘ඇමක්’ සහිත ආසාදිත උපාංගය ඔවුන්ගේ සමාගමේ පරිගණකවලට ඇතුළු කළ හැකිය. මෙහි ප්‍රතිඵලය වන්නේ පරිගණක පද්ධතියේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය වීමකි. සමහර විට ඇමක් ඔන්ලයින් (online) ස්වරූපයක්ද ගත හැකිය. උදාහරණයක් ලෙස, උත්පතන දැන්වීම් (pop-up ads) හෝ පණිවිඩ හරහා ආසාදිත සබැඳි (links) රැගෙන යයි

මෙය මිනිසුන් කුතුහලයට පත් කරන අතර එහි ප්‍රතිඵලයක් ලෙස පද්ධතියේ / පරිගණකයේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය විය හැකිය.

2. බිය උපදවන දෑ (Scareware)

Scareware (ස්කෙයාවෙයා) හෙවත් බිය කර ප්‍රයෝජන ලබන කූට මෘදුකාංග වින්දිතයින් වෙත ළඟා වන්නේ සැබෑවක් නොවන දෙයකට ඔවුන්ව බිය ගැන්වීමෙනි. උදාහරණයක් ලෙස, ඔබට පහත ආකාරයේ පණිවිඩ ලැබෙනු ඇත,

 එමඟින් ඔවුන් නිර්දේශ කරන මෙවලමක් ස්ථාපනය කිරීමට ඔබට යෝජනා කරයි (බොහෝ විට මෙය අනිෂ්ට සබැඳියක් / malicious link වේ.)

3. ව්‍යාජ රඟපෑම් (බොරු හේතු / Pretexting)

දුරකථන අංක, බැංකු ගිණුම් අංක සහ විදේශ ගමන් බලපත්‍ර විස්තර වැනි ඔබේ පුද්ගලික තොරතුරු ලබා ගැනීමට තමන්ට බලය ඇති බව මවා පාමින් ප්‍රහාරකයා දක්ෂ ලෙස ව්‍යාජ රඟපෑමක් සිදු කරයි. ඔබව රැවටීම සඳහා අදාල ඉහල නිලධාරීන්ගේ පරිපූර්ණ ලෙස සැකසූ ලාංඡන, ලිපි ශීර්ෂ සමඟ අදාල නිලධාරීන්ගේ වචන පවා භාවිත කර ඔබ වෙත පැමිණිය හැකිය.

4. ෆිෂිං (Phishing) ඔබගේ ගිණුම් හැක් කිරීමට පරිශීලක තොරතුරු ලබා ගැනීමට උත්සාහ කරන වංචා සහ එහි ප්‍රතිඵලයක් ලෙස බ්ලැක්මේල් කිරීම ෆිෂිං ලෙස වර්ග කළ හැකිය.

කුමන ලින්ක් එක ඇත්තද බොරුද කියා හඳුනා ගන්නේ කෙසේද යන්න පිළිබඳ වැඩිදුර තොරතුරු සොයා ගන්න.

5. ස්පියර් ෆිෂිං (Spear phishing) ෆිෂිං වලට වඩා පියවරක් ඉදිරියට ගොස් ස්පියර් ෆිෂිං මඟින් තනි පුද්ගලයෙක් දක්ෂ ලෙස ඉලක්ක කරයි. යම් උපායකට හසු කර ගැනීම සඳහා සමාජ ඉංජිනේරුවන් විසින් වැඩි කාලයක් හා වෑයමක් දරමින් ඉතා පරීක්ෂාකාරී ලෙස ඉලක්ක කරයි. මන්ද, උපායට හසුකරගැනීමට ලක්වන පුද්ගලයා  එය සත්‍ය යැයි විශ්වාස කර ඊට ප්‍රතිචාර දැක්වීමෙන් ගැලවිය නොහැකි තත්වයකට පත් කළ යුතු බැවිනි.නිදසුනක් වශයෙන්, ලොතරැයි දිනුම් හෝ අනපේක්ෂිත ත්‍යාග දිනා ඇති බව පවසමින්, “අනන්‍යතා සොරකම්” සඳහා පවා භාවිතා කළ හැකි ඔබේ පුද්ගලික තොරතුරු ඉල්ලා සිටින ඊමේල් හරහා සිදු කරන වංචාවන් අද කාලයේ බහුලව ඇසිය හැකිය.

වර්තමානයේ රැල්ලක් සේ සිදුවෙන ස්කෑම් වංචා වර්ග ගැන මෙතැනින් දැන ගන්න

සමාජ ඉංජිනේරුකරණය වැළැක්වීම / හසු නොවීම (Social engineering prevention)

මානව හැඟීම් හසුරුවන සමාජ ඉංජිනේරුවන්ගේ ප්‍රහාර වැළැක්වීම සඳහා සයිබර් අවකාශයේ ඕනෑම දෙයකට ප්‍රතිචාර දැක්වීමට පෙර ඔබ සෝදිසියෙන් සිටිය යුතු අතර ඥානාන්විතව සිතිය යුතුය.

සමාජ ඉංජිනේරු හැක් කිරීම්වලින් ආරක්ෂා වීමට උපදෙස් කිහිපයක් පහත දැක්වේ;

• URL එක නිවැරදි බව ඔබට තහවුරු නැත්නම්, අමුතු පෙනුමක් ඇති ඇමුණුම් (attachments) හෝ ආකර්ෂණීය සබැඳි (links) අඩංගු කිසිවක් විවෘත නොකරන්න. (කුමන ලින්ක් එක ඇත්තද බොරුද කියා හඳුනා ගන්නේ කෙසේද සොයා බලන්න)
•  පරිශීලකයා සත්‍යාපනය (verify) සඳහා වෙනස් සත්‍යාපන සාධක දෙකක් භාවිතා කරන ආරක්ෂිත ක්‍රියාවලියක් වන දෙපියවර සත්‍යාපනය (two-factor authentication) හැකි සැම විටම භාවිතා කරන්න. (http://www.hithawathi.lk/si/help-center-si/cyber-safety/what-is-two-factor-authentication-si/)
• කිසි විටෙකත් ඔබගේ මුරපද (passwords) හෝ පිවිසුම් තොරතුරු කිසිවෙකුට ලබා නොදෙන්න.
• සිත් ඇදගන්නා සුළු තෑගී දීමනා ගැන සැලකිලිමත් වන්න, සමහර විට එවැනි වංචා ඔබ සතුව ඇති දේ පවා අහිමි වීමට මග සලසයි.
• යාවත්කාලීන ප්‍රති-වයිරස / ප්‍රති-මෘදුකාංග (up-to-date anti-virus / antimalware) මෘදුකාංගයක් ස්ථාපනය කරන්න

සයිබර් අවකාශයේ ඔබගේ ආරක්ෂාව ගැන තව විස්තර මෙතැනින් දැනගන්න

මූලාශ්‍ර:

https://www.imperva.com/learn/application-security/social-engineering-attack/

https://www.pandasecurity.com/mediacenter/security/social-engineering/