hacking နည္းပညာထဲက Phishing နည္းဆိုတာ

Phishing ဆိုတာဟာ တရား၀င္ ၀က္ဘ္ဆိုက္ပံုစံမ်ဳိးအေယာင္ေဆာင္ၿပီး အသံုးျပဳသူေတြ ဆီကေန username, password, အေႂကး၀ယ္ကတ္နံပါတ္စတဲ့ ကိုယ္ေရးကိုယ္တာ အခ်က္ အလက္ေတြ ရယူႏိုင္ေအာင္ တိုက္ခိုက္တဲ့ နည္းစနစ္ကို ေခၚဆုိျခင္းျဖစ္ပါ တယ္။ Phising နည္းကို e-mail နဲ႔ instant messaging စနစ္ေတြအသံုးျပဳၿပီး တိုက္ခိုက္သူေတြရဲ႕ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြထဲ လမ္းၫႊန္ သြား ကာ ကိုယ္ေရးကိုယ္တာ အခ်က္ အလက္ အေသးစိတ္ကို ရယူတာျဖစ္ပါတယ္။ အဓိကအားျဖင့္ေတာ့ PayPal, eBay, YouTube နဲ႔ online ဘဏ္ေတြဟာ phishing တိုက္ခိုက္သူေတြရဲ႕ ဦးတည္ ရာျဖစ္ေနၾကတာကို ေတြ႕ရပါ တယ္။



Phishing နည္းနဲ႔တိုက္ခိုက္ႏိုင္ေၾကာင္း နည္းပညာဆိုင္ရာ အေသးစိတ္ရွင္းလင္းေရးသား ထားခ်က္ကို ၂၀၀၇ ခုႏွစ္အတြင္း Interex လို႔ေခၚတဲ့ International HP Users Group ဆီတင္သြင္းတဲ့ စာတမ္းတစ္ ခုမွာေဖာ္ျပထားၿပီး phishing ဆိုတဲ့စကားလံုးကိုေတာ့ ၁၉၉၆ ခုႏွစ္ ဇန္န၀ါရီလ ၂ ရက္ေန႔မွာ America Online ရဲ႕ Usenet newsgroup မွာ စတင္အသံုးျပဳ ခဲ့တာကို ေတြ႕ရပါတယ္။

အေစာပိုင္း phishing နည္းနဲ႔တိုက္ခိုက္သူေတြဟာ AOL ၀န္ထမ္းအေယာင္ေဆာင္ၿပီး အသံုးျပဳ သူေတြဆီ instant message ကေနတစ္ဆင့္ password ေတြေတာင္းယူကာ spam message ေတြ ေပးပို႔ၾကတယ္လို႔ သိရပါတယ္။ ဒီလိုကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ေတြ ရယူကာ တိုက္ခိုက္တဲ့လုပ္ရပ္ေတြက်ယ္ ျပန္႔လာတာေၾကာင့္ ေနာက္ပိုင္းမွာ ကုမၸဏီကေန ဘယ္ AOL ၀န္ထမ္းကမွ အသံုးျပဳသူရဲ႕ ကိုယ္ေရးကိုယ္တာအခ်က္အလက္နဲ႔ password   ေတြ ေတာင္းယူျခင္း မျပဳဆိုတဲ့စာသားကို instant message တိုင္းမွာ ထည့္သြင္းေပး လာရ တယ္ လို႔ ဆိုထားပါတယ္။

အဲဒီေနာက္မွာေတာ့ တိုက္ခိုက္သူေတြဟာ online ေငြေခ်စနစ္ေတြကို ေျပာင္းလဲ တိုက္ခိုက္ လာၾကတာကို ေတြ႕ရပါတယ္။ ၂၀၀၁ ခုႏွစ္ ဇြန္လမွာ E-gold ဟာ phising နည္းနဲ႔ ပထမဆံုး တိုက္ခိုက္ခံရတဲ့ ေငြေခ်စ နစ္ ျဖစ္လာပါတယ္။ ၂၀၀၄ ခုႏွစ္ အေရာက္မွာေတာ့ phishing တိုက္ခိုက္မႈေတြဟာ တစ္ကမၻာလံုး အတိုင္းတာနဲ႔ က်ယ္ျပန္႔လာတဲ့ ရာဇ၀တ္မႈႀကီး တစ္ခုျဖစ္ လာခဲ့ပါတယ္။

တိုက္ခိုက္သူေတြအေနနဲ႔ online ေငြေခ်မႈစနစ္ ဒါမွမဟုတ္ အေမရိကန္ျပည္တြင္းအခြန္မ်ားဌာန ကေန ေပးပို႔တဲ့ပံုစံမ်ဳိးအေယာင္ ေဆာင္ e-mail ေတြကို သုံးၿပီး ကိုယ္ေရးကိုယ္တာ အခ်က္ အလက္ေတြကို ရယူလာၾကပါတယ္။

လူတစ္ဦးခ်င္းစီကို သီးျခားရည္ရြယ္တဲ့ phishing တိုက္ခိုက္မႈေတြကို spear phishingု လုိ႔ေခၚ ဆိုၿပီး စီးပြားေရးလုပ္ငန္းရွင္ေတြနဲ႔ ကုမၸဏီအမႈေဆာင္အရာရွိေတြကို ရည္ ရြယ္တိုက္ခိုက္ တာေတြကိုေတာ့ whaling လို႔ ေခၚဆိုၾကတဲ့ အေၾကာင္းလည္း သိရပါတယ္။

Social networking ၀က္ဘ္ဆိုက္ေတြ ဟာလည္း phishing တိုက္ခိုက္မႈေတြရဲ႕ ဦးတည္ ရာျဖစ္လာေနတာကို ေတြ႕ရပါတယ္။ ၂၀၀၆ ခုႏွစ္ေႏွာင္း ပိုင္း မွာေပၚထြက္ခဲ့တဲ့ worm က MySpace ရဲ႕ စာမ်က္ႏွာအတြင္းက linkက ေတြကို ေျပာင္းလဲကာ တိုက္ခိုက္သူ ေတြရဲ႕ ၀က္ဘ္ဆိုက္ထဲ redirect လုပ္ၿပီး login အခ်က္အလက္ေတြကို ခိုးယူခဲ့ပါတယ္။

 ေလ့လာမႈေတြ အရလည္း social networking ၀က္ဘ္ဆိုက္ေတြကို ဦးတည္တဲ့ တိုက္ခိုက္ မႈေတြရဲ႕ ၇၀ ရာခိုင္ႏႈန္းဟာ ေအာင္ျမင္တဲ့အေၾကာင္း သိရပါတယ္။

Phishing တိုက္ခိုက္မႈေတြအတြင္း အမ်ားဆံုးအသံုးျပဳတဲ့နည္းလမ္းကေတာ့ အမွန္တကယ္ရွိေန တဲ့ ၀က္ဘ္ဆိုက္ေတြကိုစာလံုး မွား ေပါင္းထား တဲ့ URL ဒါမွမဟုတ္ subdomain ေတြကို အသံုးျပဳျခင္းအားျဖင့္ လွည့္စားထားၾကတာျဖစ္ပါတယ္။ ဒါ့အျပင္ မ်က္စိ နဲ႔ ျမင္ေန ရတဲ့ link မွာ ယံုၾကည္စိတ္ခ်ရတဲ့ ၀က္ဘ္ ဆိုက္ နာမည္ထည့္ထားကာ ေနာက္ကြယ္မွာ တိုက္ခိုက္ သူေတြရဲ႕ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ထဲေရာက္  ရွိ သြားေအာင္ လုပ္ေဆာင္ၾကတာေတြ လည္း ရွိပါတယ္။ ေနာက္ထပ္နည္းလမ္းေဟာင္းတစ္ခုကေတာ့ username နဲ႔ password ကို address bar ထဲမွာ တစ္ခါတည္း႐ိုက္ထည့္လို႔ရတဲ့နည္းကို သံုးတာပဲျဖစ္ ပါတယ္။

ဥပမာအားျဖင့္ သာမန္အသံုးျပဳသူတစ္ ေယာက္အေနနဲ႔ http: www.google.com@ members.tripod. comThis e-mail address is being protected from spambots. You need JavaScript enabled to view it ဆိုတဲ့လိပ္စာဟာ Google ၀က္ဘ္ဆိုက္ထဲေရာက္ရွိ မယ္လို႔ ထင္ၾကေပမယ့္ အမွန္တကယ္ အားျဖင့္ members. tripod. com ထဲ ေရာက္ရွိသြား ကာ www.google.com ကေတာ့ username အျဖစ္ ၀င္ေရာက္သြားမွာျဖစ္ပါတယ္။

အခုအခါ Inter- net Explorerv မွာ ဒီလိုအသံုးျပဳတဲ့နည္းလမ္းကို disable ျပဳလုပ္ထားၿပီး Firefox နဲ႔ Opera တို႔မွာေတာ့ သတိေပးခ်က္ထုတ္ျပန္ေပးတာကို ေတြ႕ရပါတယ္။ တခ်ဳိ႕ phishing တိုက္ခိုက္မႈ ေတြမွာဆုိရင္ JavaScript ကိုသံုး ၿပီး address bar အတြင္းက လိပ္စာ ကို ေျပာင္းလဲ ထားျခင္း URL အတြင္း အစစ္အမွန္၀က္ဘ္ ဆိုက္လိပ္စာအတုိင္း ဖန္တီးထားတဲ့ image ထည့္သြင္းျခင္း စတာ မ်ဳိး ေတြလည္း လုပ္ေဆာင္တတ္ၾကပါ တယ္။

အခု ေနာက္ပိုင္းမွာေတာ့ cross-site scripting လို႔ေခၚတဲ့ တိုက္ခိုက္မႈ နည္းလမ္းသစ္ကို အသံုးျပဳ လာၾက တာကို ေတြ႕ရပါ တယ္။ ဒီစနစ္ဟာ တျခား phi-shing တိုက္ခိုက္မႈေတြလိုမ်ဳိး အေယာင္ေဆာင္၀က္ဘ္ ဆိုက္ေတြ ကို အသံုးျပဳတာမဟုတ္ဘဲ မူရင္း ၀က္ဘ္ဆိုက္ ထဲ script ထည့္သြင္းကာ ကိုယ္ေရးကိုယ္တာ အခ်က္အလက္ေတြကို ခိုးယူျခင္းျဖစ္ပါ တယ္။

Anti-phishing ကုမၸဏီ ေတြအေနနဲ႔ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ေတြကို ရွာေဖြမွတ္တမ္း တင္ကာ အသံုးျပဳသူေတြဆီ သတိေပးခ်က္ ထုတ္ျပန္ေပးေန တာေၾကာင့္ phishing တိုက္ခိုက္ သူေတြအေနနဲ႔ ၎တို႔ရဲ႕ ၀က္ဘ္ ဆိုက္ထဲမွာ ႐ိုး႐ိုးစာသားေတြအစား Flashး ကို အေျခခံထား တဲ့ ၀က္ဘ္ ဆိုက္ေတြအသံုးျပဳ လာေနၾက တဲ့ အေၾကာင္း သိရပါတယ္။

၀က္ဘ္ဆိုက္အေျချပဳတိုက္ခိုက္မႈေတြအျဖစ္ မိုဘိုင္းဖုန္းေတြကေန message ေပးပို႔ၿပီး အသံုးျပဳ သူ ေတြရဲ႕ ဘဏ္စာရင္း ထဲျပႆနာ ေပၚေန တာေၾကာင့္ ဖုန္းဆက္ဖို႔ ေျပာဆိုကာ နံပါတ္ တစ္ခု ကိုေပးထား တတ္ပါ တယ္။ အဲဒီနံပါတ္ကို ေခၚဆို လိုက္တာနဲ႔ တစ္ၿပိဳင္နက္ ဘဏ္ စာရင္း နံပါတ္နဲ႔ PIN တို႔ကို ေတာင္းယူ သြားတာျဖစ္ပါတယ္။ ဒီ Vishing (Voice Phishing) တိုက္ခိုက္မႈေတြမွာ တရား၀င္အဖဲြ႕ အစည္းေတြ ဆီကေန ဆက္သြယ္ ေျပာဆိုလာတယ္လို႔ ထင္ ရေအာင္ caller ID ေတြကိုလည္း လိုသလိုေျပာင္းလဲအ သံုးျပဳတတ္ၾကတဲ့ အေၾကာင္း သိရပါ တယ္။ Phishing တိုက္ခိုက္မႈေတြ ေၾကာင့္ ၂၀၀၄ ခုႏွစ္ ေမလကေန ၂၀၀၅ ခုႏွစ္ ေမလ အတြင္း အေမ ရိကန္ႏိုင္ငံ အတြင္းက ကြန္ပ်ဴတာ အသံုးျပဳသူေတြ ထိခိုက္ခဲ့ရၿပီး ေဒၚလာ ၉၂၉ သန္း နစ္နာခဲ့ၾက ရတဲ့ အေၾကာင္း သိရပါတယ္။

ယူ ေကႏိုင္ငံအတြင္းမွာလည္း ကြန္ပ်ဴတာအသံုးျပဳသူ ၅ ရာခိုင္ႏႈန္း ဟာ Phishing တိုက္ခိုက္ မႈေတြ ခံေနၾက ရေၾကာင္း သိရပါတယ္။ Phishing တိုက္ခိုက္ခံရမႈေတြ ကို ေလွ်ာ့ခ်ဖို႔ အတြက္ ကြန္ပ်ဴတာ အသံုးျပဳသူေတြကို ပညာေပးျခင္း၊ Web browser ေတြအတြင္း anti-phishing လုပ္ေဆာင္ခ်က္ေတြ ထည့္သြင္းေပးျခင္းစတာေတြ လုပ္ေဆာင္လာၾကပါတယ္။

 အေမရိကန္ျပည္ေထာင္စုမွာ Anti-Phishing Act of ၂၀၀၅ ကို ျပ႒ာန္းကာ အေယာင္ေဆာင္ ၀က္ဘ္ဆိုက္ ဖန္တီးသူနဲ႔ အေယာင္ေဆာင္ e-mail ေပးပို႔သူေတြ ကို ေထာင္ဒဏ္ ၅ ႏွစ္ နဲ႔ ေငြဒဏ္ ေဒၚလာ ၂ သိန္း ၅ ေသာင္းအထိျပစ္ဒဏ္ေပးႏိုင္ေအာင္ လုပ္ေဆာင္ခဲ့ၿပီး ယူေကႏိုင္ငံ မွာ လည္း ေထာင္ဒဏ္ ၁၀ ႏွစ္ အထိ ျပစ္ဒဏ္ေပးႏိုင္တဲ့ Fraud Act 2006 ကို ျပ႒ာန္းထားတဲ့အေၾကာင္း သိရပါတယ္။

Posted in: Hacking