Phishing ဆိုတာ ဘာလဲ?
Phishing သည် တိုက်ခိုက်သူတစ်ယောက်က ရုပ်လုံးအတိအကျ ပြုပြင်ထားသော တရားဝင်ဝက်ဘ်ဆိုဒ်၏ ယုံကြည်စရာကောင်းသော မိတ္တူတစ်ခုကို ဖန်တီးပြီး သားကောင်ကို ထိုနေရာတွင် အကောင့်ဝင်စာများ ရိုက်ထည့်စေရန် လှည့်စားသော လူမှုရေး အင်ဂျင်နီယာ တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ သားကောင်က ပုံစံ တင်သွင်းတဲ့ ခဏမျှပင် တိုက်ခိုက်သူက အသုံးပြုသူအမည်၊ စကားဝှက်နှင့် ဒုတိယအဆင့်ကန့်သတ်ချက် မည်သည့်ကိုမဆို ရယူပြီး စက္ကန့်အတွင်းမှာပင် အစစ်အကောင့်ကို လုယူရန် အသုံးပြုကြသည်။
ဤဝေါဟာရသည် "အုံများဖြင့် သားကောင်များကို မျှားခြင်း" ဟူသော ရူပမာမှ ဆင်းသက်လာသည်။ စာလုံးပေါင်းပြောင်းလဲခြင်းသည် တိုက်ခိုက်သူများသည် မကြာခဏ phone numbers များ (SMS phishing သို့မဟုတ် "smishing") နှင့် ပရော်ဖက်ရှင်နယ် ရုပ်ရည်ရှိသော အခြေခံအဆောက်အအုံများ သုံးကြောင်းကို အလေးပေးရန်ဖြစ်သည်။
Phishing က အဓိက နံပါတ်တစ် ခြိမ်းခြောက်မှုအဖြစ် ဘာကြောင့် ဆက်ရှိနေသလဲ
ယနေ့ခေတ် ကြီးမားသော အကောင့် ချိုးဖောက်မှုများသည် hacking၊ စကားဝှက် ကွဲကြောင်းခြင်း၊ သို့မဟုတ် ကုဒ်ပြုလုပ်ခြင်းကို ကျော်ဖြတ်ခြင်း မပါဝင်ပါ။ သူတို့တွင် အတုဆိုဒ်တွင် စကားဝှက် ရိုက်ထည့်သော လူသား ပါဝင်သည်။ Phishing သည်:
- စျေးသက်သာခြင်း — တိုက်ခိုက်သူတစ်ယောက်သည် VPS နှင့် အတု ဒိုမိန်းတစ်ခု၏ ကုန်ကျစရိတ်ဖြင့် အီးမေးလ် သန်းပေါင်းများစွာ ပို့နိုင်သည်
- စစ်ထုတ်ရန် ခက်ခြင်း — ခေတ်သစ် ကိရိယာများသည် ဒိုမိန်းများကို လှည့်ပတ်ကြပြီး တရားဝင် hosting ကို သုံးကြပြီး အချိန်ပြိုင် filter များနှင့် လိုက်လျောညီထွေဖြစ်ကြသည်
- ထိရောက်ခြင်း — လုံခြုံရေး သတိရှိသူများပင် ကောင်းစွာ ဖန်တီးထားသော ခံရသည့် ရည်ရွယ်ချက် ကြိုးပမ်းမှုများ (spear phishing) ကို ခံယူကြသည်
- စကေးလ်တင်နိုင်ခြင်း — အောင်မြင်သော phishing တစ်ခုတည်းက စကားဝှက် ပြန်အသုံးပြုမှုမှတစ်ဆင့် ဆက်စပ်ဝန်ဆောင်မှုများ ဒါဇင်ချီပြီး အသုံးပြုခွင့် ရရှိတတ်သည်
2024 Verizon Data Breach Investigations Report တွင် phishing သည် ချိုးဖောက်မှုများ၏ 36% ကျော်တွင် ကနဦး အသုံးပြုဝင်ရောက်မှု ကြောင့်ကောင်း ဖြစ်သည်ဟု တွေ့ရှိခဲ့သည် — အခြား တစ်ခုတည်းသော အကြောင်းရင်းများ အားလုံးထက် ပိုများသည်။
ခေတ်သစ် phishing လုပ်ငန်းစဉ်
Phishing သည် 2000s များ၏ "Nigerian prince" အီးမေးလ်များထက် များစွာ တိုးတက်ခဲ့သည်။ ခေတ်သစ် phishing တိုက်ခိုက်မှုတွင် ပုံမှန်အားဖြင့် ပါဝင်သည်:
1. ယုံကြည်စရာကောင်းသော သွေးဆွဲခြင်း
ပုံမှန်အားဖြင့် အီးမေးလ်၊ စာတို သို့မဟုတ် ချက်တင်စာ ဖြင့် အရေးကြီးမှု ("သင့်အကောင့်ကို ဆိုင်းငံ့ပါမည်")၊ အာဏာ ("Microsoft လုံခြုံရေး အဖွဲ့")၊ သို့မဟုတ် သိလိုစိတ် ("တစ်စုံတစ်ယောက်က သင့်ကို ဓာတ်ပုံတွင် tag လုပ်ထားသည်") ဖန်တီးခြင်းဖြစ်သည်။ Spear-phishing သည် LinkedIn၊ ချိုးဖောက်မှု စုစည်းမှုများ သို့မဟုတ် အရင် စာပေးပို့မှုများမှ ရယူသော ကိုယ်ပိုင် အသေးစိတ်များဖြင့် ယင်းကို ပိုမိုရှေ့သို့ တွန်းတက်သည်။
2. ပီတာရီ ပြီးပြည့်စုံသော အတုဆိုဒ်
တိုက်ခိုက်သူများသည် ပစ်မှတ်ဆိုဒ်၏ HTML၊ CSS နှင့် JavaScript ကို ကူးယူသော ready-made phishing kits များကို သုံးကြသည်။ kit များစွာကို ဝန်ဆောင်မှုအဖြစ် ရောင်းချကြသည် (phishing-as-a-service)၊ အလုပ်လုပ်သော dashboard များနှင့် ဖောက်သည် ပံ့ပိုးမှုများ ပါရှိသည်။
3. 2FA အတွက် အချိန်ပြိုင် ပရောက်စီ
အန္တရာယ်ရှိသော အပိုင်း: ခေတ်သစ် kit များသည် သင့်စကားဝှက်ကို ရယူရုံမျှ မဟုတ်ပါ။ သူတို့က man-in-the-middle proxy အဖြစ် အပြုအမူလုပ်ပြီး သင် ရိုက်သမျှအရာအားလုံး — သင့် TOTP ကုဒ်များပါ — ကို စက္ကန့်အတွင်း အစစ်ဆိုဒ်သို့ ကူးပြောင်းကာ 2FA အများစုကို ကျော်ဖြတ်သည်။ ဤနည်းပညာကို adversary-in-the-middle (AiTM) ဟုခေါ်ပြီး Evilginx2 နှင့် Modlishka ကဲ့သို့ ကိရိယာများတွင် အသုံးပြုသည်။
4. Session token ခိုးယူခြင်း
သင် proxy မှတစ်ဆင့် authenticate လုပ်ပြီးသောအခါ တိုက်ခိုက်သူက သင့် session cookie ကို ရယူပြီး သင် စကားဝှက်ပြောင်းပြီးနောက်ပိုင်းမှာပင် လော့ဂ်အင် ဝင်ရောက်နိုင်သည်။ ဒါကြောင့်မို့ phishing ရင်ဆိုင်မှုတွင် စကားဝှက် ပြောင်းခြင်းသာမက active session များကို ပယ်ဖျက်ခြင်း ပါဝင်သည်။
Phishing ကို အမှန်တကယ် တားဆီးသည်များ
ဟာ့ဒ်ဝဲ လုံခြုံရေးသော့များ (FIDO2 / WebAuthn)
ဤသည် ဒီဇိုင်းအရ phishing ခုခံနိုင်သော တစ်ခုတည်းသော ကာကွယ်မှု အမျိုးအစားဖြစ်သည်။ သင် FIDO2 သော့ဖြင့် လော့ဂ်အင် လုပ်လျှင် သင့်သော့က authentication တောင်းသော ဆိုဒ်၏ အမှန်တကယ် ဒိုမိန်းကို ကုဒ်နည်းပညာအရ အတည်ပြုသည်။ အတုဆိုဒ် — မည်မျှ အမြင်အာရုံအရ ပြီးပြည့်စုံပါစေ — တွင် မတူညီသော ဒိုမိန်း ရှိသောကြောင့် သော့က တုံ့ပြန်ရန် ငြင်းဆိုသည်။ ကုဒ်နည်းပညာ လက်ခွင်းမို့ မအောင်မြင်ပါ။
Google သည် 2017 ခုနှစ်တွင် ဝန်ထမ်း 85,000+ အားလုံးအတွက် YubiKeys ကို ဖြစ်မြောက်စွာ မှာကြားခဲ့ပြီး နောက်နှစ်များတွင် ကုမ္ပဏီအကောင့်များပေါ် phishing တိုက်ခိုက်မှု သုညခု အောင်မြင်ခြင်း မရှိသည်ဟု သတင်းပို့ခဲ့သည်။
Passkeys
Passkeys များသည် FIDO2 ၏ စားသုံးသူ-ခွင့်ပြုသော ဆင့်ကဲဖြစ်သည်။ သူတို့က အတူတူ ဒိုမိန်း-ချိတ်ဆက် ကုဒ်နည်းပညာကို သုံးပြီး iOS၊ Android၊ macOS နှင့် Windows တို့ထဲသို့ တည်ဆောက်ထားသည်။ သင် အသုံးပြုသော ဆိုဒ်တစ်ခုက passkeys ကို ပံ့ပိုးလျှင် တစ်ခု ဖွင့်ခြင်းက ထို အကောင့်ကို phishing ခုခံနိုင်အောင် လုပ်သည်။
စကားဝှက် စီမံသူများ
စကားဝှက် စီမံသူသည် သင့်ဒုတိယကြောင်း ကာကွယ်မှုဖြစ်သည်၊ အကြောင်းမှာ သူက အကောင့်ဝင်စာများကို သိမ်းထားသော အမှန်တကယ် ဒိုမိန်း တွင်သာ အော်တို ဖြည့်သောကြောင့်ဖြစ်သည်။ သင် paypal.com အစား paypaI.com (capital I) တွင် ရောက်သွားလျှင် သင့်စီမံသူက ပုံစံ ဖြည့်ရန် အသံတိတ် ငြင်းဆိုသည်။ ထို ငြင်းဆိုမှုက ဘာတစ်ခု မမှန်နေသည်ဟူသော အသံကျယ် သတိပေးချက်ဖြစ်သည်။
အီးမေးလ် နှင့် DNS စစ်ထုတ်ခြင်း
အီးမေးလ် ပံ့ပိုးပေးသူများသည် အတု ပို့သူ လိပ်စာများကို ရှာဖွေရန် DMARC၊ SPF နှင့် DKIM ကို အသုံးပြုကြသည်။ ခေတ်သစ် ပံ့ပိုးပေးသူများ အများစုက ရှင်းလင်းသော ကြိုးပမ်းမှုများကို ဖမ်းမိကြသော်လည်း ရည်ရွယ်ချက်ရှိ တိုက်ခိုက်မှုများ ယိုစိမ့်ကျသည်။ သင့်မေးလ် client တွင် "report phishing" ခလုတ်များကို ဖွင့်ထားပါ၊ ဒါမှ filter များ တိုးတက်ရန် ကူညီနိုင်ပါသည်။
သတိပြုရမည့် အန္တရာယ် အချက်များ
သင့်ကို လော့ဂ်အင်လုပ်ရန်၊ အတည်ပြုရန် သို့မဟုတ် အရေးကြီးစွာ လုပ်ရန် တောင်းသော သတင်းစာ ရရှိလျှင်:
- အရေးကြီးမှုနှင့် ခြိမ်းခြောက်မှုများ — "သင့်အကောင့်ကို ၂၄ နာရီအတွင်း ပိတ်ပစ်ပါမည်"
- ယေဘူယျ နှုတ်ဆက်စကားများ — သင့်နာမည် အစား "ရှင်သခင်"
- တူသောပုံစံ ဒိုမိန်းများ —
paypaI.com၊app1e.com၊secure-microsoft-login.net - မမျှော်လင့်သော ပူးတွဲဖိုင်များ — အထူးသဖြင့်
.zip၊.htmlသို့မဟုတ်.pdfဖိုင်များ ကြည့်ရန်အတွက် လော့ဂ်အင် လုပ်ခိုင်းခြင်း - သဒ္ဒါ သို့မဟုတ် format ချို့ယွင်းမှုများ — ကြီးမားသော ကုမ္ပဏီများက သူတို့အီးမေးလ်များကို အမှားစစ်ကြသည်
- လင့် မကိုက်ညီမှု — လင့်ပေါ်တွင် မောက်စ်တင်ပြီး ဦးတည်ရာက စာသားနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ပါ
တစ်ခုခု မမှန်ကန်စွာ ခံစားရလျှင် အီးမေးလ်ကို ပိတ်ပါ။ ဆိုဒ်သို့ ကိုယ်တိုင် သွားရောက်ပါ။ အမှန်တကယ် ပြဿနာရှိလျှင် သင့်ပုံမှန် လုပ်ငန်းစဉ်မှတစ်ဆင့် လော့ဂ်အင် လုပ်လျှင် မြင်ရပါလိမ့်မည်။
တစ်ခုကို ခံမိလျှင် လုပ်ရမည့်အရာများ
လျင်မြန်စွာ လုပ်ဆောင်ပါ — အမြန်မှုက အရေးပါသည်၊ အကြောင်းမှာ တိုက်ခိုက်သူများသည် မိနစ်အတွင်းမှာပင် အကောင့်ဝင်စာများကို စတင်အသုံးပြုကြသောကြောင့်ဖြစ်သည်။
- ချက်ချင်း စကားဝှက် ပြောင်းပါ အခြား ကိရိယာတစ်ခုဖြင့် (ဥပမာ လက်တော့ပ်တွင် ခံမိလျှင် သင့်ဖုန်းဖြင့်)
- လက်ရှိ session များအားလုံးကို ပယ်ဖျက်ပါ အကောင့် ဆက်တင်များတွင် — ဤသည်က လက်ရှိ ခိုးယူထားသော session token များ သုံးနေသော မည်သူကိုမဆို ထုတ်ပစ်သည်
- 2FA ဖွင့်ပါ မရှိသေးလျှင်၊ ပြီးတော့ ဖြစ်နိုင်လျှင် ဟာ့ဒ်ဝဲ သော့ သို့မဟုတ် passkey သုံးပါ
- ခွင့်ပြုမထားသော လှုပ်ရှားမှုများကို စစ်ဆေးပါ — ပို့ထားသော အီးမေးလ်များ၊ လက်ရှိ လော့ဂ်အင်များ၊ ငွေပေးချေမှု ပြောင်းလဲမှုများ၊ အသစ် ကူးပြောင်း စည်းမျဉ်းများ
- ထိခိုက်သော အဖွဲ့အစည်းကို အကြောင်းကြားပါ အကယ်၍ ဘဏ္ဍာရေး သို့မဟုတ် အလုပ်အကောင့် ဖြစ်လျှင်
- အတူတူ စကားဝှက် သုံးထားသော အခြား အကောင့်များကို စစ်ပါ — စကားဝှက် ပြန်မအသုံးပြုကြောင်း သေချာစေလိုသော်လည်း စစ်ဆေးပါ
နိဂုံးချုပ်
Phishing သည် နည်းပညာကို ကျော်ဖြတ်ပြီး လူသားများကို ပစ်မှတ်ထားသောကြောင့် ရှင်သန်ပါသည်။ အကောင်းဆုံး ကာကွယ်မှုများသည် သုံးအလွှာ ရောနှောပါသည်: စကားဝှက် စီမံသူများ (မှားသော ဒိုမိန်းများတွင် အော်တိုဖြည့်ရန် ငြင်းဆိုခြင်း)၊ phishing ခုခံနိုင်သော 2FA (အစစ် ဒိုမိန်းနှင့် ချိတ်ဆက်သော ဟာ့ဒ်ဝဲ သော့များ သို့မဟုတ် passkeys) နှင့် ကျန်းမာသော သံသယဝင်မှု (အီးမေးလ် လင့်မှ ဘယ်တုန်းမှ လော့ဂ်အင် မလုပ်ခြင်း)။
သင့်အရေးကြီးဆုံး အကောင့် — သင့်အီးမေးလ် — တွင် သုံးခုစလုံးကို ဦးစွာ ဖွင့်ပါ။ ထိုမှ စတင်ပြီး သင့်ဒစ်ဂျစ်တယ် ဘဝ၏ ကျန်အပိုင်းများ အဓိပ္ပာယ်ရှိစွာ ပိုလုံခြုံလာပါလိမ့်မည်။