跳转到主要内容

Phishing ප්‍රහාරවලින් ආරක්ෂා වන්නේ කෙසේද

Phishing තවමත් ගිණුම් සොරකම් කිරීමේ #1 ක්‍රමයය. නවීන phishing ක්‍රියා කරන්නේ කෙසේද, සැලකිලිමත් විය යුතු අනතුරු ඇඟවීම් සහ ප්‍රහාර සැබවින්ම නවත්වන ප්‍රායෝගික ආරක්ෂක ක්‍රම ඉගෙන ගන්න.

2026-04-14

TL;DR

  • Phishing යනු ගිණුම් අත්පත් කර ගැනීමේ #1 හේතුවයි — ප්‍රහාරකයන් ව්‍යාජ වෙබ් අඩවියක ඔබව රවටා අක්තපත්‍රපත්‍ර ලබා දීමට පොලඹවයි.
  • නවීන phishing කට්ටල පිවිසුම් පිටු pixel-perfect ලෙස අනුකරණය කර ඔබගේ 2FA කේත සජීවීව proxy කරයි.
  • Hardware ආරක්ෂක යතුරු (YubiKey, FIDO2) යනු නිර්මාණයෙන්ම phishing-proof වූ එකම ආරක්ෂාවයි.
  • Password manager වැරදි domain වල auto-fill කිරීම ප්‍රතික්ෂේප කිරීමෙන් ඔබව ආරක්ෂා කරයි.
  • අක්තපත්‍රපත්‍ර ටයිප් කිරීමට පෙර නිශ්චිත domain පරීක්ෂා කරන්න, සහ විද්‍යුත් තැපෑලකි ඇති link එකකින් කිසිදා පිවිසෙන්න එපා.

Phishing යනු කුමක්ද?

Phishing යනු සමාජ ඉංජිනේරුකරණ ප්‍රහාරයක් වන අතර එහිදී ප්‍රහාරකයකු නීතිමත් වෙබ් අඩවියක ඒත්තු ගන්වන අනුකරණයක් — බොහෝ විට pixel-perfect — නිර්මාණය කර එහි අක්තපත්‍රපත්‍ර ඇතුළත් කිරීමට ගොදුරක් රවටා ගනී. ගොදුර form submit කළ මොහොතේම, ප්‍රහාරකයා username, password සහ ඕනෑම දෙවන factor අල්ලා ගෙන තත්පර කිහිපයක් ඇතුළත සැබෑ ගිණුම අත්පත් කර ගැනීමට ඒවා භාවිතා කරයි.

මෙම වචනය bait (සාමාන්‍යයෙන් විද්‍යුත් තැපෑලක්) සමඟ ගොදුරු සඳහා "fishing" කිරීමේ රූපකයෙන් පැමිණේ. ප්‍රහාරකයන් බොහෝ විට phone නම්බර් (SMS phishing, හෝ "smishing") සහ වෘත්තීය පෙනුමක් ඇති infrastructure භාවිතා කරන බව අවධාරණය කිරීම සඳහා spelling වෙනස් විය.

Phishing තවමත් #1 තර්ජනය වන්නේ මන්ද

අද වන විට බොහෝ විශාල පරිමාණ ගිණුම් කඩා බැලීම් hacking, මුරපද crack කිරීම හෝ encryption bypass කිරීම සම්බන්ධ නොවේ. ඒවා මිනිසෙක් ව්‍යාජ වෙබ් අඩවියකට මුරපදයක් ටයිප් කිරීම ඇතුළත් වේ. Phishing යනු:

  • ලාභදායක — ප්‍රහාරකයකුට VPS එකක සහ spoofed domain එකක වියදමකින් මිලියන ගණන් ඊමේල් යැවිය හැකිය
  • Filter කිරීම දුෂ්කර — නවීන කට්ටල domains rotate කරයි, නීතිමත් hosting භාවිතා කරයි සහ සජීවීව filters වලට අනුගත වේ
  • Effective — ආරක්ෂක-දැනුම් ඇති පරිශීලකයන් පවා හොඳින් නිර්මාණය කළ ඉලක්කගත උත්සාහයන්ට (spear phishing) ගොදුරු වේ
  • Scalable — එක් සාර්ථක phish එකක් මගින් බොහෝ විට password නැවත භාවිතය හරහා සම්බන්ධිත සේවා දුසිම් ගණනකට ප්‍රවේශය ලබා ගනී

2024 Verizon Data Breach Investigations Report මගින් සොයා ගත් ආකාරයට සියලු කඩා බැලීම්වලින් 36%කට වඩා වැඩි ප්‍රමාණයක ආරම්භක ප්‍රවේශ vector phishing විය — වෙනත් කිසියම් තනි හේතුවකට වඩා වැඩියි.

නවීන phishing ක්‍රියා කරන්නේ කෙසේද

Phishing 2000 දශකයේ "Nigerian prince" ඊමේල් වලට වඩා බොහෝ දුරට පරිණාමය වී ඇත. නවීන phishing ප්‍රහාරයක් සාමාන්‍යයෙන් ඇතුළත් කරයි:

1. ඒත්තු ගන්වන bait එකක්

සාමාන්‍යයෙන් urgency ("ඔබගේ ගිණුම අත්හිටුවන ලදි"), authority ("Microsoft security කණ්ඩායම"), හෝ කුතුහලය ("කවුරුහරි ඔබව ඡායාරූපයක tag කළා") නිර්මාණය කරන ඊමේල්, text හෝ chat පණිවිඩයක්. Spear-phishing LinkedIn, breach dumps හෝ පෙර ලිපි හුවමාරුවලින් ලබා ගත් පුද්ගලික විස්තර සමඟ මෙය තව දුරටත් ගෙන යයි.

2. Pixel-perfect ව්‍යාජ වෙබ් අඩවිය

ප්‍රහාරකයන් ඉලක්ක වෙබ් අඩවියේ HTML, CSS සහ JavaScript clone කරන off-the-shelf phishing kits භාවිතා කරයි. බොහෝ කට්ටල service ලෙස (phishing-as-a-service) විකුණනු ලබන අතර, ක්‍රියාකරණ dashboard සහ customer support සමඟ පැමිණේ.

3. 2FA සඳහා සජීවී proxy

අනතුරුදායක කොටස: නවීන කට්ටල ඔබගේ මුරපදය පමණක් capture කරන්නේ නැත. ඒවා man-in-the-middle proxy ලෙස ක්‍රියා කරන අතර ඔබ ටයිප් කරන සෑම දෙයක්ම — ඔබගේ TOTP කේතය ඇතුළුව — තත්පර කිහිපයක් ඇතුළත සැබෑ වෙබ් අඩවියට forward කරයි, බොහෝ 2FA bypass කරයි. මෙම තාක්ෂණය adversary-in-the-middle (AiTM) ලෙස හඳුන්වන අතර Evilginx2 සහ Modlishka වැනි මෙවලම් වල භාවිතා වේ.

4. Session token සොරකම

ඔබ proxy හරහා authenticate වූ පසු, ප්‍රහාරකයා ඔබගේ session cookie capture කර ඔබ ඔබගේ මුරපදය වෙනස් කළ පසුවත් එය භාවිතයෙන් logged in ලෙස රැඳී සිටිය හැකිය. මේ නිසා phishing ප්‍රතිචාරයේදී සෑම විටම ක්‍රියාකාරී sessions revoke කිරීම ඇතුළත් වේ, password rotation පමණක් නොවේ.

Phishing සැබවින්ම නවත්වන දේ

Hardware ආරක්ෂක යතුරු (FIDO2 / WebAuthn)

මෙය නිර්මාණයෙන්ම phishing-proof වූ එකම ආරක්ෂක කාණ්ඩයයි. ඔබ FIDO2 යතුරක් සමඟ පිවිසෙන විට, ඔබගේ යතුර authentication ඉල්ලන වෙබ් අඩවියේ නිශ්චිත domain cryptographically තහවුරු කරයි. ව්‍යාජ වෙබ් අඩවියක් — කෙතරම් දෘශ්‍යමය වශයෙන් perfect වුවත් — වෙනත් domain එකක් ඇති නිසා යතුර ප්‍රතිචාර දීම ප්‍රතික්ෂේප කරයි. Cryptographic handshake සරලව සම්පූර්ණ නොවේ.

Google 2017 දී සියලු සේවකයන් 85,000+ සඳහා YubiKeys අනිවාර්ය කළ අතර ඊට පසු වසර වලදී සමාගම් ගිණුම් සඳහා phishing ප්‍රහාර ශුන්‍ය සාර්ථක බව වාර්තා කළේය.

Passkeys

Passkeys යනු FIDO2 හි පරිභෝගික-හිතකාමී පරිණාමයයි. ඒවා එකම domain-bound cryptography භාවිතා කරන අතර iOS, Android, macOS සහ Windows වල ගොඩනගා ඇත. ඔබ භාවිතා කරන වෙබ් අඩවියක් passkeys සඳහා සහාය දක්වන්නේ නම්, එකක් සක්‍රීය කිරීම එම ගිණුම phishing-proof කරයි.

Password managers

Password manager ඔබගේ දෙවන ආරක්ෂණ රේඛාව වන්නේ එය අක්තපත්‍රපත්‍ර නිශ්චිත domain එකේ පමණක් autofill කරන බැවිනි, එහිදී ඒවා සුරක්ෂිත කර ඇත. ඔබ paypal.com වෙනුවට paypaI.com (capital I) වෙත ගියහොත්, ඔබගේ manager නිහඬව form fill කිරීම ප්‍රතික්ෂේප කරයි. එම ප්‍රතික්ෂේපය කිසියම් දෙයක් වැරදි බවට හයියෙන් අනතුරු ඇඟවීමකි.

Email සහ DNS filtering

Email providers spoofed sender ලිපින හඳුනා ගැනීම සඳහා DMARC, SPF සහ DKIM භාවිතා කරයි. බොහෝ නවීන providers පැහැදිලි උත්සාහයන් අල්ලා ගනිති, නමුත් ඉලක්කගත ප්‍රහාර තවමත් මග හැරී ගිය හැකිය. Filters දියුණු කිරීමට ඔබ උදව් කිරීම සඳහා ඔබගේ mail client එකේ "report phishing" බොත්තම් සක්‍රීය කරන්න.

සැලකිලිමත් විය යුතු අනතුරු ඇඟවීම්

ඔබට පිවිසීම, තහවුරු කිරීම හෝ හදිසියේ ක්‍රියා කිරීම ඉල්ලන පණිවිඩයක් ලැබෙන විට:

  • Urgency සහ තර්ජන — "ඔබගේ ගිණුම පැය 24ක් ඇතුළත වසා දමන ලදි"
  • Generic ආචාරමාන් — ඔබගේ නම වෙනුවට "ගරු පාරිභෝගිකයා"
  • Look-alike domainspaypaI.com, app1e.com, secure-microsoft-login.net
  • අනපේක්ෂිත attachments — විශේෂයෙන් .zip, .html, හෝ .pdf ගොනු ඔබට බැලීමට පිවිසීම ඉල්ලන
  • Grammar හෝ formatting දෝෂ — විශාල සමාගම් තම ඊමේල් proofreread කරයි
  • Link mismatch — link මත hover කර destination එක text එක සමඟ ගැලපේදැයි පරීක්ෂා කරන්න

යමක් අමුතුයි දැනෙනවා නම්, ඊමේල් වසන්න. Manually වෙබ් අඩවියට navigate කරන්න. සැබෑ ගැටළුවක් තිබේ නම්, ඔබ ඔබගේ සාමාන්‍ය workflow හරහා පිවිසෙන විට ඔබ එය දකිනු ඇත.

ඔබ එකකට ගොදුරු වුණොත් කළ යුතු දේ

ඉක්මනින් ක්‍රියා කරන්න — වේගය වැදගත් වන්නේ ප්‍රහාරකයන් මිනිත්තු කිහිපයක් ඇතුළත අක්තපත්‍රපත්‍ර භාවිතා කිරීම ආරම්භ කරන බැවිනි.

  1. වහාම මුරපදය වෙනස් කරන්න වෙනත් device එකකින් (උදාහරණයක් ලෙස, ඔබ laptop එකේ ඒ සඳහා ගොදුරු වුණා නම් ඔබගේ phone එකෙන්)
  2. සියලු ක්‍රියාකාරී sessions revoke කරන්න account settings වල — මෙය සොරකම් කළ session tokens භාවිතා කරන ඕනෑම අයෙකු එළවා දමයි
  3. 2FA සක්‍රීය කරන්න එය දැනටමත් ක්‍රියාත්මක නොවුණා නම්, සහ හැකි නම් hardware key හෝ passkey භාවිතා කරන්න
  4. අනවසරයෙන් ක්‍රියාකාරකම් පරීක්ෂා කරන්න — යැවූ ඊමේල්, මෑත පිවිසීම්, billing වෙනස්කම්, නව forwarding rules
  5. බලපෑමට ලක්වූ ආයතනයට දන්වන්න එය මූල්‍ය හෝ කාර්යාල ගිණුමක් නම්
  6. එකම මුරපදය භාවිතා කළ වෙනත් ගිණුම් පරීක්ෂා කරන්න — ඔබ මුරපද නැවත භාවිතා නොකරන බව ඔබට විශ්වාසයි වුණත්, පරීක්ෂා කරන්න

අනුකූල අවසානය

Phishing සාර්ථක වන්නේ එය තාක්ෂණය bypass කර මිනිසුන් target කරන නිසාය. හොඳම ආරක්ෂක ක්‍රම තට්ටු තුනක් මිශ්‍රණය කරයි: password managers (වැරදි domains වල autofill කිරීම ප්‍රතික්ෂේප කරයි), phishing-resistant 2FA (සැබෑ domain සමඟ bind වන hardware keys හෝ passkeys), සහ සෞඛ්‍ය සම්පන්න සැකයකි (ඊමේල් link එකකින් කිසිදා පිවිසෙන්න එපා).

ඔබගේ වඩාත්ම වැදගත් ගිණුමේ — ඔබගේ ඊමේල් — මුලින්ම මේ සියල්ල සක්‍රීය කරන්න. එතැන් සිට, ඔබගේ ඩිජිටල් ජීවිතයේ ඉතිරි කොටස අර්ථයක් ඇති ලෙස ආරක්ෂිත වේ.

Phishing වලින් ආරක්ෂා වන්නේ කෙසේද

Phishing ප්‍රහාර වලට එරෙහිව ඔබගේ ගිණුම් ශක්තිමත් කිරීම සඳහා ප්‍රායෝගික, අනුපිළිවෙලින් ගබඩා කරන ලද checklist එකක්.

  1. Password manager එකක් භාවිතා කරන්න:ප්‍රසිද්ධ password manager එකක් (1Password, Bitwarden, Proton Pass) install කර අක්තපත්‍රපත්‍ර autofill කිරීමට ඉඩ දෙන්න. එය look-alike domains වල autofill කිරීම ප්‍රතික්ෂේප කරයි, ඔබට built-in phishing detector එකක් ලබා දේ.
  2. Phishing-resistant 2FA enable කරන්න:ඔබගේ වඩාත්ම වැදගත් ගිණුම් වලට FIDO2 hardware key (YubiKey, Google Titan) හෝ passkey එකක් එකතු කරන්න — මුලින්ම විද්‍යුත් තැපෑල, ඊට පසුව banking, cloud storage, සහ password manager. මේවා සැබවින්ම නවීන phishing නවත්වන එකම 2FA ක්‍රම වේ.
  3. Email links වලින් කිසිදා පිවිසෙන්න එපා:පිවිසීමට ඔබට දන්වන විද්‍යුත් තැපෑලක් ලැබුණහම, email එක වසා bookmark එකක් හරහා හෝ URL ටයිප් කර manually වෙබ් අඩවියට navigate කරන්න. Email එකේ ඇති link එක perfect clone එකක් විය හැකි; ඔබගේ browser එකේ ඇති bookmark එක එසේ නොවේ.
  4. ටයිප් කරන්න ඉස්සර නිශ්චිත domain පරීක්ෂා කරන්න:කිසියම් මුරපදයක් ඇතුළත් කිරීමට පෙර, address bar එකේ සම්පූර්ණ URL එක බලන්න. https, නිවැරදි spelling, සහ paypal.com.secure-login.net වගේ අමතර subdomains නැති බව බලන්න.
  5. Report කර ඉදිරියට යන්න:Phishing උත්සාහය ඔබගේ email provider වෙත report කරන්න (බොහෝ දෙනාට "Report phishing" button එකක් තිබේ). ඊට පසුව ඔබගේ දිනය සමඟ ඉදිරියට යන්න — ඔබ ඒ සඳහා ගොදුරු වුණොත් පමණක් phishing අනතුරුදායක වේ, සහ awareness යනු සටනේ බොහෝ කොටසකි.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email