Hacking | Gossip | Technology

හැකර්වරුන්සතුබලගතුමආයුධය:#Social_Engineering සහ Hacking_උපක්‍රම 🇱🇰 ♥😍

මේ ගැන දාපු පලවෙනි Post එක මෙතනින් බලන්න...
Link-https://www.facebook.com/2122123894722621/posts/2255579474710395/


Hacking කිව්වහම බොහෝ විට ඔබට මතකයට එන්නේ පරිගණක, සහ පරිගණක පද්ධති අශ්‍රිතව අවසර නොලත් පුද්ගලයෙකු සිදු කරන හානිකර ක්‍රියාවලියක් වන්නට පුළුවන්. නමුත් hacking එතනින් එහාට විහිදුණු බොහොම පුළුල් මාතෘකාවක්. ඔබ දන්නවා ද hacking උපක්‍රම භාවිතා කරමින් පරිගණක පමණක් නොව පුද්ගලයින් ද hack කරන්න පුළුවන් බව?

බොහෝ විට hacking ප්‍රහාරයකට ලක් වෙන්නේ පද්ධතියක්. මිනිසා කියන්නෙත් එවැනිම පද්ධතියක් ලෙසින් හිතන්නට ඔබට පුළුවන් නම්, එහි දුර්වලතා, bugs වගේ දේවල් හොයාගන්න එක එතරම්ම අපහසු නැහැ. සාමාන්‍යයෙන් එවැනි hacking උපක්‍රම හඳුන්වන්නේ social engineering කියලා. මේක එක්තරා විදියක hacking Category( ප්‍රවර්ගයක්) එකක් විදිහට හඳුන්වන්න පුළුවන්. හැකර්වරු බොහෝ විට භාවිතා කරන ප්‍රසිද්ධ attacking strategies/methods ගණනාවක් මේ යටතට තමයි ගණන් ගැනෙන්නේ.

#මොකද්ද_මේ_Social_Engineering?

Social Engineering කියන්නේ psychological manipulation - urbannetwork.co.uk
සරලවම කිව්වොත් යම්කිසි පුද්ගලයන් කණ්ඩායමකගෙන් හෝ පුද්ගලයෙකුගෙන් අවශ්‍ය යම් දෙයක් ලබා ගැනීම සදහා ඔවුන්ව/ ඔහුව/ ඇයට මනෝවිද්‍යාත්මකව බලපෑම් කිරීම. හරිම සරලව මෙහෙම විග්‍රහ කළාට hacker කෙනෙකු සතුව තියෙන බලගතුම අවියක් විදිහට මෙය හඳුන්වන්න පුළුවන්. සරල උදාහරණයකින් පැහැදිලි කළොත්;

A සහ B කියලා පුද්ගලයින් දෙන්නෙක් ඉන්නවා. දෙදෙනාගෙන් A කියන්නේ හැකර්. එතකොට B තමා ගොදුර (victim), එහෙමත් නැත්නම් හැක්-වෙන කෙනා. Aට Bගේ facebook ගිණුමේ Email සහ Password ලබාගන්න අවශ්‍ය යි.  A විසින් Bව එක්තරා විදිහකට රැවටීමට ලක්කරනවා. Bගේ විශ්වාසය දිනාගෙන එයාටත් නොදැනෙන්න තමන්ට ඕන කරන විස්තර ටික ලබාගන්නවා. සමහරක් විට Aට කෙළින්ම තමන්ට අවශ්‍ය කරන තොරතුරු ලැබෙන්නත් පුළුවන්, නොලැබෙන්නත් පුළුවන්. මොකද ඒක තීරණය වෙන්නේ A කියන පුද්ගලයා බොරු කියලා රැවටීමෙහි කොච්චර දක්ෂ ද යන්න වගේම B කියන පුද්ගලයා අපරික්ෂාකාරී ද කියන එක.

තරමක් බරපතල මට්ටමේ ක්‍රියාවලියකට (hack කිරීමකට) සූදානම් වෙන පුද්ගලයෙක් සාමාන්‍යයෙන් දින ගාණක්/ මාස ගණනක් තමාට අවශ්‍ය පුද්ගලයා නිරීක්ෂණය කරමින්, ඔහුව හොඳින් අධ්‍යයනය කිරීමක් සිදු කරනවා. පෞද්ගලික දත්තවල සිට භාවිතා කරන සුවඳ විලවුන්, ආශ්‍රය කරන පුද්ගලයින්, විශේෂයින්ම කාන්තාවන් ගැන නිරීක්ෂණයක් සිදු කරනවා. ඒ වගේම මේ Social Engineering ප්‍රහාරයන් පුද්ගලමූලික සහ පරිගණක පද්ධතිමූලික වශයෙන් ප්‍රධාන ක්‍රමවේදයන් දෙකකට සිදු වෙනවා. කොයි ක්‍රමවේදය අනුව සිදු වුණත් ප්‍රධාන ඉලක්කය වෙන්නේ ඒ පද්ධතියේ ඉන්න දුර්වලම පුද්ගලයා. මේ දුර්වලතාව ඔවුන් මනින්න භාවිතා කරන ප්‍රධාන සාධක කිහිපයක් තියෙනවා.

හදිස්සිය
බය
කෑදරකම
කුතුහලය
අනුකම්පාව
අධිකාරිය සඳහා ගරු කිරීම
නොසැලකිල්ල
විශ්වාසය

මේ සියල්ලම මිනිසුන් සතු පොදු දුර්වලතාවයන්. ඔවුන් පරිගණක පද්ධතියක සතුව තියෙන vulnerabilities, bugs නිරීක්ෂණය කරන ලෙසින්ම තමයි මේවා නිරීක්ෂණය කරන්නේ. ඒ වගේම මේ පොඩි ලක්ෂණත් පුද්ගලානුබද්ධව වෙනස් වෙනවා. උදාහරණයක් විදිහට කෑදරබව ගත්තොත්, එක් පුද්ගලයෙක් කෑමට කෑදර වෙද්දී තවෙකෙක් මුදලට කෑදර වෙන්න පුළුවන්. ඒවා තේරුම් ගැනීම, සහ ප්‍රහාරය එල්ල කළ යුතු ආකාරය තීරණය වෙන්නේ හැකර් සතු දත්ත වගේම ඔහුගේ නිර්මාණශිලිත්වය මත යි.

පහත සඳහන් ක්‍රමවේදයන් සමහරකට සෘජුවම Social Engineering භාවිතා නොවුණත්, ඉහත සඳහන් කර ඇති පොඩි පොඩි පුද්ගල දුර්වලතාවයන් අවභාවිතා කරමින් ක්‍රියාත්මක වෙන කුප්‍රකට hacking methods කීපයක් මේ.


#Trojan_horses

Social Engineering මඟින් සිදුවූ පැරණිතම ප්‍රහාරය - fs.blog
ඔබ සාමාන්‍යයෙන් තොරතුරු තාක්ෂණයට උනන්දු පුද්ගලයෙක් නම් මේ නම නුහුරු වන්නට විදිහක් නැහැ. Social Engineering භාවිතයෙන් සිදුවුණු කුප්‍රකටම සහ පැරණිතම ප්‍රහාරය පිළිබඳ තොරතුරු වාර්තා වෙන්නේ මේ ප්‍රවර්ගයෙන්.

වසර 3000කට පමණ පෙර ග්‍රීකයින් ට්‍රෝයි නගරයට විරුද්ධව සිදුකළ බව කියන ට්‍රෝජන් යුද්ධය පිළිබඳ ඔබ අසා තිබෙනවා ද? අවුරුදු දහයක් පුරා ට්‍රෝයි නගරය වැටලීමට ග්‍රීකවරුන් උත්සහ කළත් ඒවා අසාර්ථක වුණා. අවසානයේ ග්‍රීකයින් ට්‍රෝයිවරුන් පූජනිය ලෙස සැලකූ සත්ත්වයෙකු වන අශ්වයෙකුගේ ඉතා විශාල දැවමය පිළිමයක් නිර්මාණය කරනු ලබනවා. රහසේ එය තුළට තෝරාගත් විශේෂ බලකායක් පුරවා, මෙය ග්‍රීක ත්‍යාගයක් ලෙස නගරයට පිවිසෙන ප්‍රධාන දොරටුව ඉදිරිපස තබනවා. ග්‍රීකවරුන් පසුබැස ගොස් ඇතැ යි සිතූ ට්‍රෝයි ජනතාව මෙම දැවමය අශ්වයා ට්‍රෝයි නගරය තුළට රැගෙන යන්නේ ඔවුන්ගේ ජයග්‍රහණයේ සංකේතයක් ලෙස යි. නමුත් දවස අවසානයේ අශ්වයා තුළ සිටි ග්‍රීක සොල්දාදුවන් අඳුර වැටෙනවාත් සමග එය පිටතට පැමිණ, ප්‍රධාන දොරටුවේ ආරක්ෂාවට යොදවා සිටි මුරකරුවන් මරා, අවසානයේ ට්‍රෝයි නගරය යටත් කරගනු ලැබුවා.

අප දැන් කතාකරන මාතෘකාවේ දී භාවිතා කරන්නෙත් මෙවැනිම ක්‍රමවේදයක්. තෝරාගත් තැනැත්තා රැවටීමකට ලක්කර, ඔහුට malicious file එකක් download කරගන්න සැලැස්වීම එහිදී සිදු වෙනවා. එම තැනැත්තා මේ file එක open කළ විට ඔහුගේ පරිගණකයේ/ උපාංගයේ backdoor එකක් හැකර් වෙත විවෘත වෙනවා. ඒ හරහා අවශ්‍ය විටක දී ඔහුගේ පරිගණකය පාලනය කරන්න hackerට හැකියාව ලැබෙනවා.

#Shoulder_Surfing

මෙහිදී කරන්නේ තමාට අවශ්‍ය කරන target එක කෙළින්ම නිරීක්ෂණය කරන එක. මේ සඳහා එතරම් තාක්ෂණික දැනීමක් අවශ්‍ය නෑ. මේ ක්‍රමය භාවිතා කරලා hackersලට PIN අංකයන්, passwords වගේ ගොඩක් රහසිගත තොරතුරු හොයාගන්න පුළුවන්. මේ ක්‍රමය බොහෝ වෙලාවට ගොඩක් සෙනග ගැවසෙන ස්ථානවල තමයි ඔවුන් සිදුකෙරෙන්නේ. මොකද එතකොට යි තමාගේ ඉලක්කයට නොදැනෙන්න මෙය සිදුකරන්නට හැකියාව ලැබෙන්නේ. Credit/ debit card වංචාවෙන් ගැලවෙන්නේ මෙහෙම යි!  ලිපියේ දීත් මේ ගැන සාකච්ඡා කෙරුනා.

#Role-#playing

Social Engineeringවල ප්‍රධාන technique එකක් විදිහට මෙය හඳුන්වන්න පුළුවන්. තෝරාගත් ඉලක්කය සමාජය හා සම්බන්ධකම් පවත්වන online chat session, emails, phone වගේ දේවල්වලින් හැකර්ට අවශ්‍ය තොරතුරු හොයාගන්න එක තමයි සරලවම මේ වෙන්නේ.

#Dumpster_Diving

බොහොමයක් විශාල ආයතනවල වැරදීම් සිදුවුණු ගමන් ලිපි ගොනු ඉවත් කිරීමක් සිදු කරනවා. ඒ වගේම බොහොමයක් සමාගම් කිසිම විදිහකට ලිපිගොනු විනාශ කිරීමේ ක්‍රමයක් භාවිතා කරන්නෙත් නැහැ. මේ විදිහට ඉවතලන phone books, system manuals, රැස්වීම් කැලැන්ඩර, මුද්‍රිත login නාම සහ passwords, මුද්‍රිත source codes වගේ ගොඩක් වටිනා රහසිගත දත්ත hackersලට කුණුගොඩවලින්  හොයාගන්න පුළුවන්.


#Phishing_සහ_Vishing

බැංකුවක් වැනි නීත්‍යානුකූල ආයතනයක් ලෙස පෙනී සිටිමින්, තමන්ගේ ඉලක්කයට දුරකථන ඇමතුමක් ලබා දී තමාට අවශ්‍ය තොරතුරු ලබාදීමට පෙළඹවීම Vishing / Voice phishing/ phone phishing විදියට හඳුන්වන්න පුළුවන්. දුරකථනයකින් ඔබ අමතන SCAM ලිපිය හරහාත් අපි මේ ගැන කතා කළා. Phishing සහ Spam පිළිබඳවත් ඊට පෙර ලිපි මඟින් දීර්ඝව කතාබහ කළා.


Phishing සහ Vishing අහලා තියෙනව ද?

Reverse Social Engineeringවල ප්‍රධාන කොටස් 3 දැකගන්න පුළුවන්. Sabotage, Marketing, Support විදිහට. Sabotage කියන පියවරේ දී වෙන්නේ hackerට තමාගේ ඉලක්කය සමග සම්බන්ධ වෙන්න ලැබුණු පොඩි ඉඩක දී එම ඉලක්කයට යම් වරදක් සිදු කිරීම හෝ එවැනි දෙයක් සිදුවුණු ලෙස හඟවනවා. එය විසඳන්නට ඉලක්කය විසින් යමෙකු හොයන මට්ටමට පත් කරනවා. දෙවැනි පියවර ආරම්භ වෙන්නේ එතකොට. Marketing පියවරේ දී වෙන්නේ අර ගැටළුව විසඳාගන්නට උත්සාහ කරන ඉලක්කයට, එයට ඉහළම සුදුස්සා තමා බව ඒත්තු ගැන්වීම. තුන්වන පියවර විදිහට Supportවල දී ඉලක්කයේ විශ්වාසය දිනාගෙන, උදව් කරන මුවාවෙන් hackerට අවශ්‍ය සංවේදී දත්ත ඔහු ලබා ගන්නවා.

මේ හැරෙන්නට තවත් විවිධ ක්‍රමවේදයන් ගණනාවක් තිබෙනවා.

මේ Post එක නම් උස්සපු එකක් බව කරැණාවෙන් සලකන්න.....
Post Credit Goes to Roar Tech 🇱🇰 🇱🇰 ♥