හැකර්වරුන් සතු බලගතුම ආයුධය: Social Engineering සහ hacking උපක්‍රම

Hacking කිව්වහම බොහෝ විට ඔබට මතකයට එන්නේ පරිගණක, සහ පරිගණක පද්ධති අශ්‍රිතව අවසර නොලත් පුද්ගලයෙකු සිදු කරන හානිකර ක්‍රියාවලියක් වන්නට පුළුවන්. නමුත් hacking එතනින් එහාට විහිදුණු බොහොම පුළුල් මාතෘකාවක්. ඔබ දන්නවා ද hacking උපක්‍රම භාවිතා කරමින් පරිගණක පමණක් නොව පුද්ගලයින් ද hack කරන්න පුළුවන් බව?

බොහෝ විට hacking ප්‍රහාරයකට ලක් වෙන්නේ පද්ධතියක්. මිනිසා කියන්නෙත් එවැනිම පද්ධතියක් ලෙසින් හිතන්නට ඔබට පුළුවන් නම්, එහි දුර්වලතා, bugs වගේ දේවල් හොයාගන්න එක එතරම්ම අපහසු නැහැ. සාමාන්‍යයෙන් එවැනි hacking උපක්‍රම හඳුන්වන්නේ social engineering කියලා. මේක එක්තරා විදියක hacking Category( ප්‍රවර්ගයක්) එකක් විදිහට හඳුන්වන්න පුළුවන්. හැකර්වරු බොහෝ විට භාවිතා කරන ප්‍රසිද්ධ attacking strategies/methods ගණනාවක් මේ යටතට තමයි ගණන් ගැනෙන්නේ.

මොකද්ද මේ Social Engineering?

සරලවම කිව්වොත් යම්කිසි පුද්ගලයන් කණ්ඩායමකගෙන් හෝ පුද්ගලයෙකුගෙන් අවශ්‍ය යම් දෙයක් ලබා ගැනීම සදහා ඔවුන්ව/ ඔහුව/ ඇයට මනෝවිද්‍යාත්මකව බලපෑම් කිරීම. හරිම සරලව මෙහෙම විග්‍රහ කළාට hacker කෙනෙකු සතුව තියෙන බලගතුම අවියක් විදිහට මෙය හඳුන්වන්න පුළුවන්. සරල උදාහරණයකින් පැහැදිලි කළොත්;

A සහ B කියලා පුද්ගලයින් දෙන්නෙක් ඉන්නවා. දෙදෙනාගෙන් A කියන්නේ හැකර්. එතකොට B තමා ගොදුර (victim), එහෙමත් නැත්නම් හැක්-වෙන කෙනා. Aට Bගේ facebook ගිණුමේ Email සහ Password ලබාගන්න අවශ්‍ය යි.  A විසින් Bව එක්තරා විදිහකට රැවටීමට ලක්කරනවා. Bගේ විශ්වාසය දිනාගෙන එයාටත් නොදැනෙන්න තමන්ට ඕන කරන විස්තර ටික ලබාගන්නවා. සමහරක් විට Aට කෙළින්ම තමන්ට අවශ්‍ය කරන තොරතුරු ලැබෙන්නත් පුළුවන්, නොලැබෙන්නත් පුළුවන්. මොකද ඒක තීරණය වෙන්නේ A කියන පුද්ගලයා බොරු කියලා රැවටීමෙහි කොච්චර දක්ෂ ද යන්න වගේම B කියන පුද්ගලයා අපරික්ෂාකාරී ද කියන එක මත.

තරමක් බරපතල මට්ටමේ ක්‍රියාවලියකට (hack කිරීමකට) සූදානම් වෙන පුද්ගලයෙක් සාමාන්‍යයෙන් දින ගාණක්/ මාස ගණනක් තමාට අවශ්‍ය පුද්ගලයා නිරීක්ෂණය කරමින්, ඔහුව හොඳින් අධ්‍යයනය කිරීමක් සිදු කරනවා. පෞද්ගලික දත්තවල සිට භාවිතා කරන සුවඳ විලවුන්, ආශ්‍රය කරන පුද්ගලයින්, විශේෂයින්ම කාන්තාවන් ගැන නිරීක්ෂණයක් සිදු කරනවා. ඒ වගේම මේ Social Engineering ප්‍රහාරයන් පුද්ගලමූලික සහ පරිගණක පද්ධතිමූලික වශයෙන් ප්‍රධාන ක්‍රමවේදයන් දෙකකට සිදු වෙනවා. කොයි ක්‍රමවේදය අනුව සිදු වුණත් ප්‍රධාන ඉලක්කය වෙන්නේ ඒ පද්ධතියේ ඉන්න දුර්වලම පුද්ගලයා. මේ දුර්වලතාව ඔවුන් මනින්න භාවිතා කරන ප්‍රධාන සාධක කිහිපයක් තියෙනවා.

1. හදිස්සිය
2. බය
3. කෑදරකම
4. කුතුහලය
5. අනුකම්පාව
6. අධිකාරිය සඳහා ගරු කිරීම
7. නොසැලකිල්ල
8. විශ්වාසය

මේ සියල්ලම මිනිසුන් සතු පොදු දුර්වලතාවයන්. ඔවුන් පරිගණක පද්ධතියක සතුව තියෙන vulnerabilities, bugs නිරීක්ෂණය කරන ලෙසින්ම තමයි මේවා නිරීක්ෂණය කරන්නේ. ඒ වගේම මේ පොඩි ලක්ෂණත් පුද්ගලානුබද්ධව වෙනස් වෙනවා. උදාහරණයක් විදිහට කෑදරබව ගත්තොත්, එක් පුද්ගලයෙක් කෑමට කෑදර වෙද්දී තවෙකෙක් මුදලට කෑදර වෙන්න පුළුවන්. ඒවා තේරුම් ගැනීම, සහ ප්‍රහාරය එල්ල කළ යුතු ආකාරය තීරණය වෙන්නේ හැකර් සතු දත්ත වගේම ඔහුගේ නිර්මාණශිලිත්වය මත යි.

පහත සඳහන් ක්‍රමවේදයන් සමහරකට සෘජුවම Social Engineering භාවිතා නොවුණත්, ඉහත සඳහන් කර ඇති පොඩි පොඩි පුද්ගල දුර්වලතාවයන් අවභාවිතා කරමින් ක්‍රියාත්මක වෙන කුප්‍රකට hacking methods කීපයක් මේ.  

Trojan horses

ඔබ සාමාන්‍යයෙන් තොරතුරු තාක්ෂණයට උනන්දු පුද්ගලයෙක් නම් මේ නම නුහුරු වන්නට විදිහක් නැහැ. Social Engineering භාවිතයෙන් සිදුවුණු කුප්‍රකටම සහ පැරණිතම ප්‍රහාරය පිළිබඳ තොරතුරු වාර්තා වෙන්නේ මේ ප්‍රවර්ගයෙන්.

වසර 3000කට පමණ පෙර ග්‍රීකයින් ට්‍රෝයි නගරයට විරුද්ධව සිදුකළ බව කියන ට්‍රෝජන් යුද්ධය පිළිබඳ ඔබ අසා තිබෙනවා ද? අවුරුදු දහයක් පුරා ට්‍රෝයි නගරය වැටලීමට ග්‍රීකවරුන් උත්සහ කළත් ඒවා අසාර්ථක වුණා. අවසානයේ ග්‍රීකයින් ට්‍රෝයිවරුන් පූජනිය ලෙස සැලකූ සත්ත්වයෙකු වන අශ්වයෙකුගේ ඉතා විශාල දැවමය පිළිමයක් නිර්මාණය කරනු ලබනවා. රහසේ එය තුළට තෝරාගත් විශේෂ බලකායක් පුරවා, මෙය ග්‍රීක ත්‍යාගයක් ලෙස නගරයට පිවිසෙන ප්‍රධාන දොරටුව ඉදිරිපස තබනවා. ග්‍රීකවරුන් පසුබැස ගොස් ඇතැ යි සිතූ ට්‍රෝයි ජනතාව මෙම දැවමය අශ්වයා ට්‍රෝයි නගරය තුළට රැගෙන යන්නේ ඔවුන්ගේ ජයග්‍රහණයේ සංකේතයක් ලෙස යි. නමුත් දවස අවසානයේ අශ්වයා තුළ සිටි ග්‍රීක සොල්දාදුවන් අඳුර වැටෙනවාත් සමග එය පිටතට පැමිණ, ප්‍රධාන දොරටුවේ ආරක්ෂාවට යොදවා සිටි මුරකරුවන් මරා, අවසානයේ ට්‍රෝයි නගරය යටත් කරගනු ලැබුවා.

අප දැන් කතාකරන මාතෘකාවේ දී භාවිතා කරන්නෙත් මෙවැනිම ක්‍රමවේදයක්. තෝරාගත් තැනැත්තා රැවටීමකට ලක්කර, ඔහුට malicious file එකක් download කරගන්න සැලැස්වීම එහිදී සිදු වෙනවා. එම තැනැත්තා මේ file එක open කළ විට ඔහුගේ පරිගණකයේ/ උපාංගයේ backdoor එකක් හැකර් වෙත විවෘත වෙනවා. ඒ හරහා අවශ්‍ය විටක දී ඔහුගේ පරිගණකය පාලනය කරන්න hackerට හැකියාව ලැබෙනවා.

Shoulder Surfing

මෙහිදී කරන්නේ තමාට අවශ්‍ය කරන target එක කෙළින්ම නිරීක්ෂණය කරන එක. මේ සඳහා එතරම් තාක්ෂණික දැනීමක් අවශ්‍ය නෑ. මේ ක්‍රමය භාවිතා කරලා hackersලට PIN අංකයන්, passwords වගේ ගොඩක් රහසිගත තොරතුරු හොයාගන්න පුළුවන්. මේ ක්‍රමය බොහෝ වෙලාවට ගොඩක් සෙනග ගැවසෙන ස්ථානවල තමයි ඔවුන් සිදුකෙරෙන්නේ. මොකද එතකොට යි තමාගේ ඉලක්කයට නොදැනෙන්න මෙය සිදුකරන්නට හැකියාව ලැබෙන්නේ. Credit/ debit card වංචාවෙන් ගැලවෙන්නේ මෙහෙම යි!  ලිපියේ දීත් මේ ගැන සාකච්ඡා කෙරුනා.

Role-playing

Social Engineeringවල ප්‍රධාන technique එකක් විදිහට මෙය හඳුන්වන්න පුළුවන්. තෝරාගත් ඉලක්කය සමාජය හා සම්බන්ධකම් පවත්වන online chat session, emails, phone වගේ දේවල්වලින් හැකර්ට අවශ්‍ය තොරතුරු හොයාගන්න එක තමයි සරලවම මේ වෙන්නේ.

Dumpster Diving

බොහොමයක් විශාල ආයතනවල වැරදීම් සිදුවුණු ගමන් ලිපි ගොනු ඉවත් කිරීමක් සිදු කරනවා. ඒ වගේම බොහොමයක් සමාගම් කිසිම විදිහකට ලිපිගොනු විනාශ කිරීමේ ක්‍රමයක් භාවිතා කරන්නෙත් නැහැ. මේ විදිහට ඉවතලන phone books, system manuals, රැස්වීම් කැලැන්ඩර, මුද්‍රිත login නාම සහ passwords, මුද්‍රිත source codes වගේ ගොඩක් වටිනා රහසිගත දත්ත hackersලට කුණුගොඩවලින්  හොයාගන්න පුළුවන්.

Phishing සහ Vishing

බැංකුවක් වැනි නීත්‍යානුකූල ආයතනයක් ලෙස පෙනී සිටිමින්, තමන්ගේ ඉලක්කයට දුරකථන ඇමතුමක් ලබා දී තමාට අවශ්‍ය තොරතුරු ලබාදීමට පෙළඹවීම Vishing / Voice phishing/ phone phishing විදියට හඳුන්වන්න පුළුවන්. දුරකථනයකින් ඔබ අමතන SCAM ලිපිය හරහාත් අපි මේ ගැන කතා කළා. Phishing සහ Spam පිළිබඳවත් ඊට පෙර ලිපි මඟින් දීර්ඝව කතාබහ කළා.

Reverse Social Engineering

Reverse Social Engineeringවල ප්‍රධාන කොටස් 3 දැකගන්න පුළුවන්. Sabotage, Marketing, Support විදිහට. Sabotage කියන පියවරේ දී වෙන්නේ hackerට තමාගේ ඉලක්කය සමග සම්බන්ධ වෙන්න ලැබුණු පොඩි ඉඩක දී එම ඉලක්කයට යම් වරදක් සිදු කිරීම හෝ එවැනි දෙයක් සිදුවුණු ලෙස හඟවනවා. එය විසඳන්නට ඉලක්කය විසින් යමෙකු හොයන මට්ටමට පත් කරනවා. දෙවැනි පියවර ආරම්භ වෙන්නේ එතකොට. Marketing පියවරේ දී වෙන්නේ අර ගැටළුව විසඳාගන්නට උත්සාහ කරන ඉලක්කයට, එයට ඉහළම සුදුස්සා තමා බව ඒත්තු ගැන්වීම. තුන්වන පියවර විදිහට Supportවල දී ඉලක්කයේ විශ්වාසය දිනාගෙන, උදව් කරන මුවාවෙන් hackerට අවශ්‍ය සංවේදී දත්ත ඔහු ලබා ගන්නවා.

මේ හැරෙන්නට තවත් විවිධ ක්‍රමවේදයන් ගණනාවක් තිබෙනවා.

පොළට යනකොටත් භාවිත වෙන Social Engineering

දැනුවත්ව හෝ නොදැනුවත්ව ඔබත් Social Engineering පිළිබඳ විශේෂඥයෙක් කියලා හිතිලා තියෙනවා ද? නොදැනුවත්වම වුණත් Social Engineering භාවිතා කරලා ඔබේ වැඩකටයුතු බොහෝ සිදු කරලා ඇති. උදාහරණයක් විදිහට පොළෙන් බඩු මිල දී ගන්න ගියාම මුදලාලිලා එක්ක දිගින් දිගටම හෙට්ටු කිරීම් කරන්නේ මේ ක්‍රමවේදය භාවිතයෙන් තමයි. අවසානයේ ඔබ අවශ්‍ය මුදලට ආසන්න ගාණකට භාණ්ඩය මිලට ගන්නවා. සුපිරි වෙළඳසැලක තත්ත්වය මීට තරමක් වෙනස්. ඔවුන්ගේ පාරිභෝගික සහායකයින් ඔබට භාණ්ඩ තෝරාගැනීමට සහය වෙන මුවාවෙන් පැමිණ, ඔවුන්ගේ භාණ්ඩ සහ සන්නාමයන් ඔබේ බඩු ලැයිස්තුවට ඇතුල් කරන්නේ ඔබටත් නොදැනීම යි.

Social Engineering සමාජයට අහිතකර යමක් නොවෙයි. භාවිතයේ ගැටළුවක් තමයි පවතින්නේ. මේ ලිපියේ අරමුණ එවැනි අවභාවිත කිරීම් පිළිබඳ ඔබව දැනුවත් කිරීම යි. ඒ වගේම The Circle (2017), Snowden (2016), Algorithm (2014), Fifth Estate (2013), Darknet 2018, Mr. Robot, Searching, Cam(2018),Who Am I(2014), TheCircle(2017), Nerve(2016), Blackhat(2015), Transcendence(2014), Friend Request(2016) වැනි චිත්‍රපට සහ ටෙලිකතා මාලා නරඹන ලෙස අප ඔබට යෝජනා කරනවා.