Friday, September 18, 2020

விஷிங்

 

”வீட்டிலிருந்து அதிகமான ஊழியர்கள் பணியாற்றுவதால் விஷிங் தாக்குதல்கள் குறிப்பிடத்தக்கவளவு அதிகரித்துள்ளன”

புதிய செய்தி (www.techradar.com)

குரல்’ மற்றும் ‘ஃபிஷிங்’ ஆகியவற்றிலிருந்து விஷிங் உருவானது.

பிஷிங் என்பது பொதுமக்களது இரகசிய தனிப்பட்ட தகவல்களைத் அவர்களது மின்னஞ்சல்கள், வழமையான தொலைபேசி அழைப்புகள் அல்லது போலி வலைத்தளங்களின் மூலமாக திருடுவதற்கு பயன்படுத்தி ஏமாற்றும் ஒரு மோசமான வழியாகும்.

விஷிங் மூலமாக இலக்கு வைக்கும் நபர்களை அழைக்க இணைய தொலைபேசி சேவையை (VoIP) பயன்படுத்தி மக்களை ஏமாற்றும் செயலில் விஷேர்ஸ் (விஷிங்கில் ஈடுபடுபவர்கள்) மேற்கோள்கிறார்கள் .வெறுமனே, மின்னஞ்சல் ஃபிஷிங்கின் தொலைபேசி வடிவமாக விஷிங் அறிமுகப்படுத்தப்படலாம்.

பிஷிங் மற்றும் விஷிங் இரண்டும் சமூக பொறியியல் வகைகளாகும்.

பிஷிங்கைப் போலவே, விஷிங்கில் மக்களை பயமுறுத்தும் அல்லது உணர்ச்சிபூர்வமான கையாளுதலுடன் அவசரத்தைக் குறிக்கும் தந்திரோபாயங்கள் பயன்படுத்தப்படுகின்றன. உண்மையான தொலைபேசி இலக்கங்களை போல காட்சியளிக்கக்கூடியதான போலி அழைப்பாளர் அடையாள சுயவிவரங்களை (‘கொலர் ஐடி ஸ்பூஃபிங்’ என அழைக்கப்படுகிறது) உருவாக்குவதற்கும் கூட விஷிங்கில் ஈடுபடுபவர்கள் செயல்படுகிறார்கள். பழக்கமான இலக்கம் அல்லது ஒரு நிலையான தொலைபேசி இலக்கத்தில் இருந்து அழைப்பு வரும்போது பொதுமக்களால் அதை நிராகரிப்பதற்கு காரணம் கண்டுபிடிக்க முடியாமல் போகிறது.


விஷிங் உங்கள் பணம், அடையாளம் அல்லது இரண்டையும் திருடுவதை நோக்கமாகக் கொண்டுள்ளது. ஒரு நிறுவனத்தின் ஊழியர்கள் வீட்டிலிருந்து பணிபுரியும் போது பௌதீக ரீதியாக ஒருவருக்கொருவர் பக்கத்தில் இல்லாத போது விஷிங்கில் ஈடுபடுவர்களுக்கு தமது இலக்குகளை அடைவது இன்னும் எளிதாகிறது. இந்த தொலைதூரத்தன்மை விஷிங்கில் ஈடுபடுவர்களுக்கு வீட்டிலிருந்து பணிபுரியும் ஊழியர்களுடன் நெருங்கிப் பழக உதவுகிறது, தாம் நிறுவனத்தின் தகவல் தொழில்நுட்பப் பிரிவைச் சேர்ந்தவர்கள் எனக் கூறி இவர்கள் நிறுவனத்தின் விபிஎன் அல்லது ஏதேனும் பிரச்சினையை சரிசெய்கிறார்கள்.


குரல் அழைப்புகள் மூலம், விஷிங்கில் ஈடுபடுவர்கள் பெரும்பாலும் நிறுவனத்தின் உண்மையான வலைத்தளத்தைப் போலவே இருக்கும் ஒரு வலைத்தளத்திற்கு உங்களை வழிநடத்தி உங்கள் பயனர் நற்சான்றிதழ்களை (பயனர் பெயர், கடவுச்சொல்) வெளிப்படுத்த உங்களை முயற்சிக்கிறார்கள். . ஜீரோஃபாக்ஸின் அச்சுறுத்தல் புலனாய்வு பணிப்பாளர் ஜக் அலன் கூறுகையில், விஷிங்கில் ஈடுபடுவர்கள் தொடர்ச்சியாக புதிதாக வேலைக்கு சேருபவர்களை குறிவைத்து போலி லிங்க்ட்இன் சுயவிவரங்களையும் உருவாக்குவதன் மூலமாவது நடப்பது உண்மையானது என்று அவர்களை உணர செய்கிறார்கள் .


பெரும்பாலும் இரண்டு சைபர் கிரிமினல்கள் விஷிங்கில் முயற்சிகளில் ஒன்றாக வேலை செய்கிறார்கள். விஷிங்கில் ஈடுபடும் ஒருவர் அழைப்பில் இருக்கும்போது, மற்றவர் அந்த நேரத்தில் வழங்கப்பட்ட தகவல்களைப் பயன்படுத்தி இலக்கு அமைப்பின் VPN இல் உள்நுழைய முயற்சிக்கிறார். அவை ஆரம்பத்தில் தோல்வியுற்றாலும், தரவை மேம்படுத்தி அவர்களின் அடுத்த முயற்சியில் விளைதிறனான முறையில் பயன்படுத்தலாம்.

தொலைபேசியில் சூழ்நிலையைப் பற்றி பகுத்தறிவுடன் சிந்திக்க நேரமில்லை என்பதால், சமூக பொறியியலாளர்கள் விஷிங்கை மிகவும் பயனுள்ள கருவியாக கருதுகிறார்கள். சில நேரங்களில் தாக்குபவர்கள் தேவையான தகவல்களைப் பெறுவதற்கு முன்பாக கேள்விகளைக் கேட்பதற்கு இதற்கு இரையாகுபவர்களை ஊக்குவிப்பதில்லை. உடனடியாக நடவடிக்கை எடுக்கப்பட வேண்டும் என்று இலக்கு வைக்கப்பட்டவர்களை குழப்புவதிலோ அல்லது அவர்களை பயமுறுத்துவதிலோ விஷிங்கில் ஈடுபடுபவர்கள் கை தேர்ந்தவர்கள். நிறுவனத்தின் அனைத்து ஊழியர்களிடமோ அல்லது குறிப்பாக நிறுவனத்திற்கு வெளியே உள்ளவர்களை கையாளும் ஊழியர்களிடமோ இந்த தாக்குதல்கள் மேற்கொள்ளப்படலாம் என்பது அவதானிக்கப்பட்டுள்ளது .

மேலும், பொதுவாக உங்கள் பயனர் நற்சான்றிதழ்களை மின்னஞ்சல் மூலமாகவோ அல்லது தொலைபேசி வாயிலாகவோ அது உங்கள் உங்கள் நிறுவன தகவல் தொழில்நுட்பப் பிரிவாக இருந்தால் கூட எவருக்குமே வெளிப்படுத்தக்கூடாது என்று அறிவுறுத்தப்படுகிறது.


மேற்கோள்கள் :

https://fraudwatchinternational.com/vishing/what-is-vishing/

https://www.techradar.com/news/new-wave-of-voice-phishing-attacks-targets-vpn-credentials

https://www.knowbe4.com/vishing

Thursday, September 17, 2020

Vishing

 


“Vishing attacks have increased significantly with more employees working from home” News alert (www.techradar.com)

Vishing derives from ‘voice’ plus ‘phishing’.

Phishing is a notorious way of cheating people with the use of emails, regular phone calls or fake websites to steal their confidential personal information.

Vishers who engage in the act of vishing deceive people using an internet telephone service (VoIP) to call the targeted. Simply, vishing can be introduced as the phone version of email phishing.

Both Phishing and Vishing are types of social engineering.

Just like in phishing, tactics that make people scare or indicate urgency with emotional manipulation are used in vishing. The vishers act even creating fake Caller ID profiles (known as ‘Caller ID spoofing’) so that the phone numbers look very legitimate. When a call comes from a familiar number or a fixed line, people hardly find a reason to reject it.

Vishing aims at stealing your money, identity or both. Achieving vishers’ goals are even easier when employees of an organization work from home and are not physically next to each other. This remoteness helps vishers get close to employees, who work from home, claiming that they are from the IT division of the company and troubleshooting some issues with company’s VPN or something.

Through the voice calls, the vishers attempt to get you to reveal your user credentials (user name, password) most probably directing you to a website that looks exactly like the original website of the organization. ZeroFox’s Director of Threat Intelligence Zack Allen says that the vishers constantly target new hires even by creating fake LinkedIn profiles in order to make them feel that the occurrence is genuine.

Often two cybercriminals work together in vishing efforts. When one visher is on the call, the other tries to log into the VPN of the targeted organization using the information provided simultaneously. Though they fail initially, the data could be improved and used productively on their next attempt.

Social engineers consider vishing as a quite beneficial tool since the targeted person finds no time to rationally think of the circumstance over the phone. Sometimes the attackers do not encourage the preys to ask questions prior to gaining required information. Vishers are even good at confusing the targeted convincing that action has to be taken immediately or making them scared. It is noticed that the attacks may focus on all the employees or especially on the staff dealing with people outside the organization.

Moreover, it is advised that you must never reveal your credentials via email or over the phone to anybody, even to your organizations’ IT division, which should normally possess them.

References:

https://fraudwatchinternational.com/vishing/what-is-vishing/

https://www.techradar.com/news/new-wave-of-voice-phishing-attacks-targets-vpn-credentials

https://www.knowbe4.com/vishing



Monday, July 27, 2020

සමාජ ඉංජිනේරු විද්‍යාව (Social Engineering)

සමාජ ඉංජිනේරු විද්‍යාව යන්න සරලව පැහැදිලි කලොත්, යම් අහිංසක පුද්ගලයෙක්ව උපායශීලීව රැවටීමට ලක්කිරීම හෝ වැරදි ක්‍රියාවක් සිදු කිරීම සඳහා පෙළඹවීම, එම පුද්ගලයාගේ පරිශීලක තොරතුරු (user credentials) සහ රහස්‍ය පෞද්ගලික තොරතුරු ලබා ගැනීමේ අරමුණින් නොමඟ යැවීම යනාදී පුළුල් පරාසයක විහිදෙන අනිෂ්ට මිනිස් ක්‍රියාකාරකම් රාශියක් අන්තර්ගත වේ.

වර්තමාන ලෝකයේ, අපරාධකරුවන් සහ සයිබර් වංචාකරුවන් විසින් පරිශීලකයින් රවටා රහස්‍ය තොරතුරු හෙළි කරගැනීමට භාවිතා කරන තාක්‍ෂණයක් ලෙස, සමාජ ඉංජිනේරු විද්‍යාව හඳුනාගෙන ඇත. මෙසේ ඔවුන් විසින් හෙළි කරගනු ලබන්නේ ආරක්‍ෂිත අරමුණු සඳහා හෝ සත්‍යාපනය / verification සඳහා අදාළ යෙදුමෙන් / මෘදුකාංගයෙන් ඉල්ලා සිටියොත් මිස කිසිවෙකුවට නොදිය යුතු තොරතුරු වේ.

‘සමාජ ඉංජිනේරුවන්’ (‘hacker’ / ‘හැකර්’ සඳහා වෘත්තීය යෙදුමක් ලෙසද භාවිතා කළ හැකිය) විවිධ පද්ධති සහ යෙදුම් (උදා: ෆේස්බුක්, ඊමේල්, ඉමෝ, වෙනත් සමාජ ජාල ඇප්ස්) වෙත ප්‍රවේශය ලබා ගැනීම සඳහා එම දත්ත රැස් කර ඔවුන් ඉලක්ක කරන ප්‍රතිලාභය ලැබෙන තෙක් ඒවා පාලනය කරයි. මෙම ප්‍රතිලාභය බොහෝ විට ප්‍රමාණවත් තරම් තාර්කික නොවන / බුද්ධිමත්ව සිතා නොබැලූ පරිශීලකයින්ව බ්ලැක්මේල් කිරීමෙන් උපයා ගත් දෙයක් විය හැකිය.


පහත දැක්වෙන රූපසටහන සමාජ ඉංජිනේරු විද්‍යාව භාවිතා කර ප්‍රහාර සිදුවන ආකාරය පෙන්වයි.


සමාජ ඉංජිනේරු ප්‍රහාර ක්‍රම ආකාර පහකින් හඳුනාගත හැකිය;

  1. ඇමක් (Baiting) හරහා ප්‍රහාරකයින් බොහෝ විට භෞතික උපකරණ භාවිතා කරමින් ඇමක් තබයි. නිදසුනක් වශයෙන්, ග්‍රහණයට හසු කර ගත වින්දිතයන් සිටින ස්ථානවල (සමාගමක සේවකයෙකු විය හැකිය) අනිෂ්ට මෘදුකාංග ආසාදිත (malware-infected) ෆ්ලෑෂ් ඩ්‍රයිව් ඔවුන්ට නිසැකවම පෙනෙන පරිදි – විශේෂයෙන් කාර්යාල මේසයක / විවේකාගාරයක / සෝපානයක තැබීම වැනි කථා අපට අසන්නට ලැබේ. මෙසේ සූදානම් කර ඇති ඇම කෙනෙකුට ගැනීමට සිතෙන පරිදි ආකර්ශනීය වන ලෙස අව්‍යාජ පෙනුමක් ඇති ආකාරයට ඉදිරිපත් කරයි. එනම් එය සමාගමේ ‘වැටුප් ලැයිස්තුව’ හෝ ‘රහස්‍ය’ වැනි ලේබලයක් සහිතව ඉදිරිපත් කිරීමෙනි. ඉන් පසු මෙම සේවකයින් විසින් එම ‘ඇමක්’ සහිත ආසාදිත උපාංගය ඔවුන්ගේ සමාගමේ පරිගණකවලට ඇතුළු කළ හැකිය. මෙහි ප්‍රතිඵලය වන්නේ පරිගණක පද්ධතියේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය වීමකි. සමහර විට ඇමක් ඔන්ලයින් (online) ස්වරූපයක්ද ගත හැකිය. උදාහරණයක් ලෙස, උත්පතන දැන්වීම් (pop-up ads) හෝ පණිවිඩ හරහා ආසාදිත සබැඳි (links) රැගෙන යයි

මෙය මිනිසුන් කුතුහලයට පත් කරන අතර එහි ප්‍රතිඵලයක් ලෙස පද්ධතියේ / පරිගණකයේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය විය හැකිය.

2. බිය උපදවන දෑ (Scareware)

Scareware (ස්කෙයාවෙයා) හෙවත් බිය කර ප්‍රයෝජන ලබන කූට මෘදුකාංග වින්දිතයින් වෙත ළඟා වන්නේ සැබෑවක් නොවන දෙයකට ඔවුන්ව බිය ගැන්වීමෙනි. උදාහරණයක් ලෙස, ඔබට පහත ආකාරයේ පණිවිඩ ලැබෙනු ඇත,

 එමඟින් ඔවුන් නිර්දේශ කරන මෙවලමක් ස්ථාපනය කිරීමට ඔබට යෝජනා කරයි (බොහෝ විට මෙය අනිෂ්ට සබැඳියක් / malicious link වේ.)


3. ව්‍යාජ රඟපෑම් (බොරු හේතු / Pretexting)
දුරකථන අංක, බැංකු ගිණුම් අංක සහ විදේශ ගමන් බලපත්‍ර විස්තර වැනි ඔබේ පුද්ගලික තොරතුරු ලබා ගැනීමට තමන්ට බලය ඇති බව මවා පාමින් ප්‍රහාරකයා දක්ෂ ලෙස ව්‍යාජ රඟපෑමක් සිදු කරයි. ඔබව රැවටීම සඳහා අදාල ඉහල නිලධාරීන්ගේ පරිපූර්ණ ලෙස සැකසූ ලාංඡන, ලිපි ශීර්ෂ සමඟ අදාල නිලධාරීන්ගේ වචන පවා භාවිත කර ඔබ වෙත පැමිණිය හැකිය.





4. ෆිෂිං (Phishing) ඔබගේ ගිණුම් හැක් කිරීමට පරිශීලක තොරතුරු ලබා ගැනීමට උත්සාහ කරන වංචා සහ එහි ප්‍රතිඵලයක් ලෙස බ්ලැක්මේල් කිරීම ෆිෂිං ලෙස වර්ග කළ හැකිය.

5. ස්පියර් ෆිෂිං (Spear phishing) ෆිෂිං වලට වඩා පියවරක් ඉදිරියට ගොස් ස්පියර් ෆිෂිං මඟින් තනි පුද්ගලයෙක් දක්ෂ ලෙස ඉලක්ක කරයි. යම් උපායකට හසු කර ගැනීම සඳහා සමාජ ඉංජිනේරුවන් විසින් වැඩි කාලයක් හා වෑයමක් දරමින් ඉතා පරීක්ෂාකාරී ලෙස ඉලක්ක කරයි. මන්ද, උපායට හසුකරගැනීමට ලක්වන පුද්ගලයා  එය සත්‍ය යැයි විශ්වාස කර ඊට ප්‍රතිචාර දැක්වීමෙන් ගැලවිය නොහැකි තත්වයකට පත් කළ යුතු බැවිනි.නිදසුනක් වශයෙන්, ලොතරැයි දිනුම් හෝ අනපේක්ෂිත ත්‍යාග දිනා ඇති බව පවසමින්, “අනන්‍යතා සොරකම්” සඳහා පවා භාවිතා කළ හැකි ඔබ#