Monday, July 27, 2020

සමාජ ඉංජිනේරු විද්‍යාව (Social Engineering)

සමාජ ඉංජිනේරු විද්‍යාව යන්න සරලව පැහැදිලි කලොත්, යම් අහිංසක පුද්ගලයෙක්ව උපායශීලීව රැවටීමට ලක්කිරීම හෝ වැරදි ක්‍රියාවක් සිදු කිරීම සඳහා පෙළඹවීම, එම පුද්ගලයාගේ පරිශීලක තොරතුරු (user credentials) සහ රහස්‍ය පෞද්ගලික තොරතුරු ලබා ගැනීමේ අරමුණින් නොමඟ යැවීම යනාදී පුළුල් පරාසයක විහිදෙන අනිෂ්ට මිනිස් ක්‍රියාකාරකම් රාශියක් අන්තර්ගත වේ.

වර්තමාන ලෝකයේ, අපරාධකරුවන් සහ සයිබර් වංචාකරුවන් විසින් පරිශීලකයින් රවටා රහස්‍ය තොරතුරු හෙළි කරගැනීමට භාවිතා කරන තාක්‍ෂණයක් ලෙස, සමාජ ඉංජිනේරු විද්‍යාව හඳුනාගෙන ඇත. මෙසේ ඔවුන් විසින් හෙළි කරගනු ලබන්නේ ආරක්‍ෂිත අරමුණු සඳහා හෝ සත්‍යාපනය / verification සඳහා අදාළ යෙදුමෙන් / මෘදුකාංගයෙන් ඉල්ලා සිටියොත් මිස කිසිවෙකුවට නොදිය යුතු තොරතුරු වේ.

‘සමාජ ඉංජිනේරුවන්’ (‘hacker’ / ‘හැකර්’ සඳහා වෘත්තීය යෙදුමක් ලෙසද භාවිතා කළ හැකිය) විවිධ පද්ධති සහ යෙදුම් (උදා: ෆේස්බුක්, ඊමේල්, ඉමෝ, වෙනත් සමාජ ජාල ඇප්ස්) වෙත ප්‍රවේශය ලබා ගැනීම සඳහා එම දත්ත රැස් කර ඔවුන් ඉලක්ක කරන ප්‍රතිලාභය ලැබෙන තෙක් ඒවා පාලනය කරයි. මෙම ප්‍රතිලාභය බොහෝ විට ප්‍රමාණවත් තරම් තාර්කික නොවන / බුද්ධිමත්ව සිතා නොබැලූ පරිශීලකයින්ව බ්ලැක්මේල් කිරීමෙන් උපයා ගත් දෙයක් විය හැකිය.


පහත දැක්වෙන රූපසටහන සමාජ ඉංජිනේරු විද්‍යාව භාවිතා කර ප්‍රහාර සිදුවන ආකාරය පෙන්වයි.


සමාජ ඉංජිනේරු ප්‍රහාර ක්‍රම ආකාර පහකින් හඳුනාගත හැකිය;

  1. ඇමක් (Baiting) හරහා ප්‍රහාරකයින් බොහෝ විට භෞතික උපකරණ භාවිතා කරමින් ඇමක් තබයි. නිදසුනක් වශයෙන්, ග්‍රහණයට හසු කර ගත වින්දිතයන් සිටින ස්ථානවල (සමාගමක සේවකයෙකු විය හැකිය) අනිෂ්ට මෘදුකාංග ආසාදිත (malware-infected) ෆ්ලෑෂ් ඩ්‍රයිව් ඔවුන්ට නිසැකවම පෙනෙන පරිදි – විශේෂයෙන් කාර්යාල මේසයක / විවේකාගාරයක / සෝපානයක තැබීම වැනි කථා අපට අසන්නට ලැබේ. මෙසේ සූදානම් කර ඇති ඇම කෙනෙකුට ගැනීමට සිතෙන පරිදි ආකර්ශනීය වන ලෙස අව්‍යාජ පෙනුමක් ඇති ආකාරයට ඉදිරිපත් කරයි. එනම් එය සමාගමේ ‘වැටුප් ලැයිස්තුව’ හෝ ‘රහස්‍ය’ වැනි ලේබලයක් සහිතව ඉදිරිපත් කිරීමෙනි. ඉන් පසු මෙම සේවකයින් විසින් එම ‘ඇමක්’ සහිත ආසාදිත උපාංගය ඔවුන්ගේ සමාගමේ පරිගණකවලට ඇතුළු කළ හැකිය. මෙහි ප්‍රතිඵලය වන්නේ පරිගණක පද්ධතියේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය වීමකි. සමහර විට ඇමක් ඔන්ලයින් (online) ස්වරූපයක්ද ගත හැකිය. උදාහරණයක් ලෙස, උත්පතන දැන්වීම් (pop-up ads) හෝ පණිවිඩ හරහා ආසාදිත සබැඳි (links) රැගෙන යයි