Phishing ဆိုတာဟာ တရားဝင် ဝက်ဘ်ဆိုက်ပုံစံမျိုးအယောင်ဆောင်ပြီး အသုံးပြုသူတွေ ဆီကနေ username, password, အကြေးဝယ်ကတ်နံပါတ်စတဲ့ ကိုယ်ရေးကိုယ်တာ အချက် အလက်တွေ ရယူနိုင်အောင် တိုက်ခိုက်တဲ့ နည်းစနစ်ကို ခေါ်ဆိုခြင်းဖြစ်ပါ တယ်။ Phising နည်းကို e-mail နဲ့ instant messaging စနစ်တွေအသုံးပြုပြီး တိုက်ခိုက်သူတွေရဲ့ အယောင်ဆောင် ဝက်ဘ်ဆိုက်တွေထဲ လမ်းညွှန် သွား ကာ ကိုယ်ရေးကိုယ်တာ အချက် အလက် အသေးစိတ်ကို ရယူတာဖြစ်ပါတယ်။ အဓိကအားဖြင့်တော့ PayPal, eBay, YouTube နဲ့ online ဘဏ်တွေဟာ phishing တိုက်ခိုက်သူတွေရဲ့ ဦးတည် ရာဖြစ်နေကြတာကို တွေ့ရပါ တယ်။
Phishing နည်းနဲ့တိုက်ခိုက်နိုင်ကြောင်း နည်းပညာဆိုင်ရာ အသေးစိတ်ရှင်းလင်းရေးသား ထားချက်ကို ၂၀၀၇ ခုနှစ်အတွင်း Interex လို့ခေါ်တဲ့ International HP Users Group ဆီတင်သွင်းတဲ့ စာတမ်းတစ် ခုမှာဖော်ပြထားပြီး phishing ဆိုတဲ့စကားလုံးကိုတော့ ၁၉၉၆ ခုနှစ် ဇန်နဝါရီလ ၂ ရက်နေ့မှာ America Online ရဲ့ Usenet newsgroup မှာ စတင်အသုံးပြု ခဲ့တာကို တွေ့ရပါတယ်။
အစောပိုင်း phishing နည်းနဲ့တိုက်ခိုက်သူတွေဟာ AOL ဝန်ထမ်းအယောင်ဆောင်ပြီး အသုံးပြု သူတွေဆီ instant message ကနေတစ်ဆင့် password တွေတောင်းယူကာ spam message တွေ ပေးပို့ကြတယ်လို့ သိရပါတယ်။ ဒီလိုကိုယ်ရေးကိုယ်တာ အချက်အလက်တွေ ရယူကာ တိုက်ခိုက်တဲ့လုပ်ရပ်တွေကျယ် ပြန့်လာတာကြောင့် နောက်ပိုင်းမှာ ကုမ္ပဏီကနေ ဘယ် AOL ဝန်ထမ်းကမှ အသုံးပြုသူရဲ့ ကိုယ်ရေးကိုယ်တာအချက်အလက်နဲ့ password တွေ တောင်းယူခြင်း မပြုဆိုတဲ့စာသားကို instant message တိုင်းမှာ ထည့်သွင်းပေး လာရ တယ် လို့ ဆိုထားပါတယ်။
အဲဒီနောက်မှာတော့ တိုက်ခိုက်သူတွေဟာ online ငွေချေစနစ်တွေကို ပြောင်းလဲ တိုက်ခိုက် လာကြတာကို တွေ့ရပါတယ်။ ၂၀၀၁ ခုနှစ် ဇွန်လမှာ E-gold ဟာ phising နည်းနဲ့ ပထမဆုံး တိုက်ခိုက်ခံရတဲ့ ငွေချေစ နစ် ဖြစ်လာပါတယ်။ ၂၀၀၄ ခုနှစ် အရောက်မှာတော့ phishing တိုက်ခိုက်မှုတွေဟာ တစ်ကမ္ဘာလုံး အတိုင်းတာနဲ့ ကျယ်ပြန့်လာတဲ့ ရာဇဝတ်မှုကြီး တစ်ခုဖြစ် လာခဲ့ပါတယ်။
တိုက်ခိုက်သူတွေအနေနဲ့ online ငွေချေမှုစနစ် ဒါမှမဟုတ် အမေရိကန်ပြည်တွင်းအခွန်များဌာန ကနေ ပေးပို့တဲ့ပုံစံမျိုးအယောင် ဆောင် e-mail တွေကို သုံးပြီး ကိုယ်ရေးကိုယ်တာ အချက် အလက်တွေကို ရယူလာကြပါတယ်။
လူတစ်ဦးချင်းစီကို သီးခြားရည်ရွယ်တဲ့ phishing တိုက်ခိုက်မှုတွေကို spear phishingု လို့ခေါ် ဆိုပြီး စီးပွားရေးလုပ်ငန်းရှင်တွေနဲ့ ကုမ္ပဏီအမှုဆောင်အရာရှိတွေကို ရည် ရွယ်တိုက်ခိုက် တာတွေကိုတော့ whaling လို့ ခေါ်ဆိုကြတဲ့ အကြောင်းလည်း သိရပါတယ်။
Social networking ဝက်ဘ်ဆိုက်တွေ ဟာလည်း phishing တိုက်ခိုက်မှုတွေရဲ့ ဦးတည် ရာဖြစ်လာနေတာကို တွေ့ရပါတယ်။ ၂၀၀၆ ခုနှစ်နှောင်း ပိုင်း မှာပေါ်ထွက်ခဲ့တဲ့ worm က MySpace ရဲ့ စာမျက်နှာအတွင်းက linkက တွေကို ပြောင်းလဲကာ တိုက်ခိုက်သူ တွေရဲ့ ဝက်ဘ်ဆိုက်ထဲ redirect လုပ်ပြီး login အချက်အလက်တွေကို ခိုးယူခဲ့ပါတယ်။
လေ့လာမှုတွေ အရလည်း social networking ဝက်ဘ်ဆိုက်တွေကို ဦးတည်တဲ့ တိုက်ခိုက် မှုတွေရဲ့ ၇၀ ရာခိုင်နှုန်းဟာ အောင်မြင်တဲ့အကြောင်း သိရပါတယ်။
Phishing တိုက်ခိုက်မှုတွေအတွင်း အများဆုံးအသုံးပြုတဲ့နည်းလမ်းကတော့ အမှန်တကယ်ရှိနေ တဲ့ ဝက်ဘ်ဆိုက်တွေကိုစာလုံး မှား ပေါင်းထား တဲ့ URL ဒါမှမဟုတ် subdomain တွေကို အသုံးပြုခြင်းအားဖြင့် လှည့်စားထားကြတာဖြစ်ပါတယ်။ ဒါ့အပြင် မျက်စိ နဲ့ မြင်နေ ရတဲ့ link မှာ ယုံကြည်စိတ်ချရတဲ့ ဝက်ဘ် ဆိုက် နာမည်ထည့်ထားကာ နောက်ကွယ်မှာ တိုက်ခိုက် သူတွေရဲ့ အယောင်ဆောင် ဝက်ဘ်ဆိုက်ထဲရောက် ရှိ သွားအောင် လုပ်ဆောင်ကြတာတွေ လည်း ရှိပါတယ်။ နောက်ထပ်နည်းလမ်းဟောင်းတစ်ခုကတော့ username နဲ့ password ကို address bar ထဲမှာ တစ်ခါတည်းရိုက်ထည့်လို့ရတဲ့နည်းကို သုံးတာပဲဖြစ် ပါတယ်။
ဥပမာအားဖြင့် သာမန်အသုံးပြုသူတစ် ယောက်အနေနဲ့ http: www.google.com@ members.tripod. comThis e-mail address is being protected from spambots. You need JavaScript enabled to view it ဆိုတဲ့လိပ်စာဟာ Google ဝက်ဘ်ဆိုက်ထဲရောက်ရှိ မယ်လို့ ထင်ကြပေမယ့် အမှန်တကယ် အားဖြင့် members. tripod. com ထဲ ရောက်ရှိသွား ကာ www.google.com ကတော့ username အဖြစ် ဝင်ရောက်သွားမှာဖြစ်ပါတယ်။
အခုအခါ Inter- net Explorerv မှာ ဒီလိုအသုံးပြုတဲ့နည်းလမ်းကို disable ပြုလုပ်ထားပြီး Firefox နဲ့ Opera တို့မှာတော့ သတိပေးချက်ထုတ်ပြန်ပေးတာကို တွေ့ရပါတယ်။ တချို့ phishing တိုက်ခိုက်မှု တွေမှာဆိုရင် JavaScript ကိုသုံး ပြီး address bar အတွင်းက လိပ်စာ ကို ပြောင်းလဲ ထားခြင်း URL အတွင်း အစစ်အမှန်ဝက်ဘ် ဆိုက်လိပ်စာအတိုင်း ဖန်တီးထားတဲ့ image ထည့်သွင်းခြင်း စတာ မျိုး တွေလည်း လုပ်ဆောင်တတ်ကြပါ တယ်။
အခု နောက်ပိုင်းမှာတော့ cross-site scripting လို့ခေါ်တဲ့ တိုက်ခိုက်မှု နည်းလမ်းသစ်ကို အသုံးပြု လာကြ တာကို တွေ့ရပါ တယ်။ ဒီစနစ်ဟာ တခြား phi-shing တိုက်ခိုက်မှုတွေလိုမျိုး အယောင်ဆောင်ဝက်ဘ် ဆိုက်တွေ ကို အသုံးပြုတာမဟုတ်ဘဲ မူရင်း ဝက်ဘ်ဆိုက် ထဲ script ထည့်သွင်းကာ ကိုယ်ရေးကိုယ်တာ အချက်အလက်တွေကို ခိုးယူခြင်းဖြစ်ပါ တယ်။
Anti-phishing ကုမ္ပဏီ တွေအနေနဲ့ အယောင်ဆောင် ဝက်ဘ်ဆိုက်တွေကို ရှာဖွေမှတ်တမ်း တင်ကာ အသုံးပြုသူတွေဆီ သတိပေးချက် ထုတ်ပြန်ပေးနေ တာကြောင့် phishing တိုက်ခိုက် သူတွေအနေနဲ့ ၎င်းတို့ရဲ့ ဝက်ဘ် ဆိုက်ထဲမှာ ရိုးရိုးစာသားတွေအစား Flashး ကို အခြေခံထား တဲ့ ဝက်ဘ် ဆိုက်တွေအသုံးပြု လာနေကြ တဲ့ အကြောင်း သိရပါတယ်။
ဝက်ဘ်ဆိုက်အခြေပြုတိုက်ခိုက်မှုတွေအဖြစ် မိုဘိုင်းဖုန်းတွေကနေ message ပေးပို့ပြီး အသုံးပြု သူ တွေရဲ့ ဘဏ်စာရင်း ထဲပြဿနာ ပေါ်နေ တာကြောင့် ဖုန်းဆက်ဖို့ ပြောဆိုကာ နံပါတ် တစ်ခု ကိုပေးထား တတ်ပါ တယ်။ အဲဒီနံပါတ်ကို ခေါ်ဆို လိုက်တာနဲ့ တစ်ပြိုင်နက် ဘဏ် စာရင်း နံပါတ်နဲ့ PIN တို့ကို တောင်းယူ သွားတာဖြစ်ပါတယ်။ ဒီ Vishing (Voice Phishing) တိုက်ခိုက်မှုတွေမှာ တရားဝင်အဖွဲ့ အစည်းတွေ ဆီကနေ ဆက်သွယ် ပြောဆိုလာတယ်လို့ ထင် ရအောင် caller ID တွေကိုလည်း လိုသလိုပြောင်းလဲအ သုံးပြုတတ်ကြတဲ့ အကြောင်း သိရပါ တယ်။ Phishing တိုက်ခိုက်မှုတွေ ကြောင့် ၂၀၀၄ ခုနှစ် မေလကနေ ၂၀၀၅ ခုနှစ် မေလ အတွင်း အမေ ရိကန်နိုင်ငံ အတွင်းက ကွန်ပျူတာ အသုံးပြုသူတွေ ထိခိုက်ခဲ့ရပြီး ဒေါ်လာ ၉၂၉ သန်း နစ်နာခဲ့ကြ ရတဲ့ အကြောင်း သိရပါတယ်။
ယူ ကေနိုင်ငံအတွင်းမှာလည်း ကွန်ပျူတာအသုံးပြုသူ ၅ ရာခိုင်နှုန်း ဟာ Phishing တိုက်ခိုက် မှုတွေ ခံနေကြ ရကြောင်း သိရပါတယ်။ Phishing တိုက်ခိုက်ခံရမှုတွေ ကို လျှော့ချဖို့ အတွက် ကွန်ပျူတာ အသုံးပြုသူတွေကို ပညာပေးခြင်း၊ Web browser တွေအတွင်း anti-phishing လုပ်ဆောင်ချက်တွေ ထည့်သွင်းပေးခြင်းစတာတွေ လုပ်ဆောင်လာကြပါတယ်။
အမေရိကန်ပြည်ထောင်စုမှာ Anti-Phishing Act of ၂၀၀၅ ကို ပြဋ္ဌာန်းကာ အယောင်ဆောင် ဝက်ဘ်ဆိုက် ဖန်တီးသူနဲ့ အယောင်ဆောင် e-mail ပေးပို့သူတွေ ကို ထောင်ဒဏ် ၅ နှစ် နဲ့ ငွေဒဏ် ဒေါ်လာ ၂ သိန်း ၅ သောင်းအထိပြစ်ဒဏ်ပေးနိုင်အောင် လုပ်ဆောင်ခဲ့ပြီး ယူကေနိုင်ငံ မှာ လည်း ထောင်ဒဏ် ၁၀ နှစ် အထိ ပြစ်ဒဏ်ပေးနိုင်တဲ့ Fraud Act 2006 ကို ပြဋ္ဌာန်းထားတဲ့အကြောင်း သိရပါတယ်။
No comments:
Post a Comment