Introduction

Social engineering ကို တစ္နည္းအားျဖင့္ Hacking into the human mind ဒါမွမဟုတ္ an act of psychological manipulation

လို႕အဓိပၸါယ္ ဖြင့္ဆိုႏိုင္ပါတယ္…..။ တနည္းအားျဖင့္ လူ႕စိတ္ကိုထိုးေဖါက္၀င္ေရာက္ျခင္း….ဒါမွမဟုတ္…လူ႕စိတ္ကိုၾကိဳးကိုင္ လွည့္စားေစခိုင္းျခင္း လို႕ ဘာသာျပန္ဆိုႏိုင္ပါတယ္…။ဒါေပံမယ့္ Social Engineering မွာဒိထက္နက္နဲတဲ့ဖြင့္ဆိုခ်က္ေတြရွိပါတယ္။အေပၚကေျပာခဲ့သလိုပါ SE ဆိုတာလူေတြရဲ့စိတ္ကို ၀င္ေရာက္ၾကိဳးကိုင္ထိန္းခ်ဳပ္တာပါဘဲ။

တစ္နည္းအားျဖင့္ေယာင္ေဆာင္လွည့္ဖ်ားျပီး သူတစ္ပါးရဲ့အေရးၾကီး DATA ေတြ ဥပမာ(bank credit card/E mail password)တို့ကိုရယူ

တာပါ။ဒါက အေျခ ခံေလးပါတစ္ကယ္ေတာ့ဒိထက္က်ယ္ျပန့္ပါတယ္။

SE FOR BEGINNER

Beginner ေတြအတြက္ကေတာ့ ေအာက္ပါ software ရွိဖို့လိုအပ္ပါ တယ္။

Gtalk, Yahoo messenger တစ္ခုခု
RAT,Trojan
Crypter,Binder
Brain.exe စစခ်င္းေတာ့ Gtalk လိုေနရာမ်ိဳးမွာသူမ်ားကို ခိုင္းစားႏိုင္ေအာင္ေလ့က်င့္ေနရပါတယ္….။ အတည္ေျပာတာပါ…အလကားေနရင္း google အေကာင့္ ေတြလုပ္ခိုင္းေနတာမ်ိဳးတို႕ သူမ်ားဆီက အခ်က္အလက္ေတြေတာင္းေနတာမ်ိဳးတို႕ေပါ့….။ဥပမာ ကိုယ့္သားေကာင္ရဲ႕ စက္ထဲမွာ ဘာေတြသံုးထားလဲ virus update ေတြမွန္မွန္လုပ္ရဲ႕လား….Deepfreeze လိုေဆာ့၀ဲမ်ိဳးသံုးထားသလား…..။ေနာက္ျပီးေတာ့သူ႕ရဲ႕ အသိပညာ…ကို လဲစမ္းသပ္ထားရပါတယ္…။ဥပမာ security ပိုင္းကိုဘယ္ေလာက္အထိသိထားလဲေပါ့။ခုေတာ့ကၽြန္ေတာ္ေတြး ေခၚထားတဲ့ ၾကိဳးကိုင္နည္းေလးတစ္ခုကို တင္ျပေပးသြားမယ္ေလ……။Tutorial ကခုမွစတာ အေပၚကဟာေတြက အခြင့္သာ တုန္း ေဖါထားတာ……။နည္းလမ္းေလးကေတာ့ Attacker တစ္ေယာက္အေနနဲ႕ ၾကားခံနယ္ ႏွစ္ေယာက္ကေနျပီးေတာ့ အခ်က္အလက္ေတြ ကို ညွစ္ ယူတာျဖစ္ပါတယ္….။ေငြညွစ္ႏိုင္သလို တျခားေတြရာေတြမွာလဲသံုးႏိုင္ပါတယ္……ကၽြန္ေတာ္ကေတာ့ ဗ်ဴဟာအေနနဲ႕သာတင္ျပႏိုင္မွာျဖစ္ျပီးကိုယ့္ ဘာသာကိုယ္ လိုအပ္သလို ခ်ဲ႕ကာေတြးေခၚစဥ္းစာႏိုင္မွာျဖစ္ပါတယ္…….။အေကာင္းဆံုးကေတာ့ SE ဆိုတာကိုယ္ပိုင္စဥ္းစားမႈကို အသံုးခ်တာက အေကာင္းဆံုးျဖစ္ပါလိမ့္မယ္…..။ကဲစလိုက္ရေအာင္ဗ်ာ…..ေအာက္မွပံုေလးေပးထားပါတယ္……။

အညႊန္းခ်က္မ်ား..။
V=သားေကာင္
H=Attacker
A,B=ၾကားခံမ်ား
Red line=ဆက္သြယ္မႈမ်ား
Blue line=သတင္းအခ်က္အလက္မ်ားစုေဆာင္းမႈ
Green line=ၾကိဳးကိုင္မႈ
Black line=Target Information

နည္းဗ်ဴဟာကေတာ့ဒီေလာက္ပါပဲ……။ဒီအေပၚအေျခခံျပီးေတာ့အမ်ိဳးမ်ိဳး လွည့္ပတ္သံုးလို႕ရပါတယ္…..။ဒါေပမယ့္သံုးပံုသံုးနည္းကေတာ့ ကြာပါလိမ့္ မယ္….။ကၽြန္ေတာ္ဒီအတိုင္းသံုးခဲ့ဘူးပါတယ္…..။ကၽြန္ေတာ့္မွာ google အေကာင့္ႏွစ္ခုရိွပါတယ္….ေဆာ္နာမည္နဲ႕အေကာင့္ေပါ့….။Target ကို လိုက္ေတာ့ တဏွာအားေကာင္းတဲ့အေကာင္ ကၽြန္ေတာ္က အထက္ကပံုအတိုင္း ကၽြန္ေတာ္အေကာင့္ႏွစ္ခုကို control လုပ္ျပီး target ကို ခ်ိတ္လိုက္ ပါတယ္…။ ဒီေနရာမွာ H ကကၽြန္ေတာ္၊ Aနဲ႕ B က ကၽြန္ေတာ္ထိန္းခ်ဳပ္ထားတဲ့အေကာင့္ႏွစ္ခု ၊ V ကကၽြန္ေတာ္ရယူခဲ့တဲ့ Target ျဖစ္ပါတယ္….။ပံုမွ ျပထားတဲ့အတိုင္း သားေကာင္နဲ႕ ကၽြန္ေတာ္က တိုက္ရိုက္တိေတြ႕ျခင္းမရိွပဲနဲ႕ A နဲ႕ B လိုၾကားခံေတြထားလိုက္ပါတယ္… အေကာင့္အတုေတြေပါ့…။အဲဒါေၾကာင့္ ကၽြန္ေတာ္အေကာင့္ေတြအမ်ားၾကီး လုပ္ထားတာ လိုရင္လိုသလိုထုတ္သံုးတယ္…သူ႕ေနရာနဲ႕သူေပါ့…။ဒီ ဆက္သြယ္မႈကိုပံုမွာ လိုင္းအနီနဲ႕ျပထားတယ္….။ ေနာက္ျပီးကၽြန္ေတာ္က ကၽြန္ေတာ့္ ၾကားခံေတြကို ကာရိုက္တာႏွစ္မ်ိုးသံုးထားတာ…တစ္ေယာက္ကရိုးတယ္ေအးတယ္. ..ေဒါသၾကီးတယ္….။တစ္ေယာက္က Sexy ဆန္တယ္…ခပ္မိုက္မိုက္ပံုစံ ….ေလးပါ…။ ဇာတ္ကားရိုက္ေနတာမဟုတ္ပါ လက္ေတြ႕လုပ္ေနျခင္းျဖစ္ပါတယ္….။တစ္ခုေျပာခ်င္တာက ကၽြန္ေတာ့္ၾကားခံနယ္ အေကာင့္ profile ပံုေလးေတြကိုတစ္ခ်က္တည့္ ေျပာခ်င္တာပါ ။ သံုးခ်င္သလိုမသံုးပါဘူး..ျမန္မာမိန္းကေလးပံုလဲျဖစ္ရမယ္….နာမည္ၾကီး မင္းသမီးပံုေတြလဲ မဟုတ္ေစပါဘူး သဘာ၀က်တဲ့ ပံုေတြကို ေသခ်ာေရြးခဲ့ တာပါ….။အေကာင္းဆံုးရယူႏိုင္မယ့္ေနရာကေတာ့ facebook လိုေနရာမ်ိဳးျဖစ္ပါလိမ့္မယ္…….။ေနာက္ျပီးအေျပာအဆိုေတြကို သဘာ၀က်က် ေျပာဆိုဆက္ဆံ မႈေတြပဲ ျပဳလုပ္ခဲ့တာျဖစ္ပါတယ္….(SE)မွာလက္ေတြက်ဖို႕ အေရးၾကီးပါတယ္……..ကိုယ္ကလက္ေတြ႕မက်ရင္ ကိုယ့္သားေကာင္းကလဲ လက္ေတြ႕ က်က် information ေတြေပးမွာမဟုတ္ပါ…..။ ဇာတ္လမ္းကိုျပန္စလိုက္ရေအာင္…ဒီလိုဗ်ာ ကၽြန္ေတာ့္ၾကားခံႏွစ္ေယာက္ကို အဲဒီ Target နဲ႕ ညိသြားေအာင္ဇာတ္ကြက္ရိုက္ေပးလိုက္တယ္….။ေနာက္ တဆင့္အေနနဲ႕ အျပာေရာင္လိုင္းအတိုင္း သူ႕ဆီက အခ်က္အလက္ေတြ အညီွအေဟာက္ေတြကိုယူလိုက္တယ္…..။ဘယ္ကာရိုက္တာနဲ႕ လိုက္ဖက္လဲ လို႕ဆိုရင္ …..ကာရိုက္တာ A ကအဲလိုယူဖို႕အေကာင္းဆံုးပါပဲ……။ရရိွလာတဲ့ information ေတြကို ၾကားခံ (B) ကိုလဲ ေ၀မွ်ထားပါတယ္…..။ဒီ လိုစု ေဆာင္းရာမွာ ကိုယ္နဲ႕ ေျပာထားသမွ်…..(သို႕) သူက်ဴထားသမွ်ကို screen shot ရိုက္ထားလိုက္တာပါပဲ……။ ေနာက္ေန႕က်ေတာ့ ၾကားခံ (B) ကေန ငနဲၾကီး ကို သူနဲ႕ ၾကားခံ (A) တို႕ အေၾကာင္းကို ေျပာျပျပီးေတာ့ ညွစ္ပါေတာ့တယ္….။လူဆိုတာ အမွားလုပ္ ထားရင္ဖုံးထားသမွ်ေပၚသြားတာၾကီးပဲ…..။အဲဒီလိုၾကိဳးကိုင္တာကို အစိမ္းေရာင္းလိုင္းနဲ႕ ျပထားတယ္…..။ကၽြန္ေတာ့္ကေတာ့ “screen shot ေတြရိွ တယ္…..”လို႕ေျပာေတာ့ ဘဲၾကီး က နင္းကန္ပိတ္ညင္းေတာ့တာပဲ…သူညင္းတာကိုသက္ေသျပခိုင္းေတာ့ အူလည္လည္ လုပ္ေနတာ…….ဒါေၾကာင့္မာယာကိုသံုး တယ္ …”နင့္အေကာင့္ထဲ ၀င္ၾကည့္မယ္ စစ္ၾကည့္မယ္…”လို႕ၾကိဳးကိုင္းလိုက္တာ…..ဟိုအေကာင္ကလဲ သူ (A) နဲ႕ ေျပာထားသမွ်ကို ျပန္ဖ်က္ျပီး သူ႕အေကာင့္ ထဲ ၀င္ၾကည့္ခြင့္ေပးလိုက္တာေလ……။အဲဒီေတာ့ပါေရာေပါ့ဗ်ာ……။အနက္ေရာင္လိုင္းေလးအတိုင္းေပါ့ ကိုလိုခ်င္တဲ့ Target information ကိုရယူ လိုက္တာ….။ ဒီေနရာမွာသူ႕ လိုမအပဲနဲ႕ တင္းခံေနတဲ့သူေတြနဲ႕ ေတြ႔ရင္ RAT ကိုသံုးလို႕ရေသးတယ္…..။ဥပမာအားျဖင့္ ခုနက (A) နဲ႕ ကၽြန္ေတာ့္သားေကာင္နဲ႕ ေျပာ ထားသမွ်ကို screen shot ရိုက္ထားတဲ့ပံုေတြကို RAT နဲ႕ တဲြခ်ည္ေပးလိုက္ ….ျပီးရင္ FUD ျဖစ္ေအာင္လို႕ Crypter,Binder တို႕ကိုသံုး။ဟီးဟီး ေခါင္းေရွာင္တာပါ……။အဲလိုလုပ္ျပီးရင္ ကၽြန္ေတာ္ဆိုရင္ ဒီအတိုင္း လုပ္မွာပါ…..။”နင့္ကသက္ေသမျပႏိုင္လဲ ငါ့မွာသက္ေသရိွတယ္….မယံုရင္နင္တို႕ေျပာမမွ်ငါ့မွာ ပံုေတြရိွတယ္ဆိုျပီး…”ခုနက FUD လုပ္ထားတာေတြ ကို ပို႕လိုက္ …။ဒီလိုေနရာမွာ (ခုေျပာေနေသာသားေကာင္ရဲ႕ ေနရာမွာ) ဘယ္သူမဆိုဒီပံုေတြကို ၾကည့္မိၾကမွာပဲ……။အဲဒီၾကေတာ့ ကို္ယ္ရခ်င္တဲ့ Information ဟာ တိုက္ရိုက္ရရိွမွာျဖစ္ပါတယ္……။ပံုမွျပထားတဲ့အတိုင္း attacker နဲ႕ သားေကာင္နဲ႕ကို တိုက္ရိုက္ဆက္သြယ္ထားတဲ့ အနက္ေရာင္ လမ္းေၾကာင္းလို ျဖစ္ပါတယ္…..။ Tutorial ကေတာ့ဒီေလာက္ပဲျဖစ္ပါတယ္…….။

က်န္တာကေတာ့စာဖတ္သူအပိုင္းျဖစ္ပါတယ္…..။ေအာင္ျမင္မႈက ကို္ယ့္ညဏ္ နဲ႕လဲဆိုင္ပါတယ္……။ ဘယ္အခ်ိန္မွာ ဘယ္လိုစကာေျပာရမယ္…ဘယ္လို ကာရိုက္တာေတြသံုးရမလဲဆိုတာ သားေကာင္နဲ႕လဲဆိုင္ပါတယ္….ကိုယ္နဲ႕လဲဆိုင္ပါတယ္…..။ ၾကိဳက္သလို ဗ်ဴဟာကိုလဲေျပာင္းလဲႏိုင္ပါတယ္….။ဒီဗ်ဴဟာက ၾကားခံႏွစ္ခုကို Target တစ္ခုဆီကို အေရာက္ပို႕ေပးျခင္းျဖစ္ပါတယ္…….။ ကိုယ္ ေကာင္းရင္ေကာင္းသလို ေအာင္ျမင္ႏိုင္ပါတယ္…..။အနည္းဆံုးေတာ့ကၽြန္ေတာ္ 70% အာမခံပါတယ္…..။
ဒီပိုစ့္ကိုဖတ္ျပီးကၽြန္ေတာ့္ကို အက်င့္မေကာင္းတဲ့သူလိုထင္ခ်င္ထင္က်ပါလိမ့္မယ္……။အဲဒီလိုထင္ရင္ေတာ့ ကၽြန္ေတာ့္ပိုစ့္ေအာင္ျမင္တယ္လို႕လဲဆိုရပါလိမ့္မယ္….။ဟုတ္ပါတယ္ ….(SE) ကသူမ်ားေတြအဲလိုထင္ျမင္ေလ ေအာင္ျမင္ေလပါပဲ…….။ဒီပိုစ့္က ပထမဆံုး ကၽြန္ေတာ္ (SE) ပိုင္းကိုစေရးျဖစ္တာျဖစ္ပါတယ္….။အဲနည္းနည္းေတာ့ အမွားေလးေတြပါ လိမ့္ပါမယ္….ၾကိဳျပီးေတာ့ေတာင္း ပန္အပ္ပါတယ္…။

mmcoder

Saturday, November 10, 2012

Social Engineering ဆိုတာ