මොකක්ද සමාජ ඉංජිනේරු විද්යාව? අවධානයෙන් සිටිය යුතු උදාහරණ 11ක්
පටුන
ඇත්ත වශයෙන්ම සමාජ ඉංජිනේරු විද්යාව යනු කුමක්ද?
සමාජ ඉංජිනේරු විද්යාව යනු මිනිසුන්ගේ රහස්ය තොරතුරු උකහා ගැනීම සඳහා හැසිරවීමේ ක්රියාවයි. අපරාධකරුවන් සොයන ආකාරයේ තොරතුරු වෙනස් විය හැක. සාමාන්යයෙන්, පුද්ගලයන් ඉලක්ක කරන්නේ ඔවුන්ගේ බැංකු විස්තර හෝ ඔවුන්ගේ ගිණුම් මුරපද සඳහා ය. අපරාධකරුවන් ද වින්දිතයාගේ පරිගණකයට ප්රවේශ වීමට උත්සාහ කරන අතර එමඟින් ඔවුන් අනිෂ්ට මෘදුකාංග ස්ථාපනය කරති. මෙම මෘදුකාංගය ඔවුන්ට අවශ්ය විය හැකි ඕනෑම තොරතුරක් උකහා ගැනීමට උපකාර කරයි.
අපරාධකරුවන් සමාජ ඉංජිනේරු උපක්රම භාවිතා කරන්නේ බොහෝ විට පුද්ගලයෙකුගේ විශ්වාසය ලබා ගැනීමෙන් සූරාකෑම පහසු වන අතර ඔවුන්ගේ පුද්ගලික තොරතුරු අත්හැරීමට ඔවුන්ට ඒත්තු ගැන්වීමයි. එය කෙනෙකුගේ අනුදැනුමකින් තොරව සෘජුවම කෙනෙකුගේ පරිගණකයට අනවසරයෙන් ඇතුළුවීමට වඩා පහසු ක්රමයකි.
සමාජ ඉංජිනේරු උදාහරණ
සමාජ ඉංජිනේරු විද්යාව සිදු කරන විවිධ ක්රම පිළිබඳව දැනුවත් කිරීමෙන් ඔබට ඔබව වඩාත් හොඳින් ආරක්ෂා කර ගැනීමට හැකි වනු ඇත.
1. මවාපෑම
අපරාධකරුට තීරණාත්මක කාර්යයක් ඉටු කිරීම සඳහා වින්දිතයාගෙන් සංවේදී තොරතුරු වෙත ප්රවේශ වීමට අවශ්ය වූ විට කඩතුරාව භාවිතා වේ. ප්රහාරකයා ප්රවේශමෙන් සකස් කරන ලද බොරු කිහිපයක් හරහා තොරතුරු ලබා ගැනීමට උත්සාහ කරයි.
අපරාධකරුවා ආරම්භ වන්නේ වින්දිතයා සමඟ විශ්වාසය ඇති කර ගැනීමෙනි. එවැනි සංවේදී තොරතුරු ඉල්ලා සිටින ඔවුන්ගේ මිතුරන්, සගයන්, බැංකු නිලධාරීන්, පොලිසිය හෝ වෙනත් බලධාරීන් ලෙස පෙනී සිටීමෙන් මෙය සිදු කළ හැකිය. ප්රහාරකයා ඔවුන්ගේ අනන්යතාවය තහවුරු කිරීමේ කඩතුරාවෙන් ප්රශ්න මාලාවක් ඔවුන්ගෙන් අසන අතර මෙම ක්රියාවලියේදී පුද්ගලික දත්ත රැස් කරයි.
පුද්ගලයෙකුගෙන් සියලු ආකාරයේ පුද්ගලික සහ නිල තොරතුරු උකහා ගැනීමට මෙම ක්රමය භාවිතා කරයි. එවැනි තොරතුරුවලට පුද්ගලික ලිපින, සමාජ ආරක්ෂණ අංක, දුරකථන අංක, දුරකථන වාර්තා, බැංකු විස්තර, කාර්ය මණ්ඩල නිවාඩු දින, ව්යාපාරවලට අදාළ ආරක්ෂක තොරතුරු ආදිය ඇතුළත් විය හැකිය.
2. හැරවුම් සොරකම
මෙය සාමාන්යයෙන් කුරියර් සහ ප්රවාහන සමාගම් ඉලක්ක කර ගන්නා වංචාවකි. අපරාධකරු ඉලක්ක සමාගම රැවටීමට උත්සාහ කරන්නේ ඔවුන්ගේ බෙදා හැරීමේ පැකේජය මුලින් අදහස් කළ ස්ථානයට වඩා වෙනස් බෙදා හැරීමේ ස්ථානයකට ලබා දීමෙනි. තැපෑල හරහා ලබා දෙන වටිනා භාණ්ඩ සොරකම් කිරීමට මෙම තාක්ෂණය භාවිතා කරයි.
මෙම වංචාව නොබැඳි සහ මාර්ගගතව සිදු කළ හැකිය. පැකේජ රැගෙන යන පිරිස් වෙත ළඟා විය හැකි අතර, බෙදා හැරීම වෙනත් ස්ථානයකට ගෙන යාමට ඒත්තු ගැන්විය හැකිය. ප්රහාරකයන්ට මාර්ගගත බෙදාහැරීමේ පද්ධතියට ප්රවේශය ද ලැබිය හැකිය. එවිට ඔවුන්ට බෙදා හැරීමේ කාලසටහනට බාධා කර එය වෙනස් කළ හැකිය.
3. තතුබෑම්
Phishing යනු සමාජ ඉංජිනේරු විද්යාවේ වඩාත් ජනප්රිය ආකාරයකි. තතුබෑම් වංචාවලට ගොදුරු වූවන් තුළ කුතුහලයක්, බියක් හෝ හදිසි බවක් ඇති කළ හැකි ඊමේල් සහ කෙටි පණිවිඩ ඇතුළත් වේ. පෙළ හෝ විද්යුත් තැපෑල ඔවුන්ගේ උපාංගවල අනිෂ්ට මෘදුකාංග ස්ථාපනය කරන අනිෂ්ට වෙබ් අඩවි හෝ ඇමුණුම්වලට තුඩු දෙන සබැඳි මත ක්ලික් කිරීමට ඔවුන්ව පොළඹවයි.
උදාහරණයක් ලෙස, සබැඳි සේවාවක් භාවිතා කරන්නන්ට ඔවුන්ගේ මුරපද වහාම වෙනස් කිරීමට අවශ්ය වන ප්රතිපත්තිමය වෙනසක් සිදු වී ඇති බවට ඊමේල් පණිවිඩයක් ලැබිය හැක. තැපෑලෙහි මුල් වෙබ් අඩවියට සමාන නීති විරෝධී වෙබ් අඩවියකට සබැඳියක් අඩංගු වේ. පරිශීලකයා එය නීත්යානුකූල එකක් ලෙස සලකමින් එම වෙබ් අඩවියට තම ගිණුම් අක්තපත්ර ඇතුළත් කරනු ඇත. ඔවුන්ගේ විස්තර ඉදිරිපත් කිරීමෙන් පසු අපරාධකරුට තොරතුරු ලබා ගත හැකිය.
4. Spear Phishing
මෙය යම් පුද්ගලයෙකු හෝ සංවිධානයක් කෙරෙහි වැඩි වශයෙන් ඉලක්ක කරන තතුබෑම් වංචාවකි. ප්රහාරකයා ඔවුන්ගේ පණිවිඩ අභිරුචිකරණය කරන්නේ වින්දිතයාට අදාළ රැකියා ස්ථාන, ලක්ෂණ සහ ගිවිසුම් මත පදනම්ව, ඒවා වඩාත් අව්යාජ ලෙස පෙනෙන පරිදි ය. Spear phishing සඳහා අපරාධකරුගේ පැත්තෙන් වැඩි උත්සාහයක් අවශ්ය වන අතර සාමාන්ය තතුබෑම් වලට වඩා බොහෝ කාලයක් ගත විය හැක. කෙසේ වෙතත්, ඒවා හඳුනා ගැනීමට අපහසු වන අතර වඩා හොඳ සාර්ථකත්ව අනුපාතයක් ඇත.
උදාහරණයක් ලෙස, සංවිධානයක් මත හෙල්ල තතුබෑම් කිරීමට උත්සාහ කරන ප්රහාරකයෙකු ආයතනයේ තොරතුරු තාක්ෂණ උපදේශකයෙකු ලෙස පෙනී සිටිමින් සේවකයෙකුට විද්යුත් තැපෑලක් එවනු ඇත. විද්යුත් තැපෑල උපදේශකයා එය කරන ආකාරයට හරියටම සමාන වන ආකාරයට සකස් කරනු ඇත. එය ලබන්නා රැවටීමට තරම් සත්ය බව පෙනේ. ඊ-තැපෑල සේවකයාට ඔවුන්ගේ තොරතුරු සටහන් කර ප්රහාරකයාට යවන අනිෂ්ට වෙබ් පිටුවකට සබැඳියක් ලබා දීමෙන් ඔවුන්ගේ මුරපදය වෙනස් කිරීමට පොළඹවයි.
5. ජල රඳවනය
බොහෝ පුද්ගලයින් විසින් නිතිපතා පිවිසෙන විශ්වාසදායක වෙබ් අඩවි වලින් ජලය කාන්දු කිරීමේ වංචාව ප්රයෝජන ගනී. අපරාධකරු ඔවුන් නිතර පිවිසෙන්නේ කුමන වෙබ් අඩවිද යන්න තීරණය කිරීම සඳහා ඉලක්ක කරගත් පුද්ගලයන් කණ්ඩායමක් පිළිබඳ තොරතුරු රැස්කරනු ඇත. මෙම වෙබ් අඩවි පසුව දුර්වලතා සඳහා පරීක්ෂා කරනු ලැබේ. කාලයත් සමඟ මෙම කණ්ඩායමේ එක් අයෙකු හෝ කිහිප දෙනෙකු ආසාදනය වනු ඇත. එවිට ප්රහාරකයාට මෙම ආසාදිත පරිශීලකයින්ගේ ආරක්ෂිත පද්ධතියට ප්රවේශ වීමට හැකි වනු ඇත.
සතුන්ට පිපාසය ඇති වූ විට ඔවුන්ගේ විශ්වාසවන්ත ස්ථානවලට රැස් වී ජලය පානය කරන ආකාරය පිළිබඳ සාදෘශ්යයෙන් මෙම නම ලැබී ඇත. ඔවුන් පූර්වාරක්ෂාව ගැනීම ගැන දෙවරක් සිතන්නේ නැත. විලෝපිකයන් මේ බව දන්නා නිසා ඔවුන් අසල රැඳී සිටින අතර, ඔවුන්ගේ ආරක්ෂාව අඩු වූ විට ඔවුන්ට පහර දීමට සූදානම් වේ. අවදානමට ලක්විය හැකි පරිශීලකයින් පිරිසකට එකම අවස්ථාවේදීම වඩාත් විනාශකාරී ප්රහාර එල්ල කිරීමට ඩිජිටල් භූ දර්ශනයේ ජල රඳවනය භාවිතා කළ හැක.
6. ඇමදීම
නමෙන් පැහැදිලි වන පරිදි, ඇමක් යනු වින්දිතයාගේ කුතුහලය හෝ කෑදරකම අවුලුවාලීම සඳහා බොරු පොරොන්දුවක් භාවිතා කිරීමයි. වින්දිතයා ඩිජිටල් උගුලකට හසු වන අතර එය අපරාධකරුට ඔවුන්ගේ පුද්ගලික තොරතුරු සොරකම් කිරීමට හෝ ඔවුන්ගේ පද්ධති තුළ අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමට උපකාරී වේ.
ඇමක් දීම මාර්ගගත සහ නොබැඳි මාධ්ය දෙකෙන්ම සිදු විය හැක. නොබැඳි උදාහරණයක් ලෙස, අපරාධකරුවාට පෙනෙන ස්ථානවල අනිෂ්ට මෘදුකාංග ආසාදනය වූ ෆ්ලෑෂ් ඩ්රයිව් ආකාරයෙන් ඇමක් තැබිය හැකිය. මෙය ඉලක්කගත සමාගමේ සෝපානය, නානකාමරය, වාහන නැවැත්වීමේ ස්ථානය යනාදිය විය හැකිය. ෆ්ලෑෂ් ඩ්රයිව් එකට අව්යාජ පෙනුමක් ඇති අතර එමඟින් වින්දිතයා එය රැගෙන ඔවුන්ගේ වැඩ හෝ නිවසේ පරිගණකයට ඇතුළු කරනු ඇත. එවිට ෆ්ලෑෂ් ධාවකය ස්වයංක්රීයව අනිෂ්ට මෘදුකාංග පද්ධතියට අපනයනය කරයි.
ඔන්ලයින් ඇමක් ආකාර ආකර්ශනීය සහ ආකර්ශනීය වෙළඳ දැන්වීම් ආකාරයෙන් විය හැකි අතර එය වින්දිතයින් එය ක්ලික් කිරීමට දිරිමත් කරයි. සබැඳිය අනිෂ්ට වැඩසටහන් බාගත කළ හැක, එය ඔවුන්ගේ පරිගණකය අනිෂ්ට මෘදුකාංග වලින් ආසාදනය කරනු ඇත.
7. Quid Pro Quo
Quid pro quo ප්රහාරයක් යනු "යමක් සඳහා යමක්" ප්රහාරයකි. එය ඇමක් තාක්ෂණයේ විචලනයකි. ප්රතිලාභයක් ලබා දෙන බවට පොරොන්දු වී වින්දිතයින් ඇමක් වෙනුවට, ක්විඩ් ප්රෝ කෝ ප්රහාරයක් නිශ්චිත ක්රියාවක් ක්රියාත්මක කර ඇත්නම් සේවාවක් පොරොන්දු වේ. ප්රහාරකයා වින්දිතයාට ප්රවේශය හෝ තොරතුරු සඳහා ව්යාජ ප්රතිලාභයක් ලබා දෙයි.
මෙම ප්රහාරයේ වඩාත් සුලභ ආකාරය වන්නේ අපරාධකරුවෙකු සමාගමක තොරතුරු තාක්ෂණ කාර්ය මණ්ඩලයක් ලෙස පෙනී සිටීමයි. අපරාධකරු පසුව සමාගමේ සේවකයින් හා සම්බන්ධ වී ඔවුන්ට නව මෘදුකාංගයක් හෝ පද්ධති වැඩිදියුණු කිරීමක් ලබා දෙයි. එවිට සේවකයාට ඔවුන්ගේ ප්රති-වයිරස මෘදුකාංග අක්රිය කිරීමට හෝ උත්ශ්රේණි කිරීමට අවශ්ය නම් අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමට ඉල්ලා සිටිනු ඇත.
8. වලිගය
tailgating attack එකක් piggybacking ලෙසද හැඳින්වේ. නිසි සත්යාපන ක්රියාමාර්ග නොමැති සීමිත ස්ථානයකට ඇතුළුවීම අපේක්ෂා කරන අපරාධකරු එයට සම්බන්ධ වේ. අපරාධකරුට ප්රදේශයට ඇතුළු වීමට අවසර දී ඇති වෙනත් පුද්ගලයෙකු පිටුපසින් ගමන් කිරීමෙන් ප්රවේශය ලබා ගත හැකිය.
උදාහරණයක් ලෙස, අපරාධකරු තම අතේ පැකේජ පිරී ඇති බෙදාහැරීමේ රියදුරෙකු ලෙස පෙනී සිටිය හැක. බලයලත් සේවකයෙකු දොරට ඇතුළු වන තෙක් ඔහු බලා සිටී. වංචනික බෙදාහැරීමේ පුද්ගලයා සේවකයාගෙන් ඉල්ලා සිටින්නේ ඔහු වෙනුවෙන් දොර අල්ලා ගන්නා ලෙසයි, එමඟින් ඔහුට කිසිදු අවසරයකින් තොරව ප්රවේශ වීමට ඉඩ සලසයි.
9. Honeytrap
මෙම උපක්රමයට අපරාධකරු අන්තර්ජාලය හරහා ආකර්ශනීය පුද්ගලයෙකු ලෙස පෙනී සිටීම සම්බන්ධ වේ. පුද්ගලයා ඔවුන්ගේ ඉලක්ක සමඟ මිත්ර වී ඔවුන් සමඟ සබැඳි සබඳතාවක් ව්යාජ ලෙස පවත්වාගෙන යයි. අපරාධකරු පසුව ඔවුන්ගේ වින්දිතයින්ගේ පුද්ගලික තොරතුරු උකහා ගැනීමට, ඔවුන්ගෙන් මුදල් ණයට ගැනීමට හෝ ඔවුන්ගේ පරිගණකවලට අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමට මෙම සම්බන්ධතාවයෙන් ප්රයෝජන ගනී.
'හනිට්රැප්' යන නම පැමිණෙන්නේ පිරිමින් ඉලක්ක කර ගැනීම සඳහා කාන්තාවන් යොදාගත් පැරණි ඔත්තු බැලීමේ උපක්රම නිසාය.
10. තක්කඩි
Rogue මෘදුකාංගය rogue anti-malware, rogue scanner, rogue scareware, anti-spyware, යනාදී ආකාරයෙන් දිස්විය හැක. මෙම වර්ගයේ පරිගණක අනිෂ්ට මෘදුකාංග අනිෂ්ට මෘදුකාංග ඉවත් කිරීමට පොරොන්දු වූ අනුකරණය කළ හෝ ව්යාජ මෘදුකාංගයක් සඳහා ගෙවීමට පරිශීලකයන් නොමඟ යවයි. Rogue ආරක්ෂක මෘදුකාංග මෑත වසරවල වර්ධනය වන කනස්සල්ලක් වී ඇත. නොසැලකිලිමත් පරිශීලකයෙකු එවැනි මෘදුකාංග වලට පහසුවෙන් ගොදුරු විය හැකිය, එය ඕනෑ තරම් තිබේ.
11. අනිෂ්ට මෘදුකාංග
අනිෂ්ට මෘදුකාංග ප්රහාරයක පරමාර්ථය වන්නේ වින්දිතයා තම පද්ධති තුළට අනිෂ්ට මෘදුකාංග ස්ථාපනය කරවා ගැනීමයි. ප්රහාරකයා වින්දිතයාට අනිෂ්ට මෘදුකාංග ඔවුන්ගේ පරිගණකයට ඇතුළු කිරීමට ඉඩ සලසා දීම සඳහා මිනිස් හැඟීම් හසුරුවයි. තතුබෑම් පණිවිඩ යැවීම සඳහා ක්ෂණික පණිවිඩ, කෙටි පණිවිඩ, සමාජ මාධ්ය, විද්යුත් තැපෑල ආදිය භාවිතා කිරීම මෙම තාක්ෂණයට ඇතුළත් වේ. මෙම පණිවිඩ මගින් වින්දිතයා අනිෂ්ට මෘදුකාංග අඩංගු වෙබ් අඩවියක් විවෘත කරන සබැඳියක් ක්ලික් කිරීමට පොළඹවයි.
පණිවිඩ සඳහා බොහෝ විට බිය උපක්රම භාවිතා කරයි. ඔබේ ගිණුමේ යම් දෝෂයක් ඇති බවත්, ඔබේ ගිණුමට ලොග් වීමට ඔබ වහාම ලබා දී ඇති සබැඳිය ක්ලික් කළ යුතු බවත් ඔවුන් පැවසිය හැකිය. මෙම සබැඳිය මඟින් ඔබේ පරිගණකයේ අනිෂ්ට මෘදුකාංග ස්ථාපනය කරන ගොනුවක් බාගත කිරීමට සලස්වයි.
දැනුවත්ව සිටින්න, ආරක්ෂිතව සිටින්න
ඔබව දැනුවත් කිරීම ඔබව ආරක්ෂා කර ගැනීමේ පළමු පියවරයි සමාජ ඉංජිනේරු ප්රහාර. මූලික ඉඟියක් වන්නේ ඔබගේ මුරපදය හෝ මූල්ය තොරතුරු ඉල්ලා සිටින ඕනෑම පණිවිඩයක් නොසලකා හැරීමයි. එවැනි ඊමේල් සලකුණු කිරීමට ඔබට ඔබේ විද්යුත් තැපැල් සේවා සමඟ එන අයාචිත තැපැල් පෙරහන් භාවිතා කළ හැක. විශ්වාසදායක ප්රති-වයිරස මෘදුකාංගයක් ලබා ගැනීම ඔබේ පද්ධතිය තවදුරටත් සුරක්ෂිත කිරීමට උපකාරී වේ.
