Phishing කියන්නෙ පරිගණක ආරක්ෂාව සලකනකොට බහුලව කතාවෙන මාතෘකාවක්. උච්චාරණය ෆිෂින් කියල තමයි එන්නෙ. සාමාන්‍ය fishing වලට සිංහලෙන් මාළුබෑම කිවුවට මේ phishing වලට කියන්නෙ තතුබෑම කියල. ඒ නම ටිකක් කැත නිසා ෆිෂින් කියලම පාවිච්චි කරන එක හොඳයි වගේ.

සාමාන්‍ය මාළුබානකොට වගේම මේකෙදිත් කරන්නෙ ඇමක් දාල පුද්ගලයන් බිලීබාන එකම තමයි. මෙතනදී ගොදුරුවෙන පුද්ගලයාගේ තොරතුරු, දත්ත සොරකම් කරනව වගේම ඔහුගේ ඔන්ලයින් අයිඩින්ටිටි එකත් හොරකම් කරන්න පුළුවන්. ඒ වගේම ව්‍යාජ malicious වෙබ් අඩවියකට යොමු කරල ඒ හරහා arbitrary code execution වර්ගයේ දුර්වලතා පාවිච්චි කරල malicious payloads පරිගණකය තුල ස්ථාපනය කරන්නත් පුළුවන්. සිස්කෝ ආයතනයට අනුව 2016 - 2017 කාලය තුල malware වලින් 67%ක් ම බෙදාහැරල තියෙන්නේ මේ ෆිෂින් ඊමේල් භාවිතයෙන්.

ෆිෂින් කියන්නෙ අංක එකේ සෝෂල් ඉංජිනියරින් ක්‍රමයක්. බොහොමයක් ෆිෂින් සිද්ධ වෙන්නෙ ඊමේල් හරහා උනත් ඒ ඇරෙන්න වෙනත් ක්‍රමත් පාවිච්චි කරන්න පුළුවන්. ඔබව රවටමින් ඔබේ තොරතුරු ගන්න දරන ඔනෑම උත්සහයක් ෆිෂින් කියල කිවුවට වරදක් නෑ. මිනිස්සුන්ගෙ බය, ආසාව, කුතුහලය, තණ්හාව වගේ හැඟීම් තමයි මෙතනදී ඉලක්ක වෙන්නෙ.

සෝෂල් ඉංජිනියරින් කියල කියන්නෙ මිනිස්සු අන්දවල එයාල ලවා මොකක් හරි හානිදායක වැඩක් කරගන්න එකට හරි එයාලගේ හරි එයාල හරහා වෙනත් කෙනෙක්ගෙ හරි තොරතුරු ගන්න පාවිච්චි කරන ඕනිම ක්‍රමයකට. මේ ක්‍රම වලදී ගොඩක්ම මිනිස්සු එක්ක වැඩ කෙරෙන නිසා තාක්ෂණික උපක්‍රම වලින් විතරක් මේ ජාතියේ ප්‍රහාර වලක්වන්න බෑ

• මෙන්න ඔබට වටිනා අවස්තාවක්. ස්ටීව් ජොබ්ස් ගේ 63න් වෙනි ජන්මදිනය වෙනුවෙන් පිරිනමන නවතම ඇපල් ජංගම දුරකතනයක් දිනාගැනීමට මෙම වෙබ් අඩවියට ගොස් ඔබගේ විස්තර සමග කැමති වර්ණය ඇතුලත් කරන්න

• ඔයාගේ නිරුවත් ජායාරුප වගයක් කවුරුහරි ෆේස්බුක් එකේ දාල මේ ලින්ක් එකට ගිහිල්ල රිපෝට් කරන්න

පොඩ්ඩක් දැකල පුරුදුයි වගේ නේද.

නිකමට හිතන්න ඇපල් වගේ කිට්ටුවෙන් තියන නමක් තියන මේල් ඇඩ්රස් එකකින් උඩ තියනව වගේ මේල් එකක් ආවොත්? ඔබේ යාලුවෙක් වගේ ඊමේල් එකකින් ෆොටෝ ගැන තියනව වගේ පණිවිඩයක් ආවොත්? අනිවාර්යයෙන් ඔබ එවල තියන ලින්ක් එක ක්ලික් කරනව. පළවෙනි එකේදී කෙසේවෙතත් දෙවෙනි එකේදී නං ලින්ක් එක ක්ලික් කරන්න තියන අවස්තාව ගොඩක් වැඩියි.

දැන් ඔය වගේ ලින්ක් එකක් ක්ලික් කරහම ඔයා වෙබ් සයිට් එකකට යැවෙනව. මේ සයිට් තාවකාලිකව හදපු එවුව. ගොඩක් වෙලාවට නමත් ටිකක් අවුල් වගේ. උදාහරණයක් හැටියට apple වෙනුවට appel වගේ වෙන්නත් පුළුවන්. මේ සයිට් වලින් විවිධ තොරතුරු හොරකම් කරන්න පුළුවන්. සෘජුවම ඔබෙන් තොරතුරු ලබාගන්න පුළුවන්. උඩ දෙවෙනි අවස්ථාවේදී නං ෆේස්බුක් ලොගින් පේජ් එක වගේම එකක් හදල ඔයාගෙ ෆේස්බුක් යුසර්නේම් පාස්වර්ඩ් ගන්න පුළුවන්. එහෙමත් නැත්තං malicious කෝඩ් හරහා ඔයාගේ වෙබ් සෙෂන් හොරකම් කරන්න පුළුවන්. ඔබේ ක්‍රෙඩිට් කාඩ් විස්තර හොරකම් කරන්න පුළුවන්.

Verizon Data Breach Investigations Report එකට අනුව Data breaches වලින් 36%කටම ෆිෂින් තමයි වගකියන්න ඕනි

Friedrich-Alexander University එකෙන් කරපු සමීක්ෂණයකට අනුව ෆිෂින් මේල් ගැන දන්නව කියල කියන අයගෙන් 78%ක් විතර ෆිෂින් මේල් වල තියන ලින්ක් ක්ලික් කරලා තියනව

ඒ වගේම ඔබගේ පරිගණකයේ තියන දුර්වලතාවයක් පාවිච්චි කරල (arbitrary code execution vulnerability) ඔබේ පරිගණකය තුල malware එකක් උනත් ඉන්ස්ටෝල් කරන්න පුළුවන්. ගොඩක් වෙලාවට remote access tool එකක් ඉන්ස්ටෝල් කරලා පස්සේ වෙලාවක හෙමින් ඔවුන්ට අවශ්‍ය payload එක අපේ පරිගණකය තුලට එවන්න පුළුවන්. මේ හරහා ඔත්තු බැලීමේ මෘදුකාංග, රැන්සම්වෙයා, වයිරස් වගේ හානිකර malware අපේ පරිගණකයට ඇතුල් කරන්න පුළුවන්. යම් ආයතනයක පරිගණකයන් නං, ඒ පරිගණකය හරහා ආයතනයේ අනිත් පරිගණක වලට ඇක්සස් කරන්න, ආයතනයේ සංවේදී දත්ත හොරකම් කරන්න වගේම විනාශ කරන්නත් පුළුවන්.

ෆිෂින් ඇටෑක් වර්ග

Spear phishing - සාමාන්‍යයෙන් ෆිෂින් ඇටෑක් බොහෝ පිරිසක් ඉලක්ක කරත්, මෙතනදී වෙන්නෙ තෝරාගත් පුද්ගලයන් පමණක් ඉලක්ක කරලා ඔවුන් වෙනුවෙන්ම හදපු ෆිෂින් මේල් යවන එක. මේක බොහොම සාර්ථක උපක්‍රමයක්. කාලයක් තිස්සෙ ඉලක්කය ගැන අධ්‍යනය කරල කරන නිසා සාර්ථකත්වය වැඩි වෙනව. SANS ඉන්ස්ටිටියුට් එකට අනුව ආයතන වල නෙට්වර්ක් වලට ඇවිත් තියන ඇටෑක් වලින් 95%ක්ම ඇවිත් තියෙන්නේ මේ ස්පියර් ෆිෂින් වලින් තමයි.

Microsoft 365 phishing - බොහෝ ආයතන දැන් දැන් ඔෆිස් 365 පැත්තට මාරු වෙනව. මේ ඔෆිස් එකවුන්ට් පාවිච්චි කරන අයව ඉලක්ක කරලා තමයි මේ ජාතියේ ෆිෂින් එවන්නෙ. මෙතනදී ගොඩක් වෙලාවට මයික්‍රොසොෆ්ට් සමාගමෙන් එවන මේල් වගේ පෙනෙන මේල් වලින් තමයි වැඩේ කරන්නෙ. මෙතනදී එක ඊමේල් එකවුන්ට් එකකට ඇක්සස් හදාගත්තට පස්සේ ඒ එකවුන්ට් එක පාවිච්චි කරලා ආයතනයේ අනිත් ඊමේල් එකවුන්ට් වලට ෆිෂින් මේල් යවන්න පුළුවන්. සමහර වෙලාවට දැනට ඇවිත් තියන මේල් එකකට යවන පිළිතුරක් හැටියට උනත් ෆිෂින් මේල් එකක් යවන්න පුළුවන්. මේකෙ තියන භයානක කම තමයි මේ ෆිෂින් මේල් යවන්නේ ආයතනයේම ඊමේල් එකවුන්ට් එකකින් වෙන එක.

Business email compromise (BEC) - මේකත් සිරා ගේමක්. ලොකු ආයත වලට, ලොකු පුද්ගලයන් තමයි මේකට ටාගට් වෙන්නෙ. මෙතනදී වෙන්නෙ යම් ආයතනයක් හෝ පුද්ගලයෙක් වගේ පෙනී සිටිමින් (spoofing) ටාගට් වෙන ආයතනයෙන් හරි පුද්ගලයාගෙන් හරි සල්ලි ලබාගන්න එක. මෙතනදී ඇත්ත වගේ පේන්න බොරුවට හදපු බිස්නස් එකක් වෙන්න පුළුවන්. උදාහරණයක් හැටියට යම් ආයතනයක සේවකයන්ට අලුත් අවුරුද්දට තෑගී දෙන්න අවශ්‍ය තෑගී වවුචර් මිලදීගන්න අවශ්‍යකරන මුදල් ගෙවන්න කියල කියනව වගේ. මෙතනදි සාමාන්‍යයෙන් ආයතනය ගණුදෙනු කරන වෙනත් ආයතනයක් වගේ පෙනී සිටිමින් මේ වැඩේ කරන නිසා සැකයක් ඇතිවෙන්න තියන ඉඩත් අඩුයි. පුදුමය කියන්නෙ ගූගල් එක ෆේස්බුක් එක වගේ දැවැන්ත සමාගම් පවා මේ වගේ ඇටෑක් වලට අහුවෙලා තියන එක.

Whaling - මේකත් Spear phishing ඇටෑක් එකක්ම තමයි. හැබැයි මෙතනදී ටාගට් වෙන්නෙ ආයතනයක ඉහලම පෙලේ පුද්ගලයෙක්. මේ වගේ පුද්ගලයෙක් ගොදුරක් වෙනව කියන්නෙ ඒක ආයතනයටත් විශාල තර්ජනයක්.

Clone Phishing - මේකත් Spear phishing ඇටෑක් එකක්ම තමයි. මෙතනදී ටාගට් එකට කලින් ඇවිත් තියන ඊමේල් එකක් වගේම එකක් එවනව අටාක් එකක් කරන්න අවශ්‍ය සුළු සුළු වෙනස්කම් විතරක් කරල. කලින් ඇවිත් තියන එකක් වගේ නිසා වැඩිපුර හොයන්නේ නැතුවම මේ උගුලට අහුවෙන්න ඉඩ තියනව.

Social media phish - ඔබ සමාජ ජාල වල පලකරන දේවල් ඇසුරින් ඔබ ගැන අධ්‍යනය කරල, ඔබේ තොරතුරු එකතු කරල ෆිෂින් ඇටෑක් එකක් නිර්මාණය කරන එක තමයි මේ. අපි සමාජ ජාල වල දේවල් පලකරනකොට ගොඩක්ම පරිස්සම් වෙන්න ඕනි මේ නිසා.

Voice phishing - ෆෝන් එකෙන් රවට්ටල වැඩ කරගන්න එක තමයි මේ. ඔබේ ආයතනයේ පරිගණක ජාලය ගැන බලන සමාගමෙන් කතාකරනව වගේ, ඔබේ ආයතනයේ ඊමේල් සර්වර් එක නඩත්තුකරන සමාගමෙන් කතාකරනව වගේ කතා කරල ඔබෙන් සංවේදී තොරතුරු ගන්න පුළුවන්. ප්‍රසිද්ධ හැකර් කෙනෙක් වෙච්ච කෙවින් මිට්නික් මෝටරෝලා සමාගමේ අයව ෆෝන් එකෙන් රවටල තියනව

කොහොමද ෆිෂින් වලින් බේරෙන්නෙ

ෆිෂින් වලින් බේරෙන්න කරන්න පුළුවන් වැඩ ප්‍රධාන කොටස් දෙකකට බෙදන්න පුළුවන්. ඒ තාක්ෂණික උපක්‍රම සහ දැනුවත්කිරීම් කියල.

දැනුවත් කිරීම්

ඊමේල් ආවෙ කාගෙන්ද, ඊමේල් එක ආපු ඊමේල් ලිපිනය මොකක්ද කියල හොඳට හොයල බලන එක.

ඊමේල් එකේ ව්‍යාකරණ දෝෂ, අක්‍ෂර දෝෂ ගැන එහෙම දැනුවත් වෙන එක. සාමාන්‍යයෙන් පිළිගත් ආයතන වලින් ව්‍යාකරණ දෝෂ එහෙම තියන මේල් එවන්නෙ නෑ.

හිතාගන්න බැරි ජාතියේ වාසි ගැන එහෙම තියනව නං ඉතිං ආයේ දෙකක් නෑ පරිස්සම් වෙන්න.

ලින්ක් එහෙම එවල තියනව නං ඒ ලින්ක් https පාවිච්චි කරනවද කියල බලන්න. මේක සියයට සියයක් ආරක්‍ෂිත නොවුනත්, යම් තරමක් දුරට ආරක්ෂා වෙන්න පුළුවන්.

කිසිම කෙනෙක්ට ඊමේල් හරහා ඉල්ලුවට ඔබේ සංවේදී තොරතුරු දෙන්න එපා. විශේෂයෙන්ම බැංකු තොරතුරු එහෙම.

“හදිස්සියි”, “වැදගත්” වගේ තිබ්බ පලියට කලබල වෙලා වැඩ වරද්දගන්න එපා.

මේ තියෙන්නේ දැනුවත් කරන පුළුවන් මුලික කරුණු ටිකක්.

තාක්ෂණික උපක්‍රම

ස්පෑම් ෆිල්ටර් කරන උපක්‍රම පාවිච්චි කරන එක.

ඊමේල් හරහා එන වයිරස් ස්කෑන් කරන එක.

ඊමේල් එවන කෙනාගෙ විශ්වසනීය බව තහවරු කරන උපක්‍රම පාවිච්චි කරන එක (Sender reputation).

Graymail සඳහා ස්කෑන් කරන එක. Graymail කියන්නෙ ස්පෑම් වලට අහු නොවෙන, ඒත් තොග හැටියට යවන ඊමේල්.

URL analyze කරන එක. මෙතනදී කරන්නෙ අපි වැරදිලා වත් ඊමේල් එකක තියන ලින්ක් එකක් ක්ලික් කරත්, ඒ සයිට් එක විශ්වසනීය නැත්තං ඒ සයිට් එකට යන එක නවත්තන එක.

හොඳ endpoint protection එකක් එහෙමත් නැත්තං වයිරස් ගාඩ් එකක් පාවිච්චි කරන එක.

හැම වෙලේම පරිගණක එහෙම අප්ඩේට් කරලා තියාගන්න එක.

මෙන්න මේ උපක්‍රම ටික හැකි උපරිමයෙන් අනුගමනය කරනවා නං ෆිෂින් වලින් ගැලවෙන්න පුළුවන්. සියයට සියයක් නොවුනත් අඩුම සියයට අනූනවයක් වත් වලකින්න පුළුවන්.

Reference

What Is Phishing - Cisco

Phishing Attacks: A Deep Dive with Prevention Tips - Rapid7

One in two users click on links from unknown senders - Friedrich-Alexander University

2021 Data Breach Investigations Report - Verizon

Microsoft 365 phishing - - Cisco

Business email compromise - FBI

Whaling - Rapid7

Sender reputation - Microsoft

Image Credits

Cover Image - DuoCircle

Business email compromise - FBI