• හිතවතී
    • අපි ගැන
    • අපට උදව් කරන්නන්
  • උපකාරක මධ්‍යස්ථානය

    අවවාදයයි!

    • කොවිඩ්-19 (COVID-19) සයිබර් ප්‍රහාර
    • සයිබර් ආරක්‍ෂක ඉඟි
    • සයිබර් ආරක්ෂණ තර්ජන
    • ආරක්ෂක අනතුරු ඇඟවීම්

    වැඩි විස්තර දැනගන්න

    • දැනුම සඳහා
    • සමාජ මාධ්‍ය ජාල
    • දෙමාපිය මාර්ගෝපදේශය
    • ළමා මාර්ගෝපදේශය
    • දැන් මොකද කරන්නේ

    නිරීක්ෂණය

    • අද කාලයේ සත්‍ය සිදුවීම්
    • වීඩියෝ
    • පත්තරේ කතා

  • දැන් මොකද කරන්නේ
  • පුවත් සහ සිදුවීම්
  • මාසික සඟරාව
  • අමතන්න
    • නිති අසන පැන
ඔබට යම් ගැටළුවක් ද? 011-421-6062   help@hithawathi.lk
  • English
  • தமிழ்
හිතවතීහිතවතී
  • හිතවතී
    • අපි ගැන
    • අපට උදව් කරන්නන්
  • උපකාරක මධ්‍යස්ථානය

    අවවාදයයි!

    • කොවිඩ්-19 (COVID-19) සයිබර් ප්‍රහාර
    • සයිබර් ආරක්‍ෂක ඉඟි
    • සයිබර් ආරක්ෂණ තර්ජන
    • ආරක්ෂක අනතුරු ඇඟවීම්

    වැඩි විස්තර දැනගන්න

    • දැනුම සඳහා
    • සමාජ මාධ්‍ය ජාල
    • දෙමාපිය මාර්ගෝපදේශය
    • ළමා මාර්ගෝපදේශය
    • දැන් මොකද කරන්නේ

    නිරීක්ෂණය

    • අද කාලයේ සත්‍ය සිදුවීම්
    • වීඩියෝ
    • පත්තරේ කතා

  • දැන් මොකද කරන්නේ
  • පුවත් සහ සිදුවීම්
  • මාසික සඟරාව
  • අමතන්න
    • නිති අසන පැන

සමාජ ඉංජිනේරු විද්‍යාව (Social Engineering)

  • මුල් පිටුව
  • උපකාරක මධ්‍යස්ථානය
  • දැනුම සඳහා
  • සමාජ ඉංජිනේරු විද්‍යාව (Social Engineering)

සමාජ ඉංජිනේරු විද්‍යාව යන්න සරලව පැහැදිලි කලොත්, යම් අහිංසක පුද්ගලයෙක්ව උපායශීලීව රැවටීමට ලක්කිරීම හෝ වැරදි ක්‍රියාවක් සිදු කිරීම සඳහා පෙළඹවීම, එම පුද්ගලයාගේ පරිශීලක තොරතුරු (user credentials) සහ රහස්‍ය පෞද්ගලික තොරතුරු ලබා ගැනීමේ අරමුණින් නොමඟ යැවීම යනාදී පුළුල් පරාසයක විහිදෙන අනිෂ්ට මිනිස් ක්‍රියාකාරකම් රාශියක් අන්තර්ගත වේ.

වර්තමාන ලෝකයේ, අපරාධකරුවන් සහ සයිබර් වංචාකරුවන් විසින් පරිශීලකයින් රවටා රහස්‍ය තොරතුරු හෙළි කරගැනීමට භාවිතා කරන තාක්‍ෂණයක් ලෙස, සමාජ ඉංජිනේරු විද්‍යාව හඳුනාගෙන ඇත. මෙසේ ඔවුන් විසින් හෙළි කරගනු ලබන්නේ ආරක්‍ෂිත අරමුණු සඳහා හෝ සත්‍යාපනය / verification සඳහා අදාළ යෙදුමෙන් / මෘදුකාංගයෙන් ඉල්ලා සිටියොත් මිස කිසිවෙකුවට නොදිය යුතු තොරතුරු වේ.

‘සමාජ ඉංජිනේරුවන්’ (‘hacker’ / ‘හැකර්’ සඳහා වෘත්තීය යෙදුමක් ලෙසද භාවිතා කළ හැකිය) විවිධ පද්ධති සහ යෙදුම් (උදා: ෆේස්බුක්, ඊමේල්, ඉමෝ, වෙනත් සමාජ ජාල ඇප්ස්) වෙත ප්‍රවේශය ලබා ගැනීම සඳහා එම දත්ත රැස් කර ඔවුන් ඉලක්ක කරන ප්‍රතිලාභය ලැබෙන තෙක් ඒවා පාලනය කරයි. මෙම ප්‍රතිලාභය බොහෝ විට ප්‍රමාණවත් තරම් තාර්කික නොවන / බුද්ධිමත්ව සිතා නොබැලූ පරිශීලකයින්ව බ්ලැක්මේල් කිරීමෙන් උපයා ගත් දෙයක් විය හැකිය.

පහත දැක්වෙන රූපසටහන සමාජ ඉංජිනේරු විද්‍යාව භාවිතා කර ප්‍රහාර සිදුවන ආකාරය පෙන්වයි.

සමාජ ඉංජිනේරු ප්‍රහාර ක්‍රම ආකාර පහකින් හඳුනාගත හැකිය;

  1. ඇමක් (Baiting) හරහා ප්‍රහාරකයින් බොහෝ විට භෞතික උපකරණ භාවිතා කරමින් ඇමක් තබයි. නිදසුනක් වශයෙන්, ග්‍රහණයට හසු කර ගත වින්දිතයන් සිටින ස්ථානවල (සමාගමක සේවකයෙකු විය හැකිය) අනිෂ්ට මෘදුකාංග ආසාදිත (malware-infected) ෆ්ලෑෂ් ඩ්‍රයිව් ඔවුන්ට නිසැකවම පෙනෙන පරිදි – විශේෂයෙන් කාර්යාල මේසයක / විවේකාගාරයක / සෝපානයක තැබීම වැනි කථා අපට අසන්නට ලැබේ. මෙසේ සූදානම් කර ඇති ඇම කෙනෙකුට ගැනීමට සිතෙන පරිදි ආකර්ශනීය වන ලෙස අව්‍යාජ පෙනුමක් ඇති ආකාරයට ඉදිරිපත් කරයි. එනම් එය සමාගමේ ‘වැටුප් ලැයිස්තුව’ හෝ ‘රහස්‍ය’ වැනි ලේබලයක් සහිතව ඉදිරිපත් කිරීමෙනි. ඉන් පසු මෙම සේවකයින් විසින් එම ‘ඇමක්’ සහිත ආසාදිත උපාංගය ඔවුන්ගේ සමාගමේ පරිගණකවලට ඇතුළු කළ හැකිය. මෙහි ප්‍රතිඵලය වන්නේ පරිගණක පද්ධතියේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය වීමකි. සමහර විට ඇමක් ඔන්ලයින් (online) ස්වරූපයක්ද ගත හැකිය. උදාහරණයක් ලෙස, උත්පතන දැන්වීම් (pop-up ads) හෝ පණිවිඩ හරහා ආසාදිත සබැඳි (links) රැගෙන යයි.මෙය මිනිසුන් කුතුහලයට පත් කරන අතර එහි ප්‍රතිඵලයක් ලෙස පද්ධතියේ / පරිගණකයේ ස්වයංක්‍රීයව අනිෂ්ට මෘදුකාංග ස්ථාපනය විය හැකිය.
  2. බිය උපදවන දෑ (Scareware)

    Scareware (ස්කෙයාවෙයා) හෙවත් බිය කර ප්‍රයෝජන ලබන කූට මෘදුකාංග වින්දිතයින් වෙත ළඟා වන්නේ සැබෑවක් නොවන දෙයකට ඔවුන්ව බිය ගැන්වීමෙනි. උදාහරණයක් ලෙස, ඔබට පහත ආකාරයේ පණිවිඩ ලැබෙනු ඇත,

    Warning – Your computer may be infected with harmful spyware programs

     එමඟින් ඔවුන් නිර්දේශ කරන මෙවලමක් ස්ථාපනය කිරීමට ඔබට යෝජනා කරයි (බොහෝ විට මෙය අනිෂ්ට සබැඳියක් / malicious link වේ.)

  3. ව්‍යාජ රඟපෑම් (බොරු හේතු / Pretexting)

    දුරකථන අංක, බැංකු ගිණුම් අංක සහ විදේශ ගමන් බලපත්‍ර විස්තර වැනි ඔබේ පුද්ගලික තොරතුරු ලබා ගැනීමට තමන්ට බලය ඇති බව මවා පාමින් ප්‍රහාරකයා දක්ෂ ලෙස ව්‍යාජ රඟපෑමක් සිදු කරයි. ඔබව රැවටීම සඳහා අදාල ඉහල නිලධාරීන්ගේ පරිපූර්ණ ලෙස සැකසූ ලාංඡන, ලිපි ශීර්ෂ සමඟ අදාල නිලධාරීන්ගේ වචන පවා භාවිත කර ඔබ වෙත පැමිණිය හැකිය.
  4. ෆිෂිං (Phishing) ඔබගේ ගිණුම් හැක් කිරීමට පරිශීලක තොරතුරු ලබා ගැනීමට උත්සාහ කරන වංචා සහ එහි ප්‍රතිඵලයක් ලෙස බ්ලැක්මේල් කිරීම ෆිෂිං ලෙස වර්ග කළ හැකිය.

    කුමන ලින්ක් එක ඇත්තද බොරුද කියා හඳුනා ගන්නේ කෙසේද යන්න පිළිබඳ වැඩිදුර තොරතුරු සොයා ගන්න.

  5. ස්පියර් ෆිෂිං (Spear phishing) ෆිෂිං වලට වඩා පියවරක් ඉදිරියට ගොස් ස්පියර් ෆිෂිං මඟින් තනි පුද්ගලයෙක් දක්ෂ ලෙස ඉලක්ක කරයි. යම් උපායකට හසු කර ගැනීම සඳහා සමාජ ඉංජිනේරුවන් විසින් වැඩි කාලයක් හා වෑයමක් දරමින් ඉතා පරීක්ෂාකාරී ලෙස ඉලක්ක කරයි. මන්ද, උපායට හසුකරගැනීමට ලක්වන පුද්ගලයා  එය සත්‍ය යැයි විශ්වාස කර ඊට ප්‍රතිචාර දැක්වීමෙන් ගැලවිය නොහැකි තත්වයකට පත් කළ යුතු බැවිනි.නිදසුනක් වශයෙන්, ලොතරැයි දිනුම් හෝ අනපේක්ෂිත ත්‍යාග දිනා ඇති බව පවසමින්, “අනන්‍යතා සොරකම්” සඳහා පවා භාවිතා කළ හැකි ඔබේ පුද්ගලික තොරතුරු ඉල්ලා සිටින ඊමේල් හරහා සිදු කරන වංචාවන් අද කාලයේ බහුලව ඇසිය හැකිය.

    වර්තමානයේ රැල්ලක් සේ සිදුවෙන ස්කෑම් වංචා වර්ග ගැන මෙතැනින් දැන ගන්න

සමාජ ඉංජිනේරුකරණය වැළැක්වීම / හසු නොවීම (Social engineering prevention)

මානව හැඟීම් හසුරුවන සමාජ ඉංජිනේරුවන්ගේ ප්‍රහාර වැළැක්වීම සඳහා සයිබර් අවකාශයේ ඕනෑම දෙයකට ප්‍රතිචාර දැක්වීමට පෙර ඔබ සෝදිසියෙන් සිටිය යුතු අතර ඥානාන්විතව සිතිය යුතුය.

සමාජ ඉංජිනේරු හැක් කිරීම්වලින් ආරක්ෂා වීමට උපදෙස් කිහිපයක් පහත දැක්වේ;

  • URL එක නිවැරදි බව ඔබට තහවුරු නැත්නම්, අමුතු පෙනුමක් ඇති ඇමුණුම් (attachments) හෝ ආකර්ෂණීය සබැඳි (links) අඩංගු කිසිවක් විවෘත නොකරන්න. (කුමන ලින්ක් එක ඇත්තද බොරුද කියා හඳුනා ගන්නේ කෙසේද සොයා බලන්න)
  •  පරිශීලකයා සත්‍යාපනය (verify) සඳහා වෙනස් සත්‍යාපන සාධක දෙකක් භාවිතා කරන ආරක්ෂිත ක්‍රියාවලියක් වන දෙපියවර සත්‍යාපනය (two-factor authentication) හැකි සැම විටම භාවිතා කරන්න. (දෙපියවර සත්‍යාපනය ගැන මෙයින් දැනුවත් වෙන්න)
  • කිසි විටෙකත් ඔබගේ මුරපද (passwords) හෝ පිවිසුම් තොරතුරු කිසිවෙකුට ලබා නොදෙන්න.
  • සිත් ඇදගන්නා සුළු තෑගී දීමනා ගැන සැලකිලිමත් වන්න, සමහර විට එවැනි වංචා ඔබ සතුව ඇති දේ පවා අහිමි වීමට මග සලසයි.
  • යාවත්කාලීන ප්‍රති-වයිරස / ප්‍රති-මෘදුකාංග (up-to-date anti-virus / antimalware) මෘදුකාංගයක් ස්ථාපනය කරන්න

සයිබර් අවකාශයේ ඔබගේ ආරක්ෂාව ගැන තව විස්තර මෙතැනින් දැනගන්න.

මූලාශ්‍ර:
https://www.imperva.com/learn/application-security/social-engineering-attack/
https://www.pandasecurity.com/mediacenter/security/social-engineering/

හිතවතී

ලක් වසම් ලේඛකාධිකාරය විසින්
අරමුදල් සපයන ව්‍යාපෘතියකි.

ඉක්මන් සබැඳි

Sri Lanka CERT|CC
TechCERT
Internet Crime Complaint Centre
     
    Instagram

අපට උදව් කරන්නන්


කාර්යාල වේලාවන්

සතියේ දිනවල පෙ.ව. 08.30 සිට ප.ව. 05.00 දක්වා
සෙනසුරාදා දිනවල පෙ.ව. 08.30 සිට දහවල් 12.30 දක්වා
රජයේ නිවාඩු දිනයන් හි වසා ඇත.
(අප සේවාවේ ගුණාත්මකභාවය සහතික කිරීම සඳහා ඇමතුම් පටිගත විය හැක)

කතුහිමිකම © 2021 හිතවති. සියළු හිමිකම් ඇවිරිනි.

හිතවතී සමඟ සම්බන්ධවන්න
අපව අමතන්න 011-421-6062