දේශීය පුද්ගලික අංකයක් හරහා OTP (One Time Password / එක් වරක් පමණක් භාවිතා කළ හැකි මුරපදය) ලැබීම

අවසන් වරට යාවත්කාලීන කලේ 2020/10/30

තර්ජන මට්ටම
ඉහල

දළ විශ්ලේෂණය
ඔබේ OTP (One Time Password / එක් වරක් පමණක් භාවිතා කළ හැකි පාස්වර්ඩ්) සහිත පණිවිඩය, සත්‍යාපන සේවා සැපයුම්කරුගෙන් (authentication service provider) වෙනුවට දේශීය පුද්ගලික අංකයකින් ඔබට ලැබෙනු ඇත.

තවද මෙම කෙටි පණිවුඩ සේවා සපයන්නන්ගෙන් සමහරක් තමන් සුපුරුදු සත්‍යාපන සේවා සැපයුම්කරු ලෙස මවාපාමින්, පරිශීලක ගිණුම් තොරතුරු (user account details) අනිෂ්ට ලෙස ලබාගෙන ඇති බව වාර්තා විය. එහි ප්‍රතිඵලයක් ලෙස සමහර සමාජ මාධ්‍ය ගිණුම් අඩපණ (හැක්) වී ඇත.

විස්තරය
One Time Password (OTP / වන් ටයිම් පාස්වර්ඩ් නොහොත් ඕටීපී) යනු ඔන්ලයින් ගිණුම් භාවිතා කරන ඔබට අමතර ආරක්ෂිත තට්ටුවක් සපයන සේවාවකි. ගිණුම්වලට ප්‍රවේශ වීමේදී සහ මූල්‍ය ගනුදෙනු සිදු කිරීමේදී, ගිණුමේ සැබෑ පරිශීලකයා (user) හඳුනා ගැනීම සඳහා මෙය බොහෝ දුරට භාවිතා වේ. සේවා සපයන්නෙකු පාරිභෝගිකයෙකුට OTP එවන විට, එය කෙටි පණිවුඩයක් ලෙස පැමිණෙන අතර එම OTP පණිවිඩයේ පෙන්වන එවන්නාගේ නම සැබෑ සේවා සපයන්නා වනු ඇත. උදාහරණයක් ලෙස, ඔබ ගූගල් වෙතින් OTP ඉල්ලීමක් කළහොත්, එම OTP එවන්නා ගූගල් වන අතර ඔබට ගූගල් වෙතින් OTP සහිත පණිවිඩයක් ලැබෙනු ඇත.

FROM (විසින්) නාමයෙන් ඔබේ සුපුරුදු සේවාව වෙනුවට, ඔබේ OTP දේශීය පුද්ගලික අංකයකින් ලැබෙන්නේ නම්, පණිවිඩය ලැබී ඇත්තේ තෙවන පාර්ශවීය කෙටි පණිවුඩ සපයන්නෙකු හරහාය. ඔවුන් සාමාන්‍යයෙන් OTP කේතය (code) හැර එහි අන්තර්ගතය තරමක් වෙනස් කර පුද්ගලික අංකයක් හරහා පරිශීලකයාට (user) යවයි. උදාහරණ සඳහා කරුණාකර පහත රූපයන් බලන්න.

OTP පණිවිඩය භාවිතා කර නීත්‍යානුකූල සේවා සපයන්නා ලෙස රඟපාමින් ගනුදෙනුකරුවන් සමඟ විශ්වාසනීය ලෙස වැඩිදුර සන්නිවේදනය කරමින් ගිණුම් තොරතුරු (පරිශීලක නම්, පාස්වර්ඩ් ආදිය) ලබා ගැනීමට උත්සාහ කළ අනිෂ්ට තෙවන පාර්ශවීය කෙටි පණිවුඩ ද්වාර සේවා සපයන්නන් (SMS Gateway service providers) කීප දෙනෙක් පිළිබඳව වාර්තා වී ඇත. OTP ලැබීමෙන් පසු අනිෂ්ට තෙවන පාර්ශවීය කෙටි පණිවුඩ සේවා සපයන්නන් විසින් පාරිභෝගිකයන්ගෙන් ගිණුම් තොරතුරු ලබා ගෙන එම ගිණුම් අඩපණ (හැක්) කර ඇති බව ශ්‍රී ලංකා සර්ට් ආයතනයට ලැබුණු පැමිණිලි විමර්ශනය හරහා අනාවරණය වී ඇත.

බලපෑම

• ඔබේ විශ්වාසදායක OTP සේවා සැපයුම්කරු ලෙස බොරුවට පෙනී සිටින තෙවන පාර්ශවීය කෙටි පණිවුඩ සේවා සපයන්නන්ට ඔබ වැරදීමකින් හෝ ඔබේ ගිණුමේ අක්තපත්‍ර (credentials / user name, password) හෝ පුද්ගලික තොරතුරු හෙළි කළහොත්, සමාජ මාධ්‍ය, ඊමේල්, ඔන්ලයින් බැංකුකරණය වැනි ඔබගේ ඔන්ලයින් ගිණුම්වලට ඇති විය හැකි අවදානම.
• මූල්‍ය අලාභයන් සිදුවීම

විසඳුම / හානි වැළැක්වීමේ ක්‍රමවේද

• OTP, SMS හරහා ගෙන්වා ගැනීම වෙනුවට සේවා සපයන්නන් විසින් සකස් කරන ලද සත්‍යාපන යෙදුම (authentication application) භාවිතා කරන්න.
  උදා: Google Authenticator, Facebook Authentication app, Microsoft Authenticator
• OTP අත්‍යාවශ්‍ය නම්, එය SMS පණිවුඩයකින් නැතිව, දුරකථන ඇමතුමක් (voice call) මඟින් ඉල්ලන්න.
• ඔබට පුද්ගලික අංකයක් හරහා OTP පණිවිඩයක් ලැබුනේ නම් වහාම ඔබේ පාස්වර්ඩ් වෙනස් කර ගිණුම් නැවත ඔබේ පාලනයට නතු කර ගැනීමට නිසි පියවර ගන්න (set proper account recovery options).
• ඔබගේ පාස්වර්ඩ් නිතර වෙනස් කර ගිණුම් රිකවර් කිරීමට අදාළ නිසි විකල්ප සකසා තැබීම.
• ඔබේ ගිණුමේ අක්තපත්‍ර (credentials / user name, password) හෝ පුද්ගලික තොරතුරු කිසිවක් තෙවන පාර්ශවීය කෙටි පණිවුඩ සපයන්නන්ට හෝ වෙනත් කිසිවෙකුට කිසිදු ආකාරයකින් හෙළි නොකරන්න (ඇමතුම්, කෙටි පණිවුඩ, ඊමේල් ආදිය)

වියාචනය (Disclaimer)
මෙහි දක්වා ඇති තොරතුරු කිසිදු ආකාරයක වගකීමක් නොමැතිව “පවතින ආකාරයට” ඇත.

Reference:
https://www.facebook.com/CERT.lk/photos/pcb.3968325383239265/3968323723239431/?type=3&theat
#REF: 115
#Re1eased on: 09/05/2020
https://www.cert.gov.lk/alert_info.php?id=177