Mar 13 2016

ഇന്‍റര്‍നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി


Author: admin | Category: Cyber Security, Social Engineering | Leave a Comment

Article Published in Madhyamam Daily Newspaper.

Article Link: http://www.madhyamam.com/archives/technology/node/1039

Author: ഷഫീക്ക് ഓലശ്ശേരി കുന്നിക്കല്‍ (C|EH, E|CSA, C|EI, C|HFI, MCP)

shafeeque@graytips.com

 

ഇന്‍റര്‍നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി

കമ്പ്യൂട്ടര്‍വിദഗ്ധരും പൊലീസും എത്രതന്നെ ശ്രമിച്ചിട്ടും ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പിന്‍െറ വ്യാപ്തി കൂടിക്കൂടിവരുകയാണ്. പുതിയപുതിയ വഴികളിലൂടെ തട്ടിപ്പുകാരും അതിനെ പിന്തുടര്‍ന്ന് അവരെ പിടിക്കാന്‍ കമ്പ്യൂട്ടര്‍ വിദഗ്ധരും പൊലീസും. ഈ ‘കള്ളനും പൊലീസും’ കളിയില്‍ തോല്‍ക്കുന്നത് പലപ്പോഴും കമ്പനികളും വ്യക്തികളുമാണ്. കോടിക്കണക്കിനു രൂപ നഷ്ടപ്പെടുന്നത് അവര്‍ക്കാണല്ളോ!

എന്തുകൊണ്ടാണ് ഒരു ഫുള്‍ പ്രൂഫാ യ വഴി തട്ടിപ്പുകള്‍ തടയാന്‍ നമുക്കുപയോഗിക്കാന്‍ പറ്റാത്തത്? ഒരുകാരണം, കമ്പ്യൂട്ടര്‍ വൈദഗ്ധ്യം നേടുന്നതില്‍ തട്ടിപ്പുകാര്‍ ഒരിക്കലും പിന്നിലല്ല എന്നുള്ളതുതന്നെ. അവരും പുതിയ വേലകളുമായി രംഗത്തുവരുന്നു. എന്നാല്‍, ഏറ്റവും പ്രധാനപ്പെട്ട ഒരുകാരണം മനുഷ്യന്‍െറ പ്രകൃതം മാറുന്നില്ല എന്നതാണ്. മിന്നല്‍വേഗത്തില്‍ പുതിയ ടെക്നോളജി മാറുന്നുവെങ്കിലും.

മനുഷ്യന്‍െറ അടിസ്ഥാനപ്രകൃതം മുതലാക്കിയുള്ള ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പാണ് സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിലൂടെ സൈബര്‍ ക്രിമിനലുകള്‍ ലക്ഷ്യമിടുന്നത്.

സോഷ്യല്‍ എന്‍ജിനീയറിങ്
സോഷ്യല്‍ എന്‍ജിനീയറിങ് എന്നതുകൊണ്ട് വിവക്ഷിക്കുന്നത്, മനുഷ്യരെ പറ്റിച്ചു (കമ്പ്യൂട്ടര്‍ ഉപയോഗിച്ചോ അല്ലാതെയോ) വിവരങ്ങള്‍ കൈക്കലാക്കി സ്വന്തം താല്‍പര്യങ്ങള്‍ക്കുവേണ്ടി ഉപയോഗപ്പെടുത്തുന്നതിനെയാണ്.

ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പുമായി ബന്ധപ്പെട്ട് ആദ്യമായി ഈ പദമുപയോഗിച്ചത് കെവിന്‍ മിത്നിക് (Kevin Mitnick) ആണ്. ടെക്നോളജി ഉപയോഗിക്കാതെ മനുഷ്യര്‍ പരസ്പരം ബന്ധപ്പെട്ട് ഫോണിലൂടെയോ, ഇ-മെയിലിലൂടെയോ, നേരിട്ട് സംസാരിച്ച് പാസ്വേര്‍ഡ്, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍ തുടങ്ങിയവ സമ്പാദിച്ച് പിന്നീടതുപയോഗിച്ചു നേട്ടമുണ്ടാക്കാന്‍ ശ്രമംനടത്തുക. ഒരാളുടെ പാസ്വേര്‍ഡ്, ലോഗിന്‍ വിവരങ്ങള്‍, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍, പ്രധാനപ്പെട്ട ബാങ്ക് വിവരങ്ങള്‍ ഇവയൊക്കെ മറ്റൊരാള്‍ക്ക് കൈക്കലാക്കാം. അയാളുമായി സംസാരിച്ചുകൊണ്ട്, ഫോണില്‍ ബന്ധപ്പെട്ടുകൊണ്ട്, ഇ-മെയില്‍ മറുപടിയിലൂടെ, അയാളുടെ ചവറ്റുകുട്ട പരതുന്നതിലൂടെ. ഇതെല്ലാം സോഷ്യല്‍ എന്‍ജിനീയറിങ് വിഭാഗത്തില്‍പെടുന്നു.

കെവിന്‍ മിത്നിക് തന്നെ പരീക്ഷിച്ചു വിജയിച്ച ഒരുദാഹരണം ശ്രദ്ധിക്കുക:
വെറും 15 വയസ്സുള്ളപ്പോള്‍ മിത്നിക് സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിലേക്ക് വലതുകാല്‍വെച്ചുകയറി! ലോസ് ആഞ്ജലസിലൂടെ ഫ്രീയായി യാത്ര ചെയ്യുകയായിരുന്നു ലക്ഷ്യം. ലോസ് ആഞ്ജലസ് ബസ് സിസ്ടത്തില്‍ പഞ്ച് കാര്‍ഡ് സിസ്റ്റമായിരുന്നു ഉണ്ടായിരുന്നത്. സ്നേഹിതനായ ഒരു ബസ് ഡ്രൈവര്‍ പറഞ്ഞതനുസരിച്ച് മിത്നിക് മനസ്സിലാക്കി എവിടുന്നാണ് ബസ് ടിക്കറ്റ് കിട്ടുകയെന്ന്. ചവറ്റുകുട്ടയില്‍ ഉപേക്ഷിക്കപ്പെട്ടനിലയില്‍ കണ്ടത്തെിയ ട്രാന്‍സ്ഫര്‍ സ്ളിപ്സ് ഉപയോഗിച്ച് ലോസ് ആഞ്ജലസില്‍ എവിടെയും ബസില്‍ യാത്രചെയ്യാനുള്ള സൗകര്യം നേടിയെടുത്തു മിത്നിക് എന്ന വിരുതന്‍!

മിത്നിക് അദ്ദേഹത്തിന്‍െറ ‘GHOST IN THE WIRES’ എന്ന പുസ്തകത്തില്‍ പറയുന്നതു നോക്കുക: പലവേഷങ്ങള്‍ എടുത്തണിഞ്ഞ് പലരെയും ഫോണില്‍ ബന്ധപ്പെടുന്നു: ചിലപ്പോള്‍ സെക്യൂരിറ്റി ഉപദേശകനായി, മറ്റു ചിലപ്പോള്‍ കമ്പനി ഉപദേശകനായി ഒരു ബുദ്ധിമുട്ടുംകൂടാതെ കമ്പനി നെറ്റ്വര്‍ക്കില്‍ അയാള്‍ക്ക് പ്രവേശം ലഭിക്കുന്നു. ഈ പണി ഇപ്പോഴും മിത്നിക് ചെയ്യുന്നു. സ്വന്തം കമ്പനിക്കുവേണ്ടി ഒരു എത്തിക്കല്‍ ഹാക്കറുടെ റോളിലാണെന്നുമാത്രം.

ഇന്‍റര്‍നെറ്റുമായി ബന്ധപ്പെട്ടവരൊക്കെ കണ്ടുമുട്ടിയിട്ടുണ്ടാകും നൈജീരിയന്‍ 419 സ്കാം എന്നറിയപ്പെടുന്ന തട്ടിപ്പ്. നൈജീരിയന്‍ പീനല്‍ കോഡില്‍ ഇത്തരം തട്ടിപ്പുകളെ നേരിടാനുള്ളതാണ് 419 വകുപ്പ്. ഏതെങ്കിലും രാജ്യത്തെ ഒരു വി.ഐ.പി അല്ളെങ്കില്‍, മിലിട്ടറിയിലായിരുന്ന ഭര്‍ത്താവ് മരിച്ചു. എന്‍െറ കൈയില്‍ ഒരുപാട് കാശുണ്ട്. രാജ്യത്തെ പ്രശ്നങ്ങള്‍ക്കിടയില്‍ ഇത് സുരക്ഷിതമായിവെക്കാന്‍ പറ്റാത്തതിനാല്‍, നിങ്ങളുടെ ബാങ്ക് അക്കൗണ്ടിലേക്ക് ഇതു മാറ്റാന്‍ ഞാന്‍ ആഗ്രഹിക്കുന്നു. അതിനാല്‍, നിങ്ങളുടെ ബാങ്ക് വിവരങ്ങള്‍ അയച്ചുതരാന്‍ താല്‍പര്യപ്പെടുന്നു. നമ്മള്‍ വിശ്വസിക്കുന്നു. ബാങ്ക് വിവരങ്ങള്‍ കൈമാറുന്നു. കുറച്ചു ദിവസങ്ങള്‍ക്കുശേഷം പണം ട്രാന്‍സ്ഫര്‍ ചെയ്യുന്നതിനുവേണ്ടി പ്രോസസിങ് ഫീസായി ഒരു നിശ്ചിതതുക അടക്കാന്‍ ആവശ്യപ്പെടുന്നു. വളരെ വിശ്വസനീയമായരീതിയില്‍ (നമ്മള്‍ ആവശ്യപ്പെടുന്ന ബാങ്ക് സ്റ്റേറ്റ്മെന്‍റ്, പാസ്പോര്‍ട്ടിന്‍െറ കോപ്പി, ഡത്തെ് സര്‍ട്ടിഫിക്കറ്റ്, ബര്‍ത്ത് സര്‍ട്ടിഫിക്കറ്റ്, മാര്യേജ് സര്‍ട്ടിഫിക്കറ്റ് അയച്ചുതന്നു) നമ്മളെ ഇ-മെയില്‍ വഴിയോ ഫോണിലൂടെയോ വിശ്വസിപ്പിക്കുന്നു. നമ്മള്‍ ഈ ചതിയില്‍പെടുന്നു. പ്രോസസിങ് ഫീസ് കിട്ടിയാല്‍ തട്ടിപ്പുകാരുടെ അടുത്തുനിന്ന് ഒരു മറുപടിയും ലഭിക്കുന്നില്ല. ആദ്യം പോസ്റ്റ് ഓഫിസിലൂടെയും പിന്നീട് ഫാക്സിലൂടെയും അരങ്ങേറിയ തട്ടിപ്പാണ് നൈജീരിയന്‍ 419 419 സ്കാം. പ്രോസസിങ് ഫീസ് കിട്ടുന്നതിലൂടെയാണ് ഈ വിരുതന്മാര്‍ കാശ് വാരുന്നത്.

മറ്റൊരുദാഹരണം, നിങ്ങളുടെ ഒരടുത്ത സുഹൃത്തില്‍നിന്ന് നിങ്ങള്‍ക്കൊരു ഇ-മെയില്‍ ലഭിക്കുന്നു. ‘ഞാന്‍ ഒരു വിദേശയാത്രയിലായിരുന്നു. എന്‍െറ പണവും മറ്റുരേഖകളും നഷ്ടപ്പെട്ടിരിക്കുന്നു. ഞാന്‍ ഹോട്ടലില്‍ കുടുങ്ങിയിരിക്കുന്നു. എനിക്കല്‍പം പണം പറയുന്ന അക്കൗണ്ടിലേക്ക് അയച്ചുതരുക’. ഇതാണ് സന്ദേശം. ഈ സുഹൃത്തിന്‍െറ ഇ-മെയില്‍ അഡ്രസ് നിങ്ങളുടെ ഇ-മെയില്‍ അഡ്രസ് ബുക്കിലുണ്ടാകും. ഇ-മെയില്‍ അയക്കുന്നതിനുമുമ്പ് നിങ്ങളെ കുറിച്ച്, സുഹൃത്തിനെ കുറിച്ച് വിശദമായി തട്ടിപ്പുകാര്‍ പഠിക്കുന്നു. ഈ മെയിലില്‍ ‘ഫ്രം അഡ്രസ്’മാനിപ്പുലേറ്റ് ചെയ്ത് ഇ-മെയില്‍ അയക്കാനുള്ള ടൂളുകള്‍ ധാരാളം ലഭ്യമാണ്. 90 ശതമാനംപേരും ഈ ചതിയില്‍ അകപ്പെടാനാണ് സാധ്യത.

അതുപോലെ നിങ്ങളുടെ ബാങ്കില്‍നിന്ന് ഒരു ഇ-മെയില്‍ ലഭിക്കുന്നു. സെക്യൂരിറ്റി വര്‍ധിപ്പിക്കുന്നതിന്‍െറ ഭാഗമായി നിങ്ങളുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ ആവശ്യപ്പെട്ടുകൊണ്ട്. ഒറ്റനോട്ടത്തില്‍ ബാങ്കിന്‍െറ വെബ്സൈറ്റ് തന്നെ. വിവരങ്ങള്‍ കൊടുക്കുന്നതോടെ നിങ്ങളുടെ അക്കൗണ്ട് കാലിയാകാനുള്ള സാധ്യതയേറെയാണ്. കാരണം, www.bankofamerica.com എന്നത് www.bank0famerica.com;യും അത്രപെട്ടെന്ന് തിരിച്ചറിഞ്ഞുകൊള്ളണമെന്നില്ല. ഇവിടെ രണ്ടാമത്തെ URLഇല്‍ ‘o’ എന്ന അക്ഷരത്തിനുപകരം സീറോ (0) ആണ് ഉപയോഗിച്ചത്. ബാങ്കുകള്‍ നമ്മെ ഇത്തരം തട്ടിപ്പുകളില്‍പ്പെടാതിരിക്കാന്‍ നിരന്തരം എസ്.എം.എസ് വഴിയും ഇ-മെയില്‍ വഴിയും അറിയിക്കുന്നു. ഒരിക്കലും ബാങ്കുകള്‍ നമ്മുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ ഇ-മെയില്‍ വഴിയോ, എസ്.എം.എസ് വഴിയോ ആവശ്യപ്പെടില്ല എന്ന്.
കമ്പനിയില്‍ പ്രവേശിക്കുമ്പോള്‍ ജോലിക്കാര്‍ കാണിക്കുന്ന ഐഡന്‍റിറ്റി കാര്‍ഡ് കൃത്രിമമായുണ്ടാക്കി പ്രവേശം നേടുന്നതും സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ ഭാഗമാണ്. ഐഡന്‍റിറ്റി കാര്‍ഡ് എടുക്കാന്‍ മറന്നുപോയി എന്ന് നിങ്ങളുടെ തൊട്ടുമുന്നിലുള്ള സഹപ്രവര്‍ത്തകനെ വിശ്വസിപ്പിച്ച് അയാള്‍ തുറന്നുപിടിച്ച വാതിലിലൂടെ അകത്തുകടക്കുന്നത് ഇതിന്‍െറ ഭാഗംതന്നെ. ഇതിനെ ടെയ്ല്‍ഗേറ്റിങ് എന്നുപറയുന്നു.

നേരിട്ട് യൂസര്‍നെയിം/ പാസ്വേര്‍ഡ് ഉപയോഗിക്കുക; കമ്പനിയിലെ വേസ്റ്റ് ബാസ്ക്കറ്റ് തപ്പുക, പ്രധാനപെട്ട വിവരങ്ങളടങ്ങിയ തുണ്ട് കടലാസുകള്‍ക്കു വേണ്ടി; ജോലിക്കാരന്‍െറ തോളിലൂടെ (Shoulder Surfing) നോക്കി പാസ്വേര്‍ഡ് മോഷ്ടിക്കുക, സ്വകാര്യ സംഭാഷണങ്ങള്‍ ഒളിഞ്ഞുകേള്‍ക്കുക ഇതൊക്കയാണ് സാധാരണ കണ്ടുവരുന്ന സോഷ്യല്‍ എന്‍ജിനീയറിങ് രീതികള്‍.

പൊതുവേ ജനങ്ങളുടെ നിഷ്കളങ്കതയും അവരുടെ അത്യാഗ്രഹവും പലപ്പോഴും വലിയ കെണിയില്‍ അവരെ കൊണ്ടത്തെിക്കുന്നു.

രക്ഷാമാര്‍ഗങ്ങള്‍

അറിയാത്തവര്‍ ഇ-മെയിലില്‍ അയച്ചുതരുന്ന ലിങ്കുകള്‍ ക്ളിക് ചെയ്യാതിരിക്കുക, ഒഴിച്ചുകൂടാത്ത ലിങ്കുകളുടെ ടൈപ്ഡ് ടെക്സ്റ്റും ഹൈപര്‍ലിങ്ക് ടെക്സ്റ്റും ഒരുപോലെയാണെന്ന് ഉറപ്പുവരുത്തുക.

നിങ്ങള്‍ക്കുവന്ന ഇ-മെയില്‍ നിങ്ങളെ നേരില്‍ അഭിസംബോധനചെയ്യുന്ന ഒരു ജനറിക് അഡ്രസിങ്ങാണെങ്കില്‍ ആ മെയില്‍ റെസ്പോണ്ട് ചെയ്യുന്നതിനുമുമ്പ് ശ്രദ്ധിക്കുക. ഈ മെയില്‍ ഒരു മാസ് ഫിഷിങ്ങിന്‍െറ ഭാഗമാകാം.

പാസ്വേര്‍ഡ്, വയസ്സ്, ജനനത്തീയതി എന്നിവ ഷെയര്‍ ചെയ്യാതിരിക്കുക.

ഭീമമായ സംഖ്യകള്‍ വെറുതെ ആരും നിങ്ങള്‍ക്കുവെച്ച് നീട്ടുകയില്ല എന്ന് ഉറച്ചുവിശ്വസിക്കുക. താഴെപറയുന്ന വാക്കുകള്‍ ശ്രദ്ധയില്‍പ്പെടുമ്പോള്‍ ഓര്‍ക്കുക. നിങ്ങള്‍ ഒരു തട്ടിപ്പിന്‍െറ വക്കത്താണ്: വെരിഫൈ, അക്കൗണ്ട്, വണ്‍ (won), ലോട്ടറി, റെസ്പോണ്ട് സൂണ്‍, സംശയാസ്പദമായ എസ്.എം.എസ്, ഇ-മെയില്‍, ഫോണ്‍ കാള്‍ എന്നിവ വരുമ്പോള്‍ നിങ്ങളുടെ തലയില്‍ അലാറം മുഴങ്ങണം. രണ്ടുപ്രാവശ്യം ചെക് ചെയ്തിട്ടല്ലാതെ ഒരു മറുപടിയും കൊടുക്കാതിരിക്കുക.

സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ റിസ്ക്കുകളും ഏറ്റവുംപുതിയ സോഷ്യല്‍ എന്‍ജിനീയറിങ് ടെക്നിക്കുകളും മനസ്സിലാക്കിയും സുരക്ഷാപ്രശ്നങ്ങളില്‍ സ്വന്തമായ തീരുമാനമെടുത്തും കമ്പനികളും ജീവനക്കാരും ജാഗ്രതാസംവിധാനത്തിന് രൂപം നല്‍കണം. സജീവമായ സുരക്ഷാസംസ്കാരം വളര്‍ത്തിക്കൊണ്ടുമാത്രമേ ഇത്തരം ചതിക്കുഴികളില്‍ നിന്ന് രക്ഷ നേടാന്‍ കഴിയുകയുള്ളൂ.


View Shafeeque Olassery Kunnikkal CEH, ECSA, CEI, CHFI's profile on LinkedIn

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories

Tags

Archives