ഇന്റര്നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി
Author: admin | Category: Cyber Security, Social Engineering | Leave a Comment
Article Published in Madhyamam Daily Newspaper.
Article Link: http://www.madhyamam.com/archives/technology/node/1039
Author: ഷഫീക്ക് ഓലശ്ശേരി കുന്നിക്കല് (C|EH, E|CSA, C|EI, C|HFI, MCP)
shafeeque@graytips.com
ഇന്റര്നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി
കമ്പ്യൂട്ടര്വിദഗ്ധരും പൊലീസും എത്രതന്നെ ശ്രമിച്ചിട്ടും ഇന്റര്നെറ്റ് തട്ടിപ്പിന്െറ വ്യാപ്തി കൂടിക്കൂടിവരുകയാണ്. പുതിയപുതിയ വഴികളിലൂടെ തട്ടിപ്പുകാരും അതിനെ പിന്തുടര്ന്ന് അവരെ പിടിക്കാന് കമ്പ്യൂട്ടര് വിദഗ്ധരും പൊലീസും. ഈ ‘കള്ളനും പൊലീസും’ കളിയില് തോല്ക്കുന്നത് പലപ്പോഴും കമ്പനികളും വ്യക്തികളുമാണ്. കോടിക്കണക്കിനു രൂപ നഷ്ടപ്പെടുന്നത് അവര്ക്കാണല്ളോ!
എന്തുകൊണ്ടാണ് ഒരു ഫുള് പ്രൂഫാ യ വഴി തട്ടിപ്പുകള് തടയാന് നമുക്കുപയോഗിക്കാന് പറ്റാത്തത്? ഒരുകാരണം, കമ്പ്യൂട്ടര് വൈദഗ്ധ്യം നേടുന്നതില് തട്ടിപ്പുകാര് ഒരിക്കലും പിന്നിലല്ല എന്നുള്ളതുതന്നെ. അവരും പുതിയ വേലകളുമായി രംഗത്തുവരുന്നു. എന്നാല്, ഏറ്റവും പ്രധാനപ്പെട്ട ഒരുകാരണം മനുഷ്യന്െറ പ്രകൃതം മാറുന്നില്ല എന്നതാണ്. മിന്നല്വേഗത്തില് പുതിയ ടെക്നോളജി മാറുന്നുവെങ്കിലും.
മനുഷ്യന്െറ അടിസ്ഥാനപ്രകൃതം മുതലാക്കിയുള്ള ഇന്റര്നെറ്റ് തട്ടിപ്പാണ് സോഷ്യല് എന്ജിനീയറിങ്ങിലൂടെ സൈബര് ക്രിമിനലുകള് ലക്ഷ്യമിടുന്നത്.
സോഷ്യല് എന്ജിനീയറിങ്
സോഷ്യല് എന്ജിനീയറിങ് എന്നതുകൊണ്ട് വിവക്ഷിക്കുന്നത്, മനുഷ്യരെ പറ്റിച്ചു (കമ്പ്യൂട്ടര് ഉപയോഗിച്ചോ അല്ലാതെയോ) വിവരങ്ങള് കൈക്കലാക്കി സ്വന്തം താല്പര്യങ്ങള്ക്കുവേണ്ടി ഉപയോഗപ്പെടുത്തുന്നതിനെയാണ്.
ഇന്റര്നെറ്റ് തട്ടിപ്പുമായി ബന്ധപ്പെട്ട് ആദ്യമായി ഈ പദമുപയോഗിച്ചത് കെവിന് മിത്നിക് (Kevin Mitnick) ആണ്. ടെക്നോളജി ഉപയോഗിക്കാതെ മനുഷ്യര് പരസ്പരം ബന്ധപ്പെട്ട് ഫോണിലൂടെയോ, ഇ-മെയിലിലൂടെയോ, നേരിട്ട് സംസാരിച്ച് പാസ്വേര്ഡ്, ഐഡന്റിറ്റി വിവരങ്ങള് തുടങ്ങിയവ സമ്പാദിച്ച് പിന്നീടതുപയോഗിച്ചു നേട്ടമുണ്ടാക്കാന് ശ്രമംനടത്തുക. ഒരാളുടെ പാസ്വേര്ഡ്, ലോഗിന് വിവരങ്ങള്, ഐഡന്റിറ്റി വിവരങ്ങള്, പ്രധാനപ്പെട്ട ബാങ്ക് വിവരങ്ങള് ഇവയൊക്കെ മറ്റൊരാള്ക്ക് കൈക്കലാക്കാം. അയാളുമായി സംസാരിച്ചുകൊണ്ട്, ഫോണില് ബന്ധപ്പെട്ടുകൊണ്ട്, ഇ-മെയില് മറുപടിയിലൂടെ, അയാളുടെ ചവറ്റുകുട്ട പരതുന്നതിലൂടെ. ഇതെല്ലാം സോഷ്യല് എന്ജിനീയറിങ് വിഭാഗത്തില്പെടുന്നു.
കെവിന് മിത്നിക് തന്നെ പരീക്ഷിച്ചു വിജയിച്ച ഒരുദാഹരണം ശ്രദ്ധിക്കുക:
വെറും 15 വയസ്സുള്ളപ്പോള് മിത്നിക് സോഷ്യല് എന്ജിനീയറിങ്ങിലേക്ക് വലതുകാല്വെച്ചുകയറി! ലോസ് ആഞ്ജലസിലൂടെ ഫ്രീയായി യാത്ര ചെയ്യുകയായിരുന്നു ലക്ഷ്യം. ലോസ് ആഞ്ജലസ് ബസ് സിസ്ടത്തില് പഞ്ച് കാര്ഡ് സിസ്റ്റമായിരുന്നു ഉണ്ടായിരുന്നത്. സ്നേഹിതനായ ഒരു ബസ് ഡ്രൈവര് പറഞ്ഞതനുസരിച്ച് മിത്നിക് മനസ്സിലാക്കി എവിടുന്നാണ് ബസ് ടിക്കറ്റ് കിട്ടുകയെന്ന്. ചവറ്റുകുട്ടയില് ഉപേക്ഷിക്കപ്പെട്ടനിലയില് കണ്ടത്തെിയ ട്രാന്സ്ഫര് സ്ളിപ്സ് ഉപയോഗിച്ച് ലോസ് ആഞ്ജലസില് എവിടെയും ബസില് യാത്രചെയ്യാനുള്ള സൗകര്യം നേടിയെടുത്തു മിത്നിക് എന്ന വിരുതന്!
മിത്നിക് അദ്ദേഹത്തിന്െറ ‘GHOST IN THE WIRES’ എന്ന പുസ്തകത്തില് പറയുന്നതു നോക്കുക: പലവേഷങ്ങള് എടുത്തണിഞ്ഞ് പലരെയും ഫോണില് ബന്ധപ്പെടുന്നു: ചിലപ്പോള് സെക്യൂരിറ്റി ഉപദേശകനായി, മറ്റു ചിലപ്പോള് കമ്പനി ഉപദേശകനായി ഒരു ബുദ്ധിമുട്ടുംകൂടാതെ കമ്പനി നെറ്റ്വര്ക്കില് അയാള്ക്ക് പ്രവേശം ലഭിക്കുന്നു. ഈ പണി ഇപ്പോഴും മിത്നിക് ചെയ്യുന്നു. സ്വന്തം കമ്പനിക്കുവേണ്ടി ഒരു എത്തിക്കല് ഹാക്കറുടെ റോളിലാണെന്നുമാത്രം.
ഇന്റര്നെറ്റുമായി ബന്ധപ്പെട്ടവരൊക്കെ കണ്ടുമുട്ടിയിട്ടുണ്ടാകും നൈജീരിയന് 419 സ്കാം എന്നറിയപ്പെടുന്ന തട്ടിപ്പ്. നൈജീരിയന് പീനല് കോഡില് ഇത്തരം തട്ടിപ്പുകളെ നേരിടാനുള്ളതാണ് 419 വകുപ്പ്. ഏതെങ്കിലും രാജ്യത്തെ ഒരു വി.ഐ.പി അല്ളെങ്കില്, മിലിട്ടറിയിലായിരുന്ന ഭര്ത്താവ് മരിച്ചു. എന്െറ കൈയില് ഒരുപാട് കാശുണ്ട്. രാജ്യത്തെ പ്രശ്നങ്ങള്ക്കിടയില് ഇത് സുരക്ഷിതമായിവെക്കാന് പറ്റാത്തതിനാല്, നിങ്ങളുടെ ബാങ്ക് അക്കൗണ്ടിലേക്ക് ഇതു മാറ്റാന് ഞാന് ആഗ്രഹിക്കുന്നു. അതിനാല്, നിങ്ങളുടെ ബാങ്ക് വിവരങ്ങള് അയച്ചുതരാന് താല്പര്യപ്പെടുന്നു. നമ്മള് വിശ്വസിക്കുന്നു. ബാങ്ക് വിവരങ്ങള് കൈമാറുന്നു. കുറച്ചു ദിവസങ്ങള്ക്കുശേഷം പണം ട്രാന്സ്ഫര് ചെയ്യുന്നതിനുവേണ്ടി പ്രോസസിങ് ഫീസായി ഒരു നിശ്ചിതതുക അടക്കാന് ആവശ്യപ്പെടുന്നു. വളരെ വിശ്വസനീയമായരീതിയില് (നമ്മള് ആവശ്യപ്പെടുന്ന ബാങ്ക് സ്റ്റേറ്റ്മെന്റ്, പാസ്പോര്ട്ടിന്െറ കോപ്പി, ഡത്തെ് സര്ട്ടിഫിക്കറ്റ്, ബര്ത്ത് സര്ട്ടിഫിക്കറ്റ്, മാര്യേജ് സര്ട്ടിഫിക്കറ്റ് അയച്ചുതന്നു) നമ്മളെ ഇ-മെയില് വഴിയോ ഫോണിലൂടെയോ വിശ്വസിപ്പിക്കുന്നു. നമ്മള് ഈ ചതിയില്പെടുന്നു. പ്രോസസിങ് ഫീസ് കിട്ടിയാല് തട്ടിപ്പുകാരുടെ അടുത്തുനിന്ന് ഒരു മറുപടിയും ലഭിക്കുന്നില്ല. ആദ്യം പോസ്റ്റ് ഓഫിസിലൂടെയും പിന്നീട് ഫാക്സിലൂടെയും അരങ്ങേറിയ തട്ടിപ്പാണ് നൈജീരിയന് 419 419 സ്കാം. പ്രോസസിങ് ഫീസ് കിട്ടുന്നതിലൂടെയാണ് ഈ വിരുതന്മാര് കാശ് വാരുന്നത്.
മറ്റൊരുദാഹരണം, നിങ്ങളുടെ ഒരടുത്ത സുഹൃത്തില്നിന്ന് നിങ്ങള്ക്കൊരു ഇ-മെയില് ലഭിക്കുന്നു. ‘ഞാന് ഒരു വിദേശയാത്രയിലായിരുന്നു. എന്െറ പണവും മറ്റുരേഖകളും നഷ്ടപ്പെട്ടിരിക്കുന്നു. ഞാന് ഹോട്ടലില് കുടുങ്ങിയിരിക്കുന്നു. എനിക്കല്പം പണം പറയുന്ന അക്കൗണ്ടിലേക്ക് അയച്ചുതരുക’. ഇതാണ് സന്ദേശം. ഈ സുഹൃത്തിന്െറ ഇ-മെയില് അഡ്രസ് നിങ്ങളുടെ ഇ-മെയില് അഡ്രസ് ബുക്കിലുണ്ടാകും. ഇ-മെയില് അയക്കുന്നതിനുമുമ്പ് നിങ്ങളെ കുറിച്ച്, സുഹൃത്തിനെ കുറിച്ച് വിശദമായി തട്ടിപ്പുകാര് പഠിക്കുന്നു. ഈ മെയിലില് ‘ഫ്രം അഡ്രസ്’മാനിപ്പുലേറ്റ് ചെയ്ത് ഇ-മെയില് അയക്കാനുള്ള ടൂളുകള് ധാരാളം ലഭ്യമാണ്. 90 ശതമാനംപേരും ഈ ചതിയില് അകപ്പെടാനാണ് സാധ്യത.
അതുപോലെ നിങ്ങളുടെ ബാങ്കില്നിന്ന് ഒരു ഇ-മെയില് ലഭിക്കുന്നു. സെക്യൂരിറ്റി വര്ധിപ്പിക്കുന്നതിന്െറ ഭാഗമായി നിങ്ങളുടെ വ്യക്തിപരമായ കാര്യങ്ങള് ആവശ്യപ്പെട്ടുകൊണ്ട്. ഒറ്റനോട്ടത്തില് ബാങ്കിന്െറ വെബ്സൈറ്റ് തന്നെ. വിവരങ്ങള് കൊടുക്കുന്നതോടെ നിങ്ങളുടെ അക്കൗണ്ട് കാലിയാകാനുള്ള സാധ്യതയേറെയാണ്. കാരണം, www.bankofamerica.com എന്നത് www.bank0famerica.com;യും അത്രപെട്ടെന്ന് തിരിച്ചറിഞ്ഞുകൊള്ളണമെന്നില്ല. ഇവിടെ രണ്ടാമത്തെ URLഇല് ‘o’ എന്ന അക്ഷരത്തിനുപകരം സീറോ (0) ആണ് ഉപയോഗിച്ചത്. ബാങ്കുകള് നമ്മെ ഇത്തരം തട്ടിപ്പുകളില്പ്പെടാതിരിക്കാന് നിരന്തരം എസ്.എം.എസ് വഴിയും ഇ-മെയില് വഴിയും അറിയിക്കുന്നു. ഒരിക്കലും ബാങ്കുകള് നമ്മുടെ വ്യക്തിപരമായ കാര്യങ്ങള് ഇ-മെയില് വഴിയോ, എസ്.എം.എസ് വഴിയോ ആവശ്യപ്പെടില്ല എന്ന്.
കമ്പനിയില് പ്രവേശിക്കുമ്പോള് ജോലിക്കാര് കാണിക്കുന്ന ഐഡന്റിറ്റി കാര്ഡ് കൃത്രിമമായുണ്ടാക്കി പ്രവേശം നേടുന്നതും സോഷ്യല് എന്ജിനീയറിങ്ങിന്െറ ഭാഗമാണ്. ഐഡന്റിറ്റി കാര്ഡ് എടുക്കാന് മറന്നുപോയി എന്ന് നിങ്ങളുടെ തൊട്ടുമുന്നിലുള്ള സഹപ്രവര്ത്തകനെ വിശ്വസിപ്പിച്ച് അയാള് തുറന്നുപിടിച്ച വാതിലിലൂടെ അകത്തുകടക്കുന്നത് ഇതിന്െറ ഭാഗംതന്നെ. ഇതിനെ ടെയ്ല്ഗേറ്റിങ് എന്നുപറയുന്നു.
നേരിട്ട് യൂസര്നെയിം/ പാസ്വേര്ഡ് ഉപയോഗിക്കുക; കമ്പനിയിലെ വേസ്റ്റ് ബാസ്ക്കറ്റ് തപ്പുക, പ്രധാനപെട്ട വിവരങ്ങളടങ്ങിയ തുണ്ട് കടലാസുകള്ക്കു വേണ്ടി; ജോലിക്കാരന്െറ തോളിലൂടെ (Shoulder Surfing) നോക്കി പാസ്വേര്ഡ് മോഷ്ടിക്കുക, സ്വകാര്യ സംഭാഷണങ്ങള് ഒളിഞ്ഞുകേള്ക്കുക ഇതൊക്കയാണ് സാധാരണ കണ്ടുവരുന്ന സോഷ്യല് എന്ജിനീയറിങ് രീതികള്.
പൊതുവേ ജനങ്ങളുടെ നിഷ്കളങ്കതയും അവരുടെ അത്യാഗ്രഹവും പലപ്പോഴും വലിയ കെണിയില് അവരെ കൊണ്ടത്തെിക്കുന്നു.
രക്ഷാമാര്ഗങ്ങള്
അറിയാത്തവര് ഇ-മെയിലില് അയച്ചുതരുന്ന ലിങ്കുകള് ക്ളിക് ചെയ്യാതിരിക്കുക, ഒഴിച്ചുകൂടാത്ത ലിങ്കുകളുടെ ടൈപ്ഡ് ടെക്സ്റ്റും ഹൈപര്ലിങ്ക് ടെക്സ്റ്റും ഒരുപോലെയാണെന്ന് ഉറപ്പുവരുത്തുക.
നിങ്ങള്ക്കുവന്ന ഇ-മെയില് നിങ്ങളെ നേരില് അഭിസംബോധനചെയ്യുന്ന ഒരു ജനറിക് അഡ്രസിങ്ങാണെങ്കില് ആ മെയില് റെസ്പോണ്ട് ചെയ്യുന്നതിനുമുമ്പ് ശ്രദ്ധിക്കുക. ഈ മെയില് ഒരു മാസ് ഫിഷിങ്ങിന്െറ ഭാഗമാകാം.
പാസ്വേര്ഡ്, വയസ്സ്, ജനനത്തീയതി എന്നിവ ഷെയര് ചെയ്യാതിരിക്കുക.
ഭീമമായ സംഖ്യകള് വെറുതെ ആരും നിങ്ങള്ക്കുവെച്ച് നീട്ടുകയില്ല എന്ന് ഉറച്ചുവിശ്വസിക്കുക. താഴെപറയുന്ന വാക്കുകള് ശ്രദ്ധയില്പ്പെടുമ്പോള് ഓര്ക്കുക. നിങ്ങള് ഒരു തട്ടിപ്പിന്െറ വക്കത്താണ്: വെരിഫൈ, അക്കൗണ്ട്, വണ് (won), ലോട്ടറി, റെസ്പോണ്ട് സൂണ്, സംശയാസ്പദമായ എസ്.എം.എസ്, ഇ-മെയില്, ഫോണ് കാള് എന്നിവ വരുമ്പോള് നിങ്ങളുടെ തലയില് അലാറം മുഴങ്ങണം. രണ്ടുപ്രാവശ്യം ചെക് ചെയ്തിട്ടല്ലാതെ ഒരു മറുപടിയും കൊടുക്കാതിരിക്കുക.
സോഷ്യല് എന്ജിനീയറിങ്ങിന്െറ റിസ്ക്കുകളും ഏറ്റവുംപുതിയ സോഷ്യല് എന്ജിനീയറിങ് ടെക്നിക്കുകളും മനസ്സിലാക്കിയും സുരക്ഷാപ്രശ്നങ്ങളില് സ്വന്തമായ തീരുമാനമെടുത്തും കമ്പനികളും ജീവനക്കാരും ജാഗ്രതാസംവിധാനത്തിന് രൂപം നല്കണം. സജീവമായ സുരക്ഷാസംസ്കാരം വളര്ത്തിക്കൊണ്ടുമാത്രമേ ഇത്തരം ചതിക്കുഴികളില് നിന്ന് രക്ഷ നേടാന് കഴിയുകയുള്ളൂ.