bap-logo
ဓါတ်ပုံဆောင်းပါးကာတွန်း
digital media literacy

Phishing (ဟန်ဆောင်၍ အချက်အလက်ခိုးယူခြင်း)

k-fnho5XrTOS68qu9k6bd-image

လွန်ခဲ့သော ၃ နာရီ က

(ဒစ်ဂျစ်တယ်နှင့် မီဒီယာ နားလည်ကျွမ်းဝင်မှု အစီအစဥ်)

 BAP၊ နိုဝင်ဘာ ၉။


"(Phishing)" ဆိုတာက အရေးကြီးတဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ခိုးယူဖို့ ကြိုးစားခြင်း ဖြစ်ပါတယ်။ နာမည်၊ စကားဝှက် (password)၊ ကတ်နံပါတ် (credit card/bank account) ဒါမှမဟုတ် တခြား အရေးပါတဲ့ အချက်အလက် တွေကို ခိုးယူပြီး တလွဲအသုံးချရန် ဒါမှမဟုတ် တဆင့် ပြန်လည်ရောင်းချရန် ဖြစ်ပါတယ်။

 

ဒီလို မသမာသူတွေက ကိုယ်ယုံကြည်တဲ့ အဖွဲ့အစည်း ဒါမှမဟုတ် လူတစ်ယောက်လို ဟန်ဆောင်ပြီး ဆွဲဆောင်မှုရှိတဲ့ တောင်းဆိုချက်မျိုးနဲ့ ဆက်သွယ်တတ်ပါတယ်။ ပြီးရင် သားကောင်ဖြစ်တဲ့ လူကို လှည့်ဖြားဖို့ အတွက် ငါးမျှားတဲ့သူက ငါးစာသုံးပြီး ဖမ်းသလိုပဲ ဖြစ်ပါတယ်။ ဒါကြောင့် "Phishing" လို့ ခေါ်ခြင်းဖြစ်ပါတယ်။

 

Phishing ရဲ့ အတွေ့ရအများဆုံး ဥပမာတွေက တခြား မသမာတဲ့ လုပ်ရပ်တွေမှာ အသုံးချဖို့ ဖြစ်ပါတယ်။ ဥပမာ- အကောင့်ကို ထိန်းချုပ်ရယူခြင်း (account takeovers)အချက်အလက်များကို ပြန်ပေးဆွဲတိုက်ခိုက်ခြင်း (ransomware attacks) ဒါမှမဟုတ် လုပ်ငန်းသုံး အီးမေးလ်များကို လုံခြုံရေးကျိုးပေါက်ခြင်း (business email compromise) တို့အတွက် Phishing ကို အသုံးပြုခြင်းဖြစ်ပါတယ်။

 

အရင်က Phishing တိုက်ခိုက်မှုတွေဟာ အီးမေးလ် ဒါမှမဟုတ် စာတိုပေးပို့တဲ့ နည်းလမ်းတွေကနေပဲ အများဆုံး ဖြစ်ခဲ့ပါတယ်။ အခုခေတ်မှာတော့ SMS စာတိုတွေကနေ၊ ဖုန်းခေါ်ဆိုမှုတွေအထိ၊ လူမှုမီဒီယာ စာပို့ခြင်းတွေအထိ လုပ်ဆေင်လာကြပါတယ်။

 

တိုက်ခိုက်တဲ့သူတွေက သူတို့ရဲ့ "Phishing" လုပ်တာတွေ ပိုပြီး အောင်မြင်စေဖို့အတွက် နည်းလမ်းမျိုးစုံ သုံးကြပါတယ်။

 

  • ဝက်ဘ်ဆိုဒ်အစစ် ဒါမှမဟုတ် အက်ပ်တွေနဲ့ တူအောင် ဟန်ဆောင်ပြီး ဝက်ဘ်ဆိုဒ် အတုတွေ၊ အက်ပ် အတုတွေ ဖန်တီး တည်ဆောက်တယ်။
  • သူတို့ရဲ့ Host Server တွေကို ဖုံးကွယ်ဖို့ "DNS fast fluxing" လို နည်းပညာတွေ သုံးတယ်။
  • စာတွေက တရားဝင် အစစ်လို ဖြစ်နေစေဖို့ "Domain Spoofing" နဲ့ "Email Spoofing" နည်းလမ်းတွေ သုံးတယ်။
  • Phishing က လင့်ခ်တွေကို လိပ်စာ အမှန်လို ထင်ရအောင် လှည့်စားပြီး ပြောင်းလဲ ဖန်တီးတယ်။
  • Spam filter တွေကို ကျော်လွှားနိုင်တဲ့ ယုံကြည်စိတ်ချရတဲ့ Infrastructure တွေကနေ အီးမေးလ်တွေ ပို့ တယ်။
  • တကယ့်အစစ်နဲ့ ခွဲရခက်အောင် အမှားအယွင်းမရှိတဲ့ စာသားတွေကို မြန်မြန်ဆန်ဆန် ဖန်တီးနိုင်ဖို့ Generative AI တွေကို အသုံးပြုကြပါတယ်။

 

ဆိုက်ဘာရာဇဝတ်ကောင်တွေက အီးမေးလ်၊ စာတိုနဲ့ ဆိုရှယ်မီဒီယာ ဒါမှမဟုတ် ဗီဒီယိုဂိမ်းတွေက Direct Message တွေ ကို သုံးပြီး လူတွေရဲ့ ကိုယ်ရေးအချက်အလက်တွေ ရယူနေကြပါတယ်။ အကောင်းဆုံး ကာကွယ်နည်းကတော့ သတိရှိနေဖို့နဲ့ ဘာတွေကို သတိထားရမလဲဆိုတာ သိထားသင့်ပါတယ်

 

 

Phishing တိုက်ခိုက်မှုတွေ ဘယ်လို ခွဲခြားသိရှိနိုင်မလဲ

 

Phishing လုပ်တာက အရမ်းထိရောက်မှုရှိတဲ့အတွက် ဆိုက်ဘာရာဇ၀တ်မှုတွေထဲမှာ ရေပန်းစားအသုံးများတဲ့ ပုံစံတစ်ခုဖြစ်ပါတယ်။ ဆိုက်ဘာရာဇဝတ်ကောင်တွေက အီးမေးလ်၊ စာတိုနဲ့ ဆိုရှယ်မီဒီယာ ဒါမှမဟုတ် ဗီဒီယိုဂိမ်းတွေက Direct Message တွေ ကို သုံးပြီး လူတွေရဲ့ ကိုယ်ရေးအချက်အလက်တွေ ရယူနေကြပါတယ်။ အကောင်းဆုံး ကာကွယ်နည်းကတော့ သတိရှိနေဖို့နဲ့ ဘာတွေကို သတိထားရမလဲဆိုတာ သိထားသင့်ပါတယ်

 

Phishing Email တွေကို ဘယ်လို ခွဲခြားသိမြင်မလဲ

 

၁။ အရေးတကြီး လုပ်ဆောင်ရန် ခိုင်းစေခြင်း သို့မဟုတ် ခြိမ်းခြောက်ခြင်း

 

  • အီးမေးလ်တွေနဲ့ Teams Message တွေက

"လူကြီးမင်းရဲ့ အကောင့်ကို Level မြှင့်ဖို့ OTP ကုဒ်ကို ချက်ချင်း ပြန်ပို့ပါ”

"လူကြီးမင်းရဲ့ အကောင့်ကို ပိတ်သိမ်းမခံရဖို့ ဒီလင့်ကို နှိပ်ပါ”

လို့ ပြောလာရင် သတိရှိပါ။

 

  • သူတို့က ကံစမ်းမဲ၊ ဆုငွေ စသည်တို့နဲ့ ဖြားယောင်းခြင်း ဒါမှမဟုတ် အကောင့်ပိတ်ခြင်း၊ ဝန်ဆောင်မှု ရပ်တန့်ခြင်းတို့လို ခြိမ်း‌ခြောက်ခြင်းတွေ ပြုလုပ်ပြီး အခုချက်ခြင်း လုပ်ဆောင်ရမယ် လို့ ပြောတတ်ကြပါတယ်။
  • အရေးပေါ် အခြေအနေ အတု ဖန်တီးတာဟာ Phishing တိုက်ခိုက်မှုတွေရဲ့ လှည့်ကွက်တစ်ခုပဲ။ ဒီလိုလုပ်ရတဲ့ ရည်ရွယ်ချက်က ကိုယ်က အများကြီး မစဉ်းစားမိအောင်၊ ဒါမှမဟုတ် ကိုယ့်ကို သတိပေးနိုင်မယ့် ယုံကြည်ရတဲ့ အကြံပေးပုဂ္ဂိုလ်နဲ့ တိုင်ပင်ချိန်မရအောင် လုပ်တာပါ။

အကြံပြုချက်: ချက်ချင်း လုပ်ဆောင်ခိုင်းတဲ့ Message တစ်ခု မြင်ရင် ခဏလေး ရပ်ဆိုင်းပြီး Message ကို သေချာ ဂရုတစိုက် ကြည့်ပါ။ ဒါ အစစ်မှ ဟုတ်ရဲ့လား။ အလောတကြီး မလုပ်ဆောင်ပါနှင့်။

 

၂။ ပထမဆုံးအကြိမ် ပို့သူ၊ မကြာခဏ ပို့လေ့မရှိသူ သို့မဟုတ် [External] လို့ မှတ်သားထားသူ

 

  • အထူးသဖြင့် ကိုယ့်အဖွဲ့အစည်းပြင်ပက လူတစ်ယောက်ဆီက ပထမဆုံး အီးမေးလ် ဒါမှမဟုတ် Teams Message ရတာဟာ မထူးဆန်းပေမယ့် ဒါဟာ Phishing ရဲ့ လက္ခဏာ တစ်ခု ဖြစ်နိုင်တယ်။ ဒီလိုအချိန်မျိုးတွေမှာ သတိထားပါ။

 

၃။ စာလုံးပေါင်း အမှားနဲ့ သဒ္ဒါ အမှားတွေ

 

  • ပရော်ဖက်ရှင်နယ် ကုမ္ပဏီတွေနဲ့ အဖွဲ့အစည်းတွေမှာ ဖောက်သည်တွေဆီကို အရည်အသွေးမြင့်တဲ့ အကြောင်းအရာတွေ ရေးသားပေးပို့ဖို့ စာတည်းဖြတ်တဲ့ အဖွဲ့တွေ ရှိပါတယ်။ သူတို့ဆီက ပို့တဲ့ အီးမေးလ်တွေမှာ စာလုံးပေါင်းသတ်ပုံနဲ့ သဒ္ဒါအမှားတွေ ပါဝင်လေ့ မရှိပါဘူး။ အီးမေးလ်မှာ သိသာတဲ့ စာလုံးပေါင်း သို့မဟုတ် သဒ္ဒါ အမှားတွေ ပါနေရင် လှည့်စားတာ ဖြစ်နိုင်ပါတယ်။
  • ဒီအမှားတွေက တခါတလေ နိုင်ငံခြားဘာသာကနေ ဘာသာပြန်တာ အဆင်မပြေတာကြောင့် ဖြစ်တတ်သလို၊ တခါတလေမှာ တိုက်ခိုက်မှုတွေကို ပိတ်ဆို့ဖို့ ကြိုးစားတဲ့ filter တွေကို ရှောင်လွှဲဖို့ တမင်သက်သက် လုပ်တာလည်း ဖြစ်နိုင်တယ်။

 

၄။ ပုံမှန် မဟုတ်တဲ့ နှုတ်ခွန်းဆက် စကားလုံးများ

 

  • ကိုယ်နဲ့ အလုပ်လုပ်နေတဲ့ အဖွဲ့အစည်းတစ်ခုက ကိုယ့်နာမည်ကို သိသင့်ပါတယ်။ အခုခေတ်မှာ အီးမေးလ်ကို ကိုယ်ပိုင်နာမည်နဲ့ သုံးတာကလည်း လွယ်ပါတယ်။ အကယ်၍ အီးမေးလ်က "Dear sir or madam" (မစ္စတာ/မဒမ် ခင်ဗျာ) လို့ အစချီလာရင် ဒါဟာ ကိုယ့်ဘဏ် ဒါမှမဟုတ် ကိုယ်ဈေးဝယ်တဲ့ ဆိုက် အစစ် မဟုတ်ဘူးဆိုတာ သတိပေးတဲ့ လက္ခဏာပါ။

 

၅။ ဟန်ဆောင်တုပထားသော အီးမေးလ်၊ Login Page များ

 

  • အီးမေးလ်က Microsoft ဒါမှမဟုတ် ကိုယ့်ရဲ့ဘဏ်လို ယုံကြည်ရတဲ့ ကုမ္ပဏီတစ်ခုဆီကလို့ ပြောပေမယ့် အီးမေးလ်ကို microsoftsupport. ru လို တခြား Domain ကနေ ပို့လာတာဆိုရင် လှည့်စားတာ ဖြစ်နိုင်တယ်။
  • တရားဝင် Domain နာမည်ကို စာလုံးပေါင်း အနည်းငယ် မှားယွင်းစွာ ရေးထားတာကိုလည်း သတိထားကြည့်ပါ။ ဥပမာ- ဒုတိယမြောက် "O" နေရာမှာ "0" နဲ့ အစားထိုးထားတဲ့ micros0ft.com ဒါမှမဟုတ် "m" နေရာမှာ "r" နဲ့ "n" ကို အစားထိုးထားတဲ့ rnicrosoft.com လိုမျိုးတွေပေါ့။ ဒါတွေက Scammer တွေရဲ့ အသုံးများတဲ့ လှည့်ကွက်တွေပါ။

 

၆။ သံသယဖြစ်စရာ လင့်ခ်များ၊ Attachment များ

 

  • အီးမေးလ် ဒါမှမဟုတ် Message က လှည့်စားတာလို့ သံသယရှိရင် မြင်ရတဲ့ လင့်ခ်တွေ ဒါမှမဟုတ် Attachment တွေကို မဖွင့်ပါနဲ့
  • အဲဒီအစား Mouse ကို လင့်ခ်ပေါ်မှာ တင်ရုံပဲ တင်ကြည့်ပါ ဒါပေမယ့် မနှိပ်ပါနဲ့။ ဒီလိုကြည့်လိုက်တဲ့အခါ ပေါ်လာတဲ့ Address ကို ကြည့်ပါ။ အဲဒီ Address က စာထဲမှာ ‌ဖော်ပြထားတဲ့ လင့်ခ်နဲ့ ကိုက်ညီရဲ့လား။ (ဥပမာ- Mouse ကို လင့်ခ်ပေါ် တင်လိုက်တဲ့အခါ အောက်က အကွက်ထဲမှာ တကယ့် ဝက်ဘ်ဆိုဒ်လိပ်စာ ပေါ်လာတယ်။ ကုမ္ပဏီရဲ့ ဝက်ဘ်ဆိုဒ်လိပ်စာနဲ့ တူညီမှုမရှိရင် လင့်အတု ဖြစ်ပါတယ်။)

အကြံပြုချက်: Android ဖုန်းတွေမှာဆိုရင် လင့်ခ်ကို ကြာကြာ ဖိထားရင် အဲဒီလင့်ခ်ရဲ့ တကယ့် ဦးတည်ရာကို ပြသတဲ့ Properties စာမျက်နှာ ပေါ်လာပါမယ်။ iOS မှာတော့ Apple က "Light, long-press" ကို လုပ်ပါ။

 

၇။ အွန်လိုင်းမှာ ဆက်သွယ်ရန် အချက်အလက်တွေ မတင်မိပါစေနဲ့

 

တိုက်ခိုက်တဲ့သူတချို့က Social Media နဲ့ ဝက်ဘ်ဆိုဒ်တွေကနေ အချက်အလက်တွေကို ခိုးယူ တတ်ကြပါတယ်။

သူတို့က အီးမေးလ် Signature တွေကနေ အရေးကြီးသူတွေရဲ့ ဖုန်းနံပါတ်တွေကို စုဆောင်း ပြီး Spear Phishing နဲ့ SMiShing လိုမျိုး တိုက်ခိုက်မှုတွေအတွက် အဲဒီအချက်အလက်တွေကို သုံးကြ ပါတယ်။

 

အခြား လှည့်ကွက်များ

 

ဆိုက်ဘာတရားခံတွေက စာတို ဒါမှမဟုတ် ဖုန်းခေါ်ဆိုမှုတွေလို တခြားနည်းလမ်းတွေနဲ့လည်း Website အတုတွေကို သွားရောက်ကြည့်ရှုဖို့ သွေးဆောင်နိုင်တယ်။ ကိုယ်က ခြိမ်းခြောက်ခံနေရတယ် ဒါမှမဟုတ် ဖိအားပေးခံနေရတယ်လို့ ခံစားရရင် ဖုန်းချပစ်ပြီး ခေါင်းအေးအေးနဲ့ စဥ်းစားပြီးမှ အဲဒီအဖွဲ့အစည်းရဲ့ ဖုန်းနံပါတ် အစစ်ကို ရှာပြီး ပြန်ခေါ်သင့်ပါတယ်။

 

ကျွမ်းကျင်တဲ့ ဆိုက်ဘာရာဇ၀တ်ကောင်တွေက ဖြစ်နိုင်ချေရှိတဲ့ ပစ်မှတ်တွေအတွက် ဖုန်းနံပါတ်တွေကို အလိုအလျောက် ခေါ်ဖို့ ဒါမှမဟုတ် စာပို့ဖို့ Call Center တွေ တည်ထောင်ထားကြတယ်။ ဒီ Message တွေမှာ ကိုယ့်ရဲ့ PIN နံပါတ် ဒါမှမဟုတ် တခြား ကိုယ်ရေးအချက်အလက်တွေ ရိုက်ထည့်ခိုင်းဖို့ တောင်းဆိုမှုတွေ မကြာခဏ ပါဝင်တတ်ပါတယ်။

 

Phishing တိုက်ခိုက်မှု ခံရရင် ဘာလုပ်သင့်လဲ

 

ကိုယ်က Phishing တိုက်ခိုက်မှုရဲ့ ထောင်ချောက်ထဲ မတော်တဆ ပါသွားပြီလို့ သံသယရှိတယ်ဆိုရင် လုပ်သင့်တဲ့ အချက်လေးတွေ ရှိပါတယ်။

 

၁။ အချက်အလက် မှတ်သားထားပါ

  • ဖြစ်စဉ်က စိတ်ထဲမှာ လတ်လတ်ဆတ်ဆတ် ရှိတုန်းမှာ တိုက်ခိုက်ခံရတဲ့ အသေးစိတ် အချက်အလက်တွေကို မှတ်မိသလောက် ချရေးထားပါ
  • အထူးသဖြင့် ကိုယ်မျှဝေလိုက်မိတဲ့ နာမည်၊ အကောင့်နံပါတ်၊ ဒါမှမဟုတ် စကားဝှက် (passwords) တွေလို အချက်အလက်တွေနဲ့ Websiteemailmessage စတဲ့ ဘယ်နေရာမှာ ဖြစ်ခဲ့တာလဲ ဆိုတာကို မှတ်သားဖို့ ကြိုးစားပါ။

 

၂။ စကားဝှက် ချက်ချင်းပြောင်းပါ

  • ထိခိုက်သွားတဲ့ အကောင့်အားလုံးရဲ့ စကားဝှက်တွေကို ချက်ချင်း ပြောင်းပစ်ပါ
  • စကားဝှက်တစ်ခုတည်းကို အတူတူ သုံးထားတဲ့ တခြား အကောင့်တွေ အကုန်လုံးမှာလည်း ပြောင်းပစ်ဖို့ လိုပါတယ်။
  • အကောင့်တစ်ခုစီအတွက် မတူညီတဲ့ လျှို့ဝှက်နံပါတ်တွေ ဖန်တီး သုံးသင့်ပါတယ်။ အားကောင်းတဲ့ စကားဝှက်တွေ ဘယ်လိုဖန်တီးပြီး သုံးရမလဲ ဆိုတာကိုလည်း လေ့လာကြည့်သင့်ပါတယ်။

 

၃။ နှစ်ဆင့်ခံ စစ်ဆေးမှု ဖွင့်ထားပါ

  • ဖြစ်နိုင်သမျှ အကောင့်တိုင်းမှာ Multi-factor Authentication (MFA) လို့ခေါ်တဲ့ နှစ်ဆင့်ခံ စစ်ဆေးမှု (two-step verification) ကို ဖွင့်ထားကြောင်း သေချာအောင် စစ်ဆေးပါ။

 

၄။ သက်ဆိုင်ရာကို အကြောင်းကြားပါ

  • ဒီတိုက်ခိုက်မှုက ကိုယ့်ရဲ့ အလုပ် ဒါမှမဟုတ် ကျောင်းနဲ့ သက်ဆိုင်ရာအဖွဲ့အစည်းရဲ့ အကောင့်တွေကို သက်ရောက်မှု ရှိနိုင်တယ်ဆိုရင် ကိုယ့်ရဲ့ အလုပ် ဒါမှမဟုတ် ကျောင်းက IT ထောက်ပံ့ရေးအဖွဲ့ ကို ဖြစ်နိုင်ချေရှိတဲ့ တိုက်ခိုက်မှုအကြောင်း အကြောင်းကြားရပါမယ်။
  • ကိုယ်က ကတ်နံပါတ် ဒါမှမဟုတ် ဘဏ်အကောင့် အချက်အလက်တွေ မျှဝေမိခဲ့တယ်ဆိုရင်လည်း လိမ်လည်မှု ဖြစ်နိုင်တယ်ဆိုတာကို သတိပေးဖို့ အဲဒီကုမ္ပဏီတွေကိုပါ ဆက်သွယ်သင့်ပါတယ်

 

၅။ (တာဝန်ယူမှုရှိသည့် နိုင်ငံများတွင်)ရဲကို တိုင်ကြားပါ

  • ပိုက်ဆံ ဆုံးရှုံးသွားတယ် ဒါမှမဟုတ် ကိုယ်ပိုင်စိစစ်ရေးအချက်အလက် အလွဲသုံးစားလုပ်ခံရတယ် (identity theft) ဆိုရင် လက်မလျှော့ဘဲ ဒေသခံ ရဲစခန်းကို သတင်းပို့ တိုင်ကြားပါ။ အဆင့် () မှာ မှတ်သားထားတဲ့ အသေးစိတ် အချက်အလက်တွေက သူတို့ကို အများကြီး အထောက်အကူ ဖြစ်စေမှာပါ။

 


#BAP #Digital #Media #Literacy #Phishing #Scamming

 

 

လိမ်လည်လှည့်ဖြားခြင်
အရေးကြီးတဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ခိုးယူဖို့ ကြိုးစားခြင်း

Related Articles

Top News

Phishing (ဟန်ဆောင်၍ အချက်အလက်ခိုးယူခြင်း)

လွန်ခဲ့သော ၃ နာရီ က

'တန်ဖိုးသင့်ညစာ' ဖြင့် လူသိများကာ ပြည်သူ့ဂုဏ်ရည်ဆု ရခဲ့သူ ဒေါက်တာနန္ဒဝင်းကို ဆုပေးသည့် အဖွဲ့က ဆုနှင့်မထိုက်တန်ဟုဆို

လွန်ခဲ့သော ၆ ရက် က

ရှီနှင့် “အရာအားလုံး နီးပါး” သဘောတူညီမှုရဟု ထရန့်ပြော

လွန်ခဲ့သော ၉ ရက် က

Articles

Share With
bap-logo