ක්රිස්තු පුර්ව 1188 පමණ වන විට ග්රිකවරුන් විසින් ට්රෝයි නගරයට විරුද්දව ගෙන ගිය ට්රෝජන් යුද්දය අවසානයකට ලගා වෙලා තිබුනා. අවුරුදු දහයක් පුරා මෙම ට්රෝයි නගරය වැටලීමට ග්රීකවරුන් උත්සහ කලත් එය සිදු කර ගැනීමට ඔවුන්ට නොහැකි වෙනවා. අවසානයේ ට්රෝයි වරුන් පුජනිය ලෙස සැලකු සත්වයෙකු වන අශ්වයෙකුගේ ඉතා විශාල දැවමය පිළිමයක් නිර්මාණය කරනු ලබනවා. ඉන්පසු එය තෝරාගත් බලකායකින් පුරවා මෙය ස්තුති දීමක් ලෙස ට්රොයි නගරයට පිවිසෙන ප්රධාන දොරටුව ඉදිරිපස තබා ඔවුන් යන්නට යනවා. ග්රීකවරුන් පසුබැස ගොස් ඇතැයි කියා රැවටුණ ට්රෝයි ජනතාව මෙම දැවමය අශ්වයාව ට්රෝයි නගරය තුලට රැගෙන යන්නේ ඔවුන්ගේ ජයග්රහණයේ සංකේතයක් ලෙසයි. නමුත් දවස අවසානයේ අශ්වයා තුල සිටි ග්රීක සොල්දාදුවන් අදුර වැටෙනවත් සමග එය තුලින් එලියට පැමිණ ප්රධාන දොරටුවේ ආරක්ෂාවට යොදවා සිටි සියලුම මුරකරුවන් මරා දමනු ලබනවා. අවසානයේ ග්රීකවරුන් විසින් ට්රෝයි නගරය යටත් කරගනු ලැබුවා. මෙම සිදුවීම ඉතිහාසයේ සිදු වුන ප්රථම සහ සාර්ථකම social engineering attack එකක් කිව්වොත් නිවැරදි.
ගොඩක් වෙලාවට අපි තොරතුරු පද්ධතික් නිර්මාණයේදී මෙන්ම එය පවත්වාගෙන යැමේදී එහි ඩිජිටල් ආරක්ෂාව (digital security) ගැන විතරයි අවධානය යොමු කරනු ලබන්නේ. එසේ සිදු කිරීම මගින් අපේ පද්ධතියේ තිබිය හැකි විශාලතම දුර්වලතාවයක් සියල්ලන්ටම විවෘත වෙනවා. "මිනිසුන්" පද්ධතියක තිබිය හැකි විශාලතම දුර්වලතාවයයි. ලෝකයේ තුල සිදුවී ඇති සමහර විශාල හැක් වීම් සිදු වෙලා තිබෙන්නේ මේ මිනිසුන්ගේ දුර්වලතාවයන් ඉල්ලක්ක කර ගෙන සිදු කරනු ලැබූ social engineering attacks නිසයි. පහත දක්වා ඇත්තේ එසේ සිදු වූ හැක් වීම් කිහිපයකි.
1. 2013 වසරේ සිදු වූ Yahoo Customer Account Compromise
2. 2014 වසරේ සිදු වූ Sony Pictures Hack
3. 2013 වසරේ සිදු වූ Department of Labor Watering Hole Attack
4. 2015 වසරේ සිදු වූ Ubiquiti Networks Scam
5. 2011 වසරේ සිදු වූ RSA SecurID Phishing Attack
ඉතිං මොකද්ද මේ සමාජ ඉංජිනේරු විද්යාව එහෙමත් නැත්තම් social engineering කියන්නේ ?
යම්කිසි පුද්ගලයන් කණ්ඩායමකගෙන් හෝ පුද්ගලයෙකුගෙන් අවශ්ය දෙයක් ලබා ගැනීම සදහා ඔවුන්ව/ඔහුව/ඇයව මානසිකව හැසිරවීම (psychological manipulation) සරලවම සමාජ ඉංජිනේරු විද්යාව එහෙමත් නැත්තම් social engineering කියල හදුන්වන්න පුළුවන්. ගොඩක් දෙනෙක් හිතාගෙන ඉන්නේ social engineering භාවිතා කරන්නේ හැක් කිරීමක් සිදු කිරීමට පමණක් බවයි. මේය ඉතාමත් වැරදි සිතුවිල්ලක්. social engineering කියන්නේ ඊට එහා ගිය දෙයක්. අපිට මේ සමාජ ඉංජිනේරු විද්යාව එහෙමත් නැත්තම් social engineering අපේ එදිනෙදා ජීවිතයේදීත් භාවිතා කරන්න පුළුවන්. අපේ ජිවිතයේ ගොඩක් අවස්ථා වලදී අපි නොදැනුවත්ව උනත් මේ social engineering භාවිතා කරනු ලබනවා සහ ඒවාට හසු වන අවස්ථාද නැතුවම නොවේ. එවැනි අවස්ථා කිහිපයක් ගැන දැන් අපි කතා කරමු.•සති පොලෙන් බඩු ගන්න ගියාම (Super Market යන අයට නම් මේක කරන්න බැ. ගහල තියන ගානටම ගන්න එපැයි) අපි ගොඩක් වෙලාවට social engineering තමයි භාවිතා කරන්නේ.
අපි මොනවා හරි ගද්දි මුදලාලිට වචනේ දාල කොහොම හරි ගන්න බඩුවේ ගාන අඩුකරගන්න නේ හදන්නේ. එතැනදී මොකද වෙන්නේ? අපිට ඕනේ දේ ලබාගන්න මුදලාලිව මානසිකව හැසිරවීමක් නේද? මගේ අත්දැකීමක් කියන්නම්. ගොඩක් වෙලාවට අපි මාළු ගන්න මීගමුවේ ලේල්ලමට තමයි යන්නේ. උදේම ගියාම ඉන්නේ අලුත් මළු කියල ගණන් අහපුවම කියන්නේ අස්ප ගණන්. ඉතින් මං කරන්නේ purse එකේ තියන මොනරු ටික (දැන් නම් ඉන්නේ ගිරවෙක්) purse එකෙන් අරගෙන සාක්කුවට දාගන්නවා. ඊටපස්සේ රුපියල් පන්සියේ කොලයක් අරගෙන එක purse එකට දාගන්නවා. දැන් වැඩේට ඔක්කොම ලැස්තියි. ඔනෙකරන මළු ජාතිය තියන මුදලාලි ළගට ගිහින් මළු වල ගණන් අහනවා. උදේම ගියොත් අනිවා කියන්නේ අස්ප ගානක්. එහෙම කියපු ගමන් පොඩි රගපෑමක් කරනවා. මම නම් කියන්නේ "ශිකේ! අපරාදේ මම අසම මළු ජාතිය. ඒ උනාට අම්ම දුන්නේ රුපියල් පන්සියයිනේ" කියල purse එක පෙන්නනවා. පෙන්නලා එතනින් හැරිලා ටික දුරක් හිමිට එනවා. එතකොටම අර මුදලාලි "මහත්තය මහත්තය ටිකක් එන්නකෝ" ඉතින් වැඩේ ගොඩක් කියල මම දන්නවා. මුදලාලි "මහත්තයට හින්ද ඉතිං පන්සියක් දෙන්නකෝ"
• යම්කිසි දෙයක් විකිණීමට රුපවාහිනියේ දමන ප්රචාරක දැන්වීම්.
යම්කිසි දෙයක් විකිණීමට රුපවාහිනියේ දමන ප්රචාරක දැන්වීම් වලින් ඇත්තම කිව්වොත් 60% වත් ඇත්ත නෙමයි නේ? අලෙවිකරුවන් තමන්ගේ භාණ්ඩයේ ප්රචාරණය උදෙසා භාණ්ඩයේ නැති ලක්ෂනත් එකතුකර ප්රචාරක දැන්වීම නිර්මාණය කරනු ලබනවා. එතැනදීත් මොකද වෙන්නේ? ඔවුන්ට ඕනේ දේ ලබාගන්න ප්රේක්ෂකයන්ගේ මනස හැසිරවීමක් නේද?
• යම්කිසි අපරාදයක් සිදු වන ස්ථානයක වුනත් Social Engineering භාවිතා වෙනවා වෙන්න පුළුවන්.
උදාහරණයක් විදිහට අපි හිතමුකෝ කවුරුහරි බැංකුවක් මංකොල්ල කන්න යනවා කියල. එතැනදී එයට පුළුවන් ඇත්ත තුවක්කුවක් වෙනුවට බොරු එකක් භාවිතා කරන්න. නමුත් එහි සිටින මිනිසුන් තුවක්කුවට ඇති බිය නිසා මංකොල්ල කරුට තමාගේ කාර්යය සාර්ථකව කරගැනීමට හැකි වෙනවා. මෙතැනදීත් මොකද වෙන්නේ? ඔහුට ඕනේ දේ ලබාගන්න බැංකුවේ සිටින පුද්ගලයන්ගේ මනස හැසිරවීමක් නේද?
ඉතින් ඔය උඩ කියපු අවස්ථා වලට අමතරව තවත් බොහෝ ආකාරයට අපේ එදිනෙදා ජීවිතයේදී ගොඩක් වෙලාට මේ Social Engineering භාවිතා වෙනවා සහ අපි ඒවාට හසු වෙනවා. Informatrion Security Field එකේදිත් මේ Social Engineering භාවිතා වෙනවා. එකේදිත් සිදු වෙන්නේ ප්රහාරකයාට (attacker) අවශ්ය තොරතුරු (Usernames, Passwords, Phone Numbers, etc...) ලබා ගැනීමට යම්කිසි පුද්ගලයෙකු හෝ පුද්ගලයන් කණ්ඩායමක් (වින්දිතයා/Victim) මානසිකව හැසිරවීමයි (psychological manipulation) Social engineering කියන්නේ attack vector එකක්. ඒ කියන්නේ එක අරමුණක් නෙමයි, යම්කිසි අරමුණකට යෑම සදහා භාවිතා කරන මාර්ගයක් හෝ විදිහක්.
ඔයාල දන්නවනේ යම්කිසි දෙයක් බිදින්න/විනාශ කරන්න ඕනෙනම් එකේ මොකක් හරි අඩුපාඩුවක් එහෙමත් නැත්තම් දුර්වලතාවයක් තියෙන්න ඕනේ. දැන් අපි බලමු මොනවද මිනිසුන්ගේ පවතින දුර්වලතා කියලා. මේ දුර්වලතාවයන් හරියටම මෙහෙමයි භාවිතා කරන්නේ කියල කියන්න බැ. එක තීරණය වෙන්නේ ප්රහාරකගේ (attacker) නිර්මාණාත්මක හැකියාව මතයි.
1. හදිස්සිය (Urgency)
2. බය (Fear)
3. කෑදරකම (Greed)
4. කුතුහලය (curiosity)
5. අනුකම්පාව (Sympathy)
6. අධිකාරිය සඳහා ගරු කිරීම (Respect for Authority)
7. නොසැලකිල්ල (Inattention)
8. විශ්වාසය (Trust)
2. බය (Fear)
3. කෑදරකම (Greed)
4. කුතුහලය (curiosity)
5. අනුකම්පාව (Sympathy)
6. අධිකාරිය සඳහා ගරු කිරීම (Respect for Authority)
7. නොසැලකිල්ල (Inattention)
8. විශ්වාසය (Trust)
දැන් ඔයා බලනවා ඇති කෙනෙක් ලග ඔය කියපු දුර්වලතාවයන් තිබුනට එක කොහොමද මේ ප්රහාරකයා (attacker) දැන ගන්නේ කියල. මේ වගේ attack එකක් දෙනකොට ප්රහාරකයා (attacker) අනිවරෙන්ම කරන දෙයක් තමයි තමන්ගේ වින්දිතයා (Victim) පිළිබද පුළුවන් තරම් තොරතුරු හොයා ගන්න එක. මේකට කියන්නේ Information Gathering කියලයි. සාමාන්යෙන් social engineering attack එකක් දෙන්න ටික කාලයක් යන්නේ මෙන්න මේ හේතුව නිසයි. ඒවගේම මේ social engineering attack එකක් දුන්නට පස්සේ එකේ හොද හෝ නරක ප්රතිඵල එන්නත් ටිකක් කාලය ගත වෙනවා. Social Engineering attack එකක් දෙන්න hacker කෙනෙක් use කරන techniques තියනවා. පහල දක්වල තියෙන්නේ ඉන් කිහිපයක්.
1. Shoulder Surfing
2. Dumpster Diving
3. Role playing
4. Trojan horses
5. Phishing
6. Surfing Organization Websites & Online forums
7. Reverse Social Engineering
Shoulder Surfing
ඔයගොල්ලෝ හැමෝම විභාග වලට මුණ දීල තියනවා නේද? විභාගේ වෙලාවට මොකක් හරි දන්නේ නැති උනොත් ඉස්සරහ ඉන්න කෙනාගෙන් ඉස්සිලා බලනවා වගේ දෙයක් තමයි මේක. මේකෙදි hackersල කරන්නේ තමාට අවශ්ය කරන target එක කෙලින්ම observe කරන එක. ඔයා කඩේකට ගියාම perse එක ඇදල සල්ලි ගද්දි ඔයාට පිටිපස්සෙන් ඉන්න කෙනා ඔයාගේ perse එක දිහා බලගන ඉන්නවනම් එයා කරන්නෙත් Shoulder Surfing තමයි. මේකටනම් කිසිම විදිහක technical දැනීමක් ඕනේ වෙන්නේ නැ. මේ ක්රමය use කරලා hackersලට personal identification numbers (PINs), passwords වගේ ගොඩක් රහසිගත තොරතුරු හොයාගන්න පුළුවන්. මේ ක්රමය බොහෝ වෙලාවට ගොඩක් සෙනග ගැවසෙන ස්ථාන වල තමයි සිදුකරන්නේ. එතකොට තමාගේ target එකට දැනෙන්නේ නැති විදිහට මේක කරන්න පුළුවන්.Dumpster Diving
මේකෙදි කරන්නේ නගර සභාවේ කුණු අදින මාමලාගේ වගේ වැඩක්. ලොකු ආයතනවල ගොඩක් දේවල් වැරදිච්ච ගමන් ඒවා විසිකරනවා. උදාහරණ විදිහට phone books, system manuals, calendars of meetings, printouts of sensitive data or login names and passwords, printouts of source codes වගේ දේවල්. ඉතින් ඔයවගේ company එකක dustbin එකක් අද්දහම ගොඩක් වටිනා කියන sensitive information hackersලට හොයාගන්න පුළුවන්. ඉතින් මෙන්න මේ වගේ dustbin ඇදල ඔනෙකරන information හොයන එකට තමයි කියන්නේ Dumpster Diving.Role-playing
මේක Social Engineering වල ප්රධාන technique එකක්. මේකෙන් කරන්නේ අපිට ඕනේ කරන target එක සමාජයත් එක්ක සම්බන්දකම් පවත්වන online chat session, emails, phone වගේ දේවල් වලින් ඕනේ කරන information හොයාගන්න එක. උදාහරණයක් විදිහට hacker කෙනෙක්ට පුළුවන් technician කෙනෙක් විදිහට රගපාල computer repair කරන company එකක information හොයාගන්න.Trojan horses
මේ technique එක නම් ගොඩක් වෙලාවට use වෙන එකක්. මේකෙදි වෙන්නේ අපිට ඕනේ කරන target එක රවට්ටලා එයට malicious file එකක් download කරගන්න සලස්වන වැඩක්. ඉත්න් ඊටපස්සේ target එක මේ file එක open කරපුවම එයාගේ machine එකේ backdoor එකක් open වෙනවා. එතකොට hackerට පුළුවන් ඕනේ වෙලාවක ඒ machine එකට connect වෙන්න.Phishing
මේකනම් ඉතින් ඔයාල හොදට අහල තියනවනේ. මේකෙදි වෙන්නේ ඇත්ත නීත්යානුකූල ව්යාපාර (Facebook, Gmail, Websites, etc.......) වල fake sites ඇත්ත ඒවා වගේම හදල අපිට ඕනේ කරන ටර්ගේට් එකට යවන එක. අපි හිතමුකෝ අපිට ඕනේ කෙනෙක් ගේ fb account එක hack කරන්න කියල. ඉතින් fb login page එකක් හදල එක අපේ server එකක host කරලා ඒ ලින්ක් එක අපේ target එකට යැව්වහම, target එක ඒ ලින්ක් එකට ගිහිල්ල එයාගේ login credentials එකේ type කරද්දී අපේ server එකේ ඒවා log වෙනවා. එතකොට අපිට ඒවා use කරන්න පුළුවන්. මේකට login pagesම හදල යවන්න ඕනේ නැ. ඇත්තටම නිර්මාණශීලිව හිතුවොත් ගොඩක් සාර්ථක attack එකක් දෙන්න පුළුවන්. Surfing Organization Websites & Online forumsගොඩක් ආයතන වල details පොදු ජනතාවට පෙන්න එයාලගේ websites වල දාල තියනවා. ඉතින් මේ details වලින් hackersලට ගොඩක් හොද අවබෝදයක් ගන්න පුළුවන් තමාගේ target එක ගැන.