ഇന്‍റര്‍നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി

---

Author: admin | Category: Cyber Security, Social Engineering | Leave a Comment

Article Published in Madhyamam Daily Newspaper.

Article Link: http://www.madhyamam.com/archives/technology/node/1039

Author: ഷഫീക്ക് ഓലശ്ശേരി കുന്നിക്കല്‍ (C|EH, E|CSA, C|EI, C|HFI, MCP)

shafeeque@graytips.com

 

ഇന്‍റര്‍നെറ്റ്: തട്ടിപ്പുകളുടെ പുതിയ വിഹാരഭൂമി

കമ്പ്യൂട്ടര്‍വിദഗ്ധരും പൊലീസും എത്രതന്നെ ശ്രമിച്ചിട്ടും ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പിന്‍െറ വ്യാപ്തി കൂടിക്കൂടിവരുകയാണ്. പുതിയപുതിയ വഴികളിലൂടെ തട്ടിപ്പുകാരും അതിനെ പിന്തുടര്‍ന്ന് അവരെ പിടിക്കാന്‍ കമ്പ്യൂട്ടര്‍ വിദഗ്ധരും പൊലീസും. ഈ ‘കള്ളനും പൊലീസും’ കളിയില്‍ തോല്‍ക്കുന്നത് പലപ്പോഴും കമ്പനികളും വ്യക്തികളുമാണ്. കോടിക്കണക്കിനു രൂപ നഷ്ടപ്പെടുന്നത് അവര്‍ക്കാണല്ളോ!

എന്തുകൊണ്ടാണ് ഒരു ഫുള്‍ പ്രൂഫാ യ വഴി തട്ടിപ്പുകള്‍ തടയാന്‍ നമുക്കുപയോഗിക്കാന്‍ പറ്റാത്തത്? ഒരുകാരണം, കമ്പ്യൂട്ടര്‍ വൈദഗ്ധ്യം നേടുന്നതില്‍ തട്ടിപ്പുകാര്‍ ഒരിക്കലും പിന്നിലല്ല എന്നുള്ളതുതന്നെ. അവരും പുതിയ വേലകളുമായി രംഗത്തുവരുന്നു. എന്നാല്‍, ഏറ്റവും പ്രധാനപ്പെട്ട ഒരുകാരണം മനുഷ്യന്‍െറ പ്രകൃതം മാറുന്നില്ല എന്നതാണ്. മിന്നല്‍വേഗത്തില്‍ പുതിയ ടെക്നോളജി മാറുന്നുവെങ്കിലും.

മനുഷ്യന്‍െറ അടിസ്ഥാനപ്രകൃതം മുതലാക്കിയുള്ള ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പാണ് സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിലൂടെ സൈബര്‍ ക്രിമിനലുകള്‍ ലക്ഷ്യമിടുന്നത്.

സോഷ്യല്‍ എന്‍ജിനീയറിങ്
സോഷ്യല്‍ എന്‍ജിനീയറിങ് എന്നതുകൊണ്ട് വിവക്ഷിക്കുന്നത്, മനുഷ്യരെ പറ്റിച്ചു (കമ്പ്യൂട്ടര്‍ ഉപയോഗിച്ചോ അല്ലാതെയോ) വിവരങ്ങള്‍ കൈക്കലാക്കി സ്വന്തം താല്‍പര്യങ്ങള്‍ക്കുവേണ്ടി ഉപയോഗപ്പെടുത്തുന്നതിനെയാണ്.

ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പുമായി ബന്ധപ്പെട്ട് ആദ്യമായി ഈ പദമുപയോഗിച്ചത് കെവിന്‍ മിത്നിക് (Kevin Mitnick) ആണ്. ടെക്നോളജി ഉപയോഗിക്കാതെ മനുഷ്യര്‍ പരസ്പരം ബന്ധപ്പെട്ട് ഫോണിലൂടെയോ, ഇ-മെയിലിലൂടെയോ, നേരിട്ട് സംസാരിച്ച് പാസ്വേര്‍ഡ്, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍ തുടങ്ങിയവ സമ്പാദിച്ച് പിന്നീടതുപയോഗിച്ചു നേട്ടമുണ്ടാക്കാന്‍ ശ്രമംനടത്തുക. ഒരാളുടെ പാസ്വേര്‍ഡ്, ലോഗിന്‍ വിവരങ്ങള്‍, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍, പ്രധാനപ്പെട്ട ബാങ്ക് വിവരങ്ങള്‍ ഇവയൊക്കെ മറ്റൊരാള്‍ക്ക് കൈക്കലാക്കാം. അയാളുമായി സംസാരിച്ചുകൊണ്ട്, ഫോണില്‍ ബന്ധപ്പെട്ടുകൊണ്ട്, ഇ-മെയില്‍ മറുപടിയിലൂടെ, അയാളുടെ ചവറ്റുകുട്ട പരതുന്നതിലൂടെ. ഇതെല്ലാം സോഷ്യല്‍ എന്‍ജിനീയറിങ് വിഭാഗത്തില്‍പെടുന്നു.

കെവിന്‍ മിത്നിക് തന്നെ പരീക്ഷിച്ചു വിജയിച്ച ഒരുദാഹരണം ശ്രദ്ധിക്കുക:
വെറും 15 വയസ്സുള്ളപ്പോള്‍ മിത്നിക് സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിലേക്ക് വലതുകാല്‍വെച്ചുകയറി! ലോസ് ആഞ്ജലസിലൂടെ ഫ്രീയായി യാത്ര ചെയ്യുകയായിരുന്നു ലക്ഷ്യം. ലോസ് ആഞ്ജലസ് ബസ് സിസ്ടത്തില്‍ പഞ്ച് കാര്‍ഡ് സിസ്റ്റമായിരുന്നു ഉണ്ടായിരുന്നത്. സ്നേഹിതനായ ഒരു ബസ് ഡ്രൈവര്‍ പറഞ്ഞതനുസരിച്ച് മിത്നിക് മനസ്സിലാക്കി എവിടുന്നാണ് ബസ് ടിക്കറ്റ് കിട്ടുകയെന്ന്. ചവറ്റുകുട്ടയില്‍ ഉപേക്ഷിക്കപ്പെട്ടനിലയില്‍ കണ്ടത്തെിയ ട്രാന്‍സ്ഫര്‍ സ്ളിപ്സ് ഉപയോഗിച്ച് ലോസ് ആഞ്ജലസില്‍ എവിടെയും ബസില്‍ യാത്രചെയ്യാനുള്ള സൗകര്യം നേടിയെടുത്തു മിത്നിക് എന്ന വിരുതന്‍!

മിത്നിക് അദ്ദേഹത്തിന്‍െറ ‘GHOST IN THE WIRES’ എന്ന പുസ്തകത്തില്‍ പറയുന്നതു നോക്കുക: പലവേഷങ്ങള്‍ എടുത്തണിഞ്ഞ് പലരെയും ഫോണില്‍ ബന്ധപ്പെടുന്നു: ചിലപ്പോള്‍ സെക്യൂരിറ്റി ഉപദേശകനായി, മറ്റു ചിലപ്പോള്‍ കമ്പനി ഉപദേശകനായി ഒരു ബുദ്ധിമുട്ടുംകൂടാതെ കമ്പനി നെറ്റ്വര്‍ക്കില്‍ അയാള്‍ക്ക് പ്രവേശം ലഭിക്കുന്നു. ഈ പണി ഇപ്പോഴും മിത്നിക് ചെയ്യുന്നു. സ്വന്തം കമ്പനിക്കുവേണ്ടി ഒരു എത്തിക്കല്‍ ഹാക്കറുടെ റോളിലാണെന്നുമാത്രം.

ഇന്‍റര്‍നെറ്റുമായി ബന്ധപ്പെട്ടവരൊക്കെ കണ്ടുമുട്ടിയിട്ടുണ്ടാകും നൈജീരിയന്‍ 419 സ്കാം എന്നറിയപ്പെടുന്ന തട്ടിപ്പ്. നൈജീരിയന്‍ പീനല്‍ കോഡില്‍ ഇത്തരം തട്ടിപ്പുകളെ നേരിടാനുള്ളതാണ് 419 വകുപ്പ്. ഏതെങ്കിലും രാജ്യത്തെ ഒരു വി.ഐ.പി അല്ളെങ്കില്‍, മിലിട്ടറിയിലായിരുന്ന ഭര്‍ത്താവ് മരിച്ചു. എന്‍െറ കൈയില്‍ ഒരുപാട് കാശുണ്ട്. രാജ്യത്തെ പ്രശ്നങ്ങള്‍ക്കിടയില്‍ ഇത് സുരക്ഷിതമായിവെക്കാന്‍ പറ്റാത്തതിനാല്‍, നിങ്ങളുടെ ബാങ്ക് അക്കൗണ്ടിലേക്ക് ഇതു മാറ്റാന്‍ ഞാന്‍ ആഗ്രഹിക്കുന്നു. അതിനാല്‍, നിങ്ങളുടെ ബാങ്ക് വിവരങ്ങള്‍ അയച്ചുതരാന്‍ താല്‍പര്യപ്പെടുന്നു. നമ്മള്‍ വിശ്വസിക്കുന്നു. ബാങ്ക് വിവരങ്ങള്‍ കൈമാറുന്നു. കുറച്ചു ദിവസങ്ങള്‍ക്കുശേഷം പണം ട്രാന്‍സ്ഫര്‍ ചെയ്യുന്നതിനുവേണ്ടി പ്രോസസിങ് ഫീസായി ഒരു നിശ്ചിതതുക അടക്കാന്‍ ആവശ്യപ്പെടുന്നു. വളരെ വിശ്വസനീയമായരീതിയില്‍ (നമ്മള്‍ ആവശ്യപ്പെടുന്ന ബാങ്ക് സ്റ്റേറ്റ്മെന്‍റ്, പാസ്പോര്‍ട്ടിന്‍െറ കോപ്പി, ഡത്തെ് സര്‍ട്ടിഫിക്കറ്റ്, ബര്‍ത്ത് സര്‍ട്ടിഫിക്കറ്റ്, മാര്യേജ് സര്‍ട്ടിഫിക്കറ്റ് അയച്ചുതന്നു) നമ്മളെ ഇ-മെയില്‍ വഴിയോ ഫോണിലൂടെയോ വിശ്വസിപ്പിക്കുന്നു. നമ്മള്‍ ഈ ചതിയില്‍പെടുന്നു. പ്രോസസിങ് ഫീസ് കിട്ടിയാല്‍ തട്ടിപ്പുകാരുടെ അടുത്തുനിന്ന് ഒരു മറുപടിയും ലഭിക്കുന്നില്ല. ആദ്യം പോസ്റ്റ് ഓഫിസിലൂടെയും പിന്നീട് ഫാക്സിലൂടെയും അരങ്ങേറിയ തട്ടിപ്പാണ് നൈജീരിയന്‍ 419 419 സ്കാം. പ്രോസസിങ് ഫീസ് കിട്ടുന്നതിലൂടെയാണ് ഈ വിരുതന്മാര്‍ കാശ് വാരുന്നത്.

മറ്റൊരുദാഹരണം, നിങ്ങളുടെ ഒരടുത്ത സുഹൃത്തില്‍നിന്ന് നിങ്ങള്‍ക്കൊരു ഇ-മെയില്‍ ലഭിക്കുന്നു. ‘ഞാന്‍ ഒരു വിദേശയാത്രയിലായിരുന്നു. എന്‍െറ പണവും മറ്റുരേഖകളും നഷ്ടപ്പെട്ടിരിക്കുന്നു. ഞാന്‍ ഹോട്ടലില്‍ കുടുങ്ങിയിരിക്കുന്നു. എനിക്കല്‍പം പണം പറയുന്ന അക്കൗണ്ടിലേക്ക് അയച്ചുതരുക’. ഇതാണ് സന്ദേശം. ഈ സുഹൃത്തിന്‍െറ ഇ-മെയില്‍ അഡ്രസ് നിങ്ങളുടെ ഇ-മെയില്‍ അഡ്രസ് ബുക്കിലുണ്ടാകും. ഇ-മെയില്‍ അയക്കുന്നതിനുമുമ്പ് നിങ്ങളെ കുറിച്ച്, സുഹൃത്തിനെ കുറിച്ച് വിശദമായി തട്ടിപ്പുകാര്‍ പഠിക്കുന്നു. ഈ മെയിലില്‍ ‘ഫ്രം അഡ്രസ്’മാനിപ്പുലേറ്റ് ചെയ്ത് ഇ-മെയില്‍ അയക്കാനുള്ള ടൂളുകള്‍ ധാരാളം ലഭ്യമാണ്. 90 ശതമാനംപേരും ഈ ചതിയില്‍ അകപ്പെടാനാണ് സാധ്യത.

അതുപോലെ നിങ്ങളുടെ ബാങ്കില്‍നിന്ന് ഒരു ഇ-മെയില്‍ ലഭിക്കുന്നു. സെക്യൂരിറ്റി വര്‍ധിപ്പിക്കുന്നതിന്‍െറ ഭാഗമായി നിങ്ങളുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ ആവശ്യപ്പെട്ടുകൊണ്ട്. ഒറ്റനോട്ടത്തില്‍ ബാങ്കിന്‍െറ വെബ്സൈറ്റ് തന്നെ. വിവരങ്ങള്‍ കൊടുക്കുന്നതോടെ നിങ്ങളുടെ അക്കൗണ്ട് കാലിയാകാനുള്ള സാധ്യതയേറെയാണ്. കാരണം, www.bankofamerica.com എന്നത് www.bank0famerica.com;യും അത്രപെട്ടെന്ന് തിരിച്ചറിഞ്ഞുകൊള്ളണമെന്നില്ല. ഇവിടെ രണ്ടാമത്തെ URLഇല്‍ ‘o’ എന്ന അക്ഷരത്തിനുപകരം സീറോ (0) ആണ് ഉപയോഗിച്ചത്. ബാങ്കുകള്‍ നമ്മെ ഇത്തരം തട്ടിപ്പുകളില്‍പ്പെടാതിരിക്കാന്‍ നിരന്തരം എസ്.എം.എസ് വഴിയും ഇ-മെയില്‍ വഴിയും അറിയിക്കുന്നു. ഒരിക്കലും ബാങ്കുകള്‍ നമ്മുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ ഇ-മെയില്‍ വഴിയോ, എസ്.എം.എസ് വഴിയോ ആവശ്യപ്പെടില്ല എന്ന്.
കമ്പനിയില്‍ പ്രവേശിക്കുമ്പോള്‍ ജോലിക്കാര്‍ കാണിക്കുന്ന ഐഡന്‍റിറ്റി കാര്‍ഡ് കൃത്രിമമായുണ്ടാക്കി പ്രവേശം നേടുന്നതും സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ ഭാഗമാണ്. ഐഡന്‍റിറ്റി കാര്‍ഡ് എടുക്കാന്‍ മറന്നുപോയി എന്ന് നിങ്ങളുടെ തൊട്ടുമുന്നിലുള്ള സഹപ്രവര്‍ത്തകനെ വിശ്വസിപ്പിച്ച് അയാള്‍ തുറന്നുപിടിച്ച വാതിലിലൂടെ അകത്തുകടക്കുന്നത് ഇതിന്‍െറ ഭാഗംതന്നെ. ഇതിനെ ടെയ്ല്‍ഗേറ്റിങ് എന്നുപറയുന്നു.

നേരിട്ട് യൂസര്‍നെയിം/ പാസ്വേര്‍ഡ് ഉപയോഗിക്കുക; കമ്പനിയിലെ വേസ്റ്റ് ബാസ്ക്കറ്റ് തപ്പുക, പ്രധാനപെട്ട വിവരങ്ങളടങ്ങിയ തുണ്ട് കടലാസുകള്‍ക്കു വേണ്ടി; ജോലിക്കാരന്‍െറ തോളിലൂടെ (Shoulder Surfing) നോക്കി പാസ്വേര്‍ഡ് മോഷ്ടിക്കുക, സ്വകാര്യ സംഭാഷണങ്ങള്‍ ഒളിഞ്ഞുകേള്‍ക്കുക ഇതൊക്കയാണ് സാധാരണ കണ്ടുവരുന്ന സോഷ്യല്‍ എന്‍ജിനീയറിങ് രീതികള്‍.

പൊതുവേ ജനങ്ങളുടെ നിഷ്കളങ്കതയും അവരുടെ അത്യാഗ്രഹവും പലപ്പോഴും വലിയ കെണിയില്‍ അവരെ കൊണ്ടത്തെിക്കുന്നു.

രക്ഷാമാര്‍ഗങ്ങള്‍

അറിയാത്തവര്‍ ഇ-മെയിലില്‍ അയച്ചുതരുന്ന ലിങ്കുകള്‍ ക്ളിക് ചെയ്യാതിരിക്കുക, ഒഴിച്ചുകൂടാത്ത ലിങ്കുകളുടെ ടൈപ്ഡ് ടെക്സ്റ്റും ഹൈപര്‍ലിങ്ക് ടെക്സ്റ്റും ഒരുപോലെയാണെന്ന് ഉറപ്പുവരുത്തുക.

നിങ്ങള്‍ക്കുവന്ന ഇ-മെയില്‍ നിങ്ങളെ നേരില്‍ അഭിസംബോധനചെയ്യുന്ന ഒരു ജനറിക് അഡ്രസിങ്ങാണെങ്കില്‍ ആ മെയില്‍ റെസ്പോണ്ട് ചെയ്യുന്നതിനുമുമ്പ് ശ്രദ്ധിക്കുക. ഈ മെയില്‍ ഒരു മാസ് ഫിഷിങ്ങിന്‍െറ ഭാഗമാകാം.

പാസ്വേര്‍ഡ്, വയസ്സ്, ജനനത്തീയതി എന്നിവ ഷെയര്‍ ചെയ്യാതിരിക്കുക.

ഭീമമായ സംഖ്യകള്‍ വെറുതെ ആരും നിങ്ങള്‍ക്കുവെച്ച് നീട്ടുകയില്ല എന്ന് ഉറച്ചുവിശ്വസിക്കുക. താഴെപറയുന്ന വാക്കുകള്‍ ശ്രദ്ധയില്‍പ്പെടുമ്പോള്‍ ഓര്‍ക്കുക. നിങ്ങള്‍ ഒരു തട്ടിപ്പിന്‍െറ വക്കത്താണ്: വെരിഫൈ, അക്കൗണ്ട്, വണ്‍ (won), ലോട്ടറി, റെസ്പോണ്ട് സൂണ്‍, സംശയാസ്പദമായ എസ്.എം.എസ്, ഇ-മെയില്‍, ഫോണ്‍ കാള്‍ എന്നിവ വരുമ്പോള്‍ നിങ്ങളുടെ തലയില്‍ അലാറം മുഴങ്ങണം. രണ്ടുപ്രാവശ്യം ചെക് ചെയ്തിട്ടല്ലാതെ ഒരു മറുപടിയും കൊടുക്കാതിരിക്കുക.

സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ റിസ്ക്കുകളും ഏറ്റവുംപുതിയ സോഷ്യല്‍ എന്‍ജിനീയറിങ് ടെക്നിക്കുകളും മനസ്സിലാക്കിയും സുരക്ഷാപ്രശ്നങ്ങളില്‍ സ്വന്തമായ തീരുമാനമെടുത്തും കമ്പനികളും ജീവനക്കാരും ജാഗ്രതാസംവിധാനത്തിന് രൂപം നല്‍കണം. സജീവമായ സുരക്ഷാസംസ്കാരം വളര്‍ത്തിക്കൊണ്ടുമാത്രമേ ഇത്തരം ചതിക്കുഴികളില്‍ നിന്ന് രക്ഷ നേടാന്‍ കഴിയുകയുള്ളൂ.

Related Posts