Spark Of Genius

images

စီးပွားရေးဆိုင်ရာ ကုမ္ပဏီတစ်ခုအား တိုက်ခိုက်ရန် ကြိုးပမ်းကြည့်ခြင်း

Author :

Hacker များ၏ အဓိကပစ်မှတ်ကတော့ စီးပွားရေးဆိုင်ရာ ကုမ္ပဏီများဘဲ ဖြစ်ပါတယ်။ အဘယ့်ကြောင့်ဆိုသော် စီးပွားရေးဆိုင်ရာ ကုမ္ပဏီများကို တိုက်ခိုက်အောင်မြင်ပါက အကျိုးအမြတ်များစွာရရှိနိုင်ခြင်းဘဲ ဖြစ်ပါတယ်။ ကမ္ဘာပေါ်တွင် စီးပွားရေး ကုမ္ပဏီပေါင်းများစွာ နေ့စဉ်နှင့်အမျှ တိုက်ခိုက်ခံနေရပါသည်။ ယနေ့အထိတော့ မြန်မာနိုင်ငံမှ ကုမ္ပဏီများ Hacking နည်းပညာများနှင့် ပတ်သက်ပြီး တိုက်ခိုက်ခံရသည့်သတင်း မကြားရသေးပါဘူး။ သို့သော် ဒီပြဿနာမျိးသည် အနှေးနှင့် အမြန်ဆိုသလို များမကြာမှီ ကာလအတွင်း ရိုက်ခတ်လာမည့် ပြဿနာ လှိုင်းလုံးဖြစ်သည်။
တိုက်ခိုက်ခံရမှုကြောင့် နှစ်စဉ် အမေရိကန်ဒေါ်လာ ၁၀၀ ဘီလီယံနှင့်အထက် ဆုံးရှူံးလျှက်ရှိနေကြောင်း စစ်တမ်း တစ်စောင်မှ ဖော်ပြထားပါသည်။ လုံခြုံရေးမည်မျှပင် ကောင်းစေကာမှူ ပြီးပြည့်စုံသည့် စနစ်ဆိုသည်မှာ မည်သည်စနစ်မှ မရှိသည့်အတွက် တိုက်ခိုက်ခံနေရဦးမည်ဖြစ်သည်။ အားနည်းချက်များလည်း အမြဲဖြစ်ပေါ်နေဦးမည် ဖြစ်သည်။ ထို့ကြောင့် အားနည်းချက်များရှိနေဦးမည်ဖြစ်ပြီး တိုက်ခိုက်မှူ့များသည်လည်း ရပ်တန့်နေမည် မဟုတ်ပေ။
ယခုဆောင်းပါးတွင်တော့ ကုမ္ပဏီတစ်ခုအား Social Engineering Method အသုံးပြုကာ တိုက်ခိုက်သည့် သင်ခန်းစာကို ဖော်ထုတ်မှာ ဖြစ်ပါတယ်။ ဦးဖြူဆိုတာ မြို့အသေးလေးတစ်ခုမှာရှိသော သွင်းကုန်/ထုတ်ကုန် ကုမ္ပဏီတစ်ခုရဲ့ အမှူ့ဆောင်အရာရှိချူပ်ဆိုပါတော့။ သူ့ကို ပစ်မှတ်ထားပြီး တိုက်ခိုက်ပြမှာ ဖြစ်ပါတယ်။ ဦးဖြူက စနေနေ့ မနက်တိုင်း မြစ်ဘေးမှာ လမ်းလျှောက်ထွက်တတ်တယ်ဗျ။ ဒီအပိုင်းကတော့ တိုက်ခိုက်သူမှ ဦးဖြူ၏ အလေ့အထများကို မှတ်သားထားသည့်အထဲမှ တိုက်ကွင်းကို ရွေးချယ်သည့် အနေအထားဖြစ်ပါတယ်။ သားကောင်အပေါ်မူတည်ပြီး တိုက်ကွင်းကို ရွေးချယ်ရမှာ ဖြစ်ပါတယ်။ အခြားနေရာတွေကို ရွေးချယ်မည်ဆိုပါက အခြေအနေ အနေအထား စတာတွေကိုပါ ထည့်သွင်းစဉ်းစားရမှာ ဖြစ်ပါတယ်။ ယခုအခြေအနေက စနေနေ့လည်းဖြစ် နံနက်ပိုင်း အေးအေးဆေးဆေး လက်လျှောက်ထွက်ချိန် တစ်ယောက်တည်းလည်းဖြစ်ဆိုတော့ တိုက်ခိုက်မည့်သူအတွက် အကောင်းဆုံး အခြေအနေကို ဖန်တီးပေးထားသော တိုက်ကွင်းတစ်ခုဘဲဖြစ်ပါတယ်။ ဒါနဲ့ တိုက်ခိုက်မယ့်သူလည်း စနေနေ့ မနက်ပိုင်းကို ဦးဖြူလမ်းလျှောက်ထွက်မယ့် လမ်းကနေစောင့်နေပါတယ်။ ဦးဖြူလမ်းလျှောက်ထွက်လည်းလာရော လမ်းမှာ အမှတ်မထင် ဆုံတွေ့သည့် ပုံစံမျိုးနှင့် လိပ်စာတစ်ခုကို စုံစမ်းပြီး မည်သည့် လမ်းကသွားရမည်ကိုမေးပါတယ်။ သွားမည့်ဘက်က ဦးဖြူလမ်းလျှောက်ထွက်နေကြနေရာနှင့် မလှမ်းမကမ်းတွင်ရှိသော လိပ်စာဖြစ်ပါတယ်။ တမင်တကာ လမ်းအတူတူလျှောက်ချင်သည့်အတွက် ထိုလိပ်စာကို တိုက်ခိုက်သူမှ ဖန်တီးထားခြင်း ဖြစ်ပါတယ်။ ဒါနဲ့ဦးဖြူလည်း ထိုလိပ်စာကိုသိကြောင်း မိမိအိမ်နှင့် မလှမ်းမကမ်းတွင်ရှိကြောင်း အတူတကွ လိုက်လိုက လိုက်နိုင်ကြောင်း ပြောပါလိမ့်မယ်။ ထိုအခါ လမ်းအတူတူလျှောက်ရင်း တိုက်ခိုက်သူမှ ကျွှန်တော်သည် ပွဲစားဖြစ်ကြောင်း သွင်းကုန်/ထုတ်ကုန် ကုမ္ပဏီများကို ပစ္စည်းပို့ချင်သည့်အတွက် ရောက်ရှိလာကြောင်း စသည်ဖြင့် မိမိကိုယ်ကို မိတ်ဆက်လိုက်ပါတယ်။ ဒီနေရာမှာတော့ တိုက်ခိုက်မည့်သူက တိုက်ခိုက်မည့် ပုံစံနှင့် လိုက်လျှောညီထွေဖြစ်အောင် ဖန်တီးရမှာဖြစ်ပါတယ်။ တိုက်ခိုက်သူမှ ဦးဖြူလုပ်ငန်းအကြောင်းကို သိရှိထားပြီး ကုမ္ပဏီအတွင်း ဝင်ထွက်ခွင့်ရရှိအောင် ဖန်တီးလိုက်ခြင်း ဖြစ်ပါတယ်။ ဦးဖြူ သည် မည်သည့် သွင်းကုန်/ထုတ်ကုန် ပြုလုပ်နေသည်ကို တိုက်ခိုက်သူမှ သိရှိထားပြီးဖြစ်ပါသည်။ ထိုသို့ စကားတပြောပြောနှင့် လမ်းလျှောက်လာရင်း ဦးဖြူကလည်း သွင်းကုန်/ထုတ်ကုန် လုပ်ကိုင်နေကြောင်းကို မိတ်ဆက်ပါလိမ့်မယ်။ ထို့နောက် တိုက်ခိုက်သူမှ အကယ်၍ဦးဖြူလိုချင်ပါက ပစ္စည်းများပို့ပေးနိုင်ကြောင်း မည်သည့် အရည်အသွေးရှိကြောင်း ပြောဆိုပါလိမ့်မယ်။ ဒီနေရာမှာ စကားပြောဆိုသည့်အခါ တဖက်လူ၏ ကြိုက်နှစ်သက်မှူ့အပေါ်မူတည်ပြီး ဆွဲဆောင်စည်းရုံးရမှာ ဖြစ်ပါတယ်။ ထို့နောက် ဦးဖြူမှ နောက်တပတ်တွင် နိုင်ငံခြားသို့ ခရီးခဏထွက်ရန်ရှိကြောင်း ပြန်လာမည် ဖြစ်ကြောင်း ပြန်လာပါက သူ့ကိုလာတွေ့နိုင်ကြောင်းကို ပြောဆိုပြီး လိပ်စာ နှင့် ဖုန်းနံပါတ်များကို ပေးထားပါလိမ့်မယ်။
ဒီအပိုင်းမှာတော့ တိုက်ခိုက်သူမှ ပစ်မှတ်သားကောင်၏ အရေးကြီးအချက်အလက်များဖြစ်သော လိပ်စာ ဖုန်းနံပါတ် နှင့် ရုံးတွင် ရှိမည့် အချိန်စသည်တို့ကို သိရှိသွားမည် ဖြစ်သည်။ ဦးဖြူ ခရီးသွားနေအခိုက်တွင် ဦးဖြူ ရုံးမှာ မရှိကြောင်း သေချာစေရန် ရုံးဖုန်းကို ဆက်ပြီး ဦးဖြူနှင့် တွေ့ချင်ကြောင်းပြောပါလိမ့်မယ်။ ထိုအခါ တစ်ဖက်မှ ဦးဖြူမှာ ခရီးထွက်သွားကြောင်း မည်သည့်နေ့ရက်တွင် ပြန်ရောက်မည် ဖြစ်ကြောင်း ဖြေပါလိမ့်မယ်။ ဦးဖြူရုံးမှာ မရှိတာ သေချာကြောင်း အတည်ပြုပြီးသောအခါ သပ်သပ်ရပ်ရပ် ဝတ်စားကာ ဦးဖြူရုံးကို ထွက်လာခဲ့ပါတယ်။ ရုံးသို့ရောက်သောအခါ တာဝန်ရှိ ဝန်ထမ်းကို ဦးဖြူနှင့်တွေ့ချင်ကြောင်း ပြောသောအခါ ဝန်ထမ်းမှ ဦးဖြူမှာ ခရီးထွက်သွားကြောင်းကို ပြန်လည်ဖြေကြားပေးမှာ ဖြစ်ပါတယ်။ ထိုအခါ တိုက်ခိုက်သူမှ ဦးဖြူမှ ယနေ့တွင် တွေ့ဆုံရန်အတွက် လာခဲ့ဖို့မှာထားကြောင်း တစ်ခုခု မှားယွင်းနေကြောင်း အခြားရက်တွင်လည်း မလာနိုင်ကြောင်း အခြားနေရာတစ်ခုသို့ ခရီးထွက်ဖို့ရှိကြောင်း ညည်းတွားလိုက်ပြီး တာဝန်ရှိဝန်ထမ်းအား အကူအညီတစ်ခုတောင်းလိုက်ပါတယ်။ ကျွှန်တော့်ကို တစ်ခုကူညီနိုင်မလား အခုဦးဖြူအတွက် ပစ္စည်းစာရင်းကို USB နဲ့ ထည့်ထားတယ် အဲ့ဒါကို ထားခဲ့လိုက်မယ်။ နောက်မှ ကျွှန်တော်ဦးဖြူဆီလှမ်းပြီးဖုန်းဆက်လိုက်မယ်။ ဆက်ဆက်ပေးရန်လည်း မှာကြားခဲ့ပါတယ်။ တိုက်ခိုက်သူမှ ပေးထားခဲ့သော USB ထဲတွင် ဖိုင်များနှင့်အတူ Malicious Payloads များကိုပါ ထည့်သွင်းထားပါတယ်။ အကယ်၍ ဦးဖြူမှ ဖိုင်များကို ဖွင့်လိုက်မည် ဆိုပါက ထို Malicious Payloads များသည် အလုပ်လုပ်သွားပြီး ဦးဖြူ၏ ကွန်ပြူတာတစ်ခုလုံးကို ထိန်းချူပ်နိုင်သွားပြီး အထဲမှ အရေးကြီးအချက်အလက်များကို ရယူကာ စီးပွားရေးလုပ်ငန်းတစ်ခုလုံးကို ထိခိုက်အောင် သို့မဟုတ် ကမောက်ကမဖြစ်အောင် လုပ်နိုင်စွမ်း ရှိသွားမည် ဖြစ်သည်။ BinGo!!!! နောက်ဆုံးမှာတော့ ကုမ္ပဏီတစ်ခုအား တိုက်ခိုက်နိုင်သွားမည် ဖြစ်ပါသည်။
တိုက်ခိုက်နည်းကို ခွဲခြမ်း စိတ်ဖြာရမယ်ဆိုရင် ပထမဆုံးအပိုင်းမှာ Passive Reconnaissance ဟုခေါ်သော သားကောင်အား ထောက်လှမ်းသည့်အပိုင်းကို မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။ ထိုအပိုင်းတွင် သားကောင်၏ အပြုအမှူ အလေ့အကျင့် လှူပ်ရှားသွားလာပုံ လုပ်ငန်းအမျိုးအစား ပါဝင်သည့် ကုန်ပစ္စည်းများ စတာတွေကို ထောက်လှမ်းပါတယ်။ ဒုတိယအဆင့်အနေဖြင့် Active Reconnaissance ဟုခေါ်သော ထောက်လှမ်းသည့်အပိုင်းတွင် သားကောင်အား မတော်တဆ နည်းလမ်းဖြင့် တမင်တကာ တွေ့ဆုံအောင် ဖန်တီးလိုက်ပြီး သားကောင်၏ ကိုယ်ရေး အချက်အလက်များကို ထပ်မံ ထောက်လှမ်းပါတယ်။ ထိုထောက်လှမ်းမှူ့တွင် သားကောင်၏ လက်ကိုင်ဖုန်းနံပါတ် တပတ်အတွင်းအစီအစဉ် ခရီးစဉ် စတာတွေကို ထောက်လှမ်းပါတယ်။
ထိုသို့ထောက်လှမ်းပြီးသောအခါ Scanning နည်းလမ်းဖြင့် သားကောင်သည် အမှန်တကယ်ရုံးတွင် ရှိ/မရှိကို ဖုန်းဆက်ပြီး လှမ်းမေးပါတယ်။ ထို့နောက် Exploiting နည်းလမ်းဖြင့် တိုက်ခိုက်မည့် USB အား ပေးထားခဲ့ပါတယ်။ သားကောင်မှ ထို USB အား ဖွင့်လိုက်သည့်အခါ Gain Access ဆိုသည့် နောက်ဆုံးအဆင့် သားကောင်အား လုံးဝ ထိန်းချူပ်ခွင့် ရရှိသည့် အနေအထားကို မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။
အထက်ဖော်ပြပါ ဖြစ်စဉ်ကို လေ့လာကြည့်မည်ဆိုပါက တိုက်ခိုက်သူများသည် Social Engineering Method ကို ကျွှမ်းကျင် ပိုင်နိုင်စွာ အကွက်ကျကျ စီမံသွားသည်ကို မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။ လွယ်မယောင်နှင့်ခက် တိမ်မယောင်နှင့် နက်ဆိုသကဲ့သို့ ဖော်ပြပါနည်းလမ်းသည်လည်း လွယ်ကူသည်ဟု ထင်ရသော်လည်း ခက်ခဲ့သည့်အပိုင်းများရှိပါတယ်။ အဆိုပါနည်းလမ်းဖြင့် ယနေ့တိုင် တိုက်ခိုက်ခံနေရသော ကုမ္ပဏီပေါင်းများစွာ ကမ္ဘာတဝှမ်းမှာ ရှိပါတယ်။ မြန်မာနိုင်ငံမှာတော့ Hacking နည်းပညာဖြင့် တိုက်ခိုက်ခံရသည့် သတင်းမကြားမိသေးပါဘူး။ သို့သော် များမကြာခင် မဝေးတော့သည့် အနာဂတ်တွင် ဖြစ်လာနိုင်စရာရှိပါသည်။
တိုက်ခိုက်နည်းများသည် နေ့စဉ်နှင့်အမျှ အသစ်အသစ်များ ပေါ်ပေါက်လျှက်ရှိပါသည်။ ယခုနည်းလမ်းသည် တိုက်ခိုက်နည်းပေါင်း များစွာထဲမှ တစ်ခုဖြစ်သည်။ တိုက်ခိုက်သူများသည် အခြေအနေ နှင့် အချိန်အခါကို ကောင်းစွာ နားလည် သဘောပေါက်သူများဖြစ်သည် မည်သည့် နေရာ မည်သည့် အချိန် မည်သည့် အခြေအနေ မျိုးတွင် တိုက်ခိုက်သင့်သည်ကို သိရှိထားကြပြီး သေချာ စံနစ်တကျ အကွက်ကျကျ တိုက်ခိုက်တတ်ကြပါသည်။ ထို့အပြင် ဟန်ဆောင်ကောင်းသူများလည်း ဖြစ်ကြပါတယ်။ Social Engineering နည်းဖြင့် တိုက်ခိုက်သည့်အခါ ဟန်ပန်သည် အလွန်အရေးကြီးပါတယ်။ တဖက်မှ မရိပ်မိစေရန်အတွက် အထူးသတိထားရန် လိုအပ်ပါတယ်။
ကာကွယ်နည်းကတော့ - အလွယ်တကူ မယုံပါနှင့် ကွန်ပြူတာတိုင်း ၊ System တိုင်း ၊ Network တိုင်းတွင် Antivirus, Firewall စသည်တို့ဖြင့် ကာကွယ်ထားပါ။ ဝန်ထမ်းများ၏ နည်းပညာပိုင်းဆိုင်ရာ လုံခြုံရေးအသိများကို မြှင့်တင်ပါ။ ကုမ္ပဏီများ၏ အဝင် အထွက်နေရာများနှင့် အရေးကြီးသော နေရာများတွင် CCTV ကင်မရာများ တပ်ဆင်ထားပါ။
တိုက်ခိုက်မည့်သူများသည် သားကောင်ကို အမြဲတမ်း ရှာဖွေ စောင့်ကြည့်နေလေ့ရှိပါသည်။ ကျွှမ်းကျင်သော တိုက်ခိုက်သူများသည် အချိန်ယူလေ့လာပြီး သေချာစွာ စံနစ်တကျ အစီအစဉ်ဆွဲကာ အကွက်ကျကျ တိုက်ခိုက်တတ်ကြပါသည်။ ထို့ကြောင့် မည်သည့် ကိစ္စလုပ်သည်ဖြစ်စေ အထူးဖြင့် စီးပွားရေးနှင့် ဆိုင်သော ကိစ္စရပ်များကို ပြုလုပ်သည့်အခါ သေချာစွာ စီစစ်ရင် လိုအပ်ပါသည်။
စာချစ်သူများအနေဖြင့် အထက်ပါနည်းလမ်းဖြင့် တကယ့်လက်တွေ့နယ်ပယ်တွင် တိုက်ခိုက်လို့ ရနိုင်သည် မရနိုင်သည်ကို သုံးသပ်နိုင်စေရန် နှင့် စီးပွားရေးကုမ္ပဏီများအနေဖြင့် တိုက်ခိုက်ခံရမှူ့များမှ သတိရှိရှိဖြင့် ရှောင်ရှားနိုင်စေရန် အတွက် သင်ခန်းစာတစ်ခုအနေဖြင့် ဖော်ထုတ်ရခြင်း ဖြစ်ပါတယ်။ ဖော်ပြပါ ဆောင်းပါးမှ စာချစ်သူများအတွက် ဆင်ခြင်စရာ တွေးတောစရာ သတိထားစရာများ စသည့် အချက်အလက်တွေ ပေးနိုင်လိမ့်မယ်လို့ မျှော်လင့်မိပါတယ်။ ကြုံရင်တော့ စာရေးသူကိုယ်တိုင် သင်ခန်းစာတစ်ရပ်အနေဖြင့် အမှန်တကယ့် လက်တွေ့နယ်ပယ်မှာ တိုက်ခိုက်ပြပါဦးမည်။
ကိုရီချင်
Lecturer (Information System Security)
Green Hackers Institute