အဓိကအကြောင်းအရာသို့ ကျော်သွားရန်

Phishing တိုက်ခိုက်မှုများမှ မိမိကိုယ်ကို ကာကွယ်နည်း

Phishing သည် အကောင့်များ ခိုးယူခံရသည့် အဓိကလမ်းကြောင်းဖြစ်သည်။ ခေတ်မီ phishing လုပ်ဆောင်ပုံ၊ သတိပြုရမည့်အချက်များနှင့် တိုက်ခိုက်မှုများကို တကယ်ရပ်တန့်နိုင်သည့် ကာကွယ်ရေးနည်းလမ်းများ။

နောက်ဆုံးအပ်ဒိတ်လုပ်ခဲ့သည့်ရက်: ၂၀၂၆ ဧပြီ ၁၄

အနှစ်ချုပ်

  • Phishing သည် အကောင့်ခိုးယူမှုများ၏ အဓိကအကြောင်းရင်း #1 ဖြစ်သည် — တိုက်ခိုက်သူများက သင့်ကို အတုပြုလုပ်ထားသောဝဘ်ဆိုဒ်တွင် သင်၏ credential များ ပေးမိအောင် လှည့်ဖျားသည်။
  • ခေတ်မီ phishing kit များသည် login စာမျက်နှာများကို pixel တိုင်းအသေးစိတ်ကူးယူ၍ သင်၏ 2FA ကုဒ်များကို အချိန်နှင့်တပြေးညီ proxy ပြုလုပ်သည်။
  • Hardware security key များ (YubiKey, FIDO2) သည် ဒီဇိုင်းအရ phishing ကို ခံနိုင်ရည်ရှိသော တစ်ခုတည်းသောကာကွယ်ရေးဖြစ်သည်။
  • Password manager များသည် မမှန်ကန်သော domain တွင် autofill ဖြည့်သွင်းရန် ငြင်းဆန်ခြင်းဖြင့် သင့်ကို ကာကွယ်သည်။
  • credential များ ရိုက်ထည့်မတိုင်မီ domain ကို သေချာစစ်ဆေးပြီး email ထဲမှ link မှ တဆင့် ဘယ်တော့မှ login မဝင်ပါနှင့်။

Phishing ဆိုသည်မှာ ဘာနည်း?

Phishing သည် တိုက်ခိုက်သူတစ်ဦးက တရားဝင်ဝဘ်ဆိုဒ်တစ်ခု၏ အတုကူးယူမှုကို — မကြာခဏ pixel တိုင်း အတိအကျ — ဖန်တီး၍ သားကောင်တစ်ဦးကို ထိုနေရာတွင် credential များ ရိုက်ထည့်မိအောင် လှည့်ဖျားသည့် social engineering တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ သားကောင်က form ကို submit လိုက်သည့်အချိန်တွင် တိုက်ခိုက်သူသည် username၊ password နှင့် ဒုတိယ factor များကို ဖမ်းဆီး၍ ၎င်းတို့ကို တကယ့်အကောင့်ကို စက္ကန့်ပိုင်းအတွင်း သိမ်းပိုက်ရန် အသုံးချသည်။

ဤစကားလုံးသည် အမြုတ် (ပုံမှန်အားဖြင့် email) ဖြင့် သားကောင်များကို "ငါးဖမ်း"သည့် နှိုင်းစာချက်မှ ဆင်းသက်လာသည်။ တိုက်ခိုက်သူများသည် phone number (SMS phishing သို့မဟုတ် "smishing") နှင့် ပရော်ဖက်ရှင်နယ်ပုံပေါ်သော အခြေခံအဆောက်အဦများကို မကြာခဏ အသုံးပြုကြောင်း ဖော်ထုတ်ရန် စာလုံးပေါင်းကို ပြောင်းလဲခဲ့သည်။

Phishing သည် ခြိမ်းခြောက်မှု #1 ဆက်ဖြစ်နေသည့် အကြောင်းရင်း

ယနေ့ကြီးကြီးမားမားသောအကောင့် ချိုးဖောက်မှုအများစုသည် hacking၊ password ကြမ်းတမ်းတိုက်ခြင်း သို့မဟုတ် encryption ကို ကျော်ဖြတ်ခြင်းများ မပါဝင်ပါ။ ၎င်းတို့တွင် လူတစ်ဦးက အတုဝဘ်ဆိုဒ်တွင် password ရိုက်ထည့်ခြင်းသာ ပါဝင်သည်။ Phishing သည်:

  • စားသက်သာသည် — တိုက်ခိုက်သူတစ်ဦးသည် VPS တစ်ခုနှင့် spoofed domain တစ်ခု၏ ကုန်ကျစရိတ်ဖြင့် email သန်းချီ ပို့နိုင်သည်
  • စစ်ထုတ်ရ ခက်ခဲသည် — ခေတ်မီ kit များသည် domain များကို လှည့်ကာ တရားဝင်ဟောက်တင်ကို အသုံးပြု၍ filter များကို အချိန်နှင့်တပြေးညီ ပြောင်းလဲသည်
  • ထိရောက်သည် — လုံခြုံရေးကို သိနားလည်သောသုံးစွဲသူများပင် ကောင်းစွာဖန်တီးထားသော တစ်ဦးချင်းပစ်မှတ်ထားသောကြိုးပမ်းမှုများ (spear phishing) ကို ကျရှုံးကြသည်
  • ကျယ်ပြန့်နိုင်သည် — တစ်ခုတည်းသောအောင်မြင်သော phish သည် password ပြန်သုံးမှုကြောင့် ချိတ်ဆက်ထားသောဝန်ဆောင်မှုဒါဇင်များဆီ ဝင်ရောက်ခွင့် ရစေတတ်သည်

၂၀၂၄ ခုနှစ် Verizon Data Breach Investigations Report တွင် phishing သည် ချိုးဖောက်မှုအားလုံး၏ ၃၆% ကျော်တွင် ကနဦးဝင်ရောက်သည့် vector ဖြစ်သည် — အခြားတစ်ခုတည်းသောအကြောင်းရင်းကိုထက် ပို၍ ဖြစ်ကြောင်း တွေ့ရှိခဲ့သည်။

ခေတ်မီ phishing လုပ်ဆောင်ပုံ

Phishing သည် ၂၀၀၀ ပြည့်လွန်နှစ်များ၏ "Nigerian prince" email များကို အလွန်ကျော်လွန်ကာ ဖွံ့ဖြိုးတိုးတက်ခဲ့သည်။ ခေတ်မီ phishing တိုက်ခိုက်မှုတစ်ခုတွင် ပုံမှန်အားဖြင့် ပါဝင်သည်မှာ:

၁။ ယုံကြည်မှုကျသောမုဆိုးကင်း

ပုံမှန်အားဖြင့် အရေးတကြီး ("သင်၏အကောင့်ကို ဆိုင်းငံ့ပါမည်")၊ အာဏာ ("Microsoft လုံခြုံရေးအဖွဲ့") သို့မဟုတ် စိတ်ဝင်စားမှု ("တစ်စုံတစ်ဦးက သင့်ကို ဓာတ်ပုံတွင် tag တပ်ခဲ့သည်") ကို ဖန်တီးသည့် email၊ စာသား သို့မဟုတ် chat မက်ဆေ့ချ်တစ်ခု။ Spear-phishing သည် LinkedIn၊ ချိုးဖောက်မှုဒေတာများ သို့မဟုတ် ယခင်ပတ်သက်မှုများမှ ရယူသောကိုယ်ရေးကိုယ်တာ အချက်အလက်များဖြင့် ဤနည်းကို ပိုမိုသက်ရောက်မှုရှိစေသည်။

၂။ Pixel တိုင်းအသေးစိတ်သောအတုဆိုဒ်

တိုက်ခိုက်သူများသည် ပစ်မှတ်ဆိုဒ်၏ HTML, CSS နှင့် JavaScript ကို ကူးယူသော အသင့်သုံး phishing kit များကို အသုံးပြုသည်။ Kit အများစုကို ဝန်ဆောင်မှုအဖြစ် (phishing-as-a-service) ဝင်ရောက်နိုင်သော dashboard များနှင့် customer support ဖြင့် ရောင်းချသည်။

၃။ 2FA အတွက် real-time proxy

အန္တရာယ်ရှိသောအပိုင်း: ခေတ်မီ kit များသည် သင်၏ password ကိုသာ ဖမ်းဆီးသည်မဟုတ်ပါ။ ၎င်းတို့သည် သင် ရိုက်ထည့်သမျှ — သင်၏ TOTP ကုဒ်အပါအဝင် — ကို တကယ့်ဆိုဒ်သို့ စက္ကန့်ပိုင်းအတွင်း ပေးပို့ကာ 2FA အများစုကို ကျော်ဖြတ်သည့် man-in-the-middle proxy အဖြစ် လုပ်ဆောင်သည်။ ဤနည်းစနစ်ကို adversary-in-the-middle (AiTM) ဟု ခေါ်ပြီး Evilginx2 နှင့် Modlishka ကဲ့သို့သောကိရိယာများတွင် အသုံးပြုသည်။

၄။ Session token ခိုးယူခြင်း

Proxy မှတဆင့် authentication ဝင်ပြီးသည့်နောက် တိုက်ခိုက်သူသည် သင်၏ session cookie ကို ဖမ်းဆီး၍ သင် password ပြောင်းပြီးနောက်ပင် logged in ဆက်နေနိုင်သည်။ ဤကြောင့် phishing တုံ့ပြန်မှုတွင် password ပြောင်းလဲခြင်းသာမက လက်ရှိ session များကို ပယ်ဖျက်ခြင်းလည်း အမြဲတမ်းပါဝင်သည်။

Phishing ကို တကယ်ရပ်တန့်စေသည့်အရာ

Hardware security key များ (FIDO2 / WebAuthn)

ဤသည်မှာ ဒီဇိုင်းအရ phishing ကို ခံနိုင်ရည်ရှိသော တစ်ခုတည်းသောကာကွယ်ရေးအမျိုးအစားဖြစ်သည်။ FIDO2 key ဖြင့် login ဝင်သောအခါ သင်၏ key သည် authentication တောင်းဆိုနေသောဆိုဒ်၏ တိတိကျကျ domain ကို cryptographic အရ စစ်ဆေးသည်။ မြင်ကွင်းအရ မည်မျှပြည့်စုံသည်ဖြစ်စေ အတုဆိုဒ်တစ်ခုသည် ကွဲပြားသော domain ရှိသောကြောင့် key သည် တုံ့ပြန်ရန် ငြင်းဆန်သည်။ Cryptographic handshake သည် ရိုးရှင်းစွာပင် ပြည့်မြောက်မည်မဟုတ်ပါ။

Google သည် ၂၀၁၇ ခုနှစ်တွင် ၀န်ထမ်း ၈၅,၀၀၀ ကျော်အားလုံးအတွက် YubiKey များကို သုံးရမည်ဟု ကျော်ကြားစွာ မဖြစ်မနေ သတ်မှတ်ခဲ့ပြီး ထိုနောက်ကာလများတွင် ကုမ္ပဏီအကောင့်များပေါ်တွင် phishing တိုက်ခိုက်မှု မည်သည့်တစ်ခုမျှ အောင်မြင်ခဲ့ခြင်းမရှိဟု အစီရင်ခံခဲ့သည်။

Passkey များ

Passkey များသည် FIDO2 ၏ consumer-friendly ဆင့်ကဲပြောင်းလဲမှုဖြစ်သည်။ ၎င်းတို့သည် domain-bound cryptography တူညီသည်ကို အသုံးပြုပြီး iOS, Android, macOS နှင့် Windows တွင် ထည့်သွင်းထားသည်။ သင်အသုံးပြုသောဆိုဒ်တစ်ခုတွင် passkey ကို ပံ့ပိုးပေးပါက passkey တစ်ခုဖွင့်လှစ်ခြင်းသည် ထိုအကောင့်ကို phishing ကို ခုခံနိုင်အောင် ပြုလုပ်သည်။

Password manager များ

Password manager တစ်ခုသည် ၎င်းကို သိမ်းဆည်းထားသော တိတိကျကျ domain ပေါ်တွင်သာ credential များ autofill ဖြည့်သောကြောင့် သင်၏ ဒုတိယကာကွယ်ရေးလိုင်းဖြစ်သည်။ paypal.com အစား paypaI.com (capital I) ပေါ်ရောက်နေပါက သင်၏ manager သည် form ကို ဖြည့်ရန် တိတ်ဆိတ်စွာ ငြင်းဆန်မည်။ ထိုငြင်းဆန်မှုသည် တစ်ခုခုမှားနေသည်ဟူသော ကြီးမားသောသတိပေးချက်ဖြစ်သည်။

Email နှင့် DNS စစ်ထုတ်ခြင်း

Email provider များသည် spoofed ပေးပို့သူလိပ်စာများကို ရှာဖွေတွေ့ရှိရန် DMARC, SPF နှင့် DKIM ကို အသုံးပြုသည်။ ခေတ်မီ provider အများစုသည် ထင်ရှားသောကြိုးပမ်းမှုများကို ဖမ်းဆီးသည်၊ သို့သော် တစ်ဦးချင်းပစ်မှတ်ထားသောတိုက်ခိုက်မှုများမှာ ဆက်ဖြတ်သန်းသည်။ Filter များ တိုးတက်ကောင်းမွန်အောင် ကူညီနိုင်ရန် သင်၏ mail client ထဲတွင် "report phishing" ခလုတ်ကို ဖွင့်ပါ။

သတိပြုရမည့် သတိပေးနိမိတ်လက္ခဏာများ

Login ဝင်ရန်၊ စစ်ဆေးရန် သို့မဟုတ် အရေးတကြီး ဆောင်ရွက်ရန် တောင်းဆိုသောမက်ဆေ့ချ်တစ်ခု ရောက်လာသောအခါ:

  • အရေးပေါ်မှုနှင့် ခြိမ်းခြောက်မှု — "သင်၏အကောင့်ကို ၂၄နာရီအတွင်း ပိတ်သိမ်းပါမည်"
  • ယေဘုယျနှုတ်ဆက်မှု — သင်၏နာမည်အစား "ချစ်သောဖောက်သည်"
  • ဆင်တူသောDomain များpaypaI.com، app1e.com، secure-microsoft-login.net
  • မမျှော်လင့်သော attachment များ — အထူးသဖြင့် ကြည့်ရှုရန် login ဝင်ရန် တောင်းဆိုသော .zip، .html သို့မဟုတ် .pdf ဖိုင်များ
  • သဒ္ဒါ သို့မဟုတ် ဖော်မတ်မှားခြင်း — ကြီးမားသောကုမ္ပဏီများသည် ၎င်းတို့၏ email များကို proofread ပြုလုပ်သည်
  • Link မကိုက်ညီမှု — link ပေါ်တွင် cursor ကိုရွှေ့ပြီး ဦးတည်ရာသည် စာသားနှင့် ကိုက်ညီမကိုက်ညီ စစ်ဆေးပါ

တစ်ခုခုမပြည့်မမှေ့ဟုခံစားရပါက email ကို ပိတ်ပါ။ ဆိုဒ်သို့ ကိုယ်တိုင်သွားပါ။ တကယ့်ပြဿနာတစ်ခုရှိပါက သင်၏ပုံမှန်လုပ်ငန်းစဉ်မှတဆင့် login ဝင်သောအခါ ၎င်းကို တွေ့ပါလိမ့်မည်။

ကျရှုံးသွားပါက မည်သို့ ပြုလုပ်ရမည်နည်း

မြန်မြန်ဆန်ဆန် ဆောင်ရွက်ပါ — တိုက်ခိုက်သူများသည် မိနစ်ပိုင်းအတွင်း credential များကို အသုံးပြုရန် စတင်သောကြောင့် အချိန်သည် အရေးကြီးသည်။

  1. ချက်ချင်း password ပြောင်းလဲပါ အခြားစက်ပစ္စည်းတစ်ခုတွင် (ဥပမာ laptop တွင် ကျရှုံးပါက သင်၏ phone ကို အသုံးပြုပါ)
  2. လက်ရှိ session အားလုံးကို ပယ်ဖျက်ပါ အကောင့်ဆက်တင်တွင် — ဒါသည် ခိုးယူထားသော session token များကို လက်ရှိအသုံးပြုနေသူများကို ထုတ်ပစ်သည်
  3. 2FA ကိုဖွင့်ပါ မဖွင့်ရသေးပါက၊ ဖြစ်နိုင်ပါက hardware key သို့မဟုတ် passkey ကို အသုံးပြုပါ
  4. ခွင့်ပြုချက်မရှိသောလှုပ်ရှားမှုများ စစ်ဆေးပါ — ပေးပို့ထားသော email များ၊ မကြာသေးမီ login များ၊ ငွေကြေးဆိုင်ရာပြောင်းလဲမှုများ၊ ၀င်လာသောmail ကို အလိုအလျောက်ပေးပို့သည့် rule အသစ်များ
  5. ထိခိုက်ခံရသောအဖွဲ့အစည်းကို အကြောင်းကြားပါ ငွေကြေး သို့မဟုတ် အလုပ်ဆိုင်ရာ အကောင့်ဖြစ်ပါက
  6. Password တူညီသောအကောင့်အခြားများကို စစ်ဆေးပါ — password ကို ပြန်မသုံးဟု သေချာပါသော်လည်း စစ်ဆေးပါ

နိဂုံးချုပ်

Phishing သည် နည်းပညာကို ကျော်ဖြတ်ကာ လူများကို ပစ်မှတ်ထားသောကြောင့် ကြီးပွားနေသည်။ အကောင်းဆုံးကာကွယ်ရေးများသည် သုံးဆင့်ကို ရောစပ်သည်: password manager များ (မမှန်ကန်သော domain တွင် autofill ဖြည့်ရန် ငြင်းဆန်သည်)၊ phishing ကို ခုခံနိုင်သော 2FA (တကယ့် domain နှင့် ချည်နှောင်ထားသော hardware key သို့မဟုတ် passkey များ) နှင့် ကျိုးကြောင်းဆင်ခြင်တတ်သောသံသယ (email link မှတဆင့် ဘယ်တော့မှ login မဝင်ခြင်း)။

ဤသုံးမျိုးအားလုံးကို သင်၏ အရေးအကြီးဆုံးအကောင့် — သင်၏ email — တွင် ဦးစွာ ဖွင့်ပါ။ ထိုနေရာမှ သင်၏ကျန်ရှိသောဒစ်ဂျစ်တယ်ဘဝသည် သိသာထင်ရှားစွာ ပိုမိုလုံခြုံလာမည်ဖြစ်သည်။

Phishing မှ မိမိကိုယ်ကို ကာကွယ်နည်း

သင်၏အကောင့်များကို phishing တိုက်ခိုက်မှုများကို ခုခံနိုင်အောင် ခိုင်မာစေရန် လက်တွေ့ကျကျ အစဉ်လိုက် checklist တစ်ခု။

  1. Password manager တစ်ခု အသုံးပြုပါ:ယုံကြည်ရသော password manager တစ်ခု (1Password, Bitwarden, Proton Pass) ထည့်သွင်းပြီး credential များကို autofill ဖြင့် ဖြည့်သွင်းပါ။ ၎င်းသည် ဆင်တူသောမည်သည့် domain ပေါ်တွင်မဆို autofill ဖြည့်ရန် ငြင်းဆန်မည်ဖြစ်ပြီး သင့်ထံ built-in phishing ရှာဖွေရေးစနစ်တစ်ခု ရောက်ရှိလာသည်။
  2. Phishing ကို ခုခံနိုင်သော 2FA ကို ဖွင့်ပါ:သင်၏ အရေးအကြီးဆုံးအကောင့်များ — email ကို ဦးစွာ၊ ထို့နောက် ဘဏ်၊ cloud storage နှင့် password manager — တွင် FIDO2 hardware key (YubiKey, Google Titan) သို့မဟုတ် passkey တစ်ခု ထပ်ထည့်ပါ။ ခေတ်မီ phishing ကို တကယ်ရပ်တန့်နိုင်သော 2FA နည်းလမ်းများမှာ ဤတို့သာဖြစ်သည်။
  3. Email link များမှ တဆင့် ဘယ်တော့မှ login မဝင်ပါနှင့်:Login ဝင်ရန် တောင်းဆိုသည့် email တစ်ခု ရောက်လာသောအခါ email ကို ပိတ်ပြီး bookmark သို့မဟုတ် URL ရိုက်ထည့်ခြင်းဖြင့် ဆိုဒ်သို့ ကိုယ်တိုင်သွားပါ။ Email ထဲမှ link သည် ပြီးပြည့်စုံသောကူးယူမှုဖြစ်နိုင်သည်၊ သို့သော် သင်၏ ဘရောက်ဇာ bookmark သည် မဟုတ်ပါ။
  4. ရိုက်ထည့်မတိုင်မီ domain ကို သေချာစစ်ဆေးပါ:Password တစ်ခုခု ထည့်သွင်းမတိုင်မီ address bar ထဲရှိ URL အပြည့်အစုံကို ကြည့်ပါ။ HTTPS ရှိမရှိ၊ မှန်ကန်သောဟဲပုံနှင့် `paypal.com.secure-login.net` ကဲ့သို့ ပိုမိုသော subdomain များ မပါဝင်ကြောင်း စစ်ဆေးပါ။
  5. အစီရင်ခံပြီး ဆက်လက်သွားပါ:Phishing ကြိုးပမ်းမှုကို သင်၏ email provider ထံ အစီရင်ခံပါ (အများစုတွင် "Report phishing" ခလုတ်ရှိသည်)။ ထို့နောက် သင်၏နေ့ကို ဆက်လက်လုပ်ဆောင်ပါ — phishing သည် သင် ကျရှုံးမှသာ အန္တရာယ်ရှိပြီး သတိထားတတ်ခြင်းသည် တိုက်ပွဲ၏ အများဆုံးဖြစ်သည်။

မကြာခဏမေးလေ့ရှိသောမေးခွန်းများ