സോഷ്യല്‍ എന്‍ജിനീയറിങ് തട്ടിപ്പ്

കമ്പ്യൂട്ടര്‍ വിദഗ്ധരും പൊലീസും ആവതു ശ്രമിച്ചിട്ടും ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പിന്‍െറ വ്യാപ്തി കൂടിവരികയാണ്. പുതിയ വഴികളിലൂടെ തട്ടിപ്പുകാരും അതിനെ പിന്തുടര്‍ന്ന് പിടിക്കാന്‍ കമ്പ്യൂട്ടര്‍ വിദഗ്ധരും പൊലീസും രംഗത്തുണ്ട്. ഈ ‘കള്ളനും പൊലീസും’ കളിയില്‍ തോല്‍ക്കുന്നത് പലപ്പോഴും കമ്പനികളും വ്യക്തികളുമാണ്. കോടിക്കണക്കിനു രൂപ നഷ്ടപ്പെടുന്നതും അവര്‍ക്കാണ്.

തട്ടിപ്പ് തടയാന്‍ നല്ല വഴികള്‍ തെരഞ്ഞെടുക്കാന്‍ കഴിയാത്തതിന് കാരണം കമ്പ്യൂട്ടര്‍ വൈദഗ്ധ്യം നേടുന്നതില്‍ തട്ടിപ്പുകാര്‍ ഒരിക്കലും പിന്നിലല്ല എന്നുള്ളതാണ്.

മനുഷ്യര്‍ കാര്യങ്ങള്‍ കൈകാര്യം ചെയ്യുന്നിടത്തോളം കാലം സോഷ്യല്‍ എന്‍ജിനീയറിങ് ഉപയോഗിച്ചുള്ള തട്ടിപ്പുകള്‍ അരങ്ങേറും. എന്‍ക്രിപ്ഷന്‍, ഫയര്‍വാള്‍, വിപിഎന്‍, ഐഡിഎസ് എന്നീ സാങ്കേതികവിദ്യകള്‍ ഉപയോഗിച്ചോ ആയുധധാരികളെ നമ്മുടെ സെര്‍വറിന് കാവല്‍ നിര്‍ത്തിയോ തടയാന്‍ കഴിയാത്തതാണ് സോഷ്യല്‍ എന്‍ജിനീയറിങ് തട്ടിപ്പുകള്‍. ഓണ്‍ലൈന്‍ ആണെങ്കിലും അല്ളെങ്കിലും ഈ ഭീഷണി നിലനില്‍ക്കുന്നു. കാരണം, ഇവിടെ മനുഷ്യന്‍െറ ദൗര്‍ബല്യമാണ് ഉപയോഗപ്പെടുത്തുന്നത്. സോഷ്യല്‍ എന്‍ജിനീയറിങ് ലക്ഷ്യമിടുന്നത് മനുഷ്യരെയാണ്. അടിസ്ഥാനപരമായി മനുഷ്യന്‍ ആണ് വിവര സുരക്ഷാവ്യവസ്ഥയിലെ ഏറ്റവും ദുര്‍ബലമായ കണ്ണി.

എന്താണ് സോഷ്യല്‍ എന്‍ജിനീയറിങ്?

മനുഷ്യരെ പറ്റിച്ച് (കമ്പ്യൂട്ടര്‍ ഉപയോഗിച്ചോ അല്ലാതെയോ) വിവരങ്ങള്‍ കൈക്കലാക്കി സ്വന്തം താല്പര്യങ്ങള്‍ക്ക് ഉപയോഗിക്കലിനെയാണ് സോഷ്യല്‍ എന്‍ജിനീയറിങ് എന്ന് പറയുന്നത്. ഇന്‍റര്‍നെറ്റ് തട്ടിപ്പുമായി ബന്ധപെട്ടു ആദ്യമായി ഈ പദം ഉപയോഗിച്ചത് കെവിന്‍ മിത്നിക് (Kevin Mitnick) ആണ്. സാങ്കേതികവിദ്യ ഉപയോഗിക്കാതെ മനുഷ്യര്‍ പരസ്പരം ഫോണിലൂടെയോ, ഇമെയിലിലൂടെയോ നേരിട്ടോ സംസാരിച്ച് പാസ്വേര്‍ഡ്, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍ തുടങ്ങിയ സമ്പാദിച്ച് അതുപയോഗിച്ചു നേട്ടമുണ്ടാക്കാന്‍ ശ്രമിക്കുക. ഒരാളുടെ പാസ്വേര്‍ഡ്, ലോഗിന്‍ വിവരങ്ങള്‍, ഐഡന്‍റിറ്റി വിവരങ്ങള്‍, ബാങ്ക് വിവരങ്ങള്‍ എന്നിവ മറ്റൊരാള്‍ക്ക് കൈക്കലാക്കാം. ഒന്നുകില്‍ അയാളുമായി നേരിട്ട് സംസാരിച്ച്്, ഫോണില്‍ ബന്ധപ്പെട്ട്, ഇമെയിലില്‍ കിട്ടുന്ന മറുപടിയിലൂടെ, അയാളുടെ ചവറ്റു കുട്ട പരതുന്നതിലൂടെ. ഇതെല്ലാം സോഷ്യല്‍ എന്‍ജിനീയറിങ് വിഭാഗത്തില്‍പെടുന്നു.

കെവിന്‍ മിത്നിക് പരീക്ഷിച്ചു വിജയിച്ച ഒരുദാഹരണം ശ്രദ്ധിക്കുക:

വെറും പതിനഞ്ച് വയസ്സുള്ളപ്പോള്‍, മിത്നിക് സോഷ്യല്‍ ഐന്‍ജിനീയറിങ്ങിലേക്ക് വലതു കാല്‍വെച്ചുകയറി. ലോസ് ഏഞ്ചലസിലൂടെ സൗജന്യ യാത്ര ആയിരുന്നു ലക്ഷ്യം. അവിടെ ബസുകളില്‍ പഞ്ച് കാര്‍ഡ് സിസ്റ്റം ആയിരുന്നു. സ്നേഹിതനായ ഒരു ബസ് ഡ്രൈവര്‍ പറഞ്ഞതനുസരിച്ച് എവിടുന്നാണ് ബസ് ടിക്കറ്റ് കിട്ടുകയെന്ന് മിത്നിക് മനസിലാക്കി. ചവറ്റുകുട്ടയില്‍ ഉപേക്ഷിക്കപ്പെട്ട നിലയില്‍ കണ്ടത്തെിയ ട്രാന്‍സ്ഫര്‍ സ്ളിപ്പുകള്‍് ഉപയോഗിച്ച് ലോസ് ഏഞ്ചലസില്‍ എവിടെയും ബസ്സില്‍ യാത്ര ചെയ്യുവാനുള്ള സൗകര്യം നേടിയെടുത്തു മിത്നിക് എന്നാ വിരുതന്‍.

മറ്റൊരു ഉദാഹരണം:

ഒരു കമ്പനിയുടെ രഹസ്യ വിവരങ്ങള്‍ മിത്നിക് സമ്പാദിച്ചത് ഏതാനും ഫോണ്‍കോളുകളിലൂടെയായിരുന്നു. ഒരു കമ്പ്യൂട്ടര്‍ വിദഗ്ധന്‍ ആയി ചമഞ്ഞ് ഇയാള്‍ ഫോണില്‍ വിവരങ്ങള്‍ ചോദിച്ചുവാങ്ങി. അതുപയോഗിച്ചു കാശുണ്ടാക്കിയെങ്കിലും പിടിയിലായി ശിക്ഷിക്കപ്പെടുകയും ചെയ്തു എന്നത് വേറെ കാര്യം.

മിത്നിക് തന്‍െറ ‘GHOST IN THE WIRES’ എന്നാ പുസ്തകത്തില്‍ പറയുന്നത് : പല വേഷങ്ങള്‍ അണിഞ്ഞ് പലരുമായും ഫോണില്‍ ബന്ധപ്പെടുന്നു. ചിലപ്പോള്‍ സുരക്ഷാ ഉപദേശകനായി, മറ്റു ചിലപ്പോള്‍ കമ്പനി ഉപദേശകനായി. ബുദ്ധിമുട്ടില്ലാതെ കമ്പനി നെറ്റ്വര്‍ക്കില്‍ പ്രവേശം ലഭിക്കുന്നു. ഈ പണി ഇപ്പോഴും മിത്നിക് ചെയ്യന്നു. സ്വന്തം penetration testing കമ്പനിക്ക് വേണ്ടി ഒരു എത്തിക്കല്‍ ഹാക്കറുടെ റോളിലാണെന്നു മാത്രം.

NIGERIAN 419 SCAM

ഇന്‍റനെറ്റുമായി ബന്ധപ്പെട്ടവരൊക്കെ അറിഞ്ഞിട്ടുണ്ടാവും NIGERIAN 419 SCAM എന്നറിയപ്പെടുന്ന തട്ടിപ്പ്. നൈജീരിയന്‍ പീനല്‍കോഡില്‍ ഇത്തരം തട്ടിപ്പുകളെ നേരിടാനുള്ളതാണ് 419 വകുപ്പ്. ഏതെങ്കിലും രാജ്യത്തെ ഒരു വി.ഐ.പി അല്ളെങ്കില്‍ സൈന്യത്തില്‍ ആയിരുന്ന ഭര്‍ത്താവു മരിച്ചു. എന്‍െറ കൈയില്‍ ഒരുപാടു കാശുണ്ട്, രാജ്യത്തെ പ്രശ്നങ്ങല്‍ക്കിടയില്‍ ഇത് സുരക്ഷിതമായി വെക്കാന്‍ പറ്റാത്തതിനാല്‍ നിങ്ങളുടെ ബാങ്ക് അക്കൗണ്ടിലേക്ക് മാറ്റാന്‍ ആഗ്രഹിക്കുന്നു. അതിനാല്‍ നിങ്ങളുടെ ബാങ്ക് വിവരങ്ങള്‍ അയച്ചുതരുവാന്‍ താല്‍പര്യപ്പെടുന്നു. നമ്മള്‍ വിശ്വസിച്ച് ബാങ്ക് വിവരങ്ങള്‍ കൈമാറുന്നു. കുറച്ചു ദിവസങ്ങള്‍ക്കു ശേഷം പണം കൈമാറാന്‍ പ്രോസസിങ് ഫീസ് ആയി ഒരു നിശ്ചിത തുക അടക്കാന്‍ അവശ്യപ്പെടുന്നു. വളരെ വിശ്വസനീയമായ രീതിയില്‍ (നമ്മള്‍ അവശ്യപ്പെടുന്ന ബാങ്ക് സ്റ്റേറ്റ്മെന്‍റ്, പാസ്പോര്‍ട്ടിന്‍െറ കോപ്പി, മരണ സര്‍ട്ടിഫിക്കറ്റ്, ജനന സര്‍ട്ടിഫിക്കറ്റ്, മാര്യേജ് സര്‍ട്ടിഫിക്കറ്റ് തുടങ്ങിയവ അയച്ചുതന്നു) നമ്മളെ ഇമെയില്‍ വഴിയോ ഫോണിലൂടെയോ വീഴ്ത്തുന്നു. നമ്മള്‍ ഈ ചതിയില്‍ പെടുന്നു. പ്രോസസിങ് ഫീസ് കിട്ടിയാല്‍ പിന്നെ തട്ടിപ്പുകാരുടെ പൊടിപോലും കാണില്ല. ആദ്യം പോസ്റ്റ് ഓഫിസിലൂടെയും പിന്നീട് ഫാക്സിലൂടെയും അരങ്ങേറിയ തട്ടിപ്പാണ് NIGERIAN 419 SCAM. 'പ്രോസസിങ് ഫീസിലൂടെയാണ് ഈ വിരുതന്മാര്‍ കാശുവാരുന്നത്.

മറ്റൊരു ഉദാഹരണം:

അടുത്ത സുഹൃത്തില്‍ നിന്ന് നിങ്ങള്‍ക്ക് ഇങ്ങനെ ഒരു ഇമെയില്‍ ലഭിക്കുന്നു- ‘ഞാന്‍ ഒരു വിദേശ യാത്രയില്‍ ആയിരുന്നു എന്‍െറ പണവും മറ്റ് രേഖകളും നഷ്ടപ്പെട്ട് ഞാന്‍ ഹോട്ടലില്‍ കുടുങ്ങി. കുറച്ചുപണം പറയുന്ന അക്കൗണ്ടിലേക്ക് അയച്ചുതരിക’. നിങ്ങളുടെ സുഹൃത്തിന്‍െറ ഇമെയില്‍ അഡ്രസില്‍നിന്നാകും മെയില്‍വരിക. ഇമെയില്‍ അയക്കുന്നതിനു മുമ്പ് നിങ്ങളെയും സുഹൃത്തിനെയും കുറിച്ച് തട്ടിപ്പുകാര്‍ വിശദമായി പഠിക്കുന്നു. ഫ്രം അഡ്രസ് കൃത്രിമമായി ഉണ്ടാക്കി ഇമെയില്‍ അയക്കുവാന്‍ ധാരാളം ടൂളുകളും ലഭ്യമാണ്.

അതുപോലെ, സുരക്ഷ വര്‍ധിപ്പിക്കുന്നതിന്‍െറ ഭാഗമായി നിങ്ങളുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ ആവശ്യപ്പെട്ട് നിങ്ങളുടെ ബാങ്കില്‍നിന്ന് ഒരു ഇമെയില്‍ ലഭിക്കുന്നു. ഒറ്റ നോട്ടത്തില്‍ ബാങ്കിന്‍െറവെബ്സൈറ്റ് പോലെതത്തെ. വിവരങ്ങള്‍ കൊടുക്കുന്നതോടെ നിങ്ങളുടെ അക്കൗണ്ട് കാലിയാകാനുള്ള സാധ്യത ഏറെയാണ്. കാരണം www.bankofamerica.comഉം www.bank0famerica.comഉം അത്ര പെട്ടെന്ന് തിരിച്ചറിയില്ല. ഇവിടെ രണ്ടാമെതെ URL ഇല്‍ ‘o’ എന്ന അക്ഷരത്തിനു പകരം സീറോ (0) ആണ് ഉപയോഗിച്ചത്. ഇത്തരം തട്ടിപ്പുകളില്‍പ്പെടാതിരിക്കാന്‍ ബാങ്കുകള്‍ നിരന്തരം എസ്എംഎസ് വഴിയും ഇമെയില്‍ വഴിയും നമ്മള്‍ക്ക് മുന്നറിയിപ്പ് നല്‍കുന്നുണ്ട്. ഒരിക്കലും ബാങ്കുകള്‍ വ്യക്തിഗത വിവരങ്ങള്‍ ഇമെയില്‍ വഴിയോ എസ്എംഎസ് വഴിയോ ആവശ്യപ്പെടില്ല.

ഒന്നുകൂടി, നെറ്റിലൂടെ പണമടക്കാന്‍ സഹായിക്കുന്ന PAYPAL നിങ്ങളെ അറിയിക്കുന്നു: നിങ്ങളുടെ വ്യക്തിപരമായ കാര്യങ്ങള്‍ റീ-കണ്‍ഫേം ചെയ്യണമെന്ന്. Paypalന്‍െറ വെബ്സൈറ്റ് പോലെ തോന്നിക്കുന്ന പേജില്‍ നിങ്ങള്‍ വിവരങ്ങള്‍ കൊടുക്കുമ്പോള്‍ അത് ചെന്നുചേരുന്നത് വിരുതന്മാരുടെ പക്കലായിരിക്കും. ബാങ്ക് അക്കൗണ്ട് നമ്പര്‍ കിട്ടിയാലുടെനെ നിങ്ങള്‍ക്ക് ഒരു മെസേജ് കിട്ടുന്നു: നിങ്ങളുടെ ബാങ്ക് അക്കൗണ്ട് സസ്പെന്‍ഡ് ചെയ്തിരിക്കുന്നു (യഥാര്‍ഥത്തില്‍ ഒന്നും സംഭവിച്ചിട്ടില്ല!) വ്യക്തിപരമായ വിവരങ്ങള്‍ കൈമാറിയാലേ സസ്പെന്‍ഡ് ചെയ്യപ്പെട്ട അക്കൗണ്ട് തിരികെ കിട്ടുകയുള്ളൂ എന്ന്.

കമ്പനി ജോലിക്കാരുടെ ഐഡന്‍റിറ്റി കാര്‍ഡ് കൃതിമമായി ഉണ്ടാകി പ്രവേശം നേടുന്നതും സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ ഭാഗമാണ്. ഐഡന്‍റിറ്റി കാര്‍ഡ് എടുക്കാന്‍ മറന്നുപോയി എന്ന് നിങ്ങളുടെ സഹപ്രവര്‍ത്തകനെ വിശ്വസിപ്പിച്ചഎ അയാള്‍ തുറന്നുപിടിച്ച വാതിലിലൂടെ അകത്തുകടക്കുന്നത് ഇതിന്‍െറ ഭാഗം തന്നെ. ഇത് Tailgating എന്ന് അറിയപ്പെടുന്നു.

നിങ്ങളുടെ പാര്‍ക്കിങ് സ്ഥലത്ത് ഒരു യുഎസ്ബി പെന്‍ഡ്രൈവ് വീണുകിടക്കുന്നത് കണ്ടാല്‍ നിങ്ങള്‍ എന്തു ചെയ്യും? അതെടുക്കും. അതിനകത്ത് എന്താണെന്നറിയാന്‍ കമ്പനിയുടെ കമ്പ്യൂട്ടര്‍ സിസ്റ്റത്തില്‍ കുത്തിനോക്കും. ഒന്നുകില്‍ മനുഷ്യസഹജമായ ജിജ്ഞാസ കൊണ്ട്, അല്ളെങ്കില്‍ല്‍ ആരുടെതാണെന്ന് കണ്ടത്തെി തിരിച്ചുകൊടുക്കുവാന്‍. ഏതായാലും കമ്പനിയുടെ വിവരങ്ങള്‍ചോര്‍ത്താന്‍ ആവശ്യമായ സംവിധാനങ്ങള്‍ നിങ്ങള്‍ പെന്‍ഡ്രൈവ് കണക്ട് ചെയ്തപ്പോള്‍ പ്രവര്‍ത്തനക്ഷമമാകും. സോഷ്യല്‍ എന്‍ജിനീയര്‍മാര്‍ ബോധപൂര്‍വം ഉപക്ഷിക്കുന്ന ഇത്തരം യുഎസ്ബികളില്‍ പാസ്വേര്‍ഡ് മോഷണ പ്രോഗ്രാമുകളും മാല്‍വെയര്‍ പ്രോഗ്രാമുകളും ഉണ്ടാകാം.

നേരിട്ട് username/password ഉപയോഗിക്കുക, പ്രധാന വിവരങ്ങള്‍ അടങ്ങിയ തുണ്ട് കടലാസ്സുകള്‍ക്കു വേണ്ടി കമ്പനിയിലെ വേസ്റ്റ് ബാസ്കറ്റ് തപ്പുക, ജോലികരന്‍്റെ തോളിലൂടെ (Shoulder Surfing) നോക്കി പാസ്വേര്‍ഡ് മോഷ്ടിക്കുക, സ്വകാര്യ സംഭാഷണങ്ങള്‍ ഒളിഞ്ഞു (Evesdropping) കേള്‍ക്കുക ഇതൊക്കയാണ് സാധാരണ കണ്ടുവരുന്ന സോഷ്യല്‍ എന്‍ജിനീയറിങ് രീതികള്‍.

ജനങ്ങളുടെ നിഷ്കളങ്കതയും അവരുടെ അത്യാഗ്രഹവും പലപ്പോഴും അവരെ വലിയ കെണിയില്‍പ്പെടുത്തുന്നു.

രക്ഷാമാര്‍ഗങ്ങള്‍:

അറിയാത്തവര്‍ ഇമെയിലില്‍ അയച്ചു തരുന്ന ലിങ്കുകളില്‍ ക്ളിക്ക് ചെയ്യാതിരിക്കുക. ഒഴിച്ചുകൂടാത്ത ലിങ്കുകളുടെ typed ടെക്സ്റ്റും hyperlink ടെക്സ്റ്റും ഒരുപോലെ ആണെന്ന് ഉറപ്പുവരുത്തുക. ഇതിനായി ഇമെയിലില്‍ ഉള്ള ലിങ്കുകളില്‍ മൗസ് ചുറ്റിക്കുമ്പോള്‍ അതിന്‍െറ hyperlink text ഇമെയില്‍ വായിക്കുന്ന വിന്‍ഡോയുടെ സ്റ്റാറ്റസ് ബാറില്‍ കാണും.

നിങ്ങള്‍ക്ക് വന്ന ഇമെയില്‍ ഒരു generic addressing ( eg: Dear Account Holder) ആണെകില്‍ മറുപടി നല്‍കുംമുമ്പ്് ശ്രദ്ധിക്കുക. ഇമെയില്‍ കൂട്ട തട്ടിപ്പിന്‍െറ ഭാഗമാകാം.

ഓണ്‍ലൈന്‍ ഗെയിം കളിക്കാാന്‍ ക്ഷണിക്കുന്ന ഇമെയില്‍ ലഭിക്കുമ്പോള്‍ യഥാര്‍ഥ പേര്,പാസ്വേര്‍ഡ്, വയസ്, ജനനത്തീയതി എന്നിവ നല്‍കാതിരിക്കുക.

ഭീമമായ സംഖ്യകള്‍ വെറുതെ ആരും നിങ്ങള്‍ക്ക് തരില്ളെന്ന് ഉറച്ചു വിശ്വസിക്കുക.

താഴെ പറയുന്ന വാക്കുകള്‍ ഓര്‍ക്കുക :

verify, account, won, lottery, respond soon. സംശയകരമായ എസ്എംഎസ്, ഇമെയില്‍, ഫോണ്‍ കോള്‍ എന്നിവ വരുമ്പോള്‍ നിങ്ങളുടെ തലയില്‍ മുന്നറിയിപ്പ് അലാറം മുഴങ്ങണം. രണ്ടു പ്രാവശ്യം ചെക്ക് ചെയ്തിട്ടല്ലാതെ ഒരു മറുപടിയും കൊടുക്കാതിരിക്കുക.

സോഷ്യല്‍ എന്‍ജിനീയറിങ്ങിന്‍െറ ബുദ്ധിമുട്ടുകളും ഏറ്റവും പുതിയ സോഷ്യല്‍ എന്‍ജിനീയറിങ് വിദ്യകളും പറഞ്ഞുകൊടുത്തുo സുരക്ഷാപ്രശ്നങ്ങളില്‍ സ്വന്തമായ തീരുമാനമെടുത്തും കമ്പനിയുടെ താല്‍പര്യങ്ങള്‍ സംരക്ഷിക്കാന്‍ ജോലിക്കാരെ പ്രാപ്തമാക്കുന്ന സംവിധാനം ഉണ്ടാക്കുകയാണ് രക്ഷാമാര്‍ഗം. ‘Trust, but Verify’ ഈ റഷ്യന്‍ പഴഞ്ചൊല്ല് വേദവാക്യമായി ഓര്‍മയില്‍വെക്കുക.    

വിവരങ്ങൾക്ക് കടപ്പാട്  M.Technology