Deeping in Social Engineering

Introduction

Social engineering ကို တစ္နည္းအားျဖင့္ Hacking into the human mind ဒါမွမဟုတ္ an act of  psychological manipulation လို႕အဓိပၸါယ္ ဖြင့္ဆိုႏိုင္ပါတယ္…..။ တနည္းအားျဖင့္ လူ႕စိတ္ကိုထိုးေဖါက္၀င္ေရာက္ျခင္း….ဒါမွမဟုတ္…လူ႕စိတ္ကိုၾကိဳးကိုင္ လွည့္စားေစခိုင္းျခင္း လို႕ ဘာသာျပန္ဆိုႏိုင္ပါတယ္…။ ဒါေပမယ့္ Social Engineering ( အတိုေခါက္ SE ) မွာေနာက္ထပ္ အနက္ အဓိပါယ္ျပန္ဆိုမႈေပါင္းမ်ားစြားဆက္လက္  ျပန္ဆိုႏိုင္ျပီး ….လြတ္လပ္စြာ အဓိပၸါယ္ဖြင့္ဆိုႏိုင္ေသာ အတတ္ပညာတစ္ခုျဖစ္ပါတယ္…..။ က်ယ္ျပန္႕ေသာ၊နက္ရိွင္းေသာ၊အေတြးအေခၚ စိတ္ပညာဆိုင္ရာ Theory မ်ားအျပင္..၊နက္ရိွင္းစြာစဥ္းစားၾကံ ဆျခင္း စေသာ လမ္း စဥ္ေပါင္းမ်ားစြာကို လည္းေတြ႕ရွိႏိုင္ပါေသးတယ္…….။ အဓိ ကအခ်က္ကို ဆိုရလွ်င္ျဖင့္ (SE) သည္ လူ႕စိတ္ကိုထိုးထြင္း၀င္ေရာက္ျခင္း ၊သူတပါး၏  ယံုၾကည္မႈကိုရယူသိမ္းပိုက္ျခင္း….၊လိမ္ညာျခင္း ၊အေယာင္ေဆာင္ျခင္း…၊ အတုလုပ္ျခင္းမ်ားအျပင္….၊ မိမိကိုယ္ မိမိ Master Mind တစ္ေယာက္ျဖစ္ ေအာင္ေလ့က်င့္သင္ယူျခင္း……စသည့္တို႕အျပင္ နည္းပညာပိုင္း ကိုပါေလ့လာျခင္း…စသည္တို႕ပါ၀င္ပါတယ္……..။ တစ္ခ်ိဳ႕ကေတာ့ (SE) ကို စိတၱဇ ဆန္တယ္လို႕လဲေျပာၾကသလို…၊ တစ္ခ်ိဳ႕ ကေတာ့ ညစ္ညမ္းမႈတစ္ရပ္လို႕ေတာင္ သမုတ္ၾကပါတယ္…..။ဒါအျပင္ လူတစ္ခ်ိဳ႕ က hacking course တစ္ခုလို႕ေတာင္ ထည့္သြင္းစဥ္းစားျခင္းမရိွၾကပါဘူး….။အထူးသျဖင့္ ကၽြန္ေတာ္တို႕ႏိုင္ငံက လူေတာ္ေတာ္မ်ားမ်ား ကဟာ (SE) ဆိုတာကိုမသိေသးတဲ့သူေတြအမ်ားၾကီးပါ….။ကၽြန္ေတာ့္အေနနဲ႕ေတာ့ Ghost Area မွာ (SE) ကို ေဆာင္းပါးမ်ားအျပင္ ၊အေတြးအေခၚမ်ား၊ ကၽြမ္းက်င္သူပညာရွင္းမ်ား၏ Profile မ်ား ၊Tutorial မ်ား ၊ (SE) ၏စိတ္ပညာပိုင္းဆိုင္ရာ Theory မ်ား ကိုပါတင္ျပေပးသြားမွာပါ….။ တကယ္တမ္းေတာ့ (SE) ဆိုတာ လက္ဆုပ္လက္ကိုင္ ျပလို႕မရတဲ့အျပင္…၊Xploit မရိွ…Defense system မရိွပါဘူး…။ တိုက္ခိုက္ခံရသူ သာေကာင္ေတြအေနနဲ႕ Firewall မရိွ Anti software ေတြမရိွ ဘာနဲ႕ကာကြယ္မလဲ….။လူအသိညဏ္ကို လူ႕အသိညဏ္နဲ႕ပဲ ကာကြယ္ႏိုင္ပါတယ္……။စစ္တမ္းေတြအရဆို တကယ္ထူး ခၽြန္တဲ့ social engineer တစ္ေယာက္ဟာ….သာေကာင္းဆီက အခ်က္အလက္ေတြရဖို႕ 80% ေသခ်ာတယ္လို႕ဆိုထားပါတယ္……..။ေလၾကီးတာမဟုတ္ပါဘူး…… (There is no patch to Human stupidity) လူတစ္ေယာက္၏ ညံ့ျဖင္းမႈသည္ ဘာႏွင့္မွ အစားထိုးလို႕မရတဲ့…..။လူတိုင္းက ေတာ့ သူဘာသာသူ ရူးေနၾကတာခ်ည္းပဲ …….။

 A Tutorial For Beginner

Theory ေတြခ်ည္းမ်ားေနမွာ ဆိုးလို႕…..ကၽြန္ေတာ္တို႕လိုေလ့လာဆဲလူေတြအတြက္ ကၽြန္ေတာ့္ရဲ႕ ပထမဆံုးေသာ (SE) tutorial ေလးစေရးလိုက္ တယ္….။ေနာက္ေတာ့မွ Theory ပိုင္းေတြဆက္ေရးသြားမယ္ေလ….ခ်က္ခ်င္းၾကီးဆိုရင္ပ်င္းစရာေကာင္းမွာဆိုးလို႕။လိုအပ္ခ်က္ေတြကေတာ့  

1. Gtalk, Yahoo messenger တစ္ခုခု
2. RAT,Trojan
3. Crypter,Binder
4. Brain.exe

  စစခ်င္းေတာ့ Gtalk လိုေနရာမ်ိဳးမွာသူမ်ားကို ခိုင္းစားႏိုင္ေအာင္ေလ့က်င့္ေနရပါတယ္….။အတည္ေျပာတာပါ…အလကားေနရင္း google အေကာင့္ ေတြလုပ္ခိုင္းေနတာမ်ိဳးတို႕ သူမ်ားဆီက အခ်က္အလက္ေတြေတာင္းေနတာမ်ိဳးတို႕ေပါ့….။ဥပမာ ကိုယ့္သားေကာင္ရဲ႕ စက္ထဲမွာ ဘာေတြသံုးထားလဲ virus update ေတြမွန္မွန္လုပ္ရဲ႕လား….Deepfreeze လိုေဆာ့၀ဲမ်ိဳးသံုးထားသလား…..။ေနာက္ျပီးေတာ့သူ႕ရဲ႕ အသိပညာ…ကို လဲစမ္းသပ္ထားရပါတယ္…။ဥပမာ security ပိုင္းကိုဘယ္ေလာက္အထိသိထားလဲေပါ့….။ကၽြန္ေတာ္ဆိုအလကားေနရင္း ေဆာ္နာမည္နဲ႕ အေကာင့္ တစ္ခုလုပ္ျပီးေတာ့လိုအပ္သလိုခိုင္းခ်င္တိုင္ ခိုင္းစားေနတာၾကာေပါ့…….။ဟုတ္တယ္ေလအားနည္းခ်က္ဆိုတာလူတိုင္းမွာရိွၾကတာခ်ည္းပဲ….တစ္ခ်ိဳ႕ ကသနားလို႕ကူညီခ်င္တယ္….တစ္ခ်ိဳ႕က တဏွာရူးျပီးေတာ့ကူညီခ်င္တယ္……တစ္ခ်ိဳ႕ ကေတာ့၀ါသနာအရ ကိုက ကူညီခ်င္တဲ့စိတ္ရိွၾကတယ္…..၊ တစ္ခ်ိဳ႕ ကေတာ့နံမည္ရခ်င္လို႕ကူညီခ်င္တယ္ …….၊တစ္ခ်ိဳ႕ကလဲ အက်ိဳးလို လို႕ေညာင္ေရသြန္းၾကတယ္…..ဘယ္လိုပဲျဖစ္ျဖစ္ ကုညီခ်င္စိတ္ဟာ အားနည္းခ်က္တစ္ခုျဖစ္ျပီးေတာ့ ေနာက္ကြယ္ကေန ၾကိဳးကိုင္လို႕ အေကာင္းဆံုး အခ်က္တစ္ခ်က္ျဖစ္တယ္ ဆိုတာ….ေဖါေကာင္းတုန္း ေဖါထား လိုက္ပါတယ္……..။ ခုေတာ့ကၽြန္ေတာ္ေတြး ေခၚထားတဲ့ ၾကိဳးကိုင္နည္းေလးတစ္ခုကို တင္ျပေပးသြားမယ္ေလ……။Tutorial ကခုမွစတာ အေပၚကဟာေတြက အခြင့္သာ တုန္း ေဖါထားတာ……။နည္းလမ္းေလးကေတာ့ Attacker တစ္ေယာက္အေနနဲ႕ ၾကားခံနယ္ ႏွစ္ေယာက္ကေနျပီးေတာ့ အခ်က္အလက္ေတြ ကို ညွစ္ ယူတာျဖစ္ပါတယ္….။ေငြညွစ္ႏိုင္သလို တျခားေတြရာေတြမွာလဲသံုးႏိုင္ပါတယ္……ကၽြန္ေတာ္ကေတာ့ ဗ်ဴဟာအေနနဲ႕သာတင္ျပႏိုင္မွာျဖစ္ျပီးကိုယ့္ ဘာသာကိုယ္ လိုအပ္သလို ခ်ဲ႕ကာေတြးေခၚစဥ္းစာႏိုင္မွာျဖစ္ပါတယ္…….။အေကာင္းဆံုးကေတာ့ SE ဆိုတာကိုယ္ပိုင္စဥ္းစားမႈကို အသံုးခ်တာက အေကာင္းဆံုးျဖစ္ပါလိမ့္မယ္…..။ကဲစလိုက္ရေအာင္ဗ်ာ…..ေအာက္မွပံုေလးေပးထားပါတယ္……။

အညႊန္းခ်က္မ်ား..။    
V=သားေကာင္
H=Attacker
A,B=ၾကားခံမ်ား
Red line=ဆက္သြယ္မႈမ်ား
Blue line=သတင္းအခ်က္အလက္မ်ားစုေဆာင္းမႈ  
Green line=ၾကိဳးကိုင္မႈ
Black line=Target Information   

နည္းဗ်ဴဟာကေတာ့ဒီေလာက္ပါပဲ……။ဒီအေပၚအေျခခံျပီးေတာ့အမ်ိဳးမ်ိဳး လွည့္ပတ္သံုးလို႕ရပါတယ္…..။ဒါေပမယ့္သံုးပံုသံုးနည္းကေတာ့ ကြာပါလိမ့္ မယ္….။ကၽြန္ေတာ္ဒီအတိုင္းသံုးခဲ့ဘူးပါတယ္…..။ကၽြန္ေတာ့္မွာ google အေကာင့္ႏွစ္ခုရိွပါတယ္….ေဆာ္နာမည္နဲ႕အေကာင့္ေပါ့….။Target ကို လိုက္ေတာ့ တဏွာအားေကာင္းတဲ့အေကာင္ ကၽြန္ေတာ္က အထက္ကပံုအတိုင္း ကၽြန္ေတာ္အေကာင့္ႏွစ္ခုကို control လုပ္ျပီး target ကို ခ်ိတ္လိုက္ ပါတယ္…။ ဒီေနရာမွာ  H ကကၽြန္ေတာ္၊ Aနဲ႕ B က ကၽြန္ေတာ္ထိန္းခ်ဳပ္ထားတဲ့အေကာင့္ႏွစ္ခု ၊ V ကကၽြန္ေတာ္ရယူခဲ့တဲ့ Target ျဖစ္ပါတယ္….။ပံုမွ ျပထားတဲ့အတိုင္း သားေကာင္နဲ႕ ကၽြန္ေတာ္က တိုက္ရိုက္တိေတြ႕ျခင္းမရိွပဲနဲ႕ A နဲ႕ B လိုၾကားခံေတြထားလိုက္ပါတယ္… အေကာင့္အတုေတြေပါ့…။အဲဒါေၾကာင့္ ကၽြန္ေတာ္အေကာင့္ေတြအမ်ားၾကီး လုပ္ထားတာ လိုရင္လိုသလိုထုတ္သံုးတယ္…သူ႕ေနရာနဲ႕သူေပါ့…။ဒီ ဆက္သြယ္မႈကိုပံုမွာ လိုင္းအနီနဲ႕ျပထားတယ္….။ ေနာက္ျပီးကၽြန္ေတာ္က ကၽြန္ေတာ့္ ၾကားခံေတြကို ကာရိုက္တာႏွစ္မ်ိုးသံုးထားတာ…တစ္ေယာက္ကရိုးတယ္ေအးတယ္.  ..ေဒါသၾကီးတယ္….။တစ္ေယာက္က Sexy ဆန္တယ္…ခပ္မိုက္မိုက္ပံုစံ ….ေလးပါ…။ ဇာတ္ကားရိုက္ေနတာမဟုတ္ပါ လက္ေတြ႕လုပ္ေနျခင္းျဖစ္ပါတယ္….။တစ္ခုေျပာခ်င္တာက ကၽြန္ေတာ့္ၾကားခံနယ္ အေကာင့္ profile ပံုေလးေတြကိုတစ္ခ်က္တည့္ ေျပာခ်င္တာပါ ။ သံုးခ်င္သလိုမသံုးပါဘူး..ျမန္မာမိန္းကေလးပံုလဲျဖစ္ရမယ္….နာမည္ၾကီး မင္းသမီးပံုေတြလဲ မဟုတ္ေစပါဘူး သဘာ၀က်တဲ့ ပံုေတြကို ေသခ်ာေရြးခဲ့ တာပါ….။အေကာင္းဆံုးရယူႏိုင္မယ့္ေနရာကေတာ့ facebook လိုေနရာမ်ိဳးျဖစ္ပါလိမ့္မယ္…….။ေနာက္ျပီးအေျပာအဆိုေတြကို သဘာ၀က်က် ေျပာဆိုဆက္ဆံ မႈေတြပဲ ျပဳလုပ္ခဲ့တာျဖစ္ပါတယ္….(SE)မွာလက္ေတြက်ဖို႕ အေရးၾကီးပါတယ္……..ကိုယ္ကလက္ေတြ႕မက်ရင္ ကိုယ့္သားေကာင္းကလဲ လက္ေတြ႕ က်က် information ေတြေပးမွာမဟုတ္ပါ…..။ ဇာတ္လမ္းကိုျပန္စလိုက္ရေအာင္…ဒီလိုဗ်ာ ကၽြန္ေတာ့္ၾကားခံႏွစ္ေယာက္ကို အဲဒီ Target နဲ႕ ညိသြားေအာင္ဇာတ္ကြက္ရိုက္ေပးလိုက္တယ္….။ေနာက္ တဆင့္အေနနဲ႕ အျပာေရာင္လိုင္းအတိုင္း သူ႕ဆီက အခ်က္အလက္ေတြ အညီွအေဟာက္ေတြကိုယူလိုက္တယ္…..။ဘယ္ကာရိုက္တာနဲ႕ လိုက္ဖက္လဲ လို႕ဆိုရင္ …..ကာရိုက္တာ A ကအဲလိုယူဖို႕အေကာင္းဆံုးပါပဲ……။ရရိွလာတဲ့ information ေတြကို ၾကားခံ (B) ကိုလဲ ေ၀မွ်ထားပါတယ္…..။ဒီ လိုစု ေဆာင္းရာမွာ ကိုယ္နဲ႕ ေျပာထားသမွ်…..(သို႕) သူက်ဴထားသမွ်ကို screen shot ရိုက္ထားလိုက္တာပါပဲ……။ ေနာက္ေန႕က်ေတာ့ ၾကားခံ (B) ကေန ငနဲၾကီး ကို သူနဲ႕ ၾကားခံ (A) တို႕ အေၾကာင္းကို ေျပာျပျပီးေတာ့ ညွစ္ပါေတာ့တယ္….။လူဆိုတာ အမွားလုပ္ ထားရင္ဖုံးထားသမွ်ေပၚသြားတာၾကီးပဲ…..။အဲဒီလိုၾကိဳးကိုင္တာကို အစိမ္းေရာင္းလိုင္းနဲ႕ ျပထားတယ္…..။ကၽြန္ေတာ့္ကေတာ့ “screen shot ေတြရိွ တယ္…..”လို႕ေျပာေတာ့ ဘဲၾကီး က နင္းကန္ပိတ္ညင္းေတာ့တာပဲ…သူညင္းတာကိုသက္ေသျပခိုင္းေတာ့ အူလည္လည္ လုပ္ေနတာ…….ဒါေၾကာင့္မာယာကိုသံုး တယ္ …”နင့္အေကာင့္ထဲ ၀င္ၾကည့္မယ္ စစ္ၾကည့္မယ္…”လို႕ၾကိဳးကိုင္းလိုက္တာ…..ဟိုအေကာင္ကလဲ သူ (A) နဲ႕ ေျပာထားသမွ်ကို ျပန္ဖ်က္ျပီး သူ႕အေကာင့္ ထဲ ၀င္ၾကည့္ခြင့္ေပးလိုက္တာေလ……။အဲဒီေတာ့ပါေရာေပါ့ဗ်ာ……။အနက္ေရာင္လိုင္းေလးအတိုင္းေပါ့ ကိုလိုခ်င္တဲ့ Target information ကိုရယူ လိုက္တာ….။ ဒီေနရာမွာသူ႕ လိုမအပဲနဲ႕ တင္းခံေနတဲ့သူေတြနဲ႕ ေတြ႔ရင္ RAT ကိုသံုးလို႕ရေသးတယ္…..။ဥပမာအားျဖင့္ ခုနက (A) နဲ႕ ကၽြန္ေတာ့္သားေကာင္နဲ႕ ေျပာ ထားသမွ်ကို screen shot ရိုက္ထားတဲ့ပံုေတြကို RAT နဲ႕ တဲြခ်ည္ေပးလိုက္ ….ျပီးရင္ FUD ျဖစ္ေအာင္လို႕ Crypter,Binder တို႕ကိုသံုး ဒီ အေၾကာင္းေတြကို မသိရင္ Ghost Area ကလူေတြကိုေမးႏိုင္ပါတယ္…..။ဟီးဟီး ေခါင္းေရွာင္တာပါ……။အဲလိုလုပ္ျပီးရင္ ကၽြန္ေတာ္ဆိုရင္ ဒီအတိုင္း လုပ္မွာပါ…..။”နင့္ကသက္ေသမျပႏိုင္လဲ ငါ့မွာသက္ေသရိွတယ္….မယံုရင္နင္တို႕ေျပာမမွ်ငါ့မွာ ပံုေတြရိွတယ္ဆိုျပီး…”ခုနက FUD လုပ္ထားတာေတြ ကို ပို႕လိုက္ …။ဒီလိုေနရာမွာ (ခုေျပာေနေသာသားေကာင္ရဲ႕ ေနရာမွာ) ဘယ္သူမဆိုဒီပံုေတြကို ၾကည့္မိၾကမွာပဲ……။အဲဒီၾကေတာ့ ကို္ယ္ရခ်င္တဲ့ Information ဟာ တိုက္ရိုက္ရရိွမွာျဖစ္ပါတယ္……။ပံုမွျပထားတဲ့အတိုင္း attacker နဲ႕ သားေကာင္နဲ႕ကို တိုက္ရိုက္ဆက္သြယ္ထားတဲ့ အနက္ေရာင္ လမ္းေၾကာင္းလို ျဖစ္ပါတယ္…..။ Tutorial ကေတာ့ဒီေလာက္ပဲျဖစ္ပါတယ္…….။

က်န္တာကေတာ့စာဖတ္သူအပိုင္းျဖစ္ပါတယ္…..။ေအာင္ျမင္မႈက ကို္ယ့္ညဏ္ နဲ႕လဲဆိုင္ပါတယ္……။ ဘယ္အခ်ိန္မွာ ဘယ္လိုစကာေျပာရမယ္…ဘယ္လို ကာရိုက္တာေတြသံုးရမလဲဆိုတာ သားေကာင္နဲ႕လဲဆိုင္ပါတယ္….ကိုယ္နဲ႕လဲဆိုင္ပါတယ္…..။ ၾကိဳက္သလို ဗ်ဴဟာကိုလဲေျပာင္းလဲႏိုင္ပါတယ္….။ဒီဗ်ဴဟာက ၾကားခံႏွစ္ခုကို Target တစ္ခုဆီကို အေရာက္ပို႕ေပးျခင္းျဖစ္ပါတယ္…….။  ကိုယ္ ေကာင္းရင္ေကာင္းသလို ေအာင္ျမင္ႏိုင္ပါတယ္…..။အနည္းဆံုးေတာ့ကၽြန္ေတာ္ 70% အာမခံပါတယ္…..။

 ဒီပိုစ့္ကိုဖတ္ျပီးကၽြန္ေတာ့္ကို အက်င့္မေကာင္းတဲ့သူလိုထင္ခ်င္ထင္က်ပါလိမ့္မယ္……။အဲဒီလိုထင္ရင္ေတာ့ ကၽြန္ေတာ့္ပိုစ့္ေအာင္ျမင္တယ္လို႕လဲဆိုရပါလိမ့္မယ္….။ဟုတ္ပါတယ္ ….(SE) ကသူမ်ားေတြအဲလိုထင္ျမင္ေလ ေအာင္ျမင္ေလပါပဲ…….။ဒီပိုစ့္က ပထမဆံုး ကၽြန္ေတာ္ (SE) ပိုင္းကိုစေရးျဖစ္တာျဖစ္ပါတယ္….။အဲနည္းနည္းေတာ့ အမွားေလးေတြပါ လိမ့္ပါမယ္….ၾကိဳျပီးေတာ့ေတာင္း ပန္အပ္ပါတယ္…။ ဒီေန႕ေတာ့ဒီေလာက္ပါပဲ…….။ ေက်းဇူးတင္ပါတယ္ ။ 

post by Shwekoyantaw
You Also see in Here
http://ghostarea.net/2012/07/02/deeping-in-social-engineering/