സോഷ്യൽ എഞ്ചിനീയറിംഗ്: സൂക്ഷിച്ചാൽ ദുഃഖിക്കണ്ട

അടുത്തകാലത്ത് നിങ്ങൾ പത്രത്തിൽ വായിച്ചിട്ടുണ്ടാകും, ഒരുലക്ഷത്തിന്‌ മേലെ വിലവരുന്ന ഇരുചക്രവാഹനത്തിന് ഓൺലൈൻ ആയി പണം അയച്ചിട്ട്, പറഞ്ഞ സമയത്തു അത് കിട്ടാതെ പോലീസ് കേസുമായി നടക്കുന്നവരെപ്പറ്റി. ഇന്ത്യൻ ആർമിയുടെ പേരും, ആരുടെയോ ഐഡൻറിറ്റി കാർഡും, പറഞ്ഞാൽ വിശ്വസിച്ചേക്കാവുന്ന ഒരു സ്ഥലംമാറ്റ കഥയും, ഏറ്റവും ഒടുവിൽ മിലിറ്ററി ബൈക്കിനോടുള്ള സാധാരണക്കാരൻറെ അഭിനിവേശവും കൂടി ആയപ്പോൾ അതൊരു വഞ്ചനയുടെ വ്യാപാരമായി മാറി.

കബളിപ്പിക്കാൻ, കബളിക്കപെടാൻ ഇന്ന് വളരെ എളുപ്പമാണ്. ഫേസ്ബുക് പോലെയുള്ള സോഷ്യൽ മീഡിയ സൈറ്റുകളിൽ നമ്മൾ പോസ്റ്റ് ചെയ്യുന്ന ഫോട്ടോകളിലൂടെയും പ്രൊഫൈൽ വിവരങ്ങളിലൂടെയും, നിങ്ങളുടെ ഫ്രണ്ട്‌സ് നെറ്റ്‌വർക്കിലൂടെയും വെറും അഞ്ചോ പത്തോ മിനിറ്റ് സഞ്ചരിച്ചാൽ ഒരാൾക്ക്, അയാൾ നിങ്ങളുടെ ഒരു പരിചയക്കാരനാണെന്നു പറഞ്ഞു വിശ്വസിപ്പിക്കാൻ എളുപ്പത്തിൽ സാധിക്കും. ക്രെഡിറ്റ്-ഡെബിറ്റ് കാർഡ് അപ്ഗ്രേഡ് ഓഫറുമായി ഫോൺ വിളിക്കുന്നവർ നിങ്ങളുടെ കാർഡിന്റെ ആദ്യ അക്കങ്ങൾ പറയുമ്പോൾ തന്നെ നിങ്ങൾ അവരെ വിശ്വസിച്ചു OTP നമ്പർ പറഞ്ഞു കൊടുക്കുന്നു. ലോട്ടറി അടിച്ചു എന്ന് അറിയിച്ചുകൊണ്ടുള്ള മെയിൽ വരുമ്പോൾ മറ്റാരോടും പറയാതെ നൈജീരിയയിലെ ‘ബാങ്ക് ഉദ്യോഗസ്ഥന്’ നിങ്ങൾ ഇൻഷുറൻസ് തുക അയച്ചു കൊടുക്കുന്നു. ATM ഉപയോഗിക്കാൻ അറിയാത്തതുകൊണ്ട് പുറത്തു കാത്തുനിൽക്കുന്ന ഒരാളെ നിങ്ങൾ സഹായിക്കാൻ വിളിക്കുന്നു. അങ്ങനെ, അപകടം എല്ലായിടത്തും പതിയിരിക്കുന്നു. ഇൻറർനെറ്റിൽ മാത്രമല്ല, പുറത്തും.

ഇത്തരത്തിൽ മറ്റൊരാളെ കബളിപ്പിച്ചു പണമോ വസ്തുക്കളോ വിവരമോ (Information) മോഷ്ടിക്കുന്നതിനെയാണ് സോഷ്യൽ എഞ്ചിനീയറിംഗ് എന്ന് പറയുന്നത്. Trick-the-mind അഥവാ മനസ്സിനെ കബളിപ്പിക്കുക/തെറ്റിദ്ധരിപ്പിക്കുക, ഇതാണ് ഇവിടെ ശരിക്കും നടക്കുന്നത്. ഇരയുടെ മനസ്സാന്നിധ്യവും, അജ്ഞതയും, കുറച്ചെങ്കിലും അത്യാഗ്രഹവുമാണ് പലപ്പോഴും വില്ലനായി ഭവിക്കുക.

“സൂക്ഷിച്ചാൽ ദുഃഖിക്കണ്ട” എന്ന പഴമൊഴി തന്നെയാണ് ഈ അവസരത്തിൽ ഏറ്റവും ഫലവത്തായ പ്രതിരോധ മാർഗ്ഗം.

നിർമിത ബുദ്ധി (Artificial Intelligence) ഉപയോഗിച്ചുള്ള മെയിൽ സ്പാം ഫിൽറ്ററുകൾ (Spam Filters) ഉണ്ടെങ്കിലും, വഞ്ചനകളിൽ ചെന്നുപെടുന്നവരുടെ എണ്ണം വളരെ കൂടുതലാണ്. ചില പ്രമുഖ സോഷ്യൽ എഞ്ചിനീയറിംഗ് ഉപയോഗിച്ചുള്ള കബളിക്കപെടലുകളും അവയിൽ ചെന്നുപെടാതെ എങ്ങിനെ രക്ഷപ്പെടാം എന്നും നമുക്ക് നോക്കാം. സോഷ്യൽ എഞ്ചിനീയറിംഗ് ആക്രമണങ്ങൾക്കു വളരെയധികം രീതികൾ ഈ ഹാക്കർമാരുൾപ്പെടുന്ന കുറ്റവാളികൾ ആവശ്യവും സൗകര്യവും പോലെ നടപ്പിലാക്കാറുണ്ട്. ഇതൊരു വിപുലമായ ലേഖനത്തിനുള്ള വിഷയമായതിനാൽ, പ്രധാനപ്പെട്ടതുമാത്രം ഇവിടെ പ്രതിപാദിക്കുന്നു.

ഫിഷിംഗ് (Phishing)

സോഷ്യൽ എഞ്ചിനീയറിംഗ് ആക്രമണങ്ങളിൽ (attack) ഏറ്റവും കൂടുതൽ കണ്ടുവരുന്നത് ഫിഷിംഗ് എന്ന വിഭാഗത്തിൽ പെടുന്ന ഈ രീതിയാണ്. വ്യക്തിവിവരങ്ങളോ ക്രെഡിറ്റ് കാർഡ് പോലുള്ള വിവരങ്ങളോ ആണ് ലക്‌ഷ്യം. ഇതിന് തിരഞ്ഞെടുക്കുന്ന മാർഗങ്ങൾ വ്യത്യസ്തമാണ്. ഇ-മെയിലോ, സോഷ്യൽ മീഡിയ പോസ്റ്റുകളിലെ ലിങ്കുകളോ, Injection Attack വിഭാഗത്തിൽ പെടുന്ന ബ്രൗസർ സ്ക്രിപ്റ്റ് ഇന്ജക്ഷന്നോ (Script Injection) ആകാം. നിങ്ങൾ ക്ലിക്ക് ചെയ്യുന്ന ലിങ്ക് തുറക്കുന്നത് യഥാർത്ഥ വെബ്സൈറ്റുകളുടെ അതേ മാതൃകയിലുള്ള വ്യാജ പേജിലായിരിക്കും. അതൊന്നും അറിയാതെ നിങ്ങൾ രഹസ്യ സ്വഭാവമുള്ള (sensitive information) വിവരങ്ങൾ, ഉദാഹരണം യൂസർ നെയിം, പാസ്സ്‌വേർഡ് തുടങ്ങിയവ നൽകുകയും, അവർ അത് ദുരുപയോഗം ചെയ്യുകയും ചെയ്യും. നെറ്റ് ബാങ്കിംഗ്‌ ലോഗിൻ വിവരങ്ങൾ (login credentials), സോഷ്യൽ മീഡിയ പാസ്സ്‌വേർഡ്, ATM PIN, തുടങ്ങി എന്തും ആകാം അവർ മോഷ്‌ടിക്കാൻ ശ്രമിക്കുന്നത്. 

വിഷിംഗ്  (Vishing)

ഫോൺ കാൾ വഴി ബാങ്കിൽ നിന്നോ, മറ്റേതെങ്കിലും പേരുകേട്ട സ്ഥാപനത്തിൽ നിന്നോ കാർഡ് അപ്ഗ്രേഡ് ഓഫർ എന്നോ ലോട്ടറി അടിച്ചെന്നോ മറ്റും പറഞ്ഞു കബളിപ്പിക്കുന്ന രീതിയാണിത്. വിശ്വാസം നേടി എന്ന് മനസ്സിലാക്കിയാൽ നിങ്ങളോടു  OTP അയക്കാനോ ലോട്ടറി ഫീസ് ഓൺലൈൻ ആയി അടക്കാനോ മറ്റോ നിങ്ങളെ നിർബന്ധിക്കും. ഒരു വലിയ തുക നമ്മുടെ ബാങ്ക് അക്കൗണ്ടിൽ നിന്നും നഷ്ടപ്പെടുമ്പോൾ മാത്രമേ നമ്മൾ കബളിപ്പിക്കപ്പെട്ടു എന്ന് നമുക്ക് മനസ്സിലാകുകയുള്ളു.

ആൾമാറാട്ടം (Impersonation)

ഒരാൾ മറ്റൊരാളായി ആൾമാറാട്ടം നടത്തി വിവരം ചോർത്തുകയോ നശിപ്പിക്കുകയോ ചെയ്യുന്ന രീതിയാണിത്. ഇത് ഇന്റർനെറ്റ് വഴിയാകാം, നേരിട്ടും ആകാം.

എങ്ങിനെ സോഷ്യൽ എഞ്ചിനീയറിംഗ് ആക്രമണത്തിൽ നിന്നും രക്ഷപ്പെടാം?

സുരക്ഷ ഒരു മിഥ്യയാണ് എന്ന് പറയാം. കുറച്ചു ശ്രദ്ധ ചെലുത്തിയാൽ ഒരു പരിധിവരെ ഇത്തരം അപകടങ്ങൾ ഒഴിവാക്കാം. ചുവടെ പറയുന്ന കാര്യങ്ങൾ സന്ദർഭം വരുമ്പോൾ ഓർക്കുക

1. സമൂഹ മാധ്യമങ്ങളിൽ ശരിയായ പ്രൈവസി സെറ്റിങ്സ്‌ (Privacy Settings) ആണെന്ന് ഉറപ്പുവരുത്തുക. ഉദാഹരണം, നിങ്ങൾ പോസ്റ്റുചെയ്യുന്നവ ആർക്കൊക്കെ കാണാൻ കഴിയും.
2. പരിചയം ഇല്ലാത്ത വ്യക്തികളുടെ ഫ്രണ്ട്‌സ് റിക്വസ്റ്റ് അക്‌സെപ്റ്റ് ചെയ്യാതിരിക്കുക.
3. സ്വകാര്യ വിവരങ്ങൾ അടങ്ങിയ പോസ്റ്റുകൾ പ്രസിദ്ധപ്പെടുത്താതിരിക്കുക. ജന്മദിനം, അപരനാമങ്ങൾ (petname / nicknames), തുടങ്ങിയവ ഹാക്കർമാർക്ക് പാസ്സ്‌വേഡിന്റെ സൂചന നൽകിയേക്കും.
4. സന്ദർശിക്കുന്ന വെബ്സൈറ്റുകൾ സുരക്ഷിതമാണെന്ന് ഉറപ്പുവരുത്തുക. ഉദാഹരണം HTTPS സർട്ടിഫിക്കറ്റ് ഉള്ളതാണോ? വെബ്സൈറ്റ് URL-ന്റെ സ്പെല്ലിങ് ശരിയാണോ?
5. അപരിചിതമായ ഉറവിടത്തിൽനിന്നും ഉള്ള ഇ-മെയിലുകൾ വന്നാൽ അതിന്റെ മെസ്സേജിൽ ഒരിടത്തും ക്ലിക്ക് ചെയ്യാതിരിക്കുക.
6. ഇ-മെയിലിൻറെ From അഡ്രസ്സിൽ സ്പെല്ലിങ് തെറ്റുകളോ, മറ്റു അപാകതകളോ ഉണ്ടോന്നു പരിശോധിക്കുക.
7. ഇ-മെയിൽ സന്ദേശത്തിന്റെ ഭാഷാശൈലിയിൽ എന്തെങ്കിലും വ്യത്യാസങ്ങൾ ഉണ്ടോ എന്ന് പരിശോധിക്കുക.
8. പരിചയമില്ലാത്ത ഉറവിടത്തിൽ നിന്നും ഉള്ള ഇ-മെയിലിലെ അറ്റാച്മെന്റുകൾ (Attachments) ഒരു കാരണവശാലും തുറക്കാതിരിക്കുക.
9. പണമായോ മറ്റോ വാഗ്ദാനങ്ങൾ ലഭിക്കുകയാണെങ്കിൽ, “എന്തുകൊണ്ട് അയാൾ ഈ സൗജന്യം തനിക്ക് ചെയ്യണം” എന്ന് സ്വയം ചോദിക്കുക.
10. സന്ദേശത്തിൽ നൈജീരിയ, ബാങ്ക്, ലോട്ടറി, ചാരിറ്റി തുടങ്ങിയ വാക്കുകൾ ഉണ്ടെങ്കിൽ പ്രേത്യേകം ശ്രദ്ധിക്കുക.
11. തട്ടിപ്പാണ് എന്ന് തോന്നുന്ന മെയിലും, വ്യക്തികളെയും “Report”/”Block” ചെയ്യുക
12. സോഷ്യൽ മീഡിയയിലും വെബ്സൈറ്റുകളിലും കാണുന്ന ആകർഷകങ്ങളായ പരസ്യങ്ങളിൽ രണ്ടുവട്ടം ആലോചിച്ച ശേഷം മാത്രം ക്ലിക്ക് ചെയ്യുക.
13. ചിലർ കുറച്ചുകാലം താങ്കളെയോ താങ്കളുടെ കമ്പനിയെയോ നന്നായി പഠിച്ചിട്ടായിരിക്കും തട്ടിപ്പിന് മുതിരുക. ഇടപെടലിന് സ്വാഭാവികത തോന്നാം, സൂക്ഷിക്കുക.
14. MLM പോലുള്ള മോഹനവാഗ്ദാനങ്ങൾ നൽകുന്ന പ്രോഗ്രാമുകളിൽ ഏർപ്പെടും മുൻപ് അത് നിയമാനുസൃതമാണോ എന്ന് അന്വേഷിക്കുക. നമ്മുടെ ജിജ്ഞാസയെ ചൂഷണം ചെയ്യാൻ എളുപ്പമാണ്.
15. മൾട്ടി ഫാക്ടർ ഓതെന്റികേഷൻ (MFA / Multi Factor Authentication) പോലുള്ള അതിസുരക്ഷാ സൗകര്യങ്ങൾ ഇ-മെയിൽ പോലുള്ള സേവനങ്ങളിൽ ഉപയോഗിക്കുക.
16. നെറ്റ് ബാങ്കിങ് (Net Banking) പോലുള്ള സേവനങ്ങൾ പൊതു കംപ്യുട്ടറുകളിൽ, ഉദാഹരണം ഇന്റർനെറ്റ് കഫേ കളിൽ ഉപയോഗിക്കാതിരിക്കുക.
17. പൊതു കംപ്യുട്ടറുകൾ ഉപയോഗിക്കുമ്പോൾ ബ്രൗസറിലെ Incognito / InPrivate മോഡുകൾ ഉപയോഗിക്കാൻ ശ്രദ്ധിക്കുക.
18. ലിഫ്റ്റുകളിലും മാളുകളിലും അപരിചിതരുടെ മുൻപിൽ വച്ച് വ്യക്തിപരമായ കാര്യങ്ങൾ ചർച്ച ചെയ്യാതിരിക്കുക.
19. മൊബൈൽ ആപ്പുകൾ ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ റേറ്റിംഗ് ശ്രദ്ധിക്കുക. Contacts, Camera, Files തുടങ്ങിയവയിലേക്ക് access permission ആവശ്യപ്പെടുകയാണെങ്കിൽ, അതെന്തിനുവേണ്ടിയാണ് എന്ന് സ്വയം വിലയിരുത്തുക. ഉദാഹരണം, ഒരു Calculator ആപ്പ്, contacts permission ചോദിക്കേണ്ട ആവശ്യം ഇല്ല.
20. ഒരു നല്ല ആന്റിവൈറസ് (Anti Virus) സോഫ്റ്റ്‌വെയർ കമ്പ്യൂട്ടറിൽ ഇൻസ്റ്റാൾ ചെയ്യുക.
21. സംശയനിവാരണത്തിന് സുഹൃത്തുക്കളുടെയോ, വിദഗ്‌ദ്ധരുടെയോ സഹായം അഭ്യർത്ഥിക്കുക.

ഓർക്കുക, നമ്മൾ അറിഞ്ഞോ അറിയാതെയോ ഹാക്കർമാർക്ക് നൽകുന്ന വിവരങ്ങൾ തന്നെയാണ് നമ്മൾ കബളിപ്പിക്കപെടുന്നതിന്റെ പ്രധാന കാരണം.