විෂිං (Vishing)

 “වැඩිපුර සේවකයින් නිවසේ සිට වැඩ කිරීමත් සමඟ විෂිං (vishing) සැලකිය යුතු ලෙස වැඩි වී තිබේ”

‘විෂිං’ සෑදී ඇත්තේ ‘voice’ (හඬ) සහ ‘phishing’ (තතුබෑම් හෙවත් ෆිෂිං) යන වචන දෙකෙහි එකතුවෙනි.

ෆිෂිං යනු කෙනෙකුගේ රහස්‍ය පෞද්ගලික තොරතුරු සොරකම් කිරීම සඳහා ඊමේල්, සාමාන්‍ය දුරකථන ඇමතුම් හෝ ව්‍යාජ වෙබ් අඩවි භාවිත කරමින් වංචා කිරීමේ කුප්‍රකට ක්‍රමයකි.

විෂිං සිදුකරන්නන් ඉලක්ක කරුවන් ඇමතීම සඳහා අන්තර්ජාල දුරකථන සේවාවක් (VoIP) භාවිත කරමින් ඔවුන් රවටා ගැනීමේ ක්‍රියාවෙහි යෙදෙයි. සරලවම කිවහොත් ඊමේල් ෆිෂිං වල දුරකථන අනුවාදය ලෙස විෂිං හඳුන්වා දිය හැකිය.

ෆිෂිං සහ විෂිං යන දෙකම සමාජ ඉංජිනේරු විද්‍යා‍වෙහි (Social Engineering) ප්‍රභේද වේ.

ෆිෂිං වලදී මෙන්, චිත්තවේගීය හැසිරවීමකින් මිනිසුන් බිය ගැන්වීමට හෝ හදිසි බව දැක්වීමට උපක්‍රම විෂිං හිදී ද භාවිත කරයි. මොවුන් දුරකථන අංක ඉතා නීත්‍යානුකූලව පෙනෙන පරිදි ව්‍යාජ ඇමතුම් හැඳුනුම්පත් පැතිකඩ (‘අමතන්නාගේ හැඳුනුම්පත’ ලෙස හැඳින්වේ) පවා නිර්මාණය කරයි. මිනිසුන්ට හුරුපුරුදු අංකයකින් හෝ ස්ථාවර දුරකථනයකින් ඇමතුමක් පැමිණි විට, එය ප්‍රතික්ෂේප කිරීමට හේතුවක් සොයාගත නොහැක.විෂිං හිදී ඔබේ මුදල්, හෝ අනන්‍යතාවය හෝ ඒ දෙකම සොරකම් කිරීම අපේක්ෂා කරයි. ආයතනයක සේවකයින් නිවසේ සිට වැඩ කරද්දී භෞතිකව (physically) එකිනෙකාට සමීපව නොමැති විට විෂිං ප්‍රහාරකයන්ගේ අරමුණු සාක්ෂාත් කර ගැනීම වඩාත් පහසු වේ. මෙම දුරස්ථභාවය විෂිං ප්‍රහාරකයන්ට ඔවුන් සමාගමේ තොරතුරු තාක්ෂණ අංශයෙන් බව සහ සමාගමේ VPN හෝ යම් යම් ගැටලු නිරාකරණය කර ගැනීමට අවශ්‍ය බව පවසමින් නිවසේ සිට වැඩ කරන සේවකයන්ට සමීප වීමට උපකාරී වේ.

Voice ඇමතුම් හරහා, බොහෝ විට ඔබව අදාළ ආයතනයේ මුල් වෙබ් අඩවිය මෙන් පෙනෙන වෙබ් අඩවියකට යොමු කර ඔබේ ගිණුම්වල පිවිසුම් විස්තර (පරිශීලක නාමය, මුරපදය) ලබා ගැනීමට විෂිං ප්‍රහාරකයින් උත්සාහ කරයි. ZeroFox හි Threat Intelligence අධ්‍යක්‍ෂ සැක් ඇලන් පවසන්නේ ව්‍යාජ ලින්ක්ඩ්ඉන් (LinkedIn) පැතිකඩ නිර්මාණය කිරීමෙන් පවා විෂිං ප්‍රහාරකයින් ආයතනවලට අලුතින් බැඳුන අයව නිරන්තරයෙන් ඉලක්ක කරන බවයි.

බොහෝ විට සයිබර් අපරාධකරුවන් දෙදෙනෙක් එකට වැඩ කරති. එක් අයෙක් ඇමතුමක සිටින විට, අනෙකා එකවර සපයන ලද තොරතුරු භාවිත කරමින් ඉලක්කගත සංවිධානයේ VPN වෙත පිවිසීමට උත්සාහ කරයි. මුලදී අසාර්ථක වුවද, දත්ත වැඩියෙන් ලබාගෙන ඔවුන්ගේ ඊළඟ උත්සාහයේදී ඒවා ඵලදායී ලෙස භාවිත කළ හැකිය.

සමාජ ඉංජිනේරුවන් vishing ක්‍රමය ඉතාමත් ප්‍රයෝජනවත් මෙවලමක් ලෙස සලකන්නේ ඉලක්කගත පුද්ගලයාට දුරකථනයෙන් සිදුවන තත්ත්වය ගැන තාර්කිකව සිතීමට කාලයක් නොමැති බැවින්ය. සමහර විට ප්‍රහාරකයින් අවශ්‍ය තොරතුරු ලබා ගැනීමට පෙර ප්‍රශ්න ඇසීමට ඉලක්කගත පුද්ගලයන්ට අවස්ථාව ලබා නොදෙයි. ඉලක්කගත අයව ව්‍යාකූල කර වහාම පියවර ගත යුතු බව ඒත්තු ගැන්වීමට හෝ ඔවුන් බිය ගැන්වීමට ප්‍රහාරකයින් සමත් වේ. මෙම ප්‍රහාරයන් සියළුම සේවකයින් කෙරෙහි හෝ විශේෂයෙන් සංවිධානයෙන් පිටත පුද්ගලයින් සමඟ කටයුතු කරන කාර්යය මණ්ඩලය කෙරෙහි අවධානය යොමු කරයි.

තවද, සාමාන්‍යයෙන් ඔබේ රාජකාරී ගිණුම්වල පිවිසුම් විස්තර ආයතනයේ තොරතුරු තාක්ෂණ අංශය සතුව ඇති නිසා ඔවුන්ටවත් වෙන කිසිවකුටත් විද්‍යුත් තැපෑලෙන් හෝ දුරකථනයෙන් ඒවා හෙළි කළ යුතු නැත.

යොමුව: https://fraudwatchinternational.com/vishing/what-is-vishing/
https://www.techradar.com/news/new-wave-of-voice-phishing-attacks-targets-vpn-credentials
https://www.knowbe4.com/vishing