social engineering ဟာအလြယ္ကူဆုံး ဘာ tool မွမလုိပဲ အထိေရာက္ဆုံး hacking နည္း လမ္းတစ္ခုပါပဲ social engineer နဲ ့ဟတ္ခ်င္ရင္္ စာရုိက္ဖုိ ့လက္ပဲလုိတာပါ သိပ္လည္း တက္ကြ်မ္းစရာမလုိပါဘူး ေခါင္းစဥ္နာမည္ေလးကေတာ့ ဆန္းဆန္းျပားျပားေလး မသိရင္ GTC တက္ျပီးပဲရထားသလုိလုိ သူရဲ ့သေဘာကေတာ့ရွင္းပါတယ္ လိမ္တာပါပဲ hacker တခ်ိဳ ့ေတြက social engineering ကုိ hacking လုိ ့မေျပာၾကပါဘူး social engineer ေတြရဲ ့ေဆာင္ပုဒ္ကေတာ့ရွင္းပါတယ္ "ေမးရင္သိမွာကုိဘာလုိ ့့hack ဦးမွာလဲ" တဲ့ လိမ္တာပဲဆုိေတာ့ ပုံစံေလးေတြကေတာ့ အမ်ိဳးမ်ိဳးျဖစ္ႏုိင္ပါတယ္ ဥပမာ သင့္ဆီကုိေမးတစ္ေစာင္ေရာက္လာတယ္ဆုိပါစုိ ့ အဲဒီေမးမွာအေၾကာင္းအရာပါပါတယ္ အဲဒီအေၾကာင္းအရာကေတာ့ သင့္အတြက္ အလုပ္ရွာေပးမယ့္အေၾကာင္းအရာေတြ ကုိ သင္ယုံၾကည္ေလာက္ေအာင္ေရးျပီး password ကုိမသိမသာေတာင္းတယ္ အလုပ္ကပဲလိုအပ္တဲ့ပုံစံမ်ိုဴး header မွာလည္း company တစ္ခုကပုိ ့လုိက္သေယာင္ဖန္တီးလုိက္ပါတယ္ အဲဒီမွာသင္ကယုံျပီးေတာ့ password ေပးလုိက္ရင္ေတာ့ အဟတ္ခံရျပီခင္ဗ်ာ ေနာက္တစ္နည္းကေတာ့ သင္ဂ်ီေတာ့မွာသင္ကုိယ္တုိင္စမ္းႏုိင္ပါတယ္ သင္နဲ ့ခ်က္ေနတဲ့ေကာင္မေလးရဲ ့ mail ထဲမွာဘာေတြေရးထားမွန္းမသိခ်င္ဘူးလား သင္သူနဲ ့ခ်က္ေနရင္းနဲ ့တစ္ခ်ိန္တည္းမွာ gmail ကုိ log in ၀င္ၾကည့္ပါ password ကုိသင့္မသိပါဘူး ဒါေပမယ္ေလွ်ာက္ရုိက္ထည့္ပါ ေသခ်ာပါတယ္ ၀င္သြားမွာမဟုတ္ပါဘူး အဲဒီအခါၾကရင္ gmail မွာ forgot password recovery မွာဘာေပၚလာမလဲေစာင့္ၾကည့္ပါ ကြ်န္ေတာ္သိ သေလာက္ႏွစ္ခုေပၚတယ္ တစ္ခုက secondary mail ေနာက္တစ္ခုက security question ။ secondary mail ေပၚလာရင္ဘာလုပ္ရမလဲ ဘာခက္တာမွတ္လုိ ့သူကိုေမးေပါ့ဗ်ာ ဒီအတုိင္းၾကီးေတာ့ ငါနင္ gmail ကုိေဖာက္မလုိ ့ေတာ့မလုပ္နဲ ့ေပါ့ဗ်ာ မေပးရုံသာမကပါးပါလာရုိက္လိမ့္မယ္ ဥပမာ u ဒီေမးကုိမလုပ္ခင္က ဘာေမးကုိသုံးတာလဲ ယူေမးကုိဘယ္သူ လုပ္ေပးတာလဲ ဆုိျပီး စကားလွေအာင္သုံးျပီးေမးေပါ့ဗ်ာ security question ကေတာ့မီးစင္ၾကည့္ကရမွာပဲ တစ္ခ်ိဳ ့ကေတာ့ phone no ျဖစ္ျဖစ္ေပးထာတက္တယ္ အဲဒါမ်ိဳးဆုိရင္တစ္ခ်က္ခုတ္ႏွစ္ခ်က္ျပတ္ ဖုန္းနံပါတ္ရတာနဲ ့ေမးပါၾကည့္လုိရသလုိျဖစ္သြားတယ္ သိပ္လည္းေပ်ာ္မေန နဲဦး တစ္ခ်ိဳ ့ကလည္း security question မွာ ေပါက္တက္ကရေတြ ေလွ်ာက္ေျဖထားတာ အၾကိဳက္ဆုံးအဆုိေတာ္ဆုိျပီး ေရာ္နယ္ဒင္ဟုိေတြ ဘာေတြ ျဖစ္ခ်င္ျဖစ္ေနတာ ကံေကာင္းရင္ေတာ့ ဟတ္လုိ ့ရမွာပါ 100% ေတာ့ေသခ်ာတဲ့ နည္းမဟုတ္ဘူး ဟုိတေလာတုံးကျဖစ္လုိက္ေသးတယ္ gmail password လုိခ်င္ရင္ gmail password ေပးရမယ္ဆုိတာေတြလည္း social engineering ပါပဲ ေနာက္တစ္မ်ိဳးကေတာ့ gmail team ကလုိလုိဘာလုိုလုိနဲ ့ညာတာေတြေရာ အဓိကကေတာ့ ကုိယ္ password ကုိဘယ္သူမွမေပးဖုိ ့ပါပဲ အခုေခတ္မွာ သမီးရည္းစားေတြအခ်င္းခ်င္း password လဲလွယ္တာကုိေတြ ့ဖူးပါတယ္ အားမေပးပါဘူး အကယ္လုိ ့အဲဒီေကာင္ေလးသုိ ့ေကာင္မေလးနဲ ့ျပတ္လုိ ့ ရွိရင္ေတာင္ password သိလုိ ့ကုိယ္အေၾကာင္းေတြသိေနလုိ ့ဖြခ်င္ဖြလုိ ့ရေသးတယ္ ဒါကတစ္ခ်က္ပါ ေနာက္တစ္ခ်က္က ကုိယ္ကတကယ္လက္တြဲျပီဆုိရင္ေတာ သူ ပါးစပ္မလုံလုိ ့ကုိယ္ password ေပါက္ၾကားရင္လည္းသြားပါျပီ အဲဒီေတာ့ ျဖစ္ႏုိင္ရင္ ကုိယ္မိန္းမက အစ password မေပးသင့္ပါဘူး password is private for only one. ေနာက္တစ္ခ်က္က password တစ္ခုတည္းကုိအၾကာၾကီးသုံးစြဲရင္ ၾကာလာရင္အဟတ္ခံရႏုိင္ပါတယ္ password ေတြကုိလည္း ရက္အကန္ ့အသတ္နဲ ့policy ေတြထားျပီး သုံးစြဲသင့္ပါတယ္ ေနာက္တစ္ခ်က္ password ေတြကုိ ရုိးရုိး simple alphabet ထက္စာရင္ alphabet+number+special character ပုံစံမ်ိဳးကပုိခုိင္မာပါတယ္ အဲလုိဆုိရင္ ကုိယ့္ password သိေနရင္ေတာင္ ဟတ္ဖုိ ့ကေတာ္ေတာ္ခဲယဥိးသြားပါျပီ ကြ်န္ေတာ္သိသေလာက္ကေတာ့ social engineer မဟုတ္ပဲ password ကုိတုိက္စစ္ျပီးဟတ္တဲ့နည္းသုံးနည္း ရွိပါတယ္ ပထမနည္းက xoper လုိ ့ေခၚပါတယ္ စကားလုံးသုံးလုံးမွ ငါလုံး ခန္ ့ရွိတယ့္ password အေသးေလးေတြ(အထူးသျဖင့္ရွစ္လုံးေအာက္) ဟတ္တာမွာသုံးပါတယ္ သူကလည္း guess attack သေဘာမ်ိဳးျဖစ္တဲ့အတြက္ ဟတ္ကာမထင္ေလာက္တဲ့ဟာမ်ိဳးကုိ password ထားရင္အဟတ္မခံရပါဘူး ္ေနာက္တစ္နည္းကေတာ့ Dictionary attack လုိ ့ေခၚပါတယ္ dictionary ထဲကစာလုံးေတြနဲ ့တုိက္စစ္ျပီးသုံးတာပါ ကုိယ္က dictionary ထဲကစာသား ေတြကုိတုိက္ရုိက္ၾကီးသုံးခဲ့ရင္ေတာ့ခံရမွာပဲ ေနာက္တစ္မ်ိိဳးကေတာ့ brutal froce attack လုိ ့ေခၚပါတယ္ သူကေတာ့ password ရွစ္လုံးနဲ ့အထက္သုံး တာမ်ားပါတယ္ ေကာင္းသေလာက္အခ်ိန္ၾ႔ကာျမင့္တဲ့အတြက္ ေဆးခါးၾကီး လုိ ့ေျပာႏုိင္ပါတယ္သူကေတာ့ ရွိသမွ် keyေတြ အကုန္လုံးကုိတုိတ္စစ္တဲ့ အတြက္အခ်ိန္ၾကာေပမယ့္ မလြတ္ပါဘူး ဥပမာ ကြ်န္ေတာ္တုိ ့keyboard မွာ 128 လုံးရွိတယ္ဆုိပါစို ့ probability က 1/128 ပါ ရွစ္လုံးစာအတြက္ ဆုိရင္ ရွစ္လုံးစလုံးမွန္ရမယ္ဆုိတဲ့အတြက္ P1 (probability of 1st stroke) password= p1 x p2 x p3 x p4 x p5 x p6 x p7 x p8 = 1/128 x 1/128 x 1/128 x 1/128 x 1/128 x 1/128 x 1/128 x 1/128 x 1/128 =(1/128) to the power 8