Phishing (fishing(ဖစ်ရှင်း) လို့အသံထွက်) သည် အအောင်မြင်ဆုံးနဲ့ အထိခိုက်အများဆုံး ဆိုက်ဘာပြစ်မှုအဖြစ် ရပ်တည်လျှက်ရှိသည်မှာ ဆယ်စုနှစ် နှစ်ခုစာလောက် ရှိနေပါပြီ။ အခြားသော ကွန်ပျူတာစနစ်ထဲထိ ဝင်ရောက်ဖို့လိုအပ်တဲ့ နည်းပညာ အမြတ်ထုတ်မှုတွေနဲ့ မတူတာက phishing ဆိုသည်မှာ လူတွေကို လှည့်စားလိမ်လည်ပြီး အရေးကြီး၊ အတွင်းကျတဲ့ အချက်အလက်များ ဥပမာ- အကောင့်နာမည်၊ စကားဝှက်တွေကို နှိုက်ယူတဲ့ နည်းလမ်းတစ်မျိုးဖြစ်ပါတယ်။ ဒီနေ့ခေတ်လူတွေရဲ့ လက်ထဲကို smartphone တွေရောက်လာတာနဲ့အမျှ phishing လုပ်သူတွေရဲ့ ကစားကွင်းကလည်း ပိုပြီးကြီးလာပါတယ်။ နိုတီတွေ၊ လင့်ခ်အတိုတွေနဲ့ ဖုန်းထဲမှ ယုံကြည်ရသူတွေ ကိုအသုံးချတိုက်ခိုက်လာနိုင်တဲ့ အတွက် နောက်ပိုင်းတွေမှာ ပိုပြီးတော့ယုံကြည်ချင်စရာလည်းကောင်းသလို အောင်မြင်နိုင်ဖို့အခွင့်အရေးကလည်း ပိုများလာပါတယ်။
Anti-Phishing Working Group (APWG) ရဲ့အဓိပ္ပာယ်ဖွင့်ဆိုချက်အရ phishing ဆိုသည်မှာ social engineering (လူသားချင်း ဆက်ဆံမှုမှရရှိနိုင်သော မသမာမှုများ) နှင့် technical subterfuge (နည်းပညာဖြင့် လိမ်လည်၊ လမ်းလွှဲ၊ အသာစီးရအောင်လုပ်ခြင်း) များကို အသုံးချပြီး ပစ်မှတ်ထားသူတို့၏ ကိုယ်ပိုင်အမှတ်အသား ဒေတာ၊ ငွေကြေးဆိုင်ရာ အကောင့် အထောက်အထားများ ကိုခိုးယူဖို့ ကြိုးစားတဲ့ ပြစ်မှုတွေကို ဆိုလိုခြင်းဖြစ်ပါတယ်။ သူ့ရဲ့ပင်မ ကျောရိုးက social engineering သုံးပြီးတိုက်ခိုက်တာဖြစ်တယ်။ တိုက်ခိုက်တဲ့သူက ယုံကြည်ရတဲ့ အရာတစ်ခုဖြစ်မယ့် ဘဏ်၊ ပစ္စည်းပို့ကုပ္မဏီ၊ အစိုးရအေဂျင်စီ၊ သူငယ်ချင်းယောင်ဆောင်ပြီး လက်ခံမဲ့သူကို ထိခိုက်စေနိုင်မယ့် အပြုအမူမျိုးတွေဖြစ်စေအောင် လင့်ခ် သို့အဟုတ် မတ်ဆေ့စ်များနှင့် လှည့်စားဖို့ကြိုးစားတာဖြစ်တယ်။ အဆိုပါ လင့်ခ် သို့အဟုတ် မတ်ဆေ့စ်တွေကိုလည်း အရေးပေါ်၊ စိုးရိမ်၊ သိချင်တဲ့ စိတ်တွေဖြစ်ပေါ်အောင် ဖန်တီးထားတတ်ပါတယ်။ အရင်ခေတ်တွေတုန်းကတော့ E-mail တွေကပဲအဓိကထား တိုက်ခိုက်ခဲ့ပေမယ့် အခုချိန်မှာတော့ ဖုန်းတွေကိုအသုံးပြုပြီး QR ကုဒ်တွေပါပို့နိုင်တဲ့ အထိနေရာတိုင်းမှာရှိလာပါပြီ။
SMS (မတ်ဆေ့စ်) အနေနဲ့ phishing လုပ်တာကို “smishing” လို့ခေါ်ပါတယ်။ ဖုန်းရဲ့ကိုယ်ပိုင် SMS ကတိုက်ရိုက်လည်းလာတတ်သလို (ဥပမာ- ပရိုမိုးရှင်းအကြောင်း၊ ဘာကိုနှိပ်လိုက်ရင်၊ ညာကိုနှိပ်လိုက်ရင် ဆိုတဲ့ပုံစံ)၊ အခုနောက်ပိုင်း Telegram, WhatsApp တွေမှာပါ (ဥပမာ- ဒီဟာကမင်းပုံမှတ်လား ဆိုပြီး လင်ခ့်နဲ့ အီမိုဂျီနဲ့လာတဲ့ ပုံစံမျိုး) ထိပါရောက်လာတာကို တွေရပါတယ်။ ဆိုရှယ်မီဒီယာ ပလပ်ဖောင်းတွေနဲ့ QR ကုဒ်တွေကို အသုံးပြုပြီး phishing လုပ်တာကို “quishing” လို့ခေါ်ပြီး မြန်မာနိုင်ငံထဲမှာတော့ စာရေးသူသိလောက် တွေ့ရတာမျိုးမရှိသေးပါဘူး။ လင့်ခ်ကိုနှိပ်လိုက်တာနဲ့ နောက်တစ်ဆင့်ဆက်သွားပါတယ်။ တချို့ပုံစံတွေမှာ လင့်ခ်ကနေ အစစ်နဲ့ဆင်တူတဲ့ ဝက်ဘ်ဆိုဒ်အတုတစ်ခုကို ခေါ်သွားပြီး အကောင့်ဝင်အောင်လုပ်တယ်။ ထည့်လိုက်တဲ့ အသေးစိတ်ဒေတာတွေကို ခိုးယူသွားတယ်။ Android (အန်းဒရိုက်) စက်တွေမှာဆိုရင်၊ အသုံးပြုသူကို မသမာတဲ့ “လုံခြုံရေး အက်ပ်” တွေကို ဒေါင်းလုပ်ချမိအောင် ရေးထားပြထားတတ်ပါတယ်။ ဒါပေမယ့် အမှန်မှာတော့ spyware, malware တွေဖုန်းထဲကိုထည့်မိမှာဖြစ်တယ်။
တိုက်ခိုက်တဲ့သူတွေက ဖုန်းတွေကိုပိုပြီး ပစ်မှတ်ထားပါတယ်။ မျက်နှာပြင်သေးတဲ့အတွက် ဝက်ဘ်ဆိုဒ် လိပ်စာတွေကိုဖွတ်ထားလို့ရသလို၊ မသိမသာကွဲပြားနေတာတွေကိုလည်း သတိထားမိဖို့ ခက်ခဲစေပါတယ်။ လူတွေကလည်း ဖုန်း SMS ကိုယုံကြည်ကြတဲ့ အတွက် အရေးပေါ်လုပ်ဖို့ပါတဲ့ မတ်ဆေ့စ်တွေကိုမြင်ရင် သေချာမစစ်ဆေးပဲလုပ်မိတတ်ကြတဲ့ သဘာဝရှိပါတယ်။ ဥပမာအားဖြင့် ၂၀၂၂-၂၀၂၃ ခုနှစ် စင်္ကာပူနိုင်ငံမှာ ရာပေါင်းများစွာသော ဘဏ်ကာစတန်မာတွေကို SMS phishing ကတဆင့် ဘဏ်ဝက်ဘ်ဆိုဒ်အတု တစ်ခုပေါ်ကိုရောက်အောင်ခေါ်သွားနိုင်တဲ့အတွက် မီလီယန်များစွာ အလိမ်ခံလိုက်ရတဲ့ အဖြစ်မျိုးလဲရှိပါတယ်။ APWG ရဲ့နောက်ဆုံး သတင်းပို့ချက်အရ ၂၀၂၄ ရဲ့ လေးလပိုင်း နဲ့ ၂၀၁၅ အစောပိုင်းမှာ phishing အမှုပေါင်း ၁ မီလီယံလောက်ရှိပြီး အမြင့်ဆုံးအဖြစ် စံချိန်တင်ထားပါတယ်။
တကယ်တော့ ဒီလိုနည်းလမ်းကို သိပြီးသူတွေရှိသလို အသိပညာပေးကမ်ပိန်းတွေ၊ နည်းပညာအကာအကွယ်တွေ အများကြီးရှိလာပေမယ့် ဘာဖြစ်လို့ ဒီနည်းလမ်းက အလုပ်ဖြစ်နေသေးတာလဲ။ Proofpoint ရဲ့ State of the Phish 2024 စီရင်ခံစာအရ ၇၀% သောသူတွေက သိရဲ့သားနဲ့ ဖြစ်သွားတာလို့ ဝန်ခံထားကြပါတယ်။ တိုက်ခိုက်တဲ့သူတွေက လူတွေရဲ့ စကားဝှက်အတူတူထားတတ်တဲ့ အကျင့်နဲ့ ဖိအားပေးခံရရင် မြန်မြန်လုပ်မိတတ်တဲ့ အကျင့်ကိုအဓိကအသုံးချတာဖြစ်တဲ့အတွက် လက်ရှိအချိန်ထိ အောင်အောင်မြင်မြင်ရှိနေနိုင်သေးတာပဲဖြစ်ပါတယ်။
Phishing မှကာကွယ်နိုင်ဖို့အတွက် နည်းပညာလည်း လိုအပ်သလို၊ အထူးသဖြင့် ဖုန်း အသုံးပြုပုံနဲ့ပတ်သတ်တဲ့ အကျင့်တွေကိုလည်း ပြင်ရပါမယ်။ နည်းပညာဘက်ခြမ်းမှာ Safe browsing feature ဆိုတဲ့ မလုံခြုံတဲ့ လင်ခ့်တွေကို ပိတ်ပေးမဲ့ feature ကိုအသုံးပြုသင့်သလို၊ SMS နဲ့ မတ်ဆေစ့်ပို့ အက်ပ်များအတွက်လည်း သံသယရှိတဲ့ လင်ခ့်တွေကို စကန်နိုင်တဲ့ အက်ပ်တွေကို အသုံးပြုသင့်ပါတယ်။ (ဥပမာ- McAfree Security, AVG AntiVirus)။ Google မှာဆိုရင် google authenticator အက်ပ်ရှိလာပြီဖြစ်တဲ့ အတွက် နှစ်ဆင့်ခံလုံခြုံရေးကို အပြင်ကနေလှမ်းအတည်ပြုတာမျိုးမဟုတ်ပဲနဲ့ ဖုန်းထဲကနေပဲ ကုဒ်ယူလို့ရနိုင်တဲ့ အတွက် အသုံးပြုသင့်တဲ့ အက်ပ်တစ်ခုဖြစ်ပါတယ်။
အသုံးပြုသူဖက်ကနေဆိုရင် တချို့အကျင့်လေးတွေကို သတိထားပြင်လိုက်ရင် သိသိသာသာ risk လျှော့ချနိုင်ပါတယ်။ အထူးသဖြင့် အရေးပေါ် သို့မဟုတ် ငွေကြေးဆိုင်ရာ ပြဿနာအကြောင်းအရာတွေပါတဲ့ မတ်ဆေစ့်တွေ မြင်တဲ့အခါမှာ သတိရှိဖို့လိုပါတယ်။ လင့်ခ်ကို မဝင်ခင်မှာ အကြာကြီးဖိထားရင် အစမ်းကြည့်လို့ရတဲ့ function ကိုလဲ အသုံးပြုသင့်ပါတယ်။ တရားဝင်နေရာက မဟုတ်ပဲ အပြင်ဆိုဒ်က အက်ပ်ဒေါင်းလုပ်ချတာမျိုးမလုပ်သင့်ပါ။ Andriod ဖုန်းတွေမှာဆိုရင် “install from unknown sources” ဆိုတဲ့ အပြင်ကလာတဲ့ အရာတွေကိုသွင်းလို့မရအောင် ပိတ်ထားလို့ရပါတယ်။
ကာကွယ်ဖို့နည်းလမ်း၊ အသိပညာပေးတွေအများကြီးရှိပေမယ့် လူတွေရဲ့ နည်းပညာအရအပြင် စိတ်ခံစားချက်အပေါ်ပါ အသုံးချတာဖြစ်တဲ့အတွက် အလှမ်းဝေးပြီး ဗဟုသုတနည်းပါးတဲ့ သူတွေအပေါ်မှာ အလုပ်ဖြစ်နေဦးမှာပဲဖြစ်ပါတယ်။ သို့ပေမယ့် ခိုင်မာတဲ့အကာအကွယ်နည်းလမ်းများကို ကျင့်သုံးခြင်း၊ နည်းပညာများကို အသုံးချခြင်း၊ ဝေမျှခြင်းဖြင့် ကိုယ်အပါအဝင် သက်ဆိုင်သူများကိုပါ အကာအကွယ်ပေးခြင်းဖြင့် လျှော့ချနိုင်ပါတယ်။ နောက်ဆုံးအနေနဲ့ အထိရောက်ဆုံး အကာအကွယ်မှာ ခေတ်မီကိရိယာများကို အသုံးပြုခြင်းနှင့်အတူ လင်ခ့်တွေကို မနှိပ်ခင်မှာစစ်ဆေးခြင်း၊ သက်ဆိုင်ရာများနှင့် အရင်ဆက်သွယ်ခြင်း အကျင့်များ ဖြစ်ကြောင့် အသိပေးရင်း နိဂုံးချုပ်လိုက်ပါတယ်။