လူမႈအင္ဂ်င္နီယာ - Social Engineering

နာမည္ေလးကေတာ့ အမိုက္စား၊ အပ်ံစား။ တကယ္ေလ့လာ ၾကည့္လိုက္ေတာ့ ကြန္ပ်ဳတာစနစ္ လံုျခံဳေရးနယ္ပယ္တြင္ လူေတြကို နည္းမ်ဳိးစံုႏွင့္ ယံုၾကည္လာေအာင္ ဖန္တီး လွည့္စားျပီး အေရးၾကီးေသာ အခ်က္အလက္မ်ားကို မိမိအတြက္ အျမတ္ထုတ္ ႏိုင္ေစရန္ အၾကံအဖန္လုပ္သည့္ နည္စနစ္မ်ားကို ေပါင္းစပ္ ေခၚထားသည့္ အမည္ ျဖစ္ေနသည္။
ဤအမည္ကို ႏိုင္ငံေရး သိပၸံ (political science) နယ္ပယ္တြင္လည္း ခပ္ဆင္ဆင္ အသံုးျပဳၾကသည္။ လိမ္တာေတာ့ မဟုတ္။ အယူ၀ါဒေရးရာ ပိုင္းအရ လူအမ်ားအေပၚ လႊမ္းမိုးမႈရေအာင္ ၾကိဳးစားေသာ ဘာသာရပ္ တစ္ခု ျဖစ္သည္။ Political engineering ဟုလည္းေခၚသည္။ အေသးစိပ္ သိလိုလွ်င္ေတာ့ျဖင့္ -http://en.wikipedia.org/wiki/Social_engineering_%28political_science%29- တြင္ ေလ့လာႏိုင္ပါသည္။

ကြန္ပ်ဳတာ စနစ္လံုျခံဳေရးနယ္ပယ္တြင္ “လူမႈအင္ဂ်င္နီယာ” အလုပ္မ်ားက သာမန္လိမ္လည္ လွည့္ျဖားျခင္းမ်ဳိး (Frud) ထက္ အဆင့္ အတန္းျမင့္ သကဲ့သို႕၊ အယံုသြင္းျပီးတပတ္ရုိက္ျခင္း (Confidence trick) ႏွင့္လည္း အနည္းငယ္ ျခားနားသည္။ တစ္ဖက္သားကို အယံုသြင္း ရသည့္ ေနရာတြင္ေတာ့ သံုးမ်ဳိးလံုး အေတာ္မ်ားမ်ားတူညီမႈ ရွိသည္။ သို႕ေသာ္ လူမႈအင္ဂ်င္နီယာ တစ္ေယာက္က သားေကာင္ ထံမွ သတင္း အခ်က္အလက္မ်ား ကိုရရွိေစရန္ သို႕မဟုတ္ သားေကာင္၏ ကြန္ပ်ဳတာ စနစ္ကို ထိေတြ႕ အသံုးျပဳခြင့္ရေစရန္ အတြက္ အဓိက အားထုတ္ၾကိဳးပမ္း ေလ့ရွိျပီး “သားေကာင္”ႏွင့္ မည္သည့္အခါတြင္မဆို မ်က္ႏွာျခင္းဆိုင္ေတြ႕ျခင္း၊ လူခ်င္းေတြ႕ျခင္း မရွိေပ။

နည္းစနစ္မ်ား ႏွင့္ အေခၚအေ၀ၚမ်ား
“လူမႈအင္ဂ်င္နီယာ နည္းစနစ္မ်ား” အားလံုးသည္ လူသားတို႕၏ ေတြးေတာဆင္ျခင္မႈ အပိုင္းမွ အားနည္းခ်က္မ်ား ျဖစ္ေသာ ဘက္လိုက္မႈမ်ား၊ အစြဲမ်ား (Cognitive biases) - အေပၚတြင္ အေျခခံ ထားသည္။ အဆိုပါ ဘက္လိုက္တတ္ေသာ အားနည္းခ်က္မ်ားမွာ အဓိက အားျဖင့္ အုပ္စု (၃) စု ရွိသည္။

• ဆံုးျဖတ္ခ်က္ ခ်ျခင္း ႏွင့္ အျပဳအမူဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
• ၃၀ ခု ရွိပါသည္။
• ဥပမာ - Bandwagon effect - အျခားေသာသူမ်ား အားလံုးက လုပ္ေနေသာ (သို႕မဟုတ္ ယံုၾကည္ေနေသာ) အရာျဖစ္၍ လိုက္လုပ္ျခင္း။
  

• ျဖစ္ႏိုင္ေခ် ႏွင့္ ယံုၾကည္မႈ ဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
• ၂၂ ခု ရွိပါသည္။
• ဥပမာ - Positive outcome bias - ျဖစ္လာေသာ အေၾကာင္းအရာမ်ားအေပၚ အေကာင္းမ်ားခ်ည္း ျဖစ္လာမည္ဟု လိုသည္ထက္ ပို၍ ခန္႕မွန္းျခင္း။
  

• လူမႈ ဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
• ၁၉ ခု ရွိပါသည္။
• ဥပမာ - False consensus effect - အမ်ားက လက္ခံသတ္မွတ္ထားသည့္ အေျခအေနထက္ လူတစ္ဦး (သို႕) အမ်ားကို ပို၍ ခန္႕မွန္းျခင္း။
  

လူမႈအင္ဂ်င္နီယာမ်ားသည္ အထက္တြင္ ေဖာ္ျပထားခဲ့သည့္ ဘက္လိုက္တတ္ေသာ ခၽြတ္ယြင္းခ်က္မ်ားကို နည္းအမ်ဳိးမ်ဳိးျဖင့္ ေပါင္းစပ္ အသံုးခ်ကာ တိုက္ခိုက္မႈနည္းစနစ္မ်ားကို ေဖာ္ေဆာင္ၾကေလ့ရွိသည္။ ၄င္းတို႕အနက္မွ အခ်ဳိ႕ကို ေအာက္တြင္ ေဖာ္ျပထားပါသည္။

၁. ယိုးမယ္ဖြဲ႕ လွည့္စားျခင္း (Pretexting)
ဤနည္းစနစ္မွာ ၾကိဳတင္ တီထြင္ လုပ္ၾကံဖန္တီး ထားေသာ အေၾကာင္းအရာ တစ္ခုကို အသံုးျပဳလ်က္ ပစ္မွတ္ထားေသာ “ သားေကာင္” ထံမွ
- လိုခ်င္ေသာ အခ်က္အလက္မ်ား ေပၚထြက္လာေအာင္ သို႕မဟုတ္
- တစ္ခုခု ေဆာင္ရြက္လာေအာင္ လွည့္ဖ်ား ေသြးေဆာင္သည့္ ေဆာင္ရြက္ခ်က္ ျဖစ္သည္။
အမ်ားအားျဖင့္ တယ္လီဖုန္းျဖင့္ လုပ္ေဆာင္တတ္ၾကသည္။ သာမန္ ရိုးစင္းေသာ လိမ္လည္မႈမ်ဳိး မဟုတ္ဘဲ
- ၾကိဳတင္ ေလ့လာ စံုစမ္းထားေသာ အခ်က္အလက္မ်ား၊
- အကြက္ခ် စီစဥ္ထားေသာ လုပ္ကြက္မ်ား ႏွင့္
- ေမြးေန႕၊ ႏိုင္ငံသားအမွတ္ ၊ ေနာက္ဆံုးေပးေခ်လိုက္ေသာ ေငြစာရင္း စသည့္ အရာတစ္ခုခုကို သိေအာင္ ျပဳလုပ္ကာ
- အဆိုပါ အခ်က္အလက္မ်ား ႏွင့္ ပတ္သက္၍ တာ၀န္ရွိသူတစ္ဦး အျဖစ္ “သားေကာင္” ကို အယံုသြင္း လွည့္စားျခင္း ျဖစ္သည္။

စီးပြားေရးလုပ္ငန္း တစ္ခုခုထံမွ ေဖာက္သည္မ်ားႏွင့္ သက္ဆိုင္ေသာ အခ်က္အလက္မ်ား ဖြင့္ေျပာလာေအာင္ လွည့္စားလိုသည့္ အခါမ်ားတြင္ ဤနည္းစနစ္ကို မၾကာခဏ သံုးေလ့ရွိၾကသည္။ အလြတ္စံုေထာက္မ်ား အေနျဖင့္ တယ္လီဖုန္း မွတ္တမ္းမ်ား၊ ၀န္ေဆာင္မႈ မွတ္တမ္းမ်ား၊ ဘဏ္စာရင္းမ်ား ႏွင့္ အျခားေသာ အခ်က္အလက္မ်ားကို အငယ္တန္း ကုမၸဏီ ၀န္ထမ္းမ်ား ထံမွ တိုက္ရိုက္ ႏိႈက္ထုတ္ လိုသည့္အခါတြင္လည္း ဤနည္းစနစ္ကို သံုးၾကသည္။ ထို႕ေနာက္ ရလာေသာ အခ်က္အလက္မ်ားကို အေျခခံလ်က္ ပိုမို အဆင့္ျမင့္ တာ၀န္ရွိေသာသူမ်ား (ဥပမာ - မန္ေနဂ်ာ) ထံ ခ်ဥ္းကပ္ကာ မိမိတို႕ အေနျဖင့္ ၄င္းအခ်က္အလက္မ်ား၏ ပိုင္ရွင္ အမွန္ျဖစ္ေၾကာင္း ထင္ျမင္လာေစရန္ အယံုသြင္းျခင္း (ေငြစာရင္း အမွတ္မ်ား ေျပာင္းလဲျခင္း၊ တိက်ေသာ စာရင္း အမွန္မ်ား ေတာင္းယူျခင္း) မ်ား လုပ္ေဆာင္ တတ္ၾကသည္။

အေမရိကားရွိ ကုမၸဏီအမ်ားစုသည္ ေဖာက္သည္ တစ္ဦးကို မွန္/မမွန္ စစ္ေဆးလိုသည့္ အခါ ၄င္း၏ ႏိုင္ငံသား စိစစ္ေရးအမွတ္ (Social Security Number)၊ ေမြးေန႕ စသည့္ အရာတစ္ခုႏွစ္ခုကိုမွ်သာ ေမးျပီး အတည္ျပဳေလ့ ရွိၾကသည္။ အမွန္တကယ္အားျဖင့္ အဆိုပါ အခ်က္အလက္မ်ားကို အမ်ားျပည္သူဆိုင္ရာ မွတ္တမ္းမ်ား (ကိုယ္ခႏၶာဆိုင္ရာ မွတ္တမ္းမ်ား၊ လူ၀င္မႈဆိုင္ရာ မွတ္တမ္းမ်ား၊ အိမ္ျခံေျမ မွတ္တမ္းမ်ား၊ ယာဥ္ေမာင္းႏွင္မႈ မွတ္တမ္းမ်ား၊ ရာဇ၀တ္မႈ မွတ္တမ္းမ်ား - စသည္) ကို အင္တာနက္မွ အလြယ္တကူ ရယူႏိုင္ေပသည္။ ဤစစ္ေဆးနည္းမွာ အလြန္ပင္ ထိေရာက္မႈ ရွိျပီး ေနာက္ထပ္ ပိုမို ေကာင္းမြန္ေသာ စစ္ေဆးေရးနည္းလမ္း တစ္ခုကို မေတြ႕မခ်င္း အသံုး၀င္ေနမည္သာ ျဖစ္သည္။

ယိုးမယ္ဖြဲ႕ လွည့္စားျခင္းနည္းမ်ား ကို

• အစုအစပ္ လုပ္ငန္းမ်ား၊ ရဲမ်ား၊ ဘဏ္မ်ား၊ အေကာက္ခြန္ ႏွင့္ အာမခံလုပ္ငန္းမ်ားမွ တာ၀န္ရွိသူမ်ား - သို႕မဟုတ္
  
• အျခားတာ၀န္ရွိေသာ တစ္ဦး တစ္ေယာက္မဆို သို႕မဟုတ္
  
• ပစ္မွတ္ထားသည့္ အေၾကာင္းအရာ ႏွင့္သက္ဆိုင္သည့္ အေျဖ တစ္ခုခုရရွိႏိုင္သူ တစ္ဦးကို
  
• တယ္လီဖုန္းမွတဆင့္ (လူခ်င္းမေတြ႕ရဘဲ) အေယာင္ေဆာင္ အယံုသြင္းလိုသည့္ အခါ အမ်ားဆံုး အသံုးျပဳၾကသည္။
  
• လွည့္စားသူ အေနျဖင့္ “ပစ္မွတ္” မွ ေမးလာႏိုင္ေသာ အေၾကာင္းအရာမ်ား၊ ေမးခြန္းမ်ား အတြက္ အေျဖမ်ားကို ၾကိဳတင္ ျပင္ဆင္ ထားလိုက္ရံုသာ ျဖစ္သည္။
  
• အခ်ဳိ႕ျဖစ္ရပ္မ်ားတြင္ ဆိုလွ်င္
  
• ေယာက်ၤား/မိန္းမ အသံ အမွန္အတိုင္း ျဖစ္ရံု၊
  
• အရိုးသားဆံုး ေလသံ အေနအထား ႏွင့္
  
• ေျခေထာက္ဖက္ ေတာင္းပန္ေတာ့မတတ္ အေျပာအဆို မွ်ေလာက္ႏွင့္ အလုပ္ ျဖစ္သြားတတ္ၾကေလသည္။

ခုေနာက္ပိုင္းတြင္ VOIP ပရိုဂရမ္မ်ားမွာ လွည့္စားသူမ်ား၏ စံထား အသံုးျပဳေသာ အရာတစ္ခု ျဖစ္လာသည္။ ေျခရာခံႏိုင္ေလာက္သည့္ ဂဏန္းမ်ား၊ နံပါတ္မ်ား က်န္ေနရစ္ခဲ့ျခင္း မရွိမႈသည္လည္း အခ်က္တစ္ခု ျဖစ္လာသည္။

ဆက္လက္ ေဖာ္ျပပါမည္ ....

ရည္ညြန္း -
-http://en.wikipedia.org/wiki/Social_engineering_%28security%29
-http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci531120,00.html
-http://www.securityfocus.com/infocus/1527
-http://en.wikipedia.org/wiki/List_of_cognitive_biases