သင့် EMAIL အဟက်မခံရအောင် ရှောင်ရန် ဆောင်ရန်လေးတွေ

ဒီေရOctober 15, 20114min2049

Email အဟက်ခံရတယ်ဆိုတာဟာ များသော အားဖြင့် ဟောဒီ အချက်တွေကြောင့်ပဲ ဖြစ်နိုင်ပါတယ်။

၁။ social engineering ဆိုတဲ့ အယုံသွင်းပြီး password ကိုယူသွားတာ
၂။ cookies အခိုးခံရတာ
၃။ key logger လိုဟာမျိုးနဲ့ ကိုယ်ရိုက်ထားသမျှတွေထဲကနေ password ကိုသိသွားတာ

ကျွန်တော် သိသလောက်ကတော့ ကျွန်တော်တို့ဆီမှာ ကြုံကြရတာဟာ အမှတ်(၁) အမျိုးအစား က များပါတယ်။ Gmail team ကလိုလို၊ တခြား ယုံကြည်ရတဲ့ Site တစ်ခုခုက လိုလိုနဲ့စာတွေပို့ပြီး အယုံသွင်း တတ်ကြပါတယ်။ များသောအားဖြင့် အင်္ဂလိပ်စာ ကျွမ်းကျင်တဲ့ သူတွေ ပိုပြီးခံရကြပါတယ်။ ပြီးတော့ လူ့လောဘကို အသာလေးဆွပေးလိုက်တဲ့ စာမျိုးတွေလည်း လာတတ်ပါသေးတယ်။

တစ်ခြားသူ တစ်ယောက်ယောက်ရဲ့ password ကိုသိချင်ရင် သူပို့လိုက်တဲ့ အထူးပရိုဂရမ် ကိုသုံးကြည့်ဖို့ ပေါ့လေ။ လူတိုင်းဟာ သူများရဲ့ အတွင်းရေးကို သိချင်ကြသူတွေချည်းပဲမဟုတ်လား။ အဲဒီအချိန်မှာ သတိလွတ်သွားပြီး သူတောင်းတဲ့အတိုင်း ကိုယ့် password ကို ပေးလိုက်မိပါတယ်။ ပြီးရင် တစ်ဖက်က စာပြန်လာတတ်ပါတယ်။ မင်းသိချင်တာအတွက် အလုပ်လုပ်နေဆဲမို့လို့ ခဏစောင့်ပါ ဘာညာပေါ့လေ။
အဲဒါကတော့ auto responder လုပ်ထားလို့ ပြန်ရောက်လာတဲ့စာပါပဲ။ ကိုယ့်မေး(လ်) နဲ့ password ကတော့ သူ့ဆီရောက်သွားပါပြီ။ ကြုံဖူးရင်ကြုံဖူးကြမှာပါ။ ဒီတော့ကာ အဲဒီလို စာမျိုးတွေကို ဘယ်တော့မှ မယုံပါနဲ့။ ဒီလိုလုပ်လို့ သူများ password ကို ဘယ်လိုမှ မသိရနိုင်ပါဘူး။ တစ်ဖက်က mail server ထောင်ထားတဲ့ သူတွေကလဲ သူငယ်နှပ်စားလေးတွေမှ မဟုတ်တာ။ သူတို့ဒီလောက်တောင် အ, ရင် ကုန်သွားတာကြာပြီပေါ့။

အမှတ်(၂) အမျိုးအစားကတော့ ခင်ဗျားတို့လောလောဆယ် အီးမေး(လ်)ကဲ့သို့သော login name နဲ့ password သုံးရတဲ့ ဆိုက်မျိုး တစ်ခုခုကို ဝင်နေချိန်မှာ အဲဒီ အချက်အလက်တွေကို ခင်ဗျားတို့ရဲ့ browser က ယာယီဖိုင်ကလေးတွေဖြစ်တဲ့ cookies လေးတွေအဖြစ် စက်ထဲမှာ သိမ်းထားပါတယ်။ အဲဒါမျိုးကို တစ်ဖက် ဆာဗာကနေ java code, php code လို script လေးသုံးပြီး ယူလိုက်လို့ရပါတယ်။ ပြီးရင် သူ့ဆာဗာ တစ်နေရာမှာ သိမ်းထားလိုက်မှာပေါ့လေ။ နောက်တော့မှ အဲဒီ cookies တွေကို သူ့ browser ထဲကို import လုပ်လိုက်ရင် ခုနက ခင်ဗျား login ဝင်ထားတဲ့ အနေအထားမျိုးပြန်ဖြစ်သွားပြီး ခင်ဗျားရဲ့ မေး(လ်)ထဲကို ရောက်သွားပါလိမ့်မယ်။

အဲဒီလို cookies ခိုးတာဟာ server side script ရော client side script ရော နှစ်မျိုးစလုံးနဲ့ လုပ်လို့ရပါတယ်။
Firefox plug-in တွေဖြစ်တဲ့ grease monkey တို့ chicken foot တို့လိုဟာမျိုးတင်ထားပြီး၊ java script ထည့်ထားရင် အဲဒီ ပရိုဂရမ်ဟာ background process အဖြစ်နဲ့ ခင်ဗျားရဲ့ cookie တွေကို အချိန်တိုင်း သူ့ဆာဗာဆီကို လှမ်းပို့နေပါလိမ့်မယ်။ အဲဒါမျိုးကို antivirus တွေမသိနိုင်ပါဘူး။
ဒီတော့ကာ ဆိုင်မှာသုံးတဲ့အခါ ကိုယ်သုံးမဲ့ Firefox က add-on နေရာမှာ ဘာတွေရှိနေ သလဲဆိုတာ အရင်ကြည့်ကြည့်ပါ။ grease monkey တို့ chicken foot တို့တွေ့ရင် uninstall လုပ်လိုက်ပါ။

ပြီးတော့က WOT Web of Trust ဆိုတဲ့ Firefox plug-in တစ်ခုကိုတင်ထားစေချင်ပါတယ်။ သူက စိတ်ချရတဲ့ Site အဆင့်အတန်းကို ဝါ စိမ်း နီ အရောင်နဲ့ပြပါတယ်။ အနီရောင်ဆိုရင် ဝင်မကြည့်သင့်ပါဘူး။ များသောအားဖြင့် crack.ms တို့လို password တွေ serial တွေပေးတဲ့ Site တွေ နဲ့ porn site တွေဟာ စိတ်မချရပါဘူး။ နောက်ပြီးတော့ Beef ဆိုတဲ့ browser exploitation framework တစ်ခုရှိပါသေးတယ်။

ဟောဒီ link ကနေ သွားကြည့်ကြပါ။ http://www.bindshell.net/tools/beef အဲဒီဟာကတော့ server side application တစ်ခုဖြစ်ပြီး ကိုယ်ဆာဗာပေါ်မှာ အဲဒါကိုတင်ထားပြီး သူလုပ်ခိုင်းတဲ့အတိုင်း configuration လုပ်ထားရင်၊ admin panel ကနေ ကိုယ့်ဆီလာကြည့်သမျှစက်တွေထဲကို လုပ်ချင်တာလုပ်လို့ရနေတဲ့ သဘောရှိပါတယ်။ XSS proxy ပုံစံမျိုးပါပဲ။ XSS နားလည်တဲ့သူတွေကတော့ သဘောပေါက်ကောင်း ပေါက်နိုင်ပါတယ်။ ဒေါင်းပြီး ကိုယ့်စက်ထဲမှာ စမ်းကြည့်လို့လဲရပါတယ်။ တကယ်ဖြစ်ပါတယ်။ ကျွန်တော် စမ်းပြီးသားပါ။ အဲဒီလိုဟာမျိုးတွေကိုလဲ ကြောက်ရပါတယ်။

အမှတ်(၃) အမျိုးအစားဖြစ်တဲ့ key logger ဆိုတာကတော့ ကီးဘုတ်က ရိုက်သမျှတွေအကုန်လုံးကို စက်ထဲမှာ ဖိုင်လေးတွေဖွင့်ပြီး သိမ်းထားတဲ့ဟာမျိုးပါပဲ။ ဒီတော့ကာ ခင်ဗျားရိုက်သမျှကိုသိရပြီပေါ့ဗျာ။ ဒါကတော့ task manager ကနေကြည့်ရင် ဘာ run နေလဲဆိုတာသိနိုင်ပါတယ်။ စိတ်မချရတဲ့ဆိုက်ဆိုရင် မသွားနဲ့ပေါ့။ ပြီးတော့ user name တို့ password တွေရိုက်တဲ့အခါမှာ အမှားတွေရောပြီးရိုက်လိုက် back space နဲ့ ပြန်ဖျက်လိုက်၊ ထပ်ရိုက်လိုက် … အဲဒါမျိုးရိုက်ထည့်ပါ။ အဲဒါဆိုရင် key logger က log file ကိုကြည့်တဲ့အခါ တော်တော် ခေါင်းစားပြီး password အမှန်ကို သိအောင် တော်ကြိုးစားရပါလိမ့်မယ်။ များသောအားဖြင့်ကတော့ key logger တွေကို antivirus တွေက လက်မခံပါဘူး။

ဒီတော့ကာ အခုပြောခဲ့သမျှတွေကို သေချာနားလည်အောင်ဖတ်ပြီး ကာကွယ်ကြပါတော့။ အကောင်းဆုံး ကတော့ password ကို မကြာမကြာပြောင်းပေးဖို့ပါပဲ။ တစ်ချို့ကလဲ password မှန်သမျှကို တစ်မျိုးထဲ ထားတတ်ကြပါတယ်။ ဒါလဲ မလုပ်သင့်ပါဘူး။ ပြီးတော့ security question တွေကို လေးလေး နက်နက် သဘောထားပြီး ခန့်မှန်းလို့ခက်မဲ့အဖြေမျိုးတွေကိုပဲ ဖြေကြစေချင်ပါတယ်။ ပြီးတော့ကာ secondary mail ကို သူများမေး(လ်) မထားကြပါနဲ့။ သူများကိုလဲ မေး(လ်)မလုပ်ခိုင်းပါနဲ့။ ခုခေတ်မှာ ရည်းစားနဲ့ မေး(လ်)ချင်း ဖလှယ်တာတွေကို အမြဲတွေ့နေရပါတယ်။ တကယ်တမ်းကတော့ အပြန်အလှန် လျှို့ဝှက်ချက်မရှိကြောင်း သက်သေထူချင်တာပါပဲ။ ချစ်ဆိပ်တက်နေတုန်းမှာ ဘာမှ မဖြစ်ပေမယ့်၊ ရန်ဖြစ်ကြပြီဆိုရင် တစ်ဖက်လူက ကိုယ့်မေး(လ်)က ဟာတွေ အကုန်ရသွားပါလိမ့်မယ်။ ဒါမျိုးနဲ့ အရှက်တကွဲအကျိုးနည်းရတာတွေကြားဖူးပါတယ်။

hackerတွေ ရဲ့ skills မှာ ပေါင်းသင်းဆက်ဆံရေး ကောင်းတာလဲတခု အပါအဝင်လို့ပြောချင်ပါတယ် ကိုယ် hack ချင်တဲ့လူနဲ့ ခင်အောင်ပေါင်းပြီးသူ့ရဲ့ Security Question ကို Guess လုပ်တာပါ Exp… Birthday, mother middle name … etc….

Site, Company တခု ကို hack တော့မယ်ဆိုရင်အဲ့ဒီ company မှာလုပ်နေတဲလူနဲ့ တည့်အောင်ပေါင်းပြီး information ကိုရအောင်ယူကြတယ်။ Exp… Hardware, Software, network topology, server OS, etc……. That’s social engineering. ဒါကြောင့် အပျော်သုံးဖို့နဲ့ အလုပ်လုပ်ဖို့ စသဖြင့် မေး(လ်)တွေ အမျိုးမျိုးခွဲထားပါ။ မြန်မာပြည်မှာ password အခိုးခံရတာဆိုတာတော့ အများအားဖြင့် သုံးစွဲသူတွေရဲ့ security အသိပိုင်းဆိုင်ရာ အားနည်းချက်ကြောင့် များပါတယ်.. g-mail ကို server ထိ လိုက် hack ဖို့ဆိုတာ လွယ်တဲ့ ကိစ္စမဟုတ်ပါ။

1) g-talk, gmail သေချာ sign out လုပ်ပါ။ login ဝင်လျှင် remember password ကို check မပေးပါနဲ့။ never for this site သာချပါ။history, cookies တို့ကို clear လုပ်ခဲ့ပါ။

2) g-lite တွေကို ဖြစ်နိုင်ရင် မဝင်ပါနဲ့ ။ php နည်းနည်းလေးသိတာ လောက်နဲ့တင် အလွယ်တကူ ခိုးယူလို့ရပါတယ်။

3) g-mail, yahoo, hotmail အစရှိသော mail တို့ရဲ့ password တောင်းရာ site တွေကို လုံးဝ password မပေးပါနဲ့။ ဥပမာ (friendster, multiply, zorpia, hi5 etc.,) ကိုယ့်သူငယ်ချင်းတွေဆီ spam မေးတွေရောက်သလို။ ကိုယ့် အကောင့်နဲ့ သူချယ်လှယ်ချင်တာ ချယ်လှယ်တာ ခံရပါလိမ့်မယ်။

4) ကိုယ့်သုံးတဲ့ စက်မှာ golden eye, key logger အစရှိသော user အား trace လိုက်ရာ program များ run ခြင်းရှိမရှိ စစ်ကြည့်ပါ။ မသကာင်္ပါက end process သာ ကစ်ပစ်ပါ။ restart မှတပါး ဘာမှ ပြဿနာ မရှိနိုင်၊ မဖြစ်နိုင်ပါ။

Cyber Café မှ သုံးသူများ အတွက် (သို့) သူများ PC မှာ သုံးမယ်ဆိုရင်။

တော်တော်များများက Gmail password hack မယ်ဆိုတာနဲ့ အရမ်းကို စိတ်ဝင်စားကြတယ်ဗျ။ ဘာလို့သူများ password ကို သိချင်ကြမှန်း မသိဘူး။ ဘာမှ ကောင်းကျိုး မရှိဘူး။

တချို့ Forum တွေ Blog တွေမှာ ရေးကြတာကတော့ connection ကျအောင်အရင်လုပ် gtalk က password တွေ •••• အဖြစ်ပေါ်လာရင် သူတို့ပြောတဲ့ Software နဲ့ ကြည့်ပေါ့ဗျာ။ အင်း … အဲဒီထက် ကောင်းတဲ့နည်း ရှိတယ်ဗျ … see password လို့ ခေါ်တယ်။ ဒီ software လေးမှာ မှန်လိုပုံစံလေးပါတယ်။ password နေရာမှာ မှန်ဘီလူး လိုကြည့်လိုက်ရင်ပေါ်ပြီပဲ။ portable လည်းရှိပါတယ်။

အဲဒါထက်ဆိုးတာ တစ်ခုရှိတယ်ဗျ။ ဒီလိုဗျာ .. keylogger လို့ခေါ်တယ် .. window စတက် ကတည်းက စအလုပ်လုပ်တယ်။ ပိတ်လိုက်လည်း နောက်ကွယ်မှာ လုပ်နေတယ်။ tray icon လည်း မပေါ်ဘူး။ ဒါကြောင့် ရှိမရိလည်းှ မသိရတော့ဘူးပေါ့ဗျာ။ သူက ခင်ဗျား keyboard မှာ ရေးလိုက်သမျှ၊ mouse နဲ့နှိပ်သမျှတွေကို အချိန်နဲ့တကွ မှတ်ထားပေးတယ်ဗျ။ အဲဒါဆို ဘာတွေ ပါသွားမလဲ တွေးကြည့်လေ။ ပထမဆုံး gtalk sign in ဝင်မယ်ဗျာ။ သွားပြီ user name ရော ၊ password ရော။ နောက်ပြီးရင် ကိုယ့်ချစ်သူနဲ့ နှစ်ကိုယ် ကြားတွေ ပြောမယ်၊ ဒါမှမဟုတ် လုပ်ငန်းပိုင်းတွေပြောမယ်။ တချို့တွေ credit card နံပါတ်တွေ ရိုက်မယ် အကုန်ကျန်ခဲ့တာဗျ။ ဘယ်လောက် ဆိုးသွားနိုင်မလဲ တွေးကြည့်ပေါ့။ အထူးသဖြင့် Cyber ကနေ သုံးရတဲ့လူတွေ တွေးသာကြည့်ပါတော့ဗျာ … (All in 1 key-logger ဆိုရင် ဓါတ်ပုံတွေ၊ အသံတွေ၊ ဗီဒီယိုတွေကိုပါ မှတ်ပေးထားနိုင်တယ်၊ သတိထားနော်.. မင်းသား/မင်းသမီးတွေလို ဖြစ်သွားမယ် ။ )

အဲဒါကို ရှိမရှိ ကြည့်ဖို့ ပြီးတော့ ကိုယ်ရေးခဲ့သမျှ မကျန်ခဲ့ဖို့ ကျွန်တော် ပြောပြပါ့မယ်။ ကိုယ့်သူငယ်ချင်းနဲ့ သက်ဆိုင်သူတွေကိုတော့ အသိပေးပြောပြလိုက်ပေါ့ဗျာ။ တကယ်ကျန်ခဲ့တယ်ဆိုတာ အားလုံး မှတ်ပေးနိုင်တယ် ဆိုတာ မယုံဘူးလား .. Software ရှာပြီး စမ်းကြည့်ပေါ့ဗျာ။ ကဲ ကြာပါတယ် .. ကိုယ်ရေးတာတွေ password တွေ ပါမသွားအောင် လုပ်လိုက်ရအောင် .. ။ Ctrl+Shift+Esc (or) Ctrl+Atl+Del နဲ့ Task manager ကို ခေါ်လိုက်ဗျာ ..။ Process ဆိုတဲ့ tab ကို နှိပ်ပြီး msdts.exe ဆိုတာကို လိုက်ရှာကြည့် ဗျာ။ ရှိတယ်ဆို keylogger သုံးထားလို့ပေါ့ ။ အမြန်သာ click နှိပ်ပြီး End process ပေးလိုက်ပေတော့ ။ အဲဒါဆိုရင်တော့ key logger ကို ကာကွယ်နိုင်ပြီ ဖြစ်ပါတယ်။

အကောင်းဆုံးနည်းလမ်းကတော့ task manager မှာရှိတဲ့ process tab ထဲမှာရှိနေတဲ့ကောင်တွေထဲက ကိုယ်သုံးမယ့် gtalk လောက်ပဲ အိုကေထားပြီး ကျန်တာတွေကို disable သို့မဟုတ် end process ပေးလိုက် တာပါပဲ…ဘာလို့ဆို ရိုးရိုး user တွေအနေနဲ့က ဘယ်လို file က အချက်အလက်တွေကို ရီကော့လုပ်တာလဲ ဆိုတာ မသိနိုင်တော့ အန္တရာယ်ကင်း ဘေးရှင်းအားလုံးကို end process လုပ်ပြီး ကိုယ်သုံးတဲ့ Application ကိုပဲ manually ခေါ်သုံးတာ အကောင်းဆုံးပါပဲ။

အဲ့ဒီ Software က media server ဆိုတဲ့ အရေခြုံထားတာပါ။ internal name ကတော့ KeyLogger.exe ပါ။
Data Doctor Key Logger လို့လဲခေါ်ကြပါသေးတယ်။ OS ကိုုလိုက်ပြီး သိမ်းတဲ့နေရာကွဲသွားပါတယ်။
C:\Windows\System for Windows 95/98/ME
C:\Winnt\System32 for Windows NT/2000
C:\Windows\System32 for Windows XP and Vista
အဲဒီနေရာတွေမှာ ရှာကြည့်ပါ။ ပြီးရင် Registry ထဲက Run, RunOnce, RunServices ဒါမှမဟုတ် RunServicesOnce နေရာတွေမှာရှာပြီးဖျက်ပစ်ပါ။ အောက်မှာ ပြထားတဲ့ နေရာတွေနဲ့ file တွေတွေ့ရင် delete လုပ်ပစ်ပါ။ safe mode နဲ့ လုပ်ပါ။
%ProgramFiles%\KeyLog\Key.exe
%ProgramFiles%\KeyLog\Uninstall.exe
%ProgramFiles%\KeyLog\msdts.exe
%UserProfile%\Desktop\Key.exe

ဒါက DLL file တွေကို ကစ်ဖို့ ..
%ProgramFiles%\KeyLog\Registration.dll
%ProgramFiles%\KeyLog\Support.dll
%System%\Urncb.dll
%System%\Urncbc.dll

ဒါကတော့ registry မှာ ရှာဖို့၊ တွေ့ရင်ဖျက်…။
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Data Doctor KeyLogger (Trial) 2.0.1.5

အဲ့ဒီ Software ဟာ default home page ကိုလဲ change သွားတတ်ပါသေးတယ်။

ကျွန်တော်ကိုယ်တိုင်လည်း ဒီနည်းနဲ့ Hack ခံခဲ့ရဖူးပါတယ်။
================================================== ==
တကယ်တော့ Gmail password ပဲ hack ခံရမှာကြောက်နေတာလား အခြားဟာ တွေကော hack ခံရမှာ မကြောက်ကျဘူးလား ဘယ် web site ကိုပဲဖွင့်ဖွင့် Gmail, friendster, zopia, hi5,WAYN အဲဒါတွေဖွင့်တယ် VZO သုံးတယ် ပြီးတော့အမူမဲ့အမှတ်မဲ့ပြန်သွားကြတယ်လေ အဲဒီမှာနောက်လူကလာတော့တွေ့ရော သူများအကြောင်းကိုယ့်အကြောင်းစပ်စုချင်တဲ့သူကဝင်မှာပဲလေ အဲဒီအခါကျတော့ hack သလို ဖြစ်သွားတာ ပေါ့နော် တကယ့် hacker ကြီးတော့မတွေ့ဘူးသေးဘူး ရှိလဲ ဒီလို Gmail လောက်ကိုလိုက် မhack ဘူးထင်တာပဲလေ အကောင်းဆုံးကတော့ ကိုယ်သုံးပြီးရင်သေချာ log out လုပ်ခဲ့လားဆိုတာကိုပြန်စစ်ပေါ့… VZO ကတော့အများဆုံးကျန်တတ်တယ် သတိတော့ထားပေါ့နော် Gmail ကတော့ ဒီတိုင်းပိ်တ်လိုက်ပြီး ပြန်ဖွင့်ရင်တောင် username and password တောင်းပါတယ် လွယ်လွယ်လေးနဲ့ hack လို့်မရပါဘူး
ကိုယ့်အကောင့်ကို ကိုယ်သေချာ logout လုပ်ခဲ့ပါ အပေါ်ကပြောသလို key logger လိုဟာတွေရှိမရှိစစ်ပေါ့နော်
ရှိရင်လဲ ပိတ်ထားလိုက်ပေါ့ မပိတ်တတ်ရင် ဆိုင်ရှင်ကို ပိတ်ပေးဖို့ပြောလိုက်ပေါ့ဗျာ အဲဒါပိုကောင်းပါမယ်။

Hacking လုပ်စရာ Gmail တခုထဲရှိတာမဟုတ်ဘူးဆိုတာကိုလည်း မမေ့ပါနဲ့ ပြီးတော့ မြန်မာပြည်က Gmail တော်တော်များများဟာ personal များပါတယ် အဲဒီမေးလ်တွေကို ့hacker တွေက မhack လောက်ပါဘူး
ဒီလိုပဲသာမာန် user ထဲကနည်းနည်းပိုတတ်တဲ့သူက ကလိတာဖြစ်မှာပါ ကိုယ့်အကောင့် ကိုသိသွားတာ မခံချင်စရာပေါ့နော် သုံးပြီး ပြန်ကြည့် သတိရှိရင် မခံရနိုင်ပါဘူး

====================================================

နောက်တစ်ခုကတော့ ကျွန်တော်ရဲ့ Close Friend တစ်ယောက်အကြောင်းပါ၊ သူက စလုံး မှာ ကျောင်းတက် နေတာ သူရဲ့ Gmail ကို Hack လုပ်ခံလိုက်ရတာပါ။ သူကတော့ သူ့ laptop ကို သူတစ်ယောက်ပဲသုံးတာပါ။

တနေ့ သူ Gtalk မှာ hacker လိုပြောတဲ့ သူ တစ်ယောက်နဲ့ တွေ့ခဲ့တယ်။ ကျွန်တော့်သူငယ်ချင်း က မင်း hacker ဆိုရင် ငါ့ Gmail ကို ရအောင် hack ဆိုပြီး ပြောလိုက်တယ်။ hacker ကပြောတယ် 24 hr အတွင်း hack ပြမယ်လို့ပြောတယ်။ နောက်နေ့ မနက်မှာ hacker ရဲ့ Gtalk’s status မှာကျွန်တော့် သူငယ်ချင်းရဲ့ password ကိုတင်ထားတာ တွေ့တော့ ကျွန်တော့သူငယ်ချင်း shock ဖြစ်သွားပါတယ်။ ကျွန်တော် သူငယ်ချင်း က hacker ကိုပြောလိုက်တယ် မင်းမှာ Gmail ကို hack တဲ့ tools ရှိလိုမင်း hack လုပ်လို့ရတာ။ ဒါက ကလေးတောင် လုပ်နိုင်တယ်လို့ ပြောပြီး သူ့ကျောင်း email ကိုပေးပြီး hack လုပ်ဖို့ ထပ်ပြောလိုက်တယ်။ အရင်အတိုင်းပါပဲ နောက်တစ်နေ့ မနက်မှာ hacker ရဲ့ Gtalk’s status မှာ ကျွန်တော့်သူငယ်ချင်းရဲ့ password ထပ်ပြီး တင်ထားလိုက်ပြန်တယ်။

အဲဒီမှာတင် ကျွန်တော့်သူငယ်ချင်းလည်း hacker ဆိုတဲ့ ကောင်ကို ငါရှုံးတယ်။ မင်း hacker ဆိုတာ အသိအမှတ်ပြုတယ်။ မင်းရဲ့ hack လုပ်တဲ့ နည်းငါ့ကို သင်ပေးပါလို့ ပြောလိုက်တယ်။ hacker ကကျွန်တော် သူငယ်ချင်းကို Block လုပ်ပစ်လိုက်ပါတယ်။ ကျွန်တော့ သူငယ်ချင်းက တခြား account တွေ လုပ်ပြီး invite လုပ်ပေမယ့် ဘယ်လိုမှလုပ်လို့ မရတော့ပါဘူး။ အဲဒါ လွန်ခဲ့တဲ့ ၂ နှစ် လောက်က ဖြစ်ခဲ့တာပါ။ ခုတော့ ကျွန်တော်တို့ hacker ရဲ့ Gmail account ကို မေ့သွားကြပါပြီ။ hacker ကလည်း ကျွန်တော့်သူငယ်ချင်းကို ဘာဒုက္ခမှ မပေးခဲ့ပါဘူး။ ကြည့်ရတာ White Hacker ဖြစ်မယ့်ပုံပါပဲ။ ခု cyber cafe တွေမှာ hack ခံရတာ ဒီလို hacker မျိုးတွေရဲ့ လက်ချက်တော့ မဟုတ်နိုင်ပါဘူး။ key logger သုံးနေတာ ပဲဖြစ်မယ်ထင်ပါတယ်။

================================================== ==

ဒါဟာ wifi သုံးတဲ့သူတွေ ခံရတတ်တဲ့ နည်းပဲလို့ တွေးမိပါတယ်။ packet sniffer ဆိုတဲ့ tools တွေရှိပါတယ်။ windows အတွက်နာမည်ကျော်ကတော့ Cain and able ဆိုတာပါပဲ။ Linux ရော Windows မှာပါသုံးနိုင်တာကတော့ wire shark ပါ။ အဲဒီ tools တွေနဲ့ တစ်ဖက်လူ သုံးနေတဲ့ TCP packet တွေကို ကြည့်နိုင်ပါတယ်။ wifi သုံးတဲ့သူဆိုရင်တော့ လေထဲကတင် အနံ့ခံပြီးရှာနိုင်တာပါပဲ။ အဲဒီအခါ ခုနက ကျွန်တော်ပြောခဲ့တဲ့ cookies တွေကို ရသွားပါလိမ့်မယ်။ Gtalk ကိုဝင်နေဆဲ cookies ရသွားပြီဆိုရင်တော့ အဲဒါကို import ပြန်လုပ်လိုက်ရုံပဲရှိပါတော့တယ်။ ဒီလိုလုပ်လိုက်တာဖြစ်မှာပါပဲ။

================================================== ==

ဒီနေရာမှာ အများ သတိမထားမိတဲ့ အချက်လေးတစ်ခု ကျွန်တော်ပြောပြချင်ပါတယ်။ Password security အကြောင်းလေးပါ။

Internet ကိုစတင်အသုံးပြုသူတွေဟာ Website အသစ်တွေ့တိုင်း Signup လုပ်၊ သူငယ်ချင်းတွေရဲ့ Email တွေကို ပါ ဖိတ်မာန်တက ပြုပြီး signup လုပ်စေပါတယ်။

ဆိုကြပါစို့ ကျွန်တော်က မသမာတဲ့ hacker တစ်ယောက်ဆိုပါတော့။ အခုခေတ်မှာ Domain တစ်ခုဝယ်ပြီး forum တစ်ခု Setup လုပ်တာ လွယ်မှလွယ်။ ဒါ့ကြောင့် လူစိတ်ဝင်စားမယ့် နာမည်နဲ့ Website တစ်ခုထောင်၊ ပြီးတော့ free software တွေ၊ file download တွေပေးပြီး၊ User တွေကို attract လုပ်ပါတယ်။ User တွေကလည်း subscribe လုပ်ကြတယ်ပေါ့။

ဒီမှာတင်စပါပြီ။ အတွေ့အကြုံနည်းတဲ့ User တွေဟာ မှတ်ရလွယ်တဲ့ password တစ်ခုတည်းကို နေရာတိုင်းမှာ သုံးပါတယ်။ Subscription တွေများတော့ အကုန်မမှတ်နိုင်တော့ဘူး၊ Gmail Account တစ်ခု Password တစ်ခုတည်းနဲ့ Site တိုင်းမှာ Subscribe လုပ်ထားတော့၊ မသမာတဲ့ Hacker ရဲ့ website မှာလည်း ဒီ Gmail နဲ့ပဲ ဒီ Password နဲ့ပဲ၊ Subscribe လုပ်မိရင်၊ မသမာတဲ့ hacker ဟာ Gmail နာမည်နဲ့ Password တွဲရက်ကိုသိသွားပါပြီ။ ( ဒီနေရာမှာ ဆရာသမားများက Encrypt လုပ်ထားရင် ဘယ်လိုမှ မသိနိုင် ဘူးပြောကြပါမယ်။ Forum system တွေမှာ password ကို Plain text နဲ့ သိမ်းအောင်လုပ်ရတာမျိုးဟာ ဘာမှမခက်ပါဘူး။ အကယ်၍ Encrypt လုပ်ထားရင်တောင် Algorithm နဲ့ Salt နဲ့သိရင် Password ထဲက တချို့စာလုံးတွေကို ဖော်ပြီး၊ အားလုံးကို မှန်းဆဖို့ဟာ မခက်တော့ပါဘူး။)

ကဲ သူကသင့်ရဲ့ Gmail နဲ့ Password ကိုသုံးပြီး သင့်ရဲ့ Gmail ကို အရင် စမ်းကြည့်မယ်။ ပြီးရင် တခြား Forum တွေ Subscription တွေကို Login ဝင်ကြည့်မယ်။ နာမည်တူ နဲ့ တခြား email တွေ ဥပမာ
…………..@gmail.com ဆိုရင် ………….@hotmail.com, ……………@yahoo.com တို့ရှိနိုင်တယ်
Password တစ်ခုတည်းကိုပဲသုံးတော့ အဲဒီ Email တွေကိုပါ စမ်းဝင်ကြည့်တော့မယ်။
ကဲ နောက်ဆက်တွဲကိုတော့ ဆက်ရှင်းပြစရာမလိုတော့ဘူးထင်ပါတယ်။

ဒီလိုဖြစ်ရတဲ့ အကြောင်းများကို စမ်းစစ်ကြည့်တော့၊

၁။ ။ တွေ့ကရာ Website မှာ Signup လုပ်တာ။

၂။ ။ password တစ်ခုတည်းကို နေရာတိုင်းမှာ သုံးတာ ကြောင့်ဆိုတာတွေ့ရပါတယ်။

အကယ်၍ မသမာတဲ့ Website မှာ Subscribe လုပ်မိရင်တောင်မှ၊ Password တစ်ခုတည်းကို Account တိုင်းမှာ မသုံးရင်၊ ဒီလိုပြဿနာ မျိုးကနေ ကာကွယ်နိုင်ပါတယ်။

နောက်ပြီး၊ အများသုံးကွန်ပျူတာမှာ (internet cafe မှာ) Login လုပ်ရင် Remember Password option ကို လုံးဝမရွေးထားဖို့။(ကျွန်တော်တော့ ကိုယ်ပိုင် computer မှာတောင် မလုပ်ပါဘူး။) သံသယရှိရင်၊ Login မလုပ်ခင်၊ ဆိုင်ရှင်ကို အကြောင်းကြား မေးမြန်းဖို့။ ကိုယ့်လုံခြုံရေးကို တက်တက်ကြွကြွသတိရှိရှိ ဖြစ်နေဖို့ အရေးကြီးပါတယ်။

9 comments

  • cross

    October 15, 2011 at 3:47 pm

    ကိုယ်ပိုင်စက်ကိုသုံးနေပြီး ကိုယ့်ရဲ့ username ကိုသိသွားတဲ့ကိစ္စတော့ တော်တော် ဥနှောက်
    ခြောက်ရပါတယ်၊
    ကျနော်က ဝိုင်ဖိုင်သုံး နေတာပါ ၊ ဘယ်လိုဖြစ်ရတာလဲဗျာ။

    • ဒီရေ

      October 15, 2011 at 8:18 pm

      မူရင်း လင့် အားလာရောက် ကြည့်စေချင်ပါသည်။ http://www.mmbloggers-malay.co.cc/2009/03/email.html ဘယ်တုန်းက ဘယ်သူ ရေးခခဲ့တယ် ဆိုတာ… Computer Spier ဆိုတဲ့ တစ်ယောက်ကလည်း ကျွန်တော်တို့ Cbox မှာ လာရောက် တောင်းဆုပြီးသားပါ။ အခုလို ထောက်ပြတဲ့ အတွက်လည်း ကျေးဇူးတင်ပါတယ်…

  • ပေါက်ဖော်

    October 15, 2011 at 4:54 pm

    အဲလိုလုပ်မှပဲဝေ့..နို ့မဟုတ်ရင်..
    ဒို ့လဲ..ရှိစုမဲ့စုပွိုင့်လေးတွေပြောင်တော့မယ်..ညှင်း.ညှင်း.ညှင်း.
    🙄
    ဘာပဲ ဖစ်ဖစ်..အိုမားရေ့….
    ခုလိုလိုင်းပြောင်းပြီး တင်ပေးတာ ကျေးဇူးတင်ပါတယ်..
    ဒါပေမဲ့..ကိုယ်တိုင်ရေး.မဟုတ်ရင်..credit လေးတော့ပေးဗျ
    ဒီပို ့စ်က အနဲဆုံး ၃ နှစ်လောက် အိုနေပါပြီထင်လို ့ပါ..
    မယုံရင် Google မှာ သင့် EMAIL အဟက်မခံရအောင် ရှောင်ရန် ဆောင်ရန်လေးတွေ
    ဆိုပြီးရှာကြည့်….

  • Handy note

    October 15, 2011 at 4:58 pm

    ဟိုအဆင်၊ဒီအဆင်
    အချာပင်
    ရွာတွင်မရှိမှတ်။

  • မောင်တုတ် ကြီး

    October 15, 2011 at 7:13 pm

    ရွာသားတွေကို မသိနားမလည် စာမဖတ်သူတွေများထင်နေတယ်လား မမကြီး။ဟောင်းနေပီ. ဟောင်းနေပီ မမကြီးရေ။ရေးတော့ရေးချင်တယ်. စည်းကမ်းလေးတော့ ဖတ်ကြည့်ပါအုံးလေဗျာ။

  • alinsett

    October 15, 2011 at 7:14 pm

    ကျေးဇူးပါပဲ.။ သိသင့်တာတွေကိုပြောပြသွားတာ..။နောက်လည်း..ဒါမျိုးတွေ..ရေးပါဦး။

  • Yin Nyine Nway

    October 15, 2011 at 8:22 pm

    ဒူ နာမည်ပြောင်းတာ နာတို့ ဘာမှမစားလိုက်ရပါလား …..
    သူကြီးရေ…. အကောင်အများကြီး ကိုင်လို့ရလားဂျို့….

  • ရွှေဘိုသား

    October 15, 2011 at 10:11 pm

    နံမည်ပေး ကင်ပွန်းတပ်နေရင် အခုလို လုပ်စားလို့ မရတော့ဘူးလေဗျာ ဒါ့မို့ မလုပ်တာဖြစ်မှာပါ

Leave a Reply