ဘဏ် users တွေကိုပဲ ဦးတည်တိုက်ခိုက်နေတာလို့ဆိုပါတယ်။
Nyein Min Wai

စက်တင်ဘာ နောက်ဆုံးအပတ်အတွင်း KBZ iBanking သုံးသူများကို email လိပ်စာအတုနဲ့ လိမ်လည်မှုကြုံတွေ့နေကြောင်း KBZ Bank ရဲ့ တရားဝင် facebook စာမျက်နှာကနေ အရေးကြီး သတိပေးကြေငြာချက် ထုတ်ပြန်ခဲ့ပါတယ်။ လက်ရှိမှာ AYA iBanking စနစ်လည်း တိုက်ခိုက်ခံနေရတယ်လို့Cyberbaykin (မြန်မာဆိုက်ဘာလုံခြုံရေး သိမြင်နိုးကြားမှု အစီအစဉ်) ရဲ့ Facebook မှာ ကြေငြာထားပါတယ်။

42472070_1828740320495312_8579752186613858304_n.png

Photo: KBZ Bank Facebook စာမျက်နှာ

 

စက်တင်ဘာ ၂၅ ရက်နေ့က KBZ Bank ရဲ့ ထုတ်ပြန်ချက်မှာတော့ မသမာသူများဟာ KBZ mobile banking သုံးသူများရဲ့ Username နဲ့Password ထည့်ပြီး Login ဝင်နိုင်ဖို့လိမ်ညာပြီး email ပို့နေတယ်လို့ဆိုပါတယ်။ ဘဏ်အနေနဲ့customer များရဲ့ username/password တောင်းခြင်း မရှိဘူးလို့လည်း အတိအလင်းကြေငြာထားပြီး ဆိုက်ဘာတိုက်ခိုက်မှုလုပ်သူများရဲ့ မေးလ်လိပ်စာနဲ့တကွ ထုတ်ပြန်ခဲ့ပါတယ်။

စက်တင်ဘာ ၂၈ ရက် (ဒီနေ့) မှာ Cyberbaykin အဖွဲ့အစည်းမှလည်း ဧရာဝတီဘဏ်မှ ပို့သယောင် တုပ ဟန်ဆောင်ထားတဲ့ email လိပ်စာအတုများအကြောင်း သတိပေးထားပါတယ်။ ဒီသတိပေးချက်မှာလည်း အီးမေးလ်အတုမှာ သုံးတဲ့ url နဲ့တကွ ပြထားပြီး သုံးစွဲသူများအနေနဲ့username/password မရိုက်မိစေဖို့ အကြောင်းကြားထားပါတယ်။

Cyberbaykin (ဆိုက်ဘာဘေးကင်း) အစီအစဉ်ဟာ မြန်မာ့ပို့ဆောင်ဆက်သွယ်ရေး ဝန်ကြီးဌာန National Cyber Security Center နဲ့ပူးပေါင်းဆောင်ရွက်နေပြီး Australian Department of Foreign Affairs and Trade နှင့် Monash University တို့မှ ထောက်ပံ့ပေးထားတဲ့ အဖွဲ့အစည်းတစ်ခု ဖြစ်ပါတယ်။

Capture.PNG

Photo: cyberbaykin.org

 

ဒီအဖွဲ့အစည်းရဲ့ ပူးတွဲ တည်ထောင်သူ ဦးရဲသူရသက်ကို Duwun Tech မှ ဆက်သွယ်မေးမြန်းရာမှာတော့ ဘဏ်တွေထက် ဘဏ်စနစ် သုံးစွဲသူတွေကို ဦးတည်တိုက်ခိုက်တာလို့ဆိုပါတယ်။

"ဒီတိုက်ခိုက်မှုက ကမ္ဘာနဲ့အဝှမ်းမှာတော့ ပုံမှန်ဖြစ်နေကျ တိုက်ခိုက်မှုမျိုးပဲ။ မြန်မာနိုင်ငံက internet banking တွေမှာတော့ KBZ Banking ကို စပြီး target ထားလာတာတွေ့ရတယ်။ ဒီနေ့တော့ AYA iBanking ကို တိုက်ခိုက်တာပါ။  ဒီနည်းက ဘဏ်ရဲ့ serverတွေ၊ network တွေကို ဦးတည် တိုက်ခိုက်တာ မဟုတ်ဘဲ ဘဏ် ရဲ့ Internet Banking user တွေကို လိမ်လည် လှည့်ဖျားပြီး တိုက်ခိုက် တာပါ။ ဘဏ် ရဲ့ Internet Banking user တွေက သတိမပြုမိဘဲ သူတို့ပေးထားတဲ့ လင့်ခ်ကို နှိပ်လိုက်လို့ရှိရင် ဆင်တူ login page အတု တစ်ခု ရောက်သွားပြီး username / password ထည့်မိလိုက်တာနဲ့တိုက်ခိုက်မှု အောင်မြင်သွားမှာပါ။ "

spam mail ကနေ တစ်ဆင့် တိုက်ခိုက်လာတဲ့ ဒီလိုမျိုး attack ကို pitching attack လို့ခေါ်ပြီး ကမ္ဘာပေါ်က ငွေကြေးအဖွဲ့အစည်းတိုင်းမှာ ဒီတိုက်ခိုက်မှု ကြုံနေတာပါ။

Trusteer က ထုတ်ပြန်တဲ့ အစီရင်ခံစာအရ နှစ်စဉ်နှစ်တိုင်းမှာ ဘဏ်ဝန်ဆောင်မှု သုံးစွဲသူများရဲ့ ဝ.၄၇% ဟာ phishing attack ရဲ့ သားကောင်ဖြစ်သွားကြပြီး အနည်ဆုံး ဒေါ်လာ ၂.၄ သန်းကနေ အများဆုံး ၉.၄ သန်းအထိ နှစ်တိုင်းဆုံးရှုံးနေကြတယ်လို့ဆိုပါတယ်။

ဒါနဲ့ပတ်သက်ပြီး ဦးရဲသူရသက်မှ "တစ်ခြားနိုင်ငံတွေက ဘဏ်တွေမှာ ဒါမျိုးက ဖြစ်နေကြဆိုပေမယ့် ဒီမှာတော့ ဒီလိုမျိုး phishing attack တွေနဲ့မရင်းနှီးသေးဘူးလေ။ဘာကြောင့် စိတ်ပူရသလဲဆိုတော့ ကျနော်တို့ဆီမှာက security နဲ့ပတ်သက်ပြီး သိမြင်နိုးကြားမှု (awareness) နည်းသလို ကျွန်တော်တို့လူမျိုးတွေကလည်း အယုံလွယ်တာလည်း ပါမယ်။ phishing ဖြစ်တဲ့ သဘောကလည်း တကယ်လို့ iBanking user လူ ၁ သိန်း ကို phishing attack လုပ်လို့ ၁၀ ရာခိုင်နှုံးက သူတို့ပို့တဲ့ spam mail ကို ယုံမိရင်, user ၁ သောင်း ထိခိုက်နိုင်တယ်။ ဆိုလိုတာက ထုထည်(volume) နံပါတ် နဲ့ကစားတာပေါ့" လို့သုံးသပ်ပါတယ်။

42656899_2203084043267855_4332257391769812992_n.jpg

Photo: Cyberbaykin Facebook စာမျက်နှာ

 

မြန်မာနိုင်ငံအတွင်း ဆိုက်ဘာအန္တရာယ်နဲ့ဘေးကင်းရေး အသိအမြင် ပြန့်ပွားစေဖို့အတွက် ဒေါက်တာ လန်နွန်ချန် (Monash University) နဲ့ဦးရဲသူရသက် (Kernellix Co) တို့ပူးပေါင်းတည်ထောင်ထားတဲ့ အစီအစဉ်တစ်ခုလည်း ဖြစ်တယ်လို့ဆိုပါတယ်။

လက်ရှိမှာ KBZ Bank မှလည်း iBanking သုံးသူများ လိုက်နာသင့်တဲ့ လုံခြုံရေးဆိုင်ရာ အကြံပြုချက်များကို ညွှန်ကြားထားပါတယ်။


က္က