ကျွန်တော်နဲ့ Session Hijacking
ပြီးခဲ့တဲ့ ရက်ပိုင်းက Discord အကောင့် hack ခံလိုက်ရတယ်။ Discord အကောင့်ဆိုတာက တော်တော် လက်မမြန်လိုက်ရင် ရှိသမျှအကောင့်အကုန်ပါသွားမှာ။ အဲ့ဒီတော့ အတွေ့အကြုံနဲ့ ဘယ်လိုတွေ သတိထားရမလဲ၊ အကယ်လို့ဖြစ်ခဲ့ရင် ဘယ်လိုတွေ အမြန်ဆုံးလုပ်သင့်သလဲဆိုတာ သိရအောင် ပြန်ဝေမျှပေးလိုက်ပါမယ်။
စတင်ချည်းကပ်လာပုံ
အကောင့်မပါသွားခင်တစ်ရက်အလိုက ကိုယ်နဲ့စကား အမြဲပြောနေကြမဟုတ်တဲ့ Discord friend account တစ်ခုကနေလာပြီးတော့ သူ့သူငယ်ချင်းကောင်မလေးမွေးနေ့အတွက် surprise လုပ်ချင်လို့ပါ၊ သူအလုပ်ရှာနေပေမယ့် အလုပ်မရသေးဘူး။ အဲ့ဒါကြောင့်နောက်ဆုံး သူမ indie game လေးတွေ စလုပ်နေတယ်ပေါ့။ အဲ့ဒါ surprise လုပ်ချင်လို့ သူရေးထားတဲ့ game ကို ဒေါင်းလုပ်လုပ်ပြီးတော့ feedback လေးပေးပေးပါပေါ့။ အဲ့ဒါတွေကို စုပြီးတော့ သူမ အားတက်သွားအောင် လုပ်ပေးချင်လို့ပါပေါ့။
အစကတော့ မသင်္ကာဘူးပေါ့။ သေချာအောင်မေးလိုက်သေးတယ် official game store တွေက မဟုတ်ရင် လုပ်ပေးချင်မှ လုပ်ပေးမယ်ပေါ့။ မေ့မေ့ပျောက်ပျောက်နဲ့ ထားလိုက်တ။ ဒါပေမယ့် hack ခံရတဲ့နေ့ကျတော့ သူပေးထားတဲ့ game download link ကိုသွားကြည့်တယ်။ Github.io အပြင် Game screenshot တွေလည်းရှိတော့ legit ဖြစ်မယ်ထင်ပြီး download လုပ်တယ်။ ပြီးတော့ Game file ကို click လုပ်တဲ့အချိန်မှာ Discord တစ်ခုလုံး refreshed ဖြစ်သွားတယ်။ အဲ့ဒီမှာ သိလိုက်ပြီ code inject ဖြစ်သွားပြီလို့။ သိပ်မကြာခင်မှာပဲ discord account logout ဖြစ်ပြီးတော့ email ကို စာရောက်လာတယ်။ မင်းအကောင့်ကို ပြန်လိုချင်ရင် ငါ့ကို ဘယ်လိုဆက်သွယ်ပါဆိုပြီးတော့။
ဘယ်လို deal လုပ်ရမလဲ
ပထမဆုံး သူပြောတဲ့ အကောင့်ကို ဆက်သွယ်ကြည့်တယ်။ မင်းအကောင့်ကို ပြန်လိုချင်ရင် $250 ပေးရမယ်။ မင်းနဲ့ သက်ဆိုင်တဲ့ data တွေကို dark web မှာမရောင်းစေချင်ရင် $250 ပေးရမယ်။ နှစ်ခုလုံးဆိုရင် $400 နဲ့ပေးမယ်ဆိုပြီးလုပ်တယ်။ ထုံးစံအတိုင်း ငွေညစ်တာပေါ့။ အဲ့ဒါနဲ့ ကျွန်တော်က ကျောင်းသားပါ။ ကျွန်တော့်မှာ ငွေအများကြီးမရှိဘူးပြောတော့ မင်းဘယ်လောက်ပေးနိုင်လဲပေါ့။ အဲ့ဒါနဲ့ $100 လောက်နဲ့ရနိုင်မလား ဆိုတော့ $180 နဲ့ပဲရမယ်။ မင်းမှာပိုက်ဆံရှိတာ ငါသိတယ်ဆိုပြီးလုပ်ရော။ အဲ့ဒါနဲ့ ကျွန်တော့်ကို အချိန်ခဏပေးပါ။ ကျွန်တော်အမေကို အကူအညီတောင်းကြည့်ပါအုံးမယ်ပြောလိုက်တယ်။ သူကလည်း မင်းမှာ မိနစ် ၂၀ အချိန်ရှိတယ်ပေါ့။ အဲ့ဒါနဲ့ ကျွန်တော်လည်း ငါဘာလုပ်နိုင်သလဲစဉ်းစားတာပေါ့
ဘာတွေလုပ်ရမလဲ
အဲ့ဒီအချိန်မှာကျွန်တော် သတိထားမိတာက အဲ့လူက discord အကောင့်တင်မဟုတ်ဘူး၊ ကျွန်တော် browser ထဲမှာ login ဝင်ထားသမျှ အကောင့်အကုန်လုံးကို access ရှိနေတယ်။ Gmail ထဲမှာဆိုလည်း ကျွန်တော့် discord account ကို 2FA ဖြုတ်တဲ့ email, reset တဲ့ email တွေအကုန်ရောက်နေတယ်။ ဒါပေမယ့် ကျွန်တော်မမြင်ရအောင် သူ code ယူပြီးတာနဲ့ ချက်ခြင်း delete တယ်။ ဒါပေမယ့် Trash ထဲရောက်နေတော့ ကျွန်တော်မြင်နေရသေးတယ်။ အဲ့ဒါနဲ့ ချက်ခြင်း Malwarebytes ကို install လုပ်ပြီး scan လိုက်တယ်။ Browser ထဲမှာရှိသမျှ session/cookie တွေအကုန်လုံးကို reset လုပ်လိုက်တယ်။ ပြီးတော့ PC ကို system restore တန်းလုပ်လိုက်တယ် (System restore point မရှိဘူးဆိုရင်တော့ Windows ပြန်တင်လိုက်တာ အကောင်းဆုံးပါပဲ)။ တစ်ချိန်တည်းမှာပဲ Gmail, Facebook, Twitter တို့ကို password တွေအကုန်ချိန်းပြီးတော့ active session တွေအကုန် logout လုပ်ချလိုက်တယ်။ အကယ်လို့ အဲ့ဒါတွေသာ အချိန်မှီ မလုပ်ခဲ့ဘူးဆိုရင် ကျွန်တော် အကုန်ပါသွားမှာအသေအချာပဲ။ Email ကတော့ အဓိကပဲပေါ့။ Recovery ပြန်လုပ်ဖို့ကလည်း လက်ရှိ email access ရနေဖို့ လိုတာကိုး။ မဟုတ်ရင်တော့ ဘယ်လိုမှ ပြန်ရမှာမဟုတ်တော့ဘူး။
ဒါတောင် Discord အပြင် Instagram ပါသွားသေးတယ်။ ကံကောင်းပြီးတော့ Instagram support က video selfie နဲ့ ပြန်ယူလို့ရတော့ ငါးမိနစ်လောက်အတွင်း ချက်ခြင်းပြန်ရတယ်။ Discord ကတော့ support ကိုဆက်သွယ်ထားတယ် ဒါပေမယ့် သူတို့ကြည့်ပေးမယ်ပဲပြန်လာတယ်။ အချိန်ဘယ်လောက်ကြာမယ် အကောင့်နဲ့ပတ်သတ်တဲ့မေးခွန်းတွေကိုတော့ ဖြေပေးမှာမဟုတ်ဘူးလို့ပြောတယ်။ Reddit မှာဆိုရင် တစ်ချို့တွေရင် ပြန်ရဖို့ တစ်လ နှစ်လလောက်စောင့်ရတယ်ပြောတယ်။ အဲ့လောက်မကြာဖို့တော့ မျှော်လင့်ရတာပေါ့။
ခြုံပြောရမယ်ဆိုရင်
ဘယ်လိုအကြောင်းကြောင်းပဲဖြစ်ဖြစ် မယုံကြည်ရတဲ့ Link တွေမနှိပ်ပါနဲ့၊ Software/App တွေကို စိတ်ချရတဲ့ store တွေကပဲ သွင်းပါ။ အကယ်လို့ ကျွန်တော်သာ အချိန်မှီ ပြန်မလုပ်နိုင်ခဲ့ဘူးဆိုရင် ကျွန်တော် ၁၀ စုနှစ်တစ်ခုကျော်လောက်သုံးနေတဲ့ အကောင့်တွေ အကုန်ပါမယ်။ ရှိသမျှ privacy, data တွေကို dark web တွေမှာပြန်ရောင်းမယ်။ အရမ်း sensitive ရှိတဲ့ data တွေဆိုရင် တော်တော်လေး စိတ်ဆင်းရဲရလိမ့်မယ်။ ကိုယ့်သူငယ်ချင်းလို့ ထင်ရတဲ့တစ်ယောက်ကလည်း hack ခံရပြီးတော့ အခုလိုမျိုး လုပ်လာတာလည်းဖြစ်နိုင်တယ်။ နည်းပညာတွေ တစ်ဖြည်းဖြည်းနဲ့ ကျယ်ပြန့်လာတာ ကောင်းတာတွေရှိသလို အဲ့ဒါတွေကို အသုံးချပြီးတော့ လူတစ်ဖက်သားကို ဒုက္ခပေးဖို့ ချောင်းနေတဲ့သူတွေလည်း အများကြီးပါ။ အဲ့ထဲကမှ ကျွန်တော်လိုမျိုး victim တစ်ယောက် ဖြစ်မသွားဖို့ အတတ်နိုင်ဆုံး သတိထားကြပေါ့။
လူအချင်းချင်း လှည့်ပတ်ခြင်း ကင်းဝေးကြပါစေ
