ශ්රී ලංකා රජය විසින් ඔස්ට්රේලියානු ආයතනයකට ගෙවිය යුතු ද්විපාර්ශ්වික ණය මුදලකින් කොටසක් වන ඩොලර් මිලියන 2.5 ක මුදලක් මහා භාණ්ඩාගාරය යටතේ වන විදේශ සම්පත් දෙපාර්තමේන්තුව තුන්වැනි පාර්ශ්වයක් වෙත ගෙවා තිබීම සම්බන්ධයෙන් මේ දිනවල අදාළ ආයතන මගින් විමර්ශන සිදුකරමින් පවතී. මෙම ලියුම්කරු රාජ්ය හා පෞද්ගලික අංශවල සිදුවූ මෙවැනි ආකාරයේ සිදුවීම් විමර්ශනය කළ ඩිජිටල් වෝහාරික පරීක්ෂණ සඳහා සිය දායකත්වය ලබා දී ඇති බැවින් මෙවැනි ක්රියාවක් සිදුවිය හැකි ආකාර සම්බන්ධයෙන් ජනතාව දැනුම්වත් කිරීම මෙම ලිපියේ අරමුණයි.
ජනමාධ්ය හරහා ලබාගත් තොරතුරු අනුව මෙහිදී බොහෝ විට සිදුවී ඇත්තේ තුන්වැනි පාර්ශ්වයක් විසින් විදේශ සම්පත් දෙපාර්තමේන්තුවේ ගෙවීම් පද්ධතියට අනවසරයෙන් ඇතුළු වී මුදල් තම ගිණුමට බැර කර ගැනීමක් නොව වෙනත් පාර්ශ්වයක් විසින් විද්යුත් තැපෑල හරහා එවන ලද නව ගිණුම් අංකයකට දෙපාර්තමේන්තුව විසින්ම මුදල් බැර කිරීමකි.
පොදුවේ මෙවැනි සිද්ධියක් සිදුවිය හැක්කේ කෙසේ දැයි සලකා බලමු. බොහෝ විට යම්කිසි පාර්ශ්වයන් දෙකක් අතර සිදුවන ගනුදෙනුවක් පිළිබඳව වැඩිදුර විස්තර එනම් ගිණුම් අංක, ගෙවන මුදල සහ මුදල් ගෙවන දින වකවානු, ගනුදෙනුව සම්බන්ධයෙන් වන පණිවිඩ හුවමාරු වැනි දෑ සම්බන්ධයෙන් දන්නේ එම පාර්ශ්ව දෙකම පමණි. එසේ නම් එම තොරතුරු වෙනත් පාර්ශ්වයකට ලබාගත හැක්කේ කෙසේ ද?
බාහිර පාර්ශ්වයක් විසින් වංචාව සිදුකිරීම
පාර්ශ්ව දෙක අතර ගනුදෙනුව සම්බන්ධයෙන් තොරතුරු හුවමාරු වන්නේ විද්යුත් තැපෑල හරහා නම් තුන්වැනි පාර්ශ්වයක් මගින් ගනුදෙනුවට අදාළ පාර්ශ්ව දෙකෙන් යම් පාර්ශ්වයක විද්යුත් තැපැල් ගිණුමට අනවසර ප්රවේශයක් ලබාගැනීමෙන් මෙම තොරතුරු ඔවුන්ට ලබාගැනීමේ හැකියාවක් පවතී. මෙය Business Email Compromise (BEC) ලෙස හැඳින්වේ. ඉහත සිද්ධියේ දී එය ඔස්ට්රේලියානු පාර්ශ්වයේ විද්යුත් තැපැල් ගිණුම හෝ ලංකා පාර්ශ්වයේ ගිණුම විය හැක.
එය සිදුවන්නේ කෙසේ ද? මෙහිදී විශ්වාසවන්ත පුද්ගලයකු හෝ ආයතනයක් ලෙස පෙනී සිටිමින් විද්යුත් තැපෑල, කෙටි පණිවිඩ හෝ පණිවිඩ යෙදුම් හරහා එවන ලද සබැඳියක් (link) හරහා අදාළ විද්යුත් තැපැල් ගිණුමේ මුරපද ලබාගැනීම සිදුකරයි. එමගින් එම පාර්ශ්වයට අදාළ විද්යුත් තැපැල් ගිණුමට අනවසර ප්රවේශයක් ලබාගැනීම සිදු වේ. ඉන්පසු එම ගිණුම හරහා දෙපාර්ශ්වය අතර සිදුවන සන්නිවේදනය තුන්වැනි පාර්ශ්වය විසින් නිරීක්ෂණය කරමින් සුදුසු අවස්ථාව පැමිණෙන තෙක් බලා සිටී.
ගෙවීම ලැබිය යුතු පාර්ශ්වයේ විද්යුත් තැපැල් ගිණුමට අනවසර ප්රවේශය ලබාගෙන ඇතිනම් එම සත්ය ගිණුම හරහාම වෙනත් බැංකු ගිණුම් අංකයක් ගෙවීම සිදු කළ යුතු පාර්ශ්වයට වංචාකාරී තෙවැනි පාර්ශ්වය දෙයි. මෙම විද්යුත් තැපැල් පණිවිඩයේ අදාළ පාර්ශ්වයේ දුරකතන අංක වෙනුවට වංචාකරුට අයත් දුරකථන අංක ලබාදීම බොහෝ විට සිදු වේ. මෙහිදී සත්ය විද්යුත් තැපැල් ගිණුම හරහාම තොරතුරු ලැබෙන බැවින් මෙම තොරතුරුවල සත්යතාව තහවුරු කර ගැනීමට ගෙවීම් කළ යුතු පාර්ශ්වය උනන්දු නොවී නව බැංකු ගිණුමට මුදල් යැවීමට සිදුකිරීමට පෙලඹිය හැක. එමෙන්ම ගෙවීම් ලැබිය යුතු පාර්ශ්වය විසින් මීට පෙර ලබාදී ඇති නිල දුරකථන අංකවලට අමතා තොරතුරු තහවුරු කර ගැනීම වෙනුවට ලැබුණු පණිවිඩයේ සඳහන් දුරකථන අංකවලට ඇමතුවේ නම් එයට පිළිතුරු ලබාදෙන්නේ වංචාකාරී තුන්වැනි පාර්ශ්වය විසිනි.
ගෙවීම කළ යුතු පාර්ශ්වයේ විද්යුත් තැපැල් ගිණුමට අනවසර ප්රවේශය ලබාගෙන ඇත්නම් ගෙවීම ලැබිය යුතු පාර්ශ්වයේ විද්යුත් තැපැල් ලිපිනය සේ හැඟවෙන ව්යාජ විද්යුත් තැපැල් ගිණුමක් හරහා නව බැංකු ගිණුම් අංකයක් ගෙවීම සිදු කළ යුතු පාර්ශ්වයට දැනුම් දෙයි. මෙම ව්යාජ ගිණුමෙන් එවන පණිවිඩයේ සඳහන් වන්නේ වංචාකරුට අයත් දුරකථන අංක වේ. මෙහිදී ගෙවීම සිදුකළ යුතු පාර්ශ්වය සැලකිලිමත් වූයේ නම් ව්යාජ විද්යුත් තැපැල් ගිණුම හඳුනාගත හැකිය. එසේ හඳුනා නොගෙන පණිවිඩයේ සඳහන් දුරකථන අංකවලට අමතා තහවුරු කර ගැනීම සිදු කළේ නම් මුදල් යැවීම සිදුවන්නේ වංචාකරුගේ ගිණුමටයි.
මෙවැනි වංචාවලින් වළකින්නේ කෙසේද?
යම්කිසි විශ්වාසවන්ත පාර්ශ්වයක් සමග කාලයක් තිස්සේ සිදුකරන ගනුදෙනුවලට අදාළ ගිණුම් අංක වැනි වැදගත් තොරතුරු වෙනස් වී ඇති බව විද්යුත් පණිවිඩයක් මගින් දැනුම් දුනහොත් ඉතා විමසිලිමත් විය යුතු අතර එහි සත්ය අසත්යතාව වෙනත් ක්රමයකින් තහවුරු කරගත යුතුය. මෙහිදී මින් පෙර එම පාර්ශ්වය විසින් ලබාදී ඇති දැනටමත් තහවුරු කරගෙන ඇති නිල දුරකථන අංකවලට අමතා එය පරීක්ෂා කරගත හැකිය. කිසිදු අවස්ථාවක එම පණිවිඩයේ සඳහන් දුරකථන අංක හරහා තහවුරු කර ගැනීම නොකළ යුතුය.
එමෙන්ම විද්යුත් තැපැල් ගිණුම් සඳහා බහුසාධක සත්යාපනය (Multi Factor Authentication) භාවිත කරන්නේ නම් ගිණුමට අනවසර ප්රවේශයන් සිදුකිරීම වළක්වාගෙන වැදගත් තොරතුරු වෙනත් පාර්ශ්ව අතට පත්වීම වළක්වා ගත හැක. වැදගත් තොරතුරු විද්යුත් තැපෑල හරහා හුවමාරු කර ගැනීමේදී Digital Signing හා Encryption භාවිත කළ හැකිනම් බාහිර පාර්ශ්වයන්ට අන්තර්ගතය වෙනස් කිරීම හා පණිවිඩයේ අන්තර්ගතය ලබාගැනීම කළ නොහැකිය.
අභ්යන්තර පාර්ශ්වයක් විසින් වංචාව සිදු කිරීම
මෙතෙක් සාකච්ඡා කරන ලද්දේ ගනුදෙනුවට අදාළ පාර්ශ්ව දෙකෙන් යම් පාර්ශ්වයක විද්යුත් තැපැල් ගිණුමට තුන්වැනි පාර්ශ්වයක් විසින් අනවසර ප්රවේශයක් ලබාගැනීමෙන් මෙම වංචාව සිදු කිරීම සම්බන්ධවයි. කෙසේ නමුත් ගනුදෙනුවට අදාළ පාර්ශ්ව දෙකෙන් යම් පාර්ශ්වයක අභ්යන්තර පුද්ගලයන් විසින් තමන්ට අභිමත ගිණුමකට මුදල් බැර කර ගැනීම සඳහා මෙම වංචාව සංවිධානාත්මකව සිදුකිරීමේ හැකියාවද පවතින බව බැහැර කළ නොහැක්කේ ගනුදෙනුව ගැන හා තම ආයතනවල අභ්යන්තර ක්රියාවලි ගැන වඩාත්ම හොඳින් දන්නේ ඔවුන් බැවිනි.
ගෙවීම සිදුකළ යුතු පාර්ශ්වයේ සිටින සංවිධානාත්මක පිරිසක් හෝ පුද්ගලයෙක් මෙය සිදු කළේ නම් ඔවුන් විසින්ම ගෙවීම් ලැබිය යුතු පාර්ශ්වය මගින් එවන ලද ලෙස හැඟෙන ව්යාජ විද්යුත් තැපැල් ගිණුමක් හරහා නව බැංකු ගිණුම් අංක ලබාදිය හැක. නව තොරතුරු සත්යාපනය කරන්නේද ඔවුන් විසිනි. මෙසේ ව්යාජ ලිපියක් තමා වෙතම එවා ගන්නේ අභ්යන්තර අනුමැතීන් ලබාගැනීමට හා ඉදිරියේදී සිදුවිය හැකි විමර්ශන නොමග යැවීම සඳහාය.
ගෙවීම් ලැබිය යුතු පාර්ශ්වයේ සිටින සංවිධානාත්මක පිරිසක් හෝ පුද්ගලයෙක් මෙය සිදු කළේ නම් ගෙවීම් ලැබිය යුතු පාර්ශ්වයෙන් ලෙස හැඟෙන ව්යාජ විද්යුත් තැපැල් ගිණුමක් හරහා නව බැංකු ගිණුම් අංක ගෙවීම සිදුකළ යුතු පාර්ශ්වයට ලබාදීම සිදුවේ. මෙහිදී ඔවුන් තම සත්ය විද්යුත් තැපැල් ගිණුම භාවිත නොකරන්නේ ඉදිරියේදී යම් විමර්ශනයක් කළ හොත් එය සොයාගත හැකි බැවිනි.
මෙවැනි අභ්යන්තර වංචාවලින් වැළකීමට නම් ගෙවීම් ක්රියාවලිය ආයතනයේ විවිධ මට්ටම්වල නිලධාරීන්ගේ අනුමැතියට යටත්ව සිදුවිය යුතු අතර ඒ සෑම පියවරකදීම වැදගත් තොරතුරුවල සත්යතාව ස්වාධීනව තහවුරු කරගත යුතුය. මේ සඳහා මෙවැනි වංචා පිළිබඳව නිලධාරීන් දැනුම්වත්ව සිටිය යුතුය. පහළ නිලධාරීන්ගේ නිර්දේශ මත පමණක් පදනම්ව ඉහළ නිලධාරීන් අනුමැතිය ලබාදෙන්නේ නම් ඉන් එහා ඒ ගැන කතා කිරීම නිෂ්ඵලය.
වංචාව සිදුවී ඇති ආකාරය සොයා ගන්නේ කෙසේද?
ඩිජිටල් වෝහාරික විමර්ශනයක් (Digital Forensics Investigation), සිදුකිරීමෙන් මෙවැනි වංචා සිදුවී ඇති ආකාරය සොයාගත හැකි අතර ඒ සඳහා ගනුදෙනුවට සම්බන්ධ සියලු පාර්ශ්වවල සහයෝගය ලබා ගැනීම අත්යවශ්යය.
වංචා කරන ලද මුදල් නැවත ලබා ගැනීමේ හැකියාවක් පවතීද?
අන්තර්ජාලය හරහා සිදුකරන මුදල් වංචාවලදී (Cyber Scams/BEC), අහිමි වූ මුදල් නැවත ලබාගැනීම ඉතා අපහසුවීමට ප්රධාන හේතු කිහිපයක් තිබේ. අපරාධකරුවෝ මෙහිදී තාක්ෂණය සහ නීතිමය පද්ධතිවල ඇති දුර්වලතා උපරිමයෙන් ප්රයෝජනයට ගනිති.
වංචාව සිදුවී මුල් පැය 24-72 ඇතුළත එය හඳුනාගෙන ක්රියාත්මක වුවහොත් මුදල් ගලායාම නැවැත්වීමට යම් අවස්ථාවක් තිබේ. නමුත් බොහෝ විට වංචාව හඳුනාගන්නා විට මුදල් බැංකු කිහිපයක් හරහා හුවමාරු වී අවසන්ය. වංචාකරුවෝ මෘදුකාංග (Bots) භාවිත කරමින් තත්පර කිහිපයක් ඇතුළත මුදල් ගිණුම් ගණනාවකට බෙදා හරිති.
බොහෝ විට වංචාකරුවන් සිටින්නේ වෙනත් රටක වන අතර, මුදල් ගලා යන්නේ තවත් රටක බැංකු පද්ධතියකටයි. ශ්රී ලංකාවේ පොලිසියට හෝ බැංකුවකට වෙනත් රටක (විශේෂයෙන් අප්රිකානු හෝ නැගෙනහිර යුරෝපීය රටවල) බැංකු ගිණුම් පරීක්ෂා කිරීමට හෝ අත්හිටුවීමට සෘජු බලයක් නැත. ඒ සඳහා ගතවන රාජ්ය තාන්ත්රික ක්රියාවලිය මාස ගණනාවක් දිගු විය හැක. එවිට සියල්ල සිදුවී අවසන්ය.
වංචාකරුවෝ මෙවැනි ක්රියා සඳහා තමන්ගේම ගිණුම් භාවිත නොකරති. ඔවුහු Money Mules ලෙස හඳුන්වන තවත් පුද්ගලයන්ගේ ගිණුම් කුලියට ගනිති. මෙම ගිණුම් අයිතිකරුවන් බොහෝ විට තමන් වංචාවකට හවුල් වී ඇති බව පවා නොදන්නා සාමාන්ය පුද්ගලයන්ය. මුදල් එම ගිණුමට ආ සැණින් ඔවුන් විසින් එය වෙනත් ගිණුමකට මාරු කොට ගිණුම වසා දමනු ලැබේ. ඒ සඳහා ඔවුන්ට කොමිස් මුදලක් ලැබේ. නිවසේ සිට වැඩ කරන රැකියාවක් ලෙස දැනුවත්ව හෝ නොදැනුවත්ව මෙම ක්රියාව සිදුකරන ඔවුහු තම “සේවායෝජකයා” කවුදැයි නොදනිති.
වර්තමානයේ වංචාකරුවෝ බැංකු හරහා එන මුදල් වහාම Bitcoin වැනි ක්රිප්ටෝ මුදල් බවට පත් කරති. ක්රිප්ටෝ මුදල් ”Mixers” හරහා යැවූ විට එම මුදල්වල මුල් අයිතිකරු කවුදැයි සෙවීම තාක්ෂණිකව ඉතා අපහසු වේ. අවසානයේදී ඔවුහු ඒවා ලෝකයේ ඕනෑම තැනක ඇතිATM යන්ත්රයකින් මුදල් ලෙස ලබා ගනිති.
ගිණුම් විවෘත කිරීම සඳහා වංචාකරුවෝ AI තාක්ෂණය භාවිත කර සෑදූ ව්යාජ ලේඛන හෝ සොරකම් කරන ලද හැඳුනුම්පත් භාවිත කරති. එබැවින් බැංකුව හරහා ගිණුම් හිමියා සොයා ගියද, සැබෑ අපරාධකරු හමුවන්නේ නැත.
මෙවැනි වංචා අවම කර ගන්නේ කෙසේද?
අන්තර්ජාලය හරහා සිදුවන ව්යාපාරික විද්යුත් තැපෑල අවභාවිත කිරීමේ වංචා වැළැක්වීම සඳහා තාක්ෂණික පියවර මෙන්ම ආයතනික ක්රියාපටිපාටිය (Process) නිවැරදි කර ගැනීම ඉතාමත් වැදගත් වේ.
BEC වංචාකරුවන් කරන්නේ ඔබේ පරිගණක පද්ධතියට පහර දෙනවාට වඩා ඔබේ විශ්වාසය ප්රයෝජනයට ගෙන ඔබ ලවාම මුදල් හුවමාරු කරවා ගැනීමයි. එය වැළැක්වීමට ගත හැකි ප්රධාන පියවර කිහිපයකි.
සේවක දැනුවත්භාවය (Employee Awareness)
ආයතනයක දුර්වලම පුරුක වන්නේ මිනිසායි. එබැවින් සේවකයන් මෙවැනි වංචා ගැන දැනුම්වත් කිරීම සිදුකළ යුතුය.
මෙතෙක් ගනුදෙනු කළ ගිණුම් විස්තර වෙනස් කළ බව දැනුම් දී ලැබෙන විද්යුත් ලිපි නිසි ලෙස තහවුරු කර නොගෙන මුදල් තැන්පත් කිරීමෙන් වළකින්න.
”වහාම මුදල් එවන්න”, ”අදම මෙය කළ යුතුයි” වැනි පණිවිඩ BEC වංචාවල ප්රධාන ලක්ෂණයකි. ඉහළ නිලධාරියකුගේ විද්යුත් තැපැල් පණිවිඩයක් ලෙස මෙය ලැබිය හැක. එවැනි පණිවිඩ ලැබුණු විට කලබල නොවී විමසිලිමත්වීමට පුහුණු කරන්න.
නොදන්නා පුද්ගලයන් එවන ලින්ක් හෝ ඇමුණුම් (Attachments) විවෘත නොකිරීමට වගබලා ගන්න.
අභ්යන්තර ප්රතිපත්ති (Internal Policies)
බැංකු ගිණුම් විස්තර වෙනස් කිරීමේදී අනුගමනය කළ යුතු දැඩි නීති මාලාවක් සකස් කරන්න.
මුදල් හුවමාරු කිරීමේ අංශයේ (Finance/Accounts) නිලධාරීන්ට මේ පිළිබඳව විශේෂිත ආරක්ෂණ පුහුණුවක් ලබාදෙන්න.
ගෙවීම් තහවුරු කිරීමේ ක්රියාවලිය (Verification Process)
කිසිම විටක විද්යුත් තැපෑලකින් (Email) ලැබෙන උපදෙස් මත පමණක් පදනම් වී මුදල් හුවමාරු නොකරන්න.
සැපයුම්කරුවකු තම බැංකු ගිණුම් අංකය වෙනස් වී ඇති බව දන්වා එවා ඇත්නම්, වහාම ඔවුන්ගේ කලින් දන්නා නිල දුරකථන අංකයකට ඇමතුමක් ලබා දී එය තහවුරු කරගන්න.
විශාල මුදල් හුවමාරු සඳහා අවම වශයෙන් නිලධාරීන් කිහිප දෙනෙකුගේවත් අනුමැතිය අවශ්ය වන පරිදි පද්ධතිය සකස් කරන්න.
තාක්ෂණික ආරක්ෂණ පියවර (Technical Controls)
ඔබේ විද්යුත් තැපැල් ගිණුමට ඇතුළුවීමට මුරපදයට (Password) අමතරව දුරකථනයට එන කේතයක් (OTP) හෝ Authenticator App එකක් භාවිත කරන්න. එවිට වංචාකරුවකුට ඔබේ මුරපදය ලැබුණත් ගිණුමට ඇතුළු විය නොහැක.
වංචාකරුවන් බොහෝ විට භාවිත කරන්නේ සැබෑ ඊමේල් ලිපිනයට ඉතා සමාන ලිපිනයකි. එබැවින් සැකකටයුතු විද්යුත් පණිවිඩවල වසම් නාමය (Domain Name) පරීක්ෂා කරන්න.
අවසාන වශයෙන්, මෙවැනි වංචා නිසි විමසිලිමත්භාවය හා වගකීම් සහගත ක්රියාමාර්ගවලින් වළක්වා ගැනීමට තිබූ බව ලියුම්කරුගේ අදහසයි.
COMMENTS
Reply To:
Sisira - cb chds hcdsh cdshcsdchdhd