By Phishing attack එකක් කියන්නේ තවත් කෙනෙක්ව රවට්ටලා, එහෙම නැත්තන් අපේ victim ට ඇමක් දාල, ඒ හරහා අපිට ඕනේ කරන data ගන්න එකටයි. ඉතින් එහෙම sensitive details ගෙන්න ගන්න නම් Hacker ට කිසියම් ක්රමවේදයක් බාවිතා කරන්න වෙනවා. මේ වගේ ටිකක් විශේෂිත user කෙනෙක්ගෙන් රහසේම data ලබාගන්න යොදාගන්නා tool එකක් ගැනයි අපි අද කතා කරන්න හදන්නේ.
Lockphish toolkit එක කියන්නේ වෙනත් phishing tools වලට වඩා වෙනස් එකක්. ඒ මොකද කියනවා නම් එමඟින් පුළුවන් iPhones වල passcodes සහ Android උපාංග වල pin codes ලබාගන්න. ඒ සඳහා attacker විසින් fake වෙබ් page එකක් user ට යවනවා. එම link එක click කළ විට user ට අදාළ වෙබ් පිටුවට පිවිසීමට පෙර login page එකක් ලැබෙනවා. මෙය හරියට අදාළ උපාංගයේ lock screen එක වගෙයි. ඒ කියන්නේ pin එකක් ඇතුළත් කරලා නේ අපි අපේ උපාංගය unlock කරගන්නේ. අන්න ඒ screen එක තමයි මේ විදියට එන්නේ. හැබැයි අපේ උපාංගයේ තියෙන original screen එක නෙවෙයි මේ. ඒ අර attacker විසින් fake විදියට හදලා එවපු login එකයි. ඉතින් අපිට හිතෙන්නේ ඒ අපේ screen එක කියලයි. එහෙම හිතලා අපේ උපාංගයට අදාළ pin code එක ලබාදුන්නම එය කෙලින්ම attacker ට යනවා. දැන් තේරෙනවා නේ වැඩේ? අපේ login details සියල්ල ක්ෂණිකයෙන් attacker ට ලැබෙනවා.
අපි දන් එහෙනම් බලමු කොහොමද මේ Lockphish toolkit එක යොදාගෙන වෙන කෙනෙක්ගේ device එකක් compromised කරන්නේ කියලා. මේ article එකෙන් tool එක install කිරීමේ සිට එය භාවිතා කර login details ගන්න ආකාරය දක්වා සවිස්තරව අපි කතා කරමු.
Lockphish install කිරීම
ඔයාලට මේ tool එක GitHub එකෙන් download කරගන්න පුළුවන්. ඔයාට website එකෙන් කෙලින්ම මෙය download කරගන්න පුළුවන් වගේම පහත සඳහන් command එක යොදාගෙනත් එය ගන්න හැකියාව තියෙනවා.
මේ Lockphish tool එක PHP වලින් code කරලා තියෙන නිසා ඒක run කරන්නත් ඔයාගේ device එකේ php තියෙන්න ඕන. Php install කරලා නැති නම් apt-get install php හරහා ගොස් එයත් install කරගන්න. Lockphish unzip කරගන්නත් අවශ්ය නිසා apt-get install unzip මඟින් එයත් ලබාගන්න.
Dependencies install කරගැනීමෙන් පසුව, cd භාවිතා කර Lockphish install කර ඇති directory එකට යන්න. මෙම directory එක තුළ ඇති Lockphish script එක run කරගන්න හැකි ලෙස sudo chmod +x lockphish.sh යන command එක යොදන්න.
Lockphish tool එකෙන් phishing page එකක් සැකසීම
දැන් අපි Lockphish install කරගෙනයි තියෙන්නේ. එහෙනම් බලමු කොහොමද මේකෙන් phishing page එකක් හදාගන්නේ කියලා. Lockphish run කරගන්න ./lockphish යන command එක ලබාදෙන්න. එවිට ඔබට පහත ආකාරයේ screen එකක් ලැබේවි.
ඔබට මෙහි පේනවා ඇති default redirect link එක විදියට ලබාදී තියෙන්නේ YouTube URL එක බව. ඔබට එය අවශ්ය පරිදි වෙනත් URL එකක් යොදා වෙනස් කරගන්න පුළුවන්. ඔයාට මේ default link එකෙන් ඉදිරියට යන්න ඕන නම් Enter එක ලබාදෙන්න. එවිට පහත ආකාරයේ screen එකක් දැකගන්න පුළුවන්.
මේ අවස්ථාවේ Lockphish එකෙන් phishing server එක setup කිරීම සහ unique URL එකක් නිර්මාණය කරනු ලබනවා. ඒ phishing attack එක සිදුකිරීමටයි. අපි මේ ගන්න උදාහරණයට අනුව නම් URL එක (https://d4e61b4a6341.ngrok.io)_වේ. මේ වගේ link එකක් user කෙනෙක්ට යවලා එය click කිරීමට අවධානය ගන්න නම් phishing email එකක් යවන්න වෙනවා.
Target device එක compromised කිරීම
හරි ඔන්න දැන් hacker කාටහරි ඉහත ආකාරයේ link එක යැව්වට පස්සේ user විසින් ඒක click කරනවා. අදාළ උපාංගයේ මේ Lockphish link එක open වුණාට පස්සේ ඔය පහත දැක්වෙන ආකාරයට තමයි එය නිරූපණය කරන්නේ.
ඔබට පේනවා ඇති එහි redirect to youtube ලෙස සඳහන් වෙනවා කියලා. ඔන්න ඔතනින් පස්සේ තමයි hackerට අවශ්ය දේ සිද්ධ වෙන්නේ.
Youtube එකට redirect වෙන link එකේ මීළඟ අවස්ථාවේ තමයි අර phone එකේ lock screen page එක එන්නේ. ඔබට එය පහතින් දැකගන්න පුළුවන්.
ඒක හරියටම ඔයාගේ device එකේ lock screen වගේ නේද. ඉතින් එහෙම උනාම සැකයක් නැතිවම user විසින් pin code එක ලබාදෙනවා unlock කරගැනීමට. Pin code එක දීලා enter ලබාදුන්න ගමන් මොකද වෙන්නේ, ඒ අදාළ අංකය කෙලින්ම attacker ට ලැබෙනවා. පහතින් ඔබට ඒ hacker ගේ screen එක දැකගන්න පුළුවන්.
ඉහත Lockphish terminal එකේ පෙන්වර ආකාරයට අදාළ උපාංගයේ pin code එක 1111 වන අතර එය text file එකක් ලෙසද save වෙනවා.
Lockphish tool එකේ ඇති වාසි සහ අවාසි
Lockphish කියන්නේ කිසියම් ඉලක්කගත device එකක pin code එක හෝ password එක ලබාගැනීමට යොදාගත හැකි සරල සහ භාවිතය පහසු tool එකක්. එය Android, iOS සහ Windows උපාංග සඳහා සහය දක්වනවා. එමෙන්ම attacker ට ඉතා පහසුවෙන් ngrok වැනි සේවාවක් යොදාගෙන තමන්ගේම server එකක් setup කරගෙන මෙය ක්රියාත්මක කරවන්න පුළුවන්. Hack කිරීමෙන් ලැබෙන login credentials පසු භාවිතය සඳහා save කරගන්නත් මේ tool එකට හැකියාව තියෙනවා.
ඒ කෙසේ වුනත් මෙහි ඇති සමහර සීමා කිරීම් නිසා phishing වලදී යොදාගත හැකි හොඳම tool එකක් විදියට අපිට හඳුන්වා දෙන්නත් බැහැ. Lockphish හි ඇති එවැනි limitations කිහිපයක් පහතින් දැක්වෙනවා.
- Odd landing page – email එකෙන් යවන link එකෙන් open වන redirect page එක blank page එකක් විදියටයි පෙන්නුම් කරන්නේ.
- Click then lock – user වෙබ් page එකක සිට link එක click කරාට පස්සේ එකවර screen එක lock වීම device එකේ timeout එකත් සමඟ වෙනස් වෙන්න පුළුවන්.
- Odd landing page – email එකෙන් යවන link එකෙන් open වන redirect page එක blank page එකක් විදියටයි පෙන්නුම් කරන්නේ.
- Click then lock – user වෙබ් page එකක සිට link එක click කරාට පස්සේ එකවර screen එක lock වීම device එකේ timeout එකත් සමඟ වෙනස් වෙන්න පුළුවන්.
- Static background image – link එකෙන් ලැබෙන lock screen එකේ ඇති background image එක වෙනස් කළ නොහැකි නිසා user ගේ නියම lock screen image එකත් එක්ක එහි ඇති වෙනස user ට දැකගන්න පුළුවන්.
- No PIN checking – Lockphish එකට user ගේ pin අංකය verify කරගැනීමේ හැකියාවක් නැහැ.
- Full-screen warning – Android වල ඇති වෙබ් browsers මඟින් full screen අවස්ථාවේ ඇති විට full screen mode එකේ ඇති බවට warning එකක් ලබාදේ.
- Inconsistent browser support – Lockphish tool එක chrome browser එකේ හරියට වැඩ කරාට Firefox browser එකේ නම් එය හරියට පෙන්නුම් කරන්නේ නැහැ. එවිට user ට තමන්ගේ original lock screen එක වගේ නැති නිසා යම්කිසි සැකයක් ඇති වෙන්න පුළුවන්.
මේ වගේ අඩුපාඩු කිහිපයක් මේ Lockphish tool එකේ තිබුණට එයින් අදහස් වෙන්නේ නැහැ phishing attack එකක් කරගන්න බැහැ කියලා. අපි මීට කලින් කතා කරලා තියෙන phishing attacks වලදී වගේ කෙනෙක්ව රැවටීමේ අරමුණින් විශ්වාසය ඇතිවෙන විදියට කටයුතු කලොත් මේ වගේ tool එකකින් වුණත් phishing attack එකක් කරලා login details ගන්න හැකියාව තියෙනවා.
