The Quantum Threat Isn't Coming - It's Already Here.

ယနေ့ခေတ်သုံး Cryptography စနစ်များကို ချိုးဖျက်နိုင်သည့် Quantum Computing ပေါ်ပေါက်လာရန် နှစ်အနည်းငယ် လိုသေးသော်လည်း Cyber Criminal တွေက တော့ သူတို့လုပ်စရာရှိတာတွေကို လုပ်နေကြတာပါပဲ။

Security Expert တွေကတော့ Cyber Criminal တွေဟာ "Harvest Now, Decrypt Later" အတွက် ပြင်ဆင်နေကြတာ အတော်တောင်ကြာနေပြီဖြစ်ကြောင်း သတိပေးထားပါတယ်။

အခု ဖတ်မရသေးသော (Encrypted Data) လျှို့ဝှက်အချက်အလက်များကို စနစ်တကျ စုဆောင်းသိမ်းဆည်းထားကြပြီး နောက်ပိုင်းတွင် Quantum Computer ပေါ်ပေါက်လာမှသာ Decryption လုပ်ပြီး ဖတ်ရှုရန် ရည်ရွယ်ထားကြခြင်းဖြစ်သည်။

Quantum Computer များ ပေါ်ပေါက်လာနိုင်ခြေ ဟာ ၂၀၃၃ ခုနှစ်လောက်မှာ ၁၇% မှ ၃၄% အထိ ရှိလာနိုင်ပြီး ၊၂၀၄၄ ခုနှစ်လောက်ဆိုရင် ၇၉% အထိ မြင့်တက်သွားမည်ဟု ခန့်မှန်းထားပြီး အဆိုပါ အချိန်များကို စိုးရိမ်ရတဲ့ ကာလလို့ သတ်မှတ်ထားကြပါတယ်။

တကယ်လို့များ ကိုယ် (သို့မဟုတ်) ကိုယ်အလုပ်လုပ်နေတဲ့ အဖွဲ့အစည်း ရဲ့ Data များသည် နောက်ထပ် ၁၀ နှစ်ကျော်အထိ (Encrypt) လျှို့ဝှက်ထားရန် လိုအပ်ပါက၊ ထို Data များသည် ယနေ့ကတည်းကပင် အန္တရာယ်ရှိနေပြီဖြစ်သည်။

ကြိုတင်ပြင်ဆင်မှုများ အနေနဲ့ ကတော့
အမေရိကန်မှာဆိုရင် အစိုးရဌာနများသည် ၂၀၃၅ ခုနှစ်နောက်ဆုံးထား၍ Quantum Resistance Cryptography လုံခြုံရေးစနစ်များသို့ ပြောင်းလဲရန် သတ်မှတ်ချက်များ ရှိလာပြီဖြစ်သည်။ Government Regulator များကလဲ လုပ်ငန်းအဖွဲ့အစည်းများအနေဖြင့် အနာဂတ်အတွက် စီမံချက်များ ချမှတ်ရုံသာမက လက်ရှိတွင် မည်သို့တိုးတက်အောင် ဆောင်ရွက်နေသည်ကိုပါ သက်သေပြရန် ပိုမိုမျှော်လင့်လာကြသည်။

Feburary လအတွက် SANS Cyber Defense Insider က ဆောင်းပါးလေး သဘောကျလို့ ပြန်ဝေမျှလိုက်တာပါ။

ပျော်ရွှင်ပါစေ။

(Be knowledgeable, pass it on then)

Does your DLP ready to control the data breach (photos and videos) through cameras to AI?

AI နည်းပညာကို အသုံးပြုပြီး DLP (Data Loss Prevention) အတွက် Sensitive Data တွေကို Camera နဲ့ ရိုက်တာရော၊ Screenshot ယူတာနဲ့ ယူထားတဲ့ Data ကို AI ကို ပေးပြီး သိချင်တာတွေ မေးတာကို ထိရောက်စွာ တားဆီးလို့ ရပါတယ်။

ဒါပေမဲ့ နည်းပညာတစ်ခုတည်းနဲ့ အကုန်လုံးကို ၁၀၀% ပိတ်ဆို့ဖို့ထက် နည်းလမ်းအမျိုးမျိုးကို ပေါင်းစပ်အသုံးပြုရတာမျိုး ဖြစ်ပါတယ်။ 

ဘယ်လိုနည်းလမ်းမျိုးတွေ အသုံးပြုလို့ရနေလဲဆိုတာ အောက်မှာ အကြမ်းဖျင်းအနေနဲ့ ကြည့်ကြရအောင်ပါ။

၁။ Camera နဲ့ ဓာတ်ပုံ/ဗီဒီယို ရိုက်တာကို AI နဲ့ တားဆီးခြင်း (Physical Camera Detection)

ဒါက DLP မှာ အခက်ခဲဆုံး အပိုင်းပါ။ ဝန်ထမ်းတစ်ယောက်က သူ့ဖုန်းနဲ့ ကွန်ပျူတာ screen ကို ဓာတ်ပုံရိုက်တာကို တားဖို့အတွက် "AI-powered Human/Object Detection" ကို သုံးပါတယ်။

• Webcam Monitoring: AI ဟာ ကွန်ပျူတာရဲ့ Webcam ကနေတစ်ဆင့် အမြဲစောင့်ကြည့်နေပါတယ်။ အကယ်၍ Screen ရှေ့မှာ ဖုန်း (Smartphone) ကို မြှောက်လိုက်တာ ဒါမှမဟုတ် တခြား Camera တစ်ခုခုကို မြင်လိုက်တာနဲ့ AI က ချက်ချင်း သိရှိပါတယ်။

• Active Response: ဖုန်းကို မြင်လိုက်တာနဲ့ AI က Screen ကို ချက်ချင်း Blur (ဝါးပစ်တာ)၊ Screen ပိတ်ပစ်တာ ဒါမှမဟုတ် Admin ဆီကို Alert (သတိပေးချက်) ပို့တာမျိုး လုပ်ဆောင်ပါတယ်။

• Check Point, CyberArk သို့မဟုတ် သီးသန့် AI Privacy Software တွေမှာ ဒီလို Feature မျိုး ပါဝင်ပါတယ်။

၂။ Screenshot ယူတာကို တားဆီးခြင်း (Digital Screenshot Blocking)

ဒါကတော့ Software-based DLP တွေနဲ့ ပိုပြီး ထိရောက်အောင် လုပ်လို့ရပါတယ်။

• OS Level Blocking: DLP software တွေက Windows/macOS ရဲ့ Screenshot (PrintScreen, Snipping Tool) function တွေကို အပြီးပိတ်ထားနိုင်ပါတယ်။

• AI Content Awareness: AI က Screen ပေါ်မှာ ပေါ်နေတဲ့ Data ဟာ Sensitive ဖြစ်မဖြစ် (ဥပမာ- Credit Card နံပါတ်၊ Password၊ ဖောက်သည်စာရင်း) ကို OCR (Optical Character Recognition) နည်းပညာနဲ့ Real-time ဖတ်ပါတယ်။ Sensitive Data ဖြစ်နေရင် Screenshot ရိုက်လို့မရအောင် Automatic Block လုပ်ပေးပါတယ်။

• Invisible Watermarking: အကယ်၍ Screenshot ရိုက်သွားခဲ့ရင်တောင် AI က အစက်ကလေးတွေနဲ့ ဖော်ပြထားတဲ့ (မမြင်ရတဲ့) Watermark တွေကို ထည့်ထားပေးပါတယ်။ အဲဒီပုံကို ပြန်စစ်လိုက်ရင် ဘယ်သူ၊ ဘယ်အချိန်၊ ဘယ် IP ကနေ ရိုက်သွားတာလဲဆိုတာ ခြေရာခံလို့ ရပါတယ်။

၃။ DLP အတွက် AI ရဲ့ အဓိက အခန်းကဏ္ဍ

DLP မှာ AI ကို အောက်ပါအတိုင်း အသုံးပြုကြပါတယ်။ 

• OCR & Image Analysis: စာသားတွေတင်မကဘဲ Sensitive ဖြစ်တဲ့ ပုံစံထုတ်လုပ်ထားတဲ့ Design တွေ၊ Diagram တွေကိုပါ AI က ခွဲခြားသိမြင်ပြီး ကာကွယ်ပေးတာပါ။

• Behavioral Analytics: ပုံမှန်မဟုတ်တဲ့ အပြုအမူ (ဥပမာ- Data တွေ အများကြီးကို ဓာတ်ပုံလိုက်ရိုက်နေတာ ဒါမှမဟုတ် ခဏခဏ Screenshot ယူနေတာ) ကို AI က သံသယဖြစ်ဖွယ်အဖြစ် သတ်မှတ်ပြီး ပိတ်ဆို့ပါတယ်။

အားနည်းချက် (Limitations)

• Privacy: ဝန်ထမ်းရဲ့ Webcam ကို သုံးပြီး စောင့်ကြည့်တာမျိုးက ကုမ္ပဏီရဲ့ Privacy Policy နဲ့ ကိုက်ညီဖို့ လိုအပ်ပါတယ်။

• Hardware Speed: AI က Real-time စောင့်ကြည့်နေရတဲ့အတွက် ကွန်ပျူတာရဲ့ Performance (RAM/CPU) ကို အနည်းငယ် စားနိုင်ပါတယ်။

အပေါ်က ပြောထားတာတွေမှာ ဝန်ထမ်းရဲ့ ကိုယ်ပိုင် Phone, Tablet နဲ့ Camera ပါတဲ့ Gadget တွေကို ထိန်းချုပ်ဖို့ အတွက် မပါသေးပါဘူး။

အဲ့ဒီလို လုပ်ဖို့ အတွက်ဆိုရင် ဝန်ထမ်းရဲ့ Personal Device တွေထဲမှာ Device Management Agent ကိုထည့်သွင်းပြီး အချိန်ပြည့်စောင့်ကြည့်ရမှာဖြစ်လို့ Privacy ကို ထိပါးရမှာ ဖြစ်တာကြောင့် Data လုံခြုံရေးနဲ့ Privacy ကြားက မျဉ်းဟာ AI ခေတ်မှာ ခေါင်းခဲစရာ ကိစ္စတခုဖြစ်လို့လာနေတာပါပဲ။

အနှစ်ချုပ် အနေနဲ့

DLP အတွက်ဆိုရင်တော့ Forcepoint, Symantec DLP, သို့မဟုတ် Microsoft Purview လိုမျိုး နာမည်ကြီး DLP solution တွေမှာ AI ပါဝင်ပြီးသား ဖြစ်ပါတယ်။ သင်က အထူးသဖြင့် "Camera နဲ့ ရိုက်တာ" ကိုပဲ အဓိက တားချင်တာဆိုရင်တော့ Computer Vision (AI) သုံးတဲ့ Endpoint Privacy Software တွေကို ထည့်သွင်းစဉ်းစားသင့်ပါတယ်။

ပျော်ရွှင်ပါစေ။

(Be knowledgeable, pass it on then)

Data Loss Prevention, Insider Threat and Business Email Compromise

Company အလုပ်တွေမှာ အဖွဲ့အစည်းအပြင် ဖက်ကို  Email ပို့ရတော့ မယ်ဆိုရင် ဖြတ်သန်းရမယ့် Email Security နဲ့ Data Loss Prevention Pocess ဆိုတာရှိပါတယ်။

ဒီအဆင့်ဟာ အိုင်တီလုံခြုံရေးဝန်ထမ်း တွေ ကို တခြားဝန်ထမ်းတွေ က အထင်အမြင်လွဲမှား စေတဲ့ အဆင့်တွေ ထဲက တခုပါ။

အလုပ်မတွင်ကျယ်ဘူး။ အပိုလုပ်တယ်လို့ ထင်ကြပါတယ်။

ဒီနေရာမှာ ကျတော် ဥပမာ လေး တခု ပြောပြချင်ပါတယ်။

၂၀၁၆ ခုနှစ်၊ နိုဝင်ဘာလ မှာ Boeing ကုမ္ပဏီရဲ့ ဝန်ထမ်းတယောက် ဟာ Excel ဖိုင်တခုကို Format လုပ်ဖို့ ကြိုးစားရင်း မလုပ်တတ်တာနဲ့ အိမ်က သူ့ အမျိုးသမီးရဲ့  Personal email ဆီကို ဖိုင်ပို့ ပြီး အကူအညီလှမ်းတောင်းလိုက်ပါတယ်။

သူ မသိလိုက်တာက အဲ့ဒီဖိုင်ထဲမှာ တခြားဝန်ထမ်း ၃၆,၀၀၀ ကျော် တွေ ရဲ့  Personally Identifiable Information (PII) တွေ ပါတဲ့ Column တခု Hide ထားတယ်ဆိုတာပါပဲ။

ဒီမှာပဲ Data Protection ကျိုးပေါက် ပြီး တော့ Boeing ရဲ့ Deputy Chief Privacy Officer ကိုယ်တိုင် သက်ဆိုင်ရာ အစိုးရဌာနကို Data Breach ဖြစ်ကြောင်း အစီရင်ခံရတယ်ပေါ့။

ကံကောင်းသွားတာက Internal ဖြစ်တာရယ်၊ သိသိခြင်း အစိုးရကို အကြောင်းကြားတာရယ်ကြောင့် Boeing အနေနဲ့ သက်သာသွားတယ်ပေါ့။

သင်လဲ ကိုယ့် personal email ဆီကို အလုပ် email ကနေ ပို့တတ်တဲ့ အကျင့် ရှိရင် ဒီဥပမာကို ဖတ်ပြီး သင်ခန်းစာယူပါလို့။

Data Loss Prevention System တွေ က ကောင်းပေမယ့် Human Error ကြောင့်ဖြစ်စေ၊ Project Timeline ကြောင့်ဖြစ်စေ Data Classification, Data Labelling, Rule စတာတွေ ဟာ Perfect မဖြစ်နိုင်တဲ့ အတွက် တခါတရံမှာ Boeing လို အဖြစ်မျိုးကြုံ တဲ့ အခါ သင်ရော၊ သင်အလုပ်လုပ်နေတဲ့ ကုမ္ပဏီရော နဲ့ သင့်လုပ်ဖော်ကိုင်ဖက် အိုင်တီလုံခြုံရေး သမားတွေ အတွက် ထိခိုက်မှုတွေ ရှိလာတဲ့ အခါ နောင်တရစရာ ကိစ္စတွေ ဖြစ်လာနိုင်တာပေါ့။

Boeing ရဲ့ အဖြစ်ကို သေချာလေး သိချင်ရင်တော့ The Washington State Attorney General’s office က Public ဖွင့်ပေးထားတဲ့ အောက်က လင့်မှာ ဖတ်ကြည့်လို့ရပါတယ်။

https://agportal-s3bucket.s3.amazonaws.com/Breach%20The%20Boeing%20Company%202017-02-08.pdf

ပျော်ရွှင်ပါစေ။

(Be knowledgeable, pass it on then)

How Smart Security Teams Stay Ahead on the Rise of Deepfakes

အမေရိကန် သမ္မတ တို့၊  အီလွန်မက်စ် တို့ရဲ့ မျက်နှာနဲ့ တောင် လိမ်လာနေတဲ့ Deepfake Security Threat တွေ ဟာ Information Security သမားတွေ အတွက် ခေါင်းခဲစရာ ကိစ္စတခု ဖြစ်နေတာပါပဲ။

▪ AI Voice Detector

▪ Amber Video

▪ Arya AI

▪ Attestiv

▪ Deepware Scanner

▪ Facia

▪ FaceForensics++

▪ Hive AI

▪ Intel FakeCatcher

▪ InVID & WeVerify Toolkit

▪ Microsoft Video Authenticator

▪ OpenAI Deepfake Detector

▪ Pindrop Security

▪ Reality Defender

▪ Sensity AI (formerly Deeptrace)

▪ Serelay

စတဲ့ Deepfake AI Detection Tools တွေ ဘယ်လောက်ပဲ ရှိနေပါစေ။ လူက အဓိက ဖြစ်နေတာပါပဲ။

Tools တွေ ကလဲ စျေးကြီးတာရယ်၊ Implement လုပ်ရတာခက်တာရယ်လဲ ပါတာပေါ့။

လူက အဓိကဆိုတဲ့ နေရာမှာ အောက်မှာ ပြောပြထားတဲ့ နည်းလမ်းမျိုးတွေ နဲ့ Deepfake ကို သတိထားခွဲခြား နိုင်ပါတယ်ဆိုတာကို Security Awareness သင်တန်းတွေ မှာ ထည့်သွင်း သင်ကြားဖို့လိုပါတယ်။

Zoom, Microsoft Team or Streaming Platform ပေါ် က Video တခု ကို အကဲခတ်တဲ့ အခါမှာ Video ထဲက သူရဲ့ 

‌▪ နှုတ်ခမ်းလှုပ်ရှားမှုနှင့်အသံမကိုက်ညီခြင်း

▪ မျက်လုံးလှုပ်ရှားမှု သို့မဟုတ် မျက်တောင်ခတ်မှုပုံမှန်မဟုတ်ခြင်း 

▪ သွားများပုံမှန်မဟုတ်ဘဲ တသမတ်တည်းဖြစ်နေခြင်း 

▪ စကားပြောသည့်အခါ အသံနေအသံထားပြောင်းလဲမှုမရှိခြင်း

▪ အလင်းအမှောင် သို့မဟုတ် အရိပ်များမညီညာခြင်း

▪ မျက်လုံး၊ ပါးစပ် သို့မဟုတ် မေးရိုးတစ်ဝိုက်တွင် ဝါးနေခြင်း 

▪ လည်ပင်းနှင့်လက်တို့၏ အသားအရောင်မတူညီခြင်း 

▪ ခေါင်းလှည့်သည့်အခါ ပါး၊ မျက်ခုံး သို့မဟုတ် မေးရိုးများမညီမညာဖြစ်နေခြင်း

▪ ကိုယ်ခန္ဓာလှုပ်ရှားနေသော်လည်း ခေါင်းငြိမ်နေခြင်း သို့မဟုတ် ခေါင်းလှုပ်ရှားနေသော်လည်း ကိုယ်ခန္ဓာငြိမ်နေခြင်း  စတဲ့ အချက်တွေ နဲ့ ကိုက်ညီနေရင် Deepfake AI နဲ့ လုပ်ထားတဲ့ Video ဖြစ်နိုင်ကြောင်းပေါ့။ 

နောက် ဆုံး မှာတော့ 

▪ သံသယဖြစ်ပါက ကိုယ်နဲ့ စကားပြောနေသူကို သူပဲသိနိုင်မည့် မေးခွန်းမျိုးမေးမြန်းခြင်း ပဲ ဖြစ်ပါတယ်တဲ့။ (ဥပမာ သူနဲ့ ကိုယ်နဲ့ ထမင်းအတူတူစားတုံးက အကြောင်းအရာတခုခုကို သတိရလားမေးတာတို့ ဘာတို့ပေါ့) 

ဒါတွေ အပြင်နောက် ထပ်လုပ်နိုင်တာတွေ ကတော့ 

▪ ငွေကြေးလွှဲပြောင်းမှု တောင်းဆိုချက်တွေ ပါလာပြီ ဆိုတာနဲ့  ဒုတိယအဆင့်အတည်ပြုခြင်းဆိုတဲ့ လုပ်ထုံလုပ်နည်းဆိုင်ရာ စည်းမျဉ်းများကို အကောင်အထည်ဖော်ခြင်း (ဥပမာ ဖုန်းခေါ် ပြီး အတည်ပြု တာတို့ ၊ လူ နှစ်ယောက် အနည်းဆုံး လက်မှတ်ထိုးပေး မှ ငွေ လွှဲ လို့ ရတာတို့မျိုး ပေါ့ )

▪ Deepfake နှင့်ဆက်စပ်သောခြိမ်းခြောက်မှုများကို ဝန်ထမ်းများက သတင်းပို့နိုင်ရန်အတွက် ရှင်းလင်းပြတ်သားသော အစီရင်ခံခြင်းဆိုင်ရာ စည်းမျဉ်းများကို အကောင်အထည်ဖော်ခြင်း 

▪  Cyber Security Incident Response Plan ထဲမှာ Deepfake scenarios တွေ အတွက် အခန်းတခု ဖြည့်စွက်ထည့်ခြင်း

▪ သံသယဖြစ်ဖွယ်အကြောင်းအရာများကို စစ်ဆေးအတည်ပြုရန်၊ Online/Social Media Platform များမှ လျင်မြန်စွာဖယ်ရှားပေးရန် အတွက် အဖွဲ့တစ်ဖွဲ့ကို တာဝန်ပေးအပ်ခြင်း 

▪ ဖယ်ရှားပေးရန်တောင်းဆိုခြင်းနှင့် ရပ်တန့်ရန်အကြောင်းကြားစာများ (cease and desist letters) အတွက် နမူနာပုံစံများ ရေးဆွဲနိုင်ရန် ဥပဒေဌာနနှင့်ပူးပေါင်းဆောင်ရွက်ခြင်း 

▪ ဝန်ထမ်းများ၏ လုံခြုံရေးအသိပညာပေးလေ့ကျင့်ရေးတွင် Deepfake ခြိမ်းခြောက်မှုများကို ထည့်သွင်းသင်ကြားပေးခြင်း  တို့ပဲ ဖြစ်ပါတယ်။

ပျော်ရွှင်ပါ‌စေဗျာ။

(Be knowledgeable, pass it on then)

Dangerous Applications need to remove from your phone immediately

Cyble လို့ခေါ်တဲ့ ဆိုက်ဘာလုံခြုံရေးဆော့ဖ်ဝဲလ်ကုမ္ပဏီရဲ့ Report တခုမှာ သင့်ရဲ့  Mobile Phone ထဲမှာ တကယ့် App အစစ်တွေရဲ့ နာမည် (သို့မဟုတ်) ပုံစံတူ အတုယူထားတဲ့ App တွေ သွင်းထားတယ်ဆိုရင် ဖျက်ပစ်ဖို့ အကြံပြုထားပါတယ်။ 

ဒီအတုအယောင် Digital Wallet, Crypto Wallet App တွေဟာ ထည့်သွင်းပြီး ဖွင့်လိုက်တာနဲ့ Phishing Website (သို့မဟုတ်) In-App Browser တစ်ခုကို ဖွင့်ပေးတာကို တွေ့ရှိခဲ့ပါတယ်။

အဲဒီနောက်မှာ App တွေက သင့်ရဲ့  Digital Wallet, Crypto Wallet ကို ရှင်းထုတ်ဖို့ အသုံးပြုနိုင်တဲ့ စကားလုံးအတွဲ (mnemonic phrase) ကို တောင်းဆိုပါတယ်။ 

အဆိုပါ အတုအယောင် App တွေဟာ အသုံးပြုသူတွေကို စကားလုံးအတွဲ (mnemonic phrase) ထည့်သွင်းမိအောင် လှည့်စားဖို့အတွက် လုံခြုံမှုမရှိတဲ့ (သို့မဟုတ်) ပြန်လည်အသုံးပြုထားတဲ့ developer အကောင့်တွေကို အသုံးပြုထားပါတယ်။ 

လက်ရှိမှာတော့ Wallet အစစ်ကို တုပထားရတဲ့ Fake Wallet (၉) ခု ရှိတယ်လို့ သတိပေးထားပေမယ့် လက်ရှိတွေ့ရှိထားတဲ့ အက်ပ် ၂၀ ကျော် ရှိတာကြောင့် အဲဒီစာရင်းက တိုးလာနိုင်ပါတယ်။

ချက်ချင်းဖျက်ပစ်သင့်တဲ့ App တွေကတော့ -

Pancake Swap

Suiet Wallet

Hyperliquid

Raydium

BullX Crypto

OpenOcean Exchange

Meteora Exchange

SushiSwap

Harvest Finance Blog

တို့ပဲ ဖြစ်ပါတယ်တဲ့။

Digital Wallet, Crypto Wallet Appတွေမှာ လုံခြုံရေးစနစ် (safety net) မရှိတဲ့အတွက် ဘယ်လိုဆုံးရှုံးမှုမျိုးမဆို ပြန်လည်ရယူလို့မရပါဘူး။ ဒါကြောင့် Wallet ပိုင်ရှင်တွေက တကယ်ထုတ်ပေးတာ ဟုတ်၊ မဟုတ် သေချာပြီး တရားဝင် Website ကနေ Wallet App ကို ချိတ်ဆက်ထားတာ မဟုတ်ရင် ဘယ် App ကိုမှ Download and Install မလုပ်ဖို့ အရေးကြီးပါတယ်။ အပေါ် က App တွေထဲက တစ်ခုခု သင့် ဖုန်းထဲမှာရှိနေတယ်ဆိုရင် ချက်ချင်းဖျက်ပစ်ဖို့ အရေးကြီးပါတယ်။

Safety Net ဆိုတာကတော့ အလွယ်‌‌ပြောရရင် Protection mechanism ထည့်သွင်းတည်ဆောက်ထားတာကို ဆိုလိုတာပါ။

Apple Pay, Paypal တို့လို Digital Wallet မျိုးကျတော့ ကြားခံ Custodian လို့ ခေါ် တဲ့ Apple, Bank တွေ ရှိတဲ့ အတွက် သူတို့ရဲ့ ထိန်းချုပ်မှု တစိတ်တပိုင်း (သို့မဟုတ်) အပြည့်အဝ ရှိတဲ့ အတွက် ငွေမှားလွှဲမိတာ တို့ ၊ မိမိ မသိလိုက်ပဲ ငွေလွှဲ ထားတာတို့ ဆိုရင် ပြန်လည်ရယူနိုင်တာမျိုးပေါ့။

Crypto Wallet တွေ မှာလဲ Centralize Exchange တွေ က ထုတ်ပေးထားတာမျိုးဆိုရင် Safety Net တချို့ တလေ ပါတဲ့ အတွက် လုံခြုံမှု အတိုင်းအတာ တခုထိ ရရှိနိုင်ပေမယ့် Decentralize Crypto Wallet App မျိုးဆိုရင်တော့ mnemonic phrase အခိုးခံရတာတို့ ၊ ပျောက်သွားတာ မေ့သွားရင်တော့ အဆုံးလို့သတ်မှတ်ရမှာပါပဲ။

Report မှာ နိဂုံးချုပ်ထားတာကတော့ 'ဒီလှုပ်ရှားမှုဟာ အလျင်အမြန်တိုးပွားနေတဲ့ Digital Wallet, Crypto Wallet App အသုံးပြုသူတွေကို ပစ်မှတ်ထားပြီး စနစ်တကျစီစဉ်ထားတဲ့ phishing operation ကို မီးမောင်းထိုးပြနေပါတယ်။ 

Google Play Store ကနေ Fake Android App (၂၀) ကျော်ကို ဖြန့်ဝေခြင်းအားဖြင့် Attackerတွေဟာ PancakeSwap, SushiSwap, Raydium စတဲ့ Legit Wallet App တွေကို အတုယူပြီး အသုံးပြုသူတွေရဲ့ ဒစ်ဂျစ်တယ်ပိုင်ဆိုင်မှုတွေကို ဝင်ရောက်ဖို့အတွက် မရှိမဖြစ်လိုအပ်တဲ့ စကားလုံးအတွဲ (mnemonic phrases) တွေကို ခိုးယူနေကြပါတယ်။ 

ဒီလှုပ်ရှားမှုကို အထူးသဖြင့် အန္တရာယ်များစေတာကတော့ ယခင်က အန္တရာယ်မရှိခဲ့ဖူးတဲ့ (သို့မဟုတ်) လုံခြုံမှုမရှိတော့တဲ့ developer အကောင့်တွေအောက်မှာ ထားရှိတဲ့ Legit ဖြစ်ပုံပေါ်တယ်လို့ ထင်ရတဲ့ App တွေကို အသုံးပြုထားခြင်းအပြင်၊

Traditional Protection တွေ ရဲ့ Detection ကို ရှောင်ရှားနိုင်ဖို့ နဲ့ Attack Surface ကို ပိုကျယ်ကျယ်ပြန့်ပြန့် ရောက်စေဖို့  Webiste Domain (၅၀) ကျော်နဲ့ ချိတ်ဆက်ထားတဲ့ Phishing Infrastructure တွေပါ ပေါင်းစပ်ထားပါသေးတယ်တဲ့။

နောက်ဆုံး အနေနဲ့ Cyble က လူတွေကို စိစစ်ပြီးသား developer တွေဆီကနေပဲ App တွေကို Download and Install လုပ်ဖို့နဲ့ ဘာကိုမဆို Download and Install မလုပ်ခင် သုံးသပ်ချက်တွေကို ကြည့်ဖို့ အကြံပြုထားပါတယ်။ 

သူတို့က အသုံးပြုတွေအနေနဲ့ ကွန်ပျူတာ၊ လက်ပ်တော့ပ်နဲ့ ဖုန်းလိုမျိုး ပစ္စည်းတွေမှာ ယုံကြည်စိတ်ချရတဲ့ Antivirus, Internet Security Software တွေကို အသုံးပြုသင့်တယ်လို့လည်း အလေးအနက်ထား ပြောကြားထားပါတယ်။ 

Password တခုထက်ပို တဲ့ multi-factor authentication ကို အသုံးပြုဖို့ ကိုလဲ အကြံပြုထားပြီး လုံခြုံရေး ပိုမိုကောင်းမွန်ဖို့အတွက် တတ်နိုင်သမျှ Face, Fingerprint တို့လို biometric data တွေကို အသုံးပြုဖို့လည်း တိုက်တွန်းထားပါတယ်။

သင့်ဖုန်းရဲ့ လုံခြုံရေးအတွက် ဒီအချက်အလက်တွေက အထောက်အကူပြုမယ်လို့ မျှော်လင့်ပါတယ်။ 

ပျော်ရွှင်ပါစေဗျာ။

(Be knowledgeable, pass it on then)