• ဗမာစာ
  • English

    • အစိုးရဝန်ကြီးဌာနများနှင့် အရပ်ဘက်အဖွဲ့အစည်းများ၏ Domain ၉၅ % ကျော်တွင် ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာအားနည်းချက်ရှိနေ

    မြန်မာနိုင်ငံ အစိုးရဝန်ကြီးဌာန Domain Name တွေနဲ့ သတင်းမီဒီယာ ကောင်စီတို့ရဲ့ Domain Name တွေကို အသုံးပြုပြီး အီးမေးလ်အတုအယောင်(email spoofing) ပြုလုပ်ကာ ဆိုက်ဘာတိုက်ခိုက်မှုတွေ ရှိခဲ့တယ်လို့ လွန်ခဲ့တဲ့ တစ်ပတ်လောက်က သတင်းထုတ်ပြန်ချက်တွေမှာ တွေ့ရှိရပါတယ်။ Email spoofing ဆိုတာ Attacker တစ်ယောက်က အခြားသူပိုင်တဲ့ Website တစ်ခုက Domain Name ကို အသုံးပြုပြီး email လိပ်စာအတုအယောင်ပြုလုပ်ကာ emailပေးပို့တာပဲဖြစ်ပါတယ်။ အဓိက ရည်ရွယ်ချက်ကတော့ Target User ဆီကို malicious email (သို့) phishing link တစ်ခုပေးပို့ကာ တရားဝင်အဖွဲ့အစည်းက ပေးပို့လာတယ်လို့ ထင်မှတ်စေအောင် လှည့်ဖြားပြီး ဆိုက်ဘာတိုက်ခိုက်မှုတွေ လုပ်ဆောင်ဖို့ဖြစ်ပါတယ်။ ဒီသတင်းထုတ်ပြန်ချက်ထဲမှာပါတဲ့ office@myanmarpresscouncil.org၊ office@president-office.gov.mm နဲ့ speakeroffice@amyotha.hluttaw.mm ဆိုတဲ့ အီးမေးလ်လိပ်စာတွေဟာ သက်ဆိုင်ရာဌာနတွေက အမှန်တကယ်အသုံးပြုခြင်းမရှိတဲ့ အီးမေးလ်လိပ်စာတွေဖြစ်ပြီး၊ attacker အနေနဲ့ email spoofing နည်းလမ်းနဲ့ ဖန်တီးထားတဲ့ အီးမေးလ်လိပ်စာတွေပဲဖြစ်ပါတယ်။ အဲ့ဒီလို ကိုယ်ပိုင် Domain Nameမဟုတ်ဘဲ၊ အခြားသူတစ်ဦးပိုင်ဆိုင်တဲ့ Domain Name ကိုအသုံးပြုပြီး emailလိပ်စာအတုအယောင်တွေ ဖန်တီးဖို့အတွက် သူ့ရဲ့ Mail Server ကို access ရဖို့ မလိုအပ်ပါဘူး။ Target Domain ရဲ့ DNS Recordမှာ SPF Record နဲ့ DMARC Record တွေ မရှိဘူး၊ DMARC Record ရှိပေမဲ့ enforced လုပ်မထားဘူးဆိုရင် အဲ့ဒီ Domain နဲ့ Email Spoofing Attackပြုလုပ်နိုင်ပါတယ်။

    အဆိုပါတိုက်ခိုက်မှုကို ကာကွယ်နိုင်ဖို့အတွက် အစိုးရဝန်ကြီးဌာနများ၊ အရပ်ဘက်အဖွဲ့အစည်းများအနေနဲ့ မိမိတို့ရဲ့ Website တွေမှာ ကိုယ်ရဲ့Domain Name နဲ့ အီးမေးလ်အသုံးပြုခြင်းရှိသည်ဖြစ်စေ၊ မရှိသည်ဖြစ်စေ DNS Record မှာ အဆိုပါ SPF Record နဲ့ DMARC Record တွေ ထည့်သွင်းထားဖို့ လိုအပ်မှာဖြစ်ပါတယ်။ Team Mr.Linuxer ရဲ့ လေ့လာတွေ့ရှိချက်အရ မြန်မာနိုင်ငံ အစိုးရဝန်ကြီးဌာန Domain တွေနဲ့ အရပ်ဘက်အဖွဲ့အစည်း Domain တွေရဲ့ ၉၅ ရာခိုင်နှုန်းကျော်မှာ အဆိုပါ အားနည်းချက်ရှိနေတာကို တွေ့ရှိရပါတယ်။ ဒါ့ကြောင့် ကိုယ်ရဲ့ Domain ဟာ Spoofable Domain ဟုတ်/မဟုတ် စစ်ဆေးပြီး၊ အချိန်မီပြင်ဆင်နိုင်စေဖို့အတွက် Team Mr.Linuxer က အသိပေးနှိုးဆော်လိုက်ရပါတယ်။ Spoofable Domain ဟုတ်/မဟုတ်ကို comment မှာဖော်ပြထားတဲ့ Link မှာ စစ်ဆေးနိုင်ပါတယ်။ အစိုးရဝန်ကြီးဌာနများ၊ အရပ်ဘက်အဖွဲ့အစည်းများအနေနဲ့ နည်းပညာအကူအညီများလိုအပ်ပါက hello@mrlinuxer.net သို့ ဆက်သွယ်နိုင်ပါတယ်။

    ./Team MrLinuxer