Cyber Security

ရိုးမဝန်ထမ်းများထံ အသိပေးခြင်း

မြန်မာနိုင်ငံအတွင် Cyber လုံခြုံရေးနှင့် ပတ်သက်သည့် ပြဿနာများ ပိုမိုများပြားလာသည်ကို တွေ့ရှိနေရပါသည်။ ရိုးမလုပ်ငန်းစုမှ အနေဖြင့် ပစ်မှတ်ထားခံရခြင်း မရှိသေးသော်လည်း ဝန်ထမ်းများအနေဖြင့် လာမည့် သီတင်းပတ်များတွင် အထူးသတိထားရန် လိုအပ်ပါသည်။ အောက်ဖော်ပြပါ အချက် ၃ ချက်သည် အဓိက သတိပြုရမည့် အပိုင်းများဖြစ်သည့်အတွက် ဝန်ထမ်များအတွက် ဖော်ပြပေးလိုက်ပါသည်။

Phishing

Phishing ဆိုသည်မှာ လူများ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များ (သို့) ငွေကြေးဆိုင်ရာ အချက်အလက်များကို အွန်လိုင်းမှ ခိုးယူရရှိနိုင်ရန် လိမ်လည် လှည့်စားခြင်းဖြစ်ပါသည်။ ထိုသူများသည် ဝဘ်ဆိုဒ်အတုများ (သို့) ပိရိသေချာသော အီးမေးလ်များနှင့် အမှတ်တံဆိပ်များကို အသုံးပြု၍ အခြားသူများ၏ အကောင့်နာမည်များ၊ လျှို့ဝှက်နံပါတ် စကားဝှက်များ (သို့) Credit Card နံပါတ်များကို ခိုးယူခြင်းဖြစ်ပါသည်။

ထိုသူများမှ ပေးပို့သည့် အီးမေးလ် မက်ဆေ့ချ်များသည် မိမိတို့နှင့် ရင်းနှီးသော Logo များနှင့် Screen Shot များကို အသုံးပြုထားသည့်အတွက် အတုအယောင်ဖြစ်နေသည်ကို လွယ်ကူစွာ ခွဲခြားနိုင်မည် မဟုတ်ပါ။ ထိုကဲ့သို့ မိမိ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များကို မေးမြန်သော အီးမေးလ်များကို လုံးဝ အကြောင်းပြန်ခြင်းများ မပြုလုပ်ရပါ။

အီးမေးလ်သည် အစစ်အမှန်ဖြစ်ကြောင်းကို အောက်ပါ အချက်များဖြင့် သိနိုင်ပါသည်။

  • ပေးပို့သူ၏ အီးမေးလ်လိပ်စာမှာ မှားယွင်းနေခြင်း – လိမ်ညာသူအများစုသည် တရားဝင် ကုမ္ဗဏီများ (သို့) ယုံကြည်ရလောက်သော အခြားအဖွဲ့အစည်းများ၏ တရားဝင် အီးမေးလ်လိပ်စာနှင့် အလားတူသည့် အီးမေးလ် လိပ်စာများကို အသုံးပြုကြပါသည်။ ထို့ကြောင့် အီးမေးလ်လိပ်စာများသည် တရားဝင်လိပ်စာဖြစ်ကြောင်း သိနိုင်ရန် သေချာစွာ စစ်ဆေးသင့်ပါသည်။ ဥပမာ အီးမေးလ်လိပ်စာအတုသည် @yomastrateg1c.com. ဖြစ်နိုင်ပါသည်။ ထိုသို့ ဆင်တူယိုးမှား ဖြစ်နိုင်သည့်အတွက် ထိုသို့ အီးမေးလ်လိပ်စာအပေါ် အထူးဂရုပြုစစ်ဆေးခြင်းသည် အထိရောက်ဆုံးဖြစ်ပါသည်။
  • အရေးတကြီး အကြောင်းပြန်စေခြင်း – လိမ်ညာပေးပို့သည် မက်ဆေ့ချ်နှင့် အီးမေးလ်အများစုသည် မိမိအား သူတို့၏ လိမ်ညာမှုကို သတိမမူနိုင်စေရန်အတွက် သူတို့အား အလျှင်အမြန်အကြောင်းပြန်စေရန် ဖိအားပေးလေ့ရှိပါသည်။ ထိုကဲ့သို့ အရေးတကြီး ချက်ချင်းလုပ်ဆောင်ရန် ဖိအားပေးသော အီးမေးလ်မျိုးကို အထူးစစ်ဆေးဂရုပြုသင့်ပါသည်။
  • လင့်ခ်အတုများ – အီးမေးလ်တွင် ပါဝင်သော လင့်ခ်ကိုနှိပ်၍ မဝင်ရောက်မီ cursor ကို link ပေါ်တင်ယုံဖြင့် မိမိဝင်ရောက်မည့်linkနှင့် အမှန်တကယ်ရောက်သွားမည့်website ၏လိပ်စာကို ထပ်မံအတည်ပြုစစ်ဆေးကြည့်နိုင်ပါသည်။ ထိုလင့်ခ်ကို နှိပ်လိုက်ခြင်းဖြင့် ဖော်ပြထားသော အဆိုပါလင့်ခ်ထံသို့ ရောက်ရှိသွားမည်ဟု ထင်မှတ်ခြင်းမှာ လူအများစု၏ မှားယွင်းသော အယူအဆဖြစ်ပါသည်။

အွန်လိုင်းမှ အချက်အလက်များကို ရယူနိုင်ရန် လုပ်ငန်းတွင်းမှ ပေးပို့သော အီးမေးလ်လိပ်စာများသည် yoma.com.mm လိပ်စာဖြင့်သာ ပေးပို့မှာဖြစ်ပြီး အီးမေးလ်အများစုကို helpdesk@yoma.com.mm (သို့) ကျွန်မတို့ Group Technology ရှိ ဝန်ထမ်းတစ်ယောက်ယောက်၏ အီးမေးထံမှ ရရှိမှာဖြစ်ပါသည်။ မိမိလက်ခံရရှိသော အီးမေးလ်အပေါ် မသင်္ကာပါက ထိုအီးမေးလ်ကို helpdesk@yoma.com.mm ထံ ထပ်ဆင့်ပေးပို့၍ စစ်ဆေးခိုင်းပါ။

လုပ်ငန်းစု၏ Password မူဝါဒ

ကျွန်မတို့၏ မူဝါဒအရ ဝန်ထမ်းသုံး အီးမေးလ်များ၏ Password ကို ရက် ၉၀ တစ်ခါ ပြောင်းရန် လိုအပ်ပါသည်။ ထိုသို့ ပြောင်းလဲရန် နည်းလမ်း ၂ မျိုးရှိပါသည်။ မိမိသည် ရုံးမှာရှိနေပါက CTRL+ALT+DEL နှိပ်၍ “Change Password” ကို ရွေးချယ်ပါ။ ဝန်ထမ်းအများစုမှာ နေအိမ်တွင်နေ၍ အလုပ်လုပ်နေသည့်အတွက် //password.yomagroup.io သို့ သွားရောက်၍ Password ကို ပြောင်းနိုင်ပါသည်။ Password ပြောင်းရန် သတိပေးခြင်းကို အောက်ပါနှင့် ပုံစံတူ အီးမေးလ်ကို ၃ ကြိမ်တိတိပေးပို့မှာဖြစ်ပါသည်။ ထို့ကြောင့် ကျွန်မတို့မှ ပေးပို့သည့် ထိုအီးမေးလ်များသည် ဝန်ထမ်းများ၏ အီးမေးလ် Password ပြောင်းလဲရန် တရားဝင် ပေးပို့ခြင်းဖြစ်ပါသည်။ အကယ်၍သင်သည် ရက် ၉၀ တစ်ခါ Password မပြောင်းလဲပါက အီးမေးနှင့် လုပ်ငန်းခွင် Wifi ကို ဆက်လက်အသုံးပြုနိုင်မည် မဟုတ်ပါ။

SMS

End to End Encryption ပါရှိသည့် အွန်လိုင်းဝန်ဆောင်မှု၊ အက်ပလီကေးရှင်းများကိုသာ ဆက်လက်အသုံးပြုသင့်ကြောင်းကို အသိပေးခဲ့ပြီးဖြစ်ပါသည်။ ကျွန်မတစ်ခုမပြောခဲ့သည်မှာ SMS တွင် Encryption အဆင့် လုံခြုံရေးမပါသည့်အတွက် SMS တွင် ပါဝင်သော လင့်ခ်များသည် အတုဖြစ်နိုင်ချေများပါသည်။ Microsoft အတွက် လက်ရှိအသုံးပြုနေသည့် Authenticator app ကဲ့သို့ပင် 2 Factor Authenticators အများစုသည် SMS ဖြင့် ကုဒ်နံပါတ်များ ပေးပို့လေ့ရှိပါသည်။ မိမိ၏ 2FA အတွက် ပိုမိုလုံခြုံမှုရှိစေရန် SMS အစား in-app 2FA ကို ပြောင်းလဲအသုံးပြုနိုင်ရန် Helpdesk မှ SMS အသုံးပြုနေသူများထံ ဆက်သွယ်ကူညီပေးသွားမှာဖြစ်ပါသည်။

မိမိတို့၏ ကိုယ်ပိုင်သုံး အက်ပလီကေးရှင်းများအတွက်လည်း SMS မှတစ်ဆင့် ရရှိသည့် လင့်ခ်များထံ ဝင်ရောက်၍ Log In လုပ်ခြင်းများကို လုံးဝ မပြုလုပ်ပါနဲ့။ မိမိမှ တောင်းဆိုခြင်းမရှိဘဲ ဝန်ဆောင်မှုတစ်ခုခုထံမှ ကုဒ်နံပါတ်ကို SMS မှတစ်ဆင့် ရရှိပါက အဆိုပါ SMS ကို လစ်လျူရှု၍ မိမိအသုံးပြုနေသည့် အက်ပလီကေးရှင်းထံ ဝင်ရောက်၍ Password ပြောင်းပါ။ ကိုယ်ပိုင်သုံးအကောင့်များအတွက် 2FA လုံခြုံရေးစနစ်ကို အသုံးပြုရန်မှာ အထူးအရေးကြီးကြောင့် ထပ်မံသတိပေးလိုပါသည်။

အထက်ဖော်ပြပါ အကြောင်းအရာများနှင့် ပတ်သက်၍ သိရှိလိုသည်များရှိပါက Helpdesk (သို့) ကျွန်မထံ အချိန်မရွေး ဆက်သွယ်မေးမြန်းနိုင်ပါသည်။

Notice to all employees

We are seeing a massive uptick in cyber security issues in Myanmar. While Yoma Group itself hasn’t been identified as a target, it’s worth reminding everyone to take extra special precautions in the coming days and weeks. Below is a reminder around three major areas of weakness and ways to help you manage.

Phishing

Phishing (pronounced “fishing”) is a form of identity theft that attempts to trick people into revealing personal or financial information online. Phishers use phony Web sites or e-mail messages that appear to be from trusted businesses and brands to steal personal information such as usernames, passwords, or credit card numbers.

The messages can be hard to recognize as fake because they appear to come from known sources with familiar logos and screen shots.

Do NOT respond to e-mail messages that ask you to provide or verify your personal information.

Here are things you can do to see if an email is legit:

  • Incorrect “From” Addresses: Many scam artists will use similar email addresses to those of official companies and/or trusted parties. Always take a second to double-check and make sure the address is correct. There is even an email that came in from someone @yomastrateg1c.com. See how sneaky that is? This is the fastest/easiest way to identify most spam.
  • Urgent Action Required: The vast majority of phishing attacks rely on pushing the recipient to act quickly, before they take the time to execute proper caution. Any email with this kind of urgency should be scrutinized.
  • Fraudulent Links: You should always hover over a link in an email before clicking on it. By doing so, you will see what the actual web address is that you’ll be taken to. It’s a common misconception that the address displayed is also the site you’ll pull up if you click on it.

Remember, ALL internal messages about access to IT resources will come from an email that ends in @yoma.com.mm (most of the time it will be from helpdesk@yoma.com.mm) or personally from one of our Group Technology staff. If you are unclear, please forward the email to helpdesk@yoma.com.mm to verify.



Group Password Policy

Our policy for passwords requires everyone to change their passwords every 90 days. There are two ways to do this. If you are at the office, you can click CTRL+ALT+DEL and select “Change Password”. Since most of you are WFH right now, you can go to //password.yomagroup.io to make your password changes. We will send you three reminder emails that look like the below. Yes, these are legit, and they are meant to remind you when to address your passwords. If you do not change your passwords every 90 days, your access to our systems will be blocked, including your email and wifi.

SMS

I have written below that you should stick to apps that have end to end encryption. What I didn’t explicitly tell you is that SMS does not have that level of encryption and you should view all SMS links as suspicious. Many 2 factor authenticators allow you to use SMS to verify a code, including the Authenticator app we use for Microsoft. We will be turning this feature off. For those of you who currently use SMS for your 2FA, helpdesk will be reaching out to you to migrate you to the in-app 2FA option, which is much safer.

On your personal apps, never click on SMS links that tell you to log in to things. If you have received a verification code from a service you did not initiate, ignore that SMS, log in to your app and trigger a password change. Again, I must stress the importance of 2FA for all your personal accounts. If you feel that you have been compromised, please contact the Helpdesk immediately.

As always, please contact the Helpdesk or me if you have any questions or require assistance.