MUSTAQIL ISH
Mavzu: Ijtimoiy injineriyada hujumlar tahlili
Bajardi: CSF007 –guruh talabasi Jo’rayev Javlon
Tekshirdi:Fayziyeva Dilsora Salimovna
REJA
Ijtimiy injineriya haqida tushuncha
Ijtimoiy injineriyada hujumlar turlari
Fishing hujumlar
Ijtimoiy injineriya hujumlaridan himoyalanish
Ijtimoiy injineriya haqida tushuncha
Ijtimoiy injineriy –bu shaxslarga maxfiy yoki shaxsiy ma’lumotlarni oshkor qilishga ta’sir qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun psixalogik manipulatsiya yoki aldashdan foydalanish.
Ijtimoiy injineriya hujumlarini uch turga bo'lish mumkin:
1.Insonga asoslangan hujumlar
2.Mobilga asoslangan hujumlar
3.Kompyuterga asoslangan hujumlar
Ijtimoiy injineriya
Ijtimoiy injineriyani ayniqsa xavli qiladigan narsa , u dasturiy taminot va operatsion tizimlardagi zaifliklaraga emas, balki inson xatolariga tayanadi. Qonuniy foydalanuvchilar tomonidan yo’l qo’yilgan xatolarni oldindan aytib bo’lmaydi, bu ularni zararli dasturlarga asoslangan hujumga qaraganda aniqlsh va oldini olishni qiyinlashtiradi
Ijtimoiy injineriya hayot aylanishi
Ijtimoiy injineriyada hujumlar
Ijtimoiy injieriya hujumlari turli shakllarda bo’lishi mumkin, jumladan, fishing, bahona, o’lja, DoS, XSS(Cross-site scripting), SQL Injection, o’lja, quid pro va yelka orqali qarash
Fishing(ing. Phishing-baliq ovlash) hujumlari
Fishing-bu kiberjinoyatchilar foydalanuvchi maxfiy malumotlarni, masalan login, parol, bank kartasi malumotlarini olishga harakat qiluvchi online firibgarlikning bir turi.
Bunda hujumchilar maxfiy malumotlarni olish maqsadida jabirlanuvchinig ishonchini qozonishga harakat qiladilar va shoshilinchlik hissi yaratadilar yoki qo’rqitish taktikalaridan foydalanadilar. Shuni takidlash kerakki, fishing kompaniyalar ko’p sonli tasodifiy foydalanuvchularga yoki malum bir shaxs yoki guruhga mo’ljallangan bo’lishi mumkin.
Fishing hujumlarining eng keng tarqalgan turlari Spir fishing, veyling hujumlar, SMishing, va vishingladir
Fishing hujumiga misol
Mavjud bo’lmagan havola. Fishing hujumining mazkur turida biror veb saytga o’xshash bo’lgan veb saytga murojaat amalga oshirilishiga jalb qilinadi. Masalan, www.PayPai.com manzili www.PayPal.com manzili sifatida yuborish mumkin. Bu holda kamdan-kam holda foydalanuvchilar “l” harfini o’riniga “i” harfi borligiga e’tibor berishadi. Havolaga murojat qilinganda esa www.PayPal.com veb saytga o’xshash, biroq soxta veb saytga tashrif buyuriladi va talab kiritilgan to’lov kartasi ma’lumotlari kiritiladi. Natijada, kiritilgan ma’lumotlar xaker qo’liga tushadi.
Taniqli korporativ brendidan foydalishga asoslangan firibgarlik.
Firibgarlikning mazkur ko’rinishida taniqli yoki yirik kompaniyalar nomidan foydalanuvchiga xabarlar yuboriladi. Bunda xabarlarda kompaniya tomonidan o’tkazilgan biror tanlovda g’alaba qozinilganligi haqidagi tabriklar bo’lishi mumkin. Unda shuningdek, zudlik bilan qayd yozuvi ma’lumotlari va parolni o’zgartirish kerakligi so’raladi. Shunga o’xshash sxemalar texnik ko’maklashish xizmati nomidan ham amalga oshiririlishi mumkin.
IVR (Interactive Voice Response) yoki telefon orqali fishing. Fishing sxemasining mazkur usuli oldindan yozib olingan xabarlar tizimidan foydalanishga asoslangan bo’lib, ular bank va boshqa IVR tizimlarining “rasmiy qo’nqiroqlari”ni qayta tiklash uchun ishlatiladi. Bu hujumda jabrlanuvchi bank bilan bog’lanishi va har qanday ma’lumotlarni tasdiqlash yoki yangilash kerakligi haqidagi so’rovni qabul qiladi. Tizim PIN yoki parolni kiritish orqali foydalanuvchi tasdig’ini talab qiladi. Natijada, muhim ma’lumotlarni qo’lgan kiritgan buzg’unchi foydalanuvchi ma’lumotlaridan foydalanish imkoniyatiga ega bo’ladi. Masalan, parolni almashtirish uchun “1” ni bosing va operator javobini olish uchun “2” ni bosing va h.
Fishing - misol
Quyida keng tarqalgan fishing firibgarlik urinishi tasvirlangan:
myuniversity.edu dan soxta elektron pochta xabari imkon qadar ko‘proq professor-o‘qituvchilarga ommaviy ravishda tarqatilgan.
Xatda foydalanuvchi parolining amal qilish muddati tugashi arafasida. Parolni 24 soat ichida yangilash uchun myuniversity.edu/renewal sahifasiga o‘tish bo‘yicha ko‘rsatmalar berilgan.
Fishing -misol
Havolani bosish orqali bir nechta narsa yuz berishi mumkin. Masalan:
Foydalanuvchi myuniversity.edurenewal.com saytiga yo‘naltirildi, bu soxta sahifa haqiqiy yangilanish sahifasiga o‘xshab ko‘rinadi, bu yerda ham yangi, ham mavjud. parollar so'raladi. Tajovuzkor sahifani kuzatib, universitet tarmog‘idagi himoyalangan hududlarga kirish uchun asl parolni o‘g‘irlaydi.
Foydalanuvchi haqiqiy parolni yangilash sahifasiga yuboriladi. Biroq, qayta yo'naltirilayotganda zararli skript foydalanuvchining seans cookie-faylini o'g'irlash uchun fonda faollashadi. Buning natijasida aks ettirilgan XSS hujum sodir bo‘lib, jinoyatchiga universitet tarmog‘iga imtiyozli kirish huquqini beradi
Hujumdan saqlanish
Fishing hujumlariga qarshi himoyalanish uchun quyidagi tavsiyalardan foydalanishimiz mumkin:
Xatolik tuzatish: xabarlardagi yaroqli xatolar, grammatika va taxririy naniqliklar phishing xabari bo’lishi alomatidir. Ushbu xatolarning mavjudligida xabarni ishonchsiz deb hisoblang va malumot bermang.
Havolani tekshirish: biror saytga kirganingizda, saytni URL manzilini tekshiring. Xakerlar asl saytlarga o’xshash saytlar yaratishi mumkin, shuning uchun sayt manzilini diqqat bilan tekshiring
Shaxsiy malumotlarni talab qilgan ishonchsiz manbalardan kelgan xabarlarga javob bermang: banklar, kompaniyalar yoki boshqa tashkilotlar sizdan shaxsiy malumotlar talab qilganda uning ishonchli ekanligiga ishonch hosil qilgandan keyingina ularning talabini bajaring.
Xavfsizlik talimoti: o’zingizni fishing hujumlariga qarshi talimlantiring va xavfsizlik shasidagi yangiliklarni kuzatib boring.
Yelka orqali qarash hujumi
“Yelka orqali qarash” hujumi. Ushbu hujumga ko’ra buzg’unchi jabrlanuvchiga tegishli ma’lumotlarini uning yelkasi orqali qarab qo’lga kiritadi. Ushbu turdagi hujum jamoat joylarida, masalan, kafe, avtobus, savdo markazlari, aeroport va temir yo’l stansiyalarida keng tarqalgan. Mazkur hujumga doir olib borilgan so’rovnomalar quyidagilarni ko’rsatgan:
85% ishtirokchilar o’zlari bilishlari kerak bo’lmagan maxfiy
ma’lumotlarni ko’rganliklarini tan olishgan;
82% ishtirokchilar ularning ekranidagi ma’lumotlarini ruxsatsiz shaxslar ko’rishi mumkinligini tan olishgan;
82% ishtirokchilar tashkilotdagi hodimlar o’z ekranini ruxsatsiz odamlardan himoya qilishiga ishonishmagan.
Yelka orqali qarash -misol
Yelka orqali qarash hujumiga misol qilib quyidagilarni keltirish mumkin
Siz bankomatdan foydalanayotganingizda, kimdir PIN kodingizni kiritishingizni kuzatish imkonini beradigan tarzda o'zini o'rnatdi. Shoshilinch ravishda siz kartangiz va pulingiz bilan bankomatni hisobingizdan butunlay chiqib ketganiga ishonch hosil qilmasdan qoldirasiz. Agar bankomat butun tranzaksiya uchun kartani kiritishni talab qilmasa, tajovuzkor PIN-kodni bilishi sharti bilan boshqa tranzaksiyalaringiz borligini tasdiqlamasangiz, boshqa tranzaktsiyalarga ruxsat beriladi.
Olomon jamoat transporti tajovuzkorlarga boshqalarning qurilma ekranlarini ko'rish yoki boshqalarning suhbatlarini eshitishni osonlashtiradi. Bunday hollarda, ular tom ma'noda jabrlanuvchining yelkasiga qarashadi.
Jabrlanuvchi tasodifan o'z qurilmasini jamoat joyida qarovsiz qoldiradi. Bir necha daqiqa oldin jabrlanuvchi o‘z kompyuteriga o‘z parolini kiritganini ko‘rgan tajovuzkor ushbu ma’lumot bilan qurilmani qulfdan chiqarishi va kompyuterdagi har qanday nozik ma’lumotlarni xavf ostiga qo‘yishi mumkin.
Yelka orqali qarash hujumi-himoyalanish
Yelka orqali qarash hujumidan quyidagilar orqali himoyalanish mumkin
Parollarni oʻchirish: Parolga asoslangan hujumlarning oldini olishning FAQAT yoʻli parollarni yoʻq qilish yoki ularni o’zgartirib turishdir.
Qurilmalaringizga maxfiylik ekranini qoʻshing: Maxfiylik ekranlari biriktirilgan qurilmalardan foydalanish maʼlumotlarning oshkor etilishi xavfini keskin kamaytiradi. Ba'zi shisha himoya vositalari ishlab chiqaruvchilari maxfiylik ekraniga ega versiyalari mavjud bo'lib, ular nafaqat telefoningiz oynasini, balki telefoningizdagi ma'lumotlarni ham himoya qiladi.
Har doim atrofingizdan xabardor bo'ling: Jamoat joylarida ehtiyot bo'ling. Hujumchilar o'zlari uchun eng oson deb bilgan narsaga moyil bo'lishadi. Agar chalg'itsangiz, kimdir sizni kuzatayotganini va qurilma yoki bankomatga nima kiritayotganingizni sezmasligingiz mumkin.
O‘rniga biometrik autentifikatsiyadan foydalaning: Barmoq izingiz yoki yuzingiz yordamida biometrik autentifikatsiya PIN<> qo‘shimcha xavfsizlikni taklif qilishi mumkin. a i=3> mumkin emas. Buzg'unchi hech qachon jismoniy PIN-kod kiritganingizni ko'rmagani uchun qurilmaga kira olmaydi.
Quid pro quo(xizmat uchun xizmat) hujumi
Quid pro quo hujumi “berish va olish” almashinuvi bilan tavsiflanadi. Bu so'zma-so'z ma'noda bir narsa uchun nimadir degan ma'noni anglatadi. Bu ayirboshlash tushunchasi hal qiluvchi ahamiyatga ega, chunki inson sifatida biz psixologik oʻzaro munosabat qonuniga boʻysunamiz. Bu shuni anglatadiki, har safar kimdir bizga biror narsa qilsa yoki yaxshilik qilsa, o'zimizni yaxshilikni qaytarishga majburmiz.
Kvid pro-kvo bo'lsa, ma'lumot evaziga va'da qilingan foyda yoki afzallik odatda xizmat shaklida bo'ladi.
Aytaylik, IT xodimi siz bilan bog‘landi, u kompyuteringiz tezligini pasaytiradigan potentsial viruslarni olib tashlash uchun kompyuteringizda audit o‘tkazishni taklif qiladi. ishlash. Lekin buning uchun unga login va parolingiz kerak bo'ladi. Hech narsa tabiiyroq bo'lishi mumkin emas! Siz unga bu ma'lumotni hech qanday muhokamasiz taqdim etasiz: axir, siz bir necha oy davomida kompyuteringiz sekinlashayotganidan shikoyat qilgansiz. Bundan tashqari, bu xayrixohlik almashinuvi yaxshi bo'lmasligi va siz hozirgina quid pro quo hujumining tuzog'iga tushib qolgan bo'lishingiz mumkin.
Quid pro quo hujumlari manipulyatsiya va ishonchni suiiste'mol qilish ijtimoiy muhandislik texnikasi toifasiga kiradi, masalan, fishing hujumlari (shu jumladan nayzali fishing va kit ovlash hujumlari), a>.taklif qilishyoki o‘lja qilish
Ijtimoiy injineriya hujumlarining tasiri
Ijtimoiy injineriya hujumlari jiddiy oqibatlrga olib kelishi mumkin, jumladan:
Malumotlarning buzilishi: xakerlar maxfiy malumotlarga ruxsatsiz kirishlari mumkin, bu moliyaviy yo’qotish, shaxsiy malumotlarning o’g’irlanishi yoki shaxsning obro’siga putur yetkazishi mumkin.
Buzilgan tizmlar: ijtimoiy injineriya orqali olingan zararli dastur yoki ruxsatsiz kirish tizimning buzulishiga olib keladi va keyingi hujumlarni amalga oshirishga imkon beradi.
Ishonchni yo’qotish: muvaffaqiyatli ijtimoiy injineriya hujumlari odamlarga, tashkilotlarga va online platformalarga bo’lgan ishonchni yo’qotib, munosabatlar va obro’ga tasir qiladi.
Ijtimoiy injineriya hujumlaridan himoyalanish
Ijimoiy injineriya hujumlaridan himoyalanish uchun quyidagilar muhim:
Ogohlikni oshirish: ijtimoiy injineriya texnikasi va shaxsiy malumotlarni himoya qilish bo’yicha eng yaxshi amaliyotlarni o’rganish va shaxsiy kampyuter, telefonlarni tekshirib turish.
Kuchli xavfsizlik siyosatini amalga oshirish: so’rovlarni tekshirish, kuchli parollarni o’rnatish va xavfsizlik dasturlarini muhimligni takidlaydigan siyosatlarni o’rnating
Ko’p faktorli autintifikatsiyani yoqish: qo’shimcha xavfsizlik qatlamlarini qo’shish. Masalan 2 bosqichli tekshiruv , barmoq izi yoki yuz tuzilishiga asoslangan autintifikatsiylar.
Treninglard qatnashib turish: treninglarda siz ijtimoiy muhandislikka urinishlarni tanib olish va ularni oldini olish shuningdek har xil savollarga javob olish mumkin.
Teskari ijtimoiy injineriya
Teskari ijtimoiy muhandislik - bu ijtimoiy muhandislik hujumning bir turi boʻlib, u psixologik manipulyatsiya orqali pul yoki maʼlumotni oʻgʻirlashga qaratilgan. Yakuniy maqsad an'anaviy ijtimoiy muhandislik hujumlari bilan bir xil bo'lsa-da, taktikalar farq qiladi.
Teskari ijtimoiy muhandislik hujumi, maqsad oxir-oqibat pul to'laganda yoki maxfiy ma'lumotlarni, masalan, masofaviy xodimning tashkiloti va tizimlariga xaker kirishini beruvchi parolni oshkor qilganda muvaffaqiyatli bo'ladi.
Teskari ijtimoiy muhandislik hujumlari odatda texnik yordamni o'z ichiga oladi, lekin banklar va boshqa kompaniyalarning soxta "qo'llab-quvvatlash agentlari" tomonidan ham amalga oshirilishi mumkin.
Teskari ijtimoiy muhandislik va ijtimoiy muhandislik asosan o'z yondashuvlarida farqlanadi. Oddiy ijtimoiy muhandislik hujumida, tajovuzkor elektron pochta va ijtimoiy media platformalari orqali jabrlanuvchi bilan bevosita aloqa qiladi.
Boshqa tomondan, tajovuzkor teskari muhandislik hujumida jabrlanuvchi bilan aloqani boshlamaydi.
Hacker, masalan, tizim parametrlarini qayta o'rnatish yoki muhim faylni o'chirish va o'zini o'z kompaniyasining malakali xavfsizlik xodimlari sifatida ko'rsatish kabi o'zi yaratgan muammoga yechim taklif qilish orqali odamni aldashi mumkin.
Mashhurlar
Kevin Mitnik: Barcha davrlarning eng mashhur xakerlaridan biri, Mitnik maxfiy ma’lumotlar va tizimlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llashi bilan juda mashhur bo’lgan.
Jeyms Kosta: Kosta AQSh Mudofaa vazirligining sobiq xodimi bo’lib, u maxfiy harbiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan.
Mandy Nagy: Nagy, shuningdek, “LibertyGirl” nomi bilan ham tanilgan, Anonim guruhining a’zosi bo’lgan va maxfiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan.
Gari MakKinnon: MakKinnon maxfiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan holda AQSh harbiylari va NASAning kompyuter tizimlariga buzib kirishda ayblangan.
Adrian Lamo: Lamo yirik korporatsiyalar va axborot tashkilotlarining kompyuter tarmoqlariga, jumladan Yahoo! va The New York Times. U ushbu tarmoqlarga kirish uchun ko’pincha ijtimoiy injeneriya taktikalaridan foydalangan.
XULOSA
Xulosa qilib aytganda ijtimoiy injineriya hujumlari ijtimoiy injineriya sohasida muhim xavfsizlik muammolarini keltirib chiqaradi. Biz bu hujumlardan xakerlar tomonidan qo’llanadigan usullar, xabardorlikni oshirish, kuchli xavfsizlik choralarini qo’llash va hushyorlik madaniyatini oshirish orqali ijtimoiy injineriya bilan bog’liq xavflarni kamaytirishimiz mumkin.
Foydalanilgan adabiyotlar
https://en.wikipedia.or
https://www.techtarget.com
https://www.imperva.com
https://blog.usecure
https://www.ibm.com
https://www.cisco.com
|