|
Xulosa 13
Foydalanilgan adabiyotlar 15
|
| bet | 2/3 | | Sana | 12.02.2024 | | Hajmi | 1,15 Mb. | | #154877 |
Bog'liq kiberxavfsizlikXulosa 13
Foydalanilgan adabiyotlar 15
Ijtimoiy injeneriya(Social engineering) tushunchasi sifatida asrlar davomida mavjud bo'lgan, bunga misol qilib qadimgi Rimni aytishimiz mumkin.
Zamonaviy davrda esa ijtimoiy injeneriya marketing, propaganda va josuslik kabi turli maqsadlarga erishish uchun turli shakllarda qo'llaniladi.
Ijtimoiy injeneriyaning dastlabki qayd etilgan namunalaridan biri Rim imperiyasi tomonidan aholini nazorat qilish va hokimiyatni saqlash uchun propagandadan foydalanish bo'lgan. Tarix davomida turli hukumatlar va tashkilotlar, jamoatchilik fikrini manipulyatsiya qilish va jamoat xatti-harakatlarini shakllantirish uchun propaganda va ijtimoiy injeneriyaning boshqa shakllaridan foydalangan.
20-asrda ijtimoiy injeneriya maxfiy yoki "kerakli" ma'lumotlarni olish yoki tizimlarga kirish uchun psixologik manipulyatsiyadan foydalanish bilan chambarchas bog'liq bo'lib kelyabdi. Ushbu turdagi ijtimoiy injeneriya odatda tajovuzkorlar(Hujumchilar) tomonidan ma'lumotlar yoki tizimlarga kirish uchun ishlatiladi va raqamli asrdagi eng asosiy tahdidga aylandi.
So'nggi yillarda ijtimoiy injeneriya kiberhujumlarda tobora keng tarqalgan hujum turiga aylanib bormoqda, bunda tajovuzkorlar odamlarni aldash orqali maxfiy ma'lumotlarni oshkor qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun turli usullarni qo'llaydi. Shunday qilib, shaxslar va tashkilotlar ijtimoiy injeneriya taktikalaridan xabardor bo'lishlari va ulardan himoyalanish uchun choralar ko'rishlari muhimdir.
1. Ijtimoiy injineriya haqida tushuncha
"Ijtimoiy muhandislik" - bu turli xil psixologik texnikalar va firibgarlik usullari to'plami bo'lib, ularning maqsadi aldash yo'li bilan shaxs haqida maxfiy ma'lumotlarni olishdir. Maxfiy ma'lumotlar - loginlar/parollar, shaxsiy intim ma'lumotlar, ayblovchi dalillar, bank kartalari raqamlari va moliyaviy yoki obro'ga putur etkazadigan har qanday narsa.
Ijtimoiy injeneriya — bu shaxslarga maxfiy yoki shaxsiy ma'lumotlarni oshkor qilishga ta'sir qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun psixologik manipulyatsiya yoki aldashdan foydalanish. Hujumchilar ijtimoiy injeneriya hujumlarida foydalanishi mumkin bo'lgan juda ko'p turli xil usullar mavjud va ular muvaffaqiyatga erishish imkoniyatlarini oshirish uchun ko'pincha quyidagi kombinatsiyasidan foydalanadilar.
Ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga misol:
Tajovuzkor hujum qilyotgan obyekt haqida ularning ismi, lavozimi va kompaniyasi kabi ma'lumotlarni to'playdi. Ushbu ma'lumotni ommaga ochiq manbalar orqali yoki obyektdan olish uchun bahona yoki o'lja taktikasini qo'llash orqali olish mumkin.
Hujumchi obyekt ishlaydigan kompaniyadagi yuqori darajali xodimning ismi va lavozimidan foydalanib, soxta elektron pochta yoki ijtimoiy tarmoq hisobini yaratadi.
Buzg'unchi soxta akkauntdan nishonga elektron xat yuboradi va ulardan muhim hujjatga kirish uchun havolani bosish yoki xavfsiz tizimga kirish uchun login ma'lumotlarini kiritishni so'raydi.
Obyekt esa so'rovning haqiqiy ekanligiga ishonib, havolani bosadi yoki login ma'lumotlarini kiritadi.Buzg'unchi endi nishonning login paroliga yoki tizimiga kirish huquqiga ega va bu ruxsatdan maxfiy ma'lumotlarni o'g'irlash yoki zararli dasturlarni o'rnatish uchun foydalanishi mumkin.
Afsona (aka) yaratdi va uni haqiqiy faktlar bilan to'ldirdi: do'stlari bilan yurgan joy (geo-ma'lumotnoma); otaning yurak xastaligi borligi; jabrlanuvchiga shaxsiy yozishmalarda ishlatiladigan taxallus bilan murojaat qilish va hokazo.
Bularning barchasi juda tez aytildi va doimiy ravishda o'zgartirildi. Har qanday firibgarning asosiy qoidasi - odamni o'ylamaslikka, balki doimo biror narsa qilishga majburlashdir. Ushbu psixologik usul "diqqatni nazorat qilish" deb ataladi.
Juda kuchli ta'sir mexanizmi ishlatilgan - "rahm-shafqatga bosim" (hissiyotlarga murojaat qilish). Bunday holda, jabrlanuvchi va uning ukasining psixologik portretlarini (profillarini) chuqur o'rganish bosqichi bo'lganligi sababli, u juda yaxshi ishladi va bu yaqin odam ekanligi bilan mustahkamlandi.
Bu ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga faqat bir misol.
Buzg'unchilar foydalanishi mumkin bo'lgan boshqa ko'plab taktikalar mavjud, masalan, bahona qilish (maxfiy ma'lumotlarni olish yoki tizimlarga kirish uchun soxta identifikator yoki bahonadan foydalanish), quid pro-kvo (maxfiy ma'lumotlar yoki tizimlarga kirish evaziga biror narsa taklif qilish) va qo'rqinchli dasturlar yo o'yinlar (ko'k kitga o'xshagan yoki maxfiy ma'lumotlarni oshkor qilish yoki keraksiz yoki soxta xizmatlar uchun pul to'lash uchun shaxslarni aldash uchun qo'rquv yoki noqulay holatlaridan foydalanish).
Kontseptsiyaning o'zi bizga xakerlik sohasidan kelgan. Hacker - bu kompyuter tizimlarida zaifliklarni qidiradigan odam; boshqacha qilib aytganda, ular "buzadi". Ijtimoiy muhandislikning bunga qanday aloqasi borga o'xshaydi? Hammasi juda oddiy. Vaqti-vaqti bilan xakerlar har qanday tizimdagi asosiy zaiflik mashina emas, balki odam ekanligini tushunishdi. Inson, xuddi kompyuter kabi, ma'lum qonunlarga muvofiq ishlaydi. Psixologiya, manipulyatsiya va ta'sir mexanizmlarida insoniyat tomonidan to'plangan tajribadan foydalanib,, xakerlar "odamlarni buzish" ni boshladilar. Men ijtimoiy muhandislik usulidan foydalangan holda nafaqa olishning misolini keltiraman (barakali ijtimoiy muhandis haqida misol).
2. Ijtimoiy injineriyada hujum turlari
Bank kartalari bo’yicha
Ushbu turdagi firibgarlik bank kartalari, rekvizitlar va boshqalar bilan turli xil harakatlar va firibgarliklarni o'z ichiga oladi. Bankomatlarda rekvizitlar, PIN-kodlar va parollarni o'qiydigan turli xil qurilmalar ishlatilgan. Endi, albatta, terminallarni himoya qilish butunlay boshqa darajada, ammo karding butunlay yo'qolmadi.
Fishing
1 – rasm. Fishing
Bu firibgarlikning bir turi bo'lib, ingliz tilidan so'zma-so'z "baliq ovlash" deb tarjima qilinadi. Bunday o'xshashlik nima? Ushbu usulning asosiy mohiyati sizning foydalanuvchi nomlaringiz va parollaringizni muhim saytlardan, hisoblardan, bankdagi hisob raqamlaridan va hokazolardan olishdir.zararli elektron pochta xabarlarini elektron pochtaga yuborish yoki sizni firibgar saytlarga yuborish orqali. Siz tasavvur qilganingizdek, ushbu turdagi hujum bitta emas, balki ommaviy, shuning uchun "fishing". Tarmoq tartibga solinadi va keyin ov olinadi.
Harflar misolida hamma narsa juda oddiy. Sizning pochtangizga xat keladi, masalan, bankdan: "Hurmatli mijoz, sizning hisobingiz ishlamay qoldi, siz shaxsingizni tasdiqlashingiz kerak, falon havolani kuzatib boring..." bunday elektron pochta xabarlarining asosiy vazifasi sizni havolaga o'tkazishdir. Uni bosganingizdan so'ng, shaxsiy ma'lumotlaringizni firibgarning cho'ntagida deb hisoblang. Yana bir misol — fishing saytlari. Ular odatda "muammo" yoki sotuvchilar aytganidek, "mijozning og'rig'i" ni yaratadilar va shaklni (Login/parol) to'ldirishingiz va ro'yxatdan o'tishingiz kerakligini yozadilar. Shundan so'ng sizning "muammoingiz" hal qilinadi. Buni amalga oshirgandan so'ng, siz o'zingizning barcha ma'lumotlaringizni firibgarning cho'ntagiga yuborasiz. Yana bir illyustratsiya sifatida: ba'zan biron bir hujjatni yuklab olish uchun sizdan haqiqiy shaxs ekanligingizni tasdiqlash uchun telefon raqamingizni yozishingiz so'raladi. Quyida, odatda, " men o'z raqamimni yozdim va yuklab oldim, hammasi yaxshi, ajralish emas!"
Ijtimoiy tarmoqlarni buzish(ya’ni vzlom sayt yaratish)
Hozirgi kunda firibgarlikning juda mashhur turi. Bu erda hamma narsa oddiy. Ishonchim komilki, ushbu xabarni o'qigan deyarli har bir kishi kamida bir marta "buzilgan". Ko'pchilik bu axlat deb aytishadi — men parollarni o'zgartirdim, ikki faktorli autentifikatsiyani o'rnatdim va shu bilan hech qanday muammo yo'q. Men bunga qo'shilaman, agar siz do'stingizni buzgan bo'lsangiz va u sizga biron bir iltimos bilan SMS yozsa (odatda "kartaga pul tashlang")? Bu masalada profanni hisoblash qiyin emas, lekin yaxshi ijtimoiy muhandis ancha murakkab.
Yaxshi firibgar o'z qurboni bilan yozishmalarni (agar yozishmalar olib tashlanmasa) yaxshilab o'rganib chiqadi, shunda u muloqot uslubini, ikki kishini bog'laydigan faktlarni va boshqalarni biladi. Faqatgina qiyinchilik shundaki, u odatda bunga juda oz vaqt sarflaydi, chunki uni buzgan kishi buni deyarli darhol tushunadi, chunki u o'z hisob qaydnomasi orqali o'z sahifasiga kira olmaydi, bundan tashqari unga SMS kelishi mumkin. Agar tajovuzkor ushbu ishni yuqori sifatli va juda tez bajarsa, unda hamma narsa juda ko'payishi ehtimoli bor. Bu birinchi qismdagi birodar va opa-singil haqidagi misol bilan edi. To'g'ri, u erda xaker yozishmalarni faqat ma'lumot olish uchun ochdi, keyinchalik u telefon orqali suhbatda foydalangan va buni kechasi, ko'proq vaqt bo'lganida qilgan. Agar siz odamning yozishmalarini yaxshi bilsangiz va firibgar buni yaxshi bilmasa, imkoniyat juda kamayadi. Bir do'stim boshqa do'stini buzib tashlaganida va u SMS yozishni va telefonga pul tashlashni so'raganida, menda kulgili voqea bor edi. Qiz do'sti tuni buzib tashlaganini "yoqib yubordi", chunki u ketma-ket uchta emojini qo'ydi, u hech qachon ularning yozishmalarida ishlatmagan.
Farming
Ushbu turdagi firibgarlik fishingga qaraganda xavfliroqdir, garchi u bilan bevosita bog'liq bo'lsa. Bu Foydalanuvchining soxta IP manziliga yashirin yo'naltirilishi. Mexanizm juda oddiy: ijtimoiy muhandis tarmoqqa maxsus zararli dasturlarni kiritadi, agar u juda xavfsiz bo'lmasa, har qanday foydalanuvchi o'z kompyuteriga olishi mumkin. Ushbu dasturlarning vazifasi odamlarni turli xil oddiy saytlardan fishing saytlariga yo'naltirishdir. Usul juda xavflidir, chunki foydalanuvchi ko'pincha almashtirishni ko'rmaydi.
SMS hujumlari
|
| |
