Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot



bet129/149
Sana10.09.2024
Hajmi
#270811
1   ...   125   126   127   128   129   130   131   132   ...   149
Bog'liq
kiberxavfsizlik-asoslari

Fishing. 
Fishing (ing. Phishing – baliq ovlash) Internetdagi firibgarlikning bir 
turi bo’lib, uning maqsadi foydalanuvchining maxfiy ma’lumotlaridan (login/parol) 
foydalanish imkoniyatiga ega bo’lish. Bu hozirda keng tarqalgan sosial injineriya 
sxemalaridan biri hisoblanadi. Katta hajmdagi shaxsiy ma’lumotlarni keng tarqalishi, 
fishing “shamolisiz” amalga oshmaydi. Fishingning eng keng tarqalgan na’munasi 
sifatida jabrlanuvchi elektron pochtasiga yuborilgan rasmiy ma’lumot ko’rinishidagi 


276 
bank yoki to’lov tizimidan yuborilgin soxta xabar hisoblanadi. Bunday elektron 
pochta xabarlari odatda rasmiy rasmiy veb-saytga o’xshash va shaxsiy 
ma’lumotlarni talab qiladigan shakldagi qalbaki veb sahifaga havolani o’z ichiga 
oladi [4] (94-rasm). Rasmda keltirilgan birinchi holatda mijozning yoki 
foydalanuvchining ismi va familiyasini yozish o’rniga pochta manzili yozilgan 
bo’lsa, ikkinchi holatda sichqoncha ko’rsatilgan havola ustiga olib borilganda
haqiqiy manzil (www.PayPal.com) emas, balki, boshqa manzilni ko’rish mumkin. 
94-rasm. Fishing hujumiga misol
Quyida keng tarqalgan fishing sxemalariga misollar keltirilgan. 
Mavjud bo’lmagan havola. 
Fishing hujumining mazkur turida biror veb 
saytga o’xshash bo’lgan veb saytga murojaat amalga oshirilishiga jalb qilinadi. 
Masalan, 
www.PayPai.com
 manzili 
www.PayPal.com
 manzili sifatida yuborish 
mumkin. Bu holda kamdan-kam holda foydalanuvchilar “l” harfini o’riniga “i” harfi 
borligiga e’tibor berishadi. Havolaga murojat qilinganda esa 
www.PayPal.com
 veb 
saytga o’xshash, biroq soxta veb saytga tashrif buyuriladi va talab kiritilgan to’lov 
kartasi ma’lumotlari kiritiladi. Natijada, kiritilgan ma’lumotlar xaker qo’liga tushadi.
Bunga yaqqol misol sifatida, 2003 yilda eBay foydalanuvchilariga tarqalgan 
fishing xabarni keltirish mumkin. Mazkur xabarda foydalanuvchilarning akkauntlari 
bloklangani va kredit karta ma’lumotlari blokdan chiqarilishi kerakligi keltirilgan


277 
va unda rasmiy veb-saytga o’xshash soxta veb sahifaga olib boruvchi havola mavjud 
bo’lgan. Ushbu fishing hujumini keltirgan zarari bir necha yuz ming dollarga teng 
bo’lgan. 
Taniqli 
korporativ 
brendidan 
foydalishga 
asoslangan 
firibgarlik. 
Firibgarlikning mazkur ko’rinishida taniqli yoki yirik kompaniyalar nomidan 
foydalanuvchiga xabarlar yuboriladi. Bunda xabarlarda kompaniya tomonidan 
o’tkazilgan biror tanlovda g’alaba qozinilganligi haqidagi tabriklar bo’lishi mumkin. 
Unda shuningdek, zudlik bilan qayd yozuvi ma’lumotlari va parolni o’zgartirish 
kerakligi so’raladi. Shunga o’xshash sxemalar texnik ko’maklashish xizmati 
nomidan ham amalga oshiririlishi mumkin. 
Soxta lotareyalar. 
Mazkur fishing sxemasiga ko’ra foydalanuvchi har qanday 
taniqli kompaniya tomonidan o’tkazilgan lotareyada g’olib bo’lgani to’g’risidagi 
xabarlarni olishi mumkin. Tashqi tomondan bu elektron xabarlar kompaniyaning 
yuqori lavozimli xodimlaridan biri nomidan yuborilganga o’xshaydi. 
Soxta antivirus va xavfsizlik dasturi. 
Mazkur dasturlar firibgar dasturiy 
ta’minot yoki “chaqqon dastur” deb nomlanib, ular antivirus dasturlariga o’xshasada, 
vazifasi boshqa bo’ladi. Bu dasturiy ta’minot turli tahdidlar to’g’risida yolg’on 
xabarnomalarni keltirib chiqaradi va foydalanuvchini soxta bitimlarga jalb qilishga 
harakat qiladi. Foydalanuvchi ulardan foydalanganda elektron pochta, onlayn 
e’lonlar, ijtimoiy tarmoqlarda, qidiruv tizimlardagi natijalarida va hatto 
foydalanuvchi kompyuterida turli qalqib chiquvchi oynalarda duch kelishi mumkin. 
Quyida keltirilgan misolda, aslida Microsoft Security Essentials bo’lishi kerak 
bo’lgan biroq, o’ziga Security Essentials 2010 nomini bergan soxta antivirus 
dasturining ko’rinishi keltirilgan [5]. 


278 
95-rasm. “Security Essentials 2010” antivirus dasturi 
IVR (Interactive Voice Response) yoki telefon orqali fishing. 
Fishing 
sxemasining mazkur usuli oldindan yozib olingan xabarlar tizimidan foydalanishga 
asoslangan bo’lib, ular bank va boshqa IVR tizimlarining “rasmiy qo’nqiroqlari”ni 
qayta tiklash uchun ishlatiladi. Bu hujumda jabrlanuvchi bank bilan bog’lanishi va 
har qanday ma’lumotlarni tasdiqlash yoki yangilash kerakligi haqidagi so’rovni 
qabul qiladi. Tizim PIN yoki parolni kiritish orqali foydalanuvchi tasdig’ini talab 
qiladi. Natijada, muhim ma’lumotlarni qo’lgan kiritgan buzg’unchi foydalanuvchi 
ma’lumotlaridan foydalanish imkoniyatiga ega bo’ladi. Masalan, parolni 
almashtirish uchun “1” ni bosing va operator javobini olish uchun “2” ni bosing va 
h.
Preteksting. 
Mazkur fishing sxemasida xaker o’zini boshqa shaxs sifatida 
ko’rsatadi va oldindan tayyorlangan skript bo’yicha maxfiy axborotni olishni 
maqsad qiladi. Ushbu hujumda qurbonni shubhalanmasligi uchun tegishli 
tayyorgarlik ko’riladi: tug’ulgan kun, INN, passport raqami yoki hisob raqamining 
oxirgi belgilari kabi ma’lumotlar topiladi. Ushbu fishing sxemasi odatda telefon yoki 
elektron pochta orqali amalga oshiriladi. 

Download
1   ...   125   126   127   128   129   130   131   132   ...   149




Bosh sahifa
Aloqalar

    Bosh sahifa



Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot