Kompyuterlar
. Korporativ kompyuterlarda qaysi dasturlardan foydalanish
mumkinligini ko‘rsatadigan qat’iy prinsiplarni belgilash, foydalanuvchilar
kompyuterlariga to‘g‘ridan-to‘g‘ri hujumlardan himoya qilish.
1.5-rasm. Ijtimoiy injineriya hayotiy siklining bosqichlari
-
Ichki tarmoq
. Korxona tizimlariga ta’sir qiladigan tarmoq, u mahalliy,
global yoki simsiz bo‘lishi mumkin. So‘nggi yillarda masofadan ishlaydigan
usullarning ommaviylashi sababli, ichki tarmoqlarning chegaralari sezilarli
darajada o‘zboshimchalik bilan kengaytirildi. Kompaniya xodimlari har qanday
tarmoq muhitida xavfsiz ishlarni tashkil qilishda nima qilish kerakligini
tushunishlari lozim.
-
Tarmoq perimetri
. Kompaniyaning ichki tarmoqlari va tashqi, masalan,
internet yoki hamkor tashkilotlar tarmoqlari o‘rtasidagi chegara.
Ijtimoiy injineriyaga tegishli ko‘plab hujumlar mavjud, quyida ularning
ayrimlari keltirilgan:
Fishing (texnikaviy hujum)
.
Fishing (ing. Phishing – baliq ovlash)
Internetdagi firibgarlikning eng mashhur ijtimoiy muhandislik hujumlarining bir
turi
bo‘lib,
uning
maqsadi
foydalanuvchining
maxfiy
ma’lumotlaridan
(
login/parol
) foydalanish imkoniyatiga ega bo‘lish bo‘lib u qurbonlarda
shoshilinchlik, qiziqish yoki qo‘rquv hissini yaratish uchun elektron pochta va
matnli xabarlarni jo‘natadi.
Fishing elektron pochta xabarida kiber jinoyatchilar odatda sizdan
quydagilarni so‘rashdi:
Tug‘ilgan kuni
Ijtimoiy sug‘urta raqamlari
Telefon raqamlari
Kredit karta tafsilotlari
Uy manzili
Parol ma’lumotlari
(yoki parolingizni qayta o‘rnatish uchun nima kerak).
Keyinchalik kiber jinoyatchilar ushbu ma’lumotlardan jabrlanuvchining
nomini o‘zgartirish va kredit kartalari yoki kreditlar, bank hisoblarini ochish va
boshqa firibgarlik uchun ariza berish uchun foydalanadilar(
1.6-rasm
).
Fishing hujumlarining turlari quydagilar
:
Ommaviy fishing
- aldamchi fishing deb ham ataladi, bu eng keng tarqalgan
fishing hujumidir.
Kiberjinoyatchilar
yolg‘on vadalar beradigan soxta xabarlarni ommaviy
ravishda yuborishadi: siz pul yutib oldingiz, to‘lovni qaytarish huquqiga egasiz
yoki hisobingiz to‘lanmagan va chora ko‘rish talab etiladi. Ular hech bo‘lmaganda
bir nechtasi shaxsiy ma’lumotlarni o‘g‘irlash nishoniga aylanishini bilib, ko‘p sonli
odamlarga bir xil elektron pochta xabarini yuborishadi.
1.6-rasm. Fishing hujumiga misol
Spear
Phishing
-
ushbu
sxemaning
ijrochilari
uy
vazifalarini
bajarishdi. Kiberjinoyatchining kimnidir aldash ehtimolini oshirish uchun ular
o‘zlarining potentsial qurboni haqida iloji boricha ko‘proq shaxsiy ma’lumotlarni
topadilar. So‘ngra, ular nishonning qo‘riqchisini tushirish uchun ayniqsa qonuniy
ko‘rinadigan xabarni tayyorlash uchun foydalanadilar.
Whaling Attack
- bu nayzali fishingning bir turi bo‘lib, tajovuzkor
kompaniya rahbarlarini nishonga oladi va ularning login ma’lumotlarini
o‘g‘irlashga harakat qiladi. Muvaffaqiyatli bo‘lsa, jinoyatchilar ushbu nozik
ma’lumotlardan kompaniyadan o‘g‘irlash yoki kompaniyaning boshqa xodimlarini
aldash uchun rahbar sifatida foydalanishlari mumkin.
Fishingni klonlash
- fishingning bu shakli ayniqsa aldamchi va uni aniqlash
qiyinroq bo‘lishi mumkin. Buzg‘unchi maqsad allaqachon olgan qonuniy
xabarning mazmunini ko‘chiradi va xabardagi asl havolalarni soxta web-saytga
olib keladigan zararli havolalar bilan almashtiradi. Muvaffaqiyatli bo‘lishi uchun
kiberjinoyatchi allaqachon jabrlanuvchining login ma’lumotlariga ega bo‘lishi
kerak.
Fishing elektron pochta xabarlarining eng keng tarqalgan misollari:
Soxta hisob
-faktura firibgarligi. Ko‘pgina fishing hujumlari singari, bu
firibgarlik ham qo‘rquv va shoshilinchlikka tayanadi va oxirgi foydalanuvchini
hech qachon buyurtma qilmagan yoki olmagan tovarlar yoki xizmatlar uchun
to‘lovni topshirishga majbur qiladi.
(1.7-rasm).
1.7-rasm. Soxta hisob-faktura firibgarligi
Elektron pochta hisobini yangilash firibgarligi
. Agar zudlik bilan chora
koʻrilmasa, hisobingizning amal qilish muddati tugashiga duch kelganda, elektron
pochta hisobini yangilash boʻyicha firibgarlik Microsoft va Google kabi ishonchli
elektron pochta provayderlaridan yoki oddiygina kompaniyangizning IT
boʻlimidan kelgandek tuyulishi mumkin.
(1.8-rasm).
1.8-rasm. Elektron pochta hisobini yangilash firibgarligi.
Ko‘rib turganingizdek, ushbu elektron pochtadan hech qanday zararli narsa
yo‘q. Hech qanday aniq grammatik xatolar yo‘q, batafsil so‘rovlar yo‘q va
havolaning o‘zi shubhasiz foydalanuvchiga xavfsiz “
https
” web-sahifasiga
yo‘naltirilgandek ko‘rinadi.
Foydali maslahat
- shaxsiy ma’lumotlarni berish so‘ralganda kursorni
havolaning o‘zi ustiga olib boring, chunki matnning o‘zi ko‘pincha havolaning
haqiqiy manzilini bildirmaydi.
Avans to‘lovi bo‘yicha firibgarlik
: chet ellikdan tuzoqqa tushib qolgan pulni
qaytarib olishda yordam so‘rab elektron pochta xabarini olish, batafsil hikoya
uchun kulgili bahonadir. Lekin aldanmang, bu firibgarlik bir muncha vaqtdan beri
mavjud va buning yaxshi sababi bor
(1.9-rasm).
1.9-rasm. Avans to‘lovi bo‘yicha firibgarlik.
Google Docs firibgarligi
: eng so‘nggi mashhur fishing usullaridan
biri bo‘lgan Google Docs firibgarligi qo‘shimcha daxshatli burilish taklif qiladi,
chunki jo‘natuvchi ko‘pincha siz bilgan odam bo‘lib ko‘rinishi mumkin
.(1.20-
rasm).
Ushbu o‘ta murakkab elektron pochta sizni “
hujjat
” ni ko‘rish uchun uning
havolasini bosishga undaydi, bu esa sizni
|
