1-Amaliy: Mamlakatimizda axborot xavfsizligiga oid qonunlar bilan tanishish
-Amaliy: Social engineering. Xujum fazalari, odamlarni ishontirish, xujum turlarini oldindan olish
Download 0.57 Mb.
|
|
9-Amaliy: Social engineering. Xujum fazalari, odamlarni ishontirish, xujum turlarini oldindan olish.
Ijtimoiy muhandislik - bu maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni amalga oshirish uchun odamlarni manipulyatsiya qilish yoki aldashga asoslangan hujum turi. Ijtimoiy muhandislik hujumlarini aniqlash va oldini olish usullariga bir nechta misollar: Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: parollar, ijtimoiy xavfsizlik raqamlari yoki kredit karta ma'lumotlari kabi shaxsiy ma'lumotlarni so'ragan nomaqbul telefon qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan shubhali bo'ling. Kutilmagan yoki shoshilinch so'rovlardan ehtiyot bo'ling: pul o'tkazish, pul o'tkazish yoki dasturiy ta'minotni yuklab olish so'rovlari kabi shoshilinch ko'rinadigan so'rovlardan ehtiyot bo'ling. Bepul takliflarga shubha bilan munosabatda bo'ling: kattaroq sovringa da'vo qilish uchun kichik to'lovni to'lash so'rovi kabi haqiqat bo'lishi uchun juda yaxshi ko'rinadigan bepul takliflar yoki bitimlardan ehtiyot bo'ling. So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang. Soxta firibgarliklardan ehtiyot bo'ling: tajovuzkorlar shaxsiy ma'lumot yoki pul olish uchun qonuniy tashkilot yoki shaxs nomidan o'zini namoyon qiladigan firibgarliklardan xabardor bo'ling. O'zingizni va xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar o'tkazib, ijtimoiy muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak. Fishingga qarshi dasturiy ta'minotdan foydalaning: Anti-fishing dasturi fishing elektron pochta xabarlarini aniqlash va blokirovka qilishga yordam beradi, shuningdek, foydalanuvchilarni potentsial zararli veb-saytlar haqida ogohlantirishga yordam beradi. Fishingdan himoya qilish uchun brauzer kengaytmasidan foydalaning: Phishing himoyasi uchun brauzer kengaytmasi maʼlum fishing veb-saytlarini bloklash yoki foydalanuvchilarni shubhali URL manzillar haqida ogohlantirish orqali foydalanuvchilarni potentsial fishing urinishlari haqida ogohlantirishga yordam beradi. Ijtimoiy muhandislik hujumlari ko'pincha odamlarni manipulyatsiya qilish yoki aldash uchun maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni amalga oshirish uchun turli xil taktikalardan foydalanadi. Umumiy ijtimoiy muhandislik taktikasi va ularni aniqlash va oldini olish usullariga bir nechta misollar: Fishing: Fishing - bu bank yoki onlayn chakana sotuvchi kabi qonuniy manbadan kelgan elektron xatlar yoki xabarlarni yuborish va qabul qiluvchidan havolani bosish yoki shaxsiy ma'lumotlarni taqdim etishni so'rashni o'z ichiga olgan taktika. O'lja: Jabrlanuvchini aldash maqsadida, pul, mukofot yoki muhim ma'lumot kabi istalgan narsa haqida yolg'on va'da berishni o'z ichiga olgan taktika. Qo'rqinchli dastur: Qo'rqinchli dastur - bu qurbonni dasturiy ta'minot yoki xizmatlarni yuklab olish yoki sotib olish uchun aldash uchun qo'rquvdan foydalanishni o'z ichiga olgan taktika. Pretexting: Jabrlanuvchining ishonchini qozonish uchun soxta stsenariy yoki fon hikoyasini yaratish, so'ngra ularni nozik ma'lumotlarni taqdim etish uchun aldashni o'z ichiga olgan taktika. Vishing: Vishing - bu fishing urinishlari uchun telefon qo'ng'iroqlaridan foydalanish harakati bo'lib, bu taktika bo'lib, jabrlanuvchiga qo'ng'iroq qilish va ularni maxfiy ma'lumotlarni taqdim etishda aldash uchun qonuniy shaxs sifatida ko'rsatishni o'z ichiga oladi. Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: shaxsiy ma'lumotlarni so'ragan nomaqbul telefon qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan shubhali bo'ling. So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang. Xavfsizlik dasturini yangilab turing: barcha dasturlarni, jumladan, antivirus, zararli dasturlarga qarshi va fishingga qarshi dasturlarni yangilab turing, shunda u zararli dasturlar yoki fishing urinishlarini aniqlay oladi va bloklaydi. O'zingizni va xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar o'tkazib, ijtimoiy muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak. Ehtiyotkor va shubhali bo'ling, Ijtimoiy muhandislik - bu ko'pincha hukumatlar tomonidan amalga oshiriladigan, lekin ayni paytda ommaviy axborot vositalari, akademiya yoki xususiy guruhlar tomonidan amalga oshiriladigan - maqsadli populyatsiyada kerakli xususiyatlarni yaratish uchun keng miqyosda muayyan munosabatlar va ijtimoiy xatti-harakatlarga ta'sir qilish uchun yuqoridan pastga harakatdir. Ijtimoiy muhandislikni falsafiy jihatdan yangi ijtimoiy qurilish me'morlarining niyatlari va maqsadlari amalga oshiriladigan deterministik hodisa sifatida ham tushunish mumkin. Ba'zi ijtimoiy muhandislar inson sub'ektlarida kerakli natijalarga erishish uchun tegishli usullarni ishlab chiqish uchun ijtimoiy tizimlarni tahlil qilish va tushunish uchun ilmiy usuldan foydalanadilar. Insonlar xato qiladilar. Bu butun dunyo bo'ylab kiberxavfsizlik bo'yicha mutaxassislar duch keladigan eng muhim kurashlardan biridir. Murakkab xavfsizlik vositalari mavjud bo'lsa ham, odamlar zaif bo'g'indir. Kiberaktorlar ushbu zaiflikdan foydalanib, hisob ma'lumotlari va boshqa maxfiy ma'lumotlarni oshkor qilish uchun odamlarni manipulyatsiya qiladilar. Biz hammamiz xatoga yo'l qo'yishimiz haqiqat bo'lsa-da, biz bu hujumchilardan oldinda bo'lish uchun ular turli xil firibgarlik va hiyla-nayranglarni aniqlash va rad etish uchun harakat qilishimiz mumkin. Ijtimoiy muhandislikning maqsadi bo'lishning oldini olishning eng yaxshi usuli bu uning qanday ishlashini tushunishdir. Ijtimoiy muhandislik qanday ishlashiga o'tishdan oldin, keling, ijtimoiy muhandislik ta'rifi haqida gapiraylik. Boshqa kibertahdidlar singari, ijtimoiy muhandislik hujumlari ham turli shakllarda bo'ladi. Ularning qanday ishlashini tushunish ularning xavflarini kamaytirishning eng yaxshi usuli hisoblanadi. Ijtimoiy muhandis inson zaifligidan foydalanishning bir necha yo'li mavjud. Kiberaktyor sizni aldab eshikni ochiq qoldirishi yoki tarmoq resurslaringizni fosh qiladigan zararli kontentni yuklab olishi mumkin. Muvaffaqiyatli ijtimoiy muhandislik hujumi uchun to'rtta qadam mavjud: Tayyorgarlik: Ushbu bosqichda ijtimoiy muhandislar o'zlarining maqsadlari haqida ma'lumot to'plashadi. Ijtimoiy tarmoqlar, qo'ng'iroqlar, elektron pochta va matnli xabarlar - bularning barchasi umumiy yo'llardir. Infiltratsiya: Infiltratsiya bosqichida kiberjinoyatchilar o'zlarini autentifikatsiya qilish uchun qurbonlar to'g'risida to'plangan ma'lumotlardan foydalangan holda qonuniy manbalar sifatida o'z maqsadlariga yaqinlashadilar. Ekspluatatsiya: Bu yerda tajovuzkorlar foydalanuvchilarni hisob ma’lumotlari, hisob ma’lumotlari, aloqa ma’lumotlari, to‘lov usullari va boshqalar kabi maxfiy ma’lumotlarni ochib berish uchun manipulyatsiya qiladilar, ular hujumlarni amalga oshirishda foydalanishi mumkin. O'chirish: Ushbu yakuniy bosqichda ijtimoiy muhandis yoki kiberaktyor jabrlanuvchi bilan aloqani to'xtatadi, hujumni amalga oshiradi va yo'qoladi. Bunday fitnani amalga oshirish uchun zarur bo'lgan vaqt ijtimoiy muhandislik hujumining darajasiga bog'liq - u bir necha kun yoki hatto oylar davom etishi mumkin. Nima bo'lishidan qat'iy nazar, ijtimoiy muhandislar nimani xohlashlarini va ular qo'llaydigan taktikalarni bilish ijtimoiy muhandislikning oldini olishning ajoyib usuli hisoblanadi. E'tibor berish kerak bo'lgan ijtimoiy muhandislik taktikasi Ijtimoiy muhandislar o'zlarining ayyor maqsadlariga erishish uchun foydalanadigan bir nechta manipulyatsiya taktikasi mavjud. Sizning nozik ma'lumotlaringiz noto'g'ri qo'llarga tushishining oldini olish uchun ushbu usullarni aniqlash juda muhimdir. Quyida ijtimoiy muhandis hujumchilar tomonidan qo'llaniladigan ba'zi taktikalar keltirilgan: Hissiy darajada bog'lanish - Odamlar hissiy mavjudotlar va odamlar ta'sirli hikoyalarni aytib berishganda, ular achinadilar. Ijtimoiy muhandislar ko'pincha qurbonlarni qimmatli ma'lumotlarni oshkor qilishga ishontirish uchun hikoyalar yoki stsenariylarni yaratadilar. Sizni aldashi mumkin bo'lgan mulohazalardan foydalanish - "Men binoga kirishim kerak, chunki Jon bilan uchrashishim kerak." Avvaliga bu asosli sababga o'xshaydi, to'g'rimi? Ammo o'ylab ko'ring: bu hech narsani anglatmaydi - agar odam binoga kirishga ruxsat berilmasa, Jon bilan uchrashganini tushuntirish yolg'ondir. "Chunki" so'zi uni sabab to'g'ri deb ko'rsatadi. Sovg'a va ne'matlar - Har bir inson sovg'alarni yaxshi ko'radi va mehribonlikni qaytarishga harakat qilish insoniy tabiatdir. Buzg'unchilar maxfiy ma'lumotlarga kirish yoki ofis binosiga kirish uchun undan foydalanishlari mumkin. Esingizda bo'lsin: bepul narsalar har doim o'ljaning bir qismidir. O'zaro munosabat va yoqtirish - Ijtimoiy muhandislar yoqimli ko'rinish uchun qo'llaridan kelganini qiladilar. Jabrlanuvchi bilan bu jihatni yoritib bo'lgach, ularning "mehribonligi" ni qaytarish uchun nishonga olish ancha oson bo'ladi. Majburiyat va izchillik - Odamlar har doim munosabatlarga sodiqligini ko'rsatishni xohlashadi. Ijtimoiy muhandislar bu inson tabiatidan kichik majburiyatlar yaratish orqali foydalanishlari mumkin (ishqiy bo'lishi shart emas). Hatto ismingizni aytish ham izchillik uchun tetik sifatida qabul qilinishi mumkin. Vakolat va ijtimoiy dalil - Har bir insonning o'ziga qaraydigan odami bor. Agar go'zallik bloggeri ko'z kremi yordam beradi desa, siz uni sotib olasiz, to'g'rimi? Boshqa tomondan, Internetda ko'p odamlar tegishlilik tuyg'usini izlaydilar. Kiberjinoyatchilar ushbu zaifliklarni tan olganlaridan so'ng, jabrlanuvchining ko'z o'ngida o'zini namoyon qilish uchun ikkalasidan ham foydalanishlari mumkin. Tanqislik va shoshilinchlik - Ijtimoiy muhandislar shoshilinchlik tuyg'usini yaratadilar, shunda qurbonlar narsalarni o'ylab ko'rishga vaqtlari qolmaydi. Shoshilinch harakatni amalga oshirishingizni so'rab elektron xat olsangiz, vaziyatni diqqat bilan tahlil qilganingiz ma'qul. Har qanday harakatni amalga oshirishdan oldin tegishli organdan tasdiqlashingiz mumkin. Ijtimoiy muhandislik hujumlarini qanday oldini olish mumkin Ijtimoiy muhandislik har kim bilan sodir bo'lishi mumkin va har bir kishi ijtimoiy muhandislik firibgarliklaridan qanday qochishni o'rganishi kerak. Biroq, bu biznes xavfsizligi uchun ham jiddiy xavf tug'diradi. Kiberxavfsizlik rejangizning asosiy komponenti sifatida ijtimoiy muhandislikning oldini olish usullariga ustuvor ahamiyat berish juda muhimdir. Tashkilotlar murakkab xavfsizlik vositalari, protokollar va xodimlar va rahbarlar uchun muntazam ravishda kiber xabardorlik bo'yicha treninglarni birlashtirgan yaxlit yondashuvni qo'llashlari kerak. Quyida ijtimoiy muhandislik xavflariga qarshi turish uchun amalga oshirishingiz mumkin bo'lgan chora-tadbirlar keltirilgan. Xavfsizlik siyosati va protokollari Xavfsizlik siyosati va protokollari kiberxavfsizlik rejangizning ajralmas qismi bo'lishi kerak. Ushbu chora-tadbirlar xodimlaringizga elektron pochta, mobil qurilmalar va parollar kabi tashkilot resurslariga qanday qilib xavfsiz kirish va ulardan foydalanishni aytib beradi. Bu erda ko'rib chiqishga arziydigan ba'zi jihatlar mavjud: Download 0.57 Mb. Do'stlaringiz bilan baham: 
|