Кадрларни қайта тайёрлаш ва уларнинг малакасини ошириш тармоқ маркази


Download 0.63 Mb.
bet14/27
Sana15.01.2023
Hajmi0.63 Mb.
#1093825
1   ...   10   11   12   13   14   15   16   17   ...   27
Bog'liq
БМИ 2022 декабрь Хошимова Ч.С. (1)

Ижтимоий (социал) инжинерия - турли психологик усуллар ва фирибгарлик амалиётининг тўплами, унинг мақсади фирибгарлик йўли билан шахс тўғрисида махфий маълумотларни олиш. Махфий маълумотлар - фойдаланувчи исми/ пароллари, шахсий маълумотлари, айблов далиллари, банк карта рақамлари ва молиявий ёки обрўсини йўқотадиган ҳар қандай маълумот.
Мазкур атама хакерлик соҳасидан кириб келган, хакер - компьютер тизимидаги заифликларни қидирадиган одам, бошқача айтганда “бузғунчи”. Ҳозирги вақтда хакерлар ҳар қандай тизимдаги асосий заифлик
- машина эмас, балки шахс эканлигини яхши тушунишади. Инсон, худди компьютер сингари, муайян қонунларга мувофиқ ишлайди. Психология, ҳийланайранглар ва таъсир механизмлари доирасида инсоният томонидан тўпланган тажрибадан фойдаланган ҳолда, хакерлар “одамларга ҳужум қилишни” бошлайдилар. Гоҳида уларни “ақл хакерлари” деб ҳам аташади.
Масалан, хакер сиздан пул олмоқчи деб фараз қилайлик. Айтайлик, у сизнинг телефон рақамингиз ва ижтимоий тармоқдаги аккаунтингиз ҳақида маълумотга эга. Бундан ташқари, у изланиш натижасида сизнинг акангиз борлигини ҳам аниқлади ва акангиз ҳақида ҳам етарлича маълумот тўплади. У шунингдек, акангизнинг телефон рақамини ҳам билади. Шундан сўнг, ушбу маълумотлар асосида ўз режасини туза бошлади.
Режа: Хакер сизга кечки вақтда телефон қилиб, сизга (сизни исмингиз ўрнига фақат акангиз атайдиган бирор “лақаб” ҳам бўлиши мумкин) мен акангман деб таништиради ва ўзини кўчада безориларга дуч келганини, улар барча нарсаларини (телефон, пул, пластик карточка ва ҳ.) олиб қўйганини айтади. Бундан ташқари, у ўзига бир қиз ёрдам берганини, бироқ, унинг ёнида пули йўқлигини айтади. Шу билан бирга, ушбу қизни ёнида пластик картаси борлигини ва сиздан ушбу пластик картага касалхонага етиб бориш учун зарур бўлган 20 000 сўм пулни кўчириб беришни талаб қилади. Мазкур ҳолатларнинг 80% да хакерлар муваффаққиятга эришганлар ва бу ишларни амалга ошириш малакали хакер учун қийинчилик туғдирмайди.
Мазкур ҳолда акангизни овозини ажратиш имконияти ҳақида гап бориши мумкин. Бироқ, инсон турли ҳаёжон ва шовқин бўлган муҳитда бўлиши мумкин. Бундан ташқари, агар сиз ухлаб ётган вақтингизда телефон бўлса, овозни аниқлашингиз янада қийинлашади. Ушбу ҳолатда хакер томонидан фойдаланилган фикрларни кўриб чиқайлик: Шахсини яхши яширган ва реал мисолларга асосланган (масалан, сизнинг расмларингиз, фақат сизнинг яқинларингиз биладиган жойлар ва ҳ.) ва яхши афсона ўйлаб топди.
1.Буларнинг барчаси етарлича тез ва ишончли тарзда айтилган.
2.Таъсирнинг жуда ишонарли механизмидан фойдаланилган – ачинишга мажбур қилинган (ҳиссиётларга мурожаат қилиш).
Социал инжинерия билан боғлиқ таҳдидларни қуйидагича таснифлаш мумкин:
Телефон билан боғлиқ таҳдидлар. Телефон ҳанузгача ташкилотлар ичида ва улар ўртасидаги алоқанинг энг кенг тарқалган усулларидан бири ҳисобланади. Шунинг учун, у социал инжинерия учун самарали восита бўлиб қолмоқда. Телефонда гаплашаётганда, суҳбатдошининг шахсини тасдиқлашнинг имкони йўқ. Бу ҳужумчиларга ходимнинг, хўжайиннинг махфий ёки муҳим туюладиган маълумотларга ишониши мумкин бўлган ҳар қандай шахснинг ўрнида бўлиш имконини беради. Бунда, зўравонлик қурбонининг “ёрдам беришдан” бошқа имкони қолмайди. Ҳаттоки, уюштириладиган суҳбат аҳамиятсиз бўлиб кўринган тақдирда ҳам.
Уяли телефондан фойдаланувчиларни пул ўғирлашга қаратилган фирибгарликнинг турли усуллари мавжуд. Бунга қўнғироқлар ёки лотереялардаги ютуқлар, SMS -хабарлар, хатоликлар орқали пулни қайтариш тўғрисидаги сўровлар ёки жабрланувчининг яқин қариндошлари муаммога дуч келганлиги ҳамда маълум миқдордаги пулни зудлик билан ўтказиш кераклиги ҳақидаги хабарларни келтириш мумкин.

  • Мазкур ҳолларда қуйидаги хавфсизлик чораларини амалга ошириш талаб этилади:

  • телефон қилувчининг шахсини аниқлаш;

  • рақамни аниқлаш хизматидан фойдаланиш;

  • SMS – хабардаги номаълум ҳаволаларга эътибор бермаслик.

Электрон почта билан боғлиқ таҳдидлар. Кўпгина ходимлар ҳар куни корпоратив ва шахсий почта тизимларидан ўнлаб, ҳатто юзлаб электрон почта хабарларини қабул қилишади. Албатта, бундай ёзишмалар оқимининг ҳар бир ҳарфига етарлича эътибор беришнинг имкони йўқ. Бу эса ҳужумларни амалга оширишни сезиларли даражада осонлаштиради. Электрон почта тизимларининг кўплаб фойдаланувчилари бундай ҳолни бир папкадан иккинчисига қоғозларни ўтказишнинг электрон аналоги сифатида қабул қилишади ва хабарларни қабул қилишда хотиржам бўлишади. Тажовузкор почта орқали оддий сўров юборганида, унинг қурбони кўпинча унинг хатти-ҳаракатлари ҳақида ўйламасдан улар сўраган ишни бажаради. Электрон почталарда ходимларни корпоратив атроф-муҳит муҳофазасини бузишга ундайдиган гиперҳаволалар бўлиши мумкин. Бундай ҳаволалар ҳар доим ҳам даъво қилинган саҳифаларга мурожаат қилмайди.
Хавфсизлик чораларининг аксарияти рухсатсиз фойдаланувчиларнинг корпоратив ресурслардан фойдаланишини олдини олиш учун ишлаб чиқилган. Бузғунчи томонидан юборилган гиперҳаволага мурожаат орқали фойдаланувчининг зарарли дастурни корпоратив тармоққа юклаши кўплаб ҳимоя турларини четлаб ўтишга имкон беради. Гиперҳавола, шунингдек, маълумот ёки ёрдамни талаб қиладиган қалқиб чиқувчи иловалар билан турли хостларга мурожаатни талаб қилиши мумкин. Фирибгарликни ва зарарли ҳужумларни олдини олишнинг энг самарали усули - кутилмаган фойдаланувчининг электрон почтаси хабарларига шубҳа билан қараш. Ушбу ёндашувни бутун ташкилотда тарқатиш учун хавфсизлик сиёсатида белгиланган электрон почтадан фойдаланишнинг қуйидаги элементлари киритилиши керак:

  • ҳужжатларга қўшимчалар;

  • ҳужжатдаги гиперҳаволалар;

  • шахсий ёки корпоратив маълумотларни компания ичида сўраш;

  • шахсий ёки корпоратив маълумотларга компания ташқарисидан келадиган сўровлар.

Тезкор хабарлардан фойдаланишга асосланган таҳдидлар. Тезкор хабар алмашиш - маълумотларни узатишнинг нисбатан янги усули. Аммо, у корпоратив фойдаланувчилар орасида аллақачон машҳурликка эришган. Фойдаланишнинг тезлиги ва қулайлиги туфайли ушбу алоқа усули турли хил ҳужумлар учун кенг имкониятларни очиб беради. Фойдаланувчилар унга телефон каби қарашади ва уни бўлиши мумкин бўлган дастурий таҳдидлар сифатида баҳолашмайди. Тезкор хабарлар хизматидан фойдаланишга асосланган ҳужумларнинг иккита асосий тури - зарарли дастурга ҳавола ва дастурнинг ўзи ҳақида хабарнинг кўрсатилиши ҳисобланади. Тезкор хабарлар хизматларининг хусусиятларидан бири - алоқанинг норасмийлиги, унда ҳар қандай номларни мослаштириш қобилияти билан бир қаторда, бу омил тажовузкорни ўзини бошқа одам бўлиб кўрсатишига имкон беради. Бу эса муваффақиятли ҳужум қилиш эҳтимолини сезиларли даражада оширади. Агар компания тезкор хабарлар сабабли келадиган харажатларни камайтириш мақсадида бошқа афзалликлардан фойдаланмоқчи бўлса, корпоратив хавфсизлик сиёсатида тегишли таҳдидлардан ҳимоя қилиш механизмларини таъминлаши керак. Корпоратив муҳитда тезкор хабар алмашиш устидан ишончли бошқарувга эга бўлиш учун қуйидаги талаблар бажарилиши шарт:

  • тезкор хабарлар учун битта платформани танлаш;

  • тезкор хабар юбориш хизматини ўрнатишда хавфсизлик созламаларини аниқлаш;

  • янги алоқаларни ўрнатиш принципларини аниқлаш;

  • пароль танлаш стандартларини ўрнатиш;

  • тезкор хабарлардан фойдаланиш бўйича тавсиялар бериш.

Социал инжинерия мутахассислари ташкилотлар учун қуйидаги асосий ҳимоя усулларини қўллашни тавсия этишади:

  • муҳим маълумотлар кўринишида бўлган, зарарсиз кўринадиган маълумот турларини ҳисобга оладиган ишончли маълумотларни таснифлаш сиёсатини ишлаб чиқиш;

  • маълумотларни шифрлаш ёки фойдаланишни бошқариш ёрдамида мижоз маълумотлари хавфсизлигини таъминлаш;

  • ходимларни социал инжинерия кўникмаларига ўргатиш, уларни ўзлари танимайдиган одамлар билан мулоқотига шубҳа билан қарашни ўргатиш;

  • ходимлар орасида паролларни алмашишни ёки умумий фойдаланишни тақиқлаш;

  • шахсан таниш бўлмаган ёки бирон-бир тарзда тасдиқланмаган шахсга корхонага тегишли маълумотларни беришни тақиқлаш;

  • махфий маълумотлардан фойдаланишни сўраганлар учун махсус тасдиқлаш муолажаларидан фойдаланиш.

Социал инжинерия ҳужумларини олдини олишда кўп ҳолларда компаниялар томонидан мураккаб, кўп даражали хавфсизлик тизимлари қўлланилади. Бундай тизимларнинг баъзи хусусиятлари ва мажбуриятлари қуйида келтирилган:
1   ...   10   11   12   13   14   15   16   17   ...   27




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling