Кадрларни қайта тайёрлаш ва уларнинг малакасини ошириш тармоқ маркази
Download 0.63 Mb.
|
БМИ 2022 декабрь Хошимова Ч.С. (1)
|
Сохта антивирус ва хавфсизлик дастурлари. Мазкур дастурлар фирибгар дастурий таъминоти ёки “чаққон дастур” деб номланиб, улар антивирус дастурларига ўхшасада, вазифаси бошқача. Бу дастурий таъминот турли таҳдидлар тўғрисидаги ёлғон хабарномалар асосида фойдаланувчини сохта битимларга жалб қилишга ҳаракат қилади. Фойдаланувчи улардан фойдаланганида электрон почтада, онлайн эълонларда, ижтимоий тармоқларда, қидирув тизимлари натижаларида ва ҳатто фойдаланувчи компьютерида турли қалқиб чиқувчи ойналарга дуч келиши мумкин.
IVR (Interactive Voice Response) ёки телефон орқали фишинг. Фишинг схемасининг мазкур усули олдиндан ёзиб олинган хабарлар тизимидан фойдаланишга асосланган, улар банк ва бошқа ИВР тизимларининг “расмий қўнғироқлари”ни қайта тиклаш учун ишлатилади. Бу ҳужумда жабрланувчи банк билан боғланиб, қандайдир маълумотларни тасдиқлаш ёки янгилаш кераклиги ҳақидаги сўовни қабул қилади. Тизим ПИН кодни ёки паролни киритиш орқали фойдаланувчи тасдиғини талаб қилади. Натижада, муҳим маълумотларни қўлган киритган бузғунчи фойдаланувчи маълумотларидан фойдаланиш имкониятига эга бўлади. Претекстинг. Мазкур фишинг схемасида хакер ўзини бошқа шахс сифатида кўрсатади ва олдиндан тайёрланган сенарий (скрипт) бўйича махфий ахборотни олишни мақсад қилади. Ушбу ҳужумда қурбонни шубҳаланмаслиги учун тегишли тайёргарлик кўрилади: туғилган кун, INN, паспорт рақами ёки ҳисоб рақамининг охирги белгилари каби маълумотлар топилади. Ушбу фишинг схемаси одатда телефон ёки электрон почта орқали амалга оширилади. Kvid pro kvo (lotinchadan: Quid pro quo). Ушбу ибора инглиз тилида “хизмат учун хизмат” деган маънони англатиб, социал инжинериянинг мазкур турида хакер корпоратив тармоқ ёки электрон почта орқали компанияга мурожаатни амалга оширади. Кўпинча хакер ўзини техник хизмат кўрсатувчи сифатида танитиб, техник ходимнинг иш жойидаги муаммоларни бартараф этишда “ёрдам беришини” айтади. Техник муаммони “бартараф” этиш вақтида нишондаги шахсни буйруқларни бажаришга ёки жабрланувчининг компьютерига турли хил дастурларни ўрнатишга ундаш амалга оширилади. Масалан, 2003 йилда Ахборот хавфсизлиги дастури доирасида ўтказилган тадқиқот офис ходимларининг 90% ҳар қандай хизмат ёки тўлов учун махфий маълумотларни, масалан, ўзларининг паролларини, беришга тайёр бўлишини кўрсатди. Йўл-йўлакай олма. Социал инжинериянинг мазкур усулида хакер махсус зарарли дастур ёзилган маълумот элтувчилардан фойдаланади ва зарарли дастурлар ёзилган элтувчиларни қурбоннинг иш жойи яқинида, жамоат жойларида ва бошқа жойларда қолдиради. Бунда, маълумот элтувчилари ташкилотга тегишли шаклда расмийлаштирилади. Масалан, хакер бирор корпорация логотипи ва расмий wэб-сайт манзили туширилган компакт дискни қолдириб кетади. Ушбу диск “Раҳбарлар учун иш ҳақлари” номи билан номланиши мумкин. Ушбу элтувчини қўлга киритган қурбон уни ўз компьютерига қўйиб кўради ва шу орқали компьютерини зарарлайди. Очиқ маълумот тўплаш. Социал инжинерия техникаси нафақат психологик билимларни, балки, инсон ҳақида керакли маълумотларни тўплаш қобилятини ҳам талаб этади. Бундай маълумотларни олишнинг нисбатан янги усули очиқ манбалардан, ижтимоий тармоқлардан тўплаш. Масалан,«Одноклассники», «ВКонтакте», «Facebook», «Instagram» каби сайтларда одамлар яширишга ҳаракат қилмайдиган жуда кўп маълумотлар мавжуд. Одатда, фойдаланувчилар хавфсизлик муаммоларига етарлича эътибор бермасдан, хакер томонидан фойдаланилиши мумкин бўлган маълумотлар ва хабарларни қаровсиз қолдирадилар. Бунга яққол мисол сифатида Евгений Касперскийнинг ўғлини ўғирланганини келтириш мумкин. Мазкур ҳолатда жиноятчилар ўсмирнинг кун тартибини ва маршрутини ижтимоий тармоқ саҳифаларидаги ёзувлардан билгани аниқланган. Ижтимоий тармоқдаги ўз саҳифасидаги маълумотлардан фойдаланишни чеклаб қўйган тақдирда ҳам, фойдаланувчининг фирибгарлик қурбони бўлмаслигига тўлиқ кафолат йўқ. Масалан, Бразилиянинг компьютер хавфсизлиги бўйича тадиқиқотчиси 24 соат ичида социал инжинерия усулларидан фойдаланган ҳолда ҳар қандай Facebook фойдаланувчиси билан дўстлашиш мумкинлигини кўрсатди. Тажриба давомида Нелсон Новаес Нето дастлаб жабрланувчига таниш бўлган одам – унинг хўжайини учун сохта қайд ёзувини яратади. Аввал Нето жабрланувчининг хўжайинининг дўстларига ва ундан кейин тўғридан- тўғри жабрланувчининг дўстига дўстлик сўровини юборади. 7,5 соатдан сўнг эса тадқиқотчи жарбланувчи билан дўстлашади. Натижада тадқиқотчи фойдаланувчининг шахсий маълумотларини олиш икониятига эга бўлади. Елка орқали қараш. Ушбу ҳужумга кўра бузғунчи жабрланувчига тегишли маълумотларини унинг елкаси орқали қараб қўлга киритади. Ушбу турдаги ҳужум жамоат жойларида, масалан, кафе, автобус, савдо марказлари, аэропорт ва темир йўл станцияларида кенг тарқалган. Мазкур ҳужумга доир олиб борилган сўровномалар қуйидагиларни кўрсатган: 85% иштирокчилар ўзлари билишлари керак бўлмаган махфий маълумотларни кўрганликларини тан олишган; 82% иштирокчилар уларнинг экранидаги маълумотларини рухсатсиз шахслар кўриши мумкинлигини тан олишган; 82% иштирокчилар ташкилотдаги ходимлар ўз экранини рухсатсиз одамлардан ҳимоя қилишига ишонишмаган. Тескари социал инжинерия. Жабрланувчининг ўзи тажовузкорга маълумотларини тақдим қилиши тескари социал инжинерияга тегишли ҳолат ҳисобланади. Бу бир қарашда маънога эга бўлмаган қараш ҳисоблансада, аксарият ҳолларда жарбланувчининг ўзи муаммоларини ҳал қилиш учун тажовузкорни ёрдамга жалб қилади. Масалан, жабрланувчи билан бирга ишловчи тажовузкор жабрланувчи компьютеридаги бирор файлни номини ўзгартиради ёки бошқа каталогга кўчириб ўтказади. Файлни йўқ бўлганини билган қурбон эса ушбу муаммони тезда бартараф этишни истаб қолади. Бу вазиятда тажовузкор ўзини ушбу муаммони бартараф этувчи сифатида кўрсатади ва қурбоннинг муаммосини бартараф этиш билан бирга унга тегишли логин/ паролни ҳам қўлга киритади. Бундан ташқари, ушбу вазифаси билан тажовузкор ташкилот ичида обрўга эга бўлади ва ўз қурбонлари сонини ортишига эришади. Бу ҳолатни аниқлаш эса анча мураккаб иш ҳисобланади. Машҳур социал инжинерлар. Kevin Mitnik тарихдаги энг машҳур социал инжинерлардан бири, у дунёдаги машҳур компьютер хакери, хавфсизлик бўйича мутахассис ва социал инжинерияга асосланган компьютер хавфсизлигига бағишланган кўплаб китобларнинг ҳам муаллифидир. Унинг фикрига кўра хавфсизлик тизимини бузишдан кўра, алдаш йўли орқали паролни олиш осонроқ. Aka-uka Badirlar. Кўр бўлишларига қарамасдан ака-ука Mushid va Shadi Badirlar 1990 йилларда Исроилда социал инжинерия ва овозни сохталаштириш усулларидан фойдаланган ҳолда бир нечта йирик фирибгарлик схемаларини амалга оширишган. Телевиденияга берган интервьюсида: “фақат телефон, электр ва ноутбуклардан фойдаланмайдиганлар учун тармоқ хавфсиздир” деб айтишган. Download 0.63 Mb. Do'stlaringiz bilan baham: 
|