O’zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi tоshkеnt aхbоrоt tехnоlоgiyalari univеrsitеti


Download 41.54 Kb.
bet1/2
Sana17.01.2023
Hajmi41.54 Kb.
#1096754
  1   2
Bog'liq
zakirova 8


O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI
VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TОSHKЕNT AХBОRОT TЕХNОLОGIYALARI UNIVЕRSITЕTI
«Kriptologiya» kafеdrasi

INDIVIDUAL LOYIHA


Mavzu: Vizual kriptografiya yordamida ovoz berish tizimiga bo’ladigan fishing hujumlarning oldini olish




Bajardi:
Zakirova A

Toshkеnt - 2023


Fishing - ma'lumotlarning maxfiyligiga qarshi jabrdiydadir, bu esa jabrlanuvchining o'z shaxsiy ma'lumotlarini berishi, bu o'lja tugagandan keyin. Baliqchilikdan juda farq qilmaydi! VoIP orqali fishing bu qadar kengayib bormoqda, unga maxsus atama tayinlangan: vishing .
Ushbu maqolada biz quyidagilarni ko'rib chiqamiz:

  • Phising qanday ishlaydi

  • Fishing hujumlari misollari

  • VoIP va phishing

  • VoIP fishingni qanday osonlashtiradi

  • Fishingni qanday qilib oldini olish va oldini olish

Phishing qanday ishlaydi?


Phishing - bu bugungi kunda mashhurlik kasb etadigan hujum turi, va ma'lumotlar o'g'irlanganlarning o'zlari xohlagan narsalarni olishlari uchun osondir. Millionlab odamlardan tashqari, na'raga tushgan sodiq foydalanuvchilarning muhim sherigi bor!
Phishing bu kabi ishlaydi: ma'lumotlar o'g'ri sizning bankingiz, PayPal, eBay va hokazo. Kabi moliyaviy yoki boshqa manfaatlaringiz bo'lgan kompaniyadan rasmiy xabar bo'lib tuyulsa, sizga elektron pochta xabarini yoki ovozli pochta jo'natadi. Xabarda, Sizga ogohlantirish beradigan va sizning shaxsiy ma'lumotlaringizni kredit karta raqami, parollar va hk
Ayrim foydalanuvchilar, kredit kartasidan foydalanib, kredit kartochkasidan foydalangan holda kredit kartochkalari raqamini, muddati va xavfsizlik kodini berishga yoki kredit kartalarini yaratishga majbur qilishgan. Bu finesiyan halokatli bo'lishi mumkin.

Phising hujumlari misollari


Agar siz fishing maqsadingiz bo'lsa, sizga hujum qilish mumkin bo'lgan usullarning misollar:
1. Siz PayPal, eBay yoki shunga o'xshash kompaniyalardan sizga e-pochta orqali xabar yuborasiz, bu sizning tarafingizdan bir nechta usulsizlik haqida sizni ogohlantiradi va sizning hisobingiz buzilganligini bildiradi. Sizga ma'lum bo'lishicha, sizning hisobingizdan ozod qilishning yagona yo'li - bu havolaga o'tish va parolingizni va boshqa shaxsiy ma'lumotlaringizni berishdir.
2. Internet-banking bo'limi sizdan parolingizni o'zgartirmoqchi bo'lganini va sizning hisobingizni saqlash uchun tezda biror narsa qilish kerakligini aytdi. Sizdan ma'lum bir raqamga qo'ng'iroq qilish va sizning hisob qaydnomangizni o'zgartirishi uchun hisob ma'lumotlarini berish talab etiladi.
3. Sizning bankingizdan bank hisobingizga ba'zi shubhali yoki soxta faoliyatlarni ko'rganligini va telefoningizni qaytarib olishni so'rashingiz mumkin (chunki ovoz ko'pincha oldindan yozib qo'yilgan) va / yoki sizning telefon raqamingizni bank hisob raqami, kredit karta raqami va h.k.
Aniq bir misol sifatida, bir muncha vaqt oldin, bir kishi, Bank of America-dagi hisobining to'xtatilishi haqida ma'lumot berildi, chunki u "odobsiz yoki ma'lum jinsiy yo'naltirilgan tovarlar yoki xizmatlarni sotib olish uchun ishlatilgan". Sizning hisob-kitoblaringiz faoliyatini yaqinda ko'rib chiqqandan so'ng, Siz Bankning Bankning maqbul foydalanish siyosatini buzganingiz aniqlandi. Shuning uchun, hisobingiz vaqtincha cheklangan: hotjasmin.com shisha namoyishlar. Cheklovni olib tashlash uchun TOLL BEPUL raqamini chaqirib oling. "Jabrdiydadan ma'lum bir ma'lumotni, jumladan, uning bank PIN raqamini kiritish so'ralgan, " Bank of America sizning identifikatoringizni tasdiqlash uchun sizning PIN kodingizni so'raydi. Bundan tashqari, biz pul yuvish va boshqa noqonuniy faoliyatni oldini olish uchun federal hukumatlarga yordam berishimiz mumkin ".

VoIP va phishing


VoIP mashhur bo'lgunga qadar, phishing xurujlari spam elektron pochta xabarlari va PSTN statsionar telefonlar orqali amalga oshirildi. Ko'pgina uylarda va biznesda VoIP paydo bo'lgandan beri, phishers (phishermen haqida nima deyish mumkin) telefon orqali qo'ng'iroq qilishni boshlaydi, bu esa odamlarni elektron pochta orqali qo'llamaydi.
Nima uchun phisherlar VoIPdan oldin PSTN yordamida telefonlardan foydalanmaganligi haqida savol tug'iladi. PSTN, eng zamonaviy telekommunikatsiya vositasidir va ehtimol, eng xavfsiz tarmoq va infratuzilmaga ega. VoIP PSTNdan ko'ra ko'proq himoyasiz.

Qanday qilib VoIP mikrofonni osonroq qilishini


Afsuski, VoIP orqali hujum qiluvchilarga quyidagi sabablarga ko'ra osonroq erishiladi:

  • VoIP PSTN dan arzonroq va endi juda keng tarqalgan.

  • VoIP bilan, tajovuzkorlar foydalanuvchilarga ko'rinadigan va ularning banki yoki boshqa ishonchli tashkilot bilan bog'lanayotgandek ko'rinadigan qo'ng'iroq qiluvchi identifikatorini buzishi mumkin.

  • PBX- lar uchun VoIP dasturlari, juda mashhur ochiq manbali Asterisk kabi, dasturchiga juda ko'p kuch beradi, endi esa, minimal ko'nikmalarga ega bo'lganlar faqatgina nerdsning oldiga qanday erishishlari mumkin. VoIP haqida asosiy ma'lumotga ega bo'lgan har qanday dasturchi uning tarqatilishini manipulyatsiya qilib, o'zlarining identifikatorlarini buzmasdan qurbonlarini dupe qilish uchun foydalanishi mumkin bo'lgan soxta raqamlar bankini yaratishi mumkin.

  • IP-telefonlari , ATA s, routerlar , IP-PBX- lar kabi VoIP qurilmalari qulay narxlarga ega bo'lib, ular bilan ta'minlangan dastur foydalanuvchilar uchun qulayroqdir, bu esa manipulyatorlar uchun vazifalarni osonlashtiradi. Ushbu qurilmalar ham juda portativ va har qanday joyda olinishi mumkin.

  • VoIP qurilmalari va kompyuterlar va boshqa kompyuter tizimlari (masalan, ovozli pochta ) bilan oson muloqot qilish visherlarga ish uchun o'zlari bo'lishni xohlamasdan, qarama-qarshi bo'lgan ko'p sonli qurbonlarni telefonda qayd etishni osonlashtiradi.

  • PSTNdan farqli o'laroq, VoIP raqamlari bir necha daqiqada o'rnatilishi va yo'q qilinishi mumkin, hukumatning visherlarni pastga tushirishlari deyarli mumkin emas.

  • VoIP bilan vhishers har bir qo'ng'iroq qilish uchun bitta raqamni yozish o'rniga, bir yo'la minglab abonentlarga bir xabar yuborishi mumkin.

  • VoIP orqali buzg'unchilar har qanday mamlakat uchun virtual raqamni yaratishlari mumkin. Keyinchalik u mahalliy raqamdan foydalanishi va chet eldagi qo'ng'iroqlarni qabul qilishi mumkin, shu bilan birga Evropada yoki AQShda mashhur moliya institutlarini ko'radilar.



Fishing qanday ishlaydi?


Phishing jabrlanuvchini o'ldirish uchun mo'ljallangan elektron pochta yoki boshqa yozishmalardan boshlanadi.
Ular xabarni ishonchli yuboruvchidan kelganga o'xshatadilar.
Agar bu odamni aldab qo'ysa, ular doimiy ravishda firibgarlik veb -saytida maxfiy ma'lumotlarni berishga majburlashadi. Ba'zida ular zararli dasturlarni maqsadli kompyuterga yuklashadi.

Phishing hujumi


Phishing - bu mijoz ma'lumotlarini, shu jumladan kirish ma'lumotlarini va kredit karta raqamlarini olish uchun muntazam ravishda ishlatiladigan ijtimoiy muhandislik hujumi. Bu tajovuzkor o'z sirini yashirgan holda, qurbonni elektron pochta, matnli xabar yoki tezkor xabarni ochishga aldaganida sodir bo'ladi.
Ular zararli dasturni o'rnatishga, to'lov dasturining hujumi sifatida tizimni muzlatib qo'yishga yoki muhim ma'lumotlarning e'tiborini tortishi mumkin bo'lgan zararli havolani bosish orqali benefitsiarni aldashadi.
Hujum halokatli oqibatlarga olib kelishi mumkin. Odamlar uchun bu ruxsatsiz sotib olish, pul olish yoki o'g'irlikni tan olishni o'z ichiga oladi.
Bunday hujumga bo'ysunish odatda bozor ulushining pasayishi, obro'si va mijozlar ishonchining haddan tashqari moliyaviy holatini qo'llab -quvvatlaydi. Miqdorga tayanib, phishing urinishi biznesni qayta tiklash uchun kurashadigan xavfsizlik holatiga aylanishi mumkin.

Fishing firibgarliklariga misollar


Qo'shib qo'yilgan odatiy fishing hiylasini ko'rsatadi:

  • Ko'rinib turibdiki, myuniversity.edu-dan yolg'on elektron pochta, ruxsat etilgan xodimlar soniga tarqatiladi.

  • E -pochta foydalanuvchining parolining amal qilish muddati tugashini kafolatlaydi.


Havolani bosish bilan bir nechta narsalar bo'lishi mumkin. Masalan:

  • Xaridor myuniversity.edurenewal.com saytiga yo'naltiriladi. Sahifani kuzatgan tajovuzkor kollej tashkilotining xavfsiz joylariga kirish uchun birinchi parolni o'g'irlaydi.

  • Bu XSS hujumining aksini keltirib chiqaradi va bu aybdorga kollej uyushmasiga kirishni cheklaydi.

Fishingning turlari

Nayza fishing


Nayzali fishing, ma'lum bir yig'ilishga yoki tashkilotning tizim ma'murlari kabi odamlarga qaratilgan. Agar siz qutb bilan baliq ovlamoqchi bo'lsangiz, siz eski etikni, baliqni tortishingiz yoki har qanday baliq bilan kurashishingiz mumkin. Agar siz nayza bilan baliq ovlamoqchi bo'lsangiz, siz ta'qib qilish uchun ma'lum bir baliqni tanlaysiz. Bundan buyon ism.

Baliq ovlash fishing


Kit ovlash - bu maqsadli phishing turi, chunki u kitlarni ta'qib qiladi, chindan ham katta baliq. Ushbu hujumlar bosh direktorga, moliyaviy direktorga yoki sanoat yoki ma'lum bir biznesdagi har qanday Cxxga qaratilgan.
Ulanish sizni tashkilot haqida ba'zi ma'lumotlarni olgan sahifaga olib boradi, masalan, soliq identifikatori va bank hisob raqamlari. Kit ovlash - bu noto'g'ri ism, chunki kitlar aslida baliq emas.

Fishing fishing



Smishing - bu vaqtni olish uchun matnli xabarlar yoki qisqa xabarlar xizmatidan (SMS) foydalanadigan hujum. Telefoningizga SMS orqali kiruvchi yoki bosish havolasi yoki qo'ng'iroq qilish uchun telefon raqami kirgan xabar jim hujumga olib kelishi mumkin.
Vaziyat odatda sizning bankingizdan kelganga o'xshaydi. Bu sizning hisobingiz buzilganligini ko'rsatadi va siz darhol javob berishingiz kerak. Tajovuzkor sizning bank hisob raqamingizni, SSN va boshqalarni tekshirishingizni so'raydi, tajovuzkor sizning bank hisobingizni nazorat qilishini biladi.

Vishing fishing



Vishing turli xil fishing hujumlarining keng doirasi kabi shunga o'xshash mavzuni bildiradi. Hujum qiluvchilar hozircha sizning shaxsiy ma'lumotlaringiz yoki nozik korporativ ma'lumotlaringizga ergashishadi. Ular hujumni ovozli qo'ng'iroq orqali amalga oshiradilar. Shunday qilib, ismdagi "ph" o'rniga "v".
Namunaviy hujum hujumi - bu Microsoft -danman deb da'vo qilayotgan va sizning shaxsiy kompyuteringizda virus borligini aytgan odam. Kompyuteringizda o'rnatilgan antivirus dasturining versiyasini yaxshilash uchun Mastercard tafsilotlarini o'zgartirasiz. Hozirda tajovuzkorda Mastercard ma'lumotlari bor va siz kompyuteringizga zararli dastur o'rnatgan bo'lishingiz mumkin.
Zararli dastur moliyaviy troyandan botgacha (robot uchun qisqacha) har qanday narsani o'z ichiga olishi mumkin. Moliyaviy troyan sizdan batafsil ma'lumot olish uchun sizning onlayn mashqlaringizni kuzatadi - bu safar sizning bank hisobingiz ma'lumotlari, shu jumladan parolingiz.
Bot - bu hackerga kerak bo'lgan hamma narsani bajaradigan dasturiy qism.
U tarqatilgan xizmatdan voz kechish (DDoS) hujumining bir qismi sifatida bitkoinlarni qidirish, spam yuborish yoki hujumni yuborish buyrug'i va boshqaruvi bilan boshqariladi.

Fishing fishing



E -pochta orqali fishing - bu eng mashhur фишинг turi. Xakerlar bu elektron pochta xabarlarini o'zlari olishlari mumkin bo'lgan har qanday elektron pochta manzillariga yuboradilar. E -pochta, odatda, sizning hisobingiz buzilganligini va sizga berilgan havolani bosish orqali tezkor javob berish kerakligini aytadi. Odatda bu hujumlarni aniqlash oson, chunki inglizlar aniq emas. Ko'rinishidan, kimdir tarjima dasturidan foydalangan va ingliz tilida paydo bo'lishidan oldin 5 xil tilni o'rgangan.
Boshqa fishing hiylasi deb nomlanadi sextortio, xaker sizga elektron pochta xabarini yuborganida sodir bo'ladi. Xaker sizning elektron pochta qayd yozuvingizga va shaxsiy kompyuteringizga yaqinlashishni da'vo qilmoqda. Ular sizning parolingiz va yozib olingan videongizga kafolat beradi.
Yozib olingan video-bu sextortsiya joyi. Xakerlar sizning kamerangiz yoqilgan va yozib olingan paytda kompyuteringizdan katta yoshli videolarni tomosha qilganingizni da'vo qilishadi. Qiziqarli tomoni shundaki, siz ularga odatda bitkoin bilan to'laysiz, aks holda ular videoni oilasi yoki hamkorlariga etkazib berishadi.

Fishing qidiruvi



Qidiruv tizimining fishing, boshqacha qilib aytganda SEO zaharlanishi yoki SEO troyanlar deb ataladi, bu xakerlar qidiruvda eng ko'p yutilgan xitga aylanish uchun ishlaydigan joy. Google or turli dvigatellar. Agar ular sizni o'z havolasini bosishga majburlashsa, u sizni xakerlar saytiga olib boradi. U bilan bog'langaningizda va maxfiy ma'lumotlarni kiritganingizda, ular sizning ma'lumotlaringizga ega bo'ladi. Hacker saytlari har qanday sayt vazifasini o'tashi mumkin, ammo banklar, PayPal, Internetga asoslangan ommaviy axborot vositalari va xarid qilish saytlari eng zo'r nomzodlardir.

O'zingizni fishing hujumlaridan qanday himoya qilish kerak?

Bilim va ta'lim


O'zingizni fishingdan himoya qilishning bir usuli - bu foydalanuvchilarni o'qitish. Ta'lim barcha ishchilarni o'z ichiga olishi kerak. Yuqori darajadagi rahbarlar ko'pincha ob'ektiv. Ularga fishing elektron pochtasini qanday qabul qilishni va ular kelganida nima qilish kerakligini ko'rsating. Simulyatsiya mashqlari sizning xodimlaringiz uyushtirilgan fishing hujumiga qanday javob berishini o'rganish uchun qo'shimcha ahamiyatga ega.

Xavfsizlik texnologiyasi


Hech qanday kiberxavfsizlik texnologiyasi fishing hujumlarining oldini ololmaydi. Hamma narsani hisobga olsak, tarmoqlar hujumlar sonini kamaytirish uchun qatlamli strategiyani qabul qilishi kerak. Tarmoq xavfsizligi texnologiyalari elektron pochta va veb xavfsizligi, zararli dasturlardan himoyalanish, foydalanuvchilarning xatti -harakatlarini tekshirish va kirishni nazorat qilishni o'z ichiga oladi.

Fishing firibgarligining belgilarini aniqlash


Eng yaxshi kafolat - bu bilim va ta'lim. E -pochta xabarlari taniqli manbadan kelganidan qat'i nazar, kiruvchi xatlarda ulanish yoki havolalarni ochmaslikka harakat qiling. Agar bu elektron pochta manzili ajablanarli bo'lsa, qo'shimchani ochishda ehtiyot bo'ling va URL manzilini tekshiring.
Korxonalar o'z xodimlarini shaxsiy yoki moliyaviy ma'lumotlarni talab qiladigan har qanday muloqotda ehtiyot bo'lishga o'rgatishi va tayyorlashi kerak. Shuningdek, ular xodimlarga xavf haqida darhol tashkilotning xavfsizlik vazifalari guruhiga xabar berishni buyurishlari kerak.

Mana, fishing firibgarligining bir nechta ko'rsatmalari:


  • E-pochtada berilgan uyushmalar yoki URL manzillari to'g'ri maydonni ko'rsatmaydi yoki elektron pochta jo'natuvchisi aniqlanmagan uchinchi tomon saytini ajratib ko'rsatadi.

  • Masalan, quyidagi rasmda berilgan URL manzili sizga olib boriladigan URL bilan mos kelmaydi.



  • Ijtimoiy sug'urta raqamlari, bank yoki moliyaviy ma'lumotlar kabi shaxsiy ma'lumotlar so'raladi. Rasmiy xabarlar sizdan shaxsiy ma'lumotlarni elektron pochta sifatida so'ramaydi.

  • Siz xabar olasiz - kutilmagan va keraksiz. Agar siz kutilmaganda siz boshqaradigan element yoki shaxsdan elektron pochta xabarini olsangiz, bu shubhali elektron pochta xabarini oling.

  • Xabar yoki ulanish sizdan so'raydi makrolarni yoqish, xavfsizlik sozlamalarini sozlash yoki ilovalarni o'rnatish. Odatiy elektron pochta xabarlari sizdan buni talab qilmaydi.

  • Xabar o'z ichiga oladi xatolar. Qonuniy korporativ xabarlar tipografik yoki grammatik xatolarga yoki noto'g'ri ma'lumotlarga ega bo'lishni yoqtirmaydi.

  • The yuboruvchining manzili imzoga mos kelmaydi haqiqiy xabarda.

Bu yerda bir nechta oluvchilar "To" maydonida va ular tasodifiy manzillarni beradi. Ular korporativ xabarlarni yolg'iz qabul qiluvchilarga yuboradilar.


  • Haqiqiy xabarga salom sizga shaxsan murojaat qilmaydi. Boshqa odamga xato qilib yuborilgan xabarlardan tashqari, sizning ismingizni suiiste'mol qiladigan yoki elektron pochta manzilingizdan to'g'ridan -to'g'ri chiqarib yuboradigan salomlashish yomon niyatli bo'ladi.

  • Sayt tabiiy ko'rinadi, lekin u erda nomuvofiqliklar or unchalik to'g'ri bo'lmagan narsalar. Ogohlantirish belgilarida eskirgan logotiplar mavjud bo'lib, ular foydalanuvchilarga qo'shimcha ma'lumot berishni so'raydi yo'q haqiqiy kirish saytlari orqali so'rang.

  • Ochilgan sahifa bu jonli sahifa emas, lekin ular siz bilgan saytga o'xshab rasm chizishadi. Bahor ko'tarilishi so'rov ma'lumotlarini yaratishi mumkin.

Tashkilotlar uchun dasturiy echimlar


  • Microsoft Edge va Windows Defender Application Guard Microsoft-ning sohadagi etakchi Hyper-V virtualizatsiyasi yangiliklaridan foydalangan holda, maqsadli hujumlar xavfidan himoyalanishni ta'minlaydi.

    • Agar bu ko'rib chiqiladigan sayt ishonchsiz deb hisoblansa, Hyper-V konteynerlari ushbu gadjetni korxona ma'lumotlariga kirishga to'sqinlik qilib, tashkilotning qolgan qismidan ajratib turadi.

  • Microsoft Exchange Online Protection (EOP) korporativ darajadagi ishonchlilik va spam va zararli dasturlardan himoyalanishni taklif qiladi, shu bilan birga favqulodda vaziyatlar paytida va undan keyin elektron pochta xabarlarini qabul qiladi.

  • Filtrlashning turli qatlamlaridan foydalanib, EOP spam -filtrlash uchun turli xil boshqaruv elementlarini berishi mumkin.

    • Masalan, ommaviy pochta nazorati va xalqaro spam, bu sizning himoya xizmatlaringizni qo'shimcha ravishda yaxshilaydi.

  • E -pochtangizni, fayllaringizni va onlayn xotirangizni zararli dasturlardan himoya qilishga yordam berish uchun Office 365 uchun Microsoft Defender -dan foydalaning. U Microsoft Teams, Word, Excel, PowerPoint, Visio va boshqalarda barcha keng qamrovli himoyani taklif etadi.

    • Xavfli ulanishlarning oldini olish va zararli havolalarga qarshi ishonchni kengaytirish orqali, nol kunlik himoyani yaxshiroq qilish uchun Exchange Online Protection-ning asosiy xususiyatlarini to'ldiradi.

Fishing hujumlaridan himoyalanish ikki foydalanuvchi va tashabbuslar tomonidan choralar ko'rilishini talab qiladi.


Foydalanuvchilar uchun hushyorlik asosiy hisoblanadi. Soxta xabar muntazam ravishda uning haqiqiy xarakterini ochib beradigan nozik xatolarni o'z ichiga oladi. Bular oldingi URL misolida ko'rsatilgandek, imlo xatolarini yoki domen nomlarini o'zgartirishni o'z ichiga olishi mumkin. Shuningdek, foydalanuvchilar to'xtab, nima uchun bunday elektron pochta xabarini olganliklari haqida o'ylashlari kerak.
Korxonalar uchun ham fishing, ham nayza-fishing hujumlarini yumshatish uchun turli yutuqlarga erishish mumkin:

  • Ikki faktorli autentifikatsiya (2FA)-fishing hujumlariga qarshi eng yaxshi strategiya, chunki u nozik ilovalarga kirishda qo'shimcha tekshirish qatlamini qo'shadi. 2FA foydalanuvchilarga ikkita narsaga bog'liq: ular biladigan narsa, masalan, parol, shuningdek foydalanuvchi nomi va ularda mavjud bo'lgan narsa, masalan, smartfonlari. Qanday bo'lmasin, ishchi murosaga kelganda, 2FA ularning buzilgan hisob ma'lumotlaridan foydalanishga to'sqinlik qiladi, chunki ular faqat o'tish uchun etarli emas.

  • 2FA -dan foydalanish bilan bir qatorda, uyushmalar parolni boshqarishning qat'iy tartib -qoidalarini bajarishi kerak. Masalan, xodimlar parollarini tez -tez o'zgartirishi kerak. Shuningdek, turli xil ilovalar uchun parolni qayta ishlatishga ruxsat berilmaydi.

  • Bundan tashqari, ko'rsatma topshiriqlari fishing hujumlari xavfini kamaytirishga yordam beradi. Siz buni xavfsiz amaliyotlarni ma'qullash orqali qilishingiz mumkin, masalan, tashqi elektron pochta havolalariga tegmang.

xulosa


Fishing hujumlari tajovuzkorga ishonib bo'lmaydigan maqsadlarga ega bo'lishi mumkin. Bu PayPal hisobiga ega bo'lgan har qanday odamni qidiradigan an'anaviy fishing elektron pochta xabarlari bo'lishi mumkin.
Hujumchi, odatda, ular kirish imkoniyatiga qarab, elektron pochtani yaratishda aql bovar qilmaydi. Agar bu elektron pochta diapazonining oxiriga to'g'ri kelgan bo'lsa, hatto eng qo'rqinchli odamlar uchun ham unga qurbon bo'lmaslik juda qiyin. Ma'lumotlar shuni ko'rsatadiki, ma'lumotlar xavfsizligi buzilishlarining 91 foizi qandaydir fishing rejasidan boshlanadi.
Aksariyat kiberjinoyatchilar malakali manipulyatorlar bo'lishiga qaramasdan, bu ularning har doim malakali texnologik manipulyatorlar ekanligini anglatmaydi; boshqa kiberjinoyatchilar odamlarni manipulyatsiya qilish amaliyotini afzal ko'radilar.
Boshqacha qilib aytganda, ular ijtimoiy muhandislikni, ya'ni inson tabiatidagi kamchiliklardan foydalanib, kiberhujum boshlash amaliyotini o'z ichiga oladi.
Ijtimoiy muhandislikning oddiy holatida, agar kiberjinoyatchi IT mutaxassisi sifatida o'zini namoyon qilsa va tizimingizdagi xavfsizlik teshigini tuzatish uchun login ma'lumotlaringizni so'rasa, bu sodir bo'lishi mumkin.
Agar siz ma'lumot bersangiz, siz yomon odamga elektron pochtangizga yoki kompyuteringizga kirishdan tashvishlanmasdan ham hisobingizga kirish huquqini bergansiz.
Har bir xavfsizlik zanjirida biz deyarli eng zaif bo'g'in bo'lamiz, chunki biz turli xil hiyla-nayranglarga moyilmiz. Ijtimoiy muhandislik texnikasi odamlarda ushbu zaiflikdan jabrlanuvchilarni shaxsiy ma'lumotlarni oshkor qilish uchun aldash uchun ishlatadi.
Ijtimoiy muhandislik, kiber tahdidlarning aksariyati kabi doimo rivojlanib bormoqda.
Ushbu maqolada biz ijtimoiy muhandislikning hozirgi holati, ehtiyot bo'lish kerak bo'lgan turli xil hujumlar va diqqat qilish kerak bo'lgan ogohlantirish belgilarini muhokama qilamiz. 
Keling, ijtimoiy muhandislikka kirishni boshlaylik. 

Ijtimoiy Muhandislik Nima?


Hisoblashda ijtimoiy muhandislik deganda kiberjinoyatchilar jabrlanuvchilarni shubhali harakatlarga ko'ndirish uchun foydalanadigan usullar tushuniladi, bu ko'pincha xavfsizlikni buzish, pul o'tkazish yoki shaxsiy ma'lumotlarni oshkor qilish bilan bog'liq.
Bu harakatlar ko'pincha mantiqqa qarshi chiqadi va bizning yaxshi fikrimizga zid keladi.
Biroq, firibgarlar bizni g'azab, qo'rquv va sevgi kabi ijobiy va salbiy his-tuyg'ularimizni boshqarish orqali mantiqiy fikrlashni to'xtatishga va aslida nima qilayotganimiz haqida o'ylamasdan instinkt asosida harakat qilishni boshlashga ishontirishi mumkin.
Oddiy qilib aytganda, ijtimoiy muhandislik - bu xakerlar bizning miyamizni qanday buzishi, xuddi zararli dasturlar va viruslar bilan mashinalarimizni buzishi.
Hujumchilar ko'pincha ijtimoiy muhandislikdan foydalanadilar, chunki tarmoq yoki dasturiy ta'minotning zaifligini aniqlashdan ko'ra, ko'pincha shaxslardan foydalanish osonroq.
Jinoyatchilar va ularning qurbonlari hech qachon shaxsan muloqot qilishlari shart emasligi sababli, ijtimoiy muhandislik har doim kengroq firibgarlikning tarkibiy qismidir. 
Jabrlanuvchilarni quyidagilarga etkazish odatda asosiy maqsaddir:

  • Ularning smartfonidagi zararli dastur.

  • Foydalanuvchi nomingiz va parolingizdan voz keching.

  • Zararli plagin, kengaytma yoki uchinchi tomon ilovasiga ruxsat bering.

  • Pul o'tkazmasi, elektron pul o'tkazmasi yoki sovg'a kartalari orqali pul yuboring.

  • Noqonuniy pullarni o'tkazish va yuvish uchun pul xachirining rolini o'ynang.

Ijtimoiy muhandislik usullari jinoyatchilar tomonidan qo'llaniladi, chunki dasturingizni qanday buzishni aniqlashdan ko'ra, boshqalarga ishonishga xos moyilligingizdan foydalanish osonroq.
Misol uchun, agar parol haqiqatan ham zaif bo'lmasa, uni buzishga urinishdan ko'ra, kimnidir sizga o'z parolini aytib berish uchun aldash ancha oson.

Ijtimoiy Muhandislik Qanday Ishlaydi?


Ijtimoiy muhandislar bir qator strategiyalardan foydalangan holda kiberhujumlarni amalga oshiradilar. Ko'pgina ijtimoiy muhandislik hujumlari tajovuzkorning jabrlanuvchiga razvedka va tadqiqot olib borishi bilan boshlanadi.
Misol uchun, agar maqsad korxona bo'lsa, xaker kompaniyaning tashkiliy tuzilishi, ichki jarayonlari, sanoat jargonlari, potentsial biznes hamkorlari va boshqa tafsilotlarni bilib olishi mumkin.
Qo'riqchi yoki resepsiyonist kabi past darajadagi, ammo boshlang'ich kirish huquqiga ega bo'lgan ishchilarning harakatlari va odatlariga e'tibor qaratish ijtimoiy muhandislar tomonidan qo'llaniladigan strategiyalardan biridir.
Hujumchilar qidirishlari mumkin ijtimoiy media shaxsiy ma'lumotlarni hisobga oladi va ularning xatti-harakatlarini ham onlayn, ham shaxsan kuzatadi.
Ijtimoiy muhandis keyinchalik hujumni rejalashtirish va razvedka bosqichida topilgan kamchiliklardan foydalanish uchun to'plangan dalillardan foydalanishi mumkin.
Agar hujum haqiqatan ham sodir bo'lsa, tajovuzkor himoyalangan tizimlar yoki tarmoqlarni, maqsadlardan pul olishi yoki ijtimoiy xavfsizlik raqamlari, kredit karta ma'lumotlari yoki bank ma'lumotlari kabi shaxsiy ma'lumotlarga kirishi mumkin.

Ijtimoiy Muhandislik Hujumlarining Umumiy Turlari


Ijtimoiy muhandislikda qo'llaniladigan odatiy usullarni o'rganish o'zingizni ijtimoiy muhandislik hujumidan himoya qilishning eng katta strategiyalaridan biridir.
Hozirgi vaqtda ijtimoiy muhandislik odatda onlaynda, shu jumladan ijtimoiy media firibgarlari orqali, tajovuzkorlar ishonchli manba yoki yuqori martabali mansabdor shaxs sifatida qurbonlarni aldab, maxfiy ma'lumotlarni oshkor qilish orqali sodir bo'ladi.
Mana, boshqa keng tarqalgan ijtimoiy muhandislik hujumlari:

Fishing


Fishing - bu ijtimoiy muhandislik yondashuvining bir turi bo'lib, unda aloqa ishonchli manbadan ko'rinishi uchun yashiringan.
Ko'pincha elektron pochta xabarlari bo'lgan ushbu xabarlar shaxsiy yoki moliyaviy ma'lumotlarni oshkor qilishda qurbonlarni aldashga qaratilgan.
Axir, nega biz bilgan do'stimiz, oila a'zomiz yoki kompaniyamizdan kelgan elektron pochtaning qonuniyligiga shubha qilishimiz kerak? Firibgarlar bu ishonchdan foydalanadilar.

Vishing


Vishing - bu fishing hujumining murakkab turi. U "ovozli fishing" sifatida ham tanilgan. Bunday tajovuzlarda telefon raqami ko'pincha haqiqiy ko'rinishda soxtalashtiriladi - tajovuzkorlar o'zlarini IT xodimlari, hamkasblar yoki bankirlar sifatida ko'rsatishi mumkin.
Ba'zi tajovuzkorlar o'zlarining shaxsiy ma'lumotlarini ko'proq yashirish uchun ovoz o'zgartiruvchilardan foydalanishlari mumkin.

Nayza Fishing


Yirik kompaniyalar yoki alohida odamlar nayza phishing, ijtimoiy muhandislik hujumining nishoni hisoblanadi. Fishing hujumlarining maqsadi kuchli shaxslar yoki biznes rahbarlari va jamoat arboblari kabi kichik guruhlardir.
Ijtimoiy muhandislik hujumining bu shakli ko'pincha yaxshi o'rganiladi va aldamchi tarzda kamuflyajlanadi, bu esa uni aniqlashni qiyinlashtiradi.

Xulosa
Ushbu individual ishni bajarish natijasida quyidagi xulosalarga erishildi:

  • Mobil qurilmalarning qanchalik inson hayotiga kirib borganligi hamda mobil telefon xavfsizligining muhimligini anglash tadqiq etildi va qurilmalarda ma’lumot saqlash xolatlari ko’rsatildi

  • Mobil qurilmalarga bo’lishi mumkin bo’lgan tahdidlar, xavflar va xujumlar
    tadqiq etildi va mobil qurilmalarga qaratilgan xujumlarning zarari yuqori ekanligi keltirildi;

  • Mobil qurilmalarga bo’ladigan hujumlarni oldini olish choralari, usullari
    va himoya texnologiyalari tadqiq etildi;

  • Mobil qurilmalar hamda undagi shaxsiy ma’lumotlarni xavfsiz saqlashda qo’llaniladigan kriptografik algoritmlar va kalitlarni almashish usullari keltirildi va ular asosida mobil qurilmalarni himoyalash ko’rib chiqildi.

  • Hozirgi kunda eng qulay bo’lgan va xavfsizlik jihatidan kuchli bo’lgan biometrik ma’lumotlar (yuz, ko’z, ovoz tovushi) asosida qurilmalarni himoyalash taqqiq etildi.

  • Biometrik himoyalashning yuz orqali autentifikatsiya qilish bosqichlari ko’rib chiqildi hamda Android OS da ishlovchi qurilmalar uchun yuz orqali autentifikatsiya qilish dasturi ishlab chiqildi.



Download 41.54 Kb.

Do'stlaringiz bilan baham:
  1   2



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling