Социал инжинерия
Download 27,16 Kb.
|
kiber mu
|
Социал инжинерия 3-Маъруза: Инсон хавфсизлиги Социал инжинерия • “Социал инжинерия” бу - турли хил психологик усуллар ва фирибгарлик амалиётининг тўплами бўлиб, унинг мақсади фирибгарлик йўли билан шахс тўғрисида махфий маълумотларни олишдир. • Махфий маълумотлар бу - фойдаланувчи исмлари / пароллари, шахсий маълумотлари, айблов далиллари, банк муҳим карталари рақамлари ва молиявий ёки обрўсини йўқотадиган ҳар қандай нарса. Киберхавфсизлик асослари (CSF1316) Социал инжинерия Уш бу атама хакерлик соҳасидан кириб келган. Хакер бу - компьютер тизимидаги заифликларни қидирадиган одам, бошқача айтганда – “бузғунчи”. Ҳозирги вақтда хакерлар ҳар қандай тизимдаги асосий заифлик - бу машина эмас, балки шахс эканлигини яхши тушунишади. Киберхавфсизлик асослари (CSF1316) Социал инжинерия • Психология, ҳийла-найранглар ва таъсир механизмлари доирасида томонидан тажрибадан инсоният тўпланган фойдаланган ҳолда, хакерлар “одамларга ҳужум қилишни” бошладилар. Гоҳида улар “ақл хакерлиги” деб ҳам аталади. Киберхавфсизлик асослари (CSF1316) Мисол • Хакер сиздан пул олмоқчи деб фараз қилайлик. • Айтайлик у сизнинг телефон рақамингиз ва ижтимоий тармоқдаги аккаунтингиз ҳақида маълумотга эга. • Бундан ташқари у изланиш натижасида сизнинг акангиз борлигини ҳам аниқлади ва акангиз ҳақида ҳам етарлича маълумот тўплади. • У шунингдек, акангизни телефон рақамини ҳам қўшимча ишонч учун билиб қўйди. • Шундан сўнг ушбу маълумотлар асосида ўз режасини туза бошлади. Киберхавфсизлик асослари (CSF1316) Режа • Хакер сизга кечки вақтда телефон қилиб, сизга (сизни исмингиз ўрнига фақат у атайдиган бирор личка ҳам бўлиши мумкин) мен акангман деб таништиради ва ўзини кўчада безориларга дуч келганини ва улар барча нарсаларини (телефон, пул, пластик карточка ва бошқалар) олиб қўйганини айтади. • Бундан ташқари у ўзига бир қиз ёрдам берганини, бироқ унинг ёнида пули йўқлигини айтади. • Бироқ, ушбу қизни ёнида пластик картаси борлигини ва сиздан ушбу пластик картага касалхонага етиб бориш учун зарур бўлган 200 000 пулни кўчириб беришни талаб қилади. • Мазкур ҳолатларнинг 8/10 да хакерлар муваффаққиятга эришганлар ва бу ишларни амалга ошириш малакали хакер учун қийинчилик туғдирмайди. Киберхавфсизлик асослари (CSF1316) Хийланинг иш бериши • Мазкур ҳолда акангизни овозини ажратиш имконияти ҳақида гап бориши мумкин. – Бироқ, инсон турли ҳаёжон ва шовқин бўлган муҳитда бўлиши мумкинку! – Бундан ташқари агар сиз ухлаб ётган вақтингизда телефон бўлса, сизнинг овозни аниқлашангиз янада қийинлашади. • Уш бу ҳолатда хакер томонидан фойдаланилган фикрларни кўриб чиқайлик: – Шахсни яхши яширди ва реал мисолларга асосланган (масалан, сизнинг расмларингиз, фақат сизнинг яқинларингиз биладиган жойлар ва ҳак.) яхши афсона ўйлаб топди. – Буларнинг барчаси етарлича тез ва ишончли тарзда айтилган. – Таъсирнинг жуда катта механизмидан фойдаланилган – ачинишга таъсир қилинган (ҳиссиётларга мурожаат қилиш). Киберхавфсизлик асослари (CSF1316) Социал инжинерия йўналишлари - Фишинг • Фишинг (инг. Phishing – балик овлаш) бу – Интернетдаги фирибгарликнинг бир тури бўлиб, унинг мақсади фойдаланувчининг махфий маълумотларидан, логин/парол, фойдаланиш имкониятига эга бўлишдир. • Бу ҳозирда кенг тарқалган социал инжинерия схемаларидан бири ҳисобланади. • Катта ҳажмдаги шахсий маълумотларни кенг тарқалиши, фишинг “шамолисиз” амалга оширилмайди. • Фишингнинг энг кенг тарқалган наъмунаси сифатида жабрланувчи электрон почтасига юборилган расмий маълумот кўринишидаги банк ёки тўлов тизимидан сохталаштирилган хабар ҳисобланади. • Бундай электрон почта хабарлари одатда расмий расмий веб- сайтга ўхшаш ва шахсий маълумотларни талаб қиладиган шаклда бўлган қалбаки веб саҳифага ҳаволани ўз ичига олади. Киберхавфсизлик асослари (CSF1316) Фишинг - Мисол Киберхавфсизлик асослари (CSF1316) Фишинг - Мавжуд бўлмаган ҳавола • Фишинг ҳужумининг мазкур кўринишида кутилаётган веб сайтга ўхшаш сайтни ўз ичига олган ҳаволага мурожаат амалга оширилишига жалб қилинади. • Масалан, www.PayPai.com манзили www.PayPal.com манзили сифатида юбориш мумкин. • Бу ҳолда камдан-кам ҳолда фойдаланувчилар “l” ҳарфини ўринига “i” ҳарфи борлигига эътибор беришади. • Ҳаволага мурожат қилинганда эса www.PayPal.com веб сайтга ўхшаш, бироқ сохталаштирилган сайтга ташриф буюрилади ва талаб киритилган тўлов картаси маълумотлари киритилади. • Натижада киритилган маълумотлар тезда хакер қўлида бўлади. Киберхавфсизлик асослари (CSF1316) Мисол • Бунга яққол мисол сифатида, 2003 йилда eBay фойдаланувчиларига тарқалган фишинг хабарни олиш мумкин. • Бунга кўра фойдаланувчиларнинг аккаунтлари блоклангани ва кредит карта маълумотлари блокдан чиқарилиши кераклиги тўғрисидани маълумот тарқалган. • Уш бу электрон почталарда расмий веб-сайтга ўхшаш сохта веб саҳифага олиб борувчи ҳавола мавжуд бўлган. • Уш бу фишинг ҳужумини келтирган зарари бир неча юз минг долларга тенг бўлган. Киберхавфсизлик асослари (CSF1316) Фишинг - Таниқли корпоратив брендидан фойдалишга асосланган фирибгарлик • Фирибгарликнинг мазкур кўринишида таниқли ёки йирик компаниялар номидан фойдаланувчи электрон почталарига хабарлар юборилади. • Хабарларда компания томонидан ўтказилган бирор танловда ғалаба қозинилганлиги ҳақидаги табриклар бўлиши мумкин. • Унда шунингдек зудлик билан қайд ёзуви маълумотлари ва паролни ўзгартириш кераклиги сўралади. • Шунга ўхшаш схемалар техник кўмаклашиш хизмати номидан ҳам амалга оширирилиши мумкин. Киберхавфсизлик асослари (CSF1316) Фишинг - Сохта лотареялар • Мазкур фишинг схемасига кўра фойдаланувчи ҳар қандай таниқли компания томонидан ўтказилган лотареяда ютгани тўғрисидаги хабарларни олиши мумкин. • Ташқи томондан бу электрон хабарлар компаниянинг юқори лавозимли ходимларидан бири номидан юборилганга ўхшайди. Киберхавфсизлик асослари (CSF1316) Фишинг - Сохта антивирус ва хавфсизлик дастури • Шунга ўхшаш фирибгар дастурий таъминот, шунингдек “чаққон дастур” деб номланувчи мазкур дастурлар антивирус дастурларига ўхшасада, аммо вазият аксинча бўлади. • Бу дастурий таъминот турли таҳдидлар тўғрисида ёлғон хабарномаларни келтириб чиқаради ва фойдаланувчини сохта битимларга жалб қилишга ҳаракат қилади. • Фойдаланувчи улар билан электрон почта, онлайн эълонлар, ижтимоий тармоқларда, қидирув тизимлардаги натижаларида ва ҳатто тизим хабарларини тақлид қилувчи компьютердаги қалқиб чиқувчи ойналарда дуч келиши мумкин. • Қуйида келтирилган мисолда аслида Download 27,16 Kb. Do'stlaringiz bilan baham: 
|