3-Ma’ruza Mavzu: Inson faoliyati xavfsizligi Reja

so‘raladi. Shunga o‘xshash sxemalar texnik ko‘maklashish xizmati nomidan ham 
amalga oshirilishi mumkin. 
Soxta lotareyalar
. Mazkur fishing sxemasiga ko‘ra foydalanuvchi har qanday 
taniqli kompaniya tomonidan o‘tkazilgan lotereyada g‘olib bo‘lgani to‘g‘risidagi 
xabarni olishi mumkin. Tashqi tomondan, bu elektron xabar kompaniyaning yuqori 
lavozimli xodimlaridan biri nomidan yuborilganga o‘xshaydi. 
Soxta antivirus va xavfsizlik dasturlari.
Mazkur dasturlar firibgar dasturiy 
ta‘minoti yoki “chaqqon dastur” deb nomlanib, ular antivirus dasturlariga 
o‘xshasada, vazifasi boshqacha. Bu dasturiy ta’minot turli tahdidlar to‘g‘risidagi 
yolg‘on xabamomalar asosida foydalanuvchini soxta bitimlarga jalb qilishga harakat 
qiladi. Foydalanuvchi ulardan foydalanganida elektron pochtada, onlayn e’lonlarda, 
ijtimoiy tarmoqlarda, qidiruv tizimlari natijalarida va hatto foydalanuvchi 
kompyuterida turli qalqib chiquvchi oynalarga duch kelishi mumkin. Quyida 
keltirilgan misolda, aslida Microsoft Security Essentials bo‘lishi kerak bo‘lgan, 
biroq o‘ziga Security Essentials 2010 nomi berilgan soxta antivirus dasturining 
ko‘rinishi keltirilgan (3.2-rasm). 
 
3.2-rasm. “Security Essentials 2010” antivirus dasturi 
IVR (Interactive Voice Response) yoki telefon orqali fishing. Fishing 
sxemasining mazkur usuli oldindan yozib olingan xabarlar tizimidan foydalanishga 
asoslangan, ular bank va boshqa IVR tizimlarining “rasmiy qo‘ng‘iroqlari”ni qayta 
tiklash uchun ishlatiladi. Bu hujumda jabrlanuvchi bank bilan bog‘lanib, qandaydir 

ma’lumotlarni tasdiqlash yoki yangilash kerakligi haqidagi so‘ovni qabul qiladi. 
Tizim PIN kodni yoki parolni kiritish orqali foydalanuvchi tasdig‘ini talab qiladi. 
Natijada, muhim ma’lumotlarni qo‘lgan kiritgan buzg‘unchi foydalanuvchi 
ma’lumotlaridan foydalanish imkoniyatiga ega bo‘ladi. Masalan, parolni 
almashtirish uchun “1” ni bosing va operator javobini olish uchun “2” ni bosing va 
h.k 
Preteksting.
Mazkur fishing sxemasida xaker o‘zini boshqa shaxs sifatida 
ko‘rsatadi va oldindan tayyorlangan senariy (skript) bo‘yicha maxfiy axborotni 
olishni maqsad qiladi. Ushbu hujumda qurbonni shubhalanmasligi uchun tegishli 
tayyorgarlik ko‘riladi: tug‘ilgan kun, INN, pasport raqami yoki hisob raqamining 
oxirgi belgilari kabi ma’lumotlar topiladi. Ushbu fishing sxemasi odatda telefon yoki 
elektron pochta orqali amalga oshiriladi. 
Kvid pro kvo (lotinchadan: Quid pro quo
). Ushbu ibora ingliz tilida “xizmat 
uchun xizmat” degan ma’noni anglatib, sotsial injineriyaning mazkur turida xaker 
korporativ tarmoq yoki elektron pochta orqali kompaniyaga murojaatni amalga 
oshiradi. Ko‘pincha xaker o‘zini texnik xizmat ko‘rsatuvchi sifatida tanitib, texnik 
xodimning ish joyidagi muammolarni bartaraf etishda “yordam berishini” aytadi. 
Texnik muammoni “bartaraf’ etish vaqtida nishondagi shaxsni buyruqlarni 
bajarishga yoki jabrlanuvchining kompyuteriga turli xil dasturlarni o‘rnatishga 
undash amalga oshiriladi.
Yo‘l-yo‘lakay olma.
Sotsial injineriyaning mazkur usulida xaker maxsus zararli 
dastur yozilgan ma’lumot eltuvchilardan foydalanadi va zararli dasturlar yozilgan 
eltuvchilarni qurbonning ish joyi yaqinida, jamoat joylarida va boshqa joylarda 
qoldiradi. Bunda, ma’lumot eltuvchilari tashkilotga tegishli shaklda 
rasmiylashtiriladi. Masalan, xaker biror korporatsiya logotipi va rasmiy web-sayt 
manzili tushirilgan kompakt diskni qoldirib ketadi. Ushbu disk “Rahbarlar uchun ish 
haqlari” nomi bilan nomlanishi mumkin. Ushbu eltuvchini qo‘lga kiritgan qurbon 
uni o‘z kompyuteriga qo‘yib ko‘radi va shu orqali kompyuterini zararlaydi. 
Ochiq ma’lumot to‘plash.
Sotsial injineriya texnikasi nafaqat psixologik 
bilimlarni, balki, inson haqida kerakli ma’lumotlarni to‘plash qobilyatini ham talab 

etadi. Bunday ma’lumotlarni olishning nisbatan yangi usuli ochiq manbalardan, 
ijtimoiy tarmoqlardan to‘plash. Masalan, «Одноклассники», «ВКонтакте», 
«Facebook», «Instagram» kabi saytlarda odamlar yashirishga harakat qilmaydigan 
juda ko‘p ma’lumotlar mavjud. Odatda, foydalanuvchilar xavfsizlik muammolariga 
yetarlicha e’tibor bermasdan, xaker tomonidan foydalanilishi mumkin bo‘lgan 
ma’lumotlar va xabarlarni qarovsiz qoldiradilar. 
Bunga yaqqol misol sifatida Yevgeniy Kasperskiyning o‘g‘lini o‘g‘irlanganini 
keltirish mumkin. Mazkur holatda jinoyatchilar o‘smirning kun tartibini va 
marshrutini ijtimoiy tarmoq sahifalaridagi yozuvlardan bilgani aniqlangan. 
Ijtimoiy tarmoqdagi o‘z sahifasidagi ma’lumotlardan foydalanishni cheklab 
qo‘ygan taqdirda ham, foydalanuvchining firibgarlik qurboni bo‘lmasligiga to‘liq 
kafolat yo‘q. Masalan, Braziliyaning kompyuter xavfsizligi bo‘yicha tadiqiqotchisi 
24 soat ichida sotsial injineriya usullaridan foydalangan holda har qanday Facebook 
foydalanuvchisi bilan do‘stlashish mumkinligini ko‘rsatdi. Tajriba davomida Nelson 
Novayes Neto dastlab jabrlanuvchiga tanish bo‘lgan odam - uning xo‘jayini uchun 
soxta qayd yozuvini yaratadi. Avval Neto jabrlanuvchining xo‘jayinining do‘stlariga 
va undan keyin to‘g‘ridan to‘g‘ri jabrlanuvchining do‘stiga do‘stlik so‘rovini 
yuboradi. 7,5 soatdan so‘ng esa tadqiqotchi jarblanuvchi bilan do‘stlashadi. Natijada 
tadqiqotchi foydalanuvchining shaxsiy ma’lumotlarini olish ikoniyatiga ega bo‘ladi 
Yelka orqali qarash.
Ushbu hujumga ko‘ra buzg‘unchi jabrlanuvchiga tegishli 
ma’lumotlarini uning yelkasi orqali qarab qo‘lga kiritadi. Ushbu turdagi hujum 
jamoat joylarida, masalan, kafe, avtobus, savdo markazlari, aéroport va temir yo‘l 
stansiyalarida keng tarqalgan. Mazkur hujumga doir olib borilgan so‘rovnomalar 
quyidagilarni ko‘rsatgan: 
−
85% ishtirokchilar o‘zlari bilishlari kerak bo‘lmagan maxfiy ma’lumotlarni 
ko‘rganliklarini tan olishgan;
−
82% ishtirokchilar ularning ekranidagi ma’lumotlarini ruxsatsiz shaxslar 
ko‘rishi mumkinligini tan olishgan;
−
82% ishtirokchilar tashkilotdagi xodimlar o‘z ekranini ruxsatsiz odamlardan 
himoya qilishiga ishonishmagan.
 

Teskari sotsial injineriya
. Jabrlanuvchining o‘zi tajovuzkorga ma’lumotlarini 
taqdim qilishi teskari sotsial injineriyaga tegishli holat hisoblanadi. Bu bir qarashda 
ma’noga ega bo‘lmagan qarash hisoblansada, aksariyat hollarda jarblanuvchining 
o‘zi muammolarini hal qilish uchun tajovuzkorni yordamga jalb qiladi. Masalan, 
jabrlanuvchi bilan birga ishlovchi tajovuzkor jabrlanuvchi kompyuteridagi biror 
faylini nomini o‘zgartiradi yoki boshqa katalogga ko‘chirib o‘tkazadi. Faylni yo‘q 
bo‘lganini bilgan qurbon esa ushbu muammoni tezda bartaraf etishni istab qoladi. 
Bu vaziyatda tajovuzkor o‘zini ushbu muammoni bartaraf etuvchi sifatida ko‘rsatadi 
va qurbonning muammosini bartaraf etish bilan birga unga tegishli login/ parolni 
ham qo‘lga kiritadi. Bundan tashqari, ushbu vazifasi bilan tajovuzkor tashkilot 
ichida obro‘ga ega bo‘ladi va o‘z qurbonlari sonini ortishiga erishadi. Bu holatni 
aniqlash esa ancha murakkab ish hisoblanadi. 
Mashhur sotsial injinerlar.
Kevin Mitnik tarixdagi eng mashhur sotsial 
injinerlardan biri, u dunyodagi mashhur kompyuter xakeri, xavfsizlik bo‘yicha 
mutaxassis va sotsial injineriyaga asoslangan kompyuter xavfsizligiga 
bag‘ishlangan ko‘plab kitoblarning ham muallifidir. Uning fikriga ko‘ra xavfsizlik 
tizimini buzishdan ko‘ra, aldash yo‘li orqali parolni olish osonroq. 
Aka-uka Badirlar
. Ko‘r bo‘lishlariga qaramasdan aka-uka Mushid va Shadi 
Badirlar 1990 yillarda Isroilda sotsial injineriya va ovozni soxtalashtirish usullaridan 
foydalangan holda bir nechta yirik firibgarlik sxemalarini amalga oshirishgan. 
Televideniyaga bergan intervyusida: “faqat telefon, elektr va noutbuklardan 
foydalanmaydiganlar uchun tarmoq xavfsizdir” deb aytishgan. 

Yüklə 311,73 Kb.

Dostları ilə paylaş: