Taniqli korporativ brendidan foydalanishga asoslangan firibgarlik.
Firibgarlikning mazkur ko‘rinishida taniqli yoki yirik kompaniyalar nomidan
foydalanuvchiga xabar yuboriladi. Xabarda kompaniya tomonidan o‘tkazilgan biror
tanlovda g‘alaba qozonilganligi haqidagi tabriklar bo‘lishi mumkin. Unda
shuningdek, zudlik bilan qayd yozuvi ma’lumotlari va parolni o‘zgartirish kerakligi
so‘raladi. Shunga o‘xshash sxemalar texnik ko‘maklashish xizmati nomidan ham
amalga oshirilishi mumkin.
Soxta lotareyalar
. Mazkur fishing sxemasiga ko‘ra foydalanuvchi har qanday
taniqli kompaniya tomonidan o‘tkazilgan lotereyada g‘olib bo‘lgani to‘g‘risidagi
xabarni olishi mumkin. Tashqi tomondan, bu elektron xabar kompaniyaning yuqori
lavozimli xodimlaridan biri nomidan yuborilganga o‘xshaydi.
Soxta antivirus va xavfsizlik dasturlari.
Mazkur dasturlar firibgar dasturiy
ta‘minoti yoki “chaqqon dastur” deb nomlanib, ular antivirus dasturlariga
o‘xshasada, vazifasi boshqacha. Bu dasturiy ta’minot turli tahdidlar to‘g‘risidagi
yolg‘on xabamomalar asosida foydalanuvchini soxta bitimlarga jalb qilishga harakat
qiladi. Foydalanuvchi ulardan foydalanganida elektron pochtada, onlayn e’lonlarda,
ijtimoiy tarmoqlarda, qidiruv tizimlari natijalarida va hatto foydalanuvchi
kompyuterida turli qalqib chiquvchi oynalarga duch kelishi mumkin. Quyida
keltirilgan misolda, aslida Microsoft Security Essentials bo‘lishi kerak bo‘lgan,
biroq o‘ziga Security Essentials 2010 nomi berilgan soxta antivirus dasturining
ko‘rinishi keltirilgan (3.2-rasm).
3.2-rasm. “Security Essentials 2010” antivirus dasturi
IVR (Interactive Voice Response) yoki telefon orqali fishing. Fishing
sxemasining mazkur usuli oldindan yozib olingan xabarlar tizimidan foydalanishga
asoslangan, ular bank va boshqa IVR tizimlarining “rasmiy qo‘ng‘iroqlari”ni qayta
tiklash uchun ishlatiladi. Bu hujumda jabrlanuvchi bank bilan bog‘lanib, qandaydir
ma’lumotlarni tasdiqlash yoki yangilash kerakligi haqidagi so‘ovni qabul qiladi.
Tizim PIN kodni yoki parolni kiritish orqali foydalanuvchi tasdig‘ini talab qiladi.
Natijada, muhim ma’lumotlarni qo‘lgan kiritgan buzg‘unchi foydalanuvchi
ma’lumotlaridan foydalanish imkoniyatiga ega bo‘ladi. Masalan, parolni
almashtirish uchun “1” ni bosing va operator javobini olish uchun “2” ni bosing va
h.k
Preteksting.
Mazkur fishing sxemasida xaker o‘zini boshqa shaxs sifatida
ko‘rsatadi va oldindan tayyorlangan senariy (skript) bo‘yicha maxfiy axborotni
olishni maqsad qiladi. Ushbu hujumda qurbonni shubhalanmasligi uchun tegishli
tayyorgarlik ko‘riladi: tug‘ilgan kun, INN, pasport raqami yoki hisob raqamining
oxirgi belgilari kabi ma’lumotlar topiladi. Ushbu fishing sxemasi odatda telefon yoki
elektron pochta orqali amalga oshiriladi.
Kvid pro kvo (lotinchadan: Quid pro quo
). Ushbu ibora ingliz tilida “xizmat
uchun xizmat” degan ma’noni anglatib, sotsial injineriyaning mazkur turida xaker
korporativ tarmoq yoki elektron pochta orqali kompaniyaga murojaatni amalga
oshiradi. Ko‘pincha xaker o‘zini texnik xizmat ko‘rsatuvchi sifatida tanitib, texnik
xodimning ish joyidagi muammolarni bartaraf etishda “yordam berishini” aytadi.
Texnik muammoni “bartaraf’ etish vaqtida nishondagi shaxsni buyruqlarni
bajarishga yoki jabrlanuvchining kompyuteriga turli xil dasturlarni o‘rnatishga
undash amalga oshiriladi.
Yo‘l-yo‘lakay olma.
Sotsial injineriyaning mazkur usulida xaker maxsus zararli
dastur yozilgan ma’lumot eltuvchilardan foydalanadi va zararli dasturlar yozilgan
eltuvchilarni qurbonning ish joyi yaqinida, jamoat joylarida va boshqa joylarda
qoldiradi. Bunda, ma’lumot eltuvchilari tashkilotga tegishli shaklda
rasmiylashtiriladi. Masalan, xaker biror korporatsiya logotipi va rasmiy web-sayt
manzili tushirilgan kompakt diskni qoldirib ketadi. Ushbu disk “Rahbarlar uchun ish
haqlari” nomi bilan nomlanishi mumkin. Ushbu eltuvchini qo‘lga kiritgan qurbon
uni o‘z kompyuteriga qo‘yib ko‘radi va shu orqali kompyuterini zararlaydi.
Ochiq ma’lumot to‘plash.
Sotsial injineriya texnikasi nafaqat psixologik
bilimlarni, balki, inson haqida kerakli ma’lumotlarni to‘plash qobilyatini ham talab
etadi. Bunday ma’lumotlarni olishning nisbatan yangi usuli ochiq manbalardan,
ijtimoiy tarmoqlardan to‘plash. Masalan, «Одноклассники», «ВКонтакте»,
«Facebook», «Instagram» kabi saytlarda odamlar yashirishga harakat qilmaydigan
juda ko‘p ma’lumotlar mavjud. Odatda, foydalanuvchilar xavfsizlik muammolariga
yetarlicha e’tibor bermasdan, xaker tomonidan foydalanilishi mumkin bo‘lgan
ma’lumotlar va xabarlarni qarovsiz qoldiradilar.
Bunga yaqqol misol sifatida Yevgeniy Kasperskiyning o‘g‘lini o‘g‘irlanganini
keltirish mumkin. Mazkur holatda jinoyatchilar o‘smirning kun tartibini va
marshrutini ijtimoiy tarmoq sahifalaridagi yozuvlardan bilgani aniqlangan.
Ijtimoiy tarmoqdagi o‘z sahifasidagi ma’lumotlardan foydalanishni cheklab
qo‘ygan taqdirda ham, foydalanuvchining firibgarlik qurboni bo‘lmasligiga to‘liq
kafolat yo‘q. Masalan, Braziliyaning kompyuter xavfsizligi bo‘yicha tadiqiqotchisi
24 soat ichida sotsial injineriya usullaridan foydalangan holda har qanday Facebook
foydalanuvchisi bilan do‘stlashish mumkinligini ko‘rsatdi. Tajriba davomida Nelson
Novayes Neto dastlab jabrlanuvchiga tanish bo‘lgan odam - uning xo‘jayini uchun
soxta qayd yozuvini yaratadi. Avval Neto jabrlanuvchining xo‘jayinining do‘stlariga
va undan keyin to‘g‘ridan to‘g‘ri jabrlanuvchining do‘stiga do‘stlik so‘rovini
yuboradi. 7,5 soatdan so‘ng esa tadqiqotchi jarblanuvchi bilan do‘stlashadi. Natijada
tadqiqotchi foydalanuvchining shaxsiy ma’lumotlarini olish ikoniyatiga ega bo‘ladi
Yelka orqali qarash.
Ushbu hujumga ko‘ra buzg‘unchi jabrlanuvchiga tegishli
ma’lumotlarini uning yelkasi orqali qarab qo‘lga kiritadi. Ushbu turdagi hujum
jamoat joylarida, masalan, kafe, avtobus, savdo markazlari, aéroport va temir yo‘l
stansiyalarida keng tarqalgan. Mazkur hujumga doir olib borilgan so‘rovnomalar
quyidagilarni ko‘rsatgan:
−
85% ishtirokchilar o‘zlari bilishlari kerak bo‘lmagan maxfiy ma’lumotlarni
ko‘rganliklarini tan olishgan;
−
82% ishtirokchilar ularning ekranidagi ma’lumotlarini ruxsatsiz shaxslar
ko‘rishi mumkinligini tan olishgan;
−
82% ishtirokchilar tashkilotdagi xodimlar o‘z ekranini ruxsatsiz odamlardan
himoya qilishiga ishonishmagan.
Teskari sotsial injineriya
. Jabrlanuvchining o‘zi tajovuzkorga ma’lumotlarini
taqdim qilishi teskari sotsial injineriyaga tegishli holat hisoblanadi. Bu bir qarashda
ma’noga ega bo‘lmagan qarash hisoblansada, aksariyat hollarda jarblanuvchining
o‘zi muammolarini hal qilish uchun tajovuzkorni yordamga jalb qiladi. Masalan,
jabrlanuvchi bilan birga ishlovchi tajovuzkor jabrlanuvchi kompyuteridagi biror
faylini nomini o‘zgartiradi yoki boshqa katalogga ko‘chirib o‘tkazadi. Faylni yo‘q
bo‘lganini bilgan qurbon esa ushbu muammoni tezda bartaraf etishni istab qoladi.
Bu vaziyatda tajovuzkor o‘zini ushbu muammoni bartaraf etuvchi sifatida ko‘rsatadi
va qurbonning muammosini bartaraf etish bilan birga unga tegishli login/ parolni
ham qo‘lga kiritadi. Bundan tashqari, ushbu vazifasi bilan tajovuzkor tashkilot
ichida obro‘ga ega bo‘ladi va o‘z qurbonlari sonini ortishiga erishadi. Bu holatni
aniqlash esa ancha murakkab ish hisoblanadi.
Mashhur sotsial injinerlar.
Kevin Mitnik tarixdagi eng mashhur sotsial
injinerlardan biri, u dunyodagi mashhur kompyuter xakeri, xavfsizlik bo‘yicha
mutaxassis va sotsial injineriyaga asoslangan kompyuter xavfsizligiga
bag‘ishlangan ko‘plab kitoblarning ham muallifidir. Uning fikriga ko‘ra xavfsizlik
tizimini buzishdan ko‘ra, aldash yo‘li orqali parolni olish osonroq.
Aka-uka Badirlar
. Ko‘r bo‘lishlariga qaramasdan aka-uka Mushid va Shadi
Badirlar 1990 yillarda Isroilda sotsial injineriya va ovozni soxtalashtirish usullaridan
foydalangan holda bir nechta yirik firibgarlik sxemalarini amalga oshirishgan.
Televideniyaga bergan intervyusida: “faqat telefon, elektr va noutbuklardan
foydalanmaydiganlar uchun tarmoq xavfsizdir” deb aytishgan.
Dostları ilə paylaş: |