O‘zbekiston respublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari fanidan Mustaqil ish
Ijtimoiy Muhandislik Hujumlarining Umumiy Turlari
Yüklə 70,58 Kb.
|
2.Ijtimoiy Muhandislik Hujumlarining Umumiy TurlariIjtimoiy muhandislikda qo‘llaniladigan odatiy usullarni o‘rganish o‘zingizni ijtimoiy muhandislik hujumidan himoya qilishning eng katta strategiyalaridan biridir. Hozirgi vaqtda ijtimoiy muhandislik odatda onlaynda, shu jumladan ijtimoiy media firibgarlari orqali, tajovuzkorlar ishonchli manba yoki yuqori martabali mansabdor shaxs sifatida qurbonlarni aldab, maxfiy ma’lumotlarni oshkor qilish orqali sodir bo‘ladi. Mana, boshqa keng tarqalgan ijtimoiy muhandislik hujumlari: 1-rasm. Preteksting turlari Preteksting - bu kiberhujum usuli bo‘lib, unda firibgar biror bahona yordamida jabrlanuvchining e’tiborini jalb qiladi va ularni ma’lumotni oshkor qilishga majbur qiladi. Misol uchun, zararsizdek ko‘rinadigan onlayn so‘rov paytida sizdan bank hisobingiz ma’lumotlarini so‘rashi mumkin.Ushbu hujum turlari(1-rasm): 2-rasm. Fishing kishi malumotlarining qarmoqqa ilinishi Fishing - bu ijtimoiy muhandislik yondashuvining bir turi bo‘lib, unda aloqa ishonchli manbadan ko‘rinishi uchun yashiringan.Unda jinoyatchi maxfiy ma’lumotlarni tortib olish uchun jabrlanuvchining ishonchini qozonishga urinadi. Shuningdek firibgarlar, ma’lumotlarni olish uchun shoshilinchlik hissi yaratadilar yoki qo‘rqitish taktikalaridan foydalanadilar. Fishing hujumida siz ishonchliday ko‘rinadigan manbadan ma’lumotlaringiz so‘ralgan elektron pochta yoki xabar olasiz.(2-rasm) Ko‘pincha elektron pochta xabarlari bo‘lgan ushbu xabarlar shaxsiy yoki moliyaviy ma’lumotlarni oshkor qilishda qurbonlarni aldashga qaratilgan. Axir, nega biz bilgan do‘stimiz, oila a’zomiz yoki kompaniyamizdan kelgan elektron pochtaning qonuniyligiga shubha qilishimiz kerak? Firibgarlar bu ishonchdan foydalanadilar. 3-rasm.Vishing - shaxsga telefon qilib aldash Vishing - bu fishing hujumining murakkab turi. U "ovozli fishing" sifatida ham tanilgan. Bunday tajovuzlarda telefon raqami ko‘pincha haqiqiy ko‘rinishda soxtalashtiriladi - tajovuzkorlar o‘zlarini IT xodimlari, hamkasblar yoki bankirlar sifatida ko‘rsatishi mumkin.(3-rasm) Ba’zi tajovuzkorlar o‘zlarining shaxsiy ma’lumotlarini ko‘proq yashirish uchun ovoz o‘zgartiruvchilardan foydalanishlari mumkin. 4-rasm. Nayza Fishingga tushmaslikni 7usuli Yirik kompaniyalar yoki alohida odamlar nayza phishing, ijtimoiy muhandislik hujumining nishoni hisoblanadi. Fishing hujumlarining maqsadi kuchli shaxslar yoki biznes rahbarlari va jamoat arboblari kabi kichik guruhlardir. Ijtimoiy muhandislik hujumining bu shakli ko‘pincha yaxshi o‘rganiladi va aldamchi tarzda kamuflyajlanadi, bu esa uni aniqlashni qiyinlashtiradi. Kit Ovlash.(whaling) Favqulodda natijalarga olib keladigan eng jasur fishing urinishlaridan biri bu kit ovidir. Ushbu turdagi ijtimoiy muhandislik hujumining odatiy maqsadi bitta, yuqori baholi shaxsdir. "Bosh direktor firibgarligi" atamasi ba’zan kit ovini tasvirlash uchun ishlatiladi, bu sizga maqsadni ko‘rsatadi. Ular ishbilarmonlik uchun mos nutq ohangini samarali qabul qilganliklari va insayder soha bilimlaridan o‘z manfaati uchun foydalanganlari sababli, kit ovlash hujumlarini boshqa fishing hujumlariga qaraganda aniqlash qiyinroq. 5-rasm. Fishing Spear fishing va Whalingni tasniflari SMS yuborishdan oldin bahona - bu firibgarlar o‘z qurbonlarini aldash uchun ishlatadigan noto‘g‘ri holat yoki "bahona" to‘qish jarayoni bajariladi. Oflayn yoki onlayn sodir bo‘lishi mumkin bo‘lgan tajovuzlarni oldindan aytib berish, ya’ni tahdid qilish eng muvaffaqiyatli ijtimoiy muhandislik usullaridan biridir, chunki tajovuzkorlar o‘zlarini ishonchli ko‘rsatish uchun ko‘p kuch sarflaydilar. Notanish odamlarga shaxsiy ma’lumotlarni oshkor qilishda ehtiyot bo‘ling, chunki bahonaning yolg‘onligini aniqlash qiyin bo‘lishi mumkin. Ijtimoiy muhandislik tashabbusini istisno qilish uchun, kimdir sizga favqulodda ehtiyoj haqida telefon qilsa, to‘g‘ridan-to‘g‘ri kompaniya bilan bog‘laning. 6-rasm. Smishing orqali sms yordamida yolg ‘on tabriklar Smishing(chekish) - bu aloqa vositasi sifatida matnli (SMS) xabarlardan foydalanadigan fishing hujumi. Zararli URL manzillarini bosish yoki bog‘lanish uchun telefon raqamlarini taqdim etish orqali bu hujumlar odatda qurbonlaridan tezkor choralar ko‘rishni talab qiladi.(5-rasm) Jabrlanuvchilardan tez-tez tajovuzkorlar ularga qarshi foydalanishi mumkin bo‘lgan shaxsiy ma’lumotlarni taqdim etish so‘raladi. Jabrlanuvchilarni tezkor harakat qilishga va hujumga moyil bo‘lishga ko‘ndirish uchun, quvnoq hujumlar tez-tez shoshilinchlik tuyg‘usini aks ettiradi. Scarythings.Qo‘rqinchli dastur (scareware) deb tanilgan ushbu ijtimoiy muhandislik taktikasi odamlarni "muammo" ni tezda hal qilishni ta'minlaydigan dasturiy ta'minot uchun pul to'lashga qo‘rqitishga qaratilgan. Biroq, muammoni hal qilish o‘rniga, qo‘rqinchli dastur foydalanuvchining shaxsiy ma'lumotlarini o'z qurilmasidan o'g'irlash uchun dasturlashtirilgan zararli dasturlarni o'z ichiga oladi. Qo‘rqinchli dasturiy ta’minot odatda sizning noutbukingizdan kompyuter infektsiyasini yo‘q qilishda sizga yordam beradigan qalqib chiquvchi oynalar sifatida namoyon bo‘ladi. Qalqib chiquvchi oynani bosish orqali siz beixtiyor boshqa zararli dasturlarni o‘rnatishingiz yoki xavfli veb-saytga yuborilishingiz mumkin. Agar sizda qo‘rqinchli dastur yoki boshqa intruziv qalqib chiquvchi oyna bor deb hisoblasangiz, kompyuteringizni tez-tez skanerlash uchun ishonchli virusni yo‘q qilish dasturidan foydalaning. Raqamli gigiena uchun qurilmangizni xavf-xatarlarga nisbatan vaqti-vaqti bilan tekshirish muhim. Shuningdek, u kelajakdagi ijtimoiy muhandislik hujumlarining oldini olish orqali shaxsiy ma’lumotlaringizni himoya qilishga yordam berishi mumkin. Bait. Ijtimoiy muhandislik hujumlari ham oflayn rejimda boshlanishi mumkin; ular onlayn tarzda ishga tushirilishi shart emas. 7-rasm. Baiting ishlash prinsipi Baiting - bu tajovuzkorning zararli dastur bilan zararlangan ob’ektni, masalan, USB drayveri topilishi mumkin bo‘lgan joyda qoldirish amaliyotidir. Ushbu qurilmalar ko‘pincha qiziqish uyg‘otish uchun ataylab markalanadi. Qiziquvchanlik yoki ochko‘zlik tufayli gadjetni olib, o‘z kompyuteriga joylashtirgan foydalanuvchi o‘sha mashinaga beixtiyor virusni yuqtirish xavfini tug‘diradi. Quid Pro Quo.Lotin tili "biror narsa uchun" degan ma’noni anglatadi, bu holda u jabrlanuvchining hamkorlik evaziga mukofot olishini anglatadi. Hackerlar IT yordamchisi sifatida o‘zini tutishi ajoyib misoldir. Ular firmada iloji boricha ko‘proq xodimlarga qo‘ng‘iroq qilishadi va oddiy echimga ega bo‘lishni da’vo qilishadi va "siz faqat antivirusni o‘chirib qo‘yishingiz kerak" deb qo‘shadilar. Bunga berilib ketgan har bir kishining kompyuterida to‘lov dasturi yoki boshqa viruslar o‘rnatilgan. Tailgating, shuningdek, piggybacking sifatida ham tanilgan, xaker himoyalangan binoga tegishli kirish kartasidan foydalangan holda shaxsni kuzatib borganida sodir bo‘ladi. Ushbu hujumni amalga oshirish uchun binoga kirishga ruxsat olgan kishi, orqasidan kelayotgan odam uchun eshikni ochiq ushlab turish uchun etarlicha e’tiborli bo‘lishi taxmin qilinadi. Yüklə 70,58 Kb. Dostları ilə paylaş:
|