9-Amaliy: Social engineering. Xujum fazalari, odamlarni ishontirish, xujum turlarini
oldindan olish.
Ijtimoiy muhandislik - bu maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni
amalga oshirish uchun odamlarni manipulyatsiya qilish yoki aldashga asoslangan hujum turi.
Ijtimoiy muhandislik hujumlarini aniqlash va oldini olish usullariga bir nechta misollar:
Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: parollar, ijtimoiy xavfsizlik
raqamlari yoki kredit karta ma'lumotlari kabi shaxsiy ma'lumotlarni so'ragan nomaqbul telefon
qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan shubhali bo'ling.
Kutilmagan yoki shoshilinch so'rovlardan ehtiyot bo'ling: pul o'tkazish, pul o'tkazish yoki
dasturiy ta'minotni yuklab olish so'rovlari kabi shoshilinch ko'rinadigan so'rovlardan ehtiyot
bo'ling.
Bepul takliflarga shubha bilan munosabatda bo'ling: kattaroq sovringa da'vo qilish uchun
kichik to'lovni to'lash so'rovi kabi haqiqat bo'lishi uchun juda yaxshi ko'rinadigan bepul takliflar
yoki bitimlardan ehtiyot bo'ling.
So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki
shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang.
Soxta firibgarliklardan ehtiyot bo'ling: tajovuzkorlar shaxsiy ma'lumot yoki pul olish uchun
qonuniy tashkilot yoki shaxs nomidan o'zini namoyon qiladigan firibgarliklardan xabardor
bo'ling.
O'zingizni va xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar
o'tkazib, ijtimoiy muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak.
Fishingga qarshi dasturiy ta'minotdan foydalaning: Anti-fishing dasturi fishing elektron pochta
xabarlarini aniqlash va blokirovka qilishga yordam beradi, shuningdek, foydalanuvchilarni
potentsial zararli Web-saytlar haqida ogohlantirishga yordam beradi.
Fishingdan himoya qilish uchun brauzer kengaytmasidan foydalaning: Phishing himoyasi
uchun brauzer kengaytmasi maʼlum fishing Web-saytlarini bloklash yoki foydalanuvchilarni
shubhali URL manzillar haqida ogohlantirish orqali foydalanuvchilarni potentsial fishing
urinishlari haqida ogohlantirishga yordam beradi.
Ijtimoiy muhandislik hujumlari ko'pincha odamlarni manipulyatsiya qilish yoki aldash uchun
maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni amalga oshirish uchun turli xil
taktikalardan foydalanadi. Umumiy ijtimoiy muhandislik taktikasi va ularni aniqlash va oldini
olish usullariga bir nechta misollar:
Fishing: Fishing - bu bank yoki onlayn chakana sotuvchi kabi qonuniy manbadan kelgan
elektron xatlar yoki xabarlarni yuborish va qabul qiluvchidan havolani bosish yoki shaxsiy
ma'lumotlarni taqdim etishni so'rashni o'z ichiga olgan taktika.
O'lja: Jabrlanuvchini aldash maqsadida, pul, mukofot yoki muhim ma'lumot kabi istalgan narsa
haqida yolg'on va'da berishni o'z ichiga olgan taktika.
Qo'rqinchli dastur: Qo'rqinchli dastur - bu qurbonni dasturiy ta'minot yoki xizmatlarni yuklab
olish yoki sotib olish uchun aldash uchun qo'rquvdan foydalanishni o'z ichiga olgan taktika.
Pretexting: Jabrlanuvchining ishonchini qozonish uchun soxta stsenariy yoki fon hikoyasini
yaratish, so'ngra ularni nozik ma'lumotlarni taqdim etish uchun aldashni o'z ichiga olgan taktika.
Vishing: Vishing - bu fishing urinishlari uchun telefon qo'ng'iroqlaridan foydalanish harakati
bo'lib, bu taktika bo'lib, jabrlanuvchiga qo'ng'iroq qilish va ularni maxfiy ma'lumotlarni taqdim
etishda aldash uchun qonuniy shaxs sifatida ko'rsatishni o'z ichiga oladi.
Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: shaxsiy ma'lumotlarni
so'ragan nomaqbul telefon qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan
shubhali bo'ling.
So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki
shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang.
Xavfsizlik dasturini yangilab turing: barcha dasturlarni, jumladan, antivirus, zararli dasturlarga
qarshi va fishingga qarshi dasturlarni yangilab turing, shunda u zararli dasturlar yoki fishing
urinishlarini aniqlay oladi va bloklaydi.
Xalqaro huquqiy me’yorlar -Bitimlar, shartnomalar, litsenziyalar, patentlar, mualliflik huquqlari
axborot xavfsizligini ta’minlashning qaysi huquqiy me’yorlari hisoblanadi.
O'zingizni va
xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar o'tkazib, ijtimoiy
muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak.
Ehtiyotkor va shubhali bo'ling, Ijtimoiy muhandislik - bu ko'pincha hukumatlar tomonidan
amalga oshiriladigan, lekin ayni paytda ommaviy axborot vositalari, akademiya yoki xususiy
guruhlar tomonidan amalga oshiriladigan - maqsadli populyatsiyada kerakli xususiyatlarni
yaratish uchun keng miqyosda muayyan munosabatlar va ijtimoiy xatti-harakatlarga ta'sir qilish
uchun yuqoridan pastga harakatdir. Ijtimoiy muhandislikni falsafiy jihatdan yangi ijtimoiy
qurilish me'morlarining niyatlari va maqsadlari amalga oshiriladigan deterministik hodisa
sifatida ham tushunish mumkin. Ba'zi ijtimoiy muhandislar inson sub'ektlarida kerakli natijalarga
erishish uchun tegishli usullarni ishlab chiqish uchun ijtimoiy tizimlarni tahlil qilish va tushunish
uchun ilmiy usuldan foydalanadilar.
Insonlar xato qiladilar. Bu butun dunyo bo'ylab kiberxavfsizlik bo'yicha mutaxassislar duch
keladigan eng muhim kurashlardan biridir. Murakkab xavfsizlik vositalari mavjud bo'lsa ham,
odamlar zaif bo'g'indir. Kiberaktorlar ushbu zaiflikdan foydalanib, hisob ma'lumotlari va boshqa
maxfiy ma'lumotlarni oshkor qilish uchun odamlarni manipulyatsiya qiladilar.
Biz hammamiz xatoga yo'l qo'yishimiz haqiqat bo'lsa-da, biz bu hujumchilardan oldinda
bo'lish uchun ular turli xil firibgarlik va hiyla-nayranglarni aniqlash va rad etish uchun harakat
qilishimiz mumkin. Ijtimoiy muhandislikning maqsadi bo'lishning oldini olishning eng yaxshi
usuli bu uning qanday ishlashini tushunishdir.
Ijtimoiy muhandislik qanday ishlashiga o'tishdan oldin, keling, ijtimoiy muhandislik ta'rifi
haqida gapiraylik.
Boshqa kibertahdidlar singari, ijtimoiy muhandislik hujumlari ham turli shakllarda bo'ladi.
Ularning qanday ishlashini tushunish ularning xavflarini kamaytirishning eng yaxshi usuli
hisoblanadi. Ijtimoiy muhandis inson zaifligidan foydalanishning bir necha yo'li mavjud.
Kiberaktyor sizni aldab eshikni ochiq qoldirishi yoki tarmoq resurslaringizni fosh qiladigan
zararli kontentni yuklab olishi mumkin. Muvaffaqiyatli ijtimoiy muhandislik hujumi uchun
to'rtta qadam mavjud:
Tayyorgarlik: Ushbu bosqichda ijtimoiy muhandislar o'zlarining maqsadlari haqida ma'lumot
to'plashadi. Ijtimoiy tarmoqlar, qo'ng'iroqlar, elektron pochta va matnli xabarlar - bularning
barchasi umumiy yo'llardir.
Infiltratsiya: Infiltratsiya bosqichida kiberjinoyatchilar o'zlarini autentifikatsiya qilish uchun
qurbonlar to'g'risida to'plangan ma'lumotlardan foydalangan holda qonuniy manbalar sifatida o'z
maqsadlariga yaqinlashadilar.
Ekspluatatsiya: Bu yerda tajovuzkorlar foydalanuvchilarni hisob ma’lumotlari, hisob
ma’lumotlari, aloqa ma’lumotlari, to‘lov usullari va boshqalar kabi maxfiy ma’lumotlarni ochib
berish uchun manipulyatsiya qiladilar, ular hujumlarni amalga oshirishda foydalanishi mumkin.
O'chirish: Ushbu yakuniy bosqichda ijtimoiy muhandis yoki kiberaktyor jabrlanuvchi bilan
aloqani to'xtatadi, hujumni amalga oshiradi va yo'qoladi.
Bunday fitnani amalga oshirish uchun zarur bo'lgan vaqt ijtimoiy muhandislik hujumining
darajasiga bog'liq - u bir necha kun yoki hatto oylar davom etishi mumkin. Nima bo'lishidan
qat'iy nazar, ijtimoiy muhandislar nimani xohlashlarini va ular qo'llaydigan taktikalarni bilish
ijtimoiy muhandislikning oldini olishning ajoyib usuli hisoblanadi.
E'tibor berish kerak bo'lgan ijtimoiy muhandislik taktikasi
Ijtimoiy muhandislar o'zlarining ayyor maqsadlariga erishish uchun foydalanadigan bir nechta
manipulyatsiya taktikasi mavjud. Sizning nozik ma'lumotlaringiz noto'g'ri qo'llarga tushishining
oldini olish uchun ushbu usullarni aniqlash juda muhimdir. Quyida ijtimoiy muhandis
hujumchilar tomonidan qo'llaniladigan ba'zi taktikalar keltirilgan:
Hissiy darajada bog'lanish - Odamlar hissiy mavjudotlar va odamlar ta'sirli hikoyalarni aytib
berishganda, ular achinadilar. Ijtimoiy muhandislar ko'pincha qurbonlarni qimmatli
ma'lumotlarni oshkor qilishga ishontirish uchun hikoyalar yoki stsenariylarni yaratadilar.
Sizni aldashi mumkin bo'lgan mulohazalardan foydalanish - "Men binoga kirishim kerak,
chunki Jon bilan uchrashishim kerak." Avvaliga bu asosli sababga o'xshaydi, to'g'rimi? Ammo
o'ylab ko'ring: bu hech narsani anglatmaydi - agar odam binoga kirishga ruxsat berilmasa, Jon
bilan uchrashganini tushuntirish yolg'ondir. "Chunki" so'zi uni sabab to'g'ri deb ko'rsatadi.
Sovg'a va ne'matlar - Har bir inson sovg'alarni yaxshi ko'radi va mehribonlikni qaytarishga
harakat qilish insoniy tabiatdir. Buzg'unchilar maxfiy ma'lumotlarga kirish yoki ofis binosiga
kirish uchun undan foydalanishlari mumkin. Esingizda bo'lsin: bepul narsalar har doim o'ljaning
bir qismidir.
O'zaro munosabat va yoqtirish - Ijtimoiy muhandislar yoqimli ko'rinish uchun qo'llaridan
kelganini qiladilar. Jabrlanuvchi bilan bu jihatni yoritib bo'lgach, ularning "mehribonligi" ni
qaytarish uchun nishonga olish ancha oson bo'ladi.
Majburiyat va izchillik - Odamlar har doim munosabatlarga sodiqligini ko'rsatishni xohlashadi.
Ijtimoiy muhandislar bu inson tabiatidan kichik majburiyatlar yaratish orqali foydalanishlari
mumkin (ishqiy bo'lishi shart emas). Hatto ismingizni aytish ham izchillik uchun tetik sifatida
qabul qilinishi mumkin.
Vakolat va ijtimoiy dalil - Har bir insonning o'ziga qaraydigan odami bor. Agar go'zallik
bloggeri ko'z kremi yordam beradi desa, siz uni sotib olasiz, to'g'rimi? Boshqa tomondan,
Internetda ko'p odamlar tegishlilik tuyg'usini izlaydilar. Kiberjinoyatchilar ushbu zaifliklarni tan
olganlaridan so'ng, jabrlanuvchining ko'z o'ngida o'zini namoyon qilish uchun ikkalasidan ham
foydalanishlari mumkin.
Tanqislik va shoshilinchlik - Ijtimoiy muhandislar shoshilinchlik tuyg'usini yaratadilar, shunda
qurbonlar narsalarni o'ylab ko'rishga vaqtlari qolmaydi. Shoshilinch harakatni amalga
oshirishingizni so'rab elektron xat olsangiz, vaziyatni diqqat bilan tahlil qilganingiz ma'qul.
Har qanday harakatni amalga oshirishdan oldin tegishli organdan tasdiqlashingiz mumkin.
Ijtimoiy muhandislik hujumlarini qanday oldini olish mumkin
Ijtimoiy muhandislik har kim bilan sodir bo'lishi mumkin va har bir kishi ijtimoiy muhandislik
firibgarliklaridan qanday qochishni o'rganishi kerak. Biroq, bu biznes xavfsizligi uchun ham
jiddiy xavf tug'diradi. Kiberxavfsizlik rejangizning asosiy komponenti sifatida ijtimoiy
muhandislikning oldini olish usullariga ustuvor ahamiyat berish juda muhimdir.
Tashkilotlar murakkab xavfsizlik vositalari, protokollar va xodimlar va rahbarlar uchun
muntazam ravishda kiber xabardorlik bo'yicha treninglarni birlashtirgan yaxlit yondashuvni
qo'llashlari kerak. Quyida ijtimoiy muhandislik xavflariga qarshi turish uchun amalga
oshirishingiz mumkin bo'lgan chora-tadbirlar keltirilgan.
Xavfsizlik siyosati va protokollari
Xavfsizlik siyosati va protokollari kiberxavfsizlik rejangizning ajralmas qismi bo'lishi kerak.
Ushbu chora-tadbirlar xodimlaringizga elektron pochta, mobil qurilmalar va parollar kabi
tashkilot resurslariga qanday qilib xavfsiz kirish va ulardan foydalanishni aytib beradi. Bu erda
ko'rib chiqishga arziydigan ba'zi jihatlar mavjud:
Dostları ilə paylaş: |