-Amaliy: Social engineering. Xujum fazalari, odamlarni ishontirish, xujum turlarini

9-Amaliy: Social engineering. Xujum fazalari, odamlarni ishontirish, xujum turlarini 
oldindan olish. 
Ijtimoiy muhandislik - bu maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni 
amalga oshirish uchun odamlarni manipulyatsiya qilish yoki aldashga asoslangan hujum turi. 
Ijtimoiy muhandislik hujumlarini aniqlash va oldini olish usullariga bir nechta misollar: 
Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: parollar, ijtimoiy xavfsizlik 
raqamlari yoki kredit karta ma'lumotlari kabi shaxsiy ma'lumotlarni so'ragan nomaqbul telefon 
qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan shubhali bo'ling. 
Kutilmagan yoki shoshilinch so'rovlardan ehtiyot bo'ling: pul o'tkazish, pul o'tkazish yoki 
dasturiy ta'minotni yuklab olish so'rovlari kabi shoshilinch ko'rinadigan so'rovlardan ehtiyot 
bo'ling. 
Bepul takliflarga shubha bilan munosabatda bo'ling: kattaroq sovringa da'vo qilish uchun 
kichik to'lovni to'lash so'rovi kabi haqiqat bo'lishi uchun juda yaxshi ko'rinadigan bepul takliflar 
yoki bitimlardan ehtiyot bo'ling. 
So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki 
shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang. 
Soxta firibgarliklardan ehtiyot bo'ling: tajovuzkorlar shaxsiy ma'lumot yoki pul olish uchun 
qonuniy tashkilot yoki shaxs nomidan o'zini namoyon qiladigan firibgarliklardan xabardor 
bo'ling. 
O'zingizni va xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar 
o'tkazib, ijtimoiy muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak. 
Fishingga qarshi dasturiy ta'minotdan foydalaning: Anti-fishing dasturi fishing elektron pochta 
xabarlarini aniqlash va blokirovka qilishga yordam beradi, shuningdek, foydalanuvchilarni 
potentsial zararli Web-saytlar haqida ogohlantirishga yordam beradi. 
Fishingdan himoya qilish uchun brauzer kengaytmasidan foydalaning: Phishing himoyasi 
uchun brauzer kengaytmasi maʼlum fishing Web-saytlarini bloklash yoki foydalanuvchilarni 
shubhali URL manzillar haqida ogohlantirish orqali foydalanuvchilarni potentsial fishing 
urinishlari haqida ogohlantirishga yordam beradi. 
Ijtimoiy muhandislik hujumlari ko'pincha odamlarni manipulyatsiya qilish yoki aldash uchun 
maxfiy ma'lumotlarni oshkor qilish yoki muayyan harakatlarni amalga oshirish uchun turli xil 
taktikalardan foydalanadi. Umumiy ijtimoiy muhandislik taktikasi va ularni aniqlash va oldini 
olish usullariga bir nechta misollar: 
Fishing: Fishing - bu bank yoki onlayn chakana sotuvchi kabi qonuniy manbadan kelgan 
elektron xatlar yoki xabarlarni yuborish va qabul qiluvchidan havolani bosish yoki shaxsiy 
ma'lumotlarni taqdim etishni so'rashni o'z ichiga olgan taktika. 
O'lja: Jabrlanuvchini aldash maqsadida, pul, mukofot yoki muhim ma'lumot kabi istalgan narsa 
haqida yolg'on va'da berishni o'z ichiga olgan taktika. 
Qo'rqinchli dastur: Qo'rqinchli dastur - bu qurbonni dasturiy ta'minot yoki xizmatlarni yuklab 
olish yoki sotib olish uchun aldash uchun qo'rquvdan foydalanishni o'z ichiga olgan taktika. 
Pretexting: Jabrlanuvchining ishonchini qozonish uchun soxta stsenariy yoki fon hikoyasini 
yaratish, so'ngra ularni nozik ma'lumotlarni taqdim etish uchun aldashni o'z ichiga olgan taktika. 
Vishing: Vishing - bu fishing urinishlari uchun telefon qo'ng'iroqlaridan foydalanish harakati 
bo'lib, bu taktika bo'lib, jabrlanuvchiga qo'ng'iroq qilish va ularni maxfiy ma'lumotlarni taqdim 
etishda aldash uchun qonuniy shaxs sifatida ko'rsatishni o'z ichiga oladi. 
Shaxsiy ma'lumotlar uchun nomaqbul so'rovlardan ehtiyot bo'ling: shaxsiy ma'lumotlarni 
so'ragan nomaqbul telefon qo'ng'iroqlari, elektron pochta xabarlari yoki matnli xabarlardan 
shubhali bo'ling. 
So‘rovchining shaxsini tasdiqlang: So‘rov kelganga o‘xshab ko‘rinadigan tashkilot yoki 
shaxsga mustaqil ravishda murojaat qilib, har doim so‘rovchining shaxsini tasdiqlang. 
Xavfsizlik dasturini yangilab turing: barcha dasturlarni, jumladan, antivirus, zararli dasturlarga 
qarshi va fishingga qarshi dasturlarni yangilab turing, shunda u zararli dasturlar yoki fishing 
urinishlarini aniqlay oladi va bloklaydi. 

Xalqaro huquqiy me’yorlar -Bitimlar, shartnomalar, litsenziyalar, patentlar, mualliflik huquqlari 
axborot xavfsizligini ta’minlashning qaysi huquqiy me’yorlari hisoblanadi.
O'zingizni va 
xodimingizni o'rgating: xodimlarga xavfsizlik bo'yicha muntazam treninglar o'tkazib, ijtimoiy 
muhandislik hujumlarini tan olish va oldini olishga o'rgatish kerak.
Ehtiyotkor va shubhali bo'ling, Ijtimoiy muhandislik - bu ko'pincha hukumatlar tomonidan 
amalga oshiriladigan, lekin ayni paytda ommaviy axborot vositalari, akademiya yoki xususiy 
guruhlar tomonidan amalga oshiriladigan - maqsadli populyatsiyada kerakli xususiyatlarni 
yaratish uchun keng miqyosda muayyan munosabatlar va ijtimoiy xatti-harakatlarga ta'sir qilish 
uchun yuqoridan pastga harakatdir. Ijtimoiy muhandislikni falsafiy jihatdan yangi ijtimoiy 
qurilish me'morlarining niyatlari va maqsadlari amalga oshiriladigan deterministik hodisa 
sifatida ham tushunish mumkin. Ba'zi ijtimoiy muhandislar inson sub'ektlarida kerakli natijalarga 
erishish uchun tegishli usullarni ishlab chiqish uchun ijtimoiy tizimlarni tahlil qilish va tushunish 
uchun ilmiy usuldan foydalanadilar. 
Insonlar xato qiladilar. Bu butun dunyo bo'ylab kiberxavfsizlik bo'yicha mutaxassislar duch 
keladigan eng muhim kurashlardan biridir. Murakkab xavfsizlik vositalari mavjud bo'lsa ham, 
odamlar zaif bo'g'indir. Kiberaktorlar ushbu zaiflikdan foydalanib, hisob ma'lumotlari va boshqa 
maxfiy ma'lumotlarni oshkor qilish uchun odamlarni manipulyatsiya qiladilar. 
Biz hammamiz xatoga yo'l qo'yishimiz haqiqat bo'lsa-da, biz bu hujumchilardan oldinda 
bo'lish uchun ular turli xil firibgarlik va hiyla-nayranglarni aniqlash va rad etish uchun harakat 
qilishimiz mumkin. Ijtimoiy muhandislikning maqsadi bo'lishning oldini olishning eng yaxshi 
usuli bu uning qanday ishlashini tushunishdir. 
Ijtimoiy muhandislik qanday ishlashiga o'tishdan oldin, keling, ijtimoiy muhandislik ta'rifi 
haqida gapiraylik. 
Boshqa kibertahdidlar singari, ijtimoiy muhandislik hujumlari ham turli shakllarda bo'ladi. 
Ularning qanday ishlashini tushunish ularning xavflarini kamaytirishning eng yaxshi usuli 
hisoblanadi. Ijtimoiy muhandis inson zaifligidan foydalanishning bir necha yo'li mavjud. 
Kiberaktyor sizni aldab eshikni ochiq qoldirishi yoki tarmoq resurslaringizni fosh qiladigan 
zararli kontentni yuklab olishi mumkin. Muvaffaqiyatli ijtimoiy muhandislik hujumi uchun 
to'rtta qadam mavjud: 
Tayyorgarlik: Ushbu bosqichda ijtimoiy muhandislar o'zlarining maqsadlari haqida ma'lumot 
to'plashadi. Ijtimoiy tarmoqlar, qo'ng'iroqlar, elektron pochta va matnli xabarlar - bularning 
barchasi umumiy yo'llardir. 
Infiltratsiya: Infiltratsiya bosqichida kiberjinoyatchilar o'zlarini autentifikatsiya qilish uchun 
qurbonlar to'g'risida to'plangan ma'lumotlardan foydalangan holda qonuniy manbalar sifatida o'z 
maqsadlariga yaqinlashadilar. 
Ekspluatatsiya: Bu yerda tajovuzkorlar foydalanuvchilarni hisob ma’lumotlari, hisob 
ma’lumotlari, aloqa ma’lumotlari, to‘lov usullari va boshqalar kabi maxfiy ma’lumotlarni ochib 
berish uchun manipulyatsiya qiladilar, ular hujumlarni amalga oshirishda foydalanishi mumkin. 
O'chirish: Ushbu yakuniy bosqichda ijtimoiy muhandis yoki kiberaktyor jabrlanuvchi bilan 
aloqani to'xtatadi, hujumni amalga oshiradi va yo'qoladi. 
Bunday fitnani amalga oshirish uchun zarur bo'lgan vaqt ijtimoiy muhandislik hujumining 
darajasiga bog'liq - u bir necha kun yoki hatto oylar davom etishi mumkin. Nima bo'lishidan 
qat'iy nazar, ijtimoiy muhandislar nimani xohlashlarini va ular qo'llaydigan taktikalarni bilish 
ijtimoiy muhandislikning oldini olishning ajoyib usuli hisoblanadi. 
E'tibor berish kerak bo'lgan ijtimoiy muhandislik taktikasi 
Ijtimoiy muhandislar o'zlarining ayyor maqsadlariga erishish uchun foydalanadigan bir nechta 
manipulyatsiya taktikasi mavjud. Sizning nozik ma'lumotlaringiz noto'g'ri qo'llarga tushishining 
oldini olish uchun ushbu usullarni aniqlash juda muhimdir. Quyida ijtimoiy muhandis 
hujumchilar tomonidan qo'llaniladigan ba'zi taktikalar keltirilgan: 

Hissiy darajada bog'lanish - Odamlar hissiy mavjudotlar va odamlar ta'sirli hikoyalarni aytib 
berishganda, ular achinadilar. Ijtimoiy muhandislar ko'pincha qurbonlarni qimmatli 
ma'lumotlarni oshkor qilishga ishontirish uchun hikoyalar yoki stsenariylarni yaratadilar. 
Sizni aldashi mumkin bo'lgan mulohazalardan foydalanish - "Men binoga kirishim kerak, 
chunki Jon bilan uchrashishim kerak." Avvaliga bu asosli sababga o'xshaydi, to'g'rimi? Ammo 
o'ylab ko'ring: bu hech narsani anglatmaydi - agar odam binoga kirishga ruxsat berilmasa, Jon 
bilan uchrashganini tushuntirish yolg'ondir. "Chunki" so'zi uni sabab to'g'ri deb ko'rsatadi. 
Sovg'a va ne'matlar - Har bir inson sovg'alarni yaxshi ko'radi va mehribonlikni qaytarishga 
harakat qilish insoniy tabiatdir. Buzg'unchilar maxfiy ma'lumotlarga kirish yoki ofis binosiga 
kirish uchun undan foydalanishlari mumkin. Esingizda bo'lsin: bepul narsalar har doim o'ljaning 
bir qismidir. 
O'zaro munosabat va yoqtirish - Ijtimoiy muhandislar yoqimli ko'rinish uchun qo'llaridan 
kelganini qiladilar. Jabrlanuvchi bilan bu jihatni yoritib bo'lgach, ularning "mehribonligi" ni 
qaytarish uchun nishonga olish ancha oson bo'ladi. 
Majburiyat va izchillik - Odamlar har doim munosabatlarga sodiqligini ko'rsatishni xohlashadi. 
Ijtimoiy muhandislar bu inson tabiatidan kichik majburiyatlar yaratish orqali foydalanishlari 
mumkin (ishqiy bo'lishi shart emas). Hatto ismingizni aytish ham izchillik uchun tetik sifatida 
qabul qilinishi mumkin. 
Vakolat va ijtimoiy dalil - Har bir insonning o'ziga qaraydigan odami bor. Agar go'zallik 
bloggeri ko'z kremi yordam beradi desa, siz uni sotib olasiz, to'g'rimi? Boshqa tomondan, 
Internetda ko'p odamlar tegishlilik tuyg'usini izlaydilar. Kiberjinoyatchilar ushbu zaifliklarni tan 
olganlaridan so'ng, jabrlanuvchining ko'z o'ngida o'zini namoyon qilish uchun ikkalasidan ham 
foydalanishlari mumkin. 
Tanqislik va shoshilinchlik - Ijtimoiy muhandislar shoshilinchlik tuyg'usini yaratadilar, shunda 
qurbonlar narsalarni o'ylab ko'rishga vaqtlari qolmaydi. Shoshilinch harakatni amalga 
oshirishingizni so'rab elektron xat olsangiz, vaziyatni diqqat bilan tahlil qilganingiz ma'qul.
Har qanday harakatni amalga oshirishdan oldin tegishli organdan tasdiqlashingiz mumkin. 
Ijtimoiy muhandislik hujumlarini qanday oldini olish mumkin 
Ijtimoiy muhandislik har kim bilan sodir bo'lishi mumkin va har bir kishi ijtimoiy muhandislik 
firibgarliklaridan qanday qochishni o'rganishi kerak. Biroq, bu biznes xavfsizligi uchun ham 
jiddiy xavf tug'diradi. Kiberxavfsizlik rejangizning asosiy komponenti sifatida ijtimoiy 
muhandislikning oldini olish usullariga ustuvor ahamiyat berish juda muhimdir. 
Tashkilotlar murakkab xavfsizlik vositalari, protokollar va xodimlar va rahbarlar uchun 
muntazam ravishda kiber xabardorlik bo'yicha treninglarni birlashtirgan yaxlit yondashuvni 
qo'llashlari kerak. Quyida ijtimoiy muhandislik xavflariga qarshi turish uchun amalga 
oshirishingiz mumkin bo'lgan chora-tadbirlar keltirilgan. 
Xavfsizlik siyosati va protokollari 
Xavfsizlik siyosati va protokollari kiberxavfsizlik rejangizning ajralmas qismi bo'lishi kerak. 
Ushbu chora-tadbirlar xodimlaringizga elektron pochta, mobil qurilmalar va parollar kabi 
tashkilot resurslariga qanday qilib xavfsiz kirish va ulardan foydalanishni aytib beradi. Bu erda 
ko'rib chiqishga arziydigan ba'zi jihatlar mavjud: 

Yüklə 1,35 Mb.

Dostları ilə paylaş: