Kontent qismiga oʻtish

Ijtimoiy muhandislik (xavfsizlik)

Vikipediya, ochiq ensiklopediya
Definition of Social Engineering in Laymanʼs Terms
OPSEC ogohlantirishi

Axborot xavfsizligi kontekstida ijtimoiy muhandislik — bu odamlarga nisbatan biror xatti-harakatni amalga oshirish yoki maxfiy maʼlumotlarni oshkor qilish maʼnosidagi psixologikmanipulyatsiya. Maʼlumot toʻplash, firibgarlik yoki maʼlum bir tizimga kirish maqsadida amalga oshiriladigan ishonch hiylasining bir turi boʻlgan ijtimoiy muhandislik anʼanaviy „con“ dan farq qiladi, chunki u koʻpincha murakkabroq firibgarlik sxemasining koʻp bosqichlaridan biri hisoblanadi[1]. Shuningdek, u „shaxsning manfaatlariga mos keladigan yoki aksincha boʻlishi mumkin boʻlgan harakatni amalga oshirishga taʼsir qiluvchi har qanday harakat“ deb taʼriflangan[2].

Ijtimoiy muhandislikka misol sifatida loginni talab qiladigan koʻpgina veb-saytlarda „parolni unutdingizmi“ funksiyasidan foydalanishni misol qilib keltirish mumkin. Notoʻgʻri himoyalangan parolni tiklash tizimi zararli tajovuzkorga foydalanuvchining hisobiga toʻliq kirish huquqini berish uchun ishlatilishga sabab boʻlib qolishi mumkin, bunda ayni paytda asl foydalanuvchi hisobga kirish huquqini yoʻqotadi.

Axborot xavfsizligi madaniyati

[tahrir | manbasini tahrirlash]

Xodimlarning xatti-harakati tashkilotlardagi axborot xavfsizligiga katta taʼsir koʻrsatishi mumkin. Madaniy tushunchalar tashkilotning turli segmentlariga samarali ishlashda yordam beradi yoki tashkilot ichidagi axborot xavfsizligini taʼminlash samaradorligiga qarshi ishlaydi. „Tashkilot madaniyati va axborot xavfsizligi madaniyati oʻrtasidagi munosabatlarni oʻrganish“ axborot xavfsizligi madaniyatining quyidagi taʼrifini beradi: „ISC — bu tashkilotdagi barcha turdagi maʼlumotlarni himoya qilishga hissa qoʻshadigan xatti-harakatlar namunalarining yigʻindisi“[3].

Andersson and Reimers (2014) shuni aniqladilarki, xodimlar koʻpincha oʻzlarini tashkilotning „axborot xavfsizligi“ tuzilmasining bir qismi sifatida koʻrmaydilar va tashkilotning axborot xavfsizligi manfaatlarini eʼtiborsiz qoldiradigan yoki xavfga qoʻyadigan xatti-harakatlarga yoʻl qoʻyadilar[4].

Tadqiqotlar shuni koʻrsatadiki, axborot xavfsizligi madaniyati doimiy ravishda takomillashtirilishi kerak. „Information Security Culture from Analysis to Change“ asari mualliflari bu hech qachon tugamaydigan jarayon, baholash, oʻzgartirish yoki texnik xizmat koʻrsatish sikli" deb izoh berishgan. Ular axborot xavfsizligi madaniyatini boshqarish uchun beshta qadamni bajarish kerakligini taklif qiladilar: oldindan baholash, strategik rejalashtirish, operativ rejalashtirish, amalga oshirish va keyingi baholash[5].

  • Oldindan baholash: xodimlarning axborot xavfsizligidan xabardorligini aniqlash va joriy xavfsizlik siyosatini tahlil qilish.
  • Strategik rejalashtirish: yaxshiroq xabardorlik dasturini ishlab chiqish uchun aniq maqsadlar belgilanishi kerak. Bunga erishish uchun odamlarni klasterlash foydalidir.
  • Operativ rejalashtirish: ichki aloqa, boshqaruvni sotib olish. Xavfsizlikni bilish va oʻqitish dasturiga asoslangan yaxshi xavfsizlik madaniyatini oʻrnatish[5].
  • Amalga oshirish: axborot xavfsizligi madaniyatini joriy qilish uchun toʻrt bosqichdan foydalanish kerak. Bular rahbariyatning majburiyatlari, tashkilot aʼzolari bilan muloqot, barcha tashkilot aʼzolari uchun kurslar va xodimlarning majburiyatlari[5].

Texnikalar va atamalar

[tahrir | manbasini tahrirlash]

Barcha ijtimoiy muhandislik texnikasi kognitiv tarafkashlik deb ataladigan inson qarorlarini qabul qilishning oʻziga xos xususiyatlariga asoslanadi[6][7]. Baʼzan „inson apparatidagi xatolar“ deb ataladigan bu notoʻgʻri fikrlar hujum usullarini yaratish uchun turli kombinatsiyalarda qoʻllanadi, ulardan baʼzilari quyida keltirilgan. Ijtimoiy muhandislikda qoʻllanadigan hujumlar xodimlarning maxfiy maʼlumotlarini oʻgʻirlash uchun ishlatilishi mumkin. Ijtimoiy muhandislikning eng keng tarqalgan turi telefon orqali amalga oshiriladi. Bunday hujumlarning boshqa misollari — oʻzini oʻldiradigan kishi, oʻt oʻchiruvchi va texnik xodim qiyofasiga kirgan jinoyatchilar kompaniya sirlarini oʻgʻirlash nuqtai nazaridan deyarli eʼtiborga olinmaydi.

Ijtimoiy muhandislikning bir misoli — binoga kirib, kompaniya byulleteniga yordam boʻlimining raqami oʻzgarganligi haqida rasmiy koʻrinishdagi eʼlonni joylashtirgan shaxs hodisasi. Shunday qilib, xodimlar yordamga qoʻngʻiroq qilganda, shaxs ulardan parollari va identifikatorlarini soʻraydi, shu bilan kompaniyaning shaxsiy maʼlumotlari bazasiga kirish imkoniyatiga ega boʻladi. Ijtimoiy muhandislikning yana bir misoli, xakerning ijtimoiy tarmoq saytida nishon bilan bogʻlanishi va suhbatni boshlashi. Asta-sekin xaker maqsad ishonchini qozonadi va soʻngra parol yoki bank hisobi tafsilotlari kabi muhim maʼlumotlarni qoʻlga kiritish uchun bu ishonchdan foydalanadi[8].

Ijtimoiy muhandislik koʻp jihatdan Robert Cialdini tomonidan oʻrnatilgan taʼsirning olti tamoyiliga tayanadi. Cialdini taʼsir nazariyasi oltita asosiy tamoyilga asoslanadi: oʻzaro munosabat, majburiyat va izchillik, ijtimoiy isbot, hokimiyat, yoqtirish, tanqislik.

Oltita asosiy tamoyil

[tahrir | manbasini tahrirlash]

Ijtimoiy muhandislikda tajovuzkor jabrlanuvchiga yopishib olish ehtimolini oshirish uchun yaqinlikda ustunlikka ega boʻlib olishga intilishi mumkin.

Hujumchi (potensial niqoblangan) jabrlanuvchi tomonidan muayyan harakatlar amalga oshirilmasa, bu salbiy oqibatlarga olib kelishi haqida xabar beradi yoki ogohlantiradi. Xususan, „Men sizning menejeringizga hammasini aytaman“ kabi nozik qoʻrqitish iboralari ham qoʻllanishi mumkin.

Konsensus/Ijtimoiy dalil

[tahrir | manbasini tahrirlash]

Odamlar boshqa odamlar ham qilayotganini koʻrgan xatti-harakatlarni amalga oshirishadi. Masalan, eksperimentlardan birida bir yoki bir nechta ishtirokchilar osmonga qaraydilar; Shunda boshqa tomoshabinlar ham gap nimadaligini bilish uchun osmonga qarashadi. Tajriba shu bilan nihoyasiga yetadi. Muvofiqlik va Asch muvofiqlik tajribalariga qarang.

Qabul qilingan tanqislik talabni keltirib chiqaradi. Umumiy reklama iborasi „taʼminot oxirgi boʻlganda“ tanqislik tuygʻusiga asoslangan.

Shoshilinchlik

[tahrir | manbasini tahrirlash]

Kamchilik bilan bogʻliq holda hujumchilar shoshilinchlikni ijtimoiy muhandislikning vaqtga asoslangan psixologik prinsipi sifatida ishlatadilar. Misol uchun, takliflar „faqat cheklangan vaqt“ uchun aktual ekanligini bildirish shoshilinchlik hissi orqali kutilgan natijani ragʻbatlantiradi.

Tanishlik / yoqtirish

[tahrir | manbasini tahrirlash]

Odamlar oʻzlari yoqtirgan boshqa odamlar tomonidan osongina ishontiriladi. Cialdini saytlari virusli marketing deb atalishi mumkin boʻlgan Tupperware marketingiga asos boʻladi. Odamlar xizmatni taklif qilgayotgan shaxsga nisbatan simpatiyaga ega boʻlsalar, sotib olish koʻrsatkichlari oʻz-oʻzidan balandroq boʻladi. Jismoniy jozibadorlik stereotipiga qarang.

Toʻrtta ijtimoiy muhandislik vektori

[tahrir | manbasini tahrirlash]

Vishing, boshqacha qilib aytganda, "ovozli fishing" sifatida tanilgan, moliyaviy mukofot tarqatish maqsadida jamoatchilikdan shaxsiy va moliyaviy maʼlumotlarga kirish uchun telefon tizimi orqali ijtimoiy muhandislikdan foydalanishning jinoiy amaliyotidir[9]. Bundan tashqari, vishingdan hujumchilar tomonidan maqsadli tashkilot haqida batafsil maʼlumot toʻplash uchun razvedka maqsadlarida ham foydalaniladi.

Fishing — shaxsiy maʼlumotlarni firibgarlik yoʻli bilan olish usuli. Odatda, fisher qonuniy biznesdan — bankdan yoki kredit kartochkasi kompaniyasi nomidan maʼlumotni „tekshirish“ va agar maʼlumot taqdim etilmasa, qandaydir dahshatli oqibatlar haqida ogohlantirishni soʻrab elektron pochta xabarini yuboradi. Xabar odatda qonuniy koʻrinadigan, kompaniya logotiplari va mazmuni aks etgan firibgar veb-sahifaga havolani oʻz ichiga olad. Fishingda uy manzilidan tortib ATM kartasining PIN-kodi yoki kredit karta raqamiga qadar hamma narsani soʻrash shakli mavjud. Misol uchun, 2003-yilda fishing firibgarligi roʻy bergan boʻlib, bunda foydalanuvchilar eBay’dan, agar kredit kartani yangilash uchun taqdim etilgan havola bosilmasa, foydalanuvchining hisobi toʻxtatib qoʻyilishi haqida daʼvo qilingan elektron pochta xabarlarini oladilar[10]. Qonuniy tashkilotning HTML kodi va logotiplarini taqlid qilish orqali soxta veb-saytni haqiqiy koʻrinishga keltirish nisbatan oson. Firibgarlik harakati baʼzi odamlarni eBay taqdim etilgan havolani bosish orqali hisob maʼlumotlarini yangilashni talab qilmoqda, deb oʻylashga majbur qildi. Odamlarning juda katta guruhlariga tasodifiy spam joʻnatish orqali „fisher“ eBay hisobiga ega boʻlgan va firibgarlik qurboni boʻlgan oluvchilarning kichik foizidan (ammo koʻp sonli) nozik moliyaviy maʼlumotlarni olishga umid qilgan.

Jabrlanuvchilarni muayyan harakatlarga jalb qilish uchun SMS matnli xabarlardan foydalanish harakati, shuningdek, „smishing“ deb ham ataladi[11]. Xuddi fishingdagi kabi bu zararli havolani bosish yoki maʼlumotni oshkor qilish uslubida amalga oshirilishi mumkin. Misol sifatida umumiy tashuvchidan (masalan, FedEx) yuborilgan paketning yoʻlda ekanligini bildirish va havolasi taqdim etilgan matnli xabar yuborishni keltirish mumkin.

Taqlid qilish

[tahrir | manbasini tahrirlash]

Tizim yoki binoga jismoniy kirish huquqini qoʻlga kiritish maqsadida oʻzini boshqa shaxs sifatida koʻrsatish yoki daʼvo qilish ham ijtimoiy muhandislik usullaridan biridir.

Boshqa tushunchalar

[tahrir | manbasini tahrirlash]

Pretexting (adj. pretextual) — maqsadli jabrlanuvchini jalb qilish uchun ixtiro qilingan ssenariyni (bahona) yaratish va undan foydalanish harakati, bu jabrlanuvchining maʼlumotni oshkor qilish yoki oddiy sharoitlarda mumkin boʻlmagan harakatlarni amalga oshirish imkoniyatini oshiradi[12].

Ushbu usul biznesni mijozlar maʼlumotlarini oshkor qilishda aldash uchun, shuningdek, shaxsiy tergovchilar tomonidan telefon yozuvlari, kommunal yozuvlar, bank yozuvlari va boshqa maʼlumotlarni toʻgʻridan-toʻgʻri kompaniya xizmatlari vakillaridan olish uchun ishlatilishi mumkin[13]. Keyinchalik maʼlumot menejer bilan qattiqroq soʻroq ostida yanada qonuniylikni oʻrnatish uchun ishlatilishi mumkin, masalan, hisobni oʻzgartirish, maxsus qoldiqlarni olish va hokazo.

Bahonadan hamkasblar, politsiya, bank, soliq idoralari, ruhoniylar, sug‘urta tergovchilari yoki nishonga olingan jabrlanuvchining ongida vakolat yoki bilish huquqiga ega bo‘lgan har qanday boshqa shaxs nomini ko‘rsatish uchun ham foydalanish mumkin. Bahonachi jabrlanuvchi soʻrashi mumkin boʻlgan savollarga javoblarni tayyorlashi kerak.

Telefon fishingi (yoki „phishing“) bank yoki boshqa muassasaning IVR tizimining qonuniy ovozli nusxasini qayta yaratish uchun yolgʻon interaktiv ovozli javob (IVR) tizimidan foydalanadi. Jabrlanuvchidan (odatda fishing elektron pochta orqali) maʼlumotni „tekshirish“ uchun taqdim etilgan (ideal holda bepul) raqam orqali „bank“ga qoʻngʻiroq qilish soʻraladi. Oddiy „vishing“ tizimi doimiy ravishda kirishni rad etadi, jabrlanuvchi PIN yoki parollarni bir necha marta kiritishini taʼminlaydi, koʻpincha bir nechta turli parollarni oshkor qiladi. Keyinchalik ilgʻor tizimlar jabrlanuvchini tajovuzkor/firibgarga oʻtkazadi, u jabrlanuvchini keyingi soʻroq qilish uchun mijozlarga xizmat koʻrsatish agenti yoki xavfsizlik mutaxassisi sifatida namoyon boʻladi.

Spear fishing

[tahrir | manbasini tahrirlash]

"Fishing" ga oʻxshash boʻlsa-da, nayzali fishing bir nechta oxirgi foydalanuvchilarga yuqori darajada moslashtirilgan elektron pochta xabarlarini yuborish orqali shaxsiy maʼlumotlarni firibgarlik yoʻli bilan olish usulidir. Bu fishing hujumlari oʻrtasidagi asosiy farq, chunki fishing kampaniyalari faqat bir nechta odam javob berishini kutish bilan umumiy elektron pochta xabarlarini yuborishga qaratilgan. Boshqa tomondan, nayza-fishing elektron pochta xabarlari tajovuzkordan oxirgi foydalanuvchilarni soʻralgan harakatlarni amalga oshirishda „aldash“ uchun oʻz maqsadlari boʻyicha qoʻshimcha tadqiqotlar oʻtkazishni talab qiladi. Nayzali fishing hujumlarining muvaffaqiyat darajasi oddiy fishing hujumlarinikiga qaraganda ancha yuqori, bunda odamlar fishing elektron pochta xabarlarining taxminan 3 foizini ochadi va bu potensial urinishlarning taxminan 70 foizini tashkil qiladi. Foydalanuvchilar haqiqatan ham elektron pochta xabarlarini ochganda, fishing elektron pochta xabarlari nayzali fishing hujumining 50% muvaffaqiyat darajasi bilan solishtirganda, havola yoki biriktirmani bosish uchun nisbatan 5% kam muvaffaqiyatga erishadi[14].

Spear-fishing muvaffaqiyati tajovuzkor olishi mumkin boʻlgan OSINT (ochiq manbali razvedka) miqdori va sifatiga bogʻliq. Ijtimoiy tarmoqlardagi akkaunt faolligi OSINT manbalarining bir misolidir.

Suv quyish (Water holing)

[tahrir | manbasini tahrirlash]

Suv quyish — bu foydalanuvchilarning doimiy ravishda tashrif buyuradigan veb-saytlarga boʻlgan ishonchidan foydalanadigan maqsadli ijtimoiy muhandislik strategiyasidir. Jabrlanuvchi oʻzini boshqa vaziyatda qilolmaydigan narsalarni qilish uchun xavfsiz his qiladi. Ehtiyotkor odam, masalan, istalmagan elektron pochtadagi havolani bosishdan maqsadli ravishda qochishi mumkin, ammo oʻsha odam tez-tez tashrif buyuradigan veb-saytdagi havolani kuzatishdan tortinmaydi. Shunday qilib, hujumchi qulay sugʻorish joyida ehtiyotsiz oʻlja uchun tuzoq tayyorlaydi. Ushbu strategiya baʼzi (taxminan) juda xavfsiz tizimlarga kirish uchun muvaffaqiyatli ishlatilgan[15].

Tajovuzkor maqsadli guruh yoki shaxslarni aniqlash orqali yoʻl olishi mumkin. Tayyorgarlik xavfsiz tizimdan tez-tez tashrif buyuradigan veb-saytlar haqida maʼlumot toʻplashni oʻz ichiga oladi. Maʼlumot toʻplash maqsadlar veb-saytlarga tashrif buyurishini va tizim bunday tashriflarga ruxsat berishini tasdiqlaydi. Keyin tajovuzkor ushbu veb-saytlarni zararli dastur bilan zararlanishi mumkin boʻlgan kodni kiritish uchun ushbu veb-saytlarni sinovdan oʻtkazadi. AOK qilingan kod tuzogʻi va zararli dastur aniq maqsadli guruhga va ular foydalanadigan maxsus tizimlarga moslashtirilgan boʻlishi mumkin. Vaqt oʻtishi bilan maqsadli guruhning bir yoki bir nechta aʼzolari infeksiyalanadi va tajovuzkor xavfsiz tizimga kirish huquqiga ega boʻladi.

Baiting jismoniy vositalardan foydalanadigan va jabrlanuvchining qiziqishi yoki ochkoʻzligiga tayanadigan haqiqiy dunyodagi troya otiga oʻxshaydi[16]. Ushbu kiberhujumda tajovuzkorlar zararli dasturlar bilan zararlangan floppi disklar, CD-ROMlar yoki USB flesh-disklarni odamlar topadigan joylarda (hammom, liftlar, trotuarlar, toʻxtash joylari va boshqalar) qoldiradilar, ularga qonuniy va qiziqish uygʻotadigan yorliqlar yopishtiradilar va qurbonlarni kutadilar.

Misol uchun, tajovuzkor maqsadli veb-saytda mavjud boʻlgan korporativ logotipli diskni yaratishi va uni „2012 yil 2-chorak maoshining xulosasi“ deb nomlashi mumkin. Keyin tajovuzkor diskni lift polida yoki maqsadli kompaniyaning qabulxonasida qoldiradi. Nomaʼlum xodim uni topib, qiziqishini qondirish uchun diskni kompyuterga kiritishi yoki kompaniyaga qaytarishi mumkin. Qanday boʻlmasin, diskni kompyuterga kiritish unga zararli dasturlarni oʻrnatadi, bu tajovuzkorlarga qurbonning shaxsiy kompyuteriga va, ehtimol, maqsadli kompaniyaning ichki kompyuter tarmogʻiga kirish imkonini beradi.

Agar kompyuter blokirovka qilingan infeksiyalarni nazorat qilmasa, oʻrnatish shaxsiy kompyuterlarning „avtomatik ishlaydigan“ muhitini buzadi. Dushman qurilmalardan ham foydalanish mumkin[17]. Masalan, „omadli gʻolib“ga u ulangan har qanday kompyuterni buzadigan bepul raqamli audio pleer yuboriladi. „Yoʻl olma“ (ot goʻngi uchun soʻzma-soʻz atama boʻlib, qurilmaning nomaqbul xususiyatini koʻrsatadi) opportunistik yoki koʻzga tashlanadigan joylarda qoldirilgan zararli dasturlarga ega har qanday olinadigan vositadir. Bu boshqa vositalar qatorida CD, DVD yoki USB flesh-disk boʻlishi mumkin. Qiziquvchan odamlar uni olib, kompyuterga ulab, xost va ulangan tarmoqlarni yuqtirishadi. Shunga qaramay, xakerlar ularga „Xodimlarning ish haqi“ yoki „Maxfiy“ kabi jozibali yorliqlarni berishi mumkin[18].

2016-yilda olib borilgan bir tadqiqotda tadqiqotchilar Illinois universiteti kampusiga 297 ta USB drayverlarni tashlab yuborishgan. Disklarda tadqiqotchilarga tegishli veb-sahifalarga bogʻlangan fayllar mavjud edi. Tadqiqotchilar drayvlarning nechtasida fayllar ochilganini koʻrishga muvaffaq boʻlishdi, lekin ularning nechtasi kompyuterga fayl ochilmagan holda kiritilganligini koʻra olmadi. Drayverlarning290 tasi (98%) olingan va 135 tasi (45%) „uyga qoʻngʻiroq qilgan“[19].

Quid pro quo biror narsa uchun nimadirni anglatadi:

  • Tajovuzkor kompaniyadagi tasodifiy raqamlarga qoʻngʻiroq qiladi va texnik yordamdan qayta qoʻngʻiroq qilayotganini daʼvo qiladi. Oxir-oqibat, bu odam kimnidir qonuniy muammosi bilan uradi, kimdir ularga yordam berish uchun qayta qoʻngʻiroq qilayotganidan minnatdor boʻladi. Buzgʻunchi muammoni hal qilishda „yordam beradi“ va bu jarayonda tajovuzkorga kirish yoki zararli dasturlarni ishga tushirish imkonini beruvchi foydalanuvchi tipidagi buyruqlarga ega boʻladi.
  • 2003-yilda axborot xavfsizligi boʻyicha soʻrovda ofis xodimlarining 91%i tadqiqotchilarga arzon ruchka evaziga soʻrovnoma savoliga javoban oʻzlarining parollarini berishgan[20]. Keyingi yillardagi shunga oʻxshash soʻrovlar shokolad va boshqa arzon buyumlar yordamida oʻxshash natijalarga erishildi, garchi ular parollarni tasdiqlashga urinmagan boʻlsalar ham[21].

Orqaga oʻtish (Tailgating)

[tahrir | manbasini tahrirlash]

Qarovsiz, elektron kirish nazorati, masalan, RFID karta orqali himoyalangan cheklangan hududga kirishga intilayotgan tajovuzkor qonuniy kirish huquqiga ega boʻlgan shaxsning orqasidan kirib boradi. Oddiy xushmuomalalikdan soʻng, qonuniy shaxs odatda tajovuzkor uchun eshikni ochiq ushlab turadi yoki tajovuzkorlarning oʻzlari xodimdan eshikni ular uchun ochiq tutishni soʻrashlari mumkin. Buzgʻunchi koʻpincha xodim tomonidan soʻroq qilinishini oldini olish uchun mobil telefon orqali qoʻngʻiroq qilish niyatida boʻladi. Qonuniy shaxs bir nechta sabablarga koʻra shaxsini aniqlashtirishni soʻramasligi yoki tajovuzkorning tegishli identifikatsiya belgisini unutgan yoki yoʻqotgan degan daʼvosini qabul qilishi mumkin. Tajovuzkor shaxsni tasdiqlovchi tokenni taqdim etish harakatini ham soxtalashtirishi mumkin.

Boshqa turlar

[tahrir | manbasini tahrirlash]

Oddiy firibgarlar yoki shaxsiy maʼlumot oʻgʻrilarini kengroq maʼnoda „ijtimoiy muhandislar“ deb hisoblash mumkin, chunki ular odamlarni ataylab aldashadi va manipulyatsiya qilishadi, shaxsiy manfaat olish uchun insonning zaif tomonlaridan foydalanishadi. Ular, masalan, IT firibgarligining bir qismi sifatida ijtimoiy muhandislik usullaridan foydalanishlari mumkin.

2000-yillarning boshlarida ijtimoiy muhandislik texnikasining yana bir turi sifatida Yahoo!, Gmail yoki Hotmailda oʻz elektron pochtalarida ega boʻlgan shaxslarning IDsini buzib kirish paydo boʻldi. Bundan tashqari, baʼzi firibgarlik urinishlari PayPal kabi yirik onlayn xizmat koʻrsatuvchi provayderlarning elektron pochta xabarlarini oʻz ichiga oladi[22]. Bu 2014-yil apreldagi RFC 7208 Sender Policy Frameworkning „taklif etilgan standarti“ni DMARC bilan birgalikda firibgarlikka qarshi kurash vositasi sifatida qabul qildi. Ushbu aldashning koʻplab sabablari orasida:

  • Fishing kredit karta hisob raqamlari va ularning parollari;
  • Shaxsiy elektron pochta xabarlari va suhbatlar tarixini buzish va ularni pul undirish va shaxslar oʻrtasida ishonchsizlik yaratish uchun ishlatishdan oldin umumiy tahrirlash usullaridan foydalangan holda manipulyatsiya qilish;
  • Kompaniyalar yoki tashkilotlarning veb-saytlarini buzish va ularning obroʻsiga putur yetkazish;
  • Kompyuter viruslari haqida yolgʻon;
  • Foydalanuvchilarni veb-akkauntlariga kirishga ruxsat berish uchun oʻz-oʻzidan XSS hujumi orqali veb-brauzerda zararli kodni ishlatishga ishontirish.

Qarshi choralar

[tahrir | manbasini tahrirlash]

Tashkilotlar oʻzlariga xavf soluvchi omillarini quyidagi yoʻllar bilan kamaytiradilar:

Xodimlarni oʻqitish: xodimlarni oʻz lavozimlariga tegishli xavfsizlik protokollari boʻyicha oʻrgatish

Standart asos: Xodimlar/xodimlar darajasida ishonch asoslarini yaratish (yaʼni, qachon/qayerda/nima uchun/qanday nozik maʼlumotlar bilan ishlash kerakligini aniqlash va xodimlarni oʻrgatish)

Maʼlumotni tekshirish: Qaysi maʼlumotlarning nozikligini aniqlash va uning ijtimoiy muhandislik va xavfsizlik tizimlaridagi (bino, kompyuter tizimi va boshqalar) buzilishlarga taʼsirini baholash.

Xavfsizlik protokollari: maxfiy maʼlumotlarni qayta ishlash uchun xavfsizlik protokollari, siyosatlari va protseduralarini oʻrnatish.

Voqealar testi: Xavfsizlik tizimining eʼlon qilinmagan, davriy sinovlarini oʻtkazish.

Vaksinatsiya: shunga oʻxshash yoki tegishli urinishlarga taʼsir qilish orqali ishontirish urinishlariga qarshilik koʻrsatish orqali ijtimoiy muhandislik va boshqa firibgarlik yoki tuzoqlarning oldini olish[23].

Koʻrib chiqish: Yuqoridagi amallarni muntazam ravishda koʻrib chiqish: axborot yaxlitligiga hech qanday yechim mukammal emas[24].

Chiqindilarni boshqarish: Chiqindilarni boshqarish xizmatidan foydalanish, bunda qulflari bor axlat qutilari, ularning kalitlari faqat chiqindilarni boshqarish kompaniyasi va tozalash xodimlariga tegishli boʻladi[25].

Ijtimoiy muhandislikning hayot sikli

[tahrir | manbasini tahrirlash]
  1. Axborot yigʻish: Axborot yigʻish hayot siklining birinchi va asosiy bosqichidir. Bu koʻp sabr-toqat va jabrlanuvchining odatlarini diqqat bilan kuzatishni talab qiladi. Ushbu qadam jabrlanuvchining manfaatlari, shaxsiy maʼlumotlari haqida maʼlumotlarni toʻplashdan iboratdir. Bu umumiy hujumning muvaffaqiyat darajasini belgilaydi.
  2. Jabrlanuvchi bilan aloqa oʻrnatish: kerakli miqdordagi maʼlumotni toʻplagandan soʻng tajovuzkor jabrlanuvchi bilan hech qanday nomaqbul narsani topmasdan muammosiz suhbatni ochadi.
  3. Hujum: Bu qadam odatda nishon bilan uzoq vaqt aloqada boʻlgandan keyin sodir boʻladi va bu vaqt davomida nishondan maʼlumot ijtimoiy muhandislik yordamida olinadi. Bosqichda hujumchi nishondan natijalarni oladi.
  4. Oʻzaro taʼsirni tugatish: Bu oxirgi qadam boʻlib, jabrlanuvchida shubha tugʻdirmasdan tajovuzkor tomonidan aloqani asta-sekin oʻchirishni oʻz ichiga oladi. Shunday qilib, maqsad amalga oshadi va jabrlanuvchi kamdan-kam hollarda hujum sodir boʻlganligini tushunadi[26].

Mashhur ijtimoiy muhandislar

[tahrir | manbasini tahrirlash]

Frank Abagnale Jr.

[tahrir | manbasini tahrirlash]

Frenk Abagnale Jr. amerikalik xavfsizlik boʻyicha maslahatchi boʻlib, u 15 yoshdan 21 yoshgacha boʻlgan davrida sobiq soxta firibgar sifatida tanilgan. U eng mashhur firibgarlardan biriga aylanib[27], kamida sakkizta shaxsni, jumladan, aviakompaniya uchuvchisi, shifokor, AQSh qamoqxonalar byurosi agenti va advokatni chuv tushirganini daʼvo qildi. Abagnale 22 yoshga toʻlgunga qadar politsiya hibsxonasidan ikki marta (bir marta taksi layneridan va bir marta AQSh federal qamoqxonasidan) qochib ketgan[28]. Stiven Spilbergning mashhur filmi "Catch Me If You Can" uning hayotiga asoslangan.

Kevin Mitnick

[tahrir | manbasini tahrirlash]

Kevin Mitnick amerikalik kompyuter xavfsizligi boʻyicha maslahatchi, muallif va xaker boʻlib, 1950-yilda hibsga olingani maʼlum. Keyinchalik u kompyuter va aloqa bilan bogʻliq turli jinoyatlari uchun besh yillik qamoq jazosiga hukm qilingan[29].

Susan Headley

[tahrir | manbasini tahrirlash]

Susan Headley 1970-yillarning oxiri va 1980-yillarning boshlarida faol boʻlgan amerikalik xaker boʻlib, ijtimoiy muhandislik, bahona va psixologik buzgʻunchilik sohasidagi tajribasi uchun keng eʼtiborga sazovor boʻlgan[30]. U harbiy kompyuter tizimlarini buzish boʻyicha oʻz ixtisosligi bilan mashhur edi, bu koʻpincha harbiy xizmatchilar bilan uxlash va uxlash vaqtida foydalanuvchi nomlari va parollari uchun kiyimlarini tekshirishni oʻz ichiga oladi[31][32].

James Linton britaniyalik xaker va ijtimoiy muhandis boʻlib, 2017-yilda OSINT va nayza-fishing usullaridan foydalanib, elektron pochta orqali turli maqsadlarni, jumladan, yirik banklarning bosh direktorlari va Trump Oq uy maʼmuriyati aʼzolarini aldagan. Keyin u elektron pochta xavfsizligi boʻyicha ishga kirdi va u yerda maxsus tahdid maʼlumotlarini toʻplash uchun BEC (Business Email Compromise) tahdidi aktyorlarini ijtimoiy jihatdan ishlab chiqdi.

Mike Ridpath Xavfsizlik boʻyicha maslahatchi, muallif va maʼruzachi, w00w00ning sobiq aʼzosi. Ijtimoiy muhandislikda u sovuq qoʻngʻiroq qilish uchun texnika va taktikaga urgʻu beradi. U yozib olingan qoʻngʻiroqlarni oʻynatadigan va telefon orqali parollarni olish uchun nima qilayotgani va jonli namoyishlari haqida oʻylash jarayonini tushuntirib bergan nutqlaridan soʻng eʼtiborga sazovor boʻldi[33][34][35][36][37]. Bolaligida Ridpath Badir Brothers bilan bogʻlangan va Oki 900s, blueboxing, sunʼiy yoʻldoshli xakerlik va RCMAC-ni oʻzgartirish boʻyicha Phrack, B4B0 va 9x kabi mashhur jurnallardagi maqolalari bilan freaking va xakerlik jamiyatida keng tanilgan[38][39].

Badir Brothers

[tahrir | manbasini tahrirlash]

Aka-uka Ramy, Muzher, and Shadde Badirlar — ularning barchasi tugʻma koʻr boʻlgan — 1990-yillarda ijtimoiy muhandislik, ovozli taqlid qilish va Brayl displeyli kompyuterlar yordamida Isroilda telefon va kompyuter firibgarligining keng sxemasini yaratishga muvaffaq boʻlishdi[40].

Christopher J. Hadnagy

[tahrir | manbasini tahrirlash]

Christopher J. Hadnagy — amerikalik ijtimoiy muhandis va axborot texnologiyalari xavfsizligi boʻyicha maslahatchi. U ijtimoiy muhandislik va kiberxavfsizlik boʻyicha 4 ta kitob[41][42][43][44] muallifi va xborot xavfsizligi boʻyicha mutaxassislardan yordam soʻrash, ochiq manbali razvedka (OSINT) maʼlumotlaridan foydalanish va huquqni muhofaza qilish organlari bilan hamkorlik qilishga ixtisoslashgan „Innocent Lives Foundation“ tashkiloti asoschisi sifatida tanilgan[45][46].

Umumiy huquqqa koʻra yozishmalarni oshkor qilish — bu shaxsiy hayotga tajovuz qilish[47].

Telefon yozuvlarini oshkor qilish

[tahrir | manbasini tahrirlash]

2006-yil dekabr oyida Amerika Qoʻshma Shtatlari Kongressi Senat homiylik qilgan qonun loyihasini maʼqulladi. Unga koʻra telefon yozuvlarini oshkor qilish federal jinoyat sifatida 250 000 dollargacha jarima va jismoniy shaxslar uchun 10 yil qamoq jazosi (yoki kompaniyalar uchun 500 000 dollargacha jarima) bilan jazolanadi. Qonun 2007-yil 12-yanvarda Prezident George W. Bush tomonidan imzolangan[48].

Hewlett Packard

[tahrir | manbasini tahrirlash]

Hewlett Packard kompaniyasining sobiq raisi Patricia Dunning xabar berishicha, HP boshqaruv kengashi boshqaruv tarkibidagi sizib chiqish uchun kim mas’ul ekanini aniqlash uchun xususiy tergov kompaniyasini yollagan. Dunn kompaniya boshqaruv kengashi aʼzolari va jurnalistlarning telefon yozuvlarini soʻrash uchun yozuvlarni oshkor qilish amaliyotidan foydalanganini tan oldi. Rais Dunn keyinchalik bu xatti-harakati uchun uzr soʻradi va agar kengash aʼzolari xohlasa, boshqaruv kengashidan ketishni taklif qildi[49]. Federal qonundan farqli oʻlaroq, Kaliforniya qonuni bunday xatti-harakatlarni taqiqlaydi. Dunnga qoʻyilgan toʻrtta jinoiy ayblov bekor qilindi[50].

Profilaktik choralar

[tahrir | manbasini tahrirlash]

Baʼzi ehtiyot choralarini koʻrish ijtimoiy muhandislik firibgarliklari qurboni boʻlish xavfini kamaytiradi. Ehtiyot choralari quyidagilardan iborat:

  • „Haqiqat boʻlish uchun juda yaxshi“ koʻrinadigan takliflardan xabardor boʻlish.
  • Koʻp faktorli autentifikatsiyadan foydalanish.
  • Nomaʼlum manbalardan olingan qoʻshimchalarni bosishdan saqlanish.
  • Shaxsiy yoki moliyaviy maʼlumotlarni (masalan, kredit karta maʼlumotlari, ijtimoiy sugʻurta raqamlari yoki bank hisobi maʼlumotlari) elektron pochta, telefon yoki matnli xabarlar orqali hech kimga bermaslik.
  • Spam filtri dasturidan foydalanish.
  • Haqiqiy hayotda tanimagan odamlar bilan doʻstlashishdan saqlanish.
  • Bolalarni internet orqali qoʻrqitish (kiberbulling) yoki onlaynda tahdidga duch kelganda ishonchli kattalar bilan bogʻlanishga oʻrgatish[51].
  • Darhol qarorlar qabul qilmaslik, iloji boʻlsa, taqdim etilgan maʼlumotni baholash uchun 5 daqiqa vaqt ajratish.
  • Certified Social Engineering Prevention Specialist (CSEPS)
  • Code Shikara — Computer worm
  • Confidence trick — Attempt to defraud a person or group after first gaining their confidence
  • Countermeasure (computer) — Process to reduce a security threat
  • Cyber-HUMINT — Set of skills used by cyberspace hackers
  • Cyberheist
  • Inoculation theory — How peopleʼs attitudes can resist change through weak counterargument exposures
  • Internet Security Awareness Training
  • IT risk — Any risk related to information technology
  • Media prank — Type of media events, which often use similar tactics (though usually not for criminal purposes)
  • Penetration test — Method of evaluating computer and network security by simulating a cyber attack
  • Phishing — Attempt to trick a person into revealing information
  • Physical information security — Common ground of physical and information security
  • Piggybacking (security)
  • SMS phishing
  • Threat (computer) — Potential negative action or event facilitated by a vulnerability
  • Voice phishing — Phishing attack via telephony
  • Vulnerability (computing) — Exploitable weakness in a computer system
  • Cyber security awareness
  1. Anderson, Ross J.. Security engineering: a guide to building dependable distributed systems, 2nd, Indianapolis, IN: Wiley, 2008 — 1040-bet. ISBN 978-0-470-06852-6.  Chapter 2, page 17
  2. „Social Engineering Defined“ (en-TH). Security Through Education. Qaraldi: 2021-yil 3-oktyabr.
  3. Lim, Joo S., et al. „Exploring the Relationship between Organizational Culture and Information Security Culture.“ Australian Information Security Management Conference.
  4. Andersson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
  5. 5,0 5,1 5,2 Schlienger, Thomas; Teufel, Stephanie (2003). "Information security culture-from analysis to change". South African Computer Journal 31: 46–52. https://www.researchgate.net/publication/220102979. 
  6. Jaco, K: „CSEPS Course Workbook“ (2004), unit 3, Jaco Security Publishing.
  7. Kirdemir, Baris (2019). HOSTILE INFLUENCE AND EMERGING COGNITIVE THREATS IN CYBERSPACE. Centre for Economics and Foreign Policy Studies. https://www.jstor.org/stable/resrep21052. 
  8. Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Computers & Security 83: 354–366. doi:10.1016/j.cose.2019.02.012. 
  9. Choi, Kwan; Lee, Ju-lak; Chun, Yong-tae (2017-05-01). "Voice phishing fraud and its modus operandi" (en). Security Journal 30 (2): 454–466. doi:10.1057/sj.2014.49. ISSN 0955-1662. http://link.springer.com/10.1057/sj.2014.49. 
  10. Austen, Ian. „On EBay, E-Mail Phishers Find a Well-Stocked Pond“ (en-US). The New York Times (2005-yil 7-mart). Qaraldi: 2021-yil 1-may.
  11. Steinmetz, Kevin F.; Holt, Thomas J. (2022-08-05). "Falling for Social Engineering: A Qualitative Analysis of Social Engineering Policy Recommendations" (en). Social Science Computer Review: 089443932211175. doi:10.1177/08944393221117501. ISSN 0894-4393. http://journals.sagepub.com/doi/10.1177/08944393221117501. 
  12. The story of HP pretexting scandal with discussion is available at Davani. „HP Pretexting Scandal by Faraz Davani“ (2011-yil 14-avgust). Qaraldi: 2011-yil 15-avgust.
  13. Fagone, Jason. „The Serial Swatter“. The New York Times (2015-yil 24-noyabr). Qaraldi: 2015-yil 25-noyabr.
  14. „The Real Dangers of Spear-Phishing Attacks“. FireEye (2016). Qaraldi: 2016-yil 9-oktyabr.
  15. „Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack“. invincea.com (2015-yil 10-fevral). Qaraldi: 2017-yil 23-fevral.
  16. „Social Engineering, the USB Way“. Light Reading Inc (2006-yil 7-iyun). 2006-yil 13-iyulda asl nusxadan arxivlangan. Qaraldi: 2014-yil 23-aprel.
  17. „Archived copy“. 2007-yil 11-oktyabrda asl nusxadan arxivlangan. Qaraldi: 2012-yil 2-mart.
  18. Conklin, Wm. Arthur. Principles of Computer Security, Fourth Edition (Official Comptia Guide). New York: McGraw-Hill Education, 2015 — 193–194-bet. ISBN 978-0071835978. 
  19. Raywood. „#BHUSA Dropped USB Experiment Detailed“. info security (2016-yil 4-avgust). Qaraldi: 2017-yil 28-iyul.
  20. Leyden. „Office workers give away passwords“. The Register (2003-yil 18-aprel). Qaraldi: 2012-yil 11-aprel.
  21. „Passwords revealed by sweet deal“. BBC News (2004-yil 20-aprel). Qaraldi: 2012-yil 11-aprel.
  22. „Email Spoofing – What it Is, How it Works & More - Proofpoint US“ (en). www.proofpoint.com (2021-yil 26-fevral). Qaraldi: 2021-yil 11-oktyabr.
  23. Treglia, J., & Delia, M. (2017). Cyber Security Inoculation (Wayback Machine saytida 2020-08-07 sanasida arxivlangan). Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3-4 June.
  24. Mitnick, K., & Simon, W. (2005). „The Art of Intrusion“. Indianapolis, IN: Wiley Publishing.
  25. Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241.
  26. „social engineering – GW Information Security Blog“. blogs.gwu.edu. Qaraldi: 2020-yil 18-fevral.
  27. Salinger, Lawrence M.. Encyclopedia of White-Collar & Corporate Crime (en). SAGE, 2005. ISBN 978-0-7619-3004-4. 
  28. „How Frank Abagnale Would Swindle You“. U.S. News (2019-yil 17-dekabr). 2013-yil 28-aprelda asl nusxadan arxivlangan. Qaraldi: 2019-yil 17-dekabr.
  29. United States Attorney's Office, Central District of California (1999-yil 9-avgust). „Kevin Mitnick sentenced to nearly four years in prison; computer hacker ordered to pay restitution to victim companies whose systems were compromised“. Press-reliz.
  30. „DEF CON III Archives – Susan Thunder Keynote“. DEF CON. Qaraldi: 2017-yil 12-avgust.
  31. „CDNE Chapter 14 - Female Hackers?“. 2001-yil 17-aprelda asl nusxadan arxivlangan. Qaraldi: 2007-yil 6-yanvar.
  32. Hafner, Katie (August 1995). "Kevin Mitnick, unplugged". Esquire 124 (2): 80(9). http://www.tomandmaria.com/ST297/Readings/mitnick%20esquire.htm. 
  33. Social Engineering: Manipulating the human. Scorpio Net Security Services, 16 May 2013. ISBN 9789351261827. Qaraldi: 2012-yil 11-aprel. [sayt ishlamaydi]
  34. Niekerk, Brett van. "Mobile Devices and the Military: useful Tool or Significant Threat". Proceedings of the 4Th Workshop on Ict Uses in Warfare and the Safeguarding of Peace 2012 (Iwsp 2012) and Journal of Information Warfare (academia.edu). https://www.academia.edu/2548183. Qaraldi: 11 May 2013. Ijtimoiy muhandislik (xavfsizlik)]]
  35. „Social Engineering: Manipulating the human“. YouTube. Qaraldi: 2012-yil 11-aprel.
  36. „BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference“. Ustream.tv (2011-yil 7-oktyabr). 2012-yil 4-avgustda asl nusxadan arxivlangan. Qaraldi: 2012-yil 11-aprel.
  37. „Automated Social Engineering“. BrightTALK (2011-yil 29-sentyabr). 2012-yil 11-aprelda asl nusxadan arxivlangan. Qaraldi: 2012-yil 11-aprel.
  38. „Social Engineering a General Approach“. Informatica Economica journal. Qaraldi: 2015-yil 11-yanvar.
  39. „Cyber Crime“. Hays. Qaraldi: 2020-yil 11-yanvar.
  40. Social Engineering A Young Hacker's Tale.. 15 February 2013. http://library.nic.in/e-journalNew/Dataquest/Archives/DQNov2012-Oct13/dq_i1_feb13/dq_i1_feb13/64%20-%20Social%20Engineering%20A%20Young%20Hacker's%20Tale.pdf. Qaraldi: 13 January 2020. Ijtimoiy muhandislik (xavfsizlik)]]
  41. „43 Best Social Engineering Books of All Time“. BookAuthority. Qaraldi: 2020-yil 22-yanvar.
  42. \. „Bens Book of the Month Review of Social Engineering The Science of Human Hacking“. RSA Conference (2018-yil 31-avgust). Qaraldi: 2020-yil 22-yanvar.
  43. „Book Review: Social Engineering: The Science of Human Hacking“. The Ethical Hacker Network (2018-yil 26-iyul). 2020-yil 12-noyabrda asl nusxadan arxivlangan. Qaraldi: 2020-yil 22-yanvar.
  44. Hadnagy. „Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails“. ISACA (2020-yil 22-yanvar). 2017-yil 17-iyulda asl nusxadan arxivlangan. Qaraldi: 2020-yil 22-yanvar.
  45. „WTVR:“Protect Your Kids from Online Threats"
  46. Larson, Selena. „Hacker creates organization to unmask child predators“. CNN (2017-yil 14-avgust). Qaraldi: 2019-yil 14-noyabr.
  47. Restatement 2d of Torts § 652C.
  48. „Congress outlaws pretexting“. 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006 (2007).
  49. HP chairman: Use of pretexting 'embarrassingʻ Stephen Shankland, 8 September 2006 1:08 PM PDT CNET News.com
  50. „Calif. court drops charges against Dunn“. CNET (2007-yil 14-mart). Qaraldi: 2012-yil 11-aprel.
  51. „What is Social Engineering | Attack Techniques & Prevention Methods | Imperva“ (en-US). Learning Center. Qaraldi: 2020-yil 18-fevral.

Qoʻshimcha oʻqish uchun

[tahrir | manbasini tahrirlash]