Bajardi: Ibodov Jo’rabek
Ijtimoiy injineriya haqida tushuncha
Yüklə 1,86 Mb.
|
| 1. Ijtimoiy injineriya haqida tushuncha
"Ijtimoiy muhandislik" - bu turli xil psixologik texnikalar va firibgarlik usullari to'plami bo'lib, ularning maqsadi aldash yo'li bilan shaxs haqida maxfiy ma'lumotlarni olishdir. Maxfiy ma'lumotlar - loginlar/parollar, shaxsiy intim ma'lumotlar, ayblovchi dalillar, bank kartalari raqamlari va moliyaviy yoki obro'ga putur etkazadigan har qanday narsa. Ijtimoiy injeneriya — bu shaxslarga maxfiy yoki shaxsiy ma'lumotlarni oshkor qilishga ta'sir qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun psixologik manipulyatsiya yoki aldashdan foydalanish. Hujumchilar ijtimoiy injeneriya hujumlarida foydalanishi mumkin bo'lgan juda ko'p turli xil usullar mavjud va ular muvaffaqiyatga erishish imkoniyatlarini oshirish uchun ko'pincha quyidagi kombinatsiyasidan foydalanadilar. Ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga misol: Tajovuzkor hujum qilyotgan obyekt haqida ularning ismi, lavozimi va kompaniyasi kabi ma'lumotlarni to'playdi. Ushbu ma'lumotni ommaga ochiq manbalar orqali yoki obyektdan olish uchun bahona yoki o'lja taktikasini qo'llash orqali olish mumkin. Hujumchi obyekt ishlaydigan kompaniyadagi yuqori darajali xodimning ismi va lavozimidan foydalanib, soxta elektron pochta yoki ijtimoiy tarmoq hisobini yaratadi. Buzg'unchi soxta akkauntdan nishonga elektron xat yuboradi va ulardan muhim hujjatga kirish uchun havolani bosish yoki xavfsiz tizimga kirish uchun login ma'lumotlarini kiritishni so'raydi. Obyekt esa so'rovning haqiqiy ekanligiga ishonib, havolani bosadi yoki login ma'lumotlarini kiritadi. Buzg'unchi endi nishonning login paroliga yoki tizimiga kirish huquqiga ega va bu ruxsatdan maxfiy ma'lumotlarni o'g'irlash yoki zararli dasturlarni o'rnatish uchun foydalanishi mumkin. Afsona (aka) yaratdi va uni haqiqiy faktlar bilan to'ldirdi: do'stlari bilan yurgan joy (geo-ma'lumotnoma); otaning yurak xastaligi borligi; jabrlanuvchiga shaxsiy yozishmalarda ishlatiladigan taxallus bilan murojaat qilish va hokazo. Bularning barchasi juda tez aytildi va doimiy ravishda o'zgartirildi. Har qanday firibgarning asosiy qoidasi - odamni o'ylamaslikka, balki doimo biror narsa qilishga majburlashdir. Ushbu psixologik usul "diqqatni nazorat qilish" deb ataladi. Juda kuchli ta'sir mexanizmi ishlatilgan - "rahm-shafqatga bosim" (hissiyotlarga murojaat qilish). Bunday holda, jabrlanuvchi va uning ukasining psixologik portretlarini (profillarini) chuqur o'rganish bosqichi bo'lganligi sababli, u juda yaxshi ishladi va bu yaqin odam ekanligi bilan mustahkamlandi. Bu ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga faqat bir misol. Buzg'unchilar foydalanishi mumkin bo'lgan boshqa ko'plab taktikalar mavjud, masalan, bahona qilish (maxfiy ma'lumotlarni olish yoki tizimlarga kirish uchun soxta identifikator yoki bahonadan foydalanish), quid pro-kvo (maxfiy ma'lumotlar yoki tizimlarga kirish evaziga biror narsa taklif qilish) va qo'rqinchli dasturlar yo o'yinlar (ko'k kitga o'xshagan yoki maxfiy ma'lumotlarni oshkor qilish yoki keraksiz yoki soxta xizmatlar uchun pul to'lash uchun shaxslarni aldash uchun qo'rquv yoki noqulay holatlaridan foydalanish). Kontseptsiyaning o'zi bizga xakerlik sohasidan kelgan. Hacker - bu kompyuter tizimlarida zaifliklarni qidiradigan odam; boshqacha qilib aytganda, ular "buzadi". Ijtimoiy muhandislikning bunga qanday aloqasi borga o'xshaydi? Hammasi juda oddiy. Vaqti-vaqti bilan xakerlar har qanday tizimdagi asosiy zaiflik mashina emas, balki odam ekanligini tushunishdi. Inson, xuddi kompyuter kabi, ma'lum qonunlarga muvofiq ishlaydi. Psixologiya, manipulyatsiya va ta'sir mexanizmlarida insoniyat tomonidan to'plangan tajribadan foydalanib, xakerlar "odamlarni buzish" ni boshladilar. Men ijtimoiy muhandislik usulidan foydalangan holda nafaqa olishning misolini keltiraman (barakali ijtimoiy muhandis haqida misol). Yüklə 1,86 Mb. Dostları ilə paylaş:
|