Ijtimoiy injeneriya(Social engineering) qanchalik darajada xavfli?

Ijtimoiy injeneriya(Social engineering) tushunchasi sifatida asrlar davomida mavjud bo’lgan, bunga misol qilib qadimgi Rimni aytishimiz mumkin.

Zamonaviy davrda esa ijtimoiy injeneriya marketing, propaganda va josuslik kabi turli maqsadlarga erishish uchun turli shakllarda qo’llaniladi.

Ijtimoiy injeneriyaning dastlabki qayd etilgan namunalaridan biri Rim imperiyasi tomonidan aholini nazorat qilish va hokimiyatni saqlash uchun propagandadan foydalanish bo’lgan. Tarix davomida turli hukumatlar va tashkilotlar, jamoatchilik fikrini manipulyatsiya qilish va jamoat xatti-harakatlarini shakllantirish uchun propaganda va ijtimoiy injeneriyaning boshqa shakllaridan foydalangan.

20-asrda ijtimoiy injeneriya maxfiy yoki «kerakli» ma’lumotlarni olish yoki tizimlarga kirish uchun psixologik manipulyatsiyadan foydalanish bilan chambarchas bog’liq bo’lib kelyabdi. Ushbu turdagi ijtimoiy injeneriya odatda tajovuzkorlar(Hujumchilar) tomonidan ma’lumotlar yoki tizimlarga kirish uchun ishlatiladi va raqamli asrdagi eng asosiy tahdidga aylandi.

So’nggi yillarda ijtimoiy injeneriya kiberhujumlarda tobora keng tarqalgan hujum turiga aylanib bormoqda, bunda tajovuzkorlar odamlarni aldash orqali maxfiy ma’lumotlarni oshkor qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun turli usullarni qo’llaydi. Shunday qilib, shaxslar va tashkilotlar ijtimoiy injeneriya taktikalaridan xabardor bo’lishlari va ulardan himoyalanish uchun choralar ko’rishlari muhimdir.

Ijtimoiy injeneriya — bu shaxslarga maxfiy yoki shaxsiy ma’lumotlarni oshkor qilishga ta’sir qilish yoki ularning manfaatlariga mos kelmaydigan harakatlarni amalga oshirish uchun psixologik manipulyatsiya yoki aldashdan foydalanish. Hujumchilar ijtimoiy injeneriya hujumlarida foydalanishi mumkin bo’lgan juda ko’p turli xil usullar mavjud va ular muvaffaqiyatga erishish imkoniyatlarini oshirish uchun ko’pincha quyidagi kombinatsiyasidan foydalanadilar.

Ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga misol:

Tajovuzkor hujum qilyotgan obyekt haqida ularning ismi, lavozimi va kompaniyasi kabi ma’lumotlarni to’playdi. Ushbu ma’lumotni ommaga ochiq manbalar orqali yoki obyektdan olish uchun bahona yoki o’lja taktikasini qo’llash orqali olish mumkin.

1. Hujumchi obyekt ishlaydigan kompaniyadagi yuqori darajali xodimning ismi va lavozimidan foydalanib, soxta elektron pochta yoki ijtimoiy tarmoq hisobini yaratadi.

2. Buzg’unchi soxta akkauntdan nishonga elektron xat yuboradi va ulardan muhim hujjatga kirish uchun havolani bosish yoki xavfsiz tizimga kirish uchun login ma’lumotlarini kiritishni so’raydi.

3. Obyekt esa so’rovning haqiqiy ekanligiga ishonib, havolani bosadi yoki login ma’lumotlarini kiritadi.

4. Buzg’unchi endi nishonning login paroliga yoki tizimiga kirish huquqiga ega va bu ruxsatdan maxfiy ma’lumotlarni o’g’irlash yoki zararli dasturlarni o’rnatish uchun foydalanishi mumkin.

Bu ijtimoiy injeneriya hujumi qanday ishlashi mumkinligiga faqat bir misol.
Buzg’unchilar foydalanishi mumkin bo’lgan boshqa ko’plab taktikalar mavjud, masalan, bahona qilish (maxfiy ma’lumotlarni olish yoki tizimlarga kirish uchun soxta identifikator yoki bahonadan foydalanish), quid pro-kvo (maxfiy ma’lumotlar yoki tizimlarga kirish evaziga biror narsa taklif qilish) va qo’rqinchli dasturlar yo o’yinlar (ko’k kitga o’xshagan yoki maxfiy ma’lumotlarni oshkor qilish yoki keraksiz yoki soxta xizmatlar uchun pul to’lash uchun shaxslarni aldash uchun qo’rquv yoki noqulay holatlaridan foydalanish).

Quyida ijtimoiy muhandislik hujumlarining ba’zi misollari keltirilgan:

1. Fishing: Bu hujumning bir turi bo’lib, tajovuzkor o’zini qonuniy tashkilot, ko’pincha bank yoki davlat idorasi sifatida ko’rsatib, elektron pochta yoki matnli xabar yuboradi. Xabarda havola yoki biriktirma bo’ladi, u bosilsa, jabrlanuvchining qurilmasiga zararli dasturlarni o’rnatadi yoki ularni soxta veb-saytga olib boradi, u yerda ulardan kirish ma’lumotlari yoki kredit karta raqamlari kabi maxfiy ma’lumotlarni kiritish so’raladi.

2. Baiting: Ushbu turdagi hujumda tajovuzkor qurbonni aldash uchun maxfiy ma’lumotlarni oshkor qilish yoki zararli dasturlarni o’rnatish uchun bepul dasturiy ta’minot yoki sovrin kabi jozibador narsalarni taklif qiladi, Bizga bu «mana sizga yordam puli berildi karta ma’lumotlarini kiriting» degan keyslar bilan mashhur.

3. Scareware:: Bu hujumning bir turi bo’lib, tajovuzkor qurbonni kompyuterida virus yoki zararli dastur kabi muammo borligiga ishontirishga undaydi va uni haq evaziga tuzatishni taklif qiladi. Keyin jabrlanuvchidan maxfiy ma’lumotlarni taqdim etish yoki o’z qurilmasiga zararli dasturlarni o’rnatadigan dasturlarni yuklab olish so’raladi.

4. Impersonation: Ushbu turdagi hujumda tajovuzkor maxfiy ma’lumotlar yoki tizimlarga kirish uchun o’zini boshqa birov, masalan, hamkasbi yoki texnik yordam vakili sifatida namoyon qiladi.

5. Pretexting: Bu hujumning bir turi bo’lib, tajovuzkor qurbonni aldash maqsadida maxfiy ma’lumotlarni oshkor qilish yoki muayyan harakatni amalga oshirish uchun soxta bahona yoki hikoya yaratadim,masalan «aka perevalda qolib ketdim» ga o’xshagan.

Ushbu taktikalardan xabardor bo’lish va maxfiy ma’lumotlarni oshkor qilishda yoki tizimlarga kirish huquqini berishda ehtiyot bo’lish muhimdir.

Ijtimoiy injeneriya taktikasini qo’llash bilan mashhur bo’lgan xakerlarning bir nechta misollari:

1. Kevin Mitnik: Barcha davrlarning eng mashhur xakerlaridan biri, Mitnik maxfiy ma’lumotlar va tizimlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llashi bilan juda mashhur bo’lgan.

2. Adrian Lamo: Lamo yirik korporatsiyalar va axborot tashkilotlarining kompyuter tarmoqlariga, jumladan Yahoo! va The New York Times. U ushbu tarmoqlarga kirish uchun ko’pincha ijtimoiy injeneriya taktikalaridan foydalangan.

3. Albert Gonsales: Gonsales yirik chakana savdo tarmoqlaridan millionlab kredit karta raqamlarini o’g’irlash uchun ijtimoiy injeneriya taktikasini qo’llagan xakerlar guruhining bir a’zosi bo’lgani.

4. Gari MakKinnon: MakKinnon maxfiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan holda AQSh harbiylari va NASAning kompyuter tizimlariga buzib kirishda ayblangan.

5. Hector Monsegur: Monsegur, shuningdek, «Sabu» nomi bilan ham tanilgan, LulzSec xakerlik guruhining a’zosi bo’lgan va nozik tizimlarga kirish uchun ijtimoiy injeneriya taktikalaridan foydalangan.

6. Kevin Poulsen: Poulsen Los-Anjeles radiostantsiyalarining telefon tizimlariga buzib kirishi va katta pul mukofotlarini yutib olish uchun ijtimoiy injeneriya taktikasini qo’llagani uchun shuhrat qozongan.

7. Vladimir Levin: Levin Citibankdan millionlab dollarlarni o’g’irlash uchun ijtimoiy injeneriya taktikasini qo’llagan xakerlar guruhining bir a’zosi bo’lgan.

8. Anoniymous: Bu uyushgan xakerlar guruhi WikiLeaks muhokamasi bo’lyotgan vaqtda bunga javoban PayPal va MasterCard’ga qilingan hujumlarni o’z ichiga olgan bir qator yuqori darajadagi hujumlarda ijtimoiy injeneriya taktikalaridan foydalangan.

9. Mandy Nagy: Nagy, shuningdek, «LibertyGirl» nomi bilan ham tanilgan, Anonim guruhining a’zosi bo’lgan va maxfiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan.

10. Jeyms Kosta: Kosta AQSh Mudofaa vazirligining sobiq xodimi bo’lib, u maxfiy harbiy ma’lumotlarga kirish uchun ijtimoiy injeneriya taktikasini qo’llagan.

Bu ijtimoiy injeneriya taktikasini qo’llagan ko’plab xakerlarning kichik bir namunasidir va qolgan anonimlar esa o’z shaxslarini ochiqlamagan.