Tarkib
- Ijtimoiy muhandislik nima?
- Ijtimoiy muhandislik usullari va usullari
- Fishing
- Qo'ng'iroq paytida
- Shaxsan
- Troyan otini ijro etish
- Sabzi yoki tayoq
- Dolandırıcılığı sotib oling
- Ijtimoiy muhandislikdan himoya
- Ta'lim
- Uchinchi tomon veb-saytlaridan dasturiy ta'minotni o'rnatishda ehtiyot bo'ling
- EV raqamli sertifikatlari
- Parollardan xalos bo'ling
- Anti-ijtimoiy muhandislik texnologiyalari
Varsha - qiziqqan mavzular bo'yicha keng tadqiqotlar qilishni yaxshi ko'radigan g'ayratli yozuvchi.
Ijtimoiy muhandislik nima?
Kompyuter dunyosida ijtimoiy muhandislik kimnidir aldanib, ko'pincha o'zlariga yoki boshqalarga zarar etkazadigan biron bir ish bilan shug'ullanish deb ta'riflanishi mumkin. Ijtimoiy muhandislik xakerlikning eng keng tarqalgan shakllaridan biridir, chunki u ko'pincha muvaffaqiyatli bo'ladi. Ko'pincha jabrlanuvchini xafa qiladi, chunki uni faqat texnologiya yordamida oldini olish mumkin emas.
Ijtimoiy muhandislik usullari va usullari
Ijtimoiy muhandislik turli yo'llar bilan amalga oshirilishi mumkin, shu jumladan kompyuter orqali, telefon qo'ng'irog'i bilan, shaxsan yoki an'anaviy pochta aloqasi orqali. Ijtimoiy muhandislikning juda ko'p usullari va turlari mavjudki, kataloglarning barcha usullarini ko'rsatadigan har qanday ro'yxat ba'zi usullarni o'tkazib yuboradi. Ijtimoiy muhandislik kompyuterda paydo bo'lganida, odatda elektron pochta orqali yoki Internet orqali amalga oshiriladi (garchi u tezkor xabarlar yordamida va kompyuter dasturlarining deyarli har qanday turida amalga oshirilgan bo'lsa ham).
Fishing
Umumiy ijtimoiy muhandislik maqsadi, foydalanuvchining kirish ma'lumotlarini olish, nima deyilganidan foydalanib olishdir fishing. Fishing-elektron pochta xabarlari yoki veb-saytlar foydalanuvchini oxirgi foydalanuvchi tanish bo'lgan qonuniy veb-sayt yoki ma'mur sifatida ko'rsatib, o'zlarining qonuniy kirish ma'lumotlarini taqdim etishda aldashga urinmoqdalar. Eng keng tarqalgan fishing hiyla-nayrang veb-sayt ma'muridan elektron pochta orqali foydalanuvchi parolini tekshirish kerak, aks holda ularning saytga kirish huquqi to'xtatilishini talab qiladi.
Spearfishing bu ma'lum bir shaxsga yoki guruhga qarshi qaratilgan, bu maqsadlar tanish bo'lgan jamoat bo'lmagan ma'lumotlardan foydalanishga qaratilgan fishing urinishining bir turi. Spearfishingning misoli, loyiha menejeriga o'zlari ishlayotgan loyiha bilan bog'liq deb taxmin qilingan loyiha a'zosidan elektron pochta orqali hujjat yuborilishi va hujjatni ochganda zararli buyruqlarni bajarishi mumkin. Spearphishing ko'pincha eng yuqori darajadagi korporativ kelishuvlarda ishtirok etadi.
Qo'ng'iroq paytida
Shuningdek, firibgarlar o'zlarini texnik ko'mak, mashhur sotuvchi yoki davlat idorasi deb atagan foydalanuvchilarga qo'ng'iroq qilishlari mumkin.
Eng mashhur firibgarliklardan biri bu foydalanuvchini kompyuterda zararli dastur aniqlanganligini da'vo qiladigan texnik yordamdan da'vo qiladigan birovdan chaqirishdir.
Keyin ular foydalanuvchidan ko'plab zararli dasturlarni aniqlash uchun ajablanarli bo'lmagan holda amalga oshiriladigan "zararli dasturlarga qarshi dastur" ni yuklab olishlarini so'rashadi. Keyin ular foydalanuvchini masofadan turib kirish dasturini yuklab olish va bajarishga majbur qilishadi, soxta texnik qo'llab-quvvatlovchi undan keyin ko'proq zararli dasturlarni o'rnatish uchun jabrlanuvchining kompyuteriga kirish uchun foydalanadi. Texnik qo'llab-quvvatlashning soxta dasturi qurbon o'zining kredit karta raqamidan foydalanib zararli dasturlarga qarshi soxta dasturni sotib olganida tugaydi.
Bundan tashqari, telefon orqali firibgarlar soliq yig'ish xizmatlari, huquqni muhofaza qilish idoralari yoki boshqa davlat idoralariga tegishli deb taxmin qilishlari mumkin, chunki oxirgi foydalanuvchi qattiq jazo yoki qamoqdan qochishi uchun ish haqi olishni istaydilar.
Shaxsan
Ijtimoiy muhandislikning eng mashhur firibgarliklari - bu xakerning o'zi tomonidan amalga oshirilgan. Jismoniy va ijtimoiy muhandislar taniqli banklarga kirib, bankomatlarga keylogging moslamalarini o'rnatish, banklarga kirib borish va xodimlarni terminallarga keylogging moslamalarini o'rnatish orqali kompyuterlarni ta'mirlovchi odamlar sifatida tanilgan. Odamlar tabiatan begona odamlar kabi ishonmaslik kabi, agar u notanish odam ta'mirlanib qolsa, ayniqsa, agar u xizmat ko'rsatuvchi kishi: "So'nggi paytlarda sizning kompyuteringiz sust harakat qilayotganini eshitayapman", deb aytsa, ular ajablanarli darajada qurolsizlantiradi. Bu gapni kim rad etishi mumkin? Ta'mirlash bilan shug'ullanadigan kishi, shubhasiz, davom etayotgan muammo haqida biladi va nihoyat uni hal qilish uchun bu erga keladi.
Troyan otini ijro etish
Xuddi shu kabi mashhur ijtimoiy muhandislik hiyla-nayranglari oxirgi foydalanuvchini Troyan Horse dasturini amalga oshirishi uchun ishlatiladi. Buni elektron pochta orqali, fayl qo'shimchasi yoki o'rnatilgan URL-da amalga oshirish mumkin. Bu veb-saytlarda xuddi shunday tez-tez amalga oshiriladi. Ko'pincha qonuniy veb-sayt buziladi va tashrif buyuradigan ishonchli foydalanuvchi veb-sahifani yuklaganida, foydalanuvchiga faylni bajarish haqida ko'rsatma beriladi. Fayl "kerakli" uchinchi tomon qo'shimchasi, soxta antivirus detektori yoki "kerakli" yamoq bo'lishi mumkin. Qonuniy veb-sayt to'g'ridan-to'g'ri buzilishi mumkin yoki mustaqil ravishda ishtirok etadigan boshqa element, masalan, uchinchi tomon banner reklama xizmati. Qanday bo'lmasin, ko'p yillar davomida muammosiz tashrif buyurganidan keyin qonuniy veb-saytga tez-tez ishonadigan foydalanuvchi ishonchli veb-sayt buzilganligiga shubha qilish uchun hech qanday sabab yo'q.
Sabzi yoki tayoq
Yakuniy foydalanuvchini ko'pincha biror narsa qilmaganligi uchun jazo bilan tahdid qilishadi yoki biron bir ish uchun mukofot va'da qilishadi. Ayyorlik jabrlanuvchini tazyiq ostiga olishdan boshlanadi, chunki odamlar stress hodisalari paytida xavfni unchalik ehtiyotkorlik bilan tortishmaydi. Ular jarima to'lashlari yoki qamoqqa tushishlari kerak. Ular dasturni ishga tushirishlari yoki kompyuterlariga virus yuqishi va bankdagi hisob raqamlarini bo'shatish xavfi tug'ilishi kerak. Ular pul jo'natishlari kerak, aks holda ular uchun yaqin odam chet el qamoqxonasida qoladi. Ular xo'jayinning parolini o'zgartirishi yoki aks holda xo'jayin bilan muammoga duch kelishi kerak.
Dolandırıcılığı sotib oling
Yana bir keng tarqalgan firibgarlik veb-saytlarda, masalan, kim oshdi savdosi saytlarida yoki Craigslist kabi veb-saytlarda tovar sotib olish yoki sotish bilan shug'ullanadiganlarga nisbatan amalga oshirilmoqda. Aybsiz jabrlanuvchi yoki biror narsani sotib oladi yoki sotadi.
Firibgarlarni sotib olayotganda, xaridor tezda javob beradi, odatda to'liq sotib olish narxini va etkazib berishni to'lashni taklif qiladi va sotuvchidan ulardan foydalanishni so'raydi
"Ishonchli" qo'riqchilar. Keyin ular jabrlanuvchiga sotib olish bo'yicha kelishilgan miqdordan ko'proq soxta chekni yuborishadi, jabrlanuvchi ularning bank hisobvarag'iga qo'yadi. (Afsuski, banklar ushbu soxta cheklarni osonlikcha qabul qilishadi, lekin oxir oqibat jabrlanuvchini yo'qolgan pul uchun javobgar qilishadi.) Xaridor jabrlanuvchidan sotuvchidan "qo'shimcha" pulni o'z jo'natuvchisiga yoki eskavon agentiga qaytarishini so'raydi. Jabrlanuvchi sotuvchi, odatda, hech bo'lmaganda oxir-oqibat shu miqdorni chiqarib tashlaydi.
Firibgarlarni sotishda jabrlanuvchi xaridor mablag 'yuboradi, lekin hech qachon tovarlarni olmaydi. O'rtacha sotish firibgarligi kamida ming dollarni tashkil qiladi. O'rtacha sotib olish firibgarligi o'n minglab dollar bo'lishi mumkin.
Ijtimoiy muhandislikdan himoya
Ta'lim
Anti-ijtimoiy muhandislik mashg'ulotlari ijtimoiy muhandislikka qarshi eng yaxshi, eng muhim himoya vositalaridan biridir. Treningda ijtimoiy muhandislikning eng keng tarqalgan turlari va potentsial qurbonlar noqonuniylikning alomatlarini qanday ko'rishlari mumkinligi haqidagi misollar bo'lishi kerak.
Barcha kompyuter foydalanuvchilariga ijtimoiy muhandislik taktikasi to'g'risida ma'lumot berish kerak. Internetda tovarlar sotib olish va sotish bilan shug'ullanadigan odamlar, firibgarliklar to'g'risida ma'lumot olishlari kerak. Ular faqat qonuniy eskroun xizmatlaridan foydalanishlari va buzilmagan tranzaksiya uchun veb-saytning barcha tavsiyalariga amal qilishlari kerak.
Uchinchi tomon veb-saytlaridan dasturiy ta'minotni o'rnatishda ehtiyot bo'ling
Foydalanuvchilarga hech qachon dasturiy ta'minotni to'g'ridan-to'g'ri tashrif buyurgan veb-saytidan o'rnatishni o'rgatish kerak, agar bu dasturiy ta'minotni yaratgan qonuniy sotuvchining veb-sayti bo'lmasa. Agar veb-sayt ko'rishni davom ettirish uchun uchinchi tomon dasturiy ta'minotini o'rnatishingiz kerak deb aytsa va bu qonuniy talab deb hisoblasangiz, veb-saytdan chiqib, uni o'rnatish uchun dasturiy ta'minot sotuvchisining veb-saytiga o'ting. Hech qachon boshqa sotuvchining dasturini boshqa birovning veb-saytidan o'rnatmang. Bu aslida qonuniy dastur bo'lishi mumkin, ammo xavf juda katta.
EV raqamli sertifikatlari
Veb-sörfchilarni "kengaytirilgan tasdiqlash" (EV) raqamli sertifikatlarini (https://en.wikipedia.org/wiki/Extended_Validation_Certificate) qidirishni eng mashhur veb-saytlarda izlash kerak. EV veb-saytlari foydalanuvchiga veb-saytning URL manzili va identifikatori ishonchli uchinchi shaxs tomonidan tasdiqlanganligini tasdiqlash uchun tez-tez biron bir tarzda ta'kidlanadi (odatda yashil manzil satri yoki ta'kidlangan yashil ism).
Parollardan xalos bo'ling
Xodimning kirish ma'lumotlarini bera olmasa, ishonch yorlig'i ishlay olmaydi. Parollar bilan oddiy kirish nomlari ikki faktorli autentifikatsiya (2FA), raqamli sertifikatlar, tizimga kirish moslamalari, autentifikatsiyaning unchalik katta diapazoni va boshqa kirim usullari foydasiga yo'qoladi.
Anti-ijtimoiy muhandislik texnologiyalari
Aksariyat zararli dasturlarga qarshi vositalar, veb-filtrlash dasturlari va elektron pochta orqali yuborilgan spam-echimlar kompyuterlar yordamida amalga oshiriladigan ijtimoiy muhandislikni minimallashtirishga harakat qilmoqda. Zararli dasturlarga qarshi dastur zararli fayllarning bajarilishini aniqlashga harakat qiladi. Veb-filtrlash dasturi zararli veb-saytlarni aniqlashga harakat qiladi, chunki tashrif buyuruvchilar brauzeri sahifani yuklashga harakat qilmoqda. Spamga qarshi elektron pochta echimlari ko'pincha ijtimoiy muhandislik elektron pochtalarini filtrlaydi. Biroq, texnologiya hech qachon to'liq muvaffaqiyatli bo'lmaydi, shuning uchun foydalanuvchini o'qitish va boshqa usullar birgalikda ishlatilishi kerak.
Ijtimoiy muhandislik juda muvaffaqiyatli xakerlik usuli hisoblanadi. Ba'zi kompyuter xavfsizligi bo'yicha mutaxassislar sizga barcha ishchilarni ijtimoiy muhandislik taktikalari to'g'risida muvaffaqiyatli xabardor qilish uchun etarli darajada o'qitolmaysiz deb aytishadi. Ular noto'g'ri. Etarli o'qitish va to'g'ri texnologiyalarning kombinatsiyasi ijtimoiy muhandislik xavfini sezilarli darajada kamaytirishi mumkin.
Ushbu maqola aniq va muallifning eng yaxshi bilimlariga mos keladi. Tarkib faqat axborot yoki ko'ngilochar maqsadlar uchun mo'ljallangan va biznes, moliyaviy, yuridik yoki texnik masalalarda shaxsiy maslahat yoki professional maslahat o'rnini bosmaydi.
