3-mavzu: Ijtimoiy injeneriyaning asosiy turlari Ijtimoiy injeneriyaning turi

Download 18,18 Kb. Sana 18.12.2022 Hajmi 18,18 Kb. #890454

Bu sahifa navigatsiya:

• Foydalanilgan internet sayti https://www.securitylab.ru/blog/personal/bezmaly/347243.php

13-mavzu: Ijtimoiy injeneriyaning asosiy turlari Ijtimoiy injeneriyaning 5 turi Xavfsiz kompyuter tizimlariga kirish va maxfiy ma'lumotlarni buzish uchun texnik tajribasidan foydalanadigan tajovuzkor haqida hammamiz bilamiz. Ushbu turdagi tajovuzkorlar doimiy ravishda yangiliklar bilan shug'ullanadi va bizni tarmoq himoyasini kuchaytiradigan yangi texnologiyalarga sarmoya kiritish orqali ularning ekspluatatsiyasiga qarshi turishga undaydi. Biroq, bizning vositalarimiz va echimlarimizni chetlab o'tish uchun turli xil taktikalardan foydalanadigan boshqa turdagi hujumchilar mavjud. Ular "ijtimoiy muhandislar" deb ataladi, chunki ular har bir tashkilotda mavjud bo'lgan bir zaiflikdan foydalanadilar: inson psixologiyasi. Telefon qo'ng'iroqlari va foydalanuvchilar bilan muloqot qilishning boshqa vositalaridan foydalangan holda, bu tajovuzkorlar odamlarni tashkilotning maxfiy ma'lumotlariga kirish huquqini o'tkazishga majbur qiladi. Ijtimoiy muhandislik - bu zararli faoliyatning keng doirasini qamrab oluvchi atama. Ushbu maqolaning maqsadlari uchun keling, ijtimoiy muhandislar foydalanadigan beshta eng keng tarqalgan hujum turlariga e'tibor qaratamiz. 1. Fishing Fishing bugungi kunda sodir bo'ladigan ijtimoiy muhandislik hujumining eng keng tarqalgan turidir. Lekin aniq nima? Yuqori darajada, ko'pchilik fishing firibgarlari uchta narsani bajarishga harakat qilishadi: Ismlar, manzillar va ijtimoiy xavfsizlik raqamlari kabi shaxsiy ma'lumotlarni oling. Foydalanuvchilarni fishing ochilish sahifalari joylashgan shubhali veb-saytlarga yo'naltiradigan qisqartirilgan yoki chalg'ituvchi havolalardan foydalaning. Foydalanuvchiga imkon qadar tezroq javob berishga harakat qilish uchun tahdidlar, qo'rquv va shoshilinchlik hissini qo'shing. Hech qanday ikkita fishing elektron pochtasi bir xil emas. Aslida, fishing hujumlarining kamida olti xil kichik toifalari mavjud. Bundan tashqari, barchamiz bilamizki, ularning ba'zilari noto'g'ri ishlanadi, chunki xabarlar imlo va grammatik xatolardan aziyat chekadi. Biroq, bu elektron pochta xabarlari odatda bir xil maqsadga ega - foydalanuvchi hisob ma'lumotlari va boshqa shaxsiy ma'lumotlarni o'g'irlash uchun soxta veb-saytlar yoki shakllardan foydalanish. Yaqinda o'tkazilgan fishing kampaniyasi hujumga uchragan elektron pochta xabarini yuborish uchun buzilgan elektron pochta hisobidan foydalanadi. Ushbu xabarlar qabul qiluvchilardan o'rnatilgan URL manzilini bosish orqali taklif qilingan hujjatni ko'rishni so'radi. Symantec Click Protection URL manzili bilan himoyalangan ushbu zararli URL qabul qiluvchilarni OneNote hujjatiga o‘rnatilgan ikkinchi zararli URL-manzilni yetkazib beruvchi buzilgan SharePoint hisobiga yo‘naltirdi. Bu URL oʻz navbatida foydalanuvchilarni Microsoft Office 365 kirish portali sifatida koʻrsatuvchi fishing sahifasiga yoʻnaltiradi. 2. Old gaplar Bahona - bu ijtimoiy muhandislikning yana bir shakli bo'lib, tajovuzkorlar o'z qurbonlarining shaxsiy ma'lumotlarini o'g'irlash va o'g'irlash uchun yaxshi bahona yoki uydirma stsenariy yaratishga e'tibor berishadi. Ushbu turdagi hujumlarda firibgar odatda o'z shaxsini tekshirish uchun o'z nishonidan ma'lum miqdordagi ma'lumotga muhtojligini aytadi. Aslida, ular bu ma'lumotlarni o'g'irlashadi va undan shaxsiy ma'lumotlarni o'g'irlash yoki ikkilamchi hujumlarni amalga oshirish uchun foydalanadilar. Ba'zan rivojlangan hujumlar tashkilotning raqamli va/yoki jismoniy kamchiliklaridan foydalanadigan biror narsa qilish orqali o'z maqsadlarini aldashga harakat qiladi. Misol uchun, tajovuzkor maqsadli kompaniyaning jismoniy xavfsizlik guruhini ularni binoga kiritishga ishontirishi uchun IT xizmatlarining tashqi auditorini o'zini namoyon qilishi mumkin. Fishing hujumlari birinchi navbatda qo'rquv va shoshilinchlikni o'z foydasiga ishlatsa-da, bahona hujumlari jabrlanuvchiga yolg'on ishonch hissini yaratishga tayanadi. Bu tajovuzkordan o'z nishonida shubha uchun ozgina joy qoldiradigan ishonchli hikoyani yaratishni talab qiladi. Predlog turli shakllarda bo'lishi mumkin va bo'ladi. Shunga qaramay, ushbu turdagi hujumni qabul qilgan ko'plab tahdid qiluvchilar moliyani rivojlantirish bo'limining kadrlari yoki xodimlari sifatida niqoblanishni tanlaydilar. Verizon o'zining 2019 yilgi Ma'lumotlar buzilishi bo'yicha tekshiruvlar hisobotida (DBIR) topganidek, bu niqob ularga C-darajali rahbarlarni nishonga olishga imkon beradi. 3. Jozibasi Bait ko'p jihatdan fishing hujumlariga o'xshaydi. Biroq, ularni ijtimoiy muhandislikning boshqa turlaridan ajratib turadigan narsa bu hujumchilar qurbonlarni yo'ldan ozdirish uchun foydalanadigan biron bir narsa yoki ne'mat va'dasidir. Lures bepul musiqa yoki filmlarni yuklab olish taklifidan foydalanishi mumkin, masalan, foydalanuvchilarni o'z login ma'lumotlarini topshirishda aldash uchun. Hujumchilar, shuningdek, jismoniy vositalar orqali inson qiziqishidan foydalanishga e'tibor qaratishlari mumkin. Misol uchun, 2018-yil iyul oyida KrebsOnSecurity AQShda davlat idoralari va mahalliy hukumatlarga hujum qilish kampaniyasi haqida xabar berdi. Operatsiya Xitoy pochta markasi bosilgan konvertlarni jo'natdi, ularda chalkash xat va kompakt disk (CD) bor edi. Maqsad, qabul qiluvchilarning qiziqishini uyg'otish edi, ular kompakt diskni yuklab olishlari va shu bilan beixtiyor kompyuterlarini zararli dasturlar bilan yuqtirish edi. 4 Quid Pro Quo Bezorilik singari, kvid pro-kvo hujumlari ham ma'lumot evaziga foyda keltiradi. Bu foyda odatda yaxshilik shaklida bo'ladi, bezorilik esa odatda foyda shaklida bo'ladi. So'nggi yillarda paydo bo'lgan "quid pro-kvo" hujumlarining eng keng tarqalgan turlaridan biri firibgarlarning AQSh Ijtimoiy xavfsizlik boshqarmasi (SSA) timsoli bo'lishidir. Ushbu soxta SSA xodimlari tasodifiy shaxslar bilan bog'lanib, ularga kompyuterda muammo borligi haqida xabar berishadi va ulardan shaxsiy ma'lumotlarni o'g'irlashga qaratilgan ijtimoiy xavfsizlik raqamlarini tekshirishni so'rashadi. Federal Savdo Komissiyasi (FTC) tomonidan aniqlangan boshqa hollarda, tajovuzkorlar soxta SSA veb-saytlarini yaratadilar, ular foydalanuvchilarga yangi ijtimoiy sug'urta kartalariga murojaat qilishlariga yordam berishlari mumkin, ammo buning o'rniga ularning shaxsiy ma'lumotlarini o'g'irlashadi. Ammo shuni ta'kidlash kerakki, tajovuzkorlar SSA mavzusidagi fokuslarga qaraganda ancha murakkab bo'lgan quid pro-kvo jumlalaridan foydalanishi mumkin. Avvalgi hujumlar ko‘rsatganidek, ofis xodimlari arzon ruchka yoki hatto shokolad bari uchun o‘z parollaridan voz kechishga ko‘proq tayyor. 5. Orqaga o'tish Bizning eng so'nggi ijtimoiy hujumimiz bugungi kunda "Tailgating" deb nomlanadi. Ushbu turdagi hujumlarda, to'g'ri autentifikatsiyasi bo'lmagan kimdir tasdiqlangan xodimni cheklangan hududga kuzatib boradi. Hujumchi o'zini yetkazib berish haydovchisi sifatida ko'rsatishi va boshlash uchun bino tashqarisida kutishi mumkin. Xodim xavfsizlik ruxsatini olganida va eshikni ochganda, tajovuzkor xodimdan eshikni ushlab turishni so'raydi va shu bilan binoga kirish huquqiga ega bo'ladi. Tailgating barcha korporativ muhitlarda, masalan, kirish uchun kalit kartadan foydalanishni talab qiladigan yirik kompaniyalarda ishlamaydi. Biroq, o'rta biznesda tajovuzkorlar xodimlar bilan suhbatni boshlashlari va bu tanishlik namoyishidan oldingi stolni chetlab o'tish uchun foydalanishlari mumkin. Darhaqiqat, Siemens Enterprise Communications kompaniyasining xavfsizlik bo'yicha maslahatchisi Kolin Greenless ushbu taktikani FTSE ro'yxatiga kiritilgan moliyaviy kompaniyaning bir nechta qavatlari va ma'lumotlar xonasiga kirish uchun ishlatgan. U hatto uchinchi qavatdagi majlislar zalida do‘kon ochib, u yerda bir necha kun ishlashga muvaffaq bo‘ldi. Ijtimoiy muhandislik bo'yicha tavsiyalar Ijtimoiy muhandislik hujumlari bilan shug'ullanadigan tajovuzkorlar ma'lumotni buzish uchun inson psixologiyasi va qiziqishini ovlaydi. Ushbu insonga qaratilgan e'tiborni hisobga olgan holda, tashkilotlar o'z xodimlariga ushbu turdagi hujumga qarshi turishga yordam berishlari kerak. Foydalanuvchilarga ijtimoiy muhandislik sxemalaridan qochishga yordam berish uchun tashkilotlar xavfsizlik bo'yicha o'quv dasturlariga kiritishi mumkin bo'lgan ba'zi maslahatlar: Ishonchsiz manbalardan kelgan elektron pochta xabarlarini ochmang. Do'stingiz yoki oila a'zolaringizdan shubhali xat olsangiz, shaxsan yoki telefon orqali bog'laning. Notanishlarning takliflariga ishonmang. Shubha! Agar takliflar haqiqat bo'lish uchun juda yaxshi ko'rinsa, ular firibgarlikdir. Ish joyingizdan chiqayotganda noutbukni qulflang. Antivirus dasturini sotib oling. Hech qanday AV yechimi foydalanuvchi ma'lumotlarini buzadigan har qanday tahdiddan himoya qila olmaydi, lekin ular ba'zi hujumlardan himoya qilishga yordam beradi. Qanday sharoitlarda notanish odamni binoga kiritishingiz mumkinligini tushunish uchun kompaniyangizning maxfiylik siyosatini o'qing. Foydalanilgan internet sayti https://www.securitylab.ru/blog/personal/bezmaly/347243.php Download 18,18 Kb. Do'stlaringiz bilan baham: