Social Engineering

Social Engineering (Ijtimoiy muhandislik) - bu odamlarni aldash va manipulyatsiya qilish orqali maxfiy ma'lumot olish yoki ruxsatsiz kirish. Bu texnik zaifliklar emas, balki inson psixologiyasidan foydalanadi.

Nima uchun ishlaydi?

Ishonch

Odamlar tabiatan boshqalarga ishonishadi

Shoshqaloqlik

Zudlik bilan qaror qabul qilish xatolarga olib keladi

Qo'rquv

Qo'rquv mantiqiy fikrlashni to'xtatadi

Asosiy texnikalar

Phishing

Soxta email yoki SMS orqali foydalanuvchilarni aldash va login ma'lumotlarini o'g'irlash.

Klassik misol:

Kimdan: security@bankingonline.com
Mavzu: DIQQAT: Hisobingiz bloklangan!
Xabar: "Sizning hisobingizda shubhali faoliyat aniqlandi. 24 soat ichida havola orqali tasdiqlang, aks holda hisobingiz butunlay yopiladi."

Qanday aniqlash:

  • • Email manzilni diqqat bilan tekshiring
  • • Grammatik xatolar
  • • Shoshqaloqlikka undash
  • • Shubhali havolalar

Pretexting

Soxta gapni yaratish va boshqa odam sifatida o'zini ko'rsatish.

Ssenariy:

Tajovuzkor IT bo'limidan xodim sifatida qo'ng'iroq qiladi: "Salom, men IT xavfsizlik bo'limidan. Sizning hisobingizda texnik muammo bor. Tuzatish uchun parolingizni tasdiqlay olasizmi?"

Baiting

Jozibali taklif bilan aldash. Odamlarning ochko'zligidan foydalanish.

USB Baiting

Parking da "Sirli" yoki "Ish maoshlari.xlsx" deb yozilgan USB qoldirish

Online Baiting

"BEPUL iPhone yutib oling!" kabi banner reklamalar

Tailgating

Ruxsatli odam orqasidan qochib kirish. Jismoniy xavfsizlik zaifligidan foydalanish.

Tajovuzkor qo'lida katta quti bilan eshik oldida turadi: "Kechirasiz, qo'lim band, eshikni ochib bera olasizmi?"

Quid Pro Quo

Xizmat yoki yordam evaziga ma'lumot olish.

Tajovuzkor texnik yordam xizmati sifatida qo'ng'iroq qiladi va muammo hal qilish uchun login va parol so'raydi.

O'zingizni qanday himoya qilish

Shaxsiy himoya:

  • Shoshqaloqlik bilan qaror qabul qilmang
  • Parol hech kimga bermang
  • Email va SMS havolalarni tekshiring
  • Shubhali qo'ng'iroqlarni tugatib, rasmiy raqamga qo'ng'iroq qiling
  • Shaxsiy ma'lumotlarni ijtimoiy tarmoqlarda cheklab qo'ying

Tashkilot uchun:

  • Xodimlarni o'qitish va xabardor qilish
  • Simulyatsiya hujumlar o'tkazish
  • Aniq xavfsizlik siyosati
  • Ko'p faktorli autentifikatsiya
  • Jismoniy xavfsizlik nazorati

Psixologik printsiplar

Social engineerlar quyidagi psixologik printsiplardan foydalanadi:

Avtoritet

Odamlar rahbarlar va mutaxassislarga bo'ysunadi

Kamyoblik

"Faqat bugun", "Oxirgi imkoniyat"

Ijtimoiy dalil

"Barchalar buni qilyapti"

Yoqimlilik

Do'stona munosabat ishonchni oshiradi

Asosiy xulosalar

  • Social Engineering - inson zaifliklaridan foydalanadi
  • Phishing - eng keng tarqalgan texnika
  • Shoshqaloqlik - sizning dushmaningiz
  • Ta'lim va xabardorlik - eng yaxshi himoya
Penetration Testing Security Operations