Kiberhujumlar haqida gap ketganda, ko‘pchilik murakkab zararli kodlar, noma’lum zaifliklar va kompaniya himoyasini buzishga urinayotgan professional xakerlarni tasavvur qiladi. Biroq so‘nggi yillar amaliyoti buning aksini ko‘rsatmoqda: tobora ko‘proq hollarda hujumchilarga xavfsizlik tizimlarini chetlab o‘tishning o‘zi ham kerak emas — buning o‘rniga ular odamni buni o‘z qo‘li bilan qilishga ishontirishadi.
Shu sababli ijtimoiy muhandislik (Social Engineering) kiberjinoyatchilarning eng samarali vositalaridan biri bo‘lib qolmoqda. Texnik zaifliklarni izlash o‘rniga ular odamlarning ishonchi, e’tiborsizligi, charchoqligi yoki ish vazifasini tezroq bajarishga bo‘lgan intilishidan foydalanadi.
☝️ Bunday hujumlar qanday ishlaydi
Zamonaviy ijtimoiy muhandislik usullari tobora ishonchli ko‘rinishga ega bo‘lib bormoqda. Foydalanuvchilar rasmiy xabarlardan deyarli farq qilmaydigan elektron xatlar, go‘yoki AT xizmati yoki rahbar nomidan qilingan qo‘ng‘iroqlar, shuningdek, mutlaqo qonuniy ko‘rinadigan kirishni tasdiqlash so‘rovlarini qabul qilishadi.
Eng keng tarqalgan usullardan biri — MFA Fatigue texnikasi. Unda hujumchilar foydalanuvchiga kirishni tasdiqlash bo‘yicha so‘rovlarni qayta-qayta yuborib, u tasodifan yoki odat bo‘yicha «Tasdiqlash» tugmasini bosishiga umid qilishadi. Bundan kam xavfli bo‘lmagan yana bir usul — soxta autentifikatsiya sahifalari bo‘lib, ular korporativ login va parollarni foydalanuvchi sezmagan holda qo‘lga kiritishga imkon beradi.
Bunday hujumlarning asosiy xususiyati shundaki, hujumchi xodimning haqiqiy hisob yozuvidan foydalanadi. Shu sababli uning harakatlari oddiy foydalanuvchi faoliyati kabi ko‘rinishi va himoya tizimlarida shubha uyg‘otmasligi mumkin.
Bunday tahdidlarga qarshi eng yaxshi himoya — bu e’tiborli bo‘lishdir. Agar elektron xat, qo‘ng‘iroq yoki xabar sizdan zudlik bilan kodni aytishni, kirishni tasdiqlashni yoki kirish sozlamalarini o‘zgartirishni talab qilsa, shoshilmang. Ma’lumotni boshqa aloqa kanali orqali tekshiring. O‘zingiz boshlamagan kirish so‘rovlarini hech qachon tasdiqlamang, eng kichik shubha tug‘ilganda esa darhol AT xizmatiga xabar bering.
Qo‘shimcha himoyani fishing hujumlariga bardoshli zamonaviy ko‘p faktorli autentifikatsiya usullari, shuningdek, korporativ servislaridagi faol qurilmalar va sessiyalarni muntazam tekshirib borish ta’minlaydi.
Ijtimoiy muhandislik usullari doimiy ravishda o‘zgarib bormoqda. Shu sababli bir necha yil oldin olingan bilimlar tezda eskiradi. HUSH platformasida foydalanuvchilar haqiqiy hujumlar asosida yaratilgan interaktiv ssenariylardan o‘tadilar: zamonaviy fishing xatlarini aniqlashni, psixologik bosim urinishlarini tanib olishni, kutilmagan so‘rovlarga to‘g‘ri munosabat bildirishni va korporativ servislar bilan xavfsiz ishlashni o‘rganadilar.
Hujumchilarning asosiy maqsadi — insonni noto‘g‘ri qaror qabul qilishga majbur qilishdir. Xodimlar ijtimoiy muhandislik usullarini qanchalik yaxshi tushunsalar, bunday hujumlarning muvaffaqiyatli yakunlanish ehtimoli shunchalik kam bo‘ladi.