2 июля 2026

👨‍💻 Хакерларнинг асосий нишони энди тизимлар эмас — одамлар

Киберҳужумлар ҳақида гап кетганда, кўпчилик мураккаб зарарли кодлар, номаълум заифликлар ва компания ҳимоясини бузишга уринаётган профессионал хакерларни тасаввур қилади. Бироқ сўнгги йиллар амалиёти бунинг аксини кўрсатмоқда: тобора кўпроқ ҳолларда ҳужумчиларга хавфсизлик тизимларини четлаб ўтишнинг ўзи ҳам керак эмас — бунинг ўрнига улар одамни буни ўз қўли билан қилишга ишонтиришади.

Шу сабабли ижтимоий муҳандислик (Social Engineering) кибержиноятчиларнинг энг самарали воситаларидан бири бўлиб қолмоқда. Техник заифликларни излаш ўрнига улар одамларнинг ишончи, эътиборсизлиги, чарчоқлиги ёки иш вазифасини тезроқ бажаришга бўлган интилишидан фойдаланади.

☝️ Бундай ҳужумлар қандай ишлайди

Замонавий ижтимоий муҳандислик усуллари тобора ишончли кўринишга эга бўлиб бормоқда. Фойдаланувчилар расмий хабарлардан деярли фарқ қилмайдиган электрон хатлар, гўёки АТ хизмати ёки раҳбар номидан қилинган қўнғироқлар, шунингдек, мутлақо қонуний кўринадиган киришни тасдиқлаш сўровларини қабул қилишади.

Энг кенг тарқалган усуллардан бири — MFA Fatigue техникаси. Унда ҳужумчилар фойдаланувчига киришни тасдиқлаш бўйича сўровларни қайта-қайта юбориб, у тасодифан ёки одат бўйича «Тасдиқлаш» тугмасини босишига умид қилишади. Бундан кам хавфли бўлмаган яна бир усул — сохта аутентификатсия саҳифалари бўлиб, улар корпоратив логин ва паролларни фойдаланувчи сезмаган ҳолда қўлга киритишга имкон беради.

Бундай ҳужумларнинг асосий хусусияти шундаки, ҳужумчи ходимнинг ҳақиқий ҳисоб ёзувидан фойдаланади. Шу сабабли унинг ҳаракатлари оддий фойдаланувчи фаолияти каби кўриниши ва ҳимоя тизимларида шубҳа уйғотмаслиги мумкин.

Бундай таҳдидларга қарши энг яхши ҳимоя — бу эътиборли бўлишдир. Агар электрон хат, қўнғироқ ёки хабар сиздан зудлик билан кодни айтишни, киришни тасдиқлашни ёки кириш созламаларини ўзгартиришни талаб қилса, шошилманг. Маълумотни бошқа алоқа канали орқали текширинг. Ўзингиз бошламаган кириш сўровларини ҳеч қачон тасдиқламанг, энг кичик шубҳа туғилганда эса дарҳол АТ хизматига хабар беринг.

Қўшимча ҳимояни фишинг ҳужумларига бардошли замонавий кўп факторли аутентификатсия усуллари, шунингдек, корпоратив сервисларидаги фаол қурилмалар ва сессияларни мунтазам текшириб бориш таъминлайди.

Ижтимоий муҳандислик усуллари доимий равишда ўзгариб бормоқда. Шу сабабли бир неча йил олдин олинган билимлар тезда эскиради. HUSH платформасида фойдаланувчилар ҳақиқий ҳужумлар асосида яратилган интерактив сценарийлардан ўтадилар: замонавий фишинг хатларини аниқлашни, психологик босим уринишларини таниб олишни, кутилмаган сўровларга тўғри муносабат билдиришни ва корпоратив сервислар билан хавфсиз ишлашни ўрганадилар.

Ҳужумчиларнинг асосий мақсади — инсонни нотўғри қарор қабул қилишга мажбур қилишдир. Ходимлар ижтимоий муҳандислик усулларини қанчалик яхши тушунсалар, бундай ҳужумларнинг муваффақиятли якунланиш эҳтимоли шунчалик кам бўлади.