Ijtimoiy muhandislik Ijtimoiy injiniring - bu foydalanuvchi yoki tashkilotning himoyalangan tizimlariga kirish maqsadida odamlarning hiyla ishlatishi. Agar parolni o’g’irlash yoki o’g’irlash imkoni bo’lmasa, siz foydalanuvchini parolni o’ziga berishga urinib ko’rishingiz mumkin. Ijtimoiy muhandislikning klassik taktikasi so’ralgan ma’lumotni bilish huquqiga ega bo’lgan shaxs nomidan jabrlanuvchiga telefon qilishdir.
Masalan, buzg’unchi tizim ma’muriga aylanib, ishonchli bahona bilan parolni (yoki boshqa ma’lumotlarni) so’rashi mumkin. Foydalanuvchilarning ochilmasligi kerak bo’lgan havola yoki biriktirmani ochish yoki uni soxta saytga jalb qilish tendentsiyasiga ijtimoiy muhandislik usullari ham deyiladi.
Xech qanday holatda parolni ruxsatsiz shaxslarga bermaslik kerak. Agar bu odamlar uni bilishga haqli bo’lsa ham. Sud yoki huquqni muhofaza qiluvchi organ tomonidan guvohlik berishni rad etish uchun javobgarlik tahdidi ostida parol berish to’g’risidagi so’rovi yagona istisno bo’lishi mumkin. Ammo bu holatda ham, siz huquqni muhofaza qilish idoralari xodimlarining aynan ular nomidan ishlaydigan xodimlariga ishonch hosil qilishingiz kerak.
Fishing Fishing - bu tasodifiy Internet foydalanuvchilaridan parollarni "olish" jarayoni. Odatda bu foydalanuvchini o’z parollarini kiritishiga yo’l qo’yadigan "qalbaki" saytlar yaratishdan iborat.
Masalan, bank hisobvarag’i uchun parolni olish uchun bank veb-saytiga o’xshash dizayn bilan veb-sayt yaratilishi mumkin. Albatta ushbu saytning manzili har xil bo’ladi, lekin ko’pincha tajovuzkor bankdan bitta belgi bilan farq qiladigan domen nomini ro’yxatdan o’tkazadi.
Natijada foydalanuvchi xato yozib, soxta saytga kiradi va uning xatosini sezmaydi. Bank mijozlarini jalb qilish uchun "hisobingizni tekshiring" yoki "yangi reklama aktsiyalarini tekshirib ko’ring" kabi elektron pochta xabarlari ham yuborilishi mumkin va xat soxta saytga olib boruvchi havolani o’z ichiga oladi.
Bank mijozlari tajovuzkorning saytiga kirishganda, ulardan (ushbu saytdagi kabi) qayd yozuviga kirish uchun foydalanuvchi nomi va parolni kiritishlari so’raladi. Ushbu ma’lumot tajovuzkorning ma’lumotlar bazasida saqlanadi, shundan so’ng mijoz ushbu saytning asosiy sahifasiga yo’naltiriladi.
Foydalanuvchi parolni kiritish "ish bermadi" va "xato qildi" yoki sayt shunchaki "xato" deb o’ylaydi. U parolni qayta kiritishga harakat qiladi va bu safar tizimga muvaffaqiyatli kirib boradi. Bu uning shubhalarini yo’qqa chiqaradi. SHu bilan birga, parol yetishmasligi allaqachon sodir bo’lgan.
Fishingning yana bir turi, ko’plab foydalanuvchilar turli xil manbalar uchun bir xil parolni ishlatishiga asoslanadi. Natijada kamroq xavfsiz manbaga muvaffaqiyatli hujum qilib, siz yanada xavfsizroq manbaga kirishingiz mumkin.
Masalan, ma’lum bir foydalanuvchilar doirasi uchun qiziq bo’lgan sayt yaratilmoqda. Agar hujumning maqsadi aniq bir odam bo’lsa, unda uning qiziqishlari va sevimli mashg’ulotlari oldindan o’rganiladi. Ushbu sayt haqida ma’lumot potentsial jabrlanuvchilarga etkazilmoqda. Saytga tashrif buyurgan foydalanuvchi ro’yxatdan o’tishga, xususan, parolni ixtiro qilishga taklif qilinadi.
Endi kiritilgan parol ushbu foydalanuvchining boshqa manbalari uchun mos keladimi-yo’qligini bilish qoladi (masalan, ro’yxatdan o’tish paytida ko’rsatilgan elektron pochta manzili).
Fishing tahdidiga qarshi turish uchun muhim parolni kiritishdan oldin sayt manzilini diqqat bilan tekshirish kerak. Ushbu manzilni brauzeringizga joylashtirganingiz va faqat ushbu xatcho’plardan foydalanganingiz ma’qul, hech qanday holatda elektron pochtalardan olingan havolalar. Turli xil xizmatlarga kirish uchun siz turli xil parollardan foydalanishingiz kerak.
Yuqoridagi barcha yettita tavsiyalarga rioya qilish juda qiyin. Bir nechta kuchli (uzoq va ma’nosiz) parollarni eslab qolish qiyin va parolni unutish ehtimoli buzilish ehtimolidan yuqori. Biroq ushbu vazifani engillashtiradigan bir qator vositalar, xususan, parollarni saqlash dasturlari mavjud.
KeePass Portable dasturida barcha parollar shifrlangan faylda saqlanadi, unga kirish uchun siz parolni kiritishingiz kerak (faqat uni esdan chiqarmaslik kerak). Biroq dastur ushbu parollarni aniq ekranda ko’rsatmaydi. Resursga kirish uchun parolni kiritish uchun (masalan, ma’lum bir sayt yoki elektron pochta), ro’yxatdagi manbani tanlashingiz kerak va kontekst menyusidan parolni buferga nusxalashni tanlashingiz kerak.
Parol buferga joylashtiriladi. Hatto foydalanuvchi harakatlarini diqqat bilan kuzatib borgan taqdirda ham, dushman klaviaturada yozilmagan va ekranda aniq ko’rinadigan parolni ko’rmaydi. Keyinchalik, parolni talab qiladigan dastur oynasiga o’tishingiz va uni clipboarddan kirish maydoniga (Ctrl+V yoki kontekst menyusidagi Paste buyrug’ini bosish orqali) qo’yishingiz kerak. Parol darhol yulduzcha ko’rinishida paydo bo’ladi. Bir necha soniyadan so’ng u avtomatik ravishda buferdan chiqariladi.
Dastur sizga ma’lum bir uzunlikdagi tasodifiy parollarni yaratishga imkon beradi va foydalanuvchi dastur o’zi uchun qanday parolni yaratganini ham bilmasligi mumkin - har safar kirishga kirishda u parolni taqdim qilishi muhimdir. KeePass Portable tizimga o’rnatishni talab qilmaydi: dasturni flesh-diskka o’tkazish va undan to’g’ridan-to’g’ri ishlatish mumkin.
Nazorat savollari: Foydalanuvchiga ta’rif bering.
Foydalanuvchi profili deganda nimani tushunasiz?
Foydalanuvchining qanday turlarini bilasiz?
Turli foydalanuvchilarning solishtirma taxlilini amalga oshiring.
O’zaro xarakatlanish usul va vositalarini sanab bering.
