Qiziqarli FAKTlar
10.09.2014
Rukn: Qiziqarli fAKTlar.
Muallif: Aleksandr Suchkov, Marufa Azizova.

Axborot texnologiyalari sohasida qiziqarli ma’lumotlarni bayon etishda davom etamiz. Internetga kirishda har birimiz o‘zimizni yolg‘onlar dunyosi oldida xavfga qo‘yamiz. Internetda qalloblikning eng keng tarqalgan turi fishingdir. Sahifamizda: fishing nima, uning paydo bo‘lilishi tarixi va fishingga qarshi kurash borasida so‘z yuritamiz. Mazkur sahifamiz Fishing haqida.

Fishing – intyernyet-qalloblikning ommaviy turidir!
Fishing (ingliz tilida phishing, fishing — baliq ovi, o‘ljani qo‘lga kiritmoq) — internet-qalloblikning bir turi bo‘lib, uning maqsadi foydalanuvchilar mahfiy ma’lumotlari — login va parolni qo‘lga kiritishdir. Bu ommaviy ravishda mashhur brendlar nomidan elektron xatlar, turli servislar ichida shaxsiy xabarlar, masalan, banklar yoki ijtimoiy tarmoqlar ichida xat jo‘natish orqali qo‘lga kiritiladi. Xatlarda ko‘pincha to‘g‘ridan-to‘g‘ri tashqi ko‘rinishidan haqiqiysiga o‘xshash qalbaki saytlarga yoki redirektli saytga ilova qilinadi.

Shundan so‘ng foydalanuvchi qalloblarning qalbaki sahifalariga duch keladi, qalloblar turli psixologik usullar bilan foydalanuvchini qalbaki sahifada o‘z login va parolini qoldirishga majbur qiladi, shunda qalloblar uning akkaunt va bank hisob raqamlariga kirish imkonini qo‘lga kiritadilar.

Fishing — ijtimoiy injeneriyaning ko‘rinishlaridan biri bo‘lib, foydalanuvchining tarmoq xavfsizligidan foydalanishni bilmasligiga asoslanadi: xususan, ko‘pchilik oddiy misol: servislar shaxsiy ma’lumotlar, parol va boshqalarni berishni so‘rab xat jo‘natmasligini bilish zarur.

Asosiy internet-brauzer ishlab chiquvchilari fishingdan himoyalanish uchun foydalanuvchilarni xabardor qilish uchun qo‘llaniladigan bir xil usullaridan foydalanishga kelishib olganlar, qalloblarga tegishli bo‘lishi mumkin bo‘lgan shubhali sayt ochdilar. Brauzerlarning yangi versiyalari shunday imkoniyatga ega bo‘lib, shunga muvofiq «antifishing» deb nomlanadi.

Tarixi
Fishing texnikasi 1987-yilda batafsil bayon etilib, mazkur atama 1996-yil 2-yanvarda paydo bo‘ldi, alt.online-service yangiliklar guruhi tomonidan e’lon qilindi. Usenet tarmog‘i America-Onlineda xakerlik jurnalida undan ilgariroq tilga olingandi.

AOL’ga dastlabki fishing
AOL’ga fishing mualliflik huquqini buzgan holda dasturiy ta’minotni tarqatish bilan shug‘ullanuvchi varez-hamjamiyatlari bilan bevosita bog‘liq bo‘lib, qalloblar kredit kartalari va boshqa tarmoq jinoyatlari bilan shug‘ullanadilar. 1995-yilda AOL kredit kartalari qalbaki raqamlaridan foydalanishning oldini olish bo‘yicha choralar qabul qilinganidan so‘ng qalloblar begona akkauntlardan foydalanish uchun fishing bilan shug‘ullandilar.

fish_9_09_2014

Fisherlar AOL xodimi sifatida o‘zlarini tanishtiradilar va dasturlar orqali tezkor axborot almashish orqali salohiyatli foydalanuvchiga murojaat etadilar va parolini bilishga harakat qiladilar. Foydalanuvchini ishontirish maqsadida «akkauntni tasdiqlash», «to‘lov axborotlarini tasdiqlash» kabi iboralardan foydalanadi. Agar foydalanuvchi parolni bersa, qallob uning ma’lumotlaridan akkauntda qalloblik maqsadlari hamda spam jo‘natishda foydalanadi. Fishing shunday miqyosda rivojlandiki, AOL barcha xabarlariga: «AOL xodimlaridan hech biri sizning parol yoki to‘lov axborotlaringizni so‘ramaydi» jumlasini qo‘shishga majbur bo‘ldi.

1997-yildan keyin AOL o‘zining fishingga nisbatan munosbati siyosatini keskin o‘zgartirib, jazo-choralarini qat’iylashtirdi hamda qalloblik akkauntlariga qarshi operativ tizimi ishlab chiqildi. Shu vaqtda ko‘plab fisherlar, ularning ko‘p qismi o‘smirlar bo‘lib, o‘z odatlaridan voz kechdilar va AOL serverlarida fishing asta-sekin bartaraf etilib bordi.

Moliyaviy muassasalarga fishing hujumlari soni o‘sib bormoqda
Kredit kartalardan foydalanish imkonini beruvchi AOL hisobot yozuvlarining egallab olinishi shuni ko‘rsatdiki, to‘lov tizimlari va ularning foydalanuvchilarini aldash oson ekan. Bunga 2001-yil iyun oyidagi e-gold to‘lov tizimiga hujum 11-sentabrdagi teraktdan keyin butun olamga ma’lum bo‘lgan birinchi xabar edi, ikkinchi hujum bu voqeadan so‘ng amalga oshirilgandi. Mazkur dastlabki harakatlar shunchaki imkoniyatlarni tekshirish maqsadidagi tajriba edi xolos. 2004-yilda esa fishing kompaniyalar uchun katta xavfga aylandi, shu vaqtdan buyon uning saloyhiyati rivojlanib, o‘sib bormoqda.

Fishing bugun
Fisherlarning maqsadi bank mijozlari va elektron to‘lov tizimlari bo‘lib hisoblanadi. AQSH’da ichki daromadlar xizmati nomi bilan murojaat etgan fisherlar soliq to‘lovchilar haqida ko‘plab ma’lumotlarga ega bo‘lganlar. Agar dastlabki xatlar duch kelgan foydalanuvchiga jo‘natilgan va zarur banklar hamda servislar haqida ma’lumot beradigan mijozlarga tasodifan duch kelingan bo‘lsa, hozirgi vaqtda fisherlar mijozning qanday xizmatlardan foydalanishini oldindan bilib, maqsadli xatlarni jo‘natish imkoniga egalar. Keyingi vaqtlardagi fishing hujumlarining bir qismi bevosita kompaniyalarda yuqori lavozimdagi yoki rahbar shaxslarga jo‘natilmoqda.

Ijtimoiy tarmoqlar fisherlar uchun foydalanuvchilar shaxsiy ma’lumotlariga ega bo‘lishda juda manfaatli manbadir: 2006-yilda kompyuter zararli manbalari MySpaceda fishing saytlariga ko‘plab ilovalarni yo‘naltirdi, ulardan maqsad ro‘yxatga olishdagi ma’lumotlarni o‘g‘irlashdan iborat edi; 2008-yil may oyida shunday holat Rossiyaning ommaviy VKontakte tarmog‘ida keng tarqaldi. Mutaxassislar hisobiga muvofiq, ijtimoiy tarmoqlar 70% fishing hujumlari — muvaffaqiyatli bo‘lgan.

Fishing ishonch bilan rivojlanib bormoqda, ko‘rilgan zararlar quyidagicha taqsimlanishi mumkin: Gartner kompaniyasi ma’lumotlariga qaraganda, 2004-yilda fisherlardan AQSH’da 2,4 mlrd., 2006-yilda —2,8 mlrd. dollar, 2007-yilda — 3,2 milliard dollar zarar ko‘rilgan; Faqatgina Qo‘shma Shtatlarda 2004-yilda 3,5 million nafar shaaxs fishingdan zarar ko‘rgan, 2008-yilda fishingdan zarar ko‘rganlar soni AQSH’da 5 mln.ga yetgan.

Fishing texnikasi
Odam doimo o‘zi uchun ahamiyatli hodisalardan ta’sirlanadi. Shu sababdan fisherlar o‘z harakatlari bilan foydalanuvchini hayajonga solib, keskin ta’sirlanishiga sababchi bo‘ladilar. Shu boisdan, masalan, «o‘z bank hisobimga kirishni tiklash uchun…» kabi sarlavhali elektron xatlar odatda, odamlar diqqatini yanada batafsil ma’lumot olish uchun veb-ilovalarga murojaat etishga majbur qiladi.

Veb-ilovalar
Fishingda ko‘pincha ishlatiladigan metodlar haqiqiy tashkilotlar ilovalariga o‘xshatib, qalbaki ilovalarni niqoblashga urinadilar. Qaloblar tomonidan noto‘g‘ri yozilgan manzillar nomi yoki subdomenlardan foydalaniladi. Masalan, http://www.yourbank.example.com bank manzili Yourbankka o‘xshash, aslida, fishing sayti example.com’ga yo‘naltiradi. Boshqa keng tarqalgan «ilmoq»da tashqi ko‘rinishidan oddiy ilova, haqiqatda esa fishing saytiga yo‘naltiradi. Yana masalan, http://ru.wikipedia.org/wiki. U «Haqiqat» deb nomlangan moddaga emas, balki «Yolg‘on»ga olib chiqadi.

Qalloblikning eski metodlaridan biri «@» belgisiga ega ilovalardan foydalanishga asoslanadi hamda unda foydalanuvchi nomi va parolini kiritish talab etiladi. Masalan, http://www.google.com@members. tripod.com ilovasi www.google.com foydalanuvchisi nomi bilan www.google. com’ga emas, balki members.tripod.comga olib chiqadi. Mazkur funksionallik Internet Explorerdan uzib tashlangan, Mozilla Firefox va Opera esa ogohlantirgan holda saytga o‘tishni tasdiqlash taklif etiladi. Biroq bu HTML-teg dan foydalanish ahamiyatini o‘zgartirmaydi.

Yana bir muammo baynalminal domen nomlaridagi brauzerlardan foydalanishda yuzaga keladi: manzillar, rasmiyga ko‘rinishidan aynanlik qalloblar saytlariga yo‘l ochadi.

Filtrlarni chalg‘itib o‘tish
Fisherlar ko‘pincha matn o‘rniga rasmlardan foydalanadilar, bu esa elektron xatdagi qalloblikni antifishing filtrlari bilan tutib olish imkonini murakkablashtiradi. Biroq mutaxassislar bu holat fishing bilan kurashishni ham o‘rganib olganlar. Pochta dasturlari filtrlari manzillar kitobida mavjud bo‘lmagan manzillardan jo‘natilgan tasvirni avtomatik tarzda blokirovka qilishi mumkin. Bundan tashqari, spam va fishingda foydalaniladigan tasvirlarni bir turdagi signaturali tasvirlar bilan solishtiradigan texnologiyalar ham ishlab chiqilgan.

Veb-saytlar
Fishing saytlariga tashrif buyurilsa, aslo yolg‘on tugamaydi. Ayrim fisherlar manzil satrini o‘zgartirish uchun JavaScriptdan foydalanadilar. Bu haqiqiy URL’ga biror rasmni joylashtirish yoki haqiqiy manzillar satrini yopish va haqiqiy URL orqali yangisini ochish vositasida amalga oshirilishi mumkin.

Qalloblar haqiqiy sayt skriptlaridan foydalanishi ham mumkin. Qalloblikning mazkur turi (saytlararo skripting nomi bilan mashhur) yanada xavfli bo‘lib, foydalanuvchi haqiqiy rasmiy sayt sahifalarida ro‘yxatdan o‘tadi, bu yerda — veb-manzildan sertifikatgacha barchasi haqiqiyligi bilan ishontiradi. Bunday fishingni maxsus mala-kalarsiz topish juda mushkul. Mazkur metodni PayPalga nisbatan 2006-yilda qo‘llaganlar.

fish_9_09_2014_1

Antifishing skanerlariga qarama-qarshi turish uchun fisherlar Flash texnologiyasi asosidagi veb-saytlardan foydalana boshladilar. Tashqi qiyofasidan sayt haqiqiysiga aynan o‘xshaydi, biroq matn multimediyali obyektlarda yashirin bo‘ladi.

Yangi xavflar
Bugungi kunda fishing internet-qalloblik chegarasidan chiqmoqda, qalbaki veb-saytlar esa uning ko‘plab yo‘nalishlaridan biridir. Go‘yoki bankdan jo‘natilgan xatlar esa foydalanuvchiga bankdagi hisob-raqamlaridagi muammolarni hal etish uchun ma’lum bir telefon raqamlariga qo‘ng‘iroq qilish zarurligini xabar qiladi. Mazkur texnika vishing (ovozli fishing) deb ataladi. Ko‘rsatilgan telefon raqamlariga qo‘ng‘iroq qilib, avtojavob so‘zlarini tinglaydi va uning talabiga muvofiq o‘z hisob-raqami va PIN-kodni kiritadi. Ba’zan fisherlar o‘zlari qalbaki raqamlardan qo‘ng‘iroq qilib, foydalanuvchini ishontirib, rasmiy tashkilot vakili sifatida ish yuritayotganligini aytadi. Oxir-oqibatda, barcha shaxsiy ma’lumotlarni so‘rab, bilib olishga muvaffaq bo‘ladilar.

SMS-fishing smishing (ingliz tilida «SMS» va «fishing» so‘zlaridan yasalgan SMiShing nomi ham mavjud) ham rivojlanib bormoqda. Qalloblar fishing saytlari tarkibidagi manbalarga tayanib, xabarlar jo‘natadilar — foydalanuvchi ularga kirib hamda shaxsiy ma’lumotlarini qoldirib, o‘zi bilmagan holda qalloblarga topshiradi. Xabarda yana «yuzaga kelgan muammoni hal etish» uchun ularga ma’lum bir ko‘rsatilgan raqamlar orqali qo‘ng‘iroq qilish zarurligi haqida ham so‘raladi. Quyidagicha SMS-fishing turlari ko‘p uchraydi: qalbaki saytda qandaydir xizmatlarni amalga oshirish uchun taqdim etilgan raqamlarga SMS jo‘natish yoki shaxsiy mobil telefoni raqamini kiritish so‘raladi, ko‘pincha mazkur talablar fayl almashuv servislari feykalari bo‘lishi mumkin. Birinchi holatda, abonent telefon hisobidan katta mablag‘ chiqarib olinadi (shartnoma ko‘rsatilgan katta summa bo‘lishi ham mumkin), ikkinchi holatda telefon raqami SMS-spam jo‘natmalari manzillari bazasiga qo‘shiladi va kelgusidagi fishing harakatlarida foydalaniladi.

Fishingga qarshi kurash
Fishingga qarshi kurashishning turli metodlari ma’lum, jumladan, amaldagi qonunchilik va fishingdan himoya qilishga qaratilgan maxsus texnologiyalar ishlab chiqilib, qo‘llanilib kelmoqda.

Foydalanuvchilarni xabardor qilish
Fishingga qarshi metodlardan biri odamlarni fishingni ajrata bilish va unga qarshi kurashishga o‘rgatishdan iborat. Odamlar o‘z yondashuvlarini o‘zgartirib, fishing xavfini kamaytirishlari mumkin. Mutaxassislar har qanday shaxsiy ma’lumotlarni «tasdiqlashni» so‘rab jo‘natilgan xatlarga (yoki fisherlarning istalgan murojaatlariga) javoban mazkur xat nomidan jo‘natilgan kompaniyaga xatning qalbaki emasligini tekshirib ko‘rish uchun jo‘natib, murojaat etishni maslahat beradilar. Bundan tashqari, ekspertlar har qanday shubhali giperilovadan foydalanish o‘rniga mustaqil ravishda, tashkilot veb-manzilni brauzer manzillar satriga kiritishni tavsiya etadilar.

Deyarli barcha tashkilotlar xabarlarida fisherlar uchun qulay axborotlar mavjud. Ayrimlar masalan, PayPal, har doim o‘z foydalanuvchilariga ism va nomlari bilan murojaat etadi, umumiy murojaat etilgan xatlarda esa «Hurmatli PayPal foydalanuvchilari» bo‘lgan taqdirda, mazkur xatni fishing deb shubhalanish mumkin. Bank va kredit muassasalaridan kelgan xatlarda hisob-raqami bo‘lishi ham mumkin. Biroq yaqinda o‘tkazilgan tadqiqotlar shuni ko‘rsatdiki, odamlar birinchi yoki oxirgi raqamlargagina e’tibor qaratadilar xalos, moliya muassasalari mijozlari uchun aynan birinchi raqamlar barchada ham bir xil bo‘lishi mumkin. Faqat odamlarga shubhali xatlar kelganida ularga javob va shaxsiy ma’lumotlar bermaslik kerakligini tushuntirish zarur. Biroq fishing hujumlari 2006-yilda foydalanuvchiga shaxsiy ma’lumotlari yozilgan holda hujumlar boshlandi, bu ham axborot xavfidan himoyani kafolatlamasligini bilish zarur. Bundan tashqari, boshqa tadqiqotlar natijalariga muvofiq shu narsa ma’lum bo‘ldiki, shaxsiy axborotlar mavjudligi fishing hujumlari muvaffaqiyatini ta’minlamadi, ko‘pchilik bunga e’tibor ham bermasligi ma’lum bo‘ldi.

Antifishing ishchi guruhi fishingga qarshi oddiy metodlar yaqin vaqtlarda eskirishini ta’kidlamoqdalar, sababi fisherlar foydalanadigan ijtimoiy injeneriya haqida ko‘p ma’lumotlardan xabardor bo‘lib bormoqdalar. Ekspertlar kelajakda ko‘proq keng tarqalgan metodlar — axborotlarini o‘g‘irlashda farming va zararli dasturlardan foydalanadilar deb hisoblamoqdalar.

O‘zbekiston aholisi uchun hozircha fishing katta muammo bo‘lib hisoblanmaydi. Biroq elektron tijorat xizmatidan foydalanuvchilar soni o‘sib borishi bilan fishing masalasi muhim bo‘lib borishi ham mumkin.

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
WhatsAppga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq