From Wikipedia, the free encyclopedia
Axborot xavfsizligi kontekstida ijtimoiy muhandislik — bu odamlarga nisbatan biror xatti-harakatni amalga oshirish yoki maxfiy maʼlumotlarni oshkor qilish maʼnosidagi psixologikmanipulyatsiya. Maʼlumot toʻplash, firibgarlik yoki maʼlum bir tizimga kirish maqsadida amalga oshiriladigan ishonch hiylasining bir turi boʻlgan ijtimoiy muhandislik anʼanaviy „con“ dan farq qiladi, chunki u koʻpincha murakkabroq firibgarlik sxemasining koʻp bosqichlaridan biri hisoblanadi[1]. Shuningdek, u „shaxsning manfaatlariga mos keladigan yoki aksincha boʻlishi mumkin boʻlgan harakatni amalga oshirishga taʼsir qiluvchi har qanday harakat“ deb taʼriflangan[2].
Ijtimoiy muhandislikka misol sifatida loginni talab qiladigan koʻpgina veb-saytlarda „parolni unutdingizmi“ funksiyasidan foydalanishni misol qilib keltirish mumkin. Notoʻgʻri himoyalangan parolni tiklash tizimi zararli tajovuzkorga foydalanuvchining hisobiga toʻliq kirish huquqini berish uchun ishlatilishga sabab boʻlib qolishi mumkin, bunda ayni paytda asl foydalanuvchi hisobga kirish huquqini yoʻqotadi.
Xodimlarning xatti-harakati tashkilotlardagi axborot xavfsizligiga katta taʼsir koʻrsatishi mumkin. Madaniy tushunchalar tashkilotning turli segmentlariga samarali ishlashda yordam beradi yoki tashkilot ichidagi axborot xavfsizligini taʼminlash samaradorligiga qarshi ishlaydi. „Tashkilot madaniyati va axborot xavfsizligi madaniyati oʻrtasidagi munosabatlarni oʻrganish“ axborot xavfsizligi madaniyatining quyidagi taʼrifini beradi: „ISC — bu tashkilotdagi barcha turdagi maʼlumotlarni himoya qilishga hissa qoʻshadigan xatti-harakatlar namunalarining yigʻindisi“[3].
Andersson and Reimers (2014) shuni aniqladilarki, xodimlar koʻpincha oʻzlarini tashkilotning „axborot xavfsizligi“ tuzilmasining bir qismi sifatida koʻrmaydilar va tashkilotning axborot xavfsizligi manfaatlarini eʼtiborsiz qoldiradigan yoki xavfga qoʻyadigan xatti-harakatlarga yoʻl qoʻyadilar[4].
Tadqiqotlar shuni koʻrsatadiki, axborot xavfsizligi madaniyati doimiy ravishda takomillashtirilishi kerak. „Information Security Culture from Analysis to Change“ asari mualliflari bu hech qachon tugamaydigan jarayon, baholash, oʻzgartirish yoki texnik xizmat koʻrsatish sikli" deb izoh berishgan. Ular axborot xavfsizligi madaniyatini boshqarish uchun beshta qadamni bajarish kerakligini taklif qiladilar: oldindan baholash, strategik rejalashtirish, operativ rejalashtirish, amalga oshirish va keyingi baholash[5].
Barcha ijtimoiy muhandislik texnikasi kognitiv tarafkashlik deb ataladigan inson qarorlarini qabul qilishning oʻziga xos xususiyatlariga asoslanadi[6][7]. Baʼzan „inson apparatidagi xatolar“ deb ataladigan bu notoʻgʻri fikrlar hujum usullarini yaratish uchun turli kombinatsiyalarda qoʻllanadi, ulardan baʼzilari quyida keltirilgan. Ijtimoiy muhandislikda qoʻllanadigan hujumlar xodimlarning maxfiy maʼlumotlarini oʻgʻirlash uchun ishlatilishi mumkin. Ijtimoiy muhandislikning eng keng tarqalgan turi telefon orqali amalga oshiriladi. Bunday hujumlarning boshqa misollari — oʻzini oʻldiradigan kishi, oʻt oʻchiruvchi va texnik xodim qiyofasiga kirgan jinoyatchilar kompaniya sirlarini oʻgʻirlash nuqtai nazaridan deyarli eʼtiborga olinmaydi.
Ijtimoiy muhandislikning bir misoli — binoga kirib, kompaniya byulleteniga yordam boʻlimining raqami oʻzgarganligi haqida rasmiy koʻrinishdagi eʼlonni joylashtirgan shaxs hodisasi. Shunday qilib, xodimlar yordamga qoʻngʻiroq qilganda, shaxs ulardan parollari va identifikatorlarini soʻraydi, shu bilan kompaniyaning shaxsiy maʼlumotlari bazasiga kirish imkoniyatiga ega boʻladi. Ijtimoiy muhandislikning yana bir misoli, xakerning ijtimoiy tarmoq saytida nishon bilan bogʻlanishi va suhbatni boshlashi. Asta-sekin xaker maqsad ishonchini qozonadi va soʻngra parol yoki bank hisobi tafsilotlari kabi muhim maʼlumotlarni qoʻlga kiritish uchun bu ishonchdan foydalanadi[8].
Ijtimoiy muhandislik koʻp jihatdan Robert Cialdini tomonidan oʻrnatilgan taʼsirning olti tamoyiliga tayanadi. Cialdini taʼsir nazariyasi oltita asosiy tamoyilga asoslanadi: oʻzaro munosabat, majburiyat va izchillik, ijtimoiy isbot, hokimiyat, yoqtirish, tanqislik.
Ijtimoiy muhandislikda tajovuzkor jabrlanuvchiga yopishib olish ehtimolini oshirish uchun yaqinlikda ustunlikka ega boʻlib olishga intilishi mumkin.
Hujumchi (potensial niqoblangan) jabrlanuvchi tomonidan muayyan harakatlar amalga oshirilmasa, bu salbiy oqibatlarga olib kelishi haqida xabar beradi yoki ogohlantiradi. Xususan, „Men sizning menejeringizga hammasini aytaman“ kabi nozik qoʻrqitish iboralari ham qoʻllanishi mumkin.
Odamlar boshqa odamlar ham qilayotganini koʻrgan xatti-harakatlarni amalga oshirishadi. Masalan, eksperimentlardan birida bir yoki bir nechta ishtirokchilar osmonga qaraydilar; Shunda boshqa tomoshabinlar ham gap nimadaligini bilish uchun osmonga qarashadi. Tajriba shu bilan nihoyasiga yetadi. Muvofiqlik va Asch muvofiqlik tajribalariga qarang.
Qabul qilingan tanqislik talabni keltirib chiqaradi. Umumiy reklama iborasi „taʼminot oxirgi boʻlganda“ tanqislik tuygʻusiga asoslangan.
Kamchilik bilan bogʻliq holda hujumchilar shoshilinchlikni ijtimoiy muhandislikning vaqtga asoslangan psixologik prinsipi sifatida ishlatadilar. Misol uchun, takliflar „faqat cheklangan vaqt“ uchun aktual ekanligini bildirish shoshilinchlik hissi orqali kutilgan natijani ragʻbatlantiradi.
Odamlar oʻzlari yoqtirgan boshqa odamlar tomonidan osongina ishontiriladi. Cialdini saytlari virusli marketing deb atalishi mumkin boʻlgan Tupperware marketingiga asos boʻladi. Odamlar xizmatni taklif qilgayotgan shaxsga nisbatan simpatiyaga ega boʻlsalar, sotib olish koʻrsatkichlari oʻz-oʻzidan balandroq boʻladi. Jismoniy jozibadorlik stereotipiga qarang.
Vishing, boshqacha qilib aytganda, "ovozli fishing" sifatida tanilgan, moliyaviy mukofot tarqatish maqsadida jamoatchilikdan shaxsiy va moliyaviy maʼlumotlarga kirish uchun telefon tizimi orqali ijtimoiy muhandislikdan foydalanishning jinoiy amaliyotidir[9]. Bundan tashqari, vishingdan hujumchilar tomonidan maqsadli tashkilot haqida batafsil maʼlumot toʻplash uchun razvedka maqsadlarida ham foydalaniladi.
Fishing — shaxsiy maʼlumotlarni firibgarlik yoʻli bilan olish usuli. Odatda, fisher qonuniy biznesdan — bankdan yoki kredit kartochkasi kompaniyasi nomidan maʼlumotni „tekshirish“ va agar maʼlumot taqdim etilmasa, qandaydir dahshatli oqibatlar haqida ogohlantirishni soʻrab elektron pochta xabarini yuboradi. Xabar odatda qonuniy koʻrinadigan, kompaniya logotiplari va mazmuni aks etgan firibgar veb-sahifaga havolani oʻz ichiga olad. Fishingda uy manzilidan tortib ATM kartasining PIN-kodi yoki kredit karta raqamiga qadar hamma narsani soʻrash shakli mavjud. Misol uchun, 2003-yilda fishing firibgarligi roʻy bergan boʻlib, bunda foydalanuvchilar eBay’dan, agar kredit kartani yangilash uchun taqdim etilgan havola bosilmasa, foydalanuvchining hisobi toʻxtatib qoʻyilishi haqida daʼvo qilingan elektron pochta xabarlarini oladilar[10]. Qonuniy tashkilotning HTML kodi va logotiplarini taqlid qilish orqali soxta veb-saytni haqiqiy koʻrinishga keltirish nisbatan oson. Firibgarlik harakati baʼzi odamlarni eBay taqdim etilgan havolani bosish orqali hisob maʼlumotlarini yangilashni talab qilmoqda, deb oʻylashga majbur qildi. Odamlarning juda katta guruhlariga tasodifiy spam joʻnatish orqali „fisher“ eBay hisobiga ega boʻlgan va firibgarlik qurboni boʻlgan oluvchilarning kichik foizidan (ammo koʻp sonli) nozik moliyaviy maʼlumotlarni olishga umid qilgan.
Jabrlanuvchilarni muayyan harakatlarga jalb qilish uchun SMS matnli xabarlardan foydalanish harakati, shuningdek, „smishing“ deb ham ataladi[11]. Xuddi fishingdagi kabi bu zararli havolani bosish yoki maʼlumotni oshkor qilish uslubida amalga oshirilishi mumkin. Misol sifatida umumiy tashuvchidan (masalan, FedEx) yuborilgan paketning yoʻlda ekanligini bildirish va havolasi taqdim etilgan matnli xabar yuborishni keltirish mumkin.
Tizim yoki binoga jismoniy kirish huquqini qoʻlga kiritish maqsadida oʻzini boshqa shaxs sifatida koʻrsatish yoki daʼvo qilish ham ijtimoiy muhandislik usullaridan biridir.
Pretexting (adj. pretextual) — maqsadli jabrlanuvchini jalb qilish uchun ixtiro qilingan ssenariyni (bahona) yaratish va undan foydalanish harakati, bu jabrlanuvchining maʼlumotni oshkor qilish yoki oddiy sharoitlarda mumkin boʻlmagan harakatlarni amalga oshirish imkoniyatini oshiradi[12].
Ushbu usul biznesni mijozlar maʼlumotlarini oshkor qilishda aldash uchun, shuningdek, shaxsiy tergovchilar tomonidan telefon yozuvlari, kommunal yozuvlar, bank yozuvlari va boshqa maʼlumotlarni toʻgʻridan-toʻgʻri kompaniya xizmatlari vakillaridan olish uchun ishlatilishi mumkin[13]. Keyinchalik maʼlumot menejer bilan qattiqroq soʻroq ostida yanada qonuniylikni oʻrnatish uchun ishlatilishi mumkin, masalan, hisobni oʻzgartirish, maxsus qoldiqlarni olish va hokazo.
Bahonadan hamkasblar, politsiya, bank, soliq idoralari, ruhoniylar, sug‘urta tergovchilari yoki nishonga olingan jabrlanuvchining ongida vakolat yoki bilish huquqiga ega bo‘lgan har qanday boshqa shaxs nomini ko‘rsatish uchun ham foydalanish mumkin. Bahonachi jabrlanuvchi soʻrashi mumkin boʻlgan savollarga javoblarni tayyorlashi kerak.
Telefon fishingi (yoki „phishing“) bank yoki boshqa muassasaning IVR tizimining qonuniy ovozli nusxasini qayta yaratish uchun yolgʻon interaktiv ovozli javob (IVR) tizimidan foydalanadi. Jabrlanuvchidan (odatda fishing elektron pochta orqali) maʼlumotni „tekshirish“ uchun taqdim etilgan (ideal holda bepul) raqam orqali „bank“ga qoʻngʻiroq qilish soʻraladi. Oddiy „vishing“ tizimi doimiy ravishda kirishni rad etadi, jabrlanuvchi PIN yoki parollarni bir necha marta kiritishini taʼminlaydi, koʻpincha bir nechta turli parollarni oshkor qiladi. Keyinchalik ilgʻor tizimlar jabrlanuvchini tajovuzkor/firibgarga oʻtkazadi, u jabrlanuvchini keyingi soʻroq qilish uchun mijozlarga xizmat koʻrsatish agenti yoki xavfsizlik mutaxassisi sifatida namoyon boʻladi.
"Fishing" ga oʻxshash boʻlsa-da, nayzali fishing bir nechta oxirgi foydalanuvchilarga yuqori darajada moslashtirilgan elektron pochta xabarlarini yuborish orqali shaxsiy maʼlumotlarni firibgarlik yoʻli bilan olish usulidir. Bu fishing hujumlari oʻrtasidagi asosiy farq, chunki fishing kampaniyalari faqat bir nechta odam javob berishini kutish bilan umumiy elektron pochta xabarlarini yuborishga qaratilgan. Boshqa tomondan, nayza-fishing elektron pochta xabarlari tajovuzkordan oxirgi foydalanuvchilarni soʻralgan harakatlarni amalga oshirishda „aldash“ uchun oʻz maqsadlari boʻyicha qoʻshimcha tadqiqotlar oʻtkazishni talab qiladi. Nayzali fishing hujumlarining muvaffaqiyat darajasi oddiy fishing hujumlarinikiga qaraganda ancha yuqori, bunda odamlar fishing elektron pochta xabarlarining taxminan 3 foizini ochadi va bu potensial urinishlarning taxminan 70 foizini tashkil qiladi. Foydalanuvchilar haqiqatan ham elektron pochta xabarlarini ochganda, fishing elektron pochta xabarlari nayzali fishing hujumining 50% muvaffaqiyat darajasi bilan solishtirganda, havola yoki biriktirmani bosish uchun nisbatan 5% kam muvaffaqiyatga erishadi[14].
Spear-fishing muvaffaqiyati tajovuzkor olishi mumkin boʻlgan OSINT (ochiq manbali razvedka) miqdori va sifatiga bogʻliq. Ijtimoiy tarmoqlardagi akkaunt faolligi OSINT manbalarining bir misolidir.
Suv quyish — bu foydalanuvchilarning doimiy ravishda tashrif buyuradigan veb-saytlarga boʻlgan ishonchidan foydalanadigan maqsadli ijtimoiy muhandislik strategiyasidir. Jabrlanuvchi oʻzini boshqa vaziyatda qilolmaydigan narsalarni qilish uchun xavfsiz his qiladi. Ehtiyotkor odam, masalan, istalmagan elektron pochtadagi havolani bosishdan maqsadli ravishda qochishi mumkin, ammo oʻsha odam tez-tez tashrif buyuradigan veb-saytdagi havolani kuzatishdan tortinmaydi. Shunday qilib, hujumchi qulay sugʻorish joyida ehtiyotsiz oʻlja uchun tuzoq tayyorlaydi. Ushbu strategiya baʼzi (taxminan) juda xavfsiz tizimlarga kirish uchun muvaffaqiyatli ishlatilgan[15].
Tajovuzkor maqsadli guruh yoki shaxslarni aniqlash orqali yoʻl olishi mumkin. Tayyorgarlik xavfsiz tizimdan tez-tez tashrif buyuradigan veb-saytlar haqida maʼlumot toʻplashni oʻz ichiga oladi. Maʼlumot toʻplash maqsadlar veb-saytlarga tashrif buyurishini va tizim bunday tashriflarga ruxsat berishini tasdiqlaydi. Keyin tajovuzkor ushbu veb-saytlarni zararli dastur bilan zararlanishi mumkin boʻlgan kodni kiritish uchun ushbu veb-saytlarni sinovdan oʻtkazadi. AOK qilingan kod tuzogʻi va zararli dastur aniq maqsadli guruhga va ular foydalanadigan maxsus tizimlarga moslashtirilgan boʻlishi mumkin. Vaqt oʻtishi bilan maqsadli guruhning bir yoki bir nechta aʼzolari infeksiyalanadi va tajovuzkor xavfsiz tizimga kirish huquqiga ega boʻladi.
Baiting jismoniy vositalardan foydalanadigan va jabrlanuvchining qiziqishi yoki ochkoʻzligiga tayanadigan haqiqiy dunyodagi troya otiga oʻxshaydi[16]. Ushbu kiberhujumda tajovuzkorlar zararli dasturlar bilan zararlangan floppi disklar, CD-ROMlar yoki USB flesh-disklarni odamlar topadigan joylarda (hammom, liftlar, trotuarlar, toʻxtash joylari va boshqalar) qoldiradilar, ularga qonuniy va qiziqish uygʻotadigan yorliqlar yopishtiradilar va qurbonlarni kutadilar.
Misol uchun, tajovuzkor maqsadli veb-saytda mavjud boʻlgan korporativ logotipli diskni yaratishi va uni „2012 yil 2-chorak maoshining xulosasi“ deb nomlashi mumkin. Keyin tajovuzkor diskni lift polida yoki maqsadli kompaniyaning qabulxonasida qoldiradi. Nomaʼlum xodim uni topib, qiziqishini qondirish uchun diskni kompyuterga kiritishi yoki kompaniyaga qaytarishi mumkin. Qanday boʻlmasin, diskni kompyuterga kiritish unga zararli dasturlarni oʻrnatadi, bu tajovuzkorlarga qurbonning shaxsiy kompyuteriga va, ehtimol, maqsadli kompaniyaning ichki kompyuter tarmogʻiga kirish imkonini beradi.
Agar kompyuter blokirovka qilingan infeksiyalarni nazorat qilmasa, oʻrnatish shaxsiy kompyuterlarning „avtomatik ishlaydigan“ muhitini buzadi. Dushman qurilmalardan ham foydalanish mumkin[17]. Masalan, „omadli gʻolib“ga u ulangan har qanday kompyuterni buzadigan bepul raqamli audio pleer yuboriladi. „Yoʻl olma“ (ot goʻngi uchun soʻzma-soʻz atama boʻlib, qurilmaning nomaqbul xususiyatini koʻrsatadi) opportunistik yoki koʻzga tashlanadigan joylarda qoldirilgan zararli dasturlarga ega har qanday olinadigan vositadir. Bu boshqa vositalar qatorida CD, DVD yoki USB flesh-disk boʻlishi mumkin. Qiziquvchan odamlar uni olib, kompyuterga ulab, xost va ulangan tarmoqlarni yuqtirishadi. Shunga qaramay, xakerlar ularga „Xodimlarning ish haqi“ yoki „Maxfiy“ kabi jozibali yorliqlarni berishi mumkin[18].
2016-yilda olib borilgan bir tadqiqotda tadqiqotchilar Illinois universiteti kampusiga 297 ta USB drayverlarni tashlab yuborishgan. Disklarda tadqiqotchilarga tegishli veb-sahifalarga bogʻlangan fayllar mavjud edi. Tadqiqotchilar drayvlarning nechtasida fayllar ochilganini koʻrishga muvaffaq boʻlishdi, lekin ularning nechtasi kompyuterga fayl ochilmagan holda kiritilganligini koʻra olmadi. Drayverlarning290 tasi (98%) olingan va 135 tasi (45%) „uyga qoʻngʻiroq qilgan“[19].
Quid pro quo biror narsa uchun nimadirni anglatadi:
Qarovsiz, elektron kirish nazorati, masalan, RFID karta orqali himoyalangan cheklangan hududga kirishga intilayotgan tajovuzkor qonuniy kirish huquqiga ega boʻlgan shaxsning orqasidan kirib boradi. Oddiy xushmuomalalikdan soʻng, qonuniy shaxs odatda tajovuzkor uchun eshikni ochiq ushlab turadi yoki tajovuzkorlarning oʻzlari xodimdan eshikni ular uchun ochiq tutishni soʻrashlari mumkin. Buzgʻunchi koʻpincha xodim tomonidan soʻroq qilinishini oldini olish uchun mobil telefon orqali qoʻngʻiroq qilish niyatida boʻladi. Qonuniy shaxs bir nechta sabablarga koʻra shaxsini aniqlashtirishni soʻramasligi yoki tajovuzkorning tegishli identifikatsiya belgisini unutgan yoki yoʻqotgan degan daʼvosini qabul qilishi mumkin. Tajovuzkor shaxsni tasdiqlovchi tokenni taqdim etish harakatini ham soxtalashtirishi mumkin.
Oddiy firibgarlar yoki shaxsiy maʼlumot oʻgʻrilarini kengroq maʼnoda „ijtimoiy muhandislar“ deb hisoblash mumkin, chunki ular odamlarni ataylab aldashadi va manipulyatsiya qilishadi, shaxsiy manfaat olish uchun insonning zaif tomonlaridan foydalanishadi. Ular, masalan, IT firibgarligining bir qismi sifatida ijtimoiy muhandislik usullaridan foydalanishlari mumkin.
2000-yillarning boshlarida ijtimoiy muhandislik texnikasining yana bir turi sifatida Yahoo!, Gmail yoki Hotmailda oʻz elektron pochtalarida ega boʻlgan shaxslarning IDsini buzib kirish paydo boʻldi. Bundan tashqari, baʼzi firibgarlik urinishlari PayPal kabi yirik onlayn xizmat koʻrsatuvchi provayderlarning elektron pochta xabarlarini oʻz ichiga oladi[22]. Bu 2014-yil apreldagi RFC 7208 Sender Policy Frameworkning „taklif etilgan standarti“ni DMARC bilan birgalikda firibgarlikka qarshi kurash vositasi sifatida qabul qildi. Ushbu aldashning koʻplab sabablari orasida:
Tashkilotlar oʻzlariga xavf soluvchi omillarini quyidagi yoʻllar bilan kamaytiradilar:
Xodimlarni oʻqitish: xodimlarni oʻz lavozimlariga tegishli xavfsizlik protokollari boʻyicha oʻrgatish
Standart asos: Xodimlar/xodimlar darajasida ishonch asoslarini yaratish (yaʼni, qachon/qayerda/nima uchun/qanday nozik maʼlumotlar bilan ishlash kerakligini aniqlash va xodimlarni oʻrgatish)
Maʼlumotni tekshirish: Qaysi maʼlumotlarning nozikligini aniqlash va uning ijtimoiy muhandislik va xavfsizlik tizimlaridagi (bino, kompyuter tizimi va boshqalar) buzilishlarga taʼsirini baholash.
Xavfsizlik protokollari: maxfiy maʼlumotlarni qayta ishlash uchun xavfsizlik protokollari, siyosatlari va protseduralarini oʻrnatish.
Voqealar testi: Xavfsizlik tizimining eʼlon qilinmagan, davriy sinovlarini oʻtkazish.
Vaksinatsiya: shunga oʻxshash yoki tegishli urinishlarga taʼsir qilish orqali ishontirish urinishlariga qarshilik koʻrsatish orqali ijtimoiy muhandislik va boshqa firibgarlik yoki tuzoqlarning oldini olish[23].
Koʻrib chiqish: Yuqoridagi amallarni muntazam ravishda koʻrib chiqish: axborot yaxlitligiga hech qanday yechim mukammal emas[24].
Chiqindilarni boshqarish: Chiqindilarni boshqarish xizmatidan foydalanish, bunda qulflari bor axlat qutilari, ularning kalitlari faqat chiqindilarni boshqarish kompaniyasi va tozalash xodimlariga tegishli boʻladi[25].
Frenk Abagnale Jr. amerikalik xavfsizlik boʻyicha maslahatchi boʻlib, u 15 yoshdan 21 yoshgacha boʻlgan davrida sobiq soxta firibgar sifatida tanilgan. U eng mashhur firibgarlardan biriga aylanib[27], kamida sakkizta shaxsni, jumladan, aviakompaniya uchuvchisi, shifokor, AQSh qamoqxonalar byurosi agenti va advokatni chuv tushirganini daʼvo qildi. Abagnale 22 yoshga toʻlgunga qadar politsiya hibsxonasidan ikki marta (bir marta taksi layneridan va bir marta AQSh federal qamoqxonasidan) qochib ketgan[28]. Stiven Spilbergning mashhur filmi "Catch Me If You Can" uning hayotiga asoslangan.
Kevin Mitnick amerikalik kompyuter xavfsizligi boʻyicha maslahatchi, muallif va xaker boʻlib, 1950-yilda hibsga olingani maʼlum. Keyinchalik u kompyuter va aloqa bilan bogʻliq turli jinoyatlari uchun besh yillik qamoq jazosiga hukm qilingan[29].
Susan Headley 1970-yillarning oxiri va 1980-yillarning boshlarida faol boʻlgan amerikalik xaker boʻlib, ijtimoiy muhandislik, bahona va psixologik buzgʻunchilik sohasidagi tajribasi uchun keng eʼtiborga sazovor boʻlgan[30]. U harbiy kompyuter tizimlarini buzish boʻyicha oʻz ixtisosligi bilan mashhur edi, bu koʻpincha harbiy xizmatchilar bilan uxlash va uxlash vaqtida foydalanuvchi nomlari va parollari uchun kiyimlarini tekshirishni oʻz ichiga oladi[31][32].
James Linton britaniyalik xaker va ijtimoiy muhandis boʻlib, 2017-yilda OSINT va nayza-fishing usullaridan foydalanib, elektron pochta orqali turli maqsadlarni, jumladan, yirik banklarning bosh direktorlari va Trump Oq uy maʼmuriyati aʼzolarini aldagan. Keyin u elektron pochta xavfsizligi boʻyicha ishga kirdi va u yerda maxsus tahdid maʼlumotlarini toʻplash uchun BEC (Business Email Compromise) tahdidi aktyorlarini ijtimoiy jihatdan ishlab chiqdi.
Mike Ridpath Xavfsizlik boʻyicha maslahatchi, muallif va maʼruzachi, w00w00ning sobiq aʼzosi. Ijtimoiy muhandislikda u sovuq qoʻngʻiroq qilish uchun texnika va taktikaga urgʻu beradi. U yozib olingan qoʻngʻiroqlarni oʻynatadigan va telefon orqali parollarni olish uchun nima qilayotgani va jonli namoyishlari haqida oʻylash jarayonini tushuntirib bergan nutqlaridan soʻng eʼtiborga sazovor boʻldi[33][34][35][36][37]. Bolaligida Ridpath Badir Brothers bilan bogʻlangan va Oki 900s, blueboxing, sunʼiy yoʻldoshli xakerlik va RCMAC-ni oʻzgartirish boʻyicha Phrack, B4B0 va 9x kabi mashhur jurnallardagi maqolalari bilan freaking va xakerlik jamiyatida keng tanilgan[38][39].
Aka-uka Ramy, Muzher, and Shadde Badirlar — ularning barchasi tugʻma koʻr boʻlgan — 1990-yillarda ijtimoiy muhandislik, ovozli taqlid qilish va Brayl displeyli kompyuterlar yordamida Isroilda telefon va kompyuter firibgarligining keng sxemasini yaratishga muvaffaq boʻlishdi[40].
Christopher J. Hadnagy — amerikalik ijtimoiy muhandis va axborot texnologiyalari xavfsizligi boʻyicha maslahatchi. U ijtimoiy muhandislik va kiberxavfsizlik boʻyicha 4 ta kitob[41][42][43][44] muallifi va xborot xavfsizligi boʻyicha mutaxassislardan yordam soʻrash, ochiq manbali razvedka (OSINT) maʼlumotlaridan foydalanish va huquqni muhofaza qilish organlari bilan hamkorlik qilishga ixtisoslashgan „Innocent Lives Foundation“ tashkiloti asoschisi sifatida tanilgan[45][46].
Umumiy huquqqa koʻra yozishmalarni oshkor qilish — bu shaxsiy hayotga tajovuz qilish[47].
2006-yil dekabr oyida Amerika Qoʻshma Shtatlari Kongressi Senat homiylik qilgan qonun loyihasini maʼqulladi. Unga koʻra telefon yozuvlarini oshkor qilish federal jinoyat sifatida 250 000 dollargacha jarima va jismoniy shaxslar uchun 10 yil qamoq jazosi (yoki kompaniyalar uchun 500 000 dollargacha jarima) bilan jazolanadi. Qonun 2007-yil 12-yanvarda Prezident George W. Bush tomonidan imzolangan[48].
Hewlett Packard kompaniyasining sobiq raisi Patricia Dunning xabar berishicha, HP boshqaruv kengashi boshqaruv tarkibidagi sizib chiqish uchun kim mas’ul ekanini aniqlash uchun xususiy tergov kompaniyasini yollagan. Dunn kompaniya boshqaruv kengashi aʼzolari va jurnalistlarning telefon yozuvlarini soʻrash uchun yozuvlarni oshkor qilish amaliyotidan foydalanganini tan oldi. Rais Dunn keyinchalik bu xatti-harakati uchun uzr soʻradi va agar kengash aʼzolari xohlasa, boshqaruv kengashidan ketishni taklif qildi[49]. Federal qonundan farqli oʻlaroq, Kaliforniya qonuni bunday xatti-harakatlarni taqiqlaydi. Dunnga qoʻyilgan toʻrtta jinoiy ayblov bekor qilindi[50].
Baʼzi ehtiyot choralarini koʻrish ijtimoiy muhandislik firibgarliklari qurboni boʻlish xavfini kamaytiradi. Ehtiyot choralari quyidagilardan iborat:
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.