OHmHHr BA YHHHr YCY^^APH
Умид Журабоевич Кенжаев
Узбекистан Республикаси Жамоат хавфсизлиги Университети Магистратураси тингловчиси, подполковник
Айдос Фархадович Жолдасов
Узбекистан Республикаси Жамоат хавфсизлиги Университети Магистратураси тингловчиси, подполковник
АННОТАЦИЯ
Маколада тажовузкорлар томонидан керакли маълумотларга кириш ёки фойдаланувчининг шахсий компьютерини зарарлаш учун фишингдан фойдаланиш муаммоси урганилади. Фишинг муаммоларини хисобга олсак, маълумотларнинг йуколишида нафакат тажовузкорнинг узи, балки фойдаланувчининг узи хам айбдор эканлигини эслатиб утмаслик мумкин эмас, чунки у маълумотни химоя килишнинг барча усулларига риоя килмаган булиб чикади. Шунингдек маколада фишер томонидан амалга оширилаётган киберхужумлар тахлил килинади.
Калит сузлар: фишинг, киберхужум, фишинг усуллари, ахборот хавфсизлиги, интернет, кибермайдон.
ABSTRACT
The article explores the problem of phishing using hackers to gain access to the necessary information or damage the user's personal computer. Given the problems of phishing, it goes without saying that not only the attacker is to blame for the loss of data, but also the user, since it turns out that he did not follow all data protection methods. The article also analyzes cyber attacks carried out by phishers.
Keywords: phishing, cyberattack, phishing methods, information security, internet, cyberspace.
КИРИШ
Биринчи фишинг хужумлари утган асрнинг охирида пайдо булган ва хозирда, Google маълумотларига кура, хар йили дунёда 12,4 миллионга якин фойдаланувчи фишинг курбонига айланади.
Кредит карта маълумотларига кириш имконини берувчи AOL хисобларининг угирланиши тулов
June, 2022
32
процессорлари ва уларнинг фойдаланувчилари хам заиф эканлигини курсатди. Маълум булган биринчи уриниш 2001 йил июнь ойида электрон e-gold тулов тизимига килинган хужум булса, иккинчиси 11 сентябрь хужумларидан куп утмай содир булган эди.[1]
Бу биринчи уринишлар факат тажриба, имкониятлар синови эди. 2004 йилда эса фишинг компаниялар учун энг катта хавфга айланди ва ушандан бери у доимий равишда ривожланиб, уз салохиятини ошириб келмокда. [2]
Анъанавий фишинг усуллари аста-секин утмишга айланиб бораётган булса-да, бу турдаги фирибгарлик хали хам жисмоний шахслар ва компаниялар учун жиддий хавф тугдиради.
АДАБИЁТЛАР ТА^ЛИЛИ ВА МЕТОДОЛОГИЯ
Фишинг (фишинг, яъни инглиз тилидаги балик овлаш сузидан олинган булиб) - Интернетдаги фирибгарликнинг бир тури, унинг максади фойдаланувчи идентификация маълумотларини (банк карталари, хисоблар учун логин ва пароллар) олишдир.
Купинча фишинг - бу таникли брендлар, банклар, тулов тизимлари, почта хизматлари, ижтимоий тармоклар номидан хатлар
ва билдиришномаларни оммавий юбориш. Бундай хатлар, коида тарикасида, логотип, хабар ва ташки томондан хакикийдан фарк килмайдиган сайтга тугридан-тугри хаволани уз ичига олади. Хдволани босиш оркали сиз "хизмат" веб-сайтига утишингиз ва турли бахоналар билан тегишли шаклларга махфий маълумотларни киритишингиз керак. Натижада фирибгарлар фойдаланувчи хисоблари ва банк хисобларига кириш хукукига ега буладилар.
Фишинг 1996 йилда Usenet тармогида alt.online-service.America-Online янгиликлар гурухида яратилган. Фишерлар хакида биринчи эслатма AOL медиа компанияси билан боглик булиб, фирибгарлар узларини AOL ходимлари сифатида курсатиб, тезкор хабар алмашиш дастурлари оркали фойдаланувчилар билан богланишган ва компания ходимлари номидан хисоб паролларини сурашган. Х,исобга кириш хукукига эга булгач, у спам юбориш учун ишлатилган.
2000-йилларнинг бошида фишинг тулов тизимларига таркалди ва 2006 йилда MySpace ижтимоий тармоги фойдаланувчилари фишинг хужумига учради, бунинг натижасида руйхатга олиш маълумотлари угирланди.
Фишинг хужумлари хам жисмоний, хам алохида компанияларни нишонга олиши мумкин. Фирибгарлар томонидан жисмоний шахсларга уюштирилган
June, 2022
33
хужумларнинг максади, коида тарикасида, банк хизматлари, тулов тизимлари, турли провайдерлар, ижтимоий тармоклар ёки почта хизматлари фойдаланувчиларининг логинлари, пароллари ва хисоб ракамларига кириш хукукига эга булишдир. Бундан ташкари, фишинг хужумининг максади курбоннинг компьютерига зарарли дастурларни урнатиш булиши мумкин.
Хдмма фишерлар узлари кириш хукукига эга булган хисобларни пулга утказа олмайди. Х,исоб-китобларни накд килиш амалий нуктаи назардан кийин жараёндир. Крлаверса, накд пул берган шахсни кулга олиш ва жиноий гурухни жавобгарликка тортиш осонрок. Шунинг учун, махфий маълумотларни олган баъзи фишерлар уни бошка фирибгарларга хисоб вараклардан пул олишнинг яхши урнатилган схемаларидан фойдаланган холда сотишади.
Фишинг хужумлари компанияларга каратилган холларда, кибержиноятчиларнинг максади баъзи бир ходимнинг хисоб маълумотларини олиш ва кейин компанияга хужумни кенгайтиришдир.
Фишингнинг асосий усуллари куйидагилардан иборат:
Ижтимоий мухандислик усули. Машхур компанияларнинг вакиллари сифатида узини тутган фишерлар купинча олувчиларга хар кандай сабабга кура шахсий маълумотларни зудлик билан утказишлари ёки янгилашлари кераклиги хакида хабар беришади. Бундай талаб маълумотларнинг йуколиши, тизимнинг бузилиши ёки бошка сабабларга кура юзага келади. Инсон хар доим у учун мухим вокеаларга муносабат билдиради. Фишинг ташкилотчилари фойдаланувчини огохлантириб, унинг дархол реакциясини кузгатишга харакат килади. Мисол учун, "хисобингизга киришни тиклаш учун ..." сарлавхали электрон почта эътиборни жалб килиш ва одамни батафсил маълумот олиш учун хаволага киришга мажбур килиш учун хисобланади.
Алдаш билан фишинг усули. Бу фишинг хужумининг энг кенг таркалган тури. Ушбу усул ёрдамида тузилган хабарлар билан фирибгарлар бир неча соат ичида миллионлаб электрон почта манзилларига спам юбориши мумкин. Бундай холда, фишер ташкилот номидан сохта электрон почта хабарини юбориб, хаволага риоя килишни ва хисоб маълумотларини текширишни сурайди.
Шахсий маълумотларни угирлаш учун хакдкдй сайт доменига имкон кадар ухшаш доменда жойлаштирилган махсус фишинг сайтлари яратилади. Бунинг учун фишерлар кичик матбаа хатолари ёки субдоменлари булган URL манзилларидан фойдаланиши мумкин. Фишинг сайти шунга ухшаш дизайнда яратилган ва унга кирган фойдаланувчида шубха уйготмаслиги керак.
June, 2022
34
Шуни таъкидлаш керакки, алдамчи фишинг фишерлар ишининг энг анъанавий усули ва шу билан бирга хужумлар ташкилотчилари учун энг кам хавфсиз хисобланади, шунинг учун сунгги йилларда у аста-секин утмишга айланиб бормокда.
"Гарпун фишинг" усули. "Гарпун" фишинг объектлари кенг фойдаланувчилар гурухлари эмас, балки аник одамлардир. Купинча, бу усул компаниянинг химоясини енгиб утиш ва унга максадли хужум килиш учун биринчи кадамдир. Бундай холларда хужумчилар ижтимоий тармоклар ва бошка хизматлардан фойдаланган холда уз курбонларини урганадилар ва шу тарика хабарларни мослаштирадилар ва ишончлирок харакат килишади.
"Кит овлаш" усули. Топ-менеджерлар ва бошка мухим шахсларнинг махфий маълумотларини овлаш "кит ови" деб аталади. Бундай холда, фишерлар хисоб маълумотларини угирлаш учун тугри вакт ва воситаларни топиш учун максадли курбоннинг шахсий хусусиятларини аниклашга куп вакт сарфлашади.
Вирусларни юбориш усули. Шахс маълумотларни угирлашдан ташкари, фирибгарлар жисмоний шахсларга ёки шахслар гурухига зарар етказишни хам максад килган. Фишинг электрон почтасидаги хавола босилганда, компъютерга зарарли вирусни юклаб олиш мумкин: кейлоггер, троян ёки жосуслик дастури.
Фарминг (дех,кончилик) усули. Бу фишингнинг янги тури. Ушбу усулдан фойдаланган холда, фишерлар шахсий маълумотларни хат ва хавола оркали эмас, балки тугридан-тугри расмий веб-сайтда оладилар. Фармерлар DNS-сервердаги расмий сайтнинг ракамли манзилини сохта сайт манзилига узгартирадилар ва бунинг натижасида бехабар фойдаланувчи сохта сайтга йуналтирилади. Бундай фишинг анъанавий фишингга караганда хавфлирокдир, чунки алмаштиришни куришнинг иложи йук. Ebay аукциони, PayPal тулов тизими ва таникли жахон банклари аллакачон бундай хужумлардан азият чекмокда.
Вишинг усули. Вишинг - маълумот олиш учун телефон алокасидан фойдаланадиган фишинг усулидир. Хабарнома хатида "муаммо пайдо булган"ни хал килиш учун кайта кунгирок килиш учун телефон раками курсатилган булади. Кейин, сухбат давомида оператор ёки жавоб бериш машинаси фойдаланувчидан муаммони хал килиш учун идентификация маълумотларини номлашни сурайди.
Барча киберхужумларнинг 91 фоизи фишинг электрон почта хабарлари булса, киберхужумларнинг 70 фоизи фишинг ва хакерлик
комбинациясидан фойдаланади.[3]
June, 2022
Умуман фишинг хакида 2011-2012-йиллардан бери бутун дунёда жиддий гапирилмокда, бу ахборот хавфсизлиги компанияларининг оммавий хисоботларида акс эттирилган. [4]
Фишингдан кандай химояланиш керак ? Бу сохадаги ишларнинг бошланганига хали куп вакт булгани йук.
2004-йил 26-январда Л^Ш Федерал Савдо Комиссияси фишингда гумон килинган шахсга карши биринчи судга мурожаат килди. Калифорниялик усмир судланувчига AOL сайтига ухшаш веб-сахифа яратиш ва кредит карта маълумотларини угирлаш айби куйилган. Бошка давлатлар хам шунга эргашиб, фишерларни кидириб, хибсга олишни бошладилар. Компаниялар хам фишингга карши курашда катнашмокда. 2005 йил
31 март куни Microsoft ЛКЩнинг Гарбий округ судига "Жон Доу"ни пароллар ва махфий маълумотларни олишда айблаб, 117 та даъво киритди. 2005 йил март ойида Microsoft ва Австралия хукумати уртасида хукукни мухофаза килиш органлари ходимларини турли кибержиноятларга, жумладан, фишингга карши курашишга ургатиш буйича хамкорлик бошланди.[5]
Фишинг усулини куллаш оркали содир этилган жиноятларга жавобгарлик асосан Узбекистон Республикаси Жиноят кодексининг 168-моддаси (фирибгарлик) 2-кисми ва 169-моддаси (угирлик) 3-кисмларида белгилаб утилган. Бундан ташкари Жиноят кодексида XX1 боби "Ахборот технологиялари сохасидаги жиноятлар"га багишланган. [6]
Ушбу турдаги жиноятларга белгиланган жавобгарлик турларини хорижий давлатлар кодекслари мисолида тахлил киладиган булсак, масалан Хитой Халк Республикаси Жиноят кодексининг 287-моддасида "Компьютер техникасидан фойдаланган холда узга маблагларни пора бериш ёки максадсиз фойдаланиш учун фирибгарлик йули билан талон-тарож килиш ёхуд эгаллаб олганлик харакатлари учун жавобгарлик белгиланган. Компьютер техникаларидан фойдаланиб содир этилган шу каби жиноятлар учун жавобгарликни ушбу кодекснинг 285 ва 286-моддаларида куриш мумкин. [7]
Австралия Жиноят кодексининг 10.7 боби "Компьютер жиноятчилиги" деб номланиб, боб уз ичига компютер тизимига рухсатсиз кириш, ундан маълумотларни угирлаш, модификация килиш, алокани касддан бузиш, маълумотларга зарар етказиш каби харакатлар учун жиноий жавобгарлик белгиланган. [8]
Россия Федерациясининг Жиноят кодекси 272-моддаси "Компьютер ахборотларидан конунга хилоф равишда фойдаланиш" ва 273-моддаларида "Зарарли келтирувчи
June, 2022
Зб
компьютер дастурларини яратиш, ишлатиш ёки таркатиш"га жавобгарлик белгиланган. [9]
Бу каби жиноий харакатлар (кибержиноят) учун жавобгарлик Германия ва Люксембург давлатлари конунчилигида куришимиз мумкин.[10]
Юкоридагилардан келиб чиккан холда бизнинг фикримизча, сунгги пайтларда фукароларнинг пластик карталари хисобларидан пул маблаглари угрилик ва фирибгарлик йули билан, хусусан тадкикот доирасида урганаётган фишинг усулида содир этиш купайганини кузатиш мумкин. Бинобарин мазкур жиноий хатти-харакатлар ахборот технологиялари билан узвий боглик булиб, бу килмишни XX1 бобда, яъни Ахборот технологиялари сохасидаги жиноятлар каторида кайд этилмаганлиги, балки бу килмиш учун жавобгарлик Жиноят кодексимизнинг X бобига, яъни "Узгалар мулкини талон-тарож килиш" номли бобига мурожаат килишга тугри келмокда.
Шу муносабат билан бу каби жиноятларни алохида бобда кайд этиш оркали тергов булинмаларини бу йуналишга эътиборини янада каратган буламиз, сабаби хозирда бизга маълумки бу каби жиноятларни тергов килиш буйича терговчи ва суриштирувчиларда Ахборот технологиялари сохасида куникмалар етарлича шакилланмаган, тергов ва суриштирув тармокларида мазкур жиноятларни тергов килиш булинмаларини ташкил этиш, уларни илгор хорижий тажрибалар асосида малакаларини ошириб бориш мухим деб хисоблаймиз.
Юкоридагилардан келиб чикиб мутахассислар, биринчи навбатда, хизмат фойдаланувчиларига фишингни мустакил равишда таниб олишни урганишни маслахат беришади.
Х,исоб кайдномасини ёки шунга ухшаш хар кандай суровни "тасдиклаш" суралган электрон хатга жавобан экспертлар фойдаланувчиларга унинг хакдкдйлигини текшириш учун хабар юборилган компания билан богланишни маслахат беради. Шунингдек, хар кандай гиперхаволалар урнига ташкилотингизнинг URL манзилини манзиллар каторига узингиз киритишингизни тавсия килади.
Деярли барча хакдкдй хизмат хабарларида фишерлар учун мавжуд булмаган баъзи маълумотлар мавжуд, масалан, исм ёки хисоб ракамининг охирги ракамларини эслатиб утиш. Шу билан бирга, шахсий маълумотларга эга булмаган хар кандай хатлар шубха тугдириши керак.
Шуни хам унутмаслик керакки, фишинг сайтлари калкиб чикувчи ойналар оркасида яшириниши мумкин. Улар максадли реклама булиши мумкин. Вакти-вакти билан
June, 2022
37
фойдаланувчи узининг електрон почта манзилини "кириш" устунида куради ва факат пастки устунга паролни киритиш суралади. Форумлар ва ижтимоий тармоклардаги шархларда фишинг сайтига хаволани куриш имконияти мавжуд. Хдволани сизга хисоби бузилган дустингиз ёки танишингиз хам юбориши мумкин. Лгар хат ёки хавола сизда шубха уйгоца, унга эргашмаслик яхширокдир.
ХУЛОСА
Хулоса шуки, киберхужумлар узок вактдан бери хаётимизнинг бир кисми булиб келган. Фирибгарликдан химоя килиш молиявий, электрон тижорат ва бошка хизматларни ривожлантирувчи корпорациялар
ва стартаплар учун глобал вазифадир. Аммо фойдаланувчилар тажовузкорнинг илгагига тушиб колмаслик учун оддий кадамларни унутмасликлари керак.
REFERENCES
1.GP4.3 — Growth and Fraud — Case #3 — Phishing (англ.) (30 декабря 2005). Дата обращения: 21 ноября 2008.
2. Kate Stoodley. In 2005, Organized Crime Will Back Phishers (англ.) (недоступная ссылка) (23 декабря 2004). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
3.https://stealthmail.com/ru/statistics;
4. https : //www.cisco.com/c/dam/global/ru_ru/downloads/broch/ironport_targeted_ phishing.pdf;
5. https : //topuch.ru/prezentaciya-na-temu-fishing/index.html ;
6. Узбекистон Республикаси Жиноят кодекси 1994 йил 22 сентябрь
7. Хитой Халк Республикаси Жиноят кодекси
8. Австралия Жиноят кодекси
9. Россия Федерацияси Жиноят кодекси
10. https://ru.m7wikipedia.org.
June, 2022