Nima uchun hech kimga va hech qachon tasdiq kodini yo‘llash mumkin emas?

Fan-texnika 21:03 / 03.06.2018 31676

"Bu kodni hech kimga oshkor qilmang!" - gap bir martalik kod va parollar haqida borganda bu shu qadar tabiiy javobdek tuyuladiki, uni har safar takrorlashga hojat yo‘qdek go‘yo. Biroq har xil vaziyat bo‘ladi, deb yozadi Kasperskiy laboratoriyasining internet tahlilchilari.

Yordam haqidagi muloyim murojaat

Fishingga shunday misol keltirish mumkin. Inson taxminan quyidagi mazmundagi SMS-xabarni oladi:

"Xayrli kun, siz meni tanimaysiz, lekin sizning telefon raqamingiz bir paytlar menga tegishli bo‘lgan. Eski raqamimga bog‘langan eski akkauntlarimdan birini loginlashga urinyapman, biroq u eski raqamimga borgan faollashtiruv kodini talab qilmoqda. Shu kod kelganda uni menga yuborishingizni iltimos qilsam, sizga noqulaylik tug‘dirmaymanmi? Oldindan katta rahmat".

Agar telefon raqamidan uzoq vaqt foydalanilmasa, uyali operatorlar haqiqatda uni o‘chirib qo‘yishadi va boshqa odamga sotib yuborishadi — shunday ekan, sizning raqamingizning qachonlardir boshqa egasi bo‘lganligiga ishonasiz, ayniqsa, raqamni yaqindagina olgan bo‘lsangiz.

Agar iltimosnoma yetarlicha aqlli tilda yozilgan bo‘lsa, ishonchli ko‘rinadi - xushmuomala insonga yordam berishga tayyor g‘amxo‘r kishilar kodni yo‘llashga va'da berishadi. Kod kelgach, uni xabar muallifiga yuborishadi, u esa bunga javoban samimiy minnatdorchilik bildiradi. Aslida esa ular bu insonga o‘z akkauntlariga kirish imkonini bergan bo‘lishadi.

Akkauntlarni qo‘pol ravishda buzish yoki aslida nima ro‘y berdi

Ehtimol, bu qachonlardir sizning raqamingiz tegishli bo‘lgan va haqiqatda ayni damda yordamingiz kerak bo‘lgan inson bo‘lishi mumkin. Biroq bunday ehtimol juda kam. Bu aslida fishing bo‘lganligiga oid ehtimol ko‘proq. Yana nima ham ro‘y bergan bo‘lishi mumkin?

Yovuz niyatli kimsa tarmoq kengliklarida ma'lum bir elektron pochtasi va telefon raqami bir-biri bilan bog‘liq ekani haqidagi ma'lumotga duch keladi - bu esa sizning telefon raqamingiz va manzilingiz bo‘ladi. Agar Yahoo, Twitter yoki LinkedIn'da (yoki so‘nggi bir necha yilda ma'lumotlar tarqalishi qayd etilgan yuzlab servislardan birida) sizning akkauntingiz bo‘lgan bo‘lsa, telefonning ma'lum bir raqami sizning pochtangiz bilan bog‘liqligi haqidagi ma'lumotni topish qiyinchilik tug‘dirmaydi.

Shundan keyin yovuz niyatli kimsa sizning pochtangizga kirishga qaror qiladi, buning uchun unga parol kerak bo‘ladi. Servis sizning telefon raqamingizga kodni yo‘llaydi, siz aynan shu kodni u insonga yo‘llab, akkauntlaringizga kirish imkonini berasiz.

Bu ishga kirishishdan avval firibgar yuqoridagi mazmundagi maktubni yo‘llaydi. Kod atigi bir necha daqiqa ish beradi, ya'ni firibgar uni tezroq yo‘llashingiz uchun bunga sizni ma'naviy jihatdan tayyorlaydi.

Pochtangizga kirish imkonini qo‘lga kiritgan firibgar bu pochtaga bog‘langan barcha akkauntlaringiz parollarini xotirjam tiklaydi - ijtimoiy tarmoqlarda, boshqa pochta servislarida, onlayn-hamyonlarda va h.k. Parolni tiklashga doir havola pochtaga keladi - qarabsizki, firibgar barcha akkauntlaringizga kirish imkonini qo‘lga kiritadi. Siz esa yo‘q...

Shuning uchun iltimoslar harchand ishonchli ko‘rinmasin, hech qanday holatda SMS-xabar tarzida kelgan tasdiqlov kodlarini yo‘llash yoki oshkor qilish mumkin emas. Birgina kodni oshkor qilib, deyarli barcha tarmoqlarga kirish imkonidan mahrum bo‘lish mumkin.

Akkauntlaringiz o‘g‘irlanishiga yo‘l qo‘ymaslik uchun nima qilish kerak?

- Hech qachon hech kimga tasdiqlov kodi bo‘lgan SMS-xabarlarni yo‘llamang. Bu kodlar - ularni yo‘llagan servisga siz - bu siz ekaningizni tasdiqlovchi asosiy ma'lumotlar;

- Imkon qadar hamma yerda ikki omilli autentifikatsiyani yoqing. Hatto sizning elektron pochtaga kirish imkoningiz o‘g‘irlansa ham, bu hech bo‘lmaganda qolgan akkauntlarni o‘g‘irlashga yo‘l qo‘ymaydi;

- Barcha qurilmalaringizda, jumladan mobil qurilmalaringizda ham himoyalangan qarorlarni qo‘llang. Masalan, ular SMS-xabarlardan kodlarni o‘g‘irlay oluvchi troyanlarni o‘z vaqtida aniqlash imkonini beradi.

Ko‘proq yangiliklar: