«Киберхавфсизлик маркази» ДУК 18 октябрь куни мониторинг жараёнида бутун дунё бўйлаб, жумладан, Ўзбекистондан ҳам турли ахборот ресурслари фойдаланувчиларининг маълумотлари эълон қилингани ҳақида хабар берди.

Хабарда айтилишича, Telegram`да эълон қилинган ҳамда бузилган маълумотлар базасини ўрганиш жараёнида мутахассислар томонидан 200 мингдан ортиқ фойланувчи маълумотлари сиздирилганлиги аниқланди. Уларнинг аксарияти долзарб аҳамиятга эга бўлиб, давлат органлари ва бошқа ташкилотларнинг ахборот тизимлари хавфсизлигига кибертаҳдидларини келтириб чиқармоқда. Аниқланган маълумотлар, жумладан, OneID, Билим ва малакаларни баҳолаш агентлиги, кўплаб давлат ва таълим ташкилотлари, қидирув ва тўлов тизимларига тегишли.

Бир қатор ахборот каналлари ва оммавий ахборот воситаларида катта ҳажмдаги маълумотлар сизиб чиққани ва хакерлик ҳақида хабар берилди. Бироқ Киберхавфсизлик маркази хабаридан бу маъно келиб чиқмас эди. Марказнинг қайд этишича, фойдаланувчилар маълумотларининг бундай чиқиб кетиши заиф пароль сиёсати (тахмин қилинадиган даражадаги осон паролларни ўрнатиш, уларни қайта ишлатиш), лицензиясиз ёки эскирган дастурий таъминотдан фойдаланиш, шунингдек, қурилмаларга мобил троянлар ёки стилер каби зарарли дастурларни юқтириш натижасида юзага келиши мумкин.

Рақамли ҳукумат лойиҳаларини бошқариш маркази OneID тизимига ҳеч қандай киберҳужум уюштирилмагани ҳамда тизим ишида носозликлар аниқланмаганини маълум қилди.

"Газета.uz"да реклама

Портал маъмурияти маълумотлар хавфсизлигига алоҳида эътибор беришни, логин ва паролларни браузерларда сақламасликни тавсия қилди. Бундан ташқари, фойдаланувчиларга вақти-вақти билан OneID паролини ўзгартириб туриш ва мураккаб паролларни танлаш тавсия этилди.

Билимларни баҳолаш агентлиги ҳам ўз тизимлари ёки маълумотлар базаларига ҳар қандай хакерлик ҳужуми уюштирилганини рад этди. Интернет тармоғида пайдо бўлган фойдаланувчи маълумотларининг 73 фоизи (3438 таси) агентлик тизимларида рўйхатдан ўтмаган, қолган 1250 нафари эса фаол фойдаланувчилар эмас ва уларнинг пароллари фойдаланишга яроқсиз.

Аслида нима бўлган?

«Газета.uz» изоҳ олиш учун боғланган ONESEC директори Дмитрий Палеевнинг таъкидлашича, интернет-ресурсларнинг хакерлик ҳужумига учрагани ёки компромиция ҳақида ҳеч қандай гап йўқ.

«Ахборот хавфсизлиги билан 18 йилдан ортиқ шуғулланиб келаётган компания сифатида биз бундай ҳолатлар ҳақида бевосита биламиз. Сизиш деярли ҳар куни содир бўлади. Ресурсларга бузиб киришади, фойдаланувчиларнинг шахсий ва тўлов маълумотларини сиздиришади, логин ва пароллар, электрон почта манзиллари, телефон рақамлари, шахсий маълумотлар, кредит карта рақамлари ва бошқалар каби ҳисобларни бузишади. Буларнинг барчаси эртами-кечми сотиш учун ёки фойдаланишга очиқ ҳолда яширин хакерлик сайтларида (даркнет) пайдо бўлади. Бу ҳолатда эса вазият бироз бошқачароқ», — дейди у.

«Даркнетда „лог булутлари“ деб аталадиган нарсалар мавжуд бўлиб, у ерда хакерлар уларга кириш ҳуқуқини сотишади ёки ўз изларини яшириш учун уларни очиқ жойлаштиришади. Уларни қанча кўп одамлар юклаб олиб, олинган маълумотлардан фойдаланишни бошласа, ҳуқуқни муҳофаза қилиш органлари ахборот ресурслари ва фойдаланувчи қурилмаларига рухсатсиз кирган ҳақиқий айбдорларни аниқлаши шунчалик қийин бўлади», — дея таъкидлади Дмитрий Палеев.

«„Лог булутлари“ нима? Хакерлар жаргонидаги „лог“ сўзи фойдаланувчи қурилмаларидан (шахсий компьютерлар, ноутбуклар, мобил телефонлар) рухсатсиз тарзда олинган маълумотлардир. Улар стилер деб аталадиган зарарли дастурлар ёрдамида ушбу қурилмаларни зарарлаш орқали олинади. Фойдаланувчи зарарли кодни ўз ичига олган файлларни очган вақтида қурилма зарарланади, буни фойдаланувчининг ўзи очади ва амалга оширади», — дея тушунтирди у.

Хаскер технологиялари бугунги кунда кўпгина ҳимоя воситалари ва антивирус маҳсулотларини четлаб ўтиши мумкин, шунинг учун ҳатто антивирус билан ҳам фойдаланувчи ўз қурилмасига стилер юқтириб олиши мумкин. Шундан сўнг, барча пароллар (браузерлар, Online banking ресурслари, мессенжерлар ва бошқаларда сақланган) ёмон ниятли одамлар — стилер эгаларига юборилади.

«Замонавий стилерлар клавиатурадаги барча тугмаларнинг босилишини ёзадиган, экранни тасвирга оладиган, камерадан видео, микрофондан овозларни қайд этадиган, файллар бўйлаб қидирувни амалга оширадиган ва сўнгра буларнинг барчасини кейинчалик таҳлил қилиш ва фойдаланиш учун операторга юборадиган кейлоггерларни ҳам ўзи ичига олади», — деди компания раҳбари.

Telegram`да аниқланган очиқ гуруҳ «лог булути»нинг ўзига хос тури бўлиб, унда ҳар ким турли сайтлар ва ахборот тизимларидан стилерлар томонидан ўғирланган аутентификация маълумотларини бепул юклаб олиши мумкин эди. Уларни ўрганиш жараёнида UZ домен зонасида ҳам ресурслар аниқланди, деди у.

Нима қилиш керак?

«Ушбу маълумотлар базаларида маълумотлари топилган фойдаланувчилар ўз қурилмаларининг хавфсизлиги ҳақида ўйлашлари ва уларни „даволашлари“, яъни зарарли дастурларни ўчириб ташлашлари керак бўлади. Чунки қурилмада стилер бўлган тақдирда, паролларни ўзгартириш шахсий маълумотлар хавфсизлигини таъминлашга ёрдам бермайди. Янги пароллар ҳам маълум вақтдан сўнг ҳужумчилар қўлига тушиши мумкин», — деди Дмитрий Палеев.

«Ҳар қандай ҳолатда ҳам нотаниш жўнатувчиларнинг электрон почтага юборган бириктирмаларини очманг ёки ишга туширманг, тезкор мессенжерларда юборилган файлларни очманг, ўзингиз ишонмайдиган манбалардан дастурларни ўрнатманг. Хавфсизлигингиз ўз қўлингизда. Ҳар доим оқибатлари ҳақида ўйлаб кўринг ҳамда маълумотларингиз келажакда сизиб чиқиши ва шахсий манфаатлар учун ишлатилиши мумкинлиги ҳақида ўйланг», — дея маслаҳат берди эксперт.

Киберхавфсизлик маркази тавсиялари

Ҳар доим камида 8 та белгидан иборат кучли паролни ўрнатинг, катта ва кичик ҳарфлар, рақамлар ва махсус белгилардан фойдаланинг (масалан, @,#, $,%,& ва бошқалар). Шунингдек, осонгина тахмин қилинадиган пароль ўрнатмаслик учун мураккаб пароллардан ташқари ҳар 2−3 ойда бир марта паролни янгилаб туринг, шу билан бирга, аввалгисига ўхшаш паролни ўрнатишдан сақланинг.

Турли веб-сайтларда рўйхатдан ўтиш учун бир хил махфий маълумотлардан фойдаланманг, шунингдек, бепул пароль менежерларини қўлламанг ва паролларни браузерларда сақламанг.

Доимо икки факторли (2FA) аутентификация функцияларидан фойдаланинг.

Фақат лицензияланган операцион тизимлар, дастурий таъминот ва антивируслардан фойдаланинг, уларни мунтазам янгилаб туринг.

Шубҳали веб-ҳаволаларга ўтманг ёки номаълум дастурий таъминотни юклаб олманг.

Веб-саҳифаларни очганингизда логин ва паролларингизни киритишдан олдин веб-сайтнинг манзилига ва веб-саҳифада турли хилдаги шубхали символлар йўқлигига эътибор беринг ҳамда ҳақиқийлигига ишонч ҳосил қилинг.