Kiberfiribgarlikning xavfi va fishing hujumlarini sodir etish usullari

Firibgarlik jinoyatlarning eng keng tarqalgan turlaridan biri bo‘lib bormoqda. Masalan, 2020-yilda mamlakatimizdagi jinoyatlarning umumiy sonidagi ulushi 33 foizni tashkil etgan.

Xususan, firibgarlikning yangi turlari sezilarli darajada ko‘paygan. Ichki ishlar bosh boshqarmasi ma’lumotlariga ko‘ra, 2022-yilda Toshkent shahrida axborot texnologiyalari sohasida 4332 ta jinoyat sodir etilgan bo‘lib, bu 2020-yilga nisbatan 40 barobar ko‘pdir. 2021-yil ma’lumotlari bilan solishtirganda, o‘tgan yili kiberjinoyatlar ikki barobarga oshgan – 2281 tadan 4332 taga. Ulardan 2747 tasi kibero‘g‘irlik, 625 tasi kiberfiribgarlik, 874 tasi giyohvand moddalarni internet orqali tarqatish bilan bog‘liq jinoyatlardir.

Firibgarlik jinoiy huquqbuzarlikning eng moslashuvchan va o‘zgaruvchan turi bo‘lib, u jamiyatdagi har qanday ijtimoiy va iqtisodiy muhitga tez moslashadi. Texnologik taraqqiyot,
tadbirkorlik faoliyatini modernizasiya qilish, pul topishning yangi usullarining paydo bo‘lishi,
biznes, iqtisodiy munosabatlarning rivojlanishi firibgarlarning qiziqishini oshirdi.

Mamlakatimizda firibgarlik sodir etilishiga sabab bo‘lgan shart-sharoitlarni aniqlash maqsadida tergovchilar va surishtiruvchilar o‘rtasida o‘tkazilgan so‘rov natijalariga ko‘ra, respondentlarning 12,2 foizi jabrlanuvchilarning o‘zlarining oson yo‘l bilan pul topish istagini sabab sifatida ko‘rsatgan; 20,9 foizi jabrlanganlarning huquqiy savodxonligi pastligini; 20,1 foizi – jabrlanganlarning ishonuvchanligini; 37,2 foizi – qarz majburiyatlari bo‘yicha jabrlanuvchilar orasida asosiy bilimlar yo‘qligini ko‘rsatib o‘tgan.

Ayrim epizodlarda kiberfiribgarlik holatlarini tergov qilishda tergovchilar (surishtiruvchilar) bank sirini tashkil etuvchi ma’lumotlarni olish to‘g‘risida qaror chiqarmagani aniqlangan, balki hududiy banklar yoki pul o‘tkazmalari tashkilotlariga so‘rov yuborish bilan cheklangan. Tergovchilar (surishtiruvchilar) prokuror sanksiyasini olish yoki O‘zbekiston Markaziy bankiga qaror yuborish zarurligiga ishora qilishgan. Chunki aksariyat hollarda hujum qilganlar boshqa hududda bo‘lgan yoki chet elga o‘tkazilgan va bu turdagi ma’lumotlarni olish imkoni mavjud emas, sababi davlatlararo shartnomalar yo‘qligi va byurokratik to‘siqlar mavjudligi (boshqa davlatlarga so‘rov yuborishning murakkab tartibi)ni ko‘rsatishgan.

Shuningdek, tadqiqot doirasida tergovchilar (surishtiruvchilar)ning bank muassasalariga so‘rov yuborish tartibini bilmasligi muammosi mavjudligi aniqlangan.

Tegishli tergovchilar va surishtiruvchilar bank muassasalari faoliyati va bank sirini tashkil etuvchi ma’lumotlarni olish tartibiga oid normalarni bilmasliklari sababli bank sirini tashkil etuvchi ma’lumotlarni olish haqidagi qarorni O‘zbekiston Respublikasi Markaziy bankiga yuborishgan. Tegishli qonunlarga muvofiq, Markaziy bank bank sirini tashkil etuvchi ma’lumotlarni taqdim etishdan bosh tortgan va bank hisobvarag‘i ochilgan bankka so‘rov yuborish zarurligini ko‘rsatgan. Tergovchilar va surishtiruvchilarning bilimsizligi va malakasi
yetarli emasligi sababli kerakli ma’lumotlarni olish uchun o‘rtacha 1-2 hafta vaqt ketgan.

Ushbu muammo tergovchilar va surishtiruvchilarning malakasini oshirish va firibgarlikning yangi shakllarini tergov qilish bo‘yicha qo‘llanmani ishlab chiqish zarurligini ko‘rsatadi. Shuningdek, kiberfiribgarlikni samarali fosh etish va tergov qilish uchun tergovga yordam berish uchun onlayn-banking yoki to‘lov tizimlari bo‘yicha mutaxassisni jalb qilish zarur. Bu esa jinoyatchilarni tezda fosh qilish va ularning jinoiy faoliyatini to‘xtatish, avtomatlashtirilgan dastur yordamida kiberfiribgarlarni aniqlashda juda muhim omil hisoblanadi.

To‘g‘ridan-to‘g‘ri shaxsiy ishtirokisiz (masofadan turib) virtual makonda onlayn o‘tkazmalarni bajarish, xizmatlar yoki xaridlar uchun to‘lovlarni onlayn amalga oshirish imkoniyati xizmatlar ko‘lamini yanada kengaytirdi. Biroq bu kiberfiribgarlarning ham imkoniyatlari kengayishiga olib keldi.

Elektron to‘lov tizimlari bo‘yicha mutaxassis ma’lum bir malaka darajasi borligi sababli nafaqat pul mablag‘larini o‘zlashtirish sxemasini aniqlashga, balki tizimga ulanish va bosqichma-bosqich tajovuzkorni aniqlash, pulni egallab olgan shaxsni va barcha sheriklarini aniqlash uchun u tomonidan amalga oshirilgan operatsiyalarni bosqichma-bosqich tahlil qilishga (ba’zi hollarda pul mablag‘larini o‘zlashtirish huquqni muhofaza qilish organlarini chalkashtirib yuborish uchun o‘g‘irlangan mablag‘larni bir hisobdan ikkinchisiga yo‘naltirish orqali amalda oshiriladi) yordam beradi.

Mutaxassis jalb qilish samarali, chunki bank tashkilotlaridan farqli o‘laroq ular bir nechta foydalanuvchilarning ma’lumotlarini umumlashtirishlari mumkin. Agar bank tashkilotlaridan bunday ma’lumotlarni olish uchun prokurorning vakolatli qarori talab etilsa, onlayn to‘lov tizimlaridan ma’lumotlarni olish tergovchi yoki surishtiruvchining iltimosiga binoan amalga oshiriladi. Aksariyat to‘lov kartalari SMS-xabar berish tizimiga hamda “uzcard” yoki “humo” onlayn to‘lov tizimiga ulangani sababli ushbu tashkilotlarga murojaat qilish yanada samaraliroq bo‘ladi. Biroq bu holatning ba’zi jihatlari mavjud.

Masalan, onlayn-banking tizimiga so‘rov yuborish orqali pul mablag‘larining yakuniy oluvchisi to‘g‘risida javob berishi mumkin, bank muassasasi esa faqat yakuniy oluvchini emas, balki operatsiya joyini ham aniqlab beradi. Ya’ni kiberfiribgar mamlakatning boshqa hududida joylashganida jabrlanuvchining hisobidan boshqa uchinchi tomon hisobiga pul o‘tkazishi mumkin.

Shuning uchun har qanday holatda ham bank muassasasiga, ham onlayn to‘lov tizimiga, ham onlayn-banking xizmatiga so‘rov yuborish kerak.

Uzsard kompaniyasi eng keng tarqalgan firibgarlik turlarini tahlil qilgan. 2020-yil noyabr oyida ushbu tizim mutaxassislari onlayn platformalar, savdo maydonchalari, to‘lov kartalari yordamida eng ko‘p uchraydigan firibgarlik turlarini aniqlashdi. Bularga: 1) “bank xodimlari”ga hujum qilgan shaxslar tomonidan fishing uchun taqdimot bank kartasi ma’lumotlari va jabrlanganlarning tasdiqlash kodi; 2) “xaridor” qiyofasini yashirish va xizmatlarni sotib olish va ko‘rsatish uchun onlayn platformalarda jabrlanuvchilarga sotilgan tovarlar uchun go‘yoki to‘lovni amalga oshirish uchun tasdiqlash kodini olish; 3) jabrlanuvchining hisob raqamiga pul mablag‘larini onlayn o‘tkazish imkoniyati bilan “mashhur” brendlarning aksiyalarida g‘alaba qozonish uchun havola, agar ikkinchisi uning amal qilish muddati ko‘rsatilgan 16 xonali to‘lov kartasi raqamini yuborsa va hokazo.

Ijtimoiy tarmoqlarda ham, onlayn savdo maydonchalarida ham tez-tez uchrab turadigan firibgarlik turi bor. Bu – fishing deyiladi. “Fishing” (ingliz tilidan phishing “baliq ovlash”) – Internetdagi firibgarlikning bir turi, uning maqsadi foydalanuvchilarning maxfiy ma’lumotlari – login va parollarini egallash.

“Fishing” atamasi 1990-yillarning o‘rtalarida xakerlar shubhali foydalanuvchilardan ma’lumotlarni “egallab olish” uchun soxta elektron pochta xabarlaridan foydalanishni boshlaganda paydo bo‘lgan. Bu dastlabki xakerlar ko‘pincha “frikerlar” deb atalgani sababli, bu atama “fishing” deb nomlana boshladi. Fishing elektron pochta xabarlari odamlarni o‘ziga jalb qiladi, ularni o‘lja olishga majbur qiladi va ular bog‘langanidan keyin ham foydalanuvchi, ham tashkilot muammoga duch keladi.

2000-yillarda xakerlar bank hisoblarini nishonga ola boshlashgan. Fishing elektron pochta xabarlari foydalanuvchilarni aldash uchun bank hisob ma’lumotlarini oshkor qilish maqsadida ishlatilgan. Elektron pochta xabarlarida rasmiy bank saytini aks ettiruvchi zararli saytga havola bo‘lgan, biroq bu domen rasmiy domen nomidan biroz farq qiladi (masalan, paypal.com o‘rniga paypai.com). Keyinchalik, tajovuzkorlar eBay va Google kabi boshqa akkauntlarni nishonga olib boshqa foydalanuvchilarga spam xatlarni yuborish orqali hisob raqam ma’lumotlarni, pullarni firibgarlik yo‘li bilan egallab olishadi.

Fishing hujumlari asosan potensial jabrlanuvchini noto‘g‘ri ma’lumot berishga undash va ularni beparvolik, shoshqaloqlik va e’tiborsizlik kabi insoniy xususiyatlariga asoslanadi. Ijtimoiy tarmoqlarda havolada ko‘rsatilgan savollarga javob bergan foydalanuvchi “Samsung” yoki “Iphone” markali telefon yutib olish imkoniyati haqida xabarlar tarqalgan va natijada jabrlanuvchi g‘olib deb e’lon qilingani sababli undan o‘zining maxfiy ma’lumotlarini va telefonga kelgan tasdiqlash kodini yozishi so‘raladi. Jabrlanuvchilar firibgarlarning aytganlarini bajargandan so‘ng, jinoyatchilarga jabrlanuvchining telefoniga kirish imkonini beradi.

Fishing ijtimoiy injeneriyaning bir turidir, ya’ni firibgarlar inson psixologiyasini manipulyatsiya qilish uchun foydalanadigan hiylalar to‘plami. Ijtimoiy injeneriya qalbakilashtirish, noto‘g‘ri ma’lumot berish va yolg‘onni o‘z ichiga oladi, bularning barchasi fishing hujumlarida rol o‘ynashi mumkin. Asosan fishing elektron pochta foydalanuvchilarini vaziyatni o‘ylamasdan harakat qilishga undash uchun ijtimoiy injeneriyadan foydalanadi. Fishing moliyaviy sektorga ko‘p zarar keltiradi. Rossiyada har kuni 900 dan ortiq bank mijozi moliyaviy fishing qurboni bo‘lishadi, bu zararli dasturlardan jabrlanganlarning kunlik sonidan uch baravar ko‘p.

Kiber firibgarlar ma’lumotlarga ega bo‘lish uchun uchta asosiy fishing usulidan foydalanadilar: zararli veb-havolalar, zararli ilovalar va ma’lumotlarni kiritish firibgarliklari.

Zararli veb-havolalar, shuningdek, URL manzillar sifatida ham tanilgan, ko‘pincha elektron pochta xabarlarida, shuningdek, fishing xatlarida ham topiladi. Zararli havolalar foydalanuvchilarni soxta saytlarga yoki zararli das turiy ta’minot bilan zararlangan saytlarga olib boradi. Bu zararli dastur deb ham ataladi. Zararli havolalar ishonchli havolalar sifatida yashirinib, logotiplar va boshqa rasmlarga elektron pochta orqali joylashtirilishi mumkin.

Mamlakatimizda fishing hujumlarining ko‘plab turlari paydo bo‘ldi, masalan, ijtimoiy tarmoqlar orqali tanlovda ishtirok etgan bolaga ovoz berish so‘rovi bilan fishing xati yuboriladi.

Ammo muhim jihati, ovoz berish uchun telefon raqam va hisobga kelgan kodni kiritish kerak. Ushbu kodni kiritgandan so‘ng, tajovuzkor foydalanuvchining akkauntiga kirish huquqiga ega bo‘lib, u yerdan akkauntdagi kontaktlarga fishing xatlarini yuboradi. Shuningdek maxfiy ma’lumotlarni (shaxsiy yozishmalar, fotosuratlar yoki video fayllar) olgan tajovuzkorlar pul undirishlari mumkin.

Zararli ilovalar. Ular haqiqiy fayl qo‘shimchalari kabi ko‘rinishi mumkin bo‘lsa-da, ular aslida kompyuterlar va ularning fayllarini buzishi mumkin bo‘lgan zararli dasturlar bilan zararlangan. Agar virus programmasi (zararli dastur turi) kiritilsa, kompyuterdagi barcha fayllar bloklanishi va ularga kirish imkoni bo‘lmasligi mumkin. Yoki foydalanuvchi yozadigan hamma narsani, shu jumladan parollarni kuzatish uchun tugmalar bosish qaydchisini o‘rnatishingiz mumkin. To‘lov dasturi va zararli dasturlar bir kompyuterdan tashqi qattiq disklar, serverlar va hatto bulutli tizimlar kabi boshqa tarmoq qurilmalariga tarqalishi mumkinligini ham tushunish muhim.

Ma’lumotlarni kiritish firibgarlik shakllari. Ushbu elektron pochta xabarlari foydalanuvchilardan identifikatorlar, parollar, bank kartasi tafsilotlari va telefon raqamlari kabi ma’lumotlarni kiritishni so‘raydi. Foydalanuvchi ushbu ma’lumotni taqdim etgandan so‘ng, undan kiberjinoyatchilar shaxsiy manfaat uchun foydalanishlari mumkin. Masalan, ijtimoiy tarmoqlarda O‘zbekistonning barcha fuqarolariga davlat tomonidan go‘yoki 600 ming so‘m miqdorida moddiy yordam berilayotgani, ammo uni olish uchun ro‘yxatdan o‘tish va bank kartasi ma’lumotlarini kiritish kerakligi to‘g‘risidagi ma’lumotlar paydo bo‘ldi. Bank kartasi raqamini kiritgandan so‘ng, mablag‘lar hisobdan yechib olinadi yoki boshqa hisob raqamiga yo‘naltiriladi.

Zamonaviy axborot texnologiyalari sohasidagi malakaning yetarli emasligi, tergov bo‘linmalarining amaliy faoliyatidagi xatolar quyidagilar zarurligini ko‘rsatadi:

– kiberfiribgarlikni tekshirishning yangi metodologiyasini ishlab chiqish;

– fishingni tekshirishga kiberfiribgarlarni aniqlash, shuningdek ularning jinoiy harakatlariga chek qo‘yish uchun zamonaviy asbob-uskunalar, moslamalar, dasturiy ta’minotga ega bo‘lgan IT-mutaxassislarini jalb qilish.

– sud-kompyuter va texnik ekspertiza ekspertlariga hal qilish uchun taqdim etiladigan savollarning taxminiy ro‘yxatini ishlab chiqish zarur. Sud kompyuter tarmog‘i ekspertizasi kiberfiribgarni aniqlashda, jinoyatni ochish uchun ahamiyatli dalillarni ochishda muhim rol o‘ynashi mumkin. Misol uchun, u quyidagi savolga javob berishi mumkin:

– o‘rganilayotgan kompyuterda elektron to‘lovlar uchun kredit kartalaridan foydalanishni tasdiqlovchi biron bir ma’lumot bormi?

– o‘rganilayotgan kompyuterda elektron pochta orqali yuborilgan yoki qabul qilingan xabarlar bormi?

– o‘rganilayotgan kompyuterda olingan ma’lumotlar paketlarini qanday kommutatorlar (marshrutizatorlar) uzatadi?

Kiberjinoyatlarni tergov qiluvchi mutaxassislarning malakasini oshirish va ularni xorijda qayta tayyorlashni keng yo‘lga qo‘ygan holda tergov organlarining doimiy bo‘linmalarini kengaytirish lozim. Xorijiy davlatlarning huquqni muhofaza qilish organlari bilan yaqin hamkorlikni yo‘lga qo‘yish va kiberjinoyatchilikning yangi ko‘rinishlariga qarshi kurashish
bo‘yicha tajriba almashish ulkan natijalar berishi muqarrar.

Huquqni muhofaza qiluvchi organlarning xalqaro hamkorligi samaradorligini ayrim statistik ma’lumotlar ham tasdiqlaydi. Masalan, 2022-yilning iyunidan noyabrigacha davom etgan maxsus operatsiya doirasida Interpol 130 million dollar miqdoridagi pul va virtual aktivlarni musodara qildi. Bu mablag‘larning barchasi turli kiberjinoyatlar va pul yuvish operatsiyalari bilan bog‘liq. Operatsiyada 30 dan ortiq davlat ishtirok etgan.

Tezkor tadbir natijasida jami 975 nafar shaxs qo‘lga olindi, 1600 dan ortiq ish ochilgan. Bundan tashqari, Internetdagi moliyaviy jinoyatlardan noqonuniy daromadlar bilan bog‘liq bo‘lgan 2800 ga yaqin bank hisobi va virtual aktivlarga ega hisoblar bloklangan.

Xulosa qilib shuni qayd etish kerakki, XXI asrda kiberjinoyatchilik asosiy muammolardan biri hisoblanadi. Chunki virtual chegaralarning yo‘qligi, maxfiy ma’lumotlar yoki mablag‘larni masofadan turib olish imkoniyati ortib bormoqda. Bularning barchasi kiberjinoyatchilikka qarshi kurashda hamkorlikni taqozo etadi.

Aynura SABIRBAYEVA,
IIV akademiyasi Jinoyat-protsessual
huquq kafedrasi dotsenti,
Yuridik fanlar bo‘yicha falsafa doktori (PhD)