DKIM Replay hujumi: kiberjinoyatchilar Apple va PayPal’ning rasmiy xatlari orqali firibgarlik qilmoqda

So‘nggi yillarda fishing xatlari tobora murakkablashib, oddiy imlo xatolari bilan to‘la, shubhali manzillardan yuboriladigan xabarlar davri ortda qolmoqda. Endilikda kiberjinoyatchilar foydalanuvchilarning ishonchini qozongan yirik platformalarning o‘z infratuzilmasidan foydalanib, firibgarlik tuzog‘ini qurmoqda. Natijada zararli xabarlar shubhali domenlardan emas, balki Apple, PayPal kabi yuqori obro‘ga ega rasmiy manzillardan kelayotgandek ko‘rinadi.

Bu esa an’anaviy xavfsizlik filtrlari va hatto tajribali foydalanuvchilarni ham chalg‘itishi mumkin.

Firibgarlik qanday amalga oshiriladi?

Hujumchilarning usuli juda sodda, ammo nihoyatda ayyor:

  1. Ular PayPal yoki Apple’da oddiy, qonuniy hisob ochadi.
  2. Platformaning rasmiy invoice (hisob-faktura) yoki nizo (dispute) yaratish funksiyasidan foydalanadi.
  3. “Seller notes” kabi foydalanuvchi to‘ldirishi mumkin bo‘lgan maydonga firibgar telefon raqamini joylashtiradi.

Natijada platformaning o‘zi tomonidan avtomatik tarzda yuborilgan xat ichida firibgar aloqa ma’lumotlari paydo bo‘ladi. Eng xavflisi shundaki, bu xat:

  • rasmiy domenlardan yuboriladi,
  • haqiqiy raqamli imzo (DKIM) bilan tasdiqlangan bo‘ladi,
  • spam yoki fishing sifatida belgilanmaydi.

Ya’ni xat tashqi tomondan mutlaqo xavfsiz va qonuniy ko‘rinadi.

DKIM Replay nima va u qanday ishlaydi?

Bu usul DKIM Replay hujumi deb ataladi.

Jarayon quyidagicha kechadi:

  • Firibgar zararli mazmunga ega invoice xatini avval o‘z email manziliga yuboradi.
  • Bu xat PayPal yoki Apple serverlaridan kelgani uchun haqiqiy DKIM imzo oladi.
  • So‘ng hujumchi aynan shu xatni minglab qurbonlarga qayta yo‘naltiradi (forward qiladi).

DKIM kriptografik imzosi xat matni va sarlavhalarini qamrab olgani sababli, u qayta yuborilganda ham o‘z kuchini yo‘qotmaydi. Natijada:

  • DMARC tekshiruvlari muvaffaqiyatli o‘tadi,
  • email xavfsizlik shlyuzlari xatni ishonchli deb qabul qiladi,
  • xat to‘g‘ridan-to‘g‘ri “Inbox” ga tushadi.

Foydalanuvchi esa “service@paypal.com” yoki shunga o‘xshash rasmiy manzilni ko‘rib, xatga ishonadi va undagi telefon raqamiga qo‘ng‘iroq qiladi.

Shu yerda firibgarlik boshlanadi — foydalanuvchidan karta ma’lumotlari, shaxsiy ma’lumotlar yoki tasdiqlash kodlari so‘raladi.

Nega bu usul juda xavfli?

Bu hujum bir muhim haqiqatni ochib beradi:
Email autentifikatsiya protokollari jo‘natuvchini tasdiqlaydi, ammo xat mazmunining xavfsizligini tekshirmaydi.

Ya’ni xat haqiqatan ham PayPal’dan kelgan, ammo uning ichidagi ma’lumot firibgarlik uchun ishlatilgan.

Bu yerda hujumchilar:

  • hech qanday tizimni buzmaydi,
  • hech qanday zaiflikdan foydalanmaydi,
  • faqat platformaning qonuniy funksiyalarini suiiste’mol qiladi.

Himoyalanish choralari

Tashkilotlar va xavfsizlik jamoalari quyidagi choralarni ko‘rishi lozim:

  1. Email shlyuzlarda “To” sarlavhasi va haqiqiy qabul qiluvchi o‘rtasidagi nomuvofiqlikni tekshirish.
  2. Rasmiy domenlardan kelgan xatlarni ham kontent darajasida tahlil qilish.
  3. Foydalanuvchilarni kutilmagan invoice va to‘lov xabarnomalariga nisbatan hushyor bo‘lishga o‘rgatish.
  4. Email ichidagi telefon raqamlariga emas, balki rasmiy saytga kirib tekshirish odatini shakllantirish.

DKIM Replay hujumi kiberjinoyatchilar endi soxta domenlarga ehtiyoj sezmayotganini ko‘rsatadi. Ular yirik kompaniyalarning o‘z ishonchli tizimidan foydalanib, firibgarlikni amalga oshirmoqda.

Bu esa shuni anglatadiki, kiberxavfsizlik endi faqat texnik filtrlarga emas, balki foydalanuvchi ongiga, kontent tahliliga va tanqidiy fikrlashga ham bog‘liq bo‘lib qoldi.

Har qanday rasmiy ko‘rinishdagi xat ham doimo haqiqatni anglatmasligi mumkin.