Sosial mühəndislik hücumları şəxsi bank hesablarından tutmuş infrastruktur və iri korporasiyaların məlumat sistemlərinə qədər hər şeyi əhatə edir. Bu sistemlər üçün alınan rəqəmsal təhlükəsizlik tədbirləri və kiberhücumlara qarşı müdafiə sistemləri sosial mühəndislik yolu ilə əldə edilən giriş məlumatlarına görə tamamilə sıradan çıxır. Sosial mühəndislik hücumları müxtəlif yollarla həyata keçirilə bilər. Əsasən, hədəfdəki fiziki şəxs hərəkətlər etmək və ya məxfi məlumatı açıqlamaq üçün psixoloji manipulyasiyaya məruz qalır. Sosial mühəndislik hücumlarında insanlar insanların hissləri, güvən meylləri və zəiflikləri kimi məqamlara manipulyasiya edən yanaşmalar nümayiş etdirirlər. İstənilən məlumat/məlumat bəzən inandırmaqla, bəzən isə etibardan tamamilə sui-istifadə etməklə əldə edilir. Yanaşma üsulları və onun yaratdığı risklər bu gün sosial mühəndisliyi həm şəxsi, həm də korporativ məlumatların məxfiliyinə və təhlükəsizliyinə əhəmiyyətli təhlükə yaradır.
Sosial mühəndislik informasiya və məlumatlara çıxışı təmin etmək üçün bu gün ən çox istifadə edilən hücum üsullarından biridir. İnformasiya sistemləri adından sosial mühəndislik hücumları rəqəmsal və ya real mühitdə sistemə və ya kompüterə icazəsiz giriş əldə etmək üçün həssas məlumatları aşkar etmək üçün istifadə edilən hücum üsullarından biridir. Kiberhücumlar sistem, infrastruktur və tətbiqlər üçün həm fiziki, həm də proqram yönümlü təhlükəsizlik tədbirlərinə qarşı həyata keçirilir. Digər tərəfdən, sosial mühəndislik bu sistemlərə icazəsiz girişə imkan verir ki, bu hücumları çox aşağı səviyyədə texniki təcrübə və ya aparat tələbi ilə həyata keçirsin. Sosial mühəndislik hücumlarında, insan zəifliklərini qiymətləndirmək və xoş niyyətdən istifadə etmək kimi üsullarla sistemlərə və məlumatlara daxil olmaq hədəflənir.
Əsas hədəfdə sistemə icazəsiz girişi təmin etmək üçün bu sistemdən istifadə etmək səlahiyyəti olan insanlar sosial mühəndislər tərəfindən hədəfə alınır. Müxtəlif üsullardan istifadə etməklə hədəfdəki real şəxsdən sistemə giriş məlumatlarını əldə etmək mümkündür. İnternetdə və ya real həyatda insanların zəif cəhətlərindən istifadə edərək fərqli inandırma, tələ/aldatma üsullarından istifadə edərək hədəfə sistemə giriş məlumatlarını əldə etməyə çalışır. Sosial mühəndislik hücumları hədəf şəxsin kiberhücumçuya fərqində olmadan vacib və həssas məlumatları verməsi ilə nəticələnir. Bu cür hücumlar müasir dövrdə çox yaygındır.
Sosial Mühəndislik Testini Necə Vermək olar?
Sosial mühəndislikdə konstruksiya hücumçu tərəfindən yaradılır. Bu fantastikaya uyğun olaraq, hədəfin öz toruna düşməsi üçün müxtəlif üsulları işə salır. Təcavüzkar tərəfindən hədəflənən məlumat/məlumat əsasında dəyişən metodlardan istifadə edir. Xüsusilə hədəf insanın mövqeyi/vəzifəsi, həyata baxışı, insan münasibətləri, həyat tərzi və s. kimi həmin şəxsin şəxsiyyətini təşkil edən məsələlər haqqında ilkin məlumatlar toplayır Daha sonra bu insanların zəiflikləri, qorxuları, narahatlıqları, həyəcanları kimi xüsusi emosional vəziyyətləri ilə çatışmazlıq verə biləcəyi nöqtələri hədəf alan uydurmalar təşkil edir. Məqsədinə bu konstruksiyalar vasitəsilə yaxınlaşır. Buna görə də sosial mühəndislik hücumlarında yalnız bir neçə müəyyən üsulların olması mümkün deyil. Hücumun həyata keçirilmə üsulu və istifadə edilən üsullar hər hücumda hədəf olan şəxsə görə əhəmiyyətli dəyişikliklər təşkil edir.
Sosial mühəndislik hücumlarının əsas məqsədi hədəf insanı nəzərdə tutulan tələyə salmaqdır. Bu mərhələdə hədəfin tələyə necə düşəcəyi tamamilə hədəflə bağlı müəyyən edilir. Məsələn, bir şirkətdə mühasibat sistemlərinə daxil olmaq səlahiyyəti olan şəxs üçün texniki dəstək yanaşması nümayiş etdirilə bilər. Bu insanlar üçün şirkətin informasiya texnologiyaları şöbəsi və təhlükəsizlik riskləri və ya texniki problemlər kimi faktlar üzərindən şirkətdə şəxsi məlumatlarını paylaşmaları təmin edilə bilər. Bundan əlavə, e-poçtlardan istifadə edilə bilər, məsələn, e-poçtlara fişinq hücumları, şəxsi məlumatları oğurlamaq üçün nəzərdə tutulmuşdur ki, bu da insanı xoşbəxt, narahat və ya maraqlandırır. Bu tip hücumun hədəfi olan insanlar, təcavüzkarın çatmaq istədiyi təhlükəsizlik məlumatlarını və ya şəxsi məlumatları könüllü olaraq verirlər. Qarşı tərəfdəki adamın bu prosesdə onu manipulyasiya etdiyinin fərqində belə olmadığı üçün bunun bir hücum olduğunu anlaya bilmir.
Əslində, bir çox insanlar dəfələrlə geniş istifadə olunan fişinq hücumlarına məruz qala bilərlər. Demək olar ki, hamısı bunun bir hücum olduğunun fərqində belə deyil. Fişinq hücumları ümumiyyətlə hədəf şəxsi e-poçt kanalı vasitəsilə cəlb etməklə həyata keçirilir. Məsələn, bank səhifəsinin dəqiq surəti hazırlanır və həmin ünvana şəxsin diqqətini cəlb edəcək elektron məktub göndərilir. Şəxsi bank məlumatlarını bura daxil edərək, şəxs bu məlumatı birbaşa sosial mühəndislik hücumunu həyata keçirən şəxsə verir. Şəxsi əsasda olan bu nümunə həm də müxtəlif yollarla şirkət məlumatlarına daxil olmaq üçün istifadə olunur.
Sosial Mühəndislik Nüfuz Testləri
Bu gün sosial mühəndislik ilə şəxsi və ya korporativ məlumatların tutulması çox adi bir vəziyyətə çevrilib. O qədər ki, qlobal miqyasda alınan məlumatlara görə, şirkətlərə qarşı edilən kiberhücumların təxminən 98%-ni sosial mühəndislik təşkil edir. Bu gün kiberhücumlar kiber hakerlər tərəfindən kodlaşdırma, proqram və aparat kimi sistemlərdən istifadə edilmədən, çox təcrübə tələb etməyən bu üsulla həyata keçirilir. Təbii ki, yaxşı nitq, insanları inandırmaq bacarığı və insani təsirlərdən nəticə çıxarmaq bacarığı sosial mühəndisin ən əsas tələbləridir. Sosial mühəndislik sızma testi isə bu gün şirkətlər və hətta fərdlər üçün ciddi riskə çevrilən təhlükəsizlik zəifliklərini müəyyən etməyə və bu hücumlara qarşı lazımi tədbirlər görməyə imkan verir. Xüsusilə, insanların/işçilərin sosial mühəndislik hücumları haqqında məlumatlandırılması və təcrübə qazanması sosial mühəndisliyin nüfuz testi xidmətləri tərəfindən təmin edilir.
Sosial mühəndislik nüfuz testi ilə şirkətlərin bütün işçilərinin bu cür hücumlara hazır olması təmin edilir və qarşılaşa biləcəkləri risklərdən xəbərdar edilir. Sosial mühəndisliyin nüfuz testləri kiber sosial mühəndisləri təqlid edən mütəxəssislər tərəfindən həyata keçirilir. Sosial mühəndislik hücumu şirkətin iş sahəsinə, potensialına və hədəf işçinin xüsusiyyətlərinə əsaslanaraq fantastika yaratmaqla həyata keçirilir. Bu yolla həm şirkətin, həm də işçinin sosial mühəndislik hücumlarına məruz qala biləcək zəifliklərini aşkar etmək mümkündür.
Sosial mühəndislik hücumları kiber hücumçuların istifadə etdiyi üsullarla şirkət işçiləri üçün həyata keçirilir. Risk faktorları işçilərin bu sosial mühəndislik hücumlarına reaksiyaları ilə müəyyən edilir. İşçilərə qarşı edilən bu hücumlarla yanaşı, digər sosial mühəndislik üsulları ilə də testlər aparılır. Beləliklə, şirkətin qarşılaşa biləcəyi bütün hücum risklərinin müəyyən edilməsi və bu hücum risklərinə qarşı alına biləcək tədbirlərlə bağlı dəqiq hesabat hazırlanır. Xüsusilə, işçiləri, biznes sahiblərini və digər maraqlı tərəfləri sosial mühəndislik hücumları haqqında daha məlumatlı və daha təcrübəli etmək üçün təlim proqramları həyata keçirilməlidir.
Sosial mühəndislik hücumlarından qorunmaq üçün insanların şüurlu olması ən əsas həqiqətdir. Etibarlı mənbələrdən həssas məlumat tələb etməmək, naməlum e-poçtlara qarşı diqqətli olmaq, link yönləndirmələrində ünvan təsdiqləri kimi müxtəlif vərdişləri standartlaşdırmaq çox vacibdir. Sosial mühəndislik hücumlarını həyata keçirən insanların bu mövzuda yeni üsullar inkişaf etdirməyə davam etməsi də diqqətdən kənarda qalmamalıdır. Bu səbəbdən həm şəxsi məlumatların məxfiliyi, həm də korporativ məlumatların təhlükəsizliyi baxımından mövcud sosial mühəndislik hücumlarına qarşı məlumat və təlim almaq çox vacibdir. Bununla bağlı təhlükəsizlik risklərini sosial mühəndislik nüfuz testi ilə müəyyən etmək mümkün olduğundan, bu gün həm fiziki, həm də hüquqi şəxslər üçün böyük əhəmiyyət kəsb edir.