Sosial mühəndislik insidentləri

Sosial mühəndislik insidentləri

Sosial mühəndislik (ing. social engineering) – tətbiqi sosiologiyanın insanın davranışını müəyyən edən və ona nəzarəti təmin edən təşkilati strukturların məqsədyönlü dəyişdirilməsinə yönəlmiş yanaşmalar məcmusudur. İnformasiya texnologiyaları sahəsində sosial mühəndisliyi çox vaxt informasiyaya giriş əldə etməyə yönəlmiş tədbirlər kimi qəbul edirlər.

Sosial mühəndislik psixologiyanın və sosiologiyanın qanunlarına əsaslanır, digər insanları manipulyasiya etmək bacarığı ilə həyata keçirilir. Öz növbəsində, manipulyasiya insanın elementar zəifliklərinə əsaslanır: lovğalıq, şöhrətpərəstlik, qorxu, mərhəmət, qulluq göstərmə və s.

Sistemli yanaşma baxımından sosial mühəndislik ondan çıxış edir ki, orta statistik istifadəçi müəyyən ortabab xarakteristikalara malik olur. Sosial mühəndislik insana sistemin bir hissəsi kimi baxır, insan həmin sistem haqqında fundamental biliklərə malik olmur. Əks halda, sosial mühəndislik işləmir – insan onu əhatə edən mühit haqqında nə qədər çox məlumatlıdırsa, sosial mühəndislik üsullarının işləməsi ehtimalı bir o qədər azdır.

Tərs sosial mühəndisliyin (ing. reverse social engineering) məqsədi hədəfi “kömək” üçün bədniyyətlinin özünə müraciət etməyə məcbur etməkdir. Bu məqsədlə bədniyyətli, məsələn, reklamdan: “əgər kompyuterinizdə nasazlıq olarsa, bu nömrəyə zəng edin” tipli elandan istifadə edə bilər.

Fisinq – (ing. phishing – password – parol və fishing – balıq ovu, aldatma) – İnternet dələduzluğun bir növüdür, məqsədi istifadəçilərin konfidensial məlumatlarını (parollar, kredit kartı nömrələri, PİN-kodlar və s.) ələ keçirməkdir.

Fişinq zamanı dələduzlar istifadəçini aldadıb xüsusi olaraq hazırlanmış saxta saytlara (real mövcud olan populyar saytların kopyalarına) aparırlar. İstifadəçini tovlamaq üçün həqiqi saytların sahibləri (ödəniş sistemlərinin, bankların, provayderlərin) adından kütləvi və ya fərdi e-poçt göndərişləri istifadə edilir.

Adətən, belə məktublar hansısa hadisələr (verilənlərin itməsi, sistemdə qəzalar və s.) barədə bildirişlər şəklində gəlir, onlarla əlaqədar olaraq istifadəçi müəyyən konfidensial verilənləri təqdim etməli, yeniləməli və ya təsdiqləməlidir. Bu zaman məktubda link göstərilir, bu link servisin rəsmi veb-səhifəsinə deyil, onun dəqiq kopyasına aparır. Saxta saytda istifadəçi tərəfindən daxil edilmiş informasiya dələduzların əlinə keçir.

Fişinqə klassik misal: guya ki, ödəniş sisteminin təhlükəsizlik xidmətindən gələn elektron məktubda parolu dəyişmək xahiş edilir. Məltubda göstərilən ünvana gedən istifadəçi ödəniş sisteminin kopyası olan sayta düşür. Bu saytda öz fərdi məlumatlarını daxil edən istifadəçi öz hesabına nəzarəti faktiki olaraq bədniyyətliyə verir.