“E-Pul” – sosial mühəndislik

Sosial mühəndislik – insan psixologiyasının xüsusiyyətlərinə əsaslanaraq, istifadəçinin məlumat resurslarına icazəsiz müdaxilə metodudur. Bütün hakerlər və sayt “sındıranlar” kimi, sosial mühəndislərin də əsas məqsədi - istifadəçiyə məxsus məlumatları əldə edərək məxfi informasiyalara, parollara və s. sahib olmaqdır. Sosial mühəndis “hücumunun” standart kiber-hücumdan fərqi ondadır ki, bu halda hücum obyekti rolunda “E-Pul”un kompüteri və ya informasiyası yox, məhz bu sistemin istifadəçisi çıxış edir. Məhz bu səbəbdən sosial mühəndislərin bütün üslub və texnikası insan faktorunun çatışmazlıqlarından istifadəyə əsaslanır. Təbii ki, bu, sonda dağıdıcı nəticələri labüd edir: bədniyyət insanlar adi telefon danışıqlarının köməyi və yaxud saxta məktubun göndərilməsi yolu ilə istədiyi məlumatı əldə etmiş olur. Bu cür hücumlardan müdafiə olunmaq üçün, yayılmış dələduzluq variantlarını tanımaq çox mühümdür. İstifadəçi bilməlidir ki, bədxahlar məhz nəyi və necə əldə etmək istəyir və bu bilgilərə əsaslanaraq, vaxtlı-vaxtında müdafiə siyasətini seçib tətbiq edə bilər.

5
6
Pretekstinq

Pretekstinq – müəyyən, öncədən hazırlanmış ssenari (pretekst) əsasında həyata keçirilən əməllər toplusudur. O, telefon, skype və bu kimi səsli vasitələrin köməyilə “E-Pul” istifadəçisinə məxsus informasiyanı ələ keçirməyi nəzərdə tutur. Bu texnika, özünü üçüncü şəxs kimi təqdim etməklə və yaxud “E-Pul”un əməkdaşı kimi qələmə verməklə potensial qurbandan lazımi məlumatı əldə etməyi ehtiva edir. Bu zaman bədxah fərd, istifadəçidən parolu verməyi və ya fişinq veb-səhifəsində avtorizasiya edilməyi tələb edir və bununla da özünə lazım olan məlumatın ələ keçirilməsini təmin edir. Bununla yanaşı, bədxah, öz qurbanından “E-Pul” hesabında qeydiyyatdan keçmiş telefon nömrəsini saxta nömrəyə ötürməyi və ya nömrəni dəyişməyi təklif edə bilər. Bu zaman, istifadəçinin “E-Pul” hesabı müəyyən müddətə bədxahın tam ixtiyarına keçir. Əksər hallarda pretekstinq potensial qurban barədə hansısa ilkin məlumatların (məsələn, təvəllüd ilinin, telefon nömrəsinin, hesab nömrəsinin və s.) olmasını tələb edir. Bu sırada ən yayılmış strategiya – əvvəlcə kiçik sorğuların göndərilməsi və təşkilatın real əməkdaşlarının adlarının hallanmasından ibarət olur.

Fişinq

Fişinq – sosial şəbəkə, ödəniş sistemləri, sayt istifadəçilərinin məxfi məlumatlarına əlçatarlığı təmin etmək məqsədi güdən internet dələduzluğu növüdür. Günümüz üçün bu, sosial mühəndisliyin ən populyar növlərindən hesab edilir. Faktiki olaraq, fərdi məlumatların itkisinin əksəriyyəti fişinq göndərişləri vasitəsilə reallaşa bilir. Fişinqin məqsədi - fərdi məxfi məlumatların qeyri-qanuni yolla ələ keçirilməsidir. Fişinq hücumunun ən geniş yayılmış forması, potensial qurbana elektron poçt vasitəsilə guya bankdan və ya ödəniş sistemindən rəsmi məktuba bənzər saxta göndərişin yollanmasıdır. Bu göndərişdə adətən, müəyyən məlumatın yoxlanılması və ya müəyyən hərəkətlərin edilməsi rica edilir. Bu zaman, bir çox müxtəlif bəhanələr göstərilir. Məsələn, müəyyən məlumatların itməsi, yaxud sistemdə nasazlıq və s. Belə məktublar adətən saxta veb-səhifəyə istinadla təmin edilir. Eləcə də, məktubda məxfi məlumatın yazılmasını nəzərdə tutan forma da olur. Beləliklə, saxta saytdakı formaya daxil edilən məxfi məlumat dələduzların əlinə keçir.

7
8
Zərərverici PT

Zərərverici PT (proqram təminatı) – istifadəçiyə zərər verə bilən və onun razılığı olmadan kompüterə yerləşdirilən müxtəlif proqramlardır. Bu sıraya viruslar, “soxulcan”lar və “Troyan atları” kimi zərərverici proqramlar aiddir ki, çox vaxt bunları zərərverici PT adı altında ümumiləşdirirlər. Zərərverici proqramlar kompüterə çox vaxt internet və ya elektron poçt vasitəsilə yol tapa bilir. URL-ünvanda səhvin olması və ya naməlum istinadın təsadüfən basılması nəticəsində istifadəçi aqressiv məzmuna malik və ya zərərverici proqramlarla zəngin olan sayta gedib çıxa bilir. İstifadəçinin kompüterinin virusa və digər zərərverici PT-lərə yoluxması, məxmi məlumatın ələ keçirilməsinin yayılmış üsullarındandır. İstifadəçi gərək diqqətli olsun və proqram təminatını kompüterə yerləşdirilməsini təklif edən saytlara etimad etməsin. Bu təkliflər guya “E-Pul”dan gəlsə belə, istifadəçi ayıq olmalı və SMS və ya elektron poçt vasitəsilə gələn istinadlara, əlavələrə, təhlükəsizlik yenilənmələrinə aparan keçidlərə şübhə ilə yanaşmalıdır.

“E-Pul” təhlükəsizliyi üzrə məsləhətlər

“E-Pul” elektron ödəniş sistemi istifadəçilərinə tövsiyə edilən təhlükəsizlik tədbirləri:

  1. Heç zaman və heç kəsə, o cümlədən, ödəniş sistemləri əməkdaşlarına şəxsi parolu xəbər verməmək;
  2. Qoşulmanın SSL müdafiə rejimi çərçivəsində baş verməsinə əmin olmaq – bu halda Sizin brauzerin sağ aşağı küncündə bağlı qıfıl işarəsi görünməlidir;
  3. Qoşulmanın məhz ödəniş sisteminin və ya internet-bankın ünvanı ilə baş verməsinə əmin olmaq;
  4. Kompüterin hər hansı bir virusla yoluxmamasına əmin olmaq. Bunun üçün kompüterə müvafiq anti-virus proqramlarını və fayrvolları yükləmək və onları aktivləşdirmək gərəkdir. Bu anti-virus proqramlarını mütəmadi olaraq yeniləndirmək zəruridir. Belə ki, virusların fəaliyyəti nəticəsində Sizin parollar barədə məlumatlar üçüncü şəxslərin sərəncamına düşə bilər;
  5. Yalnız yoxlanılmış və etibarlı mənbələrdən alınan proqram təminatlarına müraciət etmək, bu proqramları müntəzən yenilənməsinə diqqət etmək;
  6. Elektron pul kisəsi üçün mürəkkəb parol seçmək. Seçilən parolda təvəllüdlə bağlı tarixlərin, adların, istifadəçi ilə bağlı digər məlumatların olmamasına diqqət etmək. Eləcə də, elektron siyirtməyə və hesaba aid parollardan sosial şəbəkələrdə istifadə etmək olmaz. Ayrı-ayrı parolların unikal olmasına diqqət etmək;
  7. Pul kisəsinə aid parolları heç kəsə verməmək, ötürməmək, ən əsası isə - ödəniş sisteminin adından gələn məktublara cavablarda yazmamaq;
  8. Müvafiq imkan olacağı təqdirdə, parolun yığılması üçün ekranda olan virtual klaviaturadan istifadə etmək;
  9. Parolları hər hansı daşıyıcılarda, o cümlədən kompüterdə saxlamamaq. Əgər kiminsə parolu ələ keçirməsinə dair şübhələr yaranarsa, dərhal parolu dəyişdirmək və ya hesabı bloka salmaq;
  10. Şübhəli məzmunlu saytlara girməkdən imtina etmək. Məhz bu cür saytlar, virus və zərərverici proqramlarla, ilk növbədə məlumatı ələ keçirərək ötürən “Troyan atları” ilə zəngin olur. Belə bir virusları aşkar edib zərərsizləşdirmək üçün istifadəçinin kompüterində müvafiq texniki imkanlar, o cümlədən yeni anti-virus proqramları olmaya bilər;
  11. İşi bitirdikdən sonra, mütləq “Çıxış” düyməsini basmaq;
  12. Hansısa “aksiyada iştirak” və ya “köçürmənin sənədləşdirilməsi” üçün kiçik məbləğdə pul müqabilində böyük hədiyyələr vəd edən tanınmayan şəxs və təşkilatlara qətiyyən inanmamaq;
  13. Ani gəlir vəd edən və müəyyən yatırıma bağlı olan maliyyə fırıldaqlarına və ya piramidalarına qətiyyən qoşulmamaq.