Sosial mühəndislik, texnoloji sistemlərdə olan texniki tədbirləri sərf etmədən, insanları manipulyasiya etmək yolu ilə məlumatları əldə etməyi hədəfləyən bir metodikadır. Bu texnikalar kibertülkə ilə birləşdiriləndə daha təsirli hala gəlir. Fışinq (phishing) testləri, bu təhdidə qarşı şirkətlərin, təşkilatların və ya fərdlərin müdafiə qabiliyyətlərini sınamaq üçün istifadə edilir.
Sosial mühəndislik nədir?
Sosial mühəndislik, insanların qoruma mexanizmlərini keçə bilərək, öz iradələri xaricində məlumatları açıqlamalarını hədəfləyən manipulyasiya texnikalarından ibarətdir. Buraya aşağıdakı metodlar daxil ola bilər
- Telefonla manipulyasiya (pretexting)
- Elektron poçt fişinqi
- Troyan proqramlar
- Sosial media vasitəsilə manipulyasiya
Fışinq nədir?
Fişinq, zərbələrin çox vaxt elektron poçt vasitəsilə baş tutduğu bir kiberhücum metodudur. Həcumçular qurbanları saxta veb saytlara yönləndirərək şifrələr, kredit kartı məlumatları və ya digər həssas məlumatları əldə etməyə çalışırlar. Gəlin sizinlə birlikdə fişinq növlərinə baxaq.
- Spear Phishing – Xüsusi bir şxsə yaxud şirkəti hədəfləyər.
- Whaling – Yüksək rütbəli idarəçilərə hüdumlardan ibarətdir.
- Smishing – SMS vasitəsilə edilən fışinq.
- Vishing – Telefon zəngiləri vasitəsilə edilən hüdum.
Fışinq testlərinin təşkil edilməsi
Fışinq testləri təşkilatların güvənlilik mexanizmlərini yoxlamaq üçün faydalı bir metoddur. Bu testlər vasitəsilə insan resurslarının fışinq və sosial mühəndislik risklərinə qarşı hazırlıq səviyyəsi qiymətləndirilir.
Gəlin birlikdə addımlara baxaq
- Planlama – Təlimatlarda sosial mühəndislik ünsurlarını daxil edin.
- Ssenari hazırlığı – Realist bir e-poçt fişinqi yaradın.
- Testin aparılması – İşçilərə e-poçtlar göndərilərək reaksiyalar izlənir.
- Nəticələrı qiymətləndirmə – Hansı tədbirlərin daha çox ehtiyac duyulduğunu analiz edin.
Qarşısını almaq üçün tədbirlərə nəzər salaq
- Marifləmə – Şirkət işçiləri sosial mühəndislik texnikaları haqqında məlumatlandırılmalıdır.
- Simulyasiya – növbəti fışinq hüdumlarına hazır olmağı öyrənən praktiki çətinlik testləri keçirin.
- Texnoloji tədbirlər -Anti-malware və spam filterlər aktiv saxlanılmalıdır.
- Mütamadi yeniləmələr – Sistem proqramları və şifrələr daimi yenilənməlidir.
Yadda saxlamalı olduğumuz qaydalardan biridə sosial mühəndislik və fişinq risklərinə qarşı qorunmaq üçün müdafiə tədbirləri həm texnoloji, həm də insan resursları baxımından vacibdir. Fışinq testləri təşkilatların risk düzəyini ölçərək, daha güclü bir kiberhəyat yaratmağı əsas alətlərdən biridir.
