Sosial mühədislik nədir? / Qlobal internetin təhlükəsizliyi. (Psixoloji araşdırmalarla sübuta gətirilmiş faktlar)
Sosial mühəndislik — Social engineering texniki qurğulardan istifadə etmədən məxfi məlumatların əldə olunmasında adamların manipulyasiya olunmasını nəzərdə tutur. Bu bir məharətdir hansı ki, insan fiziologiyasını istismar etməklə binalara, ofislərə, sistemlərə və informasiya bazalarına heç bir xaker texnologiyasından istifadə etmədən məlumatların əldə etmək mümkündür. Məsələn, hansısa proqramlardan istifadə etməklə zəif yerləri, boşluqları aşkar etmək əvəzinə onlar sadəcə ofisə zəng vurmaqla və özlərini onların İT mütəxəsisi kimi təqdim edirlər. Bununla da onlar bacarıqları sayəsində lazım olan informasiyaları əldə etməyə çalışırlar. Onuda qeyd edim ki, bu metod çox populyardı və böyük məharət tələb edir. Çünki əsas məqsəd işcilərin inamını qazanmaq və onlardan şifrələrini və digər məlumatlarını almaqdı.
Təhlükəsizlik silsiləsində ən zəif element insan məfhumudur. — Kevin Mitnik
Sistem avadanlıqlardan, proqramdan və insan məfhumundan ibarətdir. Yaxşı bilik ilə sosial mühəndislər insan məfhumuna müxtəlif vasitələrlə zəifliklərindən istifadə edərək onlardan mühüm informasiyaları əldə etməyi bacarırlar. Sosial mühəndislik insanın fizioloji biliklərdən istifadə etməklə onlarla təmasda olmaq və onların inamını qazanıb kələk gələrək məxfi informasiyaları əldə etməkdir.
Sosial mühəndisliyə daxildir. Hiyləgərlik etmək — özünü işci kimi qələmə vermək, şifrə və digər informasiyaları əldə etmək deməkdir. Sosial mediadan yararlanaraq yeni işçiləri təyin edir, hansıları ki, daha asan aldatmaq və inam yaratmaq olar. Bununla həmin şəxslərdən lazımi informasiyaları əldə etməyə başlanılır.
Belə bir deyim var :
Sən texnologiyaya və xidmətlərə böyük məbləğdə var-dövlət sərf edə bilərsən, lakin sənin şəbəkə infrastrukturun yenə də köhnə və təhlükəyə davamsız qalır.
Sosial mühəndislik onu istifadə edən insanlar üçün informasiya təhlükəsizlik sisteminin istismarında istifadə olunan bir sənət əsəridir. Sosial mühəndislik informasiyanın toplanması və onların nəticəsi olaraq müxtəlif informasiya sistemlərinə qarşı hücumlar həyata keçirirlər. Bu tip hücumlardan çoxlu təşkilatlar hədsiz dərəcədə zərər görmüşlər. Lakin sosial mühəndisliyə çox zaman səthi yanaşılır. Buna səbəb isə maarifləndirmə və adamların kifayət qədər təlimlərinin olmamasıdır.
Məqsəd şəxsi informasiyanın əldə olunması və bunun nəticəsində maliyyə və digər sənədlərin əldə olunmasına yollar açır. Şəxsi məlumatlara daha rahat yol tapmaq üçün bəzən zərərli proqramları zərərçəkənin kompüterinə yazırlar. Buda onlara rahatlıqla onların məlumatlarını əldə etmək və onları ələ keçirtmək şəraiti yaradır. Aşağıdakı məlumatlar onlar üçün əhəmiyyətli dərəcədə qiymətli hesab olunur.
Sosial mühəndislər özlərini inanılası şəxs, köməkcil, daxili proseslərdən xəbardar, özlərini başqaları kimi təqdim etməklə işləyirlər. Çox vaxt onlar bir neçə həmlələrlə öz hədəflərinə nail olurlar. Əldə olunan hər bit informasiya cəmlənərək inandırıcı bir məlumata cevrilir. Sosial mühəndislik bütünlüklə digərləri üzərində fayda əldə etmək və informasiyaları cəmləşdirərək öz hədəflərinə nail olmaqdır.
- İnformasiyanın əldə olunması: Təcavüzkar müxtəlif vasitələrdən istifadə edərək hədəf haqqında məlumat toplayır. Məlumatlar əldə olunanadan sonra onlar cəmlənir və hədəf ilə bağlılıq yaradılır və ya mühüm bir şəxsə qarşı hücumlar həyata keçirilir.
- Bağlılığın inkişaf olunması: Təcavüzkar hədəf ilə inam yaradandan sonra rahatlıqla onu istismarını həyata keçirir. Bu münasibətləri yaradarkən o özünü inanılmış biri kimi göstərməklə və sonradan həmin inam əsasında istismarını genişləndirir.
- İstismar olunması: Manipulyasiya olunmuş hədəf sonradan lazımi məlumatları (şifrələr, nömrələr, hesabların açılması və s.) ozüdə hiss etmədən bölüşməyə başlayır. Sonda bütün bunlar həmlənin yekunlaşmasına ya da yeni bir həmlənin başlanğıcına gətirib çıxardır.
- İcra: Hədəf üçün nəzərdə tutulmuş icraat yekunlaşandan sonra bu dövr yekunlaşır
Sosial mühəndislik hücumları
Pretexting (Uydurmaq)
Uydurma və yalan metodlardan istifadə edərək ad, soyadı, doğum tarixi, sosial təhlükəsizlik kodu və s. şəxsi informasiyaları əldə edirlər. Ən çox istifadə olunan formalardan biri telefon ilə şəxsi məlumatların oğurlanmasıdır.
2006-cı ildə HP şirkətinin rəhbərliyi ictimai mediaya ötürülən məlumatların necə sızmasını tapmaq üçün kənar konsalting şirkətinə müraciət edir. Təşkilat tərəfindən araşdırmalar nəticəsində, işçilərin ilkin baxışdan “əhəmiyyətsiz” saydığı informasiyanın etibarlı sayılmayan mənbələrə ötürdüyü aşkarlanmışdır.Nəticədə xeyli sayda işçilər məlumat sızmalarına görə işdən azad edilmişlər.
Dumpster Diving (Zibilliyi eşələmək)
Zibilliyi eşələmək texnikası orada olan məlumatların əldə olunması üçün həyata keçirilir. Sadə dil ilə desək hansısa məlumat tapmaq məqsədi ilə gedib zibil yeşiklərini qurdalayır. Ama bunu hər bir zibillikdə etmir. Yalnız onun hədəf götürdüyü ofislərin yaxınlığındakı zibil yeşiklərində edir. Burada onlar əhəmiyyətli məlumatlar (şifrələr, telefon nömrələri, ofis qrafikləri və s.) əldə edə bilərlər. Bu məlumatlar əsasında özlərinin həmlələrini təyin edirlər. Misal üçün işçilər fərqinə varmadan istifadə etdikləri kağız və sənədləri zibil yeşiklərinə atırlar. Burada ödəniş çekləri, hesab vərəqləri, plastik kart sifarişləri və s. digər sənədlər ola bilər. Əksər evlərdə və ofislərdə qeyd dəftərləri doldurulduqda ya qaralama dəfətərləri və kağızları zibilliyə atılır. Bütün bunlar əhəmiyyətli məlumat daşıya biləcək resurslardı.
Phishing (Sazan Avı)
Bu metod internet istifadəçilərin aldatmaqla onlara aid şəxsi məlumatların ələ keçirilməsidir. Bunlara şifrələr, kredit kart nömrələri, bank hesabları və s. məxfi məlumatlar daxildir. Misal üçün texniki dəstək xidməti adından istifadəçilərə məktub göndərilir ki, texniki işlər ilə bağlı şifrələrini və istifadəçi adlarını email ilə onlara göndərmələrini xahiş edirlər. Baxmayaraq ki, həmin məktubda onlar tərəfindən qeyd olunur ki, heç bir halda öz şifrə və istifadəçi adlarını heç kəsə göndərmək olmaz. Buda istifadəçilərdə əminlik yaratmaqda köməklik edir. Belə məktublar cox səliqəli və qramatik cəhətdən düzgün yazılır.
İVR (İnteractive Voice Response) or Phone Phishing-(İnteraktive səsli cavab və telefon fırıldaqçılığı)
İnteraktiv səsli cavab texnikasından istifadə edərək bank və digər təşkilatlara məxsus telefon səs sisteminin saxta formasının yaradılması nəzərdə tutulur. Müştəriyə banka zəng kimi xidmət təklif olunur və bunun əsasında müştəriyə aid məlumatların əldə olunmasına nail olurlar. Buna misal olaraq həmin sistem hansısa müştəriyə bankdan zəng olunmuş qaydada zəng vurur və ona aid məlumatlar istənlir. Yaxud ona digər bir nömrə təqdim olunur ki, həmin nömrə ilə əlaqə saxlasın və kompaniya çərçivəsində ona düşən həvəsləndirici mükafatın əldə olunması üçün ona aid məlumatlar istənilir.
Shoulder Surfing (Çiyin arxasından baxmaq)
Bu qaydada onlar insanların xəbəri olmadan onlara aid məlumatlar oğurlayırlar. Belə hallar adətən ictimai yerlərdə və insanların sıx olduqları yerlərdə baş verir.
Hər hansı bir şəxs hansısa formanı doldurarkən, kredit kart məlumatlarını daxil edərkən, ictimai telefonlardan istifadə edərəkən, internet klublarında, kitabxanalarda, köşklərdə şifrələrini daxil edərkən izlənilirlər. Misal üçün ictimai yerlərdə olan ATM-dən istifadə zamanı PİN kodu daxil edərkən arxadan yaxınlaşıb kodun öyrənilməsi kimi hallar baş verir.
Diversion theft (Təxribat xarakterli oğurluq)
Burada onlar kuryer xidmətini ya transport kompaniyasını aldatmaqla başqasına məxsus olan bağlamanı ona məxsus olmasını israr etməyə çalışırlar. Adətən kuryer binaya yaxınlaşan zaman gülərüzlə qarşılanır və özünü bağlamanın yiyəsi kimi təqdim etməklə bağlamanı ələ keçirir. Binaya və digər yerlərə daxil olmaq və özünü orada işləyən əməkdaş kimi aparmaq. Yaxud binaya ya ofisə daxil olan işçiləri izləmək və onlar daxil olarkən cəld onlarla birgə qapıdan içəri keçmək.
Baiting (Aldatmaq)
Zərərverici proqramlar yüklənmiş məlumat daşıyıcıları yaxud dvd/cd giriş etdiyi binada buraxmaqla o bir növ özünə virtual qapı yaratmıq olur. Hansısa bir əməkdaş o məlumat daşıyıcılarını istifadə edərkən həmin zərəli proqramlar onun kompüterinə yazılır. Bunun sayəsində bütün ofis daxili şəbəkə ziyanverici proqramlar yayılır.
Quid pro quo (Həvəsləndirici bəxşiş)
Bu zaman hədiyyələr və ya pul təklif olunmaqla məxfi məlumatlar işçilərdən əldə olunur. Bu hal birbaşa onu hazırlayan şəxs tərəfdən keçirilmir. Digər şəxslərin köməyindən istifadə olunaraq özünün gizliliyini saxlayır. Bunun sayəsində o özünə lazım olan məlumatları rahatlıqla əldə etmək imkanı tapır.
Fake pop-up (Saxta pəncərələr)
İnternet səhifələrində biz bunlara tez-tez rastlaşırıq. Səhiflərdə əlavə pəncərələr yaranır və orada müxtəlif sözlər ola bilər. Məsələn “bura tıklayın və hansısa məbləği udmaq şansı qazanın” və ya “şəbəkədə baş vermiş problem ilə bağlı sizin istəyiniz qeydə alınmadı. Xahiş edirik istifadəçi adı və şifrəni yenidən daxil edin” bu kimi saxta pəncərələr yaratmaqla öz qurbanlarını əldə edirlər.
Təhlükəsizliyin informasiya üçün klassifikasiyası
İnformasiya təhlükəsizliyi və risklərin idarə edilməsinin vacib bir istiqaməti məlumatın dəyərini tanımaq və məlumat üçün müvafiq prosedurları və qorunma tələblərini müəyyən etməkdir. Bütün məlumatlar bərabər deyil və buna görə də bütün məlumatlar eyni dərəcədə qorunma tələb etmir. Bunun üçün təhlükəsizlik təsnifatı təyin edilməsi tələb olunur. Məlumat təsnifatında ilk addım yüksək rəhbərliyin üzvünün təsnif ediləcək xüsusi məlumatın sahibi kimi müəyyənləşdirilməsidir. Sonra, bir təsnifat siyasətini inkişaf etdirin. Siyasət fərqli təsnifat etiketlərini təsvir etməli, müəyyən bir etiket təyin ediləcək məlumatın meyarlarını müəyyənləşdirməli və hər bir təsnifat üçün tələb olunan təhlükəsizlik tədbirlərini sadalamalıdır.
Hansı təsnifat məlumatının təyin edilməsinə təsir edən bəzi amillər məlumatın təşkilat üçün nə qədər dəyərinə, məlumatın nə qədər köhnəldiyinə və ya köhnəlmiş olub-olmamasına aiddir. Qanunlar və digər tənzimləmə tələbləri də məlumatları təsnif edərkən vacib mülahizələrdir. İnformasiya Sistemlərinin Auditi və Nəzarət Birliyi (ISACA) və İnformasiya Təhlükəsizliyi üçün İş Modeli, təhlükəsizlik mütəxəssislərinin təhlükəsizliyi sistem baxımından araşdırması, təhlükəsizliyin bütövlükdə idarə oluna biləcəyi bir mühit yaratması, həqiqi risklərin həll edilməsinə imkan verməsi üçün bir vasitə rolunu oynayır.
Seçilən və istifadə olunan informasiya təhlükəsizliyi təsnifatı etiketlərinin növü, nümunələr göstərilməklə, təşkilatın xüsusiyyətindən asılı olacaqdır:
- İş sektorunda: İctimai, Həssas, Özəl, Məxfi kimi etiketlər.
- Hökumət sektorunda: Təsnif edilməmiş, Qeyri-rəsmi, Qorunan, Məxfi, Gizli, Top Gizli və onların İngilis dilində olmayan ekvivalentləri kimi etiketlər.
- Sahələrarası birləşmələrdə: Ağ, Yaşıl, Kəhrəba və Qırmızıdan ibarət olan Trafik İşıq Protokolu.
Qorunan məlumatlara girmə, məlumat əldə etmək səlahiyyəti olan insanlar tərəfindən məhdudlaşdırılmalıdır. Kompüter proqramları və bir çox hallarda məlumatı emal edən kompüterlər də icazə verilməlidir. Bunun üçün qorunan məlumatlara girişi idarə etmək üçün mexanizmlərin olmasını tələb edir. Giriş idarəetmə mexanizmlərinin mürəkkəbliyi qorunan məlumatın dəyəri ilə paralel olmalıdır; məlumatların nə qədər həssas və ya dəyərli olduğu təqdirdə idarəetmə mexanizmlərinin daha güclü olması lazımdır. Giriş idarəetmə mexanizmlərinin qurulduğu təməl şəxsiyyət və identifikasiya ilə başlayır.
Sosial mühəndisliyin prinsipləri
Mübadilə
İnsanlar həmişə mübadilə etməyə meyillidirlər, məsələn marketinqdə hər hansı bir əmtəə haqqında pulsuz nümunə zamanı qarşılıqlı anlayış yaranır. Konfranslarında o, 1985-ci ildə baş verən zəlzələdən sonra Meksikaya minlərlə dollarlıq humanitar yardım göstərən Efiopiya nümunəsini tez-tez istifadə edir, baxmayaraq ki, Efiopiya bu dövrdə əli olmayan aclıqdan və vətəndaş müharibəsindən əziyyət çəkirdi. Efiopiya 1935-ci ildə İtaliya Efiopiyaya hücum edərkən Meksikaya verilmiş diplomatik dəstəyi qarşılamışdı. Yaxşı polis / pis polis strategiyası da bu prinsipə əsaslanır.
Öhdəçilik və ardıcıllıq
İnsanlar bir fikir və ya məqsəd üçün şifahi və ya yazılı şəkildə bir iş görərlərsə, bu ideyanın və ya hədəfin öz imiclərinə uyğun olduğunu bildirdikləri üçün bu öhdəliyi yerinə yetirməyə daha çox meyllidirlər. İlkin təşviq və ya motivasiya əvvəlcədən razılaşdırıldıqdan sonra çıxarılsa da, razılaşmaya hörmət etməyə davam edəcəklər. Cialdini, Çinli amerikalı hərbi əsirlərin öz imiclərini yenidən yazmaq və avtomatik zorla uyğunlaşma əldə etmək üçün beyinlərinin yuyulduğunu qeyd edir. Başqa bir misal, marketoloqlar “Daha sonra qeydiyyatdan keçəcəm” və ya “Xeyr təşəkkür edirəm, pul qazanmağı üstün tuturam” deyərək istifadəçini popuplara bağlayır.
Sosial sübut
İnsanlar digər insanların gördüklərini edəcəklər. Məsələn, bir təcrübədə sübut edilmişdir ki müəyyən sayda bir yerə toplanmış insanlar səmaya baxsalar, onların yanından keçən insanlar da səmaya baxacaqlar. Daha sonra bu təcrübə yaradan nəqliyyat problemi səbəbindən dayansa da, tam dəqiq təcrübə Asch uyğunluğu təcrübələrində sübut edilmişdir. Başqa bir baxışdan yanaşsaq, Facebook media şəbəkəsində FaceApp yarışı və ya 10 il yarışı adlı paylaşımları sayəsində Facebook LLC üzlərin sayəsində obrazların tanınması texnologiyasını daha da təkminləşdirməyi bacardı.
Səlahiyyət
İnsanlar etirazedici hərəkətlər etmələrini istəsələr də, səlahiyyət adamlarına tabe olmağa meyl göstərəcəklər. Cialdini 1960-cı illərin əvvəllərindəki Milgram təcrübələri və My Lai qırğını kimi hadisələrə istinad edir.
Təqlid
İnsanlar istədikləri insanları asanlıqla inandırırlar. Cialdini Tupperware marketinqini indi viral marketinq adlandırıla biləcək şeylərə istinad edir. İnsanlar onu satan şəxsi bəyənsələr, satın almağa daha çox meylli idilər. Daha cəlbedici insanlara üstünlük verən bir çox qərəzdən bəziləri müzakirə olunur.
Kasadlıq
Görünən çatışmazlıq tələb yaradacaqdır. Məsələn, təkliflər yalnız “məhdud vaxt üçün” və ya anbarda minimal miqdarda mövcuddur deyərək satışları həvəsləndirir.
Nəticə
Bunlar sosial mühəndisliyə geniş bir yanaşma, psixoloji prinsiplər və onların təsirləri, mümkün əks strategiyalar, münasibətlərin möhkəmləndirilməsinin təşəbbüsü daxil olmalıdır. Optimist qərəz uğurlu sosial mühəndisliyin güclü bir fürsətçisi olduğundan, arzu olunandır və istifadəçilərin həssaslığını nümayiş etdirir. Bu addım xüsusilə perspektivlidir, çünki az pul səyləri ilə mümkündür. İkinci addım inandırıcı vəziyyət rolu oynayır. Bu addımda təcrübi məşqləri, həmçinin istifadəçiləri biliklərini və münasibətlərini dəfələrlə “oxşar” qərar verməklə yenidən qiymətləndirməyə məcbur edən təkrar qərar təlimlərinin də daxil edilməsi mümkündür. Bu addım daha çətindir və yalnız əsas səhvləri öyrətmək üçün kifayət edə bilər, çünki ehtimal olunan bahalı təlimçilər, aktyorlar və ya inandırıcı vəziyyətlər yarada bilən işçilər tərəfindən idarə olunan “canlı” təlim məşğələləri daxildir.Bugün kibertəhlükəsizlik, onlayn təhlükəsizlik, şəbəkələrin etibarlılığı üçün həlledici təminat məsələləri ən mühüm prioritet istiqamətlərdən biri kimi dəyərləndirilir. Bu sahədə effektiv beynəlxalq əməkdaşlıq, çoxtərəfli dialoqun nailiyyəti, uğurlu qərarların qəbulu və bu qərarların həyata keçirilməsi məqsədilə hər il regional və qlobal səviyyədə dövlət, qeyri-dövlət və beynəlxalq qurumlar tərəfindən müxtəlif tədbirlər həyata keçirilir. Sosial mühəndislik informasiya təhlükəsizlik sisteminin istismarında istifadə olunan bir sənət əsəridir, onu istifadə edən insanlar üçün. Sosial mühəndislik informasiyanın toplanması və onların nəticəsi olaraq müxtəlif informasiya sistemlərinə qarşı hücumlar həyata keçirirlər. Bu tip hücumlardan çoxlu təşkilatlar hədsiz dərəcədə zərər görmüşlər. Bu səbəblə də, informasiya təhlükəsizliyindəki boşluqların aradan qaldırılması vacib faktordur.
Təəssüf ki, elmin dili ingilis dilidir. Buna görə də, aşağıdakı video və kitabları tövsiyyə edirəm
Videolar
Kitablar
Müəllif: Emin Muhammadi (https://eminmuhammadi.com). Fikir və təkliflər üçün buradan əlaqə saxlaya bilərsiniz.
