Skip to main content

Kibertəhlükəsizlik

12 Mart 2025

 

Sosial mühəndislik fırıldaqlarını və kiber təhdidləri müəyyən etmək üçün bələdçiniz

Fişinq, vişinq, smişinq, quişinq, zişinq? Kiber fırıldaqçılıq növləri artmaqdadır. Bilməli olduğunuz budur.

Dianna Delling

Contributor

Texnologiya, ünsiyyətdən alış-verişə və onlayn bankçılığa qədər gündəlik fəaliyyətləri sonsuz dərəcədə asanlaşdırıb. Təhlükəsizlik sahəsindəki irəliləyişlər rəqəmsal həyatımızı əvvəlkindən daha təhlükəsiz edir. Lakin cinayətkarlar həmişə içəri girmək üçün yol axtarırlar və qorunmaq çox çətin olan bir zəiflik var: insan duyğuları.

Federal Ticarət Komissiyasının bu həftə açıqladığı hesabata görə, təkcə ABŞ-da istehlakçılar 2024-cü ildə fırıldaqçılıq nəticəsində 12,5 milyard dollardan çox pul itiriblər ki, bu da 2023-cü illə müqayisədə 25% artım deməkdir. İstehlakçılar investor fırıldaqlarına ən çox pul itirdiklərini, 5,7 milyon dollar itirdiklərini bildirsələr də, saxtakarlıq fırıldaqları ən çox bildirilən hal olaraq qalıb. Fırıldaqçıların qurbanlarına çatmaq üçün ən çox yayılmış yol elektron poçt olaraq qalırdı, ardınca telefon zəngləri və SMS mesajları gəlir. 

fırıldaqçılıq

/frôd/ • isim

  1. hiyləgərlik, fırıldaqçılıq
  2. iddia etdikləri kimi olmayan bir insan

 

“Kibercinayətkarlar qurbanlarını fırıldaqçılığa təhrik etmək üçün tez-tez qorxu, maraq, rəğbət və ya qürur kimi insani hisslərə güvənirlər”, Mastercard şirkətinin korporativ təhlükəsizlik təhsili və maarifləndirmə direktoru Donna Mattingly deyir. Sosial mühəndislik fırıldaqlarından pul oğurlamaq, zərərli proqram təminatı (zərərli proqram) quraşdırmaq, daxili məlumatlar üçün biznes şəbəkələrinə daxil olmaq və ya bütün kompüter şəbəkələrini sıradan çıxarmaq üçün istifadə etmək olar. Fırıldaqçıların planları inanılmaz dərəcədə mürəkkəbləşdiyindən, onların nəyi hədəflədiyini anlamaq çətin ola bilər.

Onlar həm də daha inandırıcı olublar. Kiber fırıldaqçılar qurbanlarını aldatmaq üçün saxta veb saytlar qurur və mürəkkəb saxta şəxsiyyətlər yaradırlar. Və onlar indi generativ süni intellekt texnologiyalarından istifadə edərək yanlış e-poçtlar, telefon zəngləri (süni intellekt nəsli yaxınlarınızın səslərini təqlid edə bilər), saxta kimi tanımaq demək olar ki, mümkün olmayan dərəcədə mürəkkəb şəkillər və videolar (deepfake kimi tanınır) yaradırlar.

Honkonqda baş verən bu yaxınlarda baş verən hadisə də bunu sübut edir və ehtiyatlı olmağı öyrədən insanlar belə aldana bilərlər. Orada, bir çoxmillətli maliyyə şirkəti işçisinin korporativ vəsaitləri cinayətkar hesaba köçürmək üçün aldadılması nəticəsində 25,6 milyon dollar itirib. O, şirkətin maliyyə direktoru da daxil olmaqla, həmkarlarına oxşayan, səslənən, lakin əslində kompüter tərəfindən yaradılan saxtakarlarla aparılan dərin saxta video konfrans zənginə aldanmışdı.

Kibercinayətlərdən qorunmaq üçün hansı növ fırıldaqçılığın olduğunu bilmək faydalıdır ki, onlardan yayına biləsiniz.

Sosial mühəndislik nədir?

Sosial mühəndislik, başqasının davranışına təsir etmək üçün aldatma və emosional manipulyasiyadan istifadə etməkdir. Rəqəmsal dünyada kibercinayətkarlar insanları məxfi məlumatları açıqlamağa və ya onlara və ya işəgötürənlərinə maddi zərər verə biləcək hərəkətlər etməyə məcbur etmək üçün sosial mühəndislik taktikalarından istifadə edirlər.

Bu tip kiber fırıldaqçılıqlara insanları nağd pul verməyə və ya elektron şəkildə pul göndərməyə inandırmaq daxil ola bilər. Fırıldaqçılar həmçinin onlardan sosial təminat nömrələri, kredit kartı nömrələri və ya giriş məlumatları kimi şəxsi məlumatları əldə etmək üçün istifadə edirlər ki, sonradan pul oğurlasınlar, fırıldaqçılıq etsinlər və ya digər cinayətkarlara satsınlar.

Sosial mühəndislik fırıldaqları, məlumatları və ya əqli mülkiyyəti oğurlamaq, viruslar və ya ransomware (istifadəçilər fidyə ödəyənə qədər faylları kilidləyən zərərli proqram təminatı) quraşdırmaq və ya biznesin dayanmasına səbəb olan sistem nasazlıqlarına səbəb olmaq üçün şəxsi kompüterinizə və ya korporativ kompüter şəbəkənizə giriş əldə etməyə çalışmaq ola bilər.

Onların məqsədlərinə hətta seçkilərə təsir göstərmək və ya maliyyə bazarlarını manipulyasiya etmək də daxil ola bilər. Kibercinayətkarlar insanları investisiya qoymağa aldadan saxta xəbərlər, mətbuat açıqlamaları və ya səhm göstəriciləri qrafiklərini elektron poçtla göndərə və ya paylaşa bilərlər.

Niyə sosial mühəndislik fırıldaqlarının bu qədər çox forması var?

Sosial mühəndislik fırıldaqlarının bir çox forması var, çünki cinayətkarlar həmişə qurbanların olduğu yerə gedəcəklər. Ünsiyyət qurmağın və əlaqə qurmağın yeni yollarını tapdıqca, pis aktyorlar emosional zəifliklərimizdən istifadə etmək üçün yeni kanala uyğun sxemlər hazırlayırlar.

Fişinq nədir?

Fişinq, alıcıları pul göndərməyə və ya məxfi məlumatları açıqlamağa cəlb etmək üçün saxta elektron poçtlara əsaslanan sosial mühəndislik taktikasıdır.

1990-cı illərdə Afrika kral ailəsinə mənsub olduğunu iddia edən bir şəxsin təcili maliyyə yardımı istədiyi "Nigeriya şahzadəsi" elektron poçtlarını xatırlayırsınız? İndi bu müddəaya gülə bilərik, amma geniş yayılmış fırıldaqçılıq fişinqin ən erkən və ən əsas nümunələrindən biri idi. O ilk günlərdən bəri, fişinq fırıldaqçılığı sayı və mürəkkəbliyi baxımından artmışdır.

Fişinq e-poçtunun xəbərdarlıq əlamətləri hansılardır?

Fişinq e-poçtunun xəbərdarlıq əlamətləri qorxu, panik və ya digər güclü reaksiyalara səbəb olan mesajlardır. Onlar maliyyə fövqəladə halları, hesabınızda "qeyri-adi fəaliyyət"in aşkarlanması və ya ödənilməmiş fakturalar kimi təcili vəziyyətlər təqdim etməklə təhdid səslənir və ya dərhal tədbir görülməsini tələb edirlər.

Məqsəd, insanları aydın düşünməyə vaxtları çatmamış qorxudaraq cavab verməyə məcbur etməkdir. Bir çox fişinq e-poçtları alıcılardan linkə klikləməyi və ya əlavəni yükləməyi xahiş edir, lakin bunların hər hansı birini etmək zərərli veb sayta keçid, kompüter virusunu işə salmaq və ya təhlükəli proqram təminatını yükləmək kimi gözlənilməz nəticələrə səbəb ola bilər.

Fişinq linkinə klikləmisinizsə nə etməli?

Əgər fişinq linkinə klikləmisinizsə, kompüterinizi və ya cihazınızı internetdən ayırın. Bu, zərərli yükləmələri dayandıra və ya onların başlamasını bloklaya bilər. Etibarlı təhlükəsizlik proqramından istifadə edərək sisteminizi skan edin və virus və ya zərərli proqram aşkar edildikdə təlimatları izləyin.

Saxta veb saytı ziyarət edərkən hesablarınızdan birinə istifadəçi adı və şifrə daxil etmisinizsə, dərhal qanuni sayta keçin və onları dəyişdirin. Sizə maddi zərər verə biləcək məlumatları açıqlamaq ehtimalınız varsa, necə davam edəcəyiniz barədə təlimatlar üçün bankınızla əlaqə saxlayın.

Kredit bürolarının olduğu bir ölkədə yaşayırsınızsa, onlarla əlaqə saxlamaq yaxşı bir fikirdir. ABŞ-da üç əsas kredit bürosu şübhəli fəaliyyət üçün sənədinizi izləyə bilər. Həmçinin kredit sənədinizi pulsuz olaraq "dondurmağa" və "dondurulmamış" saxlamağa imkan verəcəklər. Nəhayət, kiber fırıldaqçılıq və ya saxtakarlıq barədə müvafiq orqanlara məlumat verin və dostlarınız və həmkarlarınızla fırıldaqçılıq barədə danışın ki, onlar səhvinizi təkrarlamağa tələsməsinlər.

Nizə fişinqi nədir?

Spear fişinqi hədəflənmiş, daha fərdiləşdirilmiş fişinq formasıdır. Fırıldaqçılar əlaqə qurmazdan əvvəl araşdırma aparırlar ki, sizə adla müraciət edə bilsinlər və ya tanıdığınız bir şirkəti və ya şəxsi təmsil etdiklərini iddia etsinlər.

Çox vaxt onlar sosial mediadan çoxlu məlumat toplaya bilirlər, buna görə də paylaşımlarınızın ifşasını məhdudlaşdırmaq üçün sosial media saytlarında məxfilik tənzimləmələrindən istifadə etməyi düşünün.

Balina hücumu nədir?

Balina ovu, birbaşa korporativ rəhbərlərə və ya digər yüksək vəzifəli şəxslərə yönəlmiş hədəflənmiş fişinq hücumudur. Başqa sözlə, bir təşkilatdakı böyük balıqlar ("balinalar").

Vişinq nədir?

Vişinq, e-poçt əvəzinə telefon zəngləri və ya səsli poçt mesajlarından istifadə edən bir fişinq formasıdır.

Smishing nədir?

Smişinq, potensial qurbanları SMS (mətn) mesajlaşması vasitəsilə hədəf alan başqa bir fişinq növüdür.

Quishing nədir?

Quishing, fırıldaqçıların insanları zərərli bir veb sayta aparan saxta QR kodunu skan etməyə inandırdıqları və burada məxfi məlumatlardan imtina etməyə və ya zərərli proqram təminatını yükləməyə razı sala biləcəkləri bir fişinq növüdür.

Zişinq nədir?

Zişinq, videokonfrans zənglərində baş verən və qurbanları aldatmaq üçün dərin saxta texnologiyadan istifadə edən bir fişinq texnikasıdır. "Z" hərfi Zoom-u ifadə edir, lakin bu, istənilən platformada baş verə bilər.

Balıqçı fişinq hücumu nədir?

Balıqçı fişinqi, bir iş və ya xidmət haqqında şikayət edən sosial media istifadəçilərini hədəf alır. Fırıldaqçılar saxta sosial media profilləri yaradır və sonra kömək etmək istəyən müştəri xidmətləri nümayəndəsi kimi təqdim edərək orijinal posterlə əlaqə saxlayırlar. Onlar şəxsi məlumatları soruşacaq və cinayətkar fəaliyyət üçün istifadə edəcəklər.

E-poçt saxtakarlığı nədir?

E-poçt saxtakarlığı, fırıldaqçıların e-poçt ünvanlarını və ya ekran adlarını gizlətməklə şəxsiyyətlərini gizlətmələridir ki, e-poçtlar alıcının tanıdığı bir şəxsdən gəlsin. Bəzən fırıldaqçılar elektron poçt hesablarından o qədər yaxın — bəlkə də yalnız bir hərflə fərqlənir — istifadə edirlər ki, alıcılar uyğunsuzluqları görmürlər.

İşgüzar e-poçt güzəşti necə işləyir?

Biznes elektron poçtunun oğurlanması, kibercinayətkarların korporativ elektron poçt sisteminə haker hücumu nəticəsində rəhbər vəzifədə olan bir şəxsdən gələn kimi görünən elektron poçtlar yaratmasıdır. E-poçtlar digər işçiləri imtiyazlı maliyyə məlumatlarını açıqlamağa və ya saxta hesablara pul göndərən ödəniş köçürmələrinə icazə verməyə inandırmaq üçün hazırlanır.

Qorxu hücumu nədir?

Scareware hücumu kompüter istifadəçilərini qorxudaraq zərərli proqram təminatı quraşdırmağa və ya virusla yoluxmuş faylları açmağa məcbur edir. İstifadəçi kompüterinin təhlükəli bir virusa yoluxduğu barədə yalan xəbərdarlıq edən pop-up bildirişi ala bilər. Daha sonra onlara saxta proqram təminatı almaq və ya kompüterin kilidini açmaq üçün pul göndərmək tapşırılır.

Romantika və ya bal qazanı fırıldağı nədir?

Romantik fırıldaqçılıq, cinayətkarların tanışlıq tətbiqlərində, veb saytlarında və ya sosial media platformalarında real profillər yaratması və potensial qurbanlara romantik maraq göstərməsidir. Münasibət vədini yerinə yetirərək, onlar pul istəyir, saxta investisiya və ya kriptovalyuta sxemlərini irəli sürür və ya maliyyə hesablarına daxil olmaq üçün şəxsi məlumatlar tələb edirlər.

Romantik fırıldaqçılar tez-tez tanışlıq saytının təhlükəsizlik tədbirlərindən yayınaraq söhbətlər başladıqdan dərhal sonra SMS və ya e-poçt vasitəsilə hərəkət etməyi təklif edirlər.

Aldanıldıqdan sonra nə etməliyəm?

Əgər fırıldaqçılıq qurbanı olmusunuzsa, bankınızla və maliyyə hesablarınızı idarə edən digər müəssisələrlə əlaqə saxlayın və baş verənləri onlara bildirin. İstifadəçi adlarını və şifrələrini dəyişdirin və rəqəmsal qarşılıqlı təsirlər üçün çoxfaktorlu identifikasiyanı aktivləşdirin. Cinayət barədə məlumat verərək gələcək qurbanlara kömək edin.

Əksər ölkələrdə kiber fırıldaqçılıq və saxtakarlıqla məşğul olan mərkəzi orqan mövcuddur. ABŞ-da Federal Ticarət Komissiyası ilə onun veb saytı vasitəsilə və ya 877-IDTHEFT (438-4338) nömrəsinə zəng edərək əlaqə saxlayın. Europol fərdi hesabat veb saytlarına malik üzv dövlətlərin siyahısına malikdir. 

Bu hekayə əvvəlcə 7 mart 2024-cü ildə dərc edilib və FTC-dən yeni statistika ilə yenilənib.  

Saxtakarlığın qarşısının alınması

Özünüzü, ailənizi və biznesinizi qoruyun

 

 

Rəqəmsal qarşılıqlı əlaqələrimizi və fırıldaqçılıqdan yayınmaq üçün sadə addımlar var. ABŞ Kibertəhlükəsizlik və İnfrastruktur Agentliyinin bu məsləhətlərinə baxın.

 

 

 

Daha ətraflı