Sosial mühəndislik nədir?

Bu məqalə "Sosial mühəndislik" silsiləsinə daxildir

Social-Engineering

Sosial mühəndislik – Social engineering texniki qurğulardan istifadə etmədən məxfi məlumatların əldə olunmasında adamların manipulyasiya olunmasını nəzərdə tutur.  Bu bir məharətdir hansı ki, insan fiziologiyasını istismar etməklə binalara, ofislərə, sistemlərə və informasiya bazalarına heç bir xaker texnologiyasından istifadə etmədən məlumatların əldə etmək mümkündür. Məsələn, hansısa proqramlardan istifadə etməklə zəif yerləri, boşluqları aşkar etmək əvəzinə onlar sadəcə ofisə zəng vurmaqla və özlərini onların İT mütəxəsisi kimi təqdim edirlər. Bununla da onlar bacarıqları sayəsində lazım olan informasiyaları əldə etməyə çalışırlar. Onuda qeyd edim ki, bu metod çox populyardı  və böyük məharət tələb edir. Çünki əsas məqsəd işcilərin inamını qazanmaq və onlardan şifrələrini və digər məlumatlarını almaqdı.

Təhlükəsizlik silsiləsində ən zəif element insan məfhumudu. Kevin Mitnik

Sistem avadanlıqlardan, proqramdan və insan məfhumundan ibarətdi. Yaxşı bilik ilə sosial mühəndislər insan məfhumuna müxtəlif vasitələrlə zəifliklərindən istifadə edərək onlardan mühüm informasiyaları əldə etməyi bacarırlar. Sosial mühəndislik insanın fizioloji  biliklərdən istifadə etməklə onlarla təmasda olmaq və  onların inamını qazanıb kələk gələrək məxfi informasiyaları əldə etməkdir.

Sosial mühəndisliyə daxildir. Hiyləgərlik etmək – özünü  işci kimi qələmə vermək, parol və digər informasiyaları əldə etmək. Sosial mediadan yararlanaraq yeni işçiləri təyin edir, hansıları ki,  daha asan aldatmaq və  inam yaratmaq olar. Bununla həmin şəxslərdən lazımi informasiyaları əldə etməyə başlanılır. Belə bir deyim var.

Sən  böyük məbləğdə var-dövlət sərf edə bilərsən texnologiyaya və xidmətlərə.  lakin sənin  şəbəkə infrastrukturun yenədə  köhnə və təhlükəyə davamsız qalır.

Sosial  mühəndislik informasiya təhlükəsizlik sisteminin istismarında istifadə olunan bir sənət əsəridir, onu istifadə edən insanlar üçün. Sosial mühəndislik informasiyanın toplanması və onların  nəticəsi olaraq müxtəlif informasiya sistemlərinə qarşı hücumlar həyata keçirirlər. Bu tip hücumlardan  çoxlu təşkilatlar hədsiz dərəcədə zərər görmüşlər. Lakin sosial mühəndisliyə çox zaman  səthi yanaşılır. Buna səbəb isə maarifləndirmə və adamların kifayət qədər təlimlərinin olmamasıdır.

Sosial mühəndislər nə istəyirlər?

Məqsəd şəxsi informasiyanın əldə olunması  və bunun nəticəsində maliyyə  və digər sənədlərin əldə olunmasına yollar açır. Şəxsi məlumatlara daha rahat yol tapmaq üçün bəzən zərərli proqramları zərərçəkənin kompüterinə yazırlar. Buda onlara  rahatlıqla onların məlumatlarını əldə etmək və onları ələ keçirtmək şəraiti yaradır. Aşağıdakı məlumatlar onlar üçün əhəmiyyətli dərəcədə qiymətli hesab olunur.

  • Şifrələr
  • Hesab nömrələri
  • Açarlar
  • Müxtəlif şəxsi  informasiyalar
  • Giriş kartları və şəxsiyyət nişanları
  • Telefon nömrələri
  • İstifadə etdiyi  kompüter sisteminin detalları
  • İmtiyazı olan istifadəçi adı
  • Serverler, şəbəkələr, ictimai olmayan internet səhifələri və  daxili səhifələr

İşləmə sxemi

Sosial mühəndislər özlərini inanılası şəxs, köməkcil, daxili proseslərdən xəbardar, özlərini başqaları kimi təqdim etməklə işləyirlər. Çox vaxt onlar bir neçə həmlələrlə öz hədəflərinə nail olurlar. Əldə olunan hər bit informasiya cəmlənərək inandırıcı bir məlumata cevrilir. Sosial mühəndislik bütünlüklə digərləri üzərində fayda əldə etmək və informasiyaları cəmləşdirərək öz hədəflərinə nail olmaqdır.

  • İnformasiyanın əldə olunması: Təcavüzkar müxtəlif vasitələrdən istifadə edərək hədəf haqqında məlumat toplayır. Məlumatlar əldə olunanadan sonra onlar cəmlənir və hədəf ilə bağlılıq yaradılır və ya mühüm bir şəxsə qarşı  hücumlar həyata keçirilir.
  • Bağlılığın inkişaf olunması: Təcavüzkar hədəf ilə inam yaradandan sonra rahatlıqla onu istismarını həyata keçirir. Bu münasibətləri yaradarkən o özünü inanılmış biri kimi göstərməklə və sonradan həmin inam əsasında istismarını genişləndirir.
  • İstismar olunması: Manipulyasiya olunmuş hədəf sonradan lazımi məlumatları (şifrələr, nömrələr, hesabların açılması və s.) ozüdə hiss etmədən bölüşməyə başlayır. Sonda bütün bunlar həmlənin yekunlaşmasına ya da yeni bir həmlənin başlanğıcına gətirib çıxardır.
  • İcra:  Hədəf üçün nəzərdə tutulmuş icraat yekunlaşandan sonra bu dövr yekunlaşır.

Sosial mühəndisliyin mövləri.

Pretexting-Uydurmaq. Uydurma və yalan metodlardan istifadə edərək  ad, soyadı, doğum tarixi, sosial təhlükəsizlik kodu və s. şəxsi informasiyaları əldə edirlər. Ən çox istifadə olunan formalardan biri telefon ilə şəxsi məlumatların oğurlanmasıdı.

2006-cı ildə HP  şirkətinin rəhbərliyi  ictimai mediaya ötürülən məlumatların necə sızmasını tapmaq üçün  kənar konsalting şirkətinə müraciət edir. Təşkilat tərəfindən araşdırmalar nəticəsində, işçilərin ilkin baxışdan “əhəmiyyətsiz” saydığı informasiyanın etibarlı  sayılmayan mənbələrə ötürdüyü aşkarlanmışdır.

Nəticədə xeyli sayda işçilər məlumat sızmalarına görə işdən azad edilmişlər.

Dumpster diving-Zibilliyi eşələmək: Zibilliyi eşələmək  texnikası orada olan məlumatların  əldə olunması üçün həyata keçirilir. Sadə dil ilə desək gedib zibil yeşiklərini  qurdalayır hansısa məlumat tapmaq məqsədi ilə. Ama bunu hər bir zibillikdə etmir. Yalnız onun hədəf götürdüyü ofislərin yaxınlığındakı zibil yeşiklərində. Burada onlar əhəmiyyətli məlumatlar (şifrələr, telefon nömrələri, firma çartları və s.) əldə edə bilərlər və bu məlumatlar əsasında özlərinin həmlələrini təyin edirlər. Misal üçün işçilər fərqinə varmadan istifadə etdikləri kağız və sənədləri zibil yeşiklərinə atırlar. Burada ödəniş çekləri, hesab vərəqləri, plastik kart sifarişləri və s. digər  sənədlər ola bilər. Əksər evlərdə və ofislərdə qeyd dəftərləri doldurulduqda ya qaralama dəfətərləri və kağızları zibilliyə atılır. Bütün bunlar əhəmiyyətli məlumat daşıya biləcək resurslardı.
Phishing-Fırıldaqçılığ:  Bu metod internet istifadəçilərin aldatmaqla onlara aid şəxsi məlumatların ələ keçirilməsidir.  Bunlara şifrələr, kredit kart nömrələri, bank hesabları və s. məxfi məlumatlar daxildir. Misal üçün texniki dəstək xidməti adından istifadəçilərə məktub göndərilir ki, texniki işlər ilə bağlı şifrələrini və istifadəçi adlarını email ilə onlara göndərmələrini xahiş edirlər. Baxmayaraq ki, həmin məktubda onlar tərəfindən qeyd olunur ki,  heç bir halda öz şifrə və istifadəçi adlarını heç kəsə göndərmək olmaz. Buda istifadəçilərdə əminlik yaratmaqda köməklik edir. Belə məktublar cox səliqəli və qramatik cəhətdən  düzgün yazılır.

Spearphishing: Əgər “phishing” metodu ilə istifadəçilərin məlumatı toplanırsa bu metodda yalnız bəlli olan şəxsin məlumatlarını əldə etmək dayanır.

İVR (İnteractive Voice Response) or Phone Phishing-İnteraktive səsli cavab və telefon  fırıldaqçılığı. İnteraktiv səsli cavab texnikasından istifadə edərək bank  və digər təşkilatlara məxsus  telefon səs sisteminin saxta formasının yaradılması nəzərdə tutulur. Müştəriyə banka zəng kimi xidmət təklif olunur və bunun əsasında müştəriyə aid məlumatların əldə olunmasına nail olurlar. Buna misal olaraq həmin sistem hansısa müştəriyə bankdan zəng olunmuş qaydada zəng vurur və ona aid məlumatlar istənlir. Yaxud ona digər bir nömrə təqdim olunur ki, həmin nömrə ilə əlaqə saxlasın və kompaniya çərçivəsində ona  düşən həvəsləndirici mükafatın əldə olunması üçün  ona aid məlumatlar istənilir.

Shoulder Surfing-Çiyin arxasından baxmaq: Bu qaydada onlar insanların xəbəri olmadan onlara aid məlumatlar oğurlayırlar. Belə hallar adətən ictimai yerlərdə və insanların sıx olduqları yerlərdə baş verir.

Hər hansı bir şəxs  hansısa formanı doldurarkən, kredit kart məlumatlarını daxil edərkən, ictimai telefonlardan  istifadə edərəkən, internet klublarında, kitabxanalarda, köşklərdə şifrələrini daxil edərkən izlənilirlər. Misal  üçün ictimai yerlərdə olan ATM-dən istifadə zamanı PİN kodu daxil edərkən arxadan yaxınlaşıb  kodun öyrənilməsi kimi hallar baş verir.

Diversion theft-Təxribat xarakterli oğurluq: Burada onlar  kuryer xidmətini ya transport  kompaniyasını aldatmaqla başqasına məxsus olan bağlamanı ona məxsus olmasını israr etməyə çalışırlar. Adətən kuryer binaya yaxınlaşan zaman gülərüzlə qarşılanır və özünü bağlamanın yiyəsi kimi təqdim etməklə bağlamanı ələ keçirir.

Forensic analysis-Təhlili aparmaq:  Bu zaman köhnə və istifadə olunmayan kompüter ləvazimatlarını- yaddaş kartları, yaddaş diskləri, DVD/CD və digər məlumat daşıyıcılarını əldə edir və onların analizi nəticəsində məlumatlar əldə olunur.

Tailgating-İzləmək: Binaya və digər yerlərə daxil olmaq və özünü orada işləyən əməkdaş kimi aparmaq. Yaxud binaya  ya ofisə daxil olan işçiləri izləmək və onlar daxil olarkən cəld onlarla birgə qapıdan içəri keçmək.

 Baiting-Aldatmaq: Zərərverici proqramlar yüklənmiş məlumat daşıyıcıları yaxud dvd/cd giriş  etdiyi binada buraxmaqla o bir növ özünə virtual qapı yaratmıq olur. Hansısa bir  əməkdaş o məlumat daşıyıcılarını istifadə edərkən həmin zərəli proqramlar onun kompüterinə yazılır. Bunun sayəsində bütün ofis daxili şəbəkə ziyanverici proqramlar yayılır.

Quid pro quo-Həvəsləndirici bəxşiş: Bu zaman  hədiyyələr və ya pul təklif olunmaqla məxfi məlumatlar işçilərdən əldə olunur. Bu hal birbaşa onu hazırlayan şəxs tərəfdən keçirilmir. Digər şəxslərin köməyindən istifadə olunaraq özünün gizliliyini saxlayır.

Reverse social engineering-əks sosial mühəndislik: Hər hansısa bir problem yaradır  və həmin problemin həllində öz köməyini təklif edir. Bunun sayəsində o özünə lazım olan məlumatları rahatlıqla əldə etmək imkanı tapır.

Fake pop-up-Saxta pəncərələr: İnternet səhifələrində biz bunlara tez-tez rastlaşırıq. Səhiflərdə əlavə pəncərələr yaranır və orada müxtəlif sözlər ola bilər. Məsələn “bura tıklayın və hansısa məbləği udmaq şansı qazanın” və ya “şəbəkədə baş vermiş problem ilə bağlı sizin istəyiniz qeydə alınmadı. Xahiş edirik istifadəçi adı və şifrəni yenidən daxil edin” bu kimi  saxta pəncərələr yaratmaqla öz  qurbanlarını əldə edirlər.

Sosial mühəndislik ilə bağlı halların qarşısını almaq üçün aşağıdakılar vacibdir.

  1. Təlimlərin keçirilməsi. İnsan resursları daxil olmaqla
  2. Təhlükəsizlik qaydaların yaradılması və əməkdaşların onun əsasında nəyi etmək olar və ya nəyi etmək olmaz kimi qaydalarla tanış olmaları
  3. Xüsusi nişanların olması və orada hər bir işçi haqda qeydlərin olması
  4. Xüsusi təlimlərdə iştirakını saxlamaq, bura sosial mühəndislərin kələklərindən məlumatların verilməsi
  5. Yaxşı təhlükəsizlik arxitekturası- burada texniki qurğular nəzərdə tutulur
  6. İnformasiya sızmalarının qarşısını almaq üçün ictimaiyyət üçün olan  internet səhifələrində əməkdaşlara aid məlumatların  olmaması
  7. Hadisənin qarşısını almaq üçün strategiya. Məsələn istifadəçi hansısa bir  tələb və ya istək alıbsa, onu həyata keçirməzdən öncə dəqiqləşdirməli
  8. Təhlükəsizlik mədəniyyətinin yaradılması. Uzunmuddətli investisiyaların yatırılması və onun davamlı olmasını saxlamaq
  9. Qaralmalar, müqavilələr, sənədlər və onların nüsxələrini məhv etmək

Sonda onuda qeyd edim ki,  Sosial mühəndis sənin şəxsi məlumatlarını əldə edə bilən şəxslərdir, kimlərki  texniki  biliyi belə olmaya bilər.  O  kələk  və  müxtəlif taktikalardan istifadə etməklə istifadəçini aldadır.  Sosial mühəndislik təşkilatın təhlükəsizliyi üçün böyük bir təhlükədir. Bunun əhəmiyyətini hər zaman anlamaq və onun baş verməməsi üçün tədbirlər görmək lazımdır.  Yalnız bütün bu sadalananları həyata keçirtməklə siz nəinki özünüzü hətta yaxınlarınızı və ətrafdakıları qorumuş olursunuz.

PS. Məqalə müəllifin  fikirləri və Kevin Mitnikin məqalə və kitablarından istifadə olunaraq ərsəyə gətirilmişdir.

Səs: +60. Bəyənilsin Zəifdir

Müəllif: Ağa Hüseynov

Bu yazıya şərh Bu mövzuya aid sual

Şərhlər ( 1 )

    • Vusal / . Dərc edilib:A 29/03/2014 at 10:29 Səhər
      Səs: +4. Bəyənilsin Zəifdir

    Sosial Muhendisliyin banisi K. Mitnick. Sosial muhendisliye aid bir ktiabida var.

Şərh yazın