Sosial mühəndislik nədir?

Social-Engineering

Sosial mühəndislik – Social engineering texniki qurğulardan istifadə etmədən məxfi məlumatların əldə olunmasında adamların manipulyasiya olunmasını nəzərdə tutur.  Bu bir məharətdir hansı ki, insan fiziologiyasını istismar etməklə binalara,ofislərə, sistemlərə və informasiya bazalarına heç bir xaker texnologiyasından istifadə etmədən məlumatların əldə etmək mümkündür. Məsələn, hansısa proqramlardan istifadə etməklə  zəif yerləri aşkar etmək əvəzinə omlar sadəcə ofisə zəng vurmaqla və ozlərini onların İT mütəxəsisi kimi təqdim edirlər. Bununla da onlar bacarıqları sayəsində lazim olan informasiyaları əldə etməyə çalışırlar. Onuda qeyd edim ki, bu metod çox populyardı  və böyük məharət tələb edir. Çünki əsas məqsəd işcilərin inamını qazanmaq və onlardan şifrələrini və digər məlumatlarını almaqdı.

Təhlükəsizlik silsiləsində ən zəif element insan məfhumudu. Kevin Mitnik

Sistem avadanliqlardan, proqramdan və insan məfhumundan ibarətdi. Yaxşı bilik ilə sosial mühəndislər insan məfhumuna müxtəlif vasitələrlə zəifliklərindən istifadə edərək onlardan mühüm informasiyaları əldə etməyi bacarırlar. Sosial mühəndislik insanın fizioloji  biliklərdən istifadə etməklə onlarla təmasda olmaq və  onların inamını qazanıb kələk gələrək  məxfi informasiyalıarı əldə etməkdir.

Sosial mühəndisliyə daxildir. Hiyləgərlik etmək- özünü  işci kimi qələmə vermək, parol və digər informasiyalıarı əldə etmək. Sosial mediadan yararlanaraq yeni işçiləri təyin edir hansıları ki,  daha asan aldatmaq və  inam yaratmaq olar. Bununla həmin şəxslərdən lazımi informasiyaları əldə etməyə başlanılır. Belə bir deyim var.

Sən  böyük məbləğdə var-dövlət sərf edə bilərsən texnologiyaya və xidmətlərə.  lakin sənin  şəbəkə infrastrukturun yenədə  köhnə və təhlükəyə davamsız qalır.

Sosial  mühəndislik informasiya təhlükəsizlik sisteminin istismarında istifadə olunan bir sənət əsəridir onu istifadə edən insanlar üçün. Sosial mühəndislik informasiyanın toplanması və onların  nəticəsi olaraq müxtəlif informasiya sistemlərinə qarşı hücumlar həyata keçirirlər. Bu tip hücumlardan  çoxlu təşkilatlar hədsiz dərəcədə zərər görmüşlər. Lakin sosial mühəndisliyə çox zaman  səthi yanaşılır. Buna səbəb isə maarifləndirmə və adamların kifayət qədər təlimlərin olmamasıdır.

Sosial mühəndislər nə istəyirlər?

Məqsəd şəxsi informasiyanın əldə olunması  və bunun nəticəsində maliyyə  və digər sənədlərin əldə olunmasına yollar açır. Şəxsi məlumatlara daha rahat yol tapmaq üçün bəzən zərərli proqramları zərərçəkənin kompüterinə yazırlar. Buda onlara  rahatlıqla onların məlumatlarını əldə etmək və onları ələ keçirtmək şəraiti yaradır. Aşağıdakı məlumatlar onlar üçün əhəmiyyətli dərəcədə qiymətli hesab olunur.

  • Şifrələr
  • Hesab nömrələri
  • Açarlar
  • Müxtəlif şəxsi  informasiyalar
  • Giriş kartları və şəxsiyyət nişanları
  • Telefon nömrələri
  • Istifadə etdiyi  kompüter sisteminin detalları
  • Imtiyazı olan istifadəçi adı
  • Serverler, şəbəkələr, ictimai olmayan internet səhifələri və  daxili səhifələr

İşləmə sxemi

Sosial mühəndislər ozlərini inanılası şəxs, köməkcil, daxili proseslərdən xəbardar, özlərini başqaları kimi təqdim etməklə işləyirlər. Çox vaxt onlar bir neçə həmlələrlə öz hədəflərinə nail olurlar. Əldə olunan hər bit informasiya cəmlənərək inandırıcı bir məlumata cevrilir. Sosial mühəndislik bütünlüklə digərləri üzərində fayda əldə etmək və informasiyaları  cəmləşdirərək öz hədəflərinə nail olmaqdır.

  • İnformasiyanın əldə olunması: Təcavüzkar müxtəlif vasitələrdən istifadə edərək hədəf haqqında məlumat toplayır. Məlumatlar əldə olunanadan sonra onlar cəmlənir və hədəf ilə bağlılıq yaradılır və ya mühüm bir şəxsə qarşı  hücumlar həyata keçirilir.
  • Bağlılığın inkişaf olunması: Təcavüzkar hədəf ilə inam yaradandan sonra rahatlıqla onu istismarını həyata keçirir. Bu münasibətləri yaradarkən o özünü inanılmış biri kimi göstərməklə və sonradan həmin inam əsasında istismarını genişləndirir.
  • İstismar olunması: Manipulyasiya olunmuş hədəf sonradan lazımi məlumatları (şifrələr, nömrələr, hesabların açılması və s.) ozüdə hiss etmədən bölüşməyə başlayır. Sonda bütün bunlar həmlənin yekunlaşmasına ya da yeni bir həmlənin başlanğıcına gətirib çıxardır.
  • Icra:  Hədəf üçün nəzərdə tutulmuş icraat yekunlaşandan sonra bu dövr yekunlaşır.

Sosial mühəndisliyin mövləri.

Pretexting-Uydurmaq. Uydurma və yalan metodlardan istifadə edərək  ad, soyadı, doğum tarixi, sosial təhlükəsizlik kodu və s. şəxsi informasiyaları əldə edirlər. Ən çox istifadə olunan formalardan biri telefon ilə şəxsi məlumatların oğurlanmasıdı.

2006-cı ildə HP  şirkətinin rəhbərliyi  ictimai mediaya ötürülən məlumatların necə sızılmasını

tapmaq üçün  kənar konsalting şirkətinə müraciət edir. Təşkilat tərəfindən araşdırmalar nəticəsində, işçilərin ilkin baxışdan “əhəmiyyətsiz” saydığı informasiyanın etibarlı  sayılmayan mənbələrə ötürdüyü aşkarlanmışdır.

Nəticədə xeyli sayda işçilər məlumat sızmalarına görə işdən azad edilmişlər.

Dumpster diving-Zibilliyi eşələmək: Zibilliyi eşələmək  texnikası orada olan məlumatların  əldə olunması üçün həyata keçirilir. Sadə dil ilə desək gedib zibil yeşiklərini  qurdalayır hansısa məlumat tapmaq məqsədi ilə. Ama bunu hər bir zibillikdə etmir. Yalnız onun hədəf götürdüyü ofislərin yaxınlığındakı zibil yeşiklərində. Burada onlar əhəmiyyətli məlumatlar (şifrələr, telefon nömrələri, firma çartları və s.) əldə edə bilərlər və bu məlumatlar əsasında özlərinin həmlələrini təyin edirlər. Misal üçün işçilər fərqinə varmadan istifadə etdikləri kagız və sənədləri zibil yeşiklərinə atırlar. Burada ödəniş çekləri, hesab vərəqləri, plastik kart sifarişləri və s. digər  sənədlər ola bilər. Əksər evlərdə və ofislərdə qeyd dəftərləri doldurulduqda ya qaralama dəfətərləri və kağızları zibilliyə atılır. Bütün bunlar əhəmiyyətli məlumat daşıya biləcək resurslardı.
Phishing-Fırıldaqçılığ:  Bu metod internet istifadəçilərin aldatmaqla onlara aid şəxsi məlumatların ələ keçirilməsidir.  Bunlara şifrələr, kredit kart nömrələri, bank hesabları və s. məxfi məlumatlar daxildir. Misal üçün texniki dəstək xidməti adından istifadəçilərə məktub göndərilir ki, texniki işlər ilə bağlı şifrələrini vəistifadəçi adlarını email ilə onlara göndərmələrini xahiş edirlər.Baxmayaraq ki həmin məktubda onlar tərəfindən qeyd olunur ki,  heç bir halda öz şifrə və istifadəçi adlarını heç kəsə göndərmək olmaz. Buda istifadəçilərdə əminlik yaratmaqda köməklik edir. Belə məktublar cox səliqəli və qramatik cəhətdən  düzgün yazılır.

Spearphishing: Əgər “phishing” metodu ilə istifadəçilərin məlumatı toplanırsa bu metodda yalnız bəlli olan şəxsin məlumatlarını əldə etmək dayanır.

İVR(İnteractive Voice Response) or Phone Phishing-İnteraktive səsli cavab və telefon  fırıldaqçılığı. İnteraktiv səsli cavab texnikasından istifadə edərək bank  və digər təşkilatlara məxsus  telefon səs sisteminin saxta formasının yaradılması nəzərdə tutulur.Müştəriyə banka zəng kimi xidmət təklif olunur və bunun əsasında müştəriyə aid məlumatların əldə olunmasına nail olurlar. Buna misal olaraq həmin sistem hansısa müştəriyə bankdan zəng olunmuş qaydada zəng vurur və ona aid məlumatlar istənlir. Yaxud ona digər bir nömrə təgdim olunur ki, həmin nömrə ilə əlaqə saxlasın və kompaniya çərçivəsində ona  düşən həvəsləndirici mükafatın əldə olunması üçün  ona aid məlumatlar istənilir.

Shoulder Surfing-Çiyin arxasından baxmaq: Bu qaydada onlar insanların xəbəri olmadan onlara aid məlumatlar oğurlayırlar. Belə hallar adətən ictimai yerlərdə və insanların sıx olduqları yerlərdə baş verir.

Hər hansı bir şəxs  hansısa formanı doldurarkən, kredit kart məluymatlarını daxil edərkən, ictimai telefonlardan  istifadə edərəkən, internet klublarında, kitabxanalarda, köşklərdə şifrələrini daxil edərkən izlənilirlər. Misal  üçün ictimai yerlərdə olan ATM-dən istifadə zamanı PİN kodu daxil edərkən arxadan yaxınlaşıb  kodun öyrənilməsi kimi hallar baş verir.

Diversion theft-Təxribat xarakterli oğurluq: Burada onlar  kuryer xidmətini ya transport  kompaniyasını aldatmaqla başqasına məxsus olan bağlamanı ona məxsus olmasını israr etməyə çalışırlar. Adətən kuryer binaya yaxınlaşan zaman gülərüzlə qarşılanır və özünü bağlamanın yiyəsi kimi təqdim etməklə bağlamanə ələ keçirir.

Forensic analysis- Təhlili aparmaq:  Bu zaman köhnə və istifadə olunmayan kompüter ləvazimatlarını- yaddaş kartları, yaddaş diskləri, DVD/CD və digər məlumat daşıyıcılarını əldə edir və onların analizi nəticəsində məlumatlar əldə olunur.

Tailgating-İzləmək: Binaya və digər yerlərə daxil olmaq və özünü orada işləyən əməkdaş kimi aparmaq. Yaxud binaya  ya ofisə daxil olan işçiləri izləmək və onlar daxil olarkən cəld onlarla birgə qapıdan içəri keçmək.

 Baiting-Aldatmaq: Zərərverici proqramlar yüklənmiş məlumat daşıyıcıları yaxud dvd/cd giriş  etdiyi binada buraxmaqla o bir növ özünə virtuaı qapı yaratmıq olur. Hansısa bir  əməkdaş o məlumat daşıyıcılarını istifadə edərkən həmin zərəli proqramlar onun kompüterinə yazılır. Bunun sayəsində bütün ofis daxili şəbəkə ziyanverici proqramlar yayılır.

Quid pro quo-Həvəsləndirici bəxşiş: Bu zaman  hədiyyələr və ya pul təklif olunmaqla məxfi məlumatlar işçilərdən əldə olunur. Bu hal birbaşa onu hazırlayan şəxs tərəfdən keçirilmir. Digər şəxslərin köməyindən istifadə olunaraq özünün gizliliyini saxlayır.

Reverse social engineering-əks sosial mühəndislik: Hər hansısa bir problem yaradır  və həmin problemin həllində öz köməyini təklif edir. Bunun sayəsində o özünə lazım olan məlumatları rahatlıqla əldə etmək imkanı tapır.

Fake pop-up-Saxta pəncərələr: İnternet səhifələrində biz bunlara tez-tez rastlaşırıq. Səhiflərdə əlavə pəncərələr yaranır və orada müxtəlif sözlər ola bilər. Məsələn “bura tıklayın və hansısa məbləği udmaq şansı qazanın” və ya “şəbəkədə baş vermiş problem ilə bağlı sizin istəyiniz qeydə alınmadı. Xahiş edirik istifadəçi adı və şifrəni yenidən daxil edin” bu kimi  saxta pəncərələr yaratmaqla öz  qurbanlarını əldə edirlər.

Sosial mühəndislik ilə bağlı halların qarşısını almaq üçün aşağıdakılar vacibdir.

  1. Təlimlərin keçirilməsi. İnsan resursları daxil olmaqla
  2. Təhlükəsizlik qaydaların yaradılması və əməkdaşların onun əsasında nəyi etmək olar və ya nəyi etmək olmaz kimi qaydalarla tanış olmaları
  3. Xüsusi nişanların olması və orada hər bir işçi haqda qeydlərin olması
  4. Xüsusi təlimlərdə iştirakını saxlamaq bura sosial mühəndislərin kələklərindən məlumatların verilməsi
  5. Yaxşı təhlükəsizlik arxitekturası- burada texniki gurğular nəzərdə tutulur
  6. Informasiya sızmaların qarşısını almaq üçün ictimaiyyət üçün olan  internet səhifələrində əməkdaşlara aid məlumatların  olmaması
  7. Hadisənin qarşısını almaq üçün strategiya.  Məsələn istifadəçi hansısa bir  tələb və ya istək alıbsa onu həyata keçirməzdən öncə dəqiqləşdirməli
  8. Təhlükəsizlik mədəniyyətin yaradılması. Uzunmuddətli investisiyaların yatırılması və onun davamlı olmasını saxlamaq
  9. Qaralmalar, müqavilələr, sənədlər və onların nüsxələrini məhv etmək

Sonda onuda qeyd edim ki,  Sosial mühəndis sənin şəxsi məlumatlarını əldə edə bilən şəxslərdir kimlərki  texniki  biliyi belə olmaya bilər.  O  kələk  və  müxtəlif taktikalardan istifadə etməklə istifadəçini aldadır.  Sosial mühəndislik təşkilatın təhlükəsizliyi üçün böyük bir təhlükədir. Bunun əhəmiyyətini hər zaman anlamaq və onun baş verməməsi üçün   tədbirlər görmək lazımdır.  Yalnız bütün bu sadalananları həyata keçirtməklə siz nəinki özünüzü hətta yaxınlarınızı və ətrafdakıları qorumuş olursunuz.

PS. Məqalədə müəllifin  fikirləri və Kevin Mitnikin məqalə və kitablarından istifadə olunaraq ərsəyə gətirilmişdir.

Səs: +20. Bəyənilsin Zəifdir

Müəllif: Ağa Hüseynov

Şərhlər ( Sosial mühəndislik nədir? )

    • Vusal / . Dərc edilib:A 29/03/2014 at 10:29 AM
      Səs: 0. Bəyənilsin Zəifdir

    Sosial Muhendisliyin banisi K. Mitnick. Sosial muhendisliye aid bir ktiabida var.

Şərh yazın