“Müasir və rəqəmsal dünyamızda kompüter, telefon və s. digər cihaz istifadəçiləri bəzən onların məxfiliyi və təhlükəsizliyini pozan çoxsaylı onlayn təhdidlərlə (hücümlarla) üzləşə bilirlər. Bu təhdidlər müxtəlif metodlu ola bilər ki, lakin bunların arasında fişinq hücumları daha aldadıcı təbiəti, yəni insanların həssas, konfidensial məlumatlarını əldə edərək nəinki istifadəçiyə zərər vurmaq, eləcə də həmin məlumatları yaymaq qabiliyyəti ilə istifadəçilərin zəiflik və məlumatsızlığından istifadə etməyə yönəlmiş daha geniş onlayn hücumlar kateqoriyasının yalnız bir nümunəsidir”.
Bu fikirləri informasiya texnologiyaları üzrə ekspert Araz Əhmədov Medianews.az-a fişinq hücumlar və onların bəzi növləri haqqında danışarkən bildirib. O qeyd edib ki, müxtəlif təhlükəli hücumlar, o cümlədən fişinq hücumları və digər əlaqəli təhdidlərin hərtərəfli icmalını təqdim etmək məqsədi daşıyır ki, bu hücumları başa düşmək, öncə tədbirli davranmaqla istifadəçilər özlərini daha yaxşı qoruya və onlara qarşı yönələn potensial riskləri azalda, yaxud da ümumiyyətlə həmin risklərin yaranmasına belə şərait yaratmaya bilərlər:
“Fişinq Hücumlar (Phishing Attacks):
Bu hücumlar əsasən aldadıcı e-poçtlar, mesajlar və ya sosial şəbəkələr vasitəsilə bağlantılar qurmaq, istifadəçilərin istifadəçi adları, parol və ya digər həssas, konfidensial məlumatlarını əldə etməkdən ibarətdir ki, bu hücumlar zərərli sayt keçidləri (link-ləri) vasitəsilə həyata keçirilir. Belə ki, həmin zərərli link-lər vasitəsilə istifadəçilər bəzən zərərli link-ə klik etməyə cəlb olunurlar ki, bu cəlb etmə zərərli link-ləri örtən duyğusal, əyləncəli və marağa səbəb ola biləcək bir mətn, təsvir, video və s. müxtəlif xarakterli ola bilər. Bu zaman həmin link-lər bəzən real və mövcud sayt (domen) adları ola bilər və zərərvericilər (hackers) bu saytlara diqqətdən qaçan hərf və ya rəqəm əlavə etməklə giriş reytinqi çox olan real saytın saxta nüsxəsini (məsələn: www.vyoutube.com/watch?v=s73G2vYuFmx) yarada bilirlər ki, bu hücumların qurbanı olmamaq üçün istifadəçilər ilk öncə onlara göndərilən link-lərə dərindən diqqət etməli, link-də yer alan sayt adının hərflərini diqqətlə nəzərdən keçirməli, fərqlilik müşahidə edərlərsə klik etməməli və etibarlılığna şübhə etdikləri saytlardan istifadəni tamamilə məhdudlaşdırmalıdırlar”.
Ekspert həmçinin, fişinq hücumların növləri haqqında da məlumat verib:
“ • Nizə, İynə Fişinqi (Spear Pishing):
Bu hücümlar əsasən konkret şəxs və ya təşkilatlara yönəlmiş fişinq növüdür. Bu zaman zərərvericiliər hücum cəhdlərini həmin şəxs və ya təşkilatın sosial şəbəkə və media profillərindən məlumat toplamaqla həyata keçirə bilərlər. Belə ki, zərərvericilər bu fişinq növü ilə bir şəxsə qarşı onun sosial şəbəkə və media profilində ictimai (public) şəkildə qeyd etdiyi bütün şəxsi məlumatlarını (doğulduğu yer, tarix, yaşadığı ünvan, e-poçt ünvanı, əlaqə nömrəsi və s.) və keyfiyyətlərini (xoşladığı rəng, yemək, geyim, musiqi, hobbi və s.) istifadə etməklə də öz hücumlarını həyata keçirməyə cəhd edə bilərlər. Buna görə də imkan daxilində bu tipli şəxsi məlumat və keyfiyyətləri sosial şəbəkə və media profillərində ictimai (public) şəkildə qeyd etməmək məqsədəuyğundur;
• Məzəli və Əyləncəli Hücumlar (Smishing Attacks):
Bu hücumlar istifadəçiləri aldatmaq üçün aldadıcı, komik, məzəli və əyləncəli məzmunlu mətn mesajlaşma (chat, SMS) platformalarından istifadə edir. Məsələn, istifadəçilər mənbəyi məlum olmayan saytlar vasitəsilə telefon və pul mükafatı vəd edən məzəli və əyləncəli saytlara giriş edərək suallara cavab verirlər, telefon və ya pul mükafatını əldə etmək üçün təqdim edilən linkə klik etməklə şəxsi məlumatlarını təqdim edirlər ki, bu zaman zərərvericinin qurbanına çevrilmiş olurlar. Ümumiyyətlə zərərvericilər tez-tez link və ya telefon nömrəsi daxil olmaqla, bəzi təşkilatları və ya şəxsləri təqlid edən mətn mesajları da göndərirlər ki, bu mesajlar istifadəçiləri həssas və konfidensial məlumatları paylaşmağa və ya zərərli vebsaytlara daxil olmağa aldatmaq məqsədi daşıya bilər. İstifadəçilər naməlum mənbələrdən gələn istənilən mətn mesajlarına cavab verərkən və ya “SMS” vasitəsilə şəxsi məlumatları təqdim edərkən diqqətli olmalıdırlar;
• Səsli Hücumlar (Vishing Attacks):
Bu hücumlar əsasən istifadəçiləri aldatmaq üçün telefon zəngləri və ya səsli mesajları əhatə edir. Bu zaman zərərvericilər özlərini etibarlı təşkilatların nümayəndələri kimi təqdim edərək, həssas məlumatları toplamağa və ya qurbanlarını inandırmağa çalışırlar. İstifadəçilər zərərvericilər tərəfindən şəxsi məlumat və ya maliyyə əməliyyatları, ən əsası da “SMS”, birdəfəlik şifrə (OTP) tələb edən zəng və mesajlara şübhə ilə yanaşmalı, ilk olaraq hər hansı həssas detalları paylaşmazdan əvvəl zəng edənin şəxsiyyətini, hansı təşkilatda fəaliyyət göstərməsini və s. digər detalları dəqiqləşdirmək üçün sorğu-sual etməkdən çəkinməməlidirlər;
• Pharming Hücumları (Pharming Attacks):
Bu hücumlar istifadəçiləri tez-tez real olan veb saytlarla eyni görünmək və nəzərdə tutulmuş saxta veb-saytlara yönləndirmək üçün Domen Adı Sistemini (DNS) manipulyasiya edir. Bu veb-saytlara daxil olan istifadəçilər bilməyərəkdən öz məlumatlarını təqdim etmiş olurlar. Bu zaman istifadəçilər bu sahədə təcrübəsi olan mütəxəssisə müraciət etməklə və rəy almaqla həmin veb saytların “HTTPS” protokolu şifrələməsindən istifadə etməsini və “SSL” sertifikatlarını yoxlamaqla saxta hücumları aşkar edərək qarşısını ala bilərlər;
• Man-in-the-Middle (MitM) hücumları (MitM Attacks):
Bu hücumlar iki tərəf arasında rabitənin (əlaqənin) kəsilməsini əhatə edir, bu da zərərvericilərə məlumatı dinləmək, dəyişdirmək və ya rabitə axınına zərərli məzmunu daxil etmək imkanı verir. Bu zaman zərərvericilər istifadəçi ilə nəzərdə tutulan veb-sayt arasında yerləşə bilərlər ki, istifadəçi (SSL) sertifikatı və (HTTPS) şifrələmə protokolu olmayan veb-saytda şəxsi və konfidensial məlumatlarını daxil edərkən və müəyyən maliyyə əməliyyatları həyata keçirərkən təqdim etdikləri şəxsi və konfidensial məlumatlar (istifadəçi adı, parol, kart məlumatları və s.) şifrələnməmiş şəkildə veb-sayta yerləşdirilir ki, bu an istifadəçi ilə veb-sayt arasında yerləşən zərərvericilər həmin şifrələnməmiş məlumatları dərhal əldə edə bilərlər”.
Araz Əhmədov onu da qeyd edib ki, fişinq hücumları əhəmiyyətli dərəcədə təhlükə olaraq qalmağa davam etsə də, fişinqə alternativ və oxşarlıqları olan digər təhlükəli hücum üsullarından xəbərdar olmaq çox vacibdir:
“Riskləri başa düşmək, proaktiv təhlükəsizlik tədbirlərini qəbul etməklə və qeyd edilən bəzi məsləhətləri nəzərə almaqla istifadəçilər bu zərərli fəaliyyətlərə qarşı müdafiələrini müəyyən dərəcədə təmin etmiş olarlar:
* İstifadəçilər tanınmış ictimai, sosial şəbəkələrdə və ya ümumilikdə onlara tanış olmayan veb-saytlardan istifadə edərkən çox diqqətli olmalı;
* Zərərvericilərin toruna düşməmək üçün onlara “SMS”, e-poçt və s. vasitələrlə göndərilən hər keçidə
(link-ə) klik etməməli və həmin keçiddə olan zərərli faylları (təsvir, video və s.) yükləməməli
(yükləmə zamanı cihaza düşən virus istifadənizdə olan mobil cihazın, kompüterin və s. idarəsini bütövlükdə zərərvericinin əlinə keçirməyə imkan verə bilər ki, bu zaman bütün şəxsi və konfidensial məlumatlarınız oğurlana bilər;
* Göndərilən e-poçtların həqiqliyini yoxlamalı və domen (sayt) adına fikir verməli;
* Konfidensial məlumatları (birdəfəlik şifrə/OPT, SMS kod) tələb edən güya real şirkət və təşkilatları təmsil edən şəxslərə əhəmiyyət verməməli, konfidensial məlumatları təqdim etməməli və ətrafınızdakı yaxınlarınızı da bu barədə məlumatlandırmalı;
* Dünyaya açıq olan sosial şəbəkə və media profillərində daha detallı, dərin şəxsi məlumat və keyfiyyətləri qeyd etməməli;
* Sosial şəbəkə və ya digər veb portal, proqramlardan istifadə edərkən daim şifrənizi yeniləməli;
* İstifadənizdə olan cihazı (kompüter, telefon və s.) daim yenilənmədə (update) saxlamaq;
* Şübhəli məqamlarda İnformasiya Texnologiyaları sahəsində olan Mütəxəssislərə müraciət etməkdən, məsləhət və kömək almaqdan çəkinməməli”.
Medianews.az
Qeyd: Məqalə Azərbaycan Respublikasının Medianın İnkişafı Agentliyinin maliyyə dəstəyi ilə və müsabiqə şərtlərinə uyğun olaraq“İnformasiya və kommunikasiya texnologiyalarının inkişaf etdirilməsi;” mövzusunda hazırlanıb.