İnternetdə pul və şəxsi məlumatları necə qorumaq olar

2024 Müəllif: Malcolm Clapton | [email protected]. Son dəyişdirildi: 2023-12-17 03:47

Nə qədər məlumatlı olsanız, sizi aldatmaq bir o qədər çətindir. Microsoft ilə fişinq haqqında bilməli olduğunuz hər şey buradadır.

Özünüzü rəqəmsal təhlükələrdən qorumaq üçün daha çox məsləhətlər tapın.

Fişinq nədir və nə qədər təhlükəlidir

Fişinq kiber fırıldaqçılığın ümumi növüdür, məqsədi güzəştə getmək və hesabları oğurlamaq, kredit kartı məlumatlarını və ya hər hansı digər məxfi məlumatları oğurlamaqdır.

Çox vaxt kibercinayətkarlar e-poçtdan istifadə edirlər: məsələn, onlar tanınmış şirkət adından məktublar göndərərək, sərfəli tanıtım bəhanəsi ilə istifadəçiləri onun saxta saytına cəlb edirlər. Qurban saxtanı tanımır, öz hesabından loqin və şifrəni daxil edir və bununla da istifadəçinin özü məlumatları fırıldaqçılara ötürür.

Hər kəs əziyyət çəkə bilər. Avtomatlaşdırılmış fişinq e-poçtları çox vaxt geniş auditoriyaya (yüz minlərlə, hətta milyonlarla ünvana) yönəldilir, lakin konkret hədəfə yönəlmiş hücumlar da olur. Çox vaxt bu məqsədlər top menecerlər və ya korporativ məlumatlara imtiyazlı çıxışı olan digər işçilərdir. Bu fərdiləşdirilmiş fişinq strategiyası "balinaları tutmaq" kimi tərcümə olunan balina ovu adlanır.

Fişinq hücumlarının nəticələri dağıdıcı ola bilər. Fırıldaqçılar şəxsi yazışmalarınızı oxuya, əlaqə dairənizə fişinq mesajları göndərə, bank hesablarından pul çıxara və ümumiyyətlə, geniş mənada sizin adınıza hərəkət edə bilər. Əgər bizneslə məşğul olursunuzsa, risk daha da böyükdür. Fisherlər korporativ sirləri oğurlamaq, həssas faylları məhv etmək və ya müştərilərinizin məlumatlarını sızdırmaqla şirkətin reputasiyasına xələl gətirə bilər.

Anti-Fişinq İşçi Qrupunun Fişinq Fəaliyyəti Trendləri Hesabatına əsasən, təkcə 2019-cu ilin son rübündə kibertəhlükəsizlik mütəxəssisləri 162 000-dən çox saxta vebsayt və 132 000 e-poçt kampaniyası aşkar ediblər. Bu müddət ərzində dünyanın hər yerindən minə yaxın şirkət fişinqin qurbanı olub. Nə qədər hücumun aşkar edilmədiyini görmək qalır.

Fişinqin təkamülü və növləri

"Fishing" termini ingiliscə "fishing" sözündəndir. Bu tip fırıldaqlar həqiqətən də balıq ovuna bənzəyir: təcavüzkar yemi saxta mesaj və ya link şəklində atır və istifadəçilərin dişləməsini gözləyir.

Ancaq ingilis dilində fişinq bir az fərqli yazılır: fişinq. f hərfi yerinə ph diqrafı istifadə olunur. Versiyalardan birinə görə, bu, saxta ("aldadan", "fırıldaqçı") sözünə işarədir. Digər tərəfdən - phreakers ("phreakers") adlanan erkən hakerlərin subkulturasına.

Fişinq termininin ilk dəfə 1990-cı illərin ortalarında Usenet xəbər qruplarında istifadə olunduğu güman edilir. Həmin vaxt fırıldaqçılar Amerikanın AOL internet provayderinin müştərilərini hədəf alan ilk fişinq hücumlarını həyata keçirdilər. Hücumçular özlərini şirkət işçiləri kimi təqdim edərək, etimadnamələrini təsdiq etməyi xahiş edən mesajlar göndəriblər.

İnternetin inkişafı ilə fişinq hücumlarının yeni növləri meydana çıxdı. Fırıldaqçılar bütün internet saytlarını saxtalaşdırmağa başladılar və müxtəlif kanalları və rabitə xidmətlərini mənimsədilər. Bu gün belə fişinq növlərini ayırd etmək olar.

• E-poçt fişinqi. Fırıldaqçılar tanınmış şirkətin və ya seçilmiş qurbanın tanışının ünvanına oxşar poçt ünvanını qeydiyyata alır və ondan məktublar göndərirlər. Eyni zamanda, göndərənin adı, dizaynı və məzmunu ilə saxta məktub orijinal ilə demək olar ki, eyni ola bilər. Yalnız içəridə saxta sayta keçid, yoluxmuş əlavələr və ya məxfi məlumatların göndərilməsi üçün birbaşa sorğu var.
• SMS phishing (smishing). Bu sxem əvvəlkinə bənzəyir, lakin e-poçt əvəzinə SMS istifadə olunur. Abunəçi naməlum (adətən qısa) nömrədən məxfi məlumat tələbi və ya saxta sayta keçid ilə mesaj alır. Məsələn, təcavüzkar özünü bank kimi təqdim edə və əvvəllər aldığınız doğrulama kodunu tələb edə bilər. Əslində, fırıldaqçılar bank hesabınızı sındırmaq üçün koda ehtiyac duyurlar.
• Sosial media fişinqi. Ani messencerlərin və sosial medianın çoxalması ilə fişinq hücumları bu kanalları da bürüdü. Təcavüzkarlar tanınmış təşkilatların və ya dostlarınızın saxta və ya oğurlanmış hesabları vasitəsilə sizinlə əlaqə saxlaya bilər. Əks halda, hücum prinsipi əvvəlkilərdən fərqlənmir.
• Telefon fişinqi (vishing). Fırıldaqçılar mətn mesajları ilə məhdudlaşmır və sizə zəng edə bilərlər. Çox vaxt bu məqsədlə İnternet-telefoniya (VoIP) istifadə olunur. Zəng edən şəxs, məsələn, ödəniş sisteminizin dəstək xidmətinin əməkdaşı kimi görünə və pul kisəsinə daxil olmaq üçün məlumat tələb edə bilər - guya yoxlama üçün.
• Fişinq axtarın. Siz axtarış nəticələrində fişinqlə rastlaşa bilərsiniz. Saxta sayta aparan linkə klikləmək və orada şəxsi məlumatları buraxmaq kifayətdir.
• Pop-up fişinq. Təcavüzkarlar tez-tez pop-uplardan istifadə edirlər. Şübhəli resursu ziyarət edərkən, tanınmış bir şirkət adından bəzi faydalar - məsələn, endirimlər və ya pulsuz məhsullar vəd edən bir banner görə bilərsiniz. Bu keçidə klikləməklə siz kibercinayətkarların nəzarətində olan sayta aparılacaqsınız.
• Əkinçilik. Fişinqlə birbaşa əlaqəsi yoxdur, lakin əkinçilik də çox yayılmış hücumdur. Bu halda təcavüzkar orijinal saytlar əvəzinə istifadəçini avtomatik olaraq saxta saytlara yönləndirərək DNS məlumatlarını saxtalaşdırır. Qurban heç bir şübhəli mesaj və banner görmür, bu da hücumun effektivliyini artırır.

Fişinq inkişaf etməkdə davam edir. Microsoft, Microsoft 365 Advanced Threat Protection antifişinq xidmətinin 2019-cu ildə kəşf etdiyi yeni texnikalardan danışdı. Məsələn, fırıldaqçılar axtarış nəticələrində zərərli materialları daha yaxşı ört-basdır etməyi öyrəniblər: qanuni keçidlər yuxarıda göstərilir, bu da istifadəçini çoxsaylı yönləndirmələr vasitəsilə fişinq saytlarına aparır.

Bundan əlavə, kibercinayətkarlar keyfiyyətcə yeni səviyyədə avtomatik olaraq fişinq keçidlərini və elektron məktubların dəqiq surətlərini yaratmağa başladılar ki, bu da onlara istifadəçiləri daha effektiv şəkildə aldatmağa və təhlükəsizlik tədbirlərindən yan keçməyə imkan verir.

Öz növbəsində, Microsoft yeni təhlükələri müəyyən etməyi və bloklamağı öyrənib. Şirkət Microsoft 365 paketini yaratmaq üçün kibertəhlükəsizliklə bağlı bütün biliklərindən istifadə edib. O, biznesiniz üçün lazım olan həlləri təqdim etməklə yanaşı, məlumatınızın, o cümlədən fişinqdən effektiv şəkildə qorunmasını təmin edir. Microsoft 365 Advanced Threat Protection e-poçtlardakı zərərli qoşmaları və potensial zərərli keçidləri bloklayır, fidyə proqramı və digər təhlükələri aşkarlayır.

Özünüzü fişinqdən necə qorumalısınız

Texniki savadınızı artırın. Necə deyərlər, qabaqcadan xəbərdar olan silahlıdır. İnformasiya təhlükəsizliyini özünüz öyrənin və ya məsləhət üçün mütəxəssislərlə məsləhətləşin. Rəqəmsal gigiyena əsasları haqqında möhkəm biliyə sahib olmaq belə sizi bir çox problemdən xilas edə bilər.

Ehtiyatlı ol. Naməlum həmsöhbətlərdən gələn məktublardakı keçidləri izləməyin və ya əlavələri açmayın. Zəhmət olmasa, göndərənlərin əlaqə məlumatlarını və ziyarət etdiyiniz saytların ünvanlarını diqqətlə yoxlayın. Mesaj inandırıcı görünsə belə, şəxsi məlumat sorğularına cavab verməyin. Əgər şirkətin nümayəndəsi sizdən məlumat istəsə, onların çağrı mərkəzinə zəng edib vəziyyəti bildirmək daha yaxşıdır. Pop-uplara klikləməyin.

Parollardan ağıllı istifadə edin. Hər bir hesab üçün unikal və güclü parol istifadə edin. İstifadəçilərin hesabları üçün parolların İnternetdə göründüyü təqdirdə onları xəbərdar edən xidmətlərə abunə olun və oğurluq aşkar edildikdə giriş kodunu dərhal dəyişdirin.

Çox faktorlu autentifikasiyanı qurun. Bu funksiya əlavə olaraq hesabı qoruyur, məsələn, birdəfəlik parollardan istifadə etməklə. Bu halda hər dəfə yeni cihazdan hesabınıza daxil olanda paroldan əlavə sizə SMS vasitəsilə göndərilən və ya xüsusi proqramda yaradılan dörd və ya altı simvollu kodu daxil etməli olacaqsınız. Çox rahat görünə bilməz, lakin bu yanaşma sizi ümumi hücumların 99%-dən qoruyacaq. Axı fırıldaqçılar parolu oğurlasalar, hələ də doğrulama kodu olmadan daxil ola bilməyəcəklər.

Parolsuz giriş imkanlarından istifadə edin. Bu xidmətlərdə, mümkün olduqda, parolların istifadəsindən tamamilə imtina etməlisiniz, onları hardware təhlükəsizlik açarları ilə əvəz etməli və ya smartfondakı tətbiq vasitəsilə autentifikasiya etməlisiniz.

Antivirus proqramından istifadə edin. Yenilənmiş antivirus qismən kompüterinizi fişinq saytlarına yönləndirən və ya giriş və parolları oğurlayan zərərli proqramlardan qorumağa kömək edəcək. Ancaq unutmayın ki, əsas müdafiəniz hələ də rəqəmsal gigiyena qaydalarına riayət etmək və kibertəhlükəsizlik tövsiyələrinə riayət etməkdir.

Əgər bizneslə məşğul olursunuzsa

Aşağıdakı məsləhətlər biznes sahibləri və şirkət rəhbərləri üçün də faydalı olacaq.

İşçilərə təlim keçin. Tabeliyində olanlara hansı mesajlardan qaçınmalı və hansı məlumatların e-poçt və digər kommunikasiya kanalları vasitəsilə göndərilməməli olduğunu izah edin. İşçilərə şəxsi məqsədlər üçün korporativ poçtdan istifadə etməyi qadağan edin. Onlara parollarla işləməyi öyrədin. Mesajın saxlanması siyasətini də nəzərdən keçirməyə dəyər: məsələn, təhlükəsizlik məqsədləri üçün müəyyən müddətdən köhnə mesajları silə bilərsiniz.

Təlim fişinq hücumlarını həyata keçirin. İşçilərinizin fişinqə reaksiyasını yoxlamaq istəyirsinizsə, hücumu saxtalaşdırmağa çalışın. Məsələn, sizinkinə bənzər bir poçt ünvanını qeydiyyatdan keçirin və oradan tabeliyində olanlara məxfi məlumatları sizə təqdim etmələrini xahiş edən məktublar göndərin.

Etibarlı poçt xidmətini seçin. Pulsuz e-poçt provayderləri işgüzar ünsiyyət üçün çox həssasdırlar. Şirkətlər yalnız təhlükəsiz korporativ xidmətləri seçməlidirlər. Məsələn, Microsoft 365 paketinin bir hissəsi olan Microsoft Exchange poçt xidmətinin istifadəçiləri fişinq və digər təhlükələrdən hərtərəfli müdafiəyə malikdirlər. Fırıldaqçılara qarşı mübarizə aparmaq üçün Microsoft hər ay yüz milyardlarla e-poçtu təhlil edir.

Kibertəhlükəsizlik üzrə mütəxəssis işə götürün. Büdcəniz imkan verirsə, fişinq və digər kiber təhdidlərə qarşı davamlı müdafiəni təmin edəcək ixtisaslı peşəkar tapın.

Fişinq qurbanı olsanız nə etməli

Məlumatlarınızın yanlış əllərə düşdüyünə inanmaq üçün əsas varsa, dərhal hərəkətə keçin. Cihazlarınızı viruslar üçün yoxlayın və hesab parollarını dəyişdirin. Ödəniş məlumatlarınızın oğurlana biləcəyi barədə bank işçilərinə məlumat verin. Lazım gələrsə, potensial sızma barədə müştərilərə məlumat verin.

Belə halların təkrarlanmasının qarşısını almaq üçün etibarlı və müasir əməkdaşlıq xidmətləri seçin. Daxili qoruma mexanizmləri olan məhsullar ən uyğun gəlir: o, mümkün qədər rahat işləyəcək və rəqəmsal təhlükəsizliyi riskə atmaq məcburiyyətində olmayacaqsınız.

Məsələn, Microsoft 365 daxili risk qiymətləndirmə modeli, əlavə lisenziyalar tələb etməyən parolsuz və ya çoxfaktorlu autentifikasiya ilə hesabların və girişlərin güzəştdən qorunması da daxil olmaqla, bir sıra ağıllı təhlükəsizlik xüsusiyyətlərini ehtiva edir.

Bundan əlavə, xidmət risklərin qiymətləndirilməsi və geniş şərtləri nəzərə alaraq dinamik giriş nəzarətini təmin edir. Həmçinin, Microsoft 365 daxili avtomatlaşdırma və məlumat analitikasını ehtiva edir, həmçinin cihazları idarə etməyə və məlumatları sızmadan qorumağa imkan verir.