Blog / Kiber Təhlükəsizlik / Fişinq nədir? Növləri və qorunma üsulları

Fişinq nədir? Növləri və qorunma üsulları

Fişinq (Phishing), kibertəhlükəsizlik sahəsində geniş yayılmış bir hücum növüdür və insanları e-poçt, qısa mesajlar, telefon zəngləri və digər ünsiyyət vasitələri ilə hədəf alır.
Sosial mühəndisliyin məşhur bir forması olan fişinq (Phishinq), psixoloji manipulyasiya və aldatmadan ibarətdir. Fişinq, saxta vebsaytlara və linklərə keçid etməyi, zərərli faylları yükləməyi və şəxsi məlumatları açıqlamağı əhatə edir. 

Fişinq nümunələri
Bəzi fişinq hücumlarında kibercinayətkarlar rəsmi domenlərə bənzəyən domenlər yaradır və ya gmail kimi ümumi e-poçt provayderlərindən istifadə edirlər. 

İstifadəçilər e-poçt aldıqda, mesajlar rəsmi şirkət loqosunu istifadə edə bilər. Bir hücumçunun fişinq kampaniyasını necə həyata keçirməsi onun məqsədlərinə bağlıdır. Məsələn, B2B (business-to-business) sahəsində hücum edənlər saxta fakturalardan istifadə edərək hesablar şöbəsini pul göndərməyə vadar edə bilərlər. 

Zərərli Veb Bağlantılar

Fişinq bağlantıları istifadəçiləri saxta vebsaytlara və ya zərərli proqramla (malware) yoluxmuş saytlara aparır və bunlar kibertəhlükəsizlik üçün ciddi təhdidlər yaradır. Zərərli bağlantılar, etibarlı olanlar kimi gizlədilə bilər və e-poçt daxilindəki loqolar və digər şəkillərdə yerləşdirilə bilər. 

Zərərli Əlavələr

Bu əlavələr, görünüşcə qanuni fayl əlavələri kimi görünsə də, kibertəhlükəsizlik üçün böyük risk daşıyır. Onlar kompüterləri və onların fayllarını təhlükəyə atan zərərli proqramla (malware) yoluxmuşdur. 

Bir fişinq e-poçtu nümunəsinə baxaq. İstifadəçilərə yönləndirilən elektron poçtda faylı yükləmələri tələb olunur. Təəssüf ki, əlavə faylda bir virus mövcud idi və bu virus alıcıların kompüterlərini yoluxdurdu. 

Saxta Məlumat Daxil Etmə Formaları
Bu texnikalar, istifadəçiləri həssas məlumatları – məsələn, istifadəçi ID-ləri, şifrələr, kredit kartı məlumatları və telefon nömrələri daxil etməyə məcbur edən saxta formalardan istifadə edir və bunlar kibertəhlükəsizlik pozuntusuna səbəb ola bilər. İstifadəçilər bu məlumatları təqdim etdikdən sonra, kibercinayətkarlar bunları müxtəlif fırıldaqçılıq fəaliyyətləri üçün istifadə edə bilərlər. 

Nümunə: Fişinq e-poçtundakı bir bağlantıya kliklədikdən sonra, istifadəçilər, saxta bir səhifəyə yönləndirilir və onlardan formu doldurmaları tələb olunur. 

Fişinq hücum növlərinin bəzilərinə nəzər salaq;

  • E-poçt fişinq: İstifadəçiləri şəxsi məlumatları açıqlamağa vadar edən zərərli e-poçt mesajını ümumi olaraq əhatə edir. Hücum edənlər, Şəxsi identifikasiya məlumatı (PII) və şirkətin ticarət sirrlərini oğurlamağı hədəfləyirlər. Bu, kibertəhlükəsizlik sahəsində ciddi risklər yaradır. 
  • Spear phishing: Bu e-poçt mesajları, xüsusi olaraq bir təşkilatın müəyyən şəxslərinə, adətən yüksək səlahiyyətli şəxslərə göndərilir, onları həssas məlumatları açıqlamağa, pul göndərməyə və ya zərərli proqram yükləməyə vadar edirlər. Spear fişinq hücumları kibertəhlükəsizlik üçün xüsusilə təhlükəlidir.
  • Link manipulyasiyası: Mesajlarda, rəsmi biznesə bənzəyən, lakin istifadəçiləri hücumçu tərəfindən idarə olunan serverə yönləndirən zərərli bir saytın bağlantısı yerləşdirilir. Burada istifadəçilər, rəsmi sənədləri hücumçuya göndərən saxta giriş səhifəsində qeydiyyatdan keçməyə məcbur edilirlər. Bu cür hücumlar kibertəhlükəsizlik pozuntularına səbəb olur.
  • Whaling (CEO saxtakarlığı): Bu mesajlar, ümumiyyətlə, şirkətin yüksək vəzifəli işçilərinə göndərilir. CEO saxtakarlığı, phishing növü altında olsa da, hücumçular populyar vebsaytları təqlid etmək əvəzinə, hədəf təşkilatının CEO-sunu təqlid edirlər, bu da kibertəhlükəsizlik üçün ciddi risklər yaradır.  
  • Malware: Bağlantıya tıklama və ya əlavə fayl açma nəticəsində istifadəçilər cihazlarına zərərli proqram yükləyə bilərlər. Ransomware, rootkits və ya keyloggers kimi zərərli əlavələr, kibertəhlükəsizlik üçün çox ciddi təhdidlərdir. 
  • Smishing: SMS mesajları istifadə edərək, hücumçular istifadəçiləri mobil telefonlarından zərərli saytlara daxil olmağa aldatmağa çalışır. Hücumçular, hədəf istifadəçilərə endirimlər, mükafatlar və ya pulsuz hədiyyələr təklif edən zərərli bağlantıları göndərirlər. Bu, kibertəhlükəsizlik sahəsində daha yeni və sürətlə yayılan bir hiylədir. 
  • Vishing: Kibertəhlükəsizlik sahəsində başqa bir risk olan bu hücum növündə hücumçular, səs dəyişdirən proqramlardan istifadə edərək, hədəf qurbanlarına zəng edərək onları aldadırlar. Bu proqramlar həmçinin, hücumçunun aksentini və ya cinsini gizlətmək üçün istifadə olunur, beləliklə onlar saxta bir şəxs kimi danışa bilərlər. 
  • Evil Twin” Wi-Fi: Pulsuz Wi-Fi təqlid edərək, hücumçular istifadəçiləri zərərli bir hotspot-a qoşulmağa aldatmağa çalışırlar və burada “man-in-the-middle” hücumları həyata keçirirlər. Bu cür hücumlar kibertəhlükəsizlik üçün çox təhlükəlidir.
  • Angler phishing: Sosial media istifadə edərək, hücumçular rəsmi təşkilatları təqlid edərək istifadəçiləri aldadırlar və onların rəsmi sənədlərini və şəxsi məlumatlarını ələ keçirməyə çalışırlar. 

 
Təşkilatınızın fişinq qurbanı olmaması üçün aşağıdaki kibertəhlükəsizlik metodlarından istifadə edə bilərsiniz;

  • İstifadəçiləri fişinq e-poçtlarını aşkarlamağı öyrətmək: Şəxsi məlumatların, o cümlədən şifrələrin, yerləşdirilmiş bağlantıların və əlavələrin tələbi, bütün bunlar xəbərdarlıq işarələridir. İstifadəçilər bu işarələri tanımağı bilməlidirlər ki, fişinq-ə qarşı mübarizə apara bilsinlər.
  • Bağlantılara klikləməmək: Bağlantıya klikləmək əvəzinə, rəsmi domeni brauzerdə yaza və birbaşa sayt üzərindən daxil ola bilərsiniz.
  • Anti-phishing e-poçt təhlükəsizliyi istifadə etmək: Süni intellekt gələn mesajları skan edir, şübhəli mesajları aşkarlayır və onları qarantiya altına alır, beləliklə fişinq mesajlarının alıcının mesaj qutusuna çatmasının qarşısını alır. 
  • Şifrələri müntəzəm dəyişmək: İstifadəçilər hər 30-45 gündən bir şifrələrini dəyişməsi məsləhət görülür. Şifrələri uzun müddət aktiv saxlamaq, hücumçunun pozulmuş hesaba müddətsiz giriş əldə etməsinə imkan verir. 
  • Proqram və proqram təminatlarını yeniləmək: Proqram və proqram təminatı istehsalçıları səhvləri və təhlükəsizlik məsələlərini aradan qaldırmaq üçün yeniləmələr buraxırlar. Bu yeniləmələri hər zaman quraşdırmaq, məlum zəifliklərin infrastrukturunuzda artıq mövcud olmamasını təmin edəcəkdir. 
  • Kredit kartı məlumatlarını verməkdə ehtiyatlı olmaq: Saytın tamamilə etibarlı olduğuna əmin olmadıqca, tanımadığınız bir sayta kredit kartı məlumatı verməyin. 

Fişinq Qorunması
Kibertəhlükəsizlik sahəsində fişinq hücumlarına qarşı müxtəlif qorunma tədbirləri mövcuddur. Fişinq hücumlarından qorunmaq üçün təhlükəsizlik təlimləri və simulyasiya edilmiş fişinq testləri istifadə olunur. Bəzi elektron poçt təhlükəsizlik sistemləri zərərli linkləri aşkarlasa da, mükəmməl qoruma təmin etmir. Bu səbəbdən istifadəçilərin diqqətli olması vacibdir. 

Əgər sən də kibertəhlükəsizlik sahəsində dərin biliklərə sahib olmaq və karyerana bu sahədə davam etmək istəyirsənsə Code Academy-də Kiber təhlükəsizlik tədrisimizə qoşul!

Kiber Təhlükəsizlik

Digital dünyanın sürətli inkişafı məlumatların təhlükəsizliyini kiberhücumlardan qorumağı tələb edir. Azərbaycan Kibertəhlükəsizlik Təşkilatları Assosiasiyasının təhsil tərəfdaşı olan Code Academy əmək bazarının tələblərinə cavab verən peşəkar kadrlar hazırlayır.

Növbəti qrup: 10 mart 2025

Dərc edildi: 13/02/2025kiber tehlukesizlikPhishing

Bənzər yazılar

blogimg

clock8-9 dəq. oxuma vaxtı

Etik Hakerlik Nədir?

Etik hakerlik kiber təhlükəsizliyin ən vacib komponentlərindən biridir. Etik hakerlik, kompüter sistemlərinin, şəbəkələrin və proqram təminatının təhlükəsizlik zəifliklərini müəyyən etmək və aradan qaldırmaq məqsədilə qanuni və icazəli şəkildə “hücum”lar həyata keçirməkdir. Etik hakerlərin əsas məqsədi təşkilatları və fərdləri kiber təhlükələrdən qorumaq üçün potensial zəiflikləri üzə çıxarmaq və bu zəiflikləri düzəltməkdir. Onlar müvafiq bilik, bacarıq və […]

blogimg

clock10-11 dəq. oxuma vaxtı

Peşəkarların Baxışı: Kiber Təhlükəsizlikdə hansı alətlər daha effektivdir?

Kiber təhlükəsizlik müasir dövrdə bütün təşkilatların ən böyük müdafiə mexanizmlərindən biri hesab olunur. Davamlı şəkildə həyata keçən kiber hücumlar həm fərdləri, həm də təşkilatları təhlükə altına alır. Bu kimi halların qarşısını almaq üçün doğru strateji qərarlar verən güclü kiber təhlükəsizlik mütəxəssislərinə ehtiyac hər zaman var. Bu sahədə güclü bilik və təcrübə ilə silahlanmış mütəxəssislər təhlükəsizlik […]

blogimg

clock8-9 dəq. oxuma vaxtı

Məlumat Gizliliyi Qaydaları və Uyğunluq: Əsas Prinsiplər və Tədbirlər

Məlumat gizliliyi və uyğunluğu, müasir Digital dövrdə hər bir təşkilat üçün kritik əhəmiyyətə malikdir. İstifadəçilərin şəxsi məlumatlarının qorunması və hüquqlarının təmin edilməsi, həmçinin qanunvericiliyə riayət edilməsi, müasir bizneslərin qarşısında duran əsas öhdəliklərdən biridir. Bu yazıda məlumat gizliliyi qaydaları və uyğunluq məsələlərini ətraflı şəkildə araşdıracaq və bu sahədəki əsas prinsipləri və tədbirləri müzakirə edəcəyik. Məlumat Gizliliyi […]

blogimg

clock9-10 dəq. oxuma vaxtı

Kiber Təhlükəsizlik: Nədir, Niyə Əhəmiyyətlidir və Necə Öyrənməyə Başlamaq Olar?

Kiber təhlükəsizlik müasir dünyada hər bir fərd və təşkilat üçün həyati əhəmiyyət kəsb edən bir sahədir. İnternetin sürətlə yayılması və Digital texnologiyaların həyatımızın hər sahəsində yer alması ilə birlikdə, məlumatlarımızı qorumaq üçün kiber təhlükəsizliyin əhəmiyyəti də getdikcə artır. Bu blogda, kiber təhlükəsizlik nədir, niyə bu qədər önəmlidir, bu sahədə necə təhsil almağa başlamaq olar və […]