Sosial mühəndislik – insanların emosiyalarını, inamını və diqqətsizliyini manipulyasiya etməklə onlardan məxfi məlumatları əldə etməyə yönəlmiş psixoloji hücum üsuludur. Bu hücumlar texnoloji zəifliklərdən çox, insani faktorları hədəf alır və kiberhücumların əksəriyyətinin əsasını təşkil edir.

Sosial mühəndisliyin əsas məqsədi istifadəçiləri aldadaraq onlardan şifrə, bank kartı məlumatı, sistem girişləri və ya digər konfidensial informasiyanı əldə etməkdir. Hücum edən şəxs adətən özünü etibarlı bir şəxs və ya qurum kimi təqdim edir və qurbanı bu yolla yanlış addımlar atmağa sövq edir.

Sosial mühəndislik hücumlarının müxtəlif formaları mövcuddur. Onlardan ən geniş yayılanları aşağıdakılardır:

Phishing (fişinq) – istifadəçiyə etibarlı görünən, lakin saxta olan e-poçtlar və ya mesajlar göndərilərək ondan şəxsi məlumatların əldə edilməsinə çalışılır. Bu mesajlarda çox vaxt link və ya sənəd olur ki, kliklənməsi nəticəsində istifadəçi zərərli səhifəyə yönləndirilə və ya cihazına zərərli proqram yüklənə bilər.

Pretexting – hücum edən şəxs əvvəlcədən qurulmuş ssenari əsasında özünü hüquq-mühafizə orqanı əməkdaşı, texniki dəstək işçisi və ya bank nümayəndəsi kimi təqdim edərək məlumatları əldə etməyə çalışır.

Baiting – istifadəçiyə cazibədar təkliflər və ya fayllar təqdim edilərək onun marağı oyadılır və bu yolla cihazına zərərli proqram yüklənir.

Tailgating – fiziki təhlükəsizliklə bağlı hücum növüdür. Hücum edən şəxs icazəsi olmadan bir işçi ilə birlikdə binaya daxil olur və bu yolla daxili sistemlərə çıxış əldə edə bilər.

Bu hücumlardan qorunmaq üçün həm texniki, həm də maarifləndirici tədbirlər vacibdir:

Fişinq mesajlarını tanımaq və onlara cavab verməmək;

Şəxsi məlumatları heç vaxt telefon və ya e-poçt vasitəsilə paylaşmamaq;

Qeyri-rəsmi və ya təcili məlumat sorğularına qarşı ehtiyatlı olmaq;

İki faktorlu autentifikasiya sistemlərindən istifadə etmək;

Şirkət daxilində mütəmadi təlim və fişinq simulyasiyaları keçirmək;

İşçilərin sosial mühəndislik hallarında necə davranmalı olduqlarını bilmələrini təmin etmək.

Unutmaq olmaz ki, sosial mühəndislik texniki zəifliklərdən deyil, insan zəifliklərindən istifadə edir. Bu səbəbdən əməkdaşların maarifləndirilməsi və kibertəhlükəsizlik mədəniyyətinin formalaşdırılması təşkilatların təhlükəsizlik səviyyəsinin artırılmasında mühüm rol oynayır.

Nəticə olaraq, sosial mühəndislik hücumları ciddi təhdidlər olsa da, onlara qarşı tədbir görmək mümkündür. Bu isə həm texniki vasitələrin tətbiqi, həm də insan faktorunun gücləndirilməsi ilə həyata keçirilə bilər. Maarifləndirilmiş əməkdaş – güclü kibermüdafiənin əsasıdır.