Sosial Mühəndislik nədir?
“Social engineering”, adətən hücumçunun şəxsi maraqları və ya zərərli niyyətləri üçün insanları psixoloji manipulyasiya yolu ilə həssas məlumatları açıqlamağa və ya təhlükəsizliyi təhdid edən hərəkətlər etməyə məcbur etməkdir.
Hədəf
•Ənənəvi hacking metodlarından fərqli olaraq, texniki zəifliklərdən istifadə etməyə yönəlmiş sosial mühəndislik, hər hansı bir təhlükəsizlik sistemində ən zəif əlaqə olan insan amilini hədəf alır.
Məqsədlər
•Sosial mühəndislər tez-tez istifadəçi giriş məlumatları, maliyyə məlumatları və ya məhdudiyyətli sistemlərə giriş əldə etməyə çalışırlar, bu da sonradan kimlik oğurluğu, məlumat sızmaları və ya digər zərərli məqsədlər üçün istifadə oluna bilər.
Niyə haker Sosial Mühəndislikdən istifadə edir?
●Ən az müqavimət – Sosial mühəndislik insan psixologiyasını hədəfləyir və texniki sistemlərdən daha az qorunduğu üçün hücumçular üçün daha asan yol olur.
●Digər hücumlara nisbətən 10 dəfə daha uğurlu – Tədqiqatlar göstərir ki, fişinq kimi sosial mühəndislik hücumları texniki boşluqlardan istifadə edən hücumlardan qat-qat yüksək uğur dərəcəsinə malikdir.
●Zərərli hücumçuların ümumi bir elementi olması – Sosial mühəndislik geniş istifadə edilən bir üsuldur, çünki etibar, qorxu və ya təcili halları manipulyasiya edərək qurbanları aldatmaq üçün müxtəlif platformalar və sistemlərdə işləyir.
Ümumi hədəflər
•Pul – Maliyyə qazancı üçün kredit kartı məlumatlarının oğurlanması, fidyə tələb edilməsi və ya oğurlanmış məlumatların satılması.
• Eqo – Bacarıqlarını nümayiş etdirmək və hakerlik icmasında tanınmaq üçün sistemləri sındırmaq.
•İntiqam – Qəzəb və ya kin səbəbilə fərdlərə və ya təşkilatlara zərər vermək.
•Əyləncə – Həyəcan hissi və ya əyləncə məqsədilə sistemlərə müdaxilə.
•Bilik – Sistem və texnologiyaların necə işlədiyini öyrənmək üçün maraq səbəbilə hakerlik.
Ümumi hücumlar
•Müştəri Xidməti – Hücumçular, şəxsi və ya maliyyə məlumatlarını tələb etmək üçün müştəri xidməti nümayəndəsi kimi davranırlar.
•Çatdırılma Şəxsi – Hücumçular, hədəfə birbaşa yaxınlaşmaq üçün çatdırılma işçisi kimi davranırlar.
•Telefon – Hücumçular, telefon zəngləri ilə hədəfləri aldatmaq və manipulyasiya etmək məqsədilə istifadə edirlər.
•Texniki Dəstək – Hücumçular, texniki problemləri həll etməyi təklif edən texniki dəstək agentləri kimi davranırlar.
Sosial mühəndislik metodları:
•Dumpster Diving
•Shoulder surfing
•Baiting
•Vishing
•Phishing
•Whaling
Dumpster Diving
“Dumpster Diving” demək, faydalı məlumat tapmaq üçün zibilləri axtarmaq deməkdir. Zibil ictimai zibillikdə və ya icazəsiz girişi tələb edən məhdudlaşdırılmış bir ərazidə ola bilər. “Dumpster Diving” insan zəifliyinə əsaslanır: təhlükəsizlik biliklərinin olmaması. “Dumpster Diving” ilə bir çox şey tapıla bilər (məsələn, CD-lər, DVD-lər, sərt disklər, şirkət kataloqları və s.).
Shoulder surfing
“Shoulder surfing” hücumu, hücumçunun cihazın ekranlarını və şifrə yazma düymələrini fiziki olaraq görərək şəxsi məlumat əldə etməsi vəziyyətini izah edir. Yəni, bu hücum metodları qrupundan biri, hacker-in (hücumçunun) hücumun uğurlu olması üçün qurbanlara fiziki olaraq yaxın olmasını tələb edir və buna görə də bir neçə çiyin üzərində baxış hücumu baş verə bilər, burada həssas niyyətlər və ya zərərli proqramların girişi ola bilər. Bənzər vəziyyətlər, çox maraqlı olan insanlardan da yarana bilər, burada daha çox şəxsi həyatımıza müdaxilə olunur.
Nümunə:
Baiting
“Baiting” hücumu, sosial mühəndisin, qurbanları tələyə salmaq və onların həssas məlumatlarını oğurlamaq üçün saxta vəd və ya mükafat istifadə etdiyi bir hücum növüdür. “Baiting” çox cəlbedici və cazibədar olur, üstəlik manipulyativdir və əsas məqsədi sisteminizi zərərli proqramlarla infeksiyaya uğratmaq və şəxsi məlumatlara daxil olmaqdır.
“Baiting” tətbiq edən hücumçular, insanları maraqlandıran və ya onları tələyə salmaq üçün cəlbedici təkliflər və fiziki cihazlar istifadə edirlər. Bir çox cəhətdən, baiting hücumları phishing hücumlarına bənzəyir, amma ümumilikdə, əksər sosial mühəndislik hücumlarından fərqlənir. Niyə? Çünki bu hücumlar, hədəfə uyğun olan və pulsuz təklif edilən bir şey təqdim edir.
Nümunə:
Phishing
“Phishing” sosial mühəndisliyin bir növüdür, burada hücumçular insanları həssas məlumatları açıqlamağa və ya zərərli proqramlar, məsələn, ransomware (fidyə proqramı) yükləmək üçün aldadırlar.
“Phishing” hücumlarının növləri:
•Spear Phishing
• Whaling
• Vishing
• Email Phishing-General
Spear Phishing
“Spear phishing” xüsusi bir şəxsə, təşkilata və ya biznesə yönəlmiş e-poçt və ya elektron kommunikasiya vasitəsilə həyata keçirilən bir saxtakarlıqdır.
Nümunə:
Whaling
“Whaling” hücumu, həmçinin “whaling phishing” və ya “whaling phishing hücumu” kimi tanınır, şirkətdən həssas məlumatları oğurlamaq məqsədilə yüksək rütbəli işçiləri, məsələn, baş icraçı direktor (CEO) və ya maliyyə direktoru (CFO), hədəf alan xüsusi bir phishing hücum növüdür.
Nümunə:
“VISHING” nədir?
“Vishing” kibercinayətdir və telefon vasitəsilə qurbanlardan şəxsi və gizli məlumatları oğurlamağa yönəlir. Ən çox “səsli phishing” olaraq adlandırılır.
Smishing
“Smishing” phishing hücumunun bir növüdür ki, burada sosial mühəndislik istifadə edərək, mətn mesajları vasitəsilə bir şəxsin şəxsi məlumatlarını əldə etməyə çalışılır.
Nümunələr:
Zoom-dan fişinq hücumları üçün necə istifadə olunur?
•Zoom phishing e-poçtası yaratmaq
•Qurbana saxta Zoom görüşü göndərmək
•Qurban Zoom görüşü phishing linkinə klikləyir
•Zərərli kod qurbanın sisteminə yüklənir
Sosial mühəndislik alətləri
Maltego
Maltego müxtəlif məlumat hissələrinin bir-biri ilə necə əlaqəli olduğunu göstərən OSINT (açıq mənbəli kəşfiyyat) araşdırma vasitəsidir. Maltego ilə siz insanlar və müxtəlif məlumat aktivləri, o cümlədən e-poçt ünvanları, sosial profillər, ekran adları və şəxsi xidmət və ya təşkilatla əlaqələndirən digər məlumatlar arasında əlaqələr tapa bilərsiniz.
Bütün bu məlumatlara sahib olmaq, əməkdaşlarınızın təhlükəsizlik şüurunu qiymətləndirməyinizə kömək etmək üçün sosial mühəndislik hücumunu simulyasiya etməyə kömək edə bilər. Maltego qrafik istifadəçi interfeysindən istifadə edir ki, bu da əlaqələri vizuallaşdırmağı asanlaşdırır.
Sosial Mühəndislik Alətlər dəsti (SET)
Sosial Mühəndislik Alətlər Dəsti (və ya SET) sosial mühəndislik ətrafında nüfuz testinə yönəlmiş açıq mənbəli, Python əsaslı alətlər dəstidir. SET-də heç vaxt inandırıcı bir hücum qurmağa imkan verən müxtəlif xüsusi hücum vektorları var.
SET-ə Kali qutunuzu əksər brauzerlərə zərər verə biləcək bir sıra istismara malik veb serverə çevirən veb sayt aləti daxildir. İdeya, hədəfinizə onları saytınız vasitəsilə yönləndirən, sistemlərində istismarı avtomatik yükləyən və həyata keçirən bir keçid göndərməkdir.
Siz hətta qanuni veb saytı klonlaşdırmaq üçün SET-də əvvəlcədən hazırlanmış şablonlardan istifadə edə bilərsiniz ki, istismar daha real görünsün. SET Facebook, Twitter, Google və Yahoo da daxil olmaqla məşhur saytların əvvəlcədən formatlaşdırılmış fişinq səhifələrinə malikdir.
Wifiphisher
Wifiphisher, hədəf istifadəçi bazasının WPA/WPA2 parollarını əldə etmək üçün Wi-Fi şəbəkələrində fişinq hücumlarını avtomatlaşdıran unikal sosial mühəndislik vasitəsidir. Alət yaxınlıqdakı istənilən Wi-Fi giriş nöqtəsini seçə, onu sıxışdıra (bütün istifadəçilərin autentifikasiyasını ləğv edə) və qoşulmaq üçün parol tələb etməyən klon giriş nöqtəsi yarada bilər.
Pis əkiz kimi açıq şəbəkəyə qoşulan hər bir şəxsə Wi-Fi-nin işləməməsinin səbəbi kimi göstərilən mikroproqram yeniləməsini yükləmək üçün Wi-Fi parolunu tələb edən qanuni görünən fişinq səhifəsi təqdim olunur.
Hədəflər parol daxil etdikdən sonra Wifiphisher vaxt dayanarkən xəbərdarlıq göndərir. Tutulan parolu ötürdükdən sonra o, həm saxta yenidən yükləmə taymerini, həm də saxta yeniləmə ekranını göstərəcək ki, ələ keçirilən parolu sınamaq üçün sizə vaxt qazansın. Bu, Wi-Fi əsaslı sosial mühəndisliyə qarşı təhlükəsizlik müdafiənizi qiymətləndirmək üçün lazımlı bir vasitədir.
Bu əmri daxil etməklə python skriptini işə sala bilərsiniz:
$ sudo python wifiphisher.py
Metasploit MSF
Metasploit Framework, zəiflikləri müəyyən etmək, istismar etmək və təsdiqləməkdə sizə kömək edə biləcək nüfuz testi vasitəsidir. O, nüfuz testi ilə yanaşı geniş təhlükəsizlik auditi aparmaq üçün məzmun, alətlər və infrastruktur təqdim edir.
Metasploit-də paketlənmiş ən güclü xüsusiyyətlərdən biri saxta SMB server qurmaq seçimidir. Bu o deməkdir ki, şəbəkədəki bir şəxs serverə daxil olmağa çalışdıqda, onların sistemi öz etimadnamələrini “domen parolu hash” baxımından göstərməli olacaq.
Səbirli olsanız, istifadəçilər SMB serverinə qarşı autentifikasiya etməyə cəhd etdikcə siz domen etimadnaməsini əldə edə bilərsiniz. Hədəfə daxil edilmiş UNC yolunun göndərilməsi onların üzərinə kliklədikdə onların domen etimadnaməsini toplamağa kömək edə bilər.
MSF tez-tez yenilənir və yeni istismarlar yaradıcıları onları dərc edən kimi yenilənir. Kali Linux menyusu vasitəsilə və ya terminalda aşağıdakı əmri daxil etməklə Metasploit-i işə sala bilərsiniz.
$ msfconsole -h
MSFvenom Payload Creator (MSFPC)
MSFPC, əsas yükləri yaratmağı asanlaşdıran istifadəçi dostu bir vasitədir. Bu, istifadəçilərə faydalı yüklər yaratmaq üçün uzun msfvenom əmrləri yazmaq ehtiyacından qaçmağa kömək edir. Bu generatorla siz minimum bir arqumentlə faydalı yüklər yarada bilərsiniz.
MSFPC Windows, Linux və hətta Android yükləri yaratmaq üçün istifadə edilə bilər. Onun skripti sadə yükləri tez bir zamanda yaratmaq istədiyiniz zaman əsl vaxta qənaətdir. Baxmayaraq ki, bu, antivirus virusunu yan keçmək üçün kodlaşdırmanı nəzərdə tutmasa da, onu öyrənmək hələ də faydalı ola bilər.
Bəzən siz sadəcə tez bir yük götürmək, onu harasa çatdırmaq və gündəlik işinizi davam etdirmək istəyirsiniz. Bu kimi ssenarilərdə msfpc.sh faydalı ola bilər.
MSFPC-dən istifadə etmək üçün siz yalnız istədiyiniz faydalı yükü onun olmasını istədiyiniz fayl uzantısı və ya onu atacağınız platforma ilə müəyyən etməlisiniz. Terminalda msfpc yazmaq aləti işə salmağa imkan verəcək.
Sosial mühəndislikdən qorunma yolları
Həssas Məlumatları Qorumaq
- Şəxsi və ya işlə bağlı məlumatları lazımsız yerə başqaları ilə paylaşmaqdan çəkinin.
- Sosial media və digər platformalarda özünüz və işiniz haqqında paylaşdığınız məlumatları məhdudlaşdırın.
Şübhəli Mesajlarla Diqqətli Olun
- Tanımadığınız və ya şübhəli mənbələrdən gələn e-poçt və mesajları açmayın.
- Linkləri və əlavə faylları tıklamadan və ya yükləmədən əvvəl yoxlayın.
•Güclü Şifrələr və İki Mərhələli Təsdiqləmə (2FA) İstifadə Edin
- Hər bir hesab üçün unikal və mürəkkəb şifrələr yaradın.
- Hesablarınıza əlavə təhlükəsizlik qatını əlavə etmək üçün iki mərhələli təsdiqləmə (2FA) qurun.
•Phishing Testləri Keçirin
- Əgər bir təşkilatın üzvüsünüzsə, işçiləri real həyat hücumlarına hazırlamaq üçün phishing simulyasiyaları təşkil edin.
- •Bu, fərdlərin praktiki təhlükəsizlik bacarıqlarını inkişaf etdirməyə və phishing hücumlarını tanımağa kömək edir.
Phishing nümunəsi
İlk öncə firefox-da axtarış hissəsinə “zphisher” yazırıq və ikinci olan “GitHub” saytına daxil oluruq
Bu hissədəki linki kopyalayırıq
Daha sonra həmin səhifədə aşağı gəlirik və bu linki də kopyalayırıq
Mənim istifadə etdiyim Ubuntu əməliyyat sistemində “git” quraşdırılmadığı üçün ilk olaraq onu yükləyirəm.
Sonra isə kopyaladığım linki terminala yazıram
“ls” yazaraq yüklədiyim “zphisher” faylını görürəm
“cd zphisher” yazaraq yüklədiyim “zphisher” faylına daxil oluram
Aşağıdakı əmri yazırıq:
Nəticə bu formada olmalıdır:
Mən 2, yəni ”Instagram”-ı seçdim
“Y” yazdıqdan sonra məndən port istəyəcək və port olaraq 8080 daxil edirəm
Və artıq mənə link verdi
Bu linki kopyalayıb firefox-da axtarış hissəsinə yazıram
Artıq instagramın giriş səhifəsi açıldı
Mən həmin səhifəyə instagram adı və parolu yazdıqda artıq məlumatlar ələ keçirilmiş olacaq
Məsələn:
İsitfadəçinin daxil etdiyi parol:
Nəticə
Sosial mühəndislik, təhlükəsizliyin insan amilini hədəf alan güclü və inkişaf edən bir təhdiddir. Ondan qorunmaq üçün diqqətlilik, məlumatlılıq və qabaqlayıcı tədbirlər tələb olunur. Güclü təsdiqləmə prosesləri, təlimlər və təhlükəsiz ünsiyyət praktikalarını tətbiq etməklə, fərdlər və təşkilatlar manipulyasiya taktikasına qarşı həssaslıqlarını əhəmiyyətli dərəcədə azalda bilərlər. Unutmayın, təhlükəsizlik yalnız texnologiya ilə bağlı deyil; bu, diqqətli, tənqidi və məlumatlı olmaqla əlaqədardır.
