Azərbaycan mətbuatında yayılan məlumatlara görə, ölkədə kiber fırıldaqçılığın əsas növlərindən biri fişinqdir. Üstəlik, bir sıra məlumatlar fişinq hücumlarının kiberhücumların ümumi sayının 91%-ni təşkil etdiyini qeyd edir. Bildirilir ki, çox vaxt istifadəçilər saxta mesajı adi elektron poçt məktubundan ayıra bilmirlər. Rəqəmsal savadlılığın aşağı olması səbəbindən şirkət işçiləri tez-tez fişinq linklərinə keçid edir və zəif şifrələrdən istifadə edirlər. Bununla belə, problemi yeni adlandırmaq olmaz: Kaspersky-nin araşdırmasına görə, dünya üzrə şirkətlərin 52%-i işçilərin özlərini korporativ təhlükəsizlik sistemi üçün ən böyük təhlükə hesab edirlər.
“Müasir işçilər nəinki ilkin kompüter biliklərinə və müxtəlif proqramlarda işləmək bacarığına malik olmalıdırlar, həm də kibergigiyenanın əsaslarını bilməlidirlər. İnformasiya təhlükəsizliyi sahəsində biliyə qarşı etinasızlıq səbəbindən insanlar hələ də informasiya təhlükəsizliyi zəncirinin ən zəif halqasıdır və bu səbəbdən təcavüzkarların hücumları daha uğurlu olur. Ola bilsin ki, əməkdaşlar alqoritmlə işləməyi öyrənsələr, təcavüzkarların tələsinə düşmək risklərinin qarşısı böyük ölçüdə alına bilər: “məktub alarkən onun fişinq olub-olmadığını yoxlayın,” deyə Kaspersky-nin Azərbaycandakı rəsmi nümayəndəsi Müşviq Məmmədov bildirir.
Rəqəmsal savadlılıq səviyyənizi artırmaq və istifadəçilərə və müəssisələrə kiberhücum riskinin qarşısını almaq üçün fişinqin nə olduğunu və hansı formada baş verə biləcəyini anlamağa dəyər.
Fişinq (ingilis dilində “phishing” və ya “fishing” – balıq ovu) - məqsədi istifadəçinin identifikasiyası məlumatlarını (şifrələr, kredit kartı və bank hesabı nömrələri) əldə etmək olan internet fırıldaqçılığının bir növüdür. İstifadəçilər poçtla banklardan, brendlərdən, provayderlərdən, ödəniş sistemlərindən və digər təşkilatlardan şəxsi məlumatların hər hansı səbəbdən təcili ötürülməsi/yenilənməsi tələbi ilə saxta məktublar alırlar.
Elektron poçt fişinqi: təcavüzkarların özlərini qanuni bir şirkət kimi təqdim etdikləri və sahib olduqları bütün elektron poçt ünvanlarına toplu məktublar göndərdikləri ən geniş yayılmış fişinq növü. Son zamanlarda, böyük geridönüş gətirmədiyi üçün getdikcə daha az yayılır.
Hədəfli fişinq: şirkət daxilində konkret insanları hədəf alır. Potensial qurban haqqında müxtəlif kanallardan məlumat aldıqdan sonra təcavüzkarlar tərəfdaşdan və ya müştəridən olduğunu iddia etdikləri fərdi iş məktubu göndərirlər. Qurbana adı ilə müraciət edirlər, ona "vacib sənəd"-ə keçid linki göndərirlər ki, ona klikləməklə sənədi yükləmək və saxta səhifədə məlumatları saxlamaq olar. Eyni zamanda, menecerlər də fırıldaqçılara qarşı immunitetə malik deyillər: şirkətin top menecerlərini aldatmaq cəhdləri “balina ovu” adlanır.
Business Email Compromise və ya BEC hücumları: korporativ e-poçtların boşluqlarından istifadəni ehtiva edən hücumlar. Təcavüzkar şirkət və ya şöbə rəhbərinin hesabına daxil olur və özünü əməkdaş kimi təqdim edərək “öz işçilərinə” məktublar göndərir. Məqsədlərdən biri qurbanı bank köçürməsi etməyə, məsələn, hesabı ödəməyə inandırmaqdır.
Elektron poçtdan kənar fişinq: fırıldaqçılar fişinq linkləri göndərmək üçün SMS, messencerlər və sosial şəbəkələrdən istifadə edə bilərlər. Əməliyyat prinsipi "poçt" fişinqi ilə eynidir. Təcavüzkarlar hətta böyük məbləğdə borcunuzun və ya ödənilməmiş cəriməniz olduğunu bildirirərək bank və ya dövlət müəssisəsinin adından səsli mesajlar göndərə bilərlər. Təfərrüatlar üçün sizdən şəxsiyyətinizi təsdiq etməyiniz və kredit kartı məlumatlarınızı təqdim etməyiniz xahiş olunur.
Fişinqə qarşı effektiv müdafiə üçün Kaspersky tövsiyə edir:
Təcililik elementinə diqqət yetirin: tez-tez təcavüzkarlar, qurbanın məktubun bütün tələblərini əlavə sual vermədən tamamlayacağı stresli bir vəziyyət yaratmağa çalışırlar. Qurban məktuba etibar etdikdə bunu həyata keçirmək daha asandır.
Tənqidi düşüncəni inkişaf etdirin: hər hansı bir məktuba qarşı diqqətli olun. Maraqdan olsa belə, linklərə klikləməyin və ya naməlum və ya şübhəli mesajlara cavab verməyin. Naməlum icraçıların e-poçtlarında göndərilən faylları açmayın.
Daha az rəqəmsal iz buraxın: şəxsi və ya iş e-poçt ünvanınızı ictimai internet resurslarında yerləşdirməyin (yaxud bunu qrafik şəkildə edin). Sosial şəbəkələrdə iş və ya şəxsi həyatınızla bağlı təfərrüatlar paylaşmayın.
İşçilərə rəqəmsal savadlılığın nə olduğunu öyrədin: məxfi məlumatları yalnız autentifikasiyası aktivləşdirilmiş etibarlı bulud xidmətlərində saxlayın; rəsmi mənbələrdən yüklənmiş qanuni proqramlardan istifadə edin. Məsələn, Kaspersky Automated Security Awareness Platform işçilərin kibersavadlılığının artırılmasına kömək edə bilər.
Kibertəhlükəsizlik biliklərinin həqiqətən faydalı olduğunu göstərin: işçilər üçün kibertəhlükəsizlik təlimləri çox vaxt darıxdırıcı və “rəsmiyyət üçün” olur. Çalışın ki, işçi heyəti təlimi əyləncəli, mümkün qədər faydalı olsun. İşçiləri öz dostları, uşaqları, valideynləri ilə bölüşmək istədikləri biliklərlə təchiz edin. Baş verə biləcək mümkün halların tədqiqatı ilə bağlı master-klass keçin: “mən şübhəli məktub aldım”, “vəkil mənə yazıb 5 dəqiqə ərzində pul köçürməyi xahiş edir” və s.