İndiki rəqəmsal dünyamızda kiber təhlükələr hər yerdədir. Bu təhlükələr sadə viruslardan daha mürəkkəbdir. Kibercinayətkarlar getdikcə daha çox insanların düşüncələrinə təsir edən üsullardan istifadə edirlər. Onlar çox vaxt bizim təbii marağımızı, tamahımızı və ya asan yola qaçmaq istəyimizi istifadə edirlər. Sosial mühəndisliyin artması göstərir ki, kibercinayətkarlar insanların düşüncələrinin təhlükəsizlik üçün böyük bir problem olduğunu başa düşürlər. Texniki təhlükəsizlik tədbirləri təkbaşına kifayət deyil. Hücum edənlər insanları səhv etməyə aldatmağın daha asan və təsirli olduğunu düşünürlər. Buna görə də, istifadəçilərin məlumatlandırılması və öyrədilməsi insanlardan ibarət bir təhlükəsizlik divarı yaratmaq üçün çox vacibdir.

"Baiting" bu cür sosial mühəndislik üsullarının əsas nümunəsidir. Bu üsulda cəlbedici təkliflər qarmaq kimi istifadə olunur. Bu yazıda onlayn "Baiting"in nə olduğunu, onun müxtəlif növlərini, yaratdığı təhlükələri və ondan qorunmaq üçün sadə yolları öyrənəcəyik.

"Baiting"(Yemləmə) Nədir?

Onlayn mühitdə "baiting" kiber təhlükəsizlikdə bir sosial mühəndislik hücumudur. Bu hücum zamanı dələduz qurbanı aldatmaq üçün yalan vəd və ya cəlbedici təklifdən istifadə edir. Bu tələ şəxsi və pul məlumatlarını oğurlamaq və ya kompüterə zərərli proqram yükləmək məqsədi daşıyır. 

"Baiting" çox vaxt "clickbaiting" və "link baiting" kimi oxşar sözlərlə qarışdırılır. "Clickbaiting" diqqət çəkən və ya yalan başlıqlarla klikləri toplamağa çalışır. Bu, çox vaxt keyfiyyətsiz məzmuna və ya reklamdan pul qazanmağa xidmət edir. Bir çox hallarda yalançı olsa da , əsas məqsədi zərərli proqram yaymaq deyil. Digər tərəfdən, "link baiting" başqa saytların özünə link verməsini təşviq etmək üçün dəyərli məzmun yaratmağa yönəlmiş düzgün bir marketinq üsuludur. Kibertəhlükəsizlikdə "baiting"(yemləmə) isə istifadə etmək və zərər vurmaq məqsədi daşıyan pis bir niyyəti ehtiva edir.

Fişinq ilə "Baiting" Hücumları Arasında Fərqlər

Fişinq və yemləmə hər ikisi də qurbanları aldatmaq üçün sosial mühəndislik üsullarından istifadə etsə də, onların arasında əsas fərqlər mövcuddur . 

"Baiting": Qurbanın marağını və ya tamahını cəlb etmək üçün cazibədar bir tələ yaradır. Hücumçu bir təklif təqdim edir ki, qurban bunu qəbul etmək istəyir. Hücumların məqsədi adətən qurbanın kompüterinə zərərli proqram yükləmək və ya sistemə giriş əldə etməkdir. 

Məsələn:

• Hücumçu USB cihazını "Məxfi Məlumatlar" etiketi ilə ictimai bir yerdə qoyur. Qurban cihazı götürür və kompüterinə qoşur.
• Hücumçular "Pulsuz iPhone qazanın!" kimi cazibədar reklamlar göndərərək qurbanları zərərli linklərə yönləndirir.

Fişinq: Fişinq isə birbaşa qurbanın məlumatlarını oğurlamağı hədəfləyir. Bu hücumda hücumçu qurbanın şəxsi məlumatlarını, parollarını və ya maliyyə məlumatlarını əldə etmək üçün aldatıcı e-poçtlar, veb səhifələr və ya SMS-lər göndərir. Fişinqin əsas niyyəti qurbanı saxta bir mühitdə məlumatlarını paylaşmağa məcbur etməkdir. 

Məsələn:

• Hücumçu qurbanın bankından gəldiyini iddia edən e-poçt göndərir və qurbanı saxta bir veb səhifəyə yönləndirir.
• Hücumçu "Hesabınız bloklanıb. Parolunuzu dəyişmək üçün bu linkə daxil olun!" kimi təcili bildirişlər göndərir.

Müxtəlif "Baiting" Texnikaları

Kibertəhlükəsizlikdə yemləmə hücumları müxtəlif yollarla edilə bilər. Kibercinayətkarlar həm onlayn, həm də bəzən onlayn olmayan yollarla qurbanlarını tələyə salmaq üçün müxtəlif üsullardan istifadə edirlər.

Təkliflərlə "Baiting" (Baiting with Offers)

Bu üsul pulsuz proqram, film, musiqi, oyun, elektron kitab və ya xüsusi məzmuna giriş kimi cəlbedici təkliflərdən istifadə edir. Bu təkliflər çox vaxt zərərli yükləmələrə və ya gizli məlumatların istənilməsinə səbəb olur. Məsələn, "Pulsuz iPhone qazanmaq üçün bura klikləyin!" və ya "Ödənişli proqramın pulsuz versiyasını yükləyin" kimi reklamlar buna aiddir.

Zərərli Proqram Təminatı Yükləmələri (Malware Downloads)

Hücum edənlər qanuni görünən, lakin əslində zərərli proqram olan faylları yükləmək üçün qurbanları aldadırlar. Bu, proqram yeniləmələri, məşhur proqramlar və ya vacib sənədlər kimi göstərilən zərərli proqramlar vasitəsilə edilə bilər. Saxta Adobe Flash Player yeniləmə təklifləri və ya "Gizli video" adlı şübhəli fayllar buna misal ola bilər.

Zərərli Cihazlarla "Baiting" (Baiting with Malicious Devices)

Bu üsul ictimai yerlərdə zərərli proqramla yoluxmuş USB sürücülərinin və ya digər yaddaş cihazlarının qoyulmasını əhatə edir. Maraqlanan insanlar bu cihazları kompüterlərinə qoşduqda, zərərli proqram avtomatik olaraq quraşdırılır. Çox vaxt bu cihazlar "Məxfi" və ya "İşçilərin Bonusları" kimi cəlbedici etiketlərlə işarələnir.

Saxta Reklamlar ("Malvertising") (Fake Advertisements)

Kibercinayətkarlar qanuni görünən, lakin əslində böyük mükafatlar və ya pulsuz əşyalar vəd edən zərərli reklamlar yaradır və yayırlar. Bu reklamlara klikləmək istifadəçiləri zərərli saytlara yönləndirə və ya zərərli proqramın yüklənməsini başlada bilər. Sosial mediada "Arıqlamağın inanılmaz yolu!" başlıqlı reklamlar buna misal ola bilər.

"Spear Baiting"

Bu, xüsusi təşkilatlara və ya insanlara yönəlmiş daha hədəfli bir yemləmə növüdür. Hücum edənlər çox inandırıcı təkliflər yaratmaq üçün qurbanlarının maraqlarına uyğun ətraflı araşdırma aparırlar, çox vaxt pul qazancı və ya işdə yüksəliş vəd edirlər. İşçiyə guya rəhbərlikdən gələn və təcili olaraq müəyyən bir linkə klikləməyi və ya əlavəni açmağı tələb edən e-poçtlar buna misal ola bilər.

"Rage Baiting"

Bu üsul əsasən baxış sayını artırmaq və pul qazanmaq üçün istifadəçilərdə qəzəb və ya güclü emosional reaksiyalar yaratmaq məqsədi daşıyan təxribatçı və ya mübahisəli məzmundan istifadə edir. Bu, birbaşa zərərli proqram təminatına səbəb olmasa da, yalan məlumatların yayılmasına və insanları aldatmağa kömək edə bilər. Sosial mediada "Bütün valideynlər bunu səhv edir!" kimi qəzəbləndirici başlıqlar buna misal ola bilər.

Yemləmə üsullarının təsirli olması çox vaxt qurbanın diqqətsizliyindən və ya güclü emosional reaksiyasından istifadə etməyə əsaslanır.

"Baiting"dən İstifadənin Motivləri

Kibercinayətkarlar yemləmə üsullarından müxtəlif əsas səbəblərə görə istifadə edirlər.

Maliyyə Qazancı (Financial Gain)

Yemləmənin əsas məqsədlərindən biri birbaşa pul qazanmaqdır. Bu, bank məlumatları və ya kredit kartı məlumatları üçün saxta saytlardan istifadə etməklə birbaşa pul oğurluğu ilə edilə bilər. Bundan əlavə, yemləmə yolu ilə kompüterə yerləşdirilən zərərli proqram təminatı fidya tələb etmək üçün və ya zərərli proqramla yoluxmuş sistemlərdən kriptovalyuta qazmaq üçün istifadə edilə bilər.

Şəxsi Məlumatların Oğurlanması (Personal Data Theft)

Yemləmə istifadəçi adları, parollar, sosial təminat nömrələri və ünvanlar kimi gizli şəxsi məlumatları toplamaq üçün istifadə olunur. Bu məlumatlar şəxsiyyət oğurluğu, hesabların ələ keçirilməsi və ya qara bazarda satmaq üçün istifadə edilə bilər.

Zərərli Proqram Təminatının Yayılması (Spreading Malware)

Yemləmə viruslar, qurdlar, Troya atları və fidya proqramları kimi müxtəlif növ zərərli proqramları yaymaq üçün ümumi bir üsuldur. Yoluxmuş sistemlər sonrakı hücumları etmək və ya botnetin bir hissəsi olmaq üçün istifadə edilə bilər.

Şəbəkəyə Giriş (Network Access)

Yemləmə, xüsusən də nizə fişinqi (Spear phishing) hücumları şirkət və ya təşkilat şəbəkələrinə icazəsiz daxil olmaq üçün istifadə edilə bilər. Bu cür hücumların nəticələri məlumat oğurluğu, casusluq və ya işlərin pozulması ola bilər.

Yemləmənin arxasındakı məqsədlər müxtəlifdir, çox vaxt pul qazanmaq istəyi ilə bağlıdır, lakin məlumat əldə etmək və sistemlərə və şəbəkələrə daimi giriş əldə etmək də daxildir.

"Baiting"in Mənfi Təsirləri

Uğurlu "Baiting" hücumlarının insanlar və onlayn platformalar üçün ciddi mənfi nəticələri ola bilər.

İstifadəçilər (Users)

Oğurlanmış pullar nəticəsində maliyyə itkiləri və ya şəxsiyyət oğurluğundan qurtulmaqla bağlı xərclər insanlar üçün çox pis ola bilər. Məlumat oğurluğu gizliliyə təsir edir və uzunmüddətli problemlərə səbəb ola bilər. Zərərli proqram infeksiyaları sistemin xarab olmasına, məlumatların itməsinə və bahalı təmirə səbəb ola bilər. Kiber təhlükəsizlik hücumunun qurbanı olmaq emosional olaraq da çətin ola bilər, stressə, narahatlığa və onlayn xidmətlərə inamın itməsinə səbəb ola bilər.

Onlayn Platformalar (Online Platforms)

İstifadəçilərə yönəlmiş yemləmə hücumları onlayn platformaların adını və etibarını ciddi şəkildə zədələyə bilər. Yalan məlumatların və zərərli məzmunun yayılması istifadəçilərin etibarının azalmasına və daha az iştirak etmələrinə səbəb ola bilər. Platformalar yemləmə hücumlarından yaranan təhlükəsizlik problemlərinə görə məsuliyyətə cəlb oluna bilər. Bu cür hücumların nəticələri ilə məşğul olmaq, o cümlədən müştəri dəstəyi, təhlükəsizlik araşdırmaları və sistemin bərpası ilə bağlı xərclər də mövcuddur.

"Baiting"in mənfi təsirləri təkcə insanlarla məhdudlaşmır, bütün onlayn mühitin etibarını və təhlükəsizliyini zədələyir.

"Baiting"i Müəyyən Etmək və Ondan Qurtulmaq Strategiyaları

Onlayn yemləmə cəhdlərini görmək və onlardan qaçmaq üçün istifadəçilər bir neçə üsuldan istifadə edə bilərlər.

1. Çox Yaxşı Səslənən Təkliflərə Şübhə ilə Yanaşmaq (Being Skeptical of Offers That Sound Too Good to Be True): Həqiqətə uyğun olmayan dərəcədə yaxşı görünən sövdələşmələrə və ya mükafatlara həmişə şübhə ilə yanaşmaq vacibdir.
2. Tanımadığınız Mənbələrdən Gələn Linklərə Klikləməmək (Avoiding Clicking on Links from Unknown Sources): E-poçt, sosial media və ya digər onlayn yollarla gələn linklərə, xüsusən də göndərən tanış deyilsə və ya mesaj şübhəli görünürsə, klikləməkdən çəkinin.
3. Şübhəli Əlavələri Açmamaq (Not Opening Suspicious Attachments): Tanımadığınız və ya etibar etmədiyiniz şəxslərdən gələn e-poçt əlavələrini açmaqdan çəkinin, çünki onlar çox vaxt zərərli proqram ehtiva edir.
4. Antivirus Proqram Təminatından İstifadə Etmək və Onu Daim Yeniləmək (Using and Regularly Updating Antivirus Software): Zərərli proqramı tapmaq və bloklamaq üçün yaxşı bir antivirus proqramı quraşdırmaq və onu daim yeniləmək vacibdir.
5. Tanımadığınız USB Sürücülərindən İstifadə Etməmək (Avoiding the Use of Unknown USB Drives): Tapılmış USB sürücülərini və ya digər yaddaş cihazlarını kompüterlərə qoşmaqdan qəti şəkildə çəkinin, çünki onlar zərərli proqramla yoluxmuş ola bilərlər.
6. Təcili Tələblərə Diqqətli Olmaq (Being Cautious of Urgent Requests): Tələsik hərəkət etməyə çağıran və ya təzyiq göstərən mesajlara diqqətli olun.
7. Təhlükəsizlik Maarifləndirmə Təlimləri (Security Awareness Training): Təşkilatlar üçün işçilərin yemləmə və digər sosial mühəndislik üsullarını tanıması üçün müntəzəm təlimlər keçirmək vacibdir.
8. Göndərənin Autentikliyini Yoxlamaq (Verify Sender Authenticity): Gizli məlumat tələb edən və ya hər hansı bir hərəkət tələb edən hər hansı bir mesajın göndərənin həqiqətən kim olduğunu yoxlayın.
9. Linklərin Üzərinə Gəlmək (Hover Over Links): Klikləməzdən əvvəl linklərin üzərinə gələrək əsl vebsayt ünvanını yoxlayın və düzgün bir sayta yönləndirdiyinə əmin olun.
10. Şəbəkə Seqmentasiyası (Network Segmentation): Bizneslər üçün şəbəkəni daha kiçik, ayrı hissələrə bölmək uğurlu bir yemləmə hücumunun təsirini azalda bilər.
11. Çoxfaktorlu Autentifikasiya (Multi-Factor Authentication - MFA): Hesablara əlavə təhlükəsizlik qatı əlavə etmək üçün mümkün olan hər yerdə MFA-nı aktivləşdirin.
12. Məlumatların Müntəzəm Ehtiyat Nüsxəsini Yaratmaq (Regular Data Backups): Fidya proqramı hücumu və ya digər məlumat itkisi baş verərsə, vacib məlumatların bərpa edilə bilməsi üçün müntəzəm olaraq ehtiyat nüsxəsini yaradın.
13. Proqram Təminatını Yeniləmək (Keep Software Updated): Əməliyyat sistemlərini və proqramları ən son təhlükəsizlik düzəlişləri ilə daima yeniləyin.
14. Şübhəli Fəaliyyətləri Bildirmək (Report Suspicious Activities): Hər hansı şübhəli e-poçtu, mesajı və ya təklifi İT şöbənizə və ya müvafiq orqanlara bildirin.

Yemləmənin qarşısını almaq üçün fərdi diqqət, texnoloji müdafiə və təşkilati tədbirlərin birləşməsi lazımdır.

Müxtəlif Onlayn Formatlarda "Baiting" Nümunələri

Yemləmə üsullarının müxtəlif onlayn formatlarda necə göründüyünü göstərən konkret nümunələr verək.

Məqalələr (Articles)

Sensasiyalı məlumat vəd edən, lakin az dəyər təqdim edən və ya şübhəli saytlara yönləndirən "İnanılmazdır, bundan sonra nə baş verdi!" və ya "Həkimlər bu sadə hiyləni açıqladığı üçün ona nifrət edirlər!" kimi clickbait başlıqları. Kibercinayətkarlar pulsuz film yükləmələri və ya mükafatlar vəd edən saxta reklamlar yarada bilərlər.

Videolar (Videos)

Qəza və ya məşhur qalmaqalı göstərən yalançı kiçik şəkilləri olan, lakin kliklədikdə əlaqəsiz məzmuna və ya reklamlara yönləndirən videolar. Baxış sayını artırmaq üçün qəzəb və ya güclü reaksiyalar yaratmaq məqsədi daşıyan "rage bait" videoları da buna daxildir. Məsələn, həddindən artıq makiyaj tətbiq etməyi göstərən və ya mübahisəli fikirlər səsləndirən videolar.

Sosial Media (Social Media)

İstifadəçilərdən linkə klikləməyi, paylaşmağı və ya şəxsi məlumatlarını verməyi tələb edən saxta hədiyyələr və ya yarışmalar. Pulsuz məhsullar və ya xidmətlər vəd edən və istifadəçiləri zərərli saytlara və ya saxta məlumat toplama formalarına yönləndirən cəlbedici paylaşımlar. Saxta şirkət profilləri yaradılaraq istifadəçilərə qazandıqları mükafatlar barədə yalan məlumatlar verilə bilər.

Müxtəlif onlayn formatlarda yemləmə üsullarını tanımaq üçün hər bir platformanın xüsusiyyətlərini və ümumi tələlərini anlamaq lazımdır.

"Scam Baiting"in Etik Aspektləri

Kibercinayətkarlar tərəfindən istifadə edilən onlayn yemləmənin düzgün olmadığını vurğulamaq vacibdir. Bu, çox vaxt qurbanlar üçün böyük maliyyə və şəxsi zərərə səbəb olan pis məqsədlər üçün qəsdən aldatma və manipulyasiyanı əhatə edir. Bu cür üsullar insanların etibarını istifadə edir və şübhəsiz insanlar və təşkilatlar üçün ciddi nəticələrə səbəb ola bilər.

Əks tədbir kimi etik "scam baiting" anlayışı mövcuddur. Scam baiting, internetdə fırıldaqçıları tələyə salmaq və onları ifşa etmək üçün istifadə olunan bir üsuldur. Bu fəaliyyətdə insanlar bilərəkdən fırıldaqçılarla əlaqə saxlayır və özlərini potensial qurban kimi göstərirlər.

Scam baiting-in əsas məqsədləri:

• Fırıldaqçıların vaxtını almaq - beləliklə onlar həqiqi qurbanlarla məşğul ola bilmirlər
• Fırıldaqçıların metodlarını öyrənmək və sənədləşdirmək
• İctimaiyyəti maarifləndirmək və xəbərdar etmək
• Bəzi hallarda, fırıldaqçıların bank hesabları və əlaqə məlumatlarını əldə etmək

Scam baiting-də istifadə olunan ümumi metodlar:

• Spam e-poçtlara qəsdən cavab vermək
• Saxta şəxsiyyətlər yaratmaq
• Fırıldaqçı ilə uzun yazışmalar aparmaq
• Fırıldaqçını mümkün qədər çox vaxt və enerji sərf etməyə təşviq etmək
• Söhbəti sənədləşdirmək və sonra ictimaiyyətlə bölüşmək

Scam baiting etik cəhətdən mübahisəli ola bilər, çünki bu, fırıldaqçıların aldadılmasını əhatə edir. Lakin bir çoxları bunu fırıldaqçılıqla mübarizədə və insanların məlumatlandırılmasında faydalı hesab edirlər.

Mənbələr

• Understanding What a Baiting Attack Is: Examples and Protection - Palisade Email (https://www.palisade.email/resources-post/understanding-what-a-baiting-attack-is-examples-and-protection)
• How to Prevent Baiting Attacks - Teal Tech (https://tealtech.com/blog/how-to-prevent-baiting-attacks/)
• What is Baiting in Cyber Security? - Keepnetlabs (https://keepnetlabs.com/blog/what-is-baiting-in-cyber-security)
• Cybersecurity Baiting: Definition & Introduction - Cobalt (https://www.cobalt.io/blog/cybersecurity-baiting-definition-introuduction)
• What is Baiting in Cyber Security? - Compyl (https://compyl.com/blog/what-is-baiting-in-cyber-security/)
• What is Baiting Attack? - ValiMail (https://www.valimail.com/blog/what-is-baiting-attack/)
• What is baiting in cyber security? - Canon Australia (https://business.canon.com.au/insights/what-is-baiting-in-cyber-security)
• What is Baiting in Cybersecurity? Techniques, Examples & Protection - EasyDMARC (https://easydmarc.com/blog/what-is-baiting-in-cybersecurity-techniques-examples-protection/)
• The Impact of Bait Attacks on Businesses - Alexonet (https://alexonet.com/the-impact-of-bait-attacks-on-businesses/)
• How to Avoid a Baiting Attack - RiskXchange (https://riskxchange.co/1006354/how-to-avoid-a-baiting-attack/)
• What is Baiting in Cybersecurity? - CCS Learning Academy (https://www.ccslearningacademy.com/what-is-baiting-in-cybersecurity/)
• Social Engineering Attack - Imperva (https://www.imperva.com/learn/application-security/social-engineering-attack/)
• Don't Take the Bait: Social Engineering - Carnegie Mellon University (https://www.cmu.edu/iso/aware/dont-take-the-bait/social-engineering.html)
• What is Baiting? - Terranova Security (https://www.terranovasecurity.com/blog/what-is-baiting)
• Baiting in Cyber Security - Cyber News Live (https://cybernewslive.com/baiting-in-cyber-security/)

Son Söz 

Rəqəmsal dünya gündən-günə böyüyür. Bu dünyanın tələləri də artır. Hər gün yeni bir hiylə ilə qarşılaşırıq. Bu hiylələrdən biri də "baiting"dir.

Baiting sadəcə bir aldatma üsulu deyil. O, həyatımıza daxil olub, qərarlarımıza təsir edir. İnternetdə gördüyümüz hər şey bizi cəlb etmək üçün hazırlanıb. Pulsuz təkliflər, inanılmaz endirimlər, diqqəti çəkən başlıqlar... Bunların hamısı bizi tələyə salmaq üçündür.

Bu gün hər birimiz bu tələlərdən qorunmağı öyrənməliyik. Uşaqlarımıza da bu təhlükələri anlatmalıyıq. Rəqəmsal savadlılıq artıq lüks deyil, zərurətdir.

İnanıram ki, məlumatlı olmaq ən güclü silahdır. Diqqətli olaq, düşünək, araşdıraq. Ən əsası, başqalarını da məlumatlandıraq. Yalnız birlikdə bu rəqəmsal tələlərdən qorunmağı öyrənə bilərik.

Unutmayaq: İnternetdə gördüyümüz hər şey göründüyü kimi deyil. Tələlərə düşməmək üçün diqqətli olmalıyıq. Bu, sadəcə bir məqalə deyil, bu, həyatımız üçün bir xəbərdarlıqdır.