Emal hücumları — yəni phishing (fişinq) hücumları — kiber cinayətkarların istifadəçiləri aldadaraq onların şəxsi məlumatlarını (parollar, kredit kartı məlumatları, s.ə.) ələ keçirməyə çalışdığı hücum növüdür. Bu hücumlar əsasən saxta e-poçtlar vasitəsilə həyata keçirilir.

Emal hücumları necə təşkil olunur?

1. Hədəfin seçilməsi
   Hücumçu şəxsi və ya təşkilatı (məsələn, banka, şirkət işçilərini) hədəf seçir. Onlar əvvəlcədən sosial mühəndislik metodları ilə hədəf haqqında məlumat toplaya bilərlər (LinkedIn profilləri, şirkət saytları və s.).

2. Saxta e-poçtun hazırlanması
   Hücumçu etibarlı görünən e-poçt yaradır. Məsələn:

   • Bankdan gəlmiş kimi görünür.

   • Təcili əməliyyat tələb edir (“Hesabınız bloklanacaq!”, “Şifrəni dəyişin!”, “Mükafat qazandınız!”).

   • Bəzən şirkət daxili xəbərdarlıq kimi təqdim olunur (məsələn, “İT şöbəsindən” gəlibmiş kimi).

3. Fırıldaq link və ya qoşma əlavə edilir

   • Link istifadəçini saxta vebsayta yönləndirir (məsələn, bankın login səhifəsinə bənzər bir səhifə).

   • Qoşma (attachment) virus və ya troyan proqramı daşıya bilər (məsələn, .pdf, .docx, .exe fayllar).

4. E-poçtun göndərilməsi
   Hücumçu yüzlərlə və ya minlərlə insana bu saxta e-poçtu göndərir. Hədəf tək bir şəxs ola bilər (spear phishing) və ya geniş kütlə (mass phishing).

5. İstifadəçinin aldanması və məlumatlarını daxil etməsi
   Əgər istifadəçi:

   • linkə klikləyib login məlumatlarını yazarsa,

   • qoşmanı açarsa — hücumçu həmin şəxsin sisteminə daxil olur və ya məlumatlarını ələ keçirir.

6. Məlumatın oğurlanması və ya sistemə zərər verilməsi
   Əldə olunan məlumat:

   • birbaşa istifadə olunur (məsələn, bank hesabına girmək),

   • qara bazarda satılır,

   • şirkət şəbəkəsinə girmək üçün istifadə olunur.

Məşhur emal hücumu nümunələri:

• Office 365 fişinqi – Microsoft-un adından gələn e-poçtlar.

• PayPal və ya banklardan gələn saxta xəbərdarlıqlar.

• COVID-19 və ya müharibə dövründə “yardım kampaniyası” kimi təqdim edilən saxtakarlıqlar.

Necə qorunmalı?

• E-poçtlardakı linkləri diqqətlə yoxlayın (saxta domenlərə fikir verin).

• Şübhəli e-poçtları açmayın, qoşmaları endirməyin.

• İki faktorlu autentifikasiyanı aktiv edin.

• Şirkətlər üçün – email filtrasiya sistemləri, təhlükəsizlik təlimləri, anti-phishing alətləri istifadə edin.