Фишинг
Фишинг дегеніміз не? Фишинг — бұл кибералаяқтықтың бір түрі. Зиянкес пайдаланушының банк карталары мен шоттарының нөмірлері, картаның CVC және CVV кодтары, банк қосымшасындағы жеке кабинетке кіру құпиясөзі және басқа да жеке ақпарат сияқты деректерін ұрлайды.
Фишинг қалай жұмыс істейді? Электрондық поштаға банктің немесе белгілі компанияның хабарламасына ұқсайтын сілтеме бар хат келеді. Хатта клиенттің кредиті бойынша мерзімі кешікірілген төлемдер бар екені немесе оның шотынан үлкен сома алынғаны туралы айтылады. Хабарламада әртүрлі ақпарат болуы мүмкін. Бастысы сол ақпарат пайдаланушыны алаңдатып, сілтеме бойынша өтуге итерлемелеу керек. Осылайша ол фишингтік сайтқа өтеді.
Сайтта пайдаланушыға төлем немесе басқа жеке деректерді енгізу ұсынылады. Алаяқтар сол деректерді өз мақсаттарына пайдаланады. Мысалы, банк қосымшасына кіріп, ақша алады, аударады, картамен төлемдер жасайды.
| Кейде сол сілтеме бойынша өткенде пайдаланушының құрылғысына жеке деректерді ұрлайтын бағдарлама орнатылады. Фишингке ұқсайтын тағы бір технология бар. Ол фарминг (ағылш. pharming) деп аталады. Бұл жағдайда алаяқтар пайдаланушының құрылғысына вирус енгізеді. Бірақ ол басқаша жұмыс істейді: пайдаланушы заңды сілтеме бойынша өткен кезде, вирус оны автоматты түрде алаяқтық сайтқа бағыттайды. |
Алаяқты қалай анықтауға болады? Сілтеме бойынша өтпес бұрын, хатты мұқият оқу керек:
- Банктер мен заңды компаниялар әдетте хатта өз клиенттерінің атын жазады. Егер хабарламада клиенттің аты болмаса және ол «құрметті клиент» немесе жай ғана «сәлеметсіз бе» деген сөздерден басталса, хатқа мән бермеген жөн.
- Алаяқтар көбінесе психологиялық әдісті қолданып, пайдаланушыны қорқытады. Сондықтан егер сізге өсімпұл есептелгенге дейін қарызды шұғыл төлеу керек немесе күдікті операцияны дереу бұғаттау керек деген хат келсе, банкке хабарласып, ақпаратты тексерген жөн.
- Алаяқтар ресми сайтқа ұқсас сайт жасауға тырысады, бірақ дәл сондай етіп жасай алмайды. Сондықтан сайт атауы сәл басқаша болады. Мысалы, info@bank.kz орнына info@bnak.kz немесе info@bank.wzw.ka деген атаулар болуы мүмкін.
- Хаттағы сілтемені де тексерген жөн. Ресми сайттың URL мекенжайы «http» емес, «https» деп басталуы керек. Яғни деректерді жіберу кезінде кез келген хакер оларды ұрлай алады.
Сілтеменің өзі де ресми URL мекенжайына ұқсатып жасалады. Бірақ әдетте артық әріп, нүктенің орнына сызықша және т. б. айырмашылықтар болуы мүмкін. Кейде алаяқтар хатқа бірнеше сілтемені қосады. Олардың бірнешеуі ресми сайт, ал негізгісі фишингтік сайт болып табылады.
Өзіңізді алаяқтардан қорғаудың ең тиімді тәсілі — хатта көрсетілген сілтемелер бойынша өтпеу. Егер сізге белгілі бір ақпаратты тексеру қажет болса, банк қосымшасына кіруді немесе бөлімшеге хабарласуды ұсынамыз.
Телефон арқылы жасалатын алаяқтық (вишинг)
Вишинг дегеніміз не? Мұнда зиянкестердің мақсаты — пайдаланушының жеке ақпаратын телефон арқылы алу. Алаяқтар пайдаланушыны адастыру үшін келесі әрекеттерді жасайды:
- SIP-телефония көмегімен нөмірлерді ауыстырады. Мысалы, зиянкестер мемлекеттік органдардың нөмірінен жергілікті абоненттік нөмірге қоңырау шалған жағдайлар да болды. Ал қоңыраулар тарихында басқа нөмір көрсетілді.
- Банктердің немесе ресми компаниялардың нөмірлеріне ұқсас нөмірлерді қолданады. Бұл жағдайда олар әдетте абоненттермен мессенджерлер арқылы байланысады.
- Жасырын нөмірден қоңырау шалады.
Бұл қалай жүзеге асырылады? Көбінесе зиянкестер алдау үшін психологиялық әдістерді қолданады. Олар өздерін банктердің, құқық қорғау органдарының, «ХҚКО» қызметкерлері ретінде таныстырады. Олардың сөйлеу мәнері де шынайы қызметкерлерге ұқсайды, сондықтан үнемі сақ болу керек. Алаяқтықтың ең көп таралған түрлері:
- Алаяқтар сіздің атыңызға кредит берілгені және оны жабу үшін сол кредитке қосымша кредит ресімдеу қажет екендігі туралы айтады. Бұл алаяқтарды тоқтатады деп сендіреді.
- Дәл қазір біреулер сіздің ақшаңызды ұрлауға тырысып жатыр. Ақшаны сақтау үшін оларды дереу қауіпсіз сақтандыру шотына немесе сақтандыру ұяшығына аудару қажет деп айтады.
- Сізден депозиттен таныс емес адамға ақша аудару, депозиттен ақша алу, депозитті жабу туралы сұрайды.
Қоңырау кезінде алаяқ банк картасының деректемелері (нөмірі, берілген күні, CVC), бір реттік кодтар сияқты дербес деректерді анықтауға тырысады. Кейде алаяқтар бөтен қосымшаны орнатуды немесе арнайы сілтеме бойынша өтуді сұрайды. Осылайша олар құрылғыға қосылып, бағдарламалық жасақтама немесе вирус арқылы қажетті деректерді жинайды. Кейбір жағдайларда зиянкестер абонентті ақшаны аударуға немесе кредит алуға көндіреді.
Алаяқты қалай анықтауға болады?
- Олар күдікті немесе жасырын нөмірден қоңырау шалады. Банк немесе басқа беделді компания әдетте +800-ден басталатын федералды нөмірлерді пайдаланады, ал ұялы телефон нөмірлерін сирек қолданады. Бірақ жасырын нөмірлерді ешқашан қолданбайды.
- Алаяқ өзіне белгілі деректерді хабарлауды сұрайды. Банк қызметкері клиенттің аты-жөнін, оның шоттарын, олар бойынша жүргізілетін қозғалыстар мен қалдықтарды біледі. Егер сізден картаның нөмірін немесе ондағы ақша қалдығын сұраса, бұл алаяқ деген сөз.
- Банк қызметкері құпиясөздер мен кодтарды сұрамайды. Бұл үшінші тұлғаларға берілмейтін құпия ақпарат.
Егер сіз күмәндансаңыз, сізге хабарласқан тұлғаға қайта қоңырау шаламын деп айтып, банкке хабарласу қажет. Бұл ең сенімді әдіс болып табылады.
Егер сіз алданып қалсаңыз не істеу керек?
- Егер сіз ақшаны өзіңіз аударған болсаңыз немесе оны алаяқтар аударса, банкке хабарласыңыз. Транзакция әлі аяқталмаған болса, Банк оны жоюға үлгеруі мүмкін. Бірақ сізде күмән пайда болған кезде бірден бәрін тексерген дұрыс.
Егер банк операция жасап қойған болса, ол ақшаны жіберушіге қайтара алмайды. Бұл жағдайда картаны немесе шотты мобильді қосымшада немесе сайттағы жеке кабинетте бұғаттау керек. Сонымен қатар жедел желіге қоңырау шалуға немесе
- құқық қорғау органдарына өтінішпен жүгінуге болады.
Корпоративтік мәселелер бойынша сарапшы, «Profusion Projects» ЖШС компаниясының заңгері Шолпан Айтказина айтады: «Полицияға хабарласпас бұрын телефон мен мессенджерлерде сақталған алаяқтармен хат алмасу және қоңырау тізімдері бар барлық деректерді жинаңыз. Нотариусқа хабарласыңыз. Ол осы деректерді тексеру хаттамасын жасайды. Кейін бұл хаттаманы дәлел ретінде пайдалануға болады. Сонымен қатар, өтінішке банктің жауабын, оның бас тартуы туралы ақпаратты және шот бойынша үзінді көшірмені қоса беру керек. Өтінішті полиция бөлімшесі немесе egov.kz мемлекеттік портал арқылы беруге болады. |
Алаяқтарды табу қиын екенін ескерген жөн. Олар шетелде жүріп, делдалды пайдаланады. Ақшаны қайтару мүмкіндігін арттыру үшін Қаржы нарығын реттеу және дамыту агенттігіне және Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау департаментіне өтініш жазу керек.
Деректерді қалай қорғауға болады?
Алаяқтарға тап болмас үшін алдын ала сақ болу жөн.
Корпоративтік мәселелер бойынша сарапшы, «Profusion Projects» ЖШС компаниясының заңгері Шолпан Айтказина айтады:
🤐 Жеке және төлем деректерін ешкімге бермеңіз.
Банктердің немесе құқық қорғау органдарының қызметкерлері мұндай ақпаратты телефон арқылы нақтыламайды және кез келген операцияны «шұғыл түрде» жасауды сұрамайды.
🤖Қауіпті нөмірлерді танитын және бұғаттайтын бағдарламалар мен қосымшаларды орнатыңыз.
Әдетте нөмірді анықтау қызметі тегін, бірақ ақылы функцияларда кеңейтілген мүмкіндіктер бар. Көбінесе мұндай қосымшалардың көмегімен кім хабарласып жатқанын анықтауға болады.
Егер сізде әлі де күмән болса, телефонды қойып, банкке қайта қоңырау шалыңыз.
🔑 Банк қосымшаларында күрделі құпия сөздерді қолданыңыз. Құпия сөз әртүрлі сандар мен әріптер жиынтығынан тұрғаны дұрыс. Құпия сөздерді жұмыс үстелінде емес, бөлек папкада немесе архивте сақтаған жөн. Ал мүмкіндік болса, оларды флешкада сақтау немесе қағазға жазып алу керек.
🖥️ Телефонға немесе компьютерге антивирус бағдарламасын орнатыңыз.
Бағдарлама жеке деректерді ұрлайтын және оларды зиянкестерге жіберетін вирустан қорғайды.
