«Банк қызметкері едім». Кибералаяқтардың тұзағына түсіп қалмаудың жолы қандай?
Былтыр шілде айының соңында айына 9 миллионға жуық адам кіріп, кесе-шәйнегінен бастап үй-жайына дейін саудалап жататын әйгілі Olx.kz хабарлама беру сайтының көшірмесін жасап, адамдарды алдап соғыпты. Әдетте теріс ниеттілер сайттың не логотипі, не атауының бір тұсын өзгерту арқылы клиентті сан соқтыруға тырысады екен. Адамзатты алқымнан алған пандемия алаяқтардың да онлайн форматқа ауысуын жылдамдатқан сияқты…
Маңызды мәлімдеме
Бірнеше күн бұрын ғана Қазақстан қаржыгерлер қауымдастығы мен еліміздегі екінші деңгейлі банктер азаматтарға жеке мәліметтеріне мұқият болып, ұқыптылықпен қарауға шақырды. Бұл туралы қаржыгерлер қауымдастығының ресми сайтында жарияланды. Covid-19 індетінің таралуына байланысты 2020 жылы азаматтардың жаппай қашықтан жұмыс істеуге көшіп, банк қызметін де онлайн пайдалана бастағаны белгілі. Әрине, бұл жағдай өте ыңғайлы, жылдам әрі денсаулыққа пайдалы. Алайда мәселенің екінші қырына да мән беру керек дейді мамандар.
«Қазақстандықтардың барлығы бірдей өздерінің жеке деректерін қалай құпия сақтау керегін біле бермейді. Мұндай бейғамдықты кибералаяқтар өте тез әрі тиімді пайдаланып кетеді: соңғы жылдары азаматтардың жеке деректерін ұрлау фактілері күрт өскен. Алаяқтар клиенттің есепшот, депозит, банк карталарына қол сұғу үшін өте күрделі тәсілдерді де оңай пайдаланады.
Мәселен, сізге белгісіз біреу қоңырау шалып, өзін «банк өкілі» ретінде таныстырып, сосын сіздің карта немесе есепшотыңызға байланысты «күрделі операциялар» туралы айтады. «Банк қызметкері» болып хабарласқан бейтаныс адам «мәселені шешу» үшін карта нөмірі мен реквизиттерді – мерзімін, пин-кодты немесе картаның келесі бетіндегі CVV-кодты сұрайды. Әлбетте, оның бұл өтініштерінің бірін де орындауға болмайды. Себебі, алаяқ алған ақпараты арқылы сіздің картаңыздағы ақшаны ұрлайды. Олар интернет-банкингке немесе желідегі аккаунттарыңызға еніп, қаражатыңызды қолды қылу үшін әлеуметтік инженерия әдістерін жетік меңгеріп алған.
Сондықтан азаматтар жеке деректеріне жауапкершілікпен қарап, ЖСН-дерін, төлем картасы мен мобилді телефон нөмірлерін интернет-ресурстарда қалдырмауы тиіс. Өзге адамдарға жеке деректерін – жеке куәлік нөмірі, ЖСН, банк картасының реквизиттері, пин-код, құпия сөз, түбіртек деректерін айтуға болмайды. Сонымен қатар күмәнді сатылымдардан аулақ болып, қаржылық схемаларға қатыспай, интернет-банкинг құпия сөзін ұдайы өзгертіп жүргені абзал.
Есте сақтаңыз, ұрланған жеке мәліметтер теріс пиғылды адамдарға біршама мүмкіндіктер сыйлайды. Ал виртуалды әлемде ақпараттың ұрлануы сізді ірі қаржылық шығынға ұшыратуы мүмкін» делінген қауымдастық мәлімдемесінде.
Алаяқтар «мәзірінде» не бар?
«Еуразиялық банк» және «Касперский лабораториясы» өкілдерінің айтуынша, елімізде банк картасы, ұялы телефон, әлеуметтік желі мәліметтерін пайдалану арқылы жасалатын қылмыс көлемі артып келе жатыр. Соның ішінде телефон соғып арбайтындар көш басында тұр. Қазақстанда әрбір үшінші азамат өзін «банк қызметкерімін» деп таныстырған алаяқтардың құрбаны болады екен. Олар «құрбандығы» туралы ақпаратты мұқият зерттеп, жинап, әлеуметтік инженерия тәсілін пайдалана отырып сөйлеседі. Алаяқтар көбіне мынадай өтініштермен хабарласады:
• Несие рәсімдеуге ұсыныс жасау (64 пайыз);
• Жеке деректерін растауды сұрау (құпия сөз, банк картасының нөмірі, пин-код, CVV-код – 59 пайыз);
• Картаның бұғатталуы туралы хабарлау (44 пайыз);
• Ақшаны қауіпсіз есепшотқа аудару туралы ұсыныс жасау (22 пайыз).
– Фишинг саны (интернет-алаяқтық) күрт өсіп бара жатыр. Сондықтан бейтаныс нөмірден шалынған қоңырауға, әсіресе, өзін банк қызметкерімін деп таныстырған адамға мұқият мән беру керек. Нағыз банк қызметкері ешқашан сіздің құпия сөзіңіз бен пин-кодыңызды сұрамайды. Ондай кезде әдеп сақтауды жиып қойып, телефон тұтқасын тастаңыз. Сіз әлгі нөмірге қайта қоңырау шалу арқылы шын мәнінде банк қызметкері ме, жоқ па, анықтай аласыз, – деген еді «Касперский лабораториясының» Орталық Азия, ТМД және Балтық елдеріндегі басқарушы директоры Евгений Питолин 2020 жылы қазан айында Алматыда өткен конференцияда.
Мамандардың айтуынша, елімізде пандемияның өршіген тұсы – маусым-шілде айларында телефон алаяқтығы жиі байқалған. Алаяқтар арнайы бағдарлама – анонимайзердің арқасында клиент телефонының экранында нөмірді – банктің ресми нөмірі сияқты көрінетіндей етіп қояды.
– Бұл бізде ғана емес, әлемде белең алып бара жатқан үрдіс. Оны үлкен индустрия деп бағаласақ та болады. Сондықтан оған тек азаматтардың қаржылық сауаттылығы арқылы ғана қарсы тұруға болады, – деді «Еуразиялық банк» өкілі Светлана Королева.
CERT-KZ мониторингтік орталығының зерттеуінше 2020 жылдың алғашқы төрт айында Қазақстанда 450 фишингтік шабуыл жасалыпты. Локдаун кезінде бұл цифр екі есеге өсіп шыға келген. Алаяқтар фишинг әдісін тек картадағы қаражатты ұрлауға ғана қолданбайды. Мәселен, күзде балабақшаға тіркеуге тұрғызу туралы ұсыныс жасайтын ресурс бұғатталған. Олар клиенттерге балабақшаға орналастыру мәселесін шешіп береміз деп ұсыныс жасап, банк картасы мен төлқұжат нөмірлерін жинап алған.
Алданбаудың жолы қандай?
Кез-келген ақпаратқа күмәнмен қарап, оны мұқият тексеретін сауатты адам фишинг тұзағына түсе қоймайды. Қаржы нарығын реттеу және дамыту агенттігі қаржылық сауаттылықты арттыру басқармасының басшысы Сәуле Ынтықбаеваның айтуынша, карантин кезінде жалған сайттар мен сілтемелер қарша бораған. Оның шет-жағасын 42 500 жыры кезінде көп байқадық. Бір емес бірнеше 42 500 береміз деген жомарт жүректі ресурстар мен аккаунттардың сапырылысып жүргені кеше ғана еді…
– Карантин кезінде алаяқтар белгілі банктер мен ірі компаниялар атынан әртүрлі акция, қаржылық қызмет, түрлі жүлделер туралы электронды хаттар көп жіберді. Коронавирустан зардап шеккен азаматтар үшін қайырымдылық мақсатта ақша аударуды сұраған киберқылмыскерлер қаншама. Олар жіберген сілтемеге кіріп, жеке деректерді енгізер болсаңыз, ақшаңыздан айырылдым дей беріңіз. Олардан сақтану үшін құпия сөз бен пин-кодты ешкімге айтпаудан бөлек, үнемі өзгерту қажет. Сондай-ақ URL-мекен-жайды тексеру керек. Алаяқтар көбіне шынайы доменнің жазылуына ұқсас мекен-жайды пайдаланады. Егер әлгі ұйымның шынайылығына күмән келтірсеңіз, онда сол ұйымға хабарласып, жіберілген ақпараттың растығын тексеріңіз, – дейді Ынтықбаева.
Өте қарапайым һәм ақиқат түйін:
Мемлекеттік техникалық қызмет көрсету департаментінің директоры Медет Ысқақовтың айтуынша, 2017 жылы Қазақстан киберқауіпсіздік бойынша БҰҰ рейтингінде 82-орында тұрған. Ал қазір еліміздің позициясы нығайған: 40-орында. Бұл енді жәй ғана статистика. Шынайы өмірдегі әрекеттің статистикадан алшақ түсіп жататын кезі аз емес. 2019 жылы 19 фишингтік шабуыл тіркелсе, 2020 жылы оның саны 115-ке жеткен. Электронды почтаның бірыңғай шлюзі арқылы 33 430 спам-хабарламаның, оның ішінде бағдарламаларды жаралап тастауға аттанған 1574 зиянды хаттың жолы кесілген. Сын-сынақтан аман өтіп, мақсатына жеткендері қаншама.
Мемлекеттік техникалық қызмет департаментінің дерегінше, 2020 жылдың қараша айында ақпараттық қауіпсіздікке қатысты 1453 оқиға анықталған. 2019 жылмен салыстырғанда фишингтік шабуыл 83 пайызға көбейіпті. Бағдарламаға зиян келтіру 93 пайызға артқан.
Кибер шабуыл 2020-мен бітпейді. Адамзат пен интернеттің арасы суымайтынына қандай сенімді болсаңыз, кибершабуылдың да толастамайтынына дәл солай сену ләзім. Оған қарсы тұратын жалғыз қару – сауаттылық. Қаржы сауатылығы ғана болмақ.