Бөлімшелер мен банкоматтар 5050
RU
RU KZ EN

Әлеуметтік инженерия

Қазіргі уақытта технологияның сенімділік деңгейінің өскені соншалықты, қорғаныс жүйесінің ең әлсіз буыны адам – карта ұстаушы болды. Егер бұрын алаяқтар жүйелер мен құрылғыларды бұзуға тырысып, технологияға шабуыл жасаса, бүгінде нәтижеге жету үшін адамдарды «бұзуды» үйренуге тура келді. Бұл тәсіл «әлеуметтік инженерия» деп аталады.

Сарапшылардың пікірінше, әлеуметтік инженерияны қолданудың ең танымал тәсілдері – клиенттерден банктік шот/карта деректерін алу.

Алаяқтар өздерін банк қызметкерлері ретінде таныстырып, жай ғана төмен қаржылық сауаттылық пен клиенттердің сенгіштігін пайдаланып, өздеріне қажетті мәліметтерді біліп жатады. Мысалы, олар картаны бұғаттау туралы хабарлама жіберіп, көрсетілген нөмірге қоңырау шалу қажеттілігі бар СМС жібереді: «Сіздің картаңыз бұғатталған, толығырақ xxx-xx-xx телефон арқылы».

Әлеуметтік инженерияның көрінісі – клиентке «банктердің қауіпсіздік қызметкерлерінен» қазіргі уақытта клиенттің шотында қате жасалған күдікті есептен шығаруды болдырмау мақсатында қоңырау шалу. Телефонмен сөйлесу барысында алаяқтар төлқұжат деректері мен төлем деректемелері туралы ақпаратты хабарлауға немесе қаскүнемдерге ақша аударуға мәжбүр етуге тырысады. Бұл жағдайда зиянкестер клиенттерден келген СМС-тегі бір реттік парольдерді және клиенттің шоты/картасы бойынша деректерді сұрап алады.

Сондай-ақ, алаяқтар OLX және басқа да ашық хабарландыру тақталарында сату жарнамаларын қалдырған клиенттерді іздеуі мүмкін. Содан кейін олар өздерін сатып алушы болып таныстырады және банктік шот/карта туралы мәліметтерді және сатылған тауарлар үшін төлемді аудару үшін клиентке келіп түскен СМС-тен бір реттік операцияларды растау кодтарын алады.

Керісінше, алаяқтар жәбірленушіні төмен бағамен қызықтыра отырып, белгілі бір тауарлар мен қызметтерді сатушылар болып көрінеді. Олар жалған курьерлік қызмет сайттарына тауардың жеткізілуіне ақы төлеу үшін сілтемелер жіберді. Шын мәнінде, мұндай сілтеме бойынша төлем деректемелерін енгізген кезде алаяқтар шотқа кіріп, оны босата алады.

Осыған байланысты әлеуметтік желілерде («ВКонтакте», Instagram, Facebook және т.б.) пайда болатын кез-келген көпшілікке қол жетімді ақпарат қылмыскерлерге сіздің қайда екеніңізді түсінуге немесе кейбір жеке ақпаратты білуге көмектесетінін түсіну өте маңызды. Wildberries, Aliexpress және т.б. сияқты ірі интернет-дүкендердегі виш-парақтары да әлеуметтік инженерлердің арсеналынан мұқият таңдалған трюктерді қолданған кезде жақсы көмек бола алады.

Тіпті ең заманауи және жоғары технологиялық банктік қауіпсіздік жүйелері клиент өзінің жеке деректерін өз еркімен хабарласа немесе алаяқтарға өз қолымен ақша аударса, оны құтқара алмайды. Мұндай жағдайларда құқық қорғау органдары да әлсіз. Кейде сәл сенімсіз, сәл сергек болу зиян тигізбейді. Скептик болудың еш зияны жоқ.

Сонымен, егер сізге «банк қызметкері» қоңырау шалса, сізді не алаңдату керек және сізге неге назар аудару керек:

  1. «Мемлекеттік банк қауымдастығының қауіпсіздік қызметі» немесе «Қауіпсіздік аударымдарын тексеру бөлімі» сияқты түсініксіз атаулар. Әдетте, алаяқтар сіз қандай банктің клиенті екеніңізді білмейді, сондықтан «қауіпсіздік», «банк», «аударымдар» және т.б. сөздерінің қосындысы бар атаулардың түсініксіз үйінділерін қолданады. Банктің шынайы қызметкері өз атынан кейін бірден банктің толық атауын атайды.

  2. Құпия деректерді: карта нөмірін, қолданылу мерзімін, CVV2, CVP кодын (картаның артқы жағындағы үш цифр), шот нөмірін, паспорт деректерін, ЖСН және т.б. «салыстыру» әрекеті. Банктің нағыз қызметкері ешқашан клиенттен мұндай деректерді телефон арқылы хабарлауды сұрамайды. Жекелеген жағдайларда банк қызметкерлері сіздің картаңыз бойынша өткен күдікті транзакцияларды растау үшін шынымен қоңырау шала алады, бірақ бұл жағдайда қызметкер сізге транзакция уақытын және осы транзакция жасалған сауда нүктесінің атауын өз бетінше айтады, сізге тек оның жасалғанын растау немесе жоққа шығару қажет болады. Тіпті транзакцияны растамасаңыз да – сізден банкке келіп, өтініш жазу сұралады. Сіздің сәйкестендіру деректеріңіз немесе банк карталарының нөмірлері сізден сұралмайды.

  3. Абонентті «СМС-тен келген кодты» хабарлауға немесе смартфонға бейтаныс қолданбаны орнатуға мәжбүрлеу әрекеті. Банк мамандары ешқандай жағдайда клиенттен құрылғыға қашықтан басқару құралын орнатуды сұрамайды. Өйткені оларда рұқсатсыз кіруді бұғаттау үшін барлық қажетті ресурстар мен құралдар бар.

  4. Абонентті жіберілген сілтеме бойынша өтуге мәжбүрлеу әрекеті, онда картаның төлем деректерін (карта нөмірі, қолданылу мерзімі, CVV2, CVP) енгізу қажет. Ешқандай жағдайда бейтаныс адамдар жіберген сілтемелер бойынша ашылатын формаларға бұл деректерді енгізбеңіз, тіпті олар әртүрлі ұйымдардың қауіпсіздік қызметінің қызметкерлері болып таныстырылса да.

Егер сіз банк қызметкерімен қарым-қатынас жасап жатқандығыңызға күмәндансаңыз, сөйлесуді тоқтатып, картаңыздың артқы жағында көрсетілген телефон нөміріне қайта қоңырау шалыңыз.