Бөлімшелер мен банкоматтар 5050
RU
RU KZ EN

Әлеуметтік инженерия

Қазіргі уақытта технологиялардың сенімділігі соншалықты өсті, сондықтан қорғау жүйесіндегі ең әлсіз буын адам – карта иесіне айналды. Егер бұрынғы алаяқтар технологияға шабуыл жасап, жүйелер мен құрылғыларды бұзуға тырысса, бүгін олар нәтиже алу үшін адамдарды «бұзуды» үйренуі керек болды. Бұл тәсіл «әлеуметтік инженерия» деп аталады.

Сарапшылардың айтуынша, әлеуметтік инженерияны қолданудың ең танымал тәсілдері — клиенттерден банк шот/карта деректерін алдап алу.

Алаяқтар көбінесе өздерін банк қызметкері ретінде таныстырып немесе төмен қаржылық сауаттылық пен клиенттердің сенгіштігін пайдаланып қажетті деректерді табады. Мысалы, олар картаның бұғатталғаны туралы хабарламамен және көрсетілген нөмірге қоңырау шалу қажеттігі туралы SMS жібере алады: "Картаңыз блокталды, мәліметтер xxx-xx-xx телефонымен."

Әлеуметтік инженерияның көрінісі — «банк қауіпсіздігі қызметкерлерінің» клиентке қоңырау шалуы, ол қазір клиенттің шотында қате жасалған күдікті есептерді жоюды талап етеді. Телефон арқылы сөйлесу кезінде алаяқтар оларды төлқұжат деректері мен төлем мәліметтері туралы ақпарат беруге мәжбүрлеуге немесе шабуылдаушыларға ақша аударуға мәжбүрлеуге тырысады. Бұл жағдайда шабуылдаушылар тұтынушыларды SMS пен тұтынушы есепшот/карта деректерінен бір реттік құпиясөздерге алдап алады.

Алаяқтар OLX және басқа ашық хабарландыру тақталарында жарнама қалдырған клиенттерді іздей алады. Келесіде олар сатып алушылар ретінде таныстырып, клиент алған SMS-тен банк шот/карта деректерін және бір реттік транзакция растау кодтарын алдап, сатылған тауарлар үшін төлемді аудару үшін пайдаланады.

Немесе, керісінше, алаяқтар өздерін белгілі бір тауарлар мен қызметтердің сатушылары ретінде таныстырып, төмен бағамен құрбанды тартады. Олар жалған курьерлік қызмет сайттарына сілтемелер жібере алады, әйгілі тауарды жеткізу үшін төлеу үшін. Шын мәнінде, осындай сілтеме арқылы төлем мәліметтерін енгізу арқылы алаяқтар есепшотқа кіріп, оны босата алады.

Осыған байланысты, әлеуметтік желілерде (VKontakte, Instagram, Facebook және т.б.) жарияланған кез келген қоғамдық ақпарат қылмыскерлерге сіздің қайда екеніңізді түсінуге немесе жеке ақпаратты анықтауға көмектесе алатынын түсіну өте маңызды. Тіпті Wildberries, Aliexpress сияқты ірі онлайн дүкендердегі тілек тізімдері әлеуметтік инженерлердің мұқият таңдалған әдістерін қолданғанда жақсы көмек болуы мүмкін.

Тіпті ең заманауи және жоғары технологиялы банктік қауіпсіздік жүйелері де клиент жеке деректерін тәуелсіз берсе немесе алаяқтарға өз қолымен ақша аударса, оны құтқара алмайды. Құқық қорғау органдары да мұндай жағдайларда әлсіз. Кейде сәл сенімсіз, сақ болу артық емес. Күмәнданудың еш жаманы жоқ.

Сондықтан, егер сізге «банк қызметкері» қоңырау шалса, сізге не ескерту керек және неге назар аудару керек:

  1. Бұл анық емес атау, мысалы, "Мемлекеттік банк қауымдастығының Қауіпсіздік қызметі" немесе "Қауіпсіздік қызметінің аударма тексеру бөлімі". Әдетте, алаяқтар сіздің қай банктің клиенті екеніңізді білмейді, сондықтан түсініксіз есімдердің үйінділері арасында "қауіпсіздік", "банк", "аударымдар" және басқа да сөздер араласады. Шынайы банк қызметкері аты-жөнінен кейін банктің толық атын айтады.

  2. Құпия деректерді «тексеруге» талпыныс: карта нөмірі, жарамдылық мерзімі, CVV2, CVP коды (картаның артында үш сан), есепшот нөмірі, паспорт деректері, IIN және т.б. Шынайы банк қызметкері ешқашан клиенттен мұндай деректерді телефон арқылы сұрамайды. Кейбір жағдайларда банк қызметкерлері сіздің картаңыздағы күдікті транзакцияларды растау үшін қоңырау шала алады, бірақ бұл жағдайда қызметкер транзакцияның уақытын және осы операция жасалған бөлімшенің атын айтады, тек растау немесе жоққа шығару қажет. Транзакцияны растамасаң да, банкке келіп, өтініш жазуға шақырылады. Сізден жеке куәлік деректеріңіз немесе банк картасының нөмірлері сұралмайды.

  3. Абонентті "SMS кодын" айтуға немесе смартфонға таныс емес қосымшаны орнатуға мәжбүрлеу әрекеті. Банк мамандары ешқашан клиенттен құрылғыға қашықтан басқару құралын орнатуды сұрамайды. Өйткені оларда рұқсатсыз кіруді бұғаттайтын барлық қажетті ресурстар мен құралдар бар.

  4. Абонентті өзіне жіберілген сілтемеге өтуге мәжбүрлеу әрекеті, онда картаның төлем деректерін (карта нөмірі, жарамдылық мерзімі, CVV2, CVP) енгізу қажет. Бұл деректерді бөтен адамдар жіберген сілтемелер арқылы ашылған формаларға енгізуге болмайды, тіпті олар өздерін әртүрлі ұйымдардың қауіпсіздік қызметкерлері ретінде таныстырса да.

Егер банк қызметкерімен сөйлесіп отырғаныңызға аздап күмәніңіз болса, әңгімені тоқтатып, картаңыздың артында көрсетілген телефон нөміріне қайта қоңырау шалыңыз.