Әлеуметтік инженерия

Қазіргі уақытта технологияның сенімділік деңгейінің өскені соншалықты, қорғаныс жүйесінің ең әлсіз буыны адам – карта ұстаушы болды. Егер бұрын алаяқтар жүйелер мен құрылғыларды бұзуға тырысып, технологияға шабуыл жасаса, бүгінде нәтижеге жету үшін адамдарды «бұзуды» үйренуге тура келді. Бұл тәсіл «әлеуметтік инженерия» деп аталады.

Сарапшылардың пікірінше, әлеуметтік инженерияны қолданудың ең танымал тәсілдері – клиенттерден банктік шот/карта деректерін алу.

Алаяқтар өздерін банк қызметкерлері ретінде таныстырып, немесе жай ғана төмен қаржылық сауаттылық пен клиенттердің сенгіштігін пайдаланып, өздеріне қажетті мәліметтерді біліп жатады. Мысалы, олар картаны бұғаттау туралы хабарлама жіберіп, көрсетілген нөмірге қоңырау шалу қажеттілігі бар СМС жібереді: «Сіздің картаңыз бұғатталған, толығырақ xxx-xx-xx телефон арқылы».

Әлеуметтік инженерияның көрінісі – клиентке «банктердің қауіпсіздік қызметкерлерінен» қазіргі уақытта клиенттің шотында қате жасалған күдікті есептен шығаруды болдырмау мақсатында қоңырау шалу. Телефонмен сөйлесу барысында алаяқтар төлқұжат деректері мен төлем деректемелері туралы ақпаратты хабарлауға немесе қаскүнемдерге ақша аударуға мәжбүр етуге тырысады. Бұл жағдайда зиянкестер клиенттерден келген СМС-тегі бір реттік парольдерді және клиенттің шоты/картасы бойынша деректерді сұрап алады.

Сондай-ақ, алаяқтар OLX және басқа да ашық хабарландыру тақталарында сату жарнамаларын қалдырған клиенттерді іздеуі мүмкін. Содан кейін олар өздерін сатып алушы болып таныстырады және банктік шот/карта туралы мәліметтерді және сатылған тауарлар үшін төлемді аудару үшін клиентке келіп түскен СМС-тен бір реттік операцияларды растау кодтарын алады.

Немесе, керісінше, алаяқтар жәбірленушіні төмен бағамен қызықтыра отырып, белгілі бір тауарлар мен қызметтерді сатушылар болып көрінеді. Олар жалған курьерлік қызмет сайттарына тауардың жеткізілуіне ақы төлеу үшін сілтемелер жіберді. Шын мәнінде, мұндай сілтеме бойынша төлем деректемелерін енгізген кезде алаяқтар шотқа кіріп, оны босата алады.

Осыған байланысты әлеуметтік желілерде («ВКонтакте», Instagram, Facebook және т.б.) пайда болатын кез-келген көпшілікке қол жетімді ақпарат қылмыскерлерге сіздің қайда екеніңізді түсінуге немесе кейбір жеке ақпаратты білуге көмектесетінін түсіну өте маңызды. Wildberries, Aliexpress және т.б. сияқты ірі интернет-дүкендердегі виш-парақтары да әлеуметтік инженерлердің арсеналынан мұқият таңдалған трюктерді қолданған кезде жақсы көмек бола алады.

Тіпті ең заманауи және жоғары технологиялық банктік қауіпсіздік жүйелері клиент өзінің жеке деректерін өз еркімен хабарласа немесе алаяқтарға өз қолымен ақша аударса, оны құтқара алмайды. Мұндай жағдайларда құқық қорғау органдары да әлсіз. Кейде сәл сенімсіз, сәл сергек болу зиян тигізбейді. Скептик болудың еш зияны жоқ.

Сонымен, егер сізге «банк қызметкері» қоңырау шалса, сізді не алаңдату керек және сізге неге назар аудару керек:

1)     «Мемлекеттік банк қауымдастығының қауіпсіздік қызметі» немесе «Қауіпсіздік аудармаларын тексеру бөлімі» сияқты түсініксіз атаулар. Әдетте, алаяқтар сіз қандай банктің клиенті екеніңізді білмейді, сондықтан «қауіпсіздік», «банк», «аударымдар» және т.б. сөздерінің қосындысы бар атаулардың түсініксіз үйінділерін қолданады. Банктің шынайы қызметкері өз атынан кейін бірден банктің толық атауын атайды.

2)     Карта нөмірі, жарамдылық мерзімі, CVV2 коды (картаның артқы жағындағы үш сан), шот нөмірі, төлқұжат деректері, ЖСН және т.б. сияқты құпия деректерді «салыстырып тексеру» әрекеті. Шынайы банктің қызметкері клиенттен мұндай деректерді телефон арқылы хабарлауды ешқашан сұрамайды. Кейбір жағдайларда банк қызметкерлері сіздің картаңыздан өткен күдікті транзакцияларды растау үшін шынымен қоңырау шалуы мүмкін, бірақ бұл жағдайда қызметкер сізге транзакция уақытын және осы транзакция жасалған сауда нүктесінің атын атайды, сізге оны растау немесе жоққа шығару ғана қалады. Егер сіз транзакцияны растамасаңыз да, сізден банкке келіп, өтініш жазу сұралады. Сіздің жеке куәлігіңіз немесе банк картаңыздың нөмірлері сізден сұралмайды.

3)     Абонентті «СМС коды» туралы хабарлауға немесе смартфонға бейтаныс қосымшаны орнатуға мәжбүрлеу әрекеті. Банк мамандары ешқандай жағдайда клиенттен құрылғыға қашықтан басқару құралын қоюды сұрамайды. Өйткені, оларда рұқсатсыз кіруді бұғаттауға арналған барлық қажетті ресурстар мен құралдар бар.

4)     Абонентті оған жіберілген сілтемеге өтуге мәжбүрлеуге әрекет жасау, ол сілтеме бойынша картаның төлем деректерін енгізу қажет (карта нөмірі, қолданылу мерзімі, CVV2). Ешқандай жағдайда бұл деректерді сізге бейтаныс адамдар жіберген сілтемелер арқылы ашылатын формаларға енгізбеңіз, тіпті оларды әртүрлі ұйымдардың қауіпсіздік қызметкерлері ұсынса да.

Егер сіз банк қызметкерімен қарым-қатынас жасап жатқандығыңызға күмәндансаңыз, сөйлесуді тоқтатып, картаңыздың артқы жағында көрсетілген телефон нөміріне қайта қоңырау шалыңыз.