Қазір онлайн төлем жүйесін пайдаланбайтын адам кемде-кем. Әсіресе, таңы мен түні таласқан қала тұрғындары уақытын үнемдеу үшін банк картасындағы қаржыдан сауда жасап, коммуналдық шығынын өтеп, көлік билеттерін алып, ұялы байланысының бірлігін толтырады. Мұның қаншалықты қауіпті не қауіпсіз екенін толық біле бермейді. Алаяқтар айласын жүзеге асыру үшін күн сайын жаңа амал тауып жатыр. Кейде адамдар банк картасына қатысты құпия деректерін өз аузымен айтып қойғанын байқамай қалады. Ғаламтор алаяқтарының құрығына түсіп, абайсызда бар құпия дерегіңізді жайып салмау үшін не істеу керек?
Сонымен, интернеттегі алаяқтық дегеніміз не? Оның қандай түрі бар? Қалай алданып қалмау керек? Банк картасын жоғалтып алғанда не істеу қажет? Смс-код қаншалықты қорғалған? Осы және өзге сұрақтар төңірегінде «Қазақстан халық банкі» АҚ Ақпараттық ресурстарды қорғау басқармасының басшысы Қанат Елшібекпен әңгімелескен едік.
– Интернеттегі алаяқтық туралы шағын түсінік берсеңіз?
Интернеттегі алаяқтық дегеніміз – төлем карталарының деректерін ұрлау. Негізінен, ол интернет арқылы алатын тауарлар мен қызметтердің ақысын өтеу кезінде қолданылады. Алаяқтар адамдардың картасындағы құпия мәліметтерін ұрлау үшін компьютерлік вирустарды, фишингтік сайттарды, яғни жалған немесе көшірме сайттарды пайдаланады. Тағы басқа түрлері бар.
– Қай түрі көп таралған?
Ең көп тараған түрлерінің қатарына әлеуметтік инженерияны, компьютерлік вирустар, скимминг, банк картасын алмастыру, фишингті жатқызуға болады. Жеке-жеке тоқталар болсам, әлеуметтік инженерия – алаяқ өзі алдайтын адамға техникалық құралдардың көмегінсіз, психологиялық тұрғыдан әсер ету. Алданып отырған адам өзінің құпия деректерін беріп қойғанын байқамай қалады. Мысалға, «интернет банкинг» жүйесінен келетін бір реттік SMS парольді, я болмаса «Интернет банкингке» кіретін логин мен парольді ойланбай бере салады. Кейде адамдар төлем карталарының деректерін де: картаның 16 таңбалық нөмірін, картаның қызмет ету мерзімін, картаның артқы жағында жазылған CVV2/CVC қауіпсіздік кодын айтып қояды. Құпия деректерді алған ұры санкцияланбаған операцияларды, яғни өз картасына ақша аударып, интернет арқылы қызметтер мен тауарларға төлем жасап, телефон нөмірінің балансында толтыра алады.
Мысалға, тауар сатылады деген хабарлама бойынша өзін клиент ретінде таныстырып, сатушыға хабарласады. Сосын тауарға төлем жасау үшін картаның нөмірін сұрайды. Сатушы карта нөмірін берген соң, қылмыскер «Интернет банкинг» жүйесіне қосылып алады да, телефон нөміріне келген бір реттік паролі бар SMS-хабарламаны білуге көшеді. Ол төлемді толық аяқтау үшін SMS-код керек деген желеу айтып, басқа дүниелермен сатушының басын қатырып, парольді біліп алады. Оны білген соң картадағы бар ақшаны еркін пайдалана алады.
Сондай-ақ, ең қауіптілерінің бірі – компьютерлік вирустар. Алаяқтар адамдардың электронды пошталарына қауіпті бағдарламаны немесе зиянды сілтемелерді тіркеп, хабарлама таратады. Хабарлама жөнелтілетін электронды мекенжайдың атауын банктің электронды мекенжайының атауымен ауыстырып жіберуі мүмкін. Ойында ештеңе жоқ адам банктен хат келді деп қабылдап, хатқа тіркелген файлды ашқанда я болмаса сілтемені басқанда компьютер немесе смартфонға вирус кіріп, алаяқтар құпия ақпаратқа кіруге мүмкіндік алады.
Алаяқтар банкомат арқылы да ұрлық жасайды. Мұны скимминг деп атайды. Ол – банкоматқа карта салатын жердегі деректі «оқитын» құралдың көмегімен төлем картасының магниттік жолағынан ақша ұрлау. Яғни, картаны салған кезде оның деректерін көшіріп алады. Сосын ол арқылы алаяқтар жалған карта жасап алады. Бірақ жасанды картаны қолдану үшін де оның ПИН-коды керек. Сондықтан ұрылар банкоматтың клавиатурасына бағытталған шағын видеокамераларды, кейде енгізілген ПИН-кодты есте сақтап қалатын жалған клавиатураны да орнатып қояды. Содан кейін жалған картаны емін-еркін пайдаланады.
Қылмыскерлер клиенттің төлем картасын басқасына алмастыру арқылы да қаржыны қолды етеді. Ол өзін банк қызметкерімін деп таныстырып, банкоматтан ақша алып жатқанда, клиентке көмек көрсетеді. Сол сәтте алаяқ клиенттің терген ПИН-кодын жаттап алады, сөйтіп білдірмей басқа картаны ұстатып жібереді. Содан кейін клиентке банкомат жұмыс істемей тұр дейді. Ал, клиент картаның алмастырылғанына мән бермей, басқа банкомат іздеп кетеді. Ал, қылмыскер сол сәтте-ақ картадағы бар ақшаны шығарып алады. Алаяқтар мұндай жолмен көбіне кәрі жастағы адамдарды алдайды.
Интернет арқылы алдаудың тағы бір түрі – фишинг. Ол дегеніміз алаяқ банк сайтынан айнымайтын жалған сайт жасап интернетке жүктейді. Ал клиенттер оны ажырата алмай, картасындағы барлық деректі енгізеді. Кейін ұрылар сол арқылы картадағы ақшаны өз қажетіне жарата береді.
– Сонда фишинг веб-сайтты қалай ажыратуға болады?
Мен өз банкімізге қатысты ғана айтайын. Басқа банктерде де сондай жүйе болу керек. Мысалға біздің банктің өз сайтынан басқа сайтқа түсіп кетпеу үшін, электронды поштаға «Жеке тұлғаларға арналған интернет-банкинг» деген баннерлі сілтеме немесе жай сілтеме келсе, ол веб-сайтқа кірмеу керек. Сондай-ақ, егер сіз ашқан «жеке тұлғаларға арналған интернет-банкинг» (ЖТИБ – автор) жүйесінің веб-сайты қорғалмаған режимде істеп тұрса, онда құпия деректерді енгізбеу керек.Қормалмаған режим – браузердің қоралмаған режимде жұмыс істеп тұр деген белгішесі істемей тұр деген сөз.Сондай-ақ ЖТИБ жүйесінің веб-сайты https:// символдардан бастау керек, http:// мынадай болып бастаса, жалған. Тағы да веб-сайтқа кірген кезде браузер сайттың қауіпсіздік сертификатына сенбеу керек деп көрсетсе, бұл сайттан тез арада шығу керек. Тағы да ЖТИБ жүйсінің веб-сайты ресми сайтпен - https://myhalyk.kz сәйкес келмесе де, деректерді енгізуге болмайды.
Тұрғындардың жиі жіберетін қателіктерінің бірі, барлық адам қолдана беретін компьтерлерге банк картасының деректерін енгізе береді. Бұл – өте қауіпті.
– Ал, интернет банкингтен бөлек, біреудің шалған қоңырауынан да алданып қаламыз. Мұндай алаяқтарды қалай тез анықтауға болады?
Көбіне олар Банктің атынан хабарласады. Бірақ банк сізге қатысты барлық деректі біледі. Қызметкерлер төлем картасының деректерін, ПИН-кодын білу ешкімге қоңырау соқпайды. Банк қызметкері бұдан бөлек электронды тіркелген мәліметтерді сұрап, қоңырау шалмайды, электронды пошталарға да хат жолдамайды, СМС хабарлама да таратпайды. Осыны ұмытпау керек. Егер біреу біздің банк атынан жеке мәлімет сұрап хабарласса, демек ол – алаяқ.
– Кейбір дүкеннің кассасында картамен төлем жасағанда ПИН-кодсыз ақша суырып алады. Біз кейде картамызды жоғалтып аламыз. Оны тауып алған кез келген адам оп-оңай жарата алады. Сұрамағым: картаны жоғалтып алғанда бірінші кезекте не істеуіміз керек?
Мұндайда бірден банктің байланыс орталығына хабарласып, төлеп картаны бұғаттап тастау керек. Және картаға қосылған барлық сервисті өшіруін сұрау керек.
– Қазір бізге онлайн төлем жасау оңай. Уақытты үнемдеп, артық ақша төлемейміз. Ал сол онлайн төлем жасағанда ұялы телефонға смс-код келеді. Ол қауіпсіз бе?
Бір рет келетін SMS парольдер – картаның ПИН-коды сияқты құпия. Яғни оны сізден басқа ешкім білмейді. Мұндай парольдер Халық банкінің «ЖТИБ» жүйесіндегі барлық операцияны орындау кезінде қолданылады. Сол себепті, бұл деректерге сізден басқа ешкімнің қолы жетпеу керек. Ешқашан оны басқа адамдарға айтуға болмайды.
– Бір рет келетін парольдердің құпия екенін білдік. Оның барлығы ұялы телефонда тұрады. Сонда телефонды ұрлатып алған жағдайда не істеу керек?
Егер банктің бір реттік парольді жолдайтын телефоныңызды жоғалтып не ұрлатып алсаңыз, я болмаса SIM-картаңыз істен шығып қалса, онда бірден ұялы байланыс операторына хабарласып, SIM-картыны бұғаттатып тастау керек. Сондай-ақ, бұл туралы банкті де хабардар ету керек.
– Кейбір елде төлем карталарына қатысты сақтандыру жүйесі бар. Біздің елімізде де мұндай қызмет бар ма?
Жоқ, Қазақстанда төлем карталарына қатысты алаяқтықтан сақтандыру жоқ.
– Мұндай сақтандыру болмаса, «Халық банкі» өзінің банктік карталары бар клиенттеріне қандай кепілдік береді?
Банк өз клиенттерінің қауіпсіздігі үшін қорғанудың бірнеше жолын ойлап, қауіпсіздік деңгейін күшейтті.
Интернетте сатып алу не төлем жасау үшін Интернет желісінде операцияларды жүргізуге шектеулерді алып тастау керек. Барлық төлем картада интернет төлемдердің «3D Secure», «Secure Code» қорғау технологиялары бар. Тағы ЖТИБ жүйесіндегі операцияларды қорғау үшін екі факторлы аутентификация бар, олар: логин мен пароль. Әрбір операция бір реттік SMS-парольмен растауды қажет етеді. Сондай-ақ, интернет арқылы сатып алу үшін осындай саудаға арналған арнайы виртуалды төлем карталарын қолдану керек. Егер интернет желісінде заңсыз төлем жүргізілсе, банк клиенттің қаржылық шығынын тоқтату мақсатында мұндау операцияларды «даулы» деп есептейді. Яғни, заңсыз төлемнің жасалуына мүмкіндік бермейді. Ең тиімді жоладырының бірі – әр адам өз банк картасына SMS хабарламаны қосқаны абзал. Сонда төлем картасынан алынған ақша, төленген сома немесе кез келген операция туралы бірден хабардар болып отырады.
Айта кетейік, интернеттегі алаяқтық туралы материал әзірлеуде Қазақстан Халық банкін жай таңдамадық. Себебі Халық банкі – елімізде мобильді банкингті енгізген алғашқы банк. Оны 2005 жылдың 19 сәуірінен бастап іске қосты. Ал 2007 жылдың 30 наурызынан бері Қазақстанда алғаш рет банкомат немесе мобильді телефон арқылы VISA карталары арасында ақша аудару – «VISA-дан VISA-ға ақша – 24/7» қызметін ұсынып келеді. Халықаралық дәрежедегі түрлі сыяпат алып келе жатқан сенімді банк.