Zəng edən bank əməkdaşıdır, yoxsa dələduz? - ARAŞDIRMA
Aldanmamaq üçün nələri bilməliyik?
Mütəxəssislər deyirlər ki, müştəri ilə bağlı məxfi məlumatların çoxu bankda olur və əməkdaşın müştəridən həmin məlumatları istəməyinə ehtiyac yoxdur. Əgər bunu soruşurlarsa, deməli...
Bank kartlarından oğurluq, oğurluğa cəhd hallarının sayı son vaxtlar xeyli artıb. Bank adından zəng edərək, yaxud bankın vəzifəli şəxslərinin adlarından mesaj yazaraq vətəndaşlardan kart məlumatlarını istəyirlər. Ümumiyyətlə, müxtəlif yollarla şəxslərin kart məlumatlarını əldə etməyə cəhdlər olur. Əgər bu istəklərinə çatırlarsa, şəxsin kartındakı bütün məbləği çəkirlər.
Bəzi vətəndaşlar ayıq tərpənib kart məlumatlarını həmin şəxslərlə paylaşmasalar da, aldananlar da az deyil. Bəs aldanmamaq üçün nələri bilməliyik?
“Kaspi” qəzeti məsələni araşdırmaq qərarına gəlib.
Şübhəli məqam
Mərkəzi Bankın Milli ödəniş sisteminin inkişafı şöbəsinin rəisi Ramil Mahmudov deyir ki, müştəri ilə bağlı məxfi məlumatların çoxu bankda olur, ona görə, bank əməkdaşları konfidensial məlumatları telefonda istəmirlər: “Son dövrlər, xüsusilə sosial şəbəkə üzərindən bank adından əlaqə saxlayıb müştərilərdən kartları ilə bağlı bir sıra konfidensial məlumatlar istənilir. Bu, bəzən müştərilərdə şübhə yaratmır. Amma müştəri diqqətlə yanaşsa, onda şübhə yaranacaq ki, bank ona hansı məqsədlə zəng edir? Çünki müştəri ilə bağlı məxfi məlumatların çoxu bankda olur və əməkdaşın müştəridən həmin məlumatları istəməyinə ehtiyac yoxdur. Əgər bunu soruşurlarsa, deməli, bank əməkdaşı deyil”.
Bank 16 rəqəmli kodu istəmir
R.Mahmudovun sözlərinə görə, bank əməkdaşı telefonda kartın 16 rəqəmli kodunu istəyə bilməz: "Müştəri bankla əlaqə saxlayanda bank əməkdaşı telefonda müştəri ilə eyniləşdirmə, dəqiqləşdirmə aparır. Məxfi söz soruşulur. Bir də kartın 16 rəqəmli kodunun son 4 rəqəmi yetərli olur ki, bank əməkdaşı onu sistemdə tapsın. Bank əməkdaşının 16 rəqəmin hamısını telefonda istəməyinə ehtiyac yoxdur. Kimsə telefon zəngi ilə kartın 16 rəqəmini və digər məlumatlarını istəyirsə, bunları üçüncü tərəfə verməklə təhlükəyə atırsınız. Kart məlumatlarını üçüncü tərəflə paylaşmaq lazım deyil. Əgər məxfi məlumatları kiməsə verirsinizsə, artıq dələduzlara şərait yaratmış olursunuz”.
Zəngdən şübhələnirsinizsə...
R.Mahmudov deyir ki, daha şübhəli bir məqam isə bankın rəhbər işçilərinin adından əlaqə saxlanılmasıdır: "Vətəndaşlar bilsinlər ki, müştəri ilə əlaqə saxlamaq üçün bankda əməkdaşlar var. Əməkdaşlar ola-ola rəhbər şəxsin müştəri ilə əlaqə saxlamasının özü də şübhə doğuran faktdır”.
R.Mahmudov vurğuladı ki, əgər müştərilərin telefon danışığı zamanı şübhələndikləri hal olarsa, danışıqdan imtina etməli və özləri bankın müştəri xidməti ilə əlaqə saxlamalıdırlar.
3 təhlükəsizlik qaydası
Kibertəhlükəsizlik üzrə ekspert Tural Məmmədov deyir ki, ilk olaraq üç təhlükəsizlik qaydasına riayət etməliyik: “Kartlarla bağlı ödəniş alırıqsa, istənilən növ pulköçürmə əməliyyatında birmənalı olaraq 16 rəqəmdən başqa heç bir məlumat qarşı tərəfə ötürülməməlidir. İkinci vacib məqam - bütün bank kartlarında "sms security” aktiv edilməli və bu sms-lər heç bir halda heç kimlə bölüşdürülməməlidir. Üçüncüsü, ödəniş zamanı ödəniş edilən sistemə - portala diqqətin edilməsidir ki, hansısa fişinq hücumunun qurbanı olmayasan.
Fişinq hücumlarında, əsasən, hansısa məşhur domen və ya portalların oxşar versiyası yaradılaraq insanları aldatmağa çalışırlar. Bu zaman domen adının bitmə hissəsinə diqqət etmək lazımdır. Məsələn, siz "online.azerbank.az" domenindən ödəniş etməlisinizsə, sizə ödəmə linki kimi “azerbank.online.az” domeni təqdim edilirsə, anlamalısınız ki, bu iki domen tamam fərqlidir. Bunlardan birincisi banka aid "azerbank.az” domenidirsə, ikincisi "online.az” kimi xidmət göstərən tamam başqa bir sahə üçün domen adıdır. Və ya "online.azarbank.az” təqdim edilirsə, baxmaq lazımdır ki, istifadə olunan domen adında hərf dəyişikliyi varmı”.
Vişinq hücumu ilə bağlı qızıl qayda
T.Məmmədovun sözlərinə görə, bank əməkdaşları adından zəng edilən zaman isə əsas bir məsələyə diqqət yetirmək lazımdır: "Fişinq hücumun səsli versiyası olan vişinq hücumları ilə bağlı isə bir qızıl qayda var. Bank heç bir zaman sizə zəng edib kart məlumatlarınızı hər hansı səbəb üçün istəmir. Bunu istəyirsə, təbii ki, vermək olmaz. Bu zaman qarşı tərəf məqsədinə çata bilmir”.
Tələsdirirlərsə…
T.Məmmədov deyir ki, əgər dələduzların hədəfinə tuş gəlibsinizsə, onlar daim müxtəlif bəhanələrlə sizi tələsdirəcəklər: “Tələsdirmə və hədəf şəxsin qərar verməsinə sövqetmə belə hücumların əsas qayəsidir. Şübhəli durumlarla qarşılaşdıqda tələsik qərar verməmək üçün ilk edəcəyiniz iş ən yaxşı halda üçüncü şəxslərdən məsləhət almaq və prosesi uzatmaq olmalıdır”.
“Sıfır güvən”
T.Məmmədov qeyd etdi ki, kart məlumatlarının paylaşılması ilə bağlı "zero trust” (Sıfır güvən) qaydasına riayət edilməlidir: "Kartdan karta kimsə sizə ödəniş edəcəksə, bu zaman kartın şəklini çəkib göndərmək əvəzinə, lazım olan kodu yazıb göndərmək daha məsləhətdir. Çünki kartın şəklini çəkdiyiniz zaman kartda vacib məlumatlardan olan kartın bitmə tarixi də qarşı tərəfə göndərilmiş olur. Çox məhdud sayda olsa da, internetdə elə xidmətlər var ki, oradan CVC kodsuz alış-veriş etmək mümkün olur. Belə halların qurbanı olmamaq üçün kart məlumatlarının bu formada şəklinin paylaşılması məqsədəuyğun deyil. Bunu bəzən hansısa yardım kampaniyalarında edirlər. Bu, heç də təhlükəsiz deyil. Bunun əvəzinə, ödəniş üçün sadəcə 16 rəqəmi və ya hesab nömrəsini paylaşa bilərsiniz. Təhlükəsizliklə bağlı "zero trust" deyə bir qayda var. Fərdi məlumatlarla və ya kartlarla işləyərkən hər kəsə "zero trust" yanaşması tətbiq edilməlidir”.