Mətbuatda banklar tərəfindən verilən maaş və kredit kartlarına olunan haker hücumları ilə bağlı məlumatlara tez-tez rast gəlirik. Son vaxtlar belə halların sayı artmaqdadır. İddialara görə vətəndaşların kart hesablarına haker hücumlarını edənlərin hamısı banklarla əlbir olan keçmiş əməkdaşlardır. Əks təqdirdə insanların kart hesablarına qədər bütün məlumatlar onların əlinə keçə bilməz.
Məntiqlə düşünsək..
Kart sahibi haqqında məlumatları yüksək komputer biliyi olan insanların belə əldə etməsi mümkün deyil. Burada iki amil əsas tutula bilər. Ya həmin şəxs hansısa bir bankın keçmiş əməkdaşı olub, ya da kiber-təhlükəsizlik və kiber-cinayətkarlıq haqqında geniş məlumatları olan hansısa bir hakerdir. Müxtəlif yollarla bankın sisteminə daxil ola bilir və istədiyi məlumatları əldə edir.
Bəs, Rəqəmsal İnkişaf və Nəqliyyat Nazirliyi yanında Azərbaycan Kibertəhlükəsizlik Mərkəzi nə deyir?
Mərkəz qeyd edir ki, kiberdələduzlar “Kapital Bank”, “Unibank” və digər bankların texniki dəstək xidmətinin adından sui-istifadə edərək vətəndaşların bank məlumatlarını və digər fərdi məlumatlarını ələ keçirməyə çalışırlar.
Belə ki, həyata keçirilən kiberhücumlarda bank əməkdaşlarının adından vətəndaşların mobil nömrələrinə zənglər edilir, onların adına hər hansı köçürmənin həyata keçirildiyi bildirilir və təsdiqləmə üçün kart hesab nömrəsi, şifrə, təsdiqləmə kodu və sair fərdi məlumatların təqdim edilməsi tələb olunur.
Digər bir kiberhücumda bank əməkdaşlarının adından saxta sosial şəbəkə hesabları yaradılaraq müəyyən bank əməliyyatlarının həyata keçirilməsi üçün kart hesab məlumatlarının, təsdiqləmə kodlarının təqdim edilməsi tələb edilir.
“Onlar işdən çıxandan sonra…”
Mövzu ilə bağlı fikirlərini Bizim.Media-ya bölüşən bank mütəxəssisi və hüquqşünas Əkrəm Həsənov sözügedən əməlin bankın keçmiş əməkdaşları tərəfindən törədilməsi ehtimalını istisna etməyib:
“Onlar işdən çıxdıqdan sonra adətən başqa bir bankda işə düzəlir və özləri ilə götürdükləri müştəri bazasını həmin banka təhvil verirlər. Bu da istisna deyil və aydın olur ki, bank öz işçilərinin sənədlərə əlçatanlılığını məhdudlaşdırmayıb və işdən çıxan əməkdaşının sənədləri özü ilə aparmasına nəzarət edə bilmir. Digər amil isə odur ki, hakerlər bankın sisteminə daxil olur və bütün məlumatları əldə edirlər. Hər iki hal onu göstərir ki, banklarda informasiya təhlükəsizliyi sistemi düzgün qurulmayıb”.
Hüquqşünasın sözlərinə görə kiberdələduzluq hadisəsinin hansısa bankın keçmiş əməkdaşı tərəfindən törədildiyi sübuta yetirilərsə, onu məsuliyyətə cəlb etmək olar:
“Bunun həm mülki, həm də cinayət məsuliyyəti var. Ancaq bunu sübut etmək çox çətindir. Ona görə ki, bank daxildə nəzarəti düzgün qurmayıbsa, bunu müəyyən etmək çətin olacaq. Bankın özünün daşıdığı məsuliyyətə gəlincə, bunu da gərək Mərkəzi Bank öz qaydaları və təlimatları əsasında həll etsin. Hətta belə səhlənkarlığa yol verən banklara qarşı sanksiyalar da tətbiq edilə bilər”.
Qeyd edək ki, ötən gün Daxili İşlər Nazirliyi məsələnin aktuallığını nəzərə alaraq növbəti dəfə kibertəhlükəsizliklə bağlı vətədaşlara diqqətli olmaları barədə xəbərdarlıq edib. DİN-in açıqlamasını müsbət dəyərləndirən hüquqşünas bu məsələdə vətəndaşların da günahı olduğunu deyib:
“Belə hallar təkcə ölkəmizdə deyil, dünyanın bir çox ölkələrində baş verir. Dələduzlar telefonlarla SMS göndərir və ya sosial şəbəkələr vasitəsilə vətəndaşlardan bank kartları ilə məlumatları istəyirlər. Vətəndaşların əksəriyyəti isə həmin məlumatları verir. DİN-in müraciəti də məhz bunu ehtiva edir”.
Maraqlıdır, Azərbaycan Banklar Assosiasiyasına (ABA) bununla bağlı şikayət, sorğu və ya məlumatlar daxil olubmu?
Bizim.Media-nın sorğusunu cavablandıran ABA-nın Rəqəmsal ödənişlər sahəsində fırıldaqçılıq əməliyyatlarına qarşı mübarizə ekspert qrupunun sədri Cavidan Əfəndiyev bütün kommersiya və qeyri-kommersiya təşkilatlarında (banklarda) əməkdaşlar tərəfindən edilən dələduzluq hadisələrinin “daxili dələduzluq” adlandırıldığını diqqətə çatdırıb:
Onun sözlərinə görə, bunu aşkarlamaq, araşdırmaq və qarşısını almaq üzrə bütün banklarda müvafiq şöbələr və ya departamentlər mövcuddur:
“Bankın əməkdaşlarının, bank sistemlərində etdiyi bütün əməliyyatlar (mobil nömrənin təyin edilməsi/dəyişdirilməsi, müştəri üzrə sistemdə axtarış, müştərinin balansına baxış, müştərinin banka müraciəti və s.) LOG-lanır və uzun müddət ərzində sistemdə saxlanılır. Qanunvericilikdə, LOG-ların saxlanılması üzrə müvafiq tələblər də mövcuddur. Dələduzluq hadisəsi baş verən zaman, öncə yoxlanılan faktor, daxili dələduzluq riskinin mövcud olub-olmamasıdır”.
Bəs bu yoxlama hansı formada aparılır?
ABA rəsmisi yoxlamanın bir neçə aspekt üzrə aparıldığını vurğulayıb:
“Bunlar əsasən dələduzluğa uğramış müştərinin (vətəndaşın), hesabı, kartı, mobil bankçılıq hesabı və s. aktivləri üzrədir”.
Bank hansısa bir əməkdaşı barəsində axtarış verirmi? Yaxud bank əməkdaşı hansısa müştərinin məlumatlarını öz məqsədləri üçün dəyişdirə bilərmi?
“Əksər vaxtlarda bu tip əməliyyatları icra etmək mümkün olmur, bank sistemlərində 2 faktorlu təsdiqləmə prosesi qurulur ki, müştərinin təsdiqi olmadan, əməliyyatı icra etmək mümkün olmur. Belə hadisələri bank aşkarlayan zaman, "İşçilər üzrə davranış məcəlləsi" və ya digər qanunvericiliyə əsasən intizam tədbirləri görülür. Təbii ki, müştərinin itirdiyi vəsait, bank tərəfindən mütləq şəkildə bərpa edilir.
Belə hadisələrdə “daxili dələduzluq” riski varmı?
Cavidan Əfəndiyev mühüm bir amili də önə çəkib: “Son zamanlar respublika üzrə aktual trendlərdə, "Bank adından yayılan yalançı Lotoreya/Uduş/Kampaniya", "Poçtdaşıma şirkəti adından gələn SMS-lər", "İnvestisiya Piramidaları", "Cərimə ödənişində endirim" və s. hadisələrlə bağlı ilk növbədə daxili dələduzluq risklərinin mövcud olub-olmaması banklar tərəfindən dəyərləndirilir.
Belə bir nəticəyə gəlmişik ki, bu hadisələrdə “daxili dələduzluq” riski yoxdur. Bunu təsdiqləyən bir-neçə faktor var. Əsas faktor odur ki, hadisə baş vermədən öncə dələduzlarda müştərinin məxfi məlumatları olmur və bu məlumatı müştəridən hansısa formada, məsələn, “Phishing URL” (link) vasitəsi ilə əldə edir. “Message” vasitəsi ilə gələn “SMS random” (təsadüfi) şəkildə fərqli nömrələrə gəlir.
Misal üçün, bu, Kapital Bank ASC-nin və ya Azərbaycan Beynalxalq Bank ASC müştərisi də ola bilər. Yaxud da Facebook, Instagram kimi platformalarda adi “advertising” (reklam) yerləşdirirlər və müştəri özü qeyd olunan “Phishing” resursa keçid edir və məxfi məlumatlarını daxil edir”.
Onun fikrincə, əgər daxili dələduzluq faktoru müşahidə edilsəydi, o zaman ancaq bir və ya iki bankda baş verə bilərdi:
“Bir araşdırmamıza əsasən, dələduzların Çin Xalq Respublikası ərazisində fəaliyyət göstərdiyini aşkar etmişik. Bunu təsdiqləyən faktlarımızdan biri də odur ki, dələduzlara aid cihazların menyusunun istifadə dili Zhuang və ya Zhonghua (zha və ya zho) dilidir. Bunu IP ünvan və digər parametrlərə əsasən də bəlli etmək olur”.
ABA rəsmisi əlavə edib ki, dələduzlar xarici ölkədə olduğundan, onların cinayət məsuliyyətinə cəlb edilməsi çətinləşir:
“Mənbəsi ölkədaxili olan dələduzluq hadisələrində (deyək ki, bu "İnvestisiya Piramidaları", "Cərimə ödənişində endirim" və s.) dələduzları cinayət məsuliyyətinə cəlb etmək mümkündür və adiyyəti orqanlara müraciət edilməsi mütləqdir. Hər bir halda, dələduzluğa uğramış vətəndaş, adiyyəti orqanlara müraciət edib, hadisə haqda məlumat verməlidir”.
Rövşən Ziya, Bizim.Media
- A-
- A
- A+
Cəmiyyət
15:40 / 19.12.2023
Vətəndaşların kart məlumatlarını bankların keçmiş əməkdaşları ƏLƏ KEÇİRİR? – ARAŞDIRMA
Hazırda oxunan: Vətəndaşların kart məlumatlarını bankların keçmiş əməkdaşları ƏLƏ KEÇİRİR? – ARAŞDIRMA
Hazırda oxunan: Vətəndaşların kart məlumatlarını bankların keçmiş əməkdaşları ƏLƏ KEÇİRİR? – ARAŞDIRMA
169752
© Materiallardan istifadə edərkən hiperlinklə istinad olunmalıdır.
Mətndə səhv varsa, onu qeyd edib ctrl + enter düyməsini basaraq bizə göndərin.
Mətndə səhv varsa, onu qeyd edib ctrl + enter düyməsini basaraq bizə göndərin.