FED.az biznes postalı Ena.az-a istinadən kartdan pul oğurluğu haqda yazını təqdim edir:
Eləcə də bax: Azərbaycanda kart məlumatlarının oğurlanması ilə bağlı - XƏBƏRDARLIQ
Fırıldaqçılıq halı dedikdə, nə başa düşülür?
Bir əmlakı digər şəxslərdən qanunsuz olaraq əldə etməyin 2 üsulu vardır. Üsullardan birincisi fiziki güc ilə (silahdan istifadə edərək) təhdid edərək əmlakı əldə etmək, ikincisi isə onları əmlakı ilə aldadaraq əldə etməkdir. Biz, birinci növ oğurluğu soyğunçuluq və ya silahlı soyğun, ikinci növü isə fırıldaqçılıq adlandırırıq. Ümumiyyətlə, oğurluq fırıldaqçılıqdan daha şiddətli və travmatikdir, həmçinin mediyanın diqqətini daha çox cəlb edir. Lakin fırıldaqçılıqla baş verən itkilər hər zaman oğurluqla baş verən itkiləri daha çox üstələyir.
Fırıldaqçılıq dələduzun qanunsuz qazanc əldə etməsini təmin etmək və ya haqlı olduğunu sübuta yetirə bilməməsi üçün zərərçəkmişə hazırlanmış qəsdən aldadıcı və etik olmayan hərəkətdir. Fırıldaqçılıq, şəxslərin vacib məlumatlarını əldə etməklə və ona aid olmayan yanlış məlumatları üçüncü şəxslərə bəyan edərək əldə edə bilməyəcəyi bir malı və ya xidməti əldə etmək üçün həyata keçirilən saxtakarlıq növüdür.
Fırıldaqçılıq hallarının növləri
Rəqəmsal ödənişlərdən istifadə edilməyə başlandığı dövrlərdən etibarən müxtəlif fırıldaqçılıq hallarının tətbiq edildiyi müşahidə edilir. Fırıldaqçılıq halları aparılmış əməliyyatların xüsusiyyətindən asılı olaraq əsasən aşağıdakı formalarda olur:
- saxta ödəniş alətləri və ödəniş sənədləri ilə hesablaşmalar;
- ödəniş alətlərinin rekvizitlərinin ələ keçirilməsi ilə həqiqi əməliyyatların həyata keçirilməsi;
- təşkilatın informasiya texnologiyaları sisteminə səlahiyyətsiz girişlər;
- iştirakçı tərəflər arasında məlumat mübadiləsi zamanı zəruri məlumatların ələ keçirilməsi;
- istifadəçilərin məlumatsızlığından və etibarlılığından sui-istifadə əsasında zəruri məlumatların ələ keçirilməsi və.s.
Son zamanlar, nağdsız ödəniş alətlərindən ən geniş istifadə ediləni ödəniş kartları olduğu üçün ödəniş kartları bazarında fırıldaqçılıq hallarının əhatə dairəsi böyümüşdür. Ödəniş kartı məlumatlarının əlçatan olması fırıldaqçılıq əməliyyatlarının həyata keçirilməsinə əlverişli imkan verir.
Ödəniş əməliyyatlarının aparılması üçün istifadə edilən bu məlumatların ödəniş kartında təhlükəsiz hesab olunmayan formalarda (ştrix kod, maqnit lent və s.) saxlanılması fırıldaqçıların diqqətini həmişə cəlb etmişdir. Ödəniş kartlarının əksəriyyətinin üzərində 16 rəqəmli nömrə (PAN - primary account number), kartın qüvvədə olma müddəti və 3 rəqəmli təhlükəsizlik şifrəsi həkk olunmuşdur. Bu məlumatların bir qismi həmçinin, ödəniş kartının maqnit lentinə (adətən arxasında olan) də şifrələnərək yazılır. Bu məlumatları fırıldaqçılar əldə etdikdə kart sahibinin bank hesabına da çıxış əldə etmək imkanı qazanmış olurlar.
Məlum olduğu kimi, pandemiya dövrünün özünəməxsus xüsusiyyətləri məsafədən bankçılıq xidmətlərinin genişlənməsinə və elektron ticarətin həcminin artmasına müsbət istiqamətdə təsir göstərmişdir. Rəqəmsal ödənişlərin bu istiqamətlər üzrə həcminin yüksəlməsi fırıldaqçıların diqqətini cəlb etməklə kart istifadəçilərinin vəsaitlərinin qanunsuz yollarla və asan şəkildə mənimsənilməsi istiqamətində yeni həllərin tətbiqinə sövq edir. Hazırda fırıldaqçıların tətbiq etdiyi iki fərqli üsul daha geniş yayılmışdır
Fırıldaqçılar digər ölkələrə məxsus telefon nömrələri vasitəsilə “whatsapp” mobil tətbiqi üzərindən əlaqə saxlayaraq məhsul və ya xidmətin satılmasını dəqiqləşdirirlər. Daha sonra özünün hal-hazırda digər regionda və ya ölkədə olduğunu bildirərək məhsul və ya xidmətin dəyərini tam və yahissəvi şəkildə ödəməyi satıcıya təklif edərək ödənişi kart üzərindən köçürmə yolu ilə edəcəyini bildirirlər. Növbəti mərhələdə bu bəhanə ilə satıcının ödəniş kartı məlumatlarını əldə edir. Fırıldaqçı satıcının ödəniş kartının ilk 6 rəqəmi vasitəsilə onun hansı bank tərəfindən buraxıldığını dəqiqləşdirir. Daha sonra fırıldaqçı həmin bankın mobil bankçılıq xidmətində qeydiyyatdan keçir. Qeydiyyat zamanı əlavə məlumat, məsələn istifadəçinin eyniləşdirilməsi üçün onun şəxsiyyət vəsiqəsi məlumatları da tələb edilərsə fırıldaqçı bu məlumatı da satıcının şəxsiyyətini müəyyən emtək məqsədilə əldə edir. Beləliklə, fırıldaqçı özünə qarşı satıcıda inam yaradır. Əksər banklar tərəfindən qeydiyyatın tamamlanması məqsədilə kart istifadəçisinə birdəfəlik şifrə göndərilir. Fırıldaqçılar köçürmənin tamamlanmasının baş verməsi üçün daxil olan birdəfəlik şifrənin onlara təqdim edilməsini xahiş edir. Bildirirlər ki, vəsait hal-hazırda aralıq hesabdadır və onun satıcının kartınıza oturulması üçün kart sahibinə daxil olan şifrə təqdim edilməlidir. Satıcı ona daxil olan təhlükəsizlik şifrəsini fırıldaqçıya təqdim etdikdən sonra fırıldaqçı kart istifadəçisinin mobil bankçılıq hesabına daxil olaraq ödəniş kartlarında olan vəsaiti səlahiyyətsiz formada ələ keçirir.
İkinci üsul birinci ilə eynilik təşkil edir. Lakin, əsas fərq satıcıdan bu halda heç bir kart məlumatı və ya birdəfəlik şifrə birbaşa tələb edilmir. Əməliyyatın daha inandırıcı olması üçün fırıldaqçı şəxs həmin məhsulun alınması üçün “poçt xidmətlərindən” istifadə ediləcəyini bildirərək malın kuryer tərəfindən təhvil alınacağını barəsində məlumat təqdim edir. Bundan sonra ödənişin edilməsi məqsədilə saxta saytın linkini satıcıya göndərir. Satıcı bu linkə daxil olduqdan sonra vəsaiti göndərən şəxsin adını, soyadını və ata adını, ödəniş tapşırığının nömrəsini, alınan məhsulun adını və onun qiymətini özündə əks etdirən pəncərə ilə rastlaşır. Bir məsələni də qeyd edək ki, internet səhifəinin dizaynı ölkədə fəaliyyət göstərən bankların, poçt milli operatorunun və ya digər ödəniş xidməti təchizatçısının internet səhifəsi ilə eynilik təşkil edir. Məhsulunu satan şəxs vəsaiti almaq məqsədilə “pulu karta qəbul et” və ya digər adda olan düyməni sıxdıqdan sonra yeni açılan pəncərədə vəsaiti almaq üçün kart nömrəsini, kart sahibinin adı və soyadını, istifadəyə yararlılıq müddətini və təhlükəsizlik kodu olan CVV və ya CVC-nin daxil edilməsi edilməsi tələb edilir. Kart məlumatlarını daxil etdikdən sonra “Sizi bir kart sahibi kimi təsdiq etmək üçün kartdakı balansı dəqiq daxil edin” mesajı olan pəncərə açılır və satıcı bu barədə məlumatı həmin səhifəyə daxil edir. Bu halda fırıldaqçı satıcı tərəfindən qeyd edilən məlumatlara nəzər yetirir və kartındakı vəsait ona cəlbedici olduqda ölkəxarici bankların internet səhifələri üzərindən köçürmə əməliyyatı edirlər. Əgər kart istifadəçisinin ödəniş kartı 3D təhlükəsizlik protokolunu dəstəkləyirsə, bu halda ona daxil ona SMS vasitəsilə birdəfəlik şifrə bank tərəfindən təqdim edilir. İstifadəçi aparılan əməliyyat barəsində tam məlumatlı olmadığı üçün daxil olan birdəfəlik şifrəni əməliyyatın davamı olaraq qeyd edir. Bu halda fırıldaqçı uğurla əməliyyatı icra etmiş olur və satıcının ödəniş kartında olan vəsaitin böyük hissəsini bu yolla mənimsəyir. Əgər ödəniş kartı 3D təhlükəsizlik xidmətinə qoşulmamışdırsa, bu halda bank tərəfindən təyin edilən limit çərçivəsində əməliyyat ya uğurla ya da uğursuz olaraq tamamlanır.
Əlavə olaraq qeyd edilməlidir ki, fırıldaqçı satıcının şəxsiyyətini təsdiq edən sənədi əldə etdikdən sonra digər şəxslərə özünü həmin şəxs kimi müraciət edir və tələb edildikdə bu məlumatları növbəti şəxslərə təqdim edir.
Fırıldaqçılıq əməliyatlarının növləri
Fırıldaqçılıq əməliyyatları müxtəlif növlərə bölündüyü kimi bu əməliyyatların realizasiyası üçün də fərqli üsullardan istifadə edilir.
Fişinq (phishing) – rəqəmsal kommunikasiya üsullarından istifadə edilərək istifadəçinin istifadəçi adı, şifrəsi, kart məlumatları və digər həssas məlumatların dələduzlar tərəfindən ələ keçirilməsi və oğurlanmasıdır. Bu fırıldaqçılıq üsulu əsasən elektron poçt, ani mesajlaşma, zəng etmə və real veb saytların görünüşünün saxta veb saytlara köçürülməsi yolu ilə istifadəçilərin aldadılması ilə səciyyələnir. Fişinq sosial mühəndisliyin bir növüdür və son zamanlarda ölkəmizdə baş verən fırıldaqçılıq hallarının bir qismini əhatə edir.
Kart sahibinə bank adından saxta elektron məktub göndərilərək müxtəlif bəhanələrlə ödəniş kartı rekvizitlərinin daxil edilməsi, şəxsi məlumatların təsdiq edilməsi tələb edilir. Kart sahibi tərəfindən təqdim edilən məlumatlar isə növbəti mərhələdə fırıldaqçılıq əməliyyatlarının həyata keçirilməsində istifadə edilir. Buna ən məşhur nümunə Nigeriya şahzadəsi ləqəbi almış dələduzluq təcrübəsidir. Belə ki, özünü hansısa Nigeriya kralının və ya məmurunun qohumu olaraq təqdim edən şəxs milyonlarla pul vəd edərək insanlardan şəxsi məlumatlar tələb edir.
Vişinq (vishing) – bu növlü dələduzluq da fişinq kimi sosial mühəndisliyin (social engineering) bir növüdür. Dələduzlar telefon zəngi vasitəsilə bank əməkdaşı və ya hüquq mühafizə orqanın əməkdaşı olduğunu bildirərək onun hesabının təhlükədə olması barədə məlumat təqdim edir. Hesabının təhlükəsizliyinin təmin edilməsi məqsədilə telefonuna mobil əlavənin yüklənməli olduğunu və ya onun şəxsi məlumatlarının təsdiqlənməsini tələb edirlər. Dələduzlar tərəfindən təklif edilən mobil əlavələr zərərli tətbiqlərdir. Həmin tətbiqlər sizin fərdi məlumatlarınızın (istifadəçi adı, istifadəçi şifrəsi, kart məlumatları, fotoşəkillər, kontaktlar və.s.) oğurlanması ehtimalını yüksəldir və gələcəkdə aparılacaq fırıldaqçılıq əməliyyatlarının sizin adınızdan həyata keçirilməsi ehtimalını yüksəldir.
Saxta anti-virus xəbərdarlıqları - internet saytlarının bəzilərində ucuz və ya ödənişsiz anti-virus proqramları təklif olunur ki, onu da yüklədikdən sonra kompüterə gizli virus yüklənir və şəxsi məlumatlara çıxış əldə edilir. Bu yolla hətta insan şantaj olunaraq onun kompüter fayllarının silinməsi və ya şəxsi məlumatlarının bölüşülməsi təhdidi ilə pul tələb oluna bilər.
Saxta bankomat – nadir hal olsa da, rast gəlinən fırıldaqçılıq növlərindən biridir. Bu halda dələduzlar tərəfindən quraşdırılmış saxta bankomatlar vasitəsilə ödəniş kartlarının rekvizitləri ələ keçirilərək sonrada müxtəlif məqsədlərlə istifadə edilir.
Applikasiya fırıldaqçılığı – bu bir sıra hallarda şəxsiyyəti təsdiq edən sənədin oğurlanması ilə əlaqədardır. Belə ki, fırıldaqçılar tərəfindən səlahiyyətsiz formada başqa şəxslərin şəxsiyyətini təsdiq edən sənəd əsasında bankdan kredit kartı sifariş edilir. Bu halda fırıldaqçı mobil telefon və iş yeri ilə bağlı yarana biləcək sualların həllinə əvvəlcədən hazır olmalıdır.
Ödəniş kartına xidmət göstərilməsi sahəsində baş verən fırıldaqçılıq əməliyyatlarını aşağıdakı kimi qruplaşdırmaq olar:
İkinci slipin hazırlanması və ya slip üzərində olan məlumatların dəyişdirilməsi – ödəniş kartı ilə imprinter üzərindən əməliyyatlar aparıldıqda təsərrüfat subyektinin əməkdaşı tərəfindən kartın birdən çox nüsxəsi slipdə çıxarılır. Bu isə sonradan fırıldaqçılıq əməliyyyatlarının apaırlmasına imkanverir;
Təsərrüfat subyektinin hesabının ələ keçirilməsi (Merchant account takeover) – fırıldaqçılar təsərrüfat subyektinin fəaliyyəti haqqında bütün zəruri məlumatlara malik olaraq təsərrüfat subyektinin bank hesabını dəyişdirməyə nail olurlar. Növbəti mərhələdə isə vəsaitlər bu hesab üzərindən ələ keçirilir.
Bankomat şəbəkəsi üzərindən fırıldaqçılıq – fırıldaqçıları cəlb edən sahələrdən biri də bankomat şəbəkəsidir. Bankomat müxtəlif vasitələrlə skimmer, video kamera və s. ilə ödəniş kartı rekvizitlərinin ələ keçirilməsi baxımından əlverişlidir.
Məsələn “trapping” zamanı bankomatın ödəniş kartını qəbul edən riderinə əvvəlcədən xüsusi avadanlıq yerləşdirilir. Ödəniş əməliyyatı həyata keçirildikdən sonra ödəniş kartı geri qayıtmır. Bu halda fırıldaqçı sonradan ödəniş kartını əldə edərək dələduzluq məqsədilə istifadə edir. Bu avadanlıq livan petləsi adlandırılır.
Fırıldaqçılıq əməliyyatlarına qarşı mübarizə tədbirləri
Ödəniş kartları ilə aparılan fırıldaqçılıq əməliyyatları iki fərqli sahədə - ödəniş kartının emissiyası və ödəniş kartlarının ekvayrinqi xidmətlərinin göstərilməsi zamanı baş verir.
Ödəniş kartları ilə aparılan fırıldaqçılıq əməliyyatlarının əsasən bir neçə növü mövcuddur. Bu fırıldaqçılıq əməliyyatları və onlara qarşı mübarizə tədbirləri aşağıda əks olunmuşdur:
- itmiş/oğurlanmış ödəniş kartları ilə əməliyyatlar
Bu kimi hallarla rastlaşmamaq üçün kart sahibi ödəniş kartını etibarlı yerdə saxlamalıdır. Həmçinin aparılan ödəniş əməliyyatları üzrə məlumatlandırma təmin edilməlidir. Belə ki, ödəniş kartı itirildiyi və ya oğurlandığı təqdirdə aparılan ödəniş əməliyyatı üzrə SMS məlumatlandırmanın daxil olması növbəti səlahiyyətsiz əməliyyatların qarşısının zamanında alınmasına imkan verir. Bu növ fırıldaqçılıq əməliyyatının ən sadəsi kart sahibinin ailə üzvü, qohumları, bır sıra hallarda etibar etdiyi şəxslər tərəfindən səlahiyyətsiz formada ödəniş kartının ələ keçirilərək əməliyyatların aparılmasıdır.
Ödəniş kartının itirilməsi və ya oğurlanması zamanı PİN-kod ilə əməliyyatların aparılmasının qarşısının alınması üçün PİN-kod ödəniş kartı ilə birgə saxlanılmamalıdır. Bu tip fırıldaqçılıq əməliyyatları nəticəsində internet üzərindən əməliyyatların aparılmasının qarşısının alınması məqsədi ilə ödənişlərin avtorizasiyası üzrə emitent bank və ya xidmət mərkəzi tərəfindən şifrənin təqdim edilməsi xidmətindən istifadə edilməlidir. Bu şifrə dinamik və ya statik ola bilər. Dinamik şifrə (birdəfəlik şifrə - One Time Password) hər bir ödəniş əməliyyatı üzrə daim dəyişkəndir və SMS məlumatlandırma, elektron poçt, elektron token və digər üsullar əsasında daxil olur. Statik şifrə isə kart sahibi tərəfindən təyin edilərək eyni formada tətbiq edilir.
- saxta kartlarla əməliyyatlar
Bu növ fırıldaqçılıq əməliyyatları zamanı dələduzlar tərəfindən həqiqi ödəniş kartının rekvizitləri əsasında saxta ödəniş kartı hazırlanır. Ödəniş kartının rekvizitləri müxtəlif üsullarla ələ keçirilir. Nümunə olaraq, ödəniş kartının emboss edilməsi zamanı ödəniş kartı məlumatlarının səlahiyyətsiz formada ələ keçirilərək yeni ödəniş kartının hazırlanmasını göstərmək olar.
Daha geniş yayılmış texnologiya isə skimminq (skimming) adlanır. Skimminq ödəniş terminalına quraşdırılmış xüsusi avadanlıq vasitəsilə ödəniş kartının maqnit lentində olan məlumatların ələ keçirilərək sonradan bu rekvizitlər əsasında yeni ödəniş kartının hazırlanmasıdır. Ödəniş kartı rekvizitləri bir sıra hallarda təsərrüfat subyektinin kassiri, ofisiant və digər şəxslər tərəfindən xüsusi avadanlıq vasitəsilə eyni metod əsasında ödəniş kartının rekvizitləri ələ keçirilərək dələduzluqla məşğul olan şəxslərə təqdim edilir.
- ödəniş kartı təqdim edilmədən aparılan əməliyyatlar (card not present - CNP)
Ödəniş kartı təqdim edilmədən aparılan ödəniş əməliyyatlarında kart sahibi təsərrüfat subyektində əməliyyatların aparılması zamanı şəxsən iştirak etmir. Bu növ ödəniş əməliyyatları zamanı kart sahibi ödəniş kartının zəruri rekvizitlərini müxtəlif vasitələrlə bildirir. Ödəniş kartı təqdim edilmədən aparılan ödəniş əməliyyatları aşağıdakı hissələrə ayrılır:
- Dövrü ödəniş əməliyyatları (Recurrent) – kart sahibi ödəniş əməliyyatının həyata keçirilməsi dövrü və məbləği haqqında bir dəfə razılıq verir. Növbəti mərhələlərdə isə bu razılıq əsasında kart hesabı üzərindən ödəniş əməliyyatları reallaşdırılır;
- MO/TO ödəniş əməliyyatları – internet şəbəkəsinin olmadığı və ya geniş tətbiq edilmədiyi dövrlərdə məsafədən ödəniş kart ilə əməliyyatlar poçt, teleqraf, telefon, sonrakı inkişaf mərhələlərində isə mobil telefon vasitəsilə həyata keçirilirdi. Bu səbəbdən də bu növ ödəniş əməliyyatları Mail orderTelephone order adlandırılıb. Ödəniş əməliyyatının aparılması üçün kart sahibi tərəfindən əldə ediləcək məhsul və xidmət bildirilərək ödəniş kartının zəruri rekvizitləri açıqlanır;
- Elektron ticarət – bu növ ödəniş əməliyyatları zamanı kart sahibi tərəfindən məhsul və xidmətlərin əldə edilməsi və ödəniş kartının rekvizitlərinin daxil edilməsi internet üzərindən həyata keçirilir.
Ödəniş kartı təqdim edilmədən aparılan əməliyyatlarda fırıldaqçılıq halları ilə üzləşməmək üçün fərqli təhlükəsizlik tələbləri gözlənilməlidir. Məsələn dövrü ödənişlərdə mütəmadi olaraq həyata keçirilən ödəniş əməliyyatı üzrə SMS məlumatlandırmaya baxılmalıdır. Bu ödəniş əməliyyatlarının izlənilməsinə və səhv ödənişlərin aparılmasının məhdudlaşdırılmasına imkan verəcəkdir. MOTO əməliyyatlarda etibarlı təsərrüfat subyektləri seçilməli, ödəniş kartının rekvizitlərinin təqdim edilməsi adı altında müxtəlif müraciətlər düzgün qiymətləndirilməlidir. Şübhə halları yarandıqda isə birbaşa emitent bankla əlaqə qurulmalıdır.
Elektron ticarət üzərindən ödənişlər aparıldıqda eyni qayda ilə etibarlı təsərrüfat subyektlərində ödənişlər aparılmalı, ödənişlərin dinamik və ya statik şifrə ilə təsdiqlənməsi, ödəniş pəncərəsində aidiyyəti beynəlxalq kart təşkilatının loqotipinin olması və digər tələblərə diqqət edilməlidir. Qeyd edilməlidir ki bu tələblər hər bir emitent bank tərəfindən öz müştərilərinə təqdim edilməlidir.
Hal-hazırda dünyada ən çox kart dələduzluğu məhz kartın fiziki olaraq istifadə olunmadığı məkanlarda baş verir. Beynəlxalq beyin mərkəzlərinin apardıqları araşdırmalara görə, kart fiziki olaraq təqdim edilmədən aparılan əməliyyatlar üzrə fırıldaqçılıq halları nəticəsində 2018-2023-cü illər arasında dünyada ən azı 130 mlrd. ABŞ dolları məbləğində vəsaitin itiriləcəyi proqnozlaşdırılır.
Müəlliflər: Ödəniş sistemləri üzrə ekspertlər
Xəyaləddin Tağıyev, Araz Həsənzadə