WhatsApp мессенжерінде банк картасын «ұстамай-ақ» ақша шешіп алу туралы «алаяқтықтың жаңа түрі» деген видео тарап жатыр. Мәселен, алаяқтар қоғамдық орындарда сымсыз терминалды сөмкеге, пакетке немесе қалтаға «жақындатады». Банктер белгілі бір сомаларды ПИН кодты жазбай-ақ шешіп алуға рұқсат бергендіктен, алаяқтардың рұқсат етілген қаражатты шешіп алу мүмкіндігі бар.
Factcheck.kz редакциясы осы схеманың қаншалықты рас екенін тексеріп көрді
Үкім: Шындыққа жақын
Қоғамдық жерде ақша мен деректерді ұрлау теориялық тұрғыдан мүмкін болғанмен, алаяқтардың ондай қадамға баруы екіталай. POS терминалдар картаға өте жақын тақағанда ғана жұмыс істейтіндіктен, алаяқтар айласын асыру үшін, көзге түсіп қалмайтындай адам көп жиналатын жерде ғана жүруі керек. Бірақ одан да маңыздысы – ақшаны осылайша ұрлау зиянкестер үшін тіпті қауіпті. Себебі терминал заңды тұлғаға тіркелуі керек, бұл иесінің деректеріне қол жеткізуге мүмкіндік береді. Егер біреу алаяқтықтың бұл түрімен айналысса да, банктің қауіпсіздік жүйесі кінәлілерді лезде тауып алуға мүмкіндік береді.
Картадан «деректерді қағып алу» туралы айтсақ, олар да қорғалған, сондықтан аз ғана деректер басқа адамның қолына түсуі мүмкін. Сонымен қатар, қазір көптеген банк интернет-сатып алу кезінде «динамикалық кодты» қолданады. Сарапшылардың пікірінше, аз әрі пайдаға аспайтын ақпарат үшін ұрлықтың бұл түрі тым күрделі, сондықтан алаяқтардың оған баруы екіталай.
Дегенмен, ондай жағдайға тап болмас үшін мамандар банк картасын қауіпсіз жерде, ұялы телефоннан алшақ ұстауды, транзакцияларды бақылауды ұсынады.
Толығырақ
Видео роликтің негізгі бөлімі кадр сыртындағы дауысы бар желіден алынған суреттерден тұрады, ал соңында халықты ескертіп, сақ болуға шақыратын құқық қорғау органының қызметкерін көреміз. Формасындағы белгілерге қарасақ видеоны ресейлік құқық қорғау органдары түсірген. Сурет және кілт сөздер бойынша кері іздеудің көмегімен біз жазбаның бастапқы көзін таптық. Оны Красноярск өлкесінің Прокуратурасымен байланысты «Право знать» телеграм-арнасы таратқан.
Сонымен қатар, түпнұсқа видеоның кіріспесінде Красноярск өлкесі Прокуратурасының эмблемасы және қызметкердің қысқаша алғы сөзі бар, видеоның түпнұсқа екеніне күмән жоқ. Ресейлік БАҚ-тағы жарияланымдарды зерттей келе, Ресейде мұндай «ұрлық» тақырыбы бұрыннан танымал болғанын білдік. Ал қоғамның қызығушылығы алғаш рет 2016 жылы пайда болған. Сол кезде Рунетті метрода түсірілген сурет шарлап кеткен.
Пайдаланушылардың айтуынша (1, 2, 3, 4), фотоның авторы – «Лаборатория Касперского» қызметкері Олег Горобец. Ол «киім мен сөмкеге сымсыз терминалды жақындату арқылы жолаушылардан ақша алып жатқан «алаяқты» түсірген. Кейінірек желіде «ұрлықтың» бұл түрі туралы қауесет тарап кеткен. Мысалы, ол туралы Ұлыбритания мен Түркияда жазылған.
«Лаборатория Касперского» контактісіз төлемдер тақырыбына жиі жазып тұрады, сондықтан біз фотосурет сайт үшін арнайы түсірілген және «қолында POS-терминалы бар алаяқ» кездейсоқ адам болуы әбден мүмкін деген ойды жоққа шығармаймыз (мысалы, бұл сурет kaspersky.ru сайтында жарияланған, оның авторы Олег Горобец).
Желіде біз POS терминал арқылы немесе сканерді пайдаланып жасалған ұрлықты растайтын дәлелдерді таппадық. «Төлем картасының чиптерінен ақпаратты оқи алатын құрылғылар» туралы жалғыз ескертуді 2017 жылы Ресей Банкінің ФинЦЕРТ-і жариялаған. Алайда, бұл жерде «бірең-сараң тіркелген пайдалану жағдайлары» туралы айтып отырмыз.
Жалпы, «ауа арқылы» деректерді ұрлау қаупінің деңгейінің төмен болуына қарамастан, мамандар екі қарапайым ережені ұстануға кеңес береді:
- Картаны қауіпсіз жерде, телефоннан алшақ ұстау;
- Транзакцияларды бақылап, чектерді сақтау.
Қазақстанда ПИН-кодты термей-ақ төлем жасауға болады. Растаусыз шешуге болатын соманың лимиті – 25 000 теңге. Бірақ роликте айтылғандай, POS-терминалды жақындату арқылы ақшаны шешіп алу мүмкін бе?
Мүмкін, бірақ бірнеше себепке байланысты күмән бар.
- Себебі кәдімгі төлем терминалдары өте жақын қашықтан жұмыс істейді. Бұл туралы kaspersky daily және Payments Cards & Mobile ақпарат орталығы жазған.
- POS-терминалдар міндетті түрде тіркелуі керек. Мысалы, Республикалық кәсіпкерлерге көмек көрсету орталығының сайтында төмендегі шарттар жазылған:
Жеке кәсіпкерлер үшін:
- ЖК куәлігінің көшірмесі (ЖК талоны);
- жеке куәліктің көшірмесі;
- есеп айырысу шотының деректемелері.
Жауапкершілігі шектеулі серіктестіктер үшін:
- тіркеу туралы анықтама;
- құрылтай құжаттары: жарғы, құрылтайшының шешімі (немесе хаттама), директорды тағайындау туралы бұйрық;
- басшының жеке куәлігінің көшірмесі;
- есеп айырысу шотының деректемелерім;
- мөр.
Мысалы, танымал Kaspi Pay жүйесін (мобильді POS және смарт POS) пайдалану үшін KaspiPay қосымшасын телефонға жүктеп, жеке кәсіпкер ретінде тіркелуі қажет. Осылайша, стандартты POS терминал арқылы ақша ұрланған жағдайда, ақша алушыны оңай тауып алуға болады, бұл алаяқтар үшін өте қауіпті. Бірақ оның стандартты емес екінші тәсіл де бар.
Каѕрегѕку daily-дің жазуынша Британдық Суррей университетінің зерттеушілері карта деректерін 80 см. қашықтан оқи алатын шағын сканерді көрсеткен. Аталған сканерді ақшаны шешуге де, деректерді ұрлауға да (қайссы оңайырақ) теңшеуге болады.
Алдымен ақша туралы айтайық. Жоғарыда біз бұл тәсілмен ақша шешу үшін эквайер-банкпен шартқа отыру міндетті екенін жаздық. Яғни, банкке алаяқтардың немесе алаяқтармен байланысты біреудің деректері қол жетімді болады.
«Теориялық тұрғыдан алғанда, «клиенттің қалтасынан» карта деректерін оқитын терминал жасауға болады. Бірақ бұл терминалда эквайер-банк пен төлем жүйесінен алынған криптографиялық кілттер болуы керек. Кілттер эквайер-банк пен заңды тұлға арасында жасалған шарт бойынша беріледі. Осылайша, алаяқтықты анықтау және тергеу оңай болады.»
Александр Тараторин, 2007 жылдан 2018 жылға дейін Райффайзенбанктің қосымшаларды қолдау басқармасының басшысы
Деректерді ұрлауға қатысты айтсақ, цифрлық қауіпсіздік қызметтерін ұсынатын американдық IDX компаниясы жаппай RFID-Skimming (RFID чиптерінен ақпаратты оқу және ұстап алу) екіталай сценарий екенін сенімді түрде мәлімдейді. Мәселен ақпарат шифрланған, сондықтан оны тек ішінара ұстауға болады. RFID-Skimming аз ғана деректерді алу үшін тым көп еңбекті қажет етеді. Сол себепті алаяқтар интернет-алаяқтық пен ақпаратты онлайн сатып алу тәсілдерін таңдайтын шығар.
Пікір қалдыру үшін өз аккауныңызға кіріңіз.