Фишинг деген не және алаяқтардың құрбаны болмау жолдары
Фишинг – интернеттегі алаяқтықтың бір түрі, оның мақсаты – жалған себеппен жәбірленушіден құпия деректерді (құпиясөздер, банк картасының нөмірі, аккаунт деректері және т.б.) алдап алу. Қарапайым тілмен айтқанда, қаскөйлер өзін сенімді ұйым немесе адам ретінде көрсетіп, пайдаланушыны жеке ақпаратын өз еркімен ашуға мәжбүрлейді. Бұл атау ағылшынның “fishing” (балық аулау) сөзінен шыққан: алаяқтар сенгіш қолданушыларды «қармаққа іліктіріп», құнды деректерін «аулап алуға» тырысады. Осы мақалада фишингтің не екенін, оның несімен қауіпті екенін, фишингтік шабуылдардың қандай түрлері барын, сондай-ақ алдауды қалай тануға және одан қалай қорғануға болатынын қарапайым тілмен түсіндіреміз.
Содержание
Фишинг несімен қауіпті?
Фишингтік шабуылдар – әлемде де, Қазақстанда да ең жиі кездесетін киберқауіптердің бірі. Фишингтің басты мақсаты – пайдаланушының құнды жеке деректерін (аккаунттар, құпиясөздер, карта және шот реквизиттері) қолға түсіріп, оларды қылмыстық мақсатта пайдалану: шоттан ақша ұрлау, деректерді «қара нарықта» сату, бопсалау және т.б.. Алаяқтардың айласына түссеңіз, жинағыңыздан айырылып қана қоймай, құпия ақпараттың таралуы және тіпті беделге нұқсан келуі мүмкін. Мысалы, қаскөйлер сіздің банк аккаунтыңыздың немесе мобильді банктің логині мен құпиясөзін алса, ақшаңызға қол жеткізіп, рұқсатсыз операциялар жасай алады. Ал жеке деректер ұрланса, сіздің атыңыздан онлайн-несие рәсімдеу немесе құжаттарыңызды қылмыстық схемаларда пайдалану қаупі бар.
Фишингтің ерекше қауіптілігі – ол компьютердегі осалдықты емес, адамның сенгіштігі мен аңғарымпаз еместігін пайдаланады. Алаяқтар шұғыл әрі «ресми» хабарлама көрінісін жасап, жәбірленушінің қорқынышы немесе ашкөздігі арқылы психологиялық қысым көрсетеді. Соның салдарынан тәжірибелі қолданушының өзі де, егер сақ болмаса, абдырап қалып құпия деректерін айтып қоюы мүмкін. Негізінде фишинг қауіпсіздік жүйесіндегі ең әлсіз буынға – хаттың немесе сайттың түпнұсқалығын тексермей қоюы мүмкін адамға соққы береді. Техникалық қорғаныс құралдары (антивирус, шифрлау) әрдайым құтқара бермейді, өйткені жәбірленуші «кілтті» өзі ерікті түрде алаяққа береді.
Фишинг схемасы қалай жұмыс істейді
Классикалық фишинг схемасы былай көрінеді: жәбірленушіге белгілі бір ұйымнан – мысалы, банктен, төлем жүйесінен, танымал интернет-дүкеннен немесе мемлекеттік құрылымнан келгендей болып «ресмилендірілген» хат немесе хабарлама түседі. Онда қандай да бір шұғыл мәселе немесе маңызды себеп айтылады (аккаунтқа күдікті кіру, шот бұғатталуы, ұтыс, акция және т.б.) және алушыдан деректерді растау үшін сілтемеге өтуді немесе құпия ақпаратты беруді сұрайды. Сілтеме сырттай нағыз сайттан айнымайтын жалған сайтқа апарады. Жалған бетте пайдаланушыны қауіпсіздік, тексеру немесе бонус алу сылтауымен логинін, құпиясөзін, PIN-кодын не басқа да құпия мәліметтерін енгізуге көндіреді. Жәбірленуші деректерді енгізіп, форманы жіберген сәтте ақпарат тікелей алаяқтарға түседі, олар оны бірден аккаунттарды бұзу немесе ақшаны ұрлау үшін қолданады.
Адамды тез әрекет етуге итермелеу үшін фишерлер әлеуметтік инженерия әдістерін белсенді қолданады. Олар жәбірленушіні қорқытып немесе керісінше қызықтырып, психологиялық қысым жасайды. Көп жағдайда хабарламаларда қорқыту немесе ультиматум болады: «Егер тәулік ішінде деректерді растамасаңыз, аккаунтыңыз бұғатталады». Немесе «қармақ» ретінде пайда уәде етеді: «Сіз жүлде ұтып алдыңыз, алу үшін сілтемеге өтіп, форманы толтырыңыз». Екі жағдайда да шұғылдық пен маңыздылық әсері жасалып, жәбірленушінің ойлануына уақыт қалдырмайды. Нәтижесінде пайдаланушы «жазаға ұшырап қаламын» деп немесе пайдаға үміттеніп, фишинг сілтемесіне өтіп, байқамай-ақ құпия ақпаратын қаскөйлерге береді.
Қазіргі алаяқтар фишинг үшін жаңа айлалар мен «аңыздар» ойлап табуды жиілетті. Олар күн тәртібін бақылап, алдауды маусымға немесе жаңалықтарға бейімдейді. Мысалы, жаз мезгілінде саяхат тақырыбындағы фишингтік шабуылдар көбейеді: билет пен тур брондау сайттарының жалған көшірмелері жасалады, қонақүйлер атынан «тиімді» акциялар туралы хаттар таратылады. Басқа да танымал тақырыптар қолданылуы мүмкін: криптовалюта, инвестиция, ірі спорттық және мәдени шаралар, атышулы премьералар және т.б.. Алаяқтар жиі «бәрінен бұрын» немесе «нарықтан арзан» бір нәрсе ұсынады – жаңа фильм болсын, тапшы тауар болсын, немесе «жедел табыс» болсын. Ескерту белгісі: кез келген «тым тартымды мүмкіншілік» үшін әдетте жеке деректерді беруді немесе алдын ала төлем жасауды сұрайды.
Фишингтік шабуыл тек электрондық пошта арқылы ғана болмайтынын түсіну маңызды. Қазір қаскөйлер басқа да байланыс арналарына белсенді көшті: SMS, мессенджерлер (WhatsApp, Telegram және т.б.), әлеуметтік желілер, телефон қоңыраулары. Мысалы, 2023 жылы Қазақстанда фишингті таратудағы ең танымал арналар дәл мессенджерлер мен әлеуметтік желілер болды. Яғни қауіп кез келген чатта, жеке хабарламада немесе топта болуы мүмкін – фишинг сілтемесін аккаунты бұзылған танысыңыз да жіберуі ықтимал. Бұған қоса жаңа үрдіс бар: алаяқтар шабуылдарды масштабтау үшін чат-боттар мен нейрожелілер сияқты заманауи технологияларды қолдана бастады. Фишинг хаттары мен сайттарының мәтінін сенімдірек ету үшін нейрожелімен генерацияланған жағдайлар да кездеседі. Сондықтан әр пайдаланушы фишинг белгілерін біліп, әрқашан сақ болуы керек.
Фишингтің негізгі түрлері
«Фишинг» ұғымының астарында тұтас алаяқтық схемалар тобы жатыр. Олар хабарламаны жеткізу тәсіліне, жәбірленушіні тарту жолына және шабуылдың «жекелендірілу» деңгейіне қарай ерекшеленеді. Ең кең тараған фишинг түрлерін қарастырайық.
Жаппай фишинг (жаппай тарату арқылы)
Жаппай немесе классикалық фишинг – ең кең тараған сценарий: алаяқтар мыңдаған бірдей хатты немесе хабарламаны кең аудиторияға таратады. Қаскөйлер «кездейсоқ» әрекет етіп, адресаттардың аз ғана бөлігі болса да сілтемеге өтеді деп үміттенеді. Көбіне мұндай хаттар ірі банктердің, төлем жүйелерінің, танымал сервистердің (мысалы, маркетплейстердің) немесе мемлекеттік органдардың атынан келеді. Мәтінде әдетте үлгі шақыру болады: «құпиясөзді шұғыл жаңартыңыз», «төлем деректерін растаңыз», «шара қолданбасаңыз, аккаунт бұғатталады» және т.б.. Ұйымның фирмалық стилі көшіріледі, ресми логотиптер мен қолтаңбалар қолданылуы мүмкін. Бұл фишинг түрі тәжірибесі аз немесе асығыс пайдаланушыларға бағытталған: жаппай таратылымнан біреу міндетті түрде «ілігеді». Сәттілік пайызы төмен болса да, ауқымның арқасында мұндай шабуылдар әлі де алаяқтарға пайда әкеледі.
Мессенджерлер мен әлеуметтік желілердегі фишинг
Мобильді мессенджерлер мен әлеуметтік желілер кең таралған сайын, фишерлер бұл платформаларды да игерді. Схема email-фишингке ұқсас: жәбірленушіге жеке хабарлама немесе тіпті пікір ретінде тартымды ұсыныс не қорқытатын «ескерту» келеді. Мысалы, мессенджерде танысыңыздың атынан: «Мына сайтта сенің фотосуретің жарияланыпты, тез сілтемеге өт!» деп жазуы мүмкін. Өтсеңіз, вирус бар сайтқа немесе фишингтік авторизация бетіне тап боласыз. Әлеуметтік желілерде жиі белгілі брендтердің немесе адамдардың жалған аккаунттары жасалып, спам-жіберілімдер мен сілтемелер таратылады. Мошенниктер бұзылған нақты аккаунттарды да қолданады – онда хабарлама досыңыздан/әріптесіңізден келгендей көрініп, сенімді күшейтеді. Мессенджерлер арқылы жалған төлем сілтемелері (мысалы, «жеткізу сервисінен» немесе OLX-тегі «сатып алушыдан») жіберіліп, банк картасының деректерін ұрлауға тырысады. Қай платформада болса да, жеке хабарламадағы кез келген сілтемеге аса сақ қараңыз – оны белгісіз хаттағы сілтеме сияқты күдікпен қабылдаңыз.
Нысаналы (адрестік) фишинг
Нысаналы фишинг (сондай-ақ spear phishing немесе «найза» фишингі деп аталады) – нақты бір адамға немесе ұйымға бағытталған шабуыл. Жаппай таратуға қарағанда, мұнда қаскөйлер алдын ала дайындалып, хабарламаны барынша шынайы ету үшін жәбірленуші туралы ақпарат жинайды. Фишерлер әлеуметтік желілер мен ашық дереккөздер арқылы сіздің жұмыс орныңызды, лауазымыңызды, таныстар шеңберін, жазылымдарыңызды, соңғы сатып алуларыңызды және т.б. білуі мүмкін. Осы деректерді пайдаланып, алаяқ шынайыға ұқсайтын жекелендірілген хат құрастырады. Мысалы, нысаналы фишинг көбіне компания қызметкерлеріне қарсы қолданылады: қаскөй директордың атынан бухгалтерге «шұғыл» шотты төлеуді сұрап хат жазуы мүмкін немесе IT-бөлім атынан «жүйені баптау» үшін құпиясөзді сұрайды. Хатта қызметкерге атымен жүгінеді, ішкі контекст болады – сену ықтималдығы жоғары. Мұндай шабуылдарды анықтау қиын, сондықтан олар бизнес үшін ерекше қауіпті. Өте сенімді хаттың өзі компанияны «күйретпеуі» үшін персоналды киберқауіпсіздікке үйрету маңызды.
«Киттік» фишинг
Нысаналы шабуылдардың бөлек түрі – «киттік» фишинг (whaling). «Киттер» деп «үлкен олжа» саналатын адамдарды – топ-менеджерлерді, компания басшыларын, танымал тұлғаларды – айтады. Алаяқтар аса құнды ақпаратқа немесе ірі қаржы ресурстарына қол жеткізуді көздейді. Whaling шабуылдары әдетте мұқият жоспарланып, маңызды іскерлік коммуникация сияқты етіп жасырылады. Мысалы, қаскөй өзін бизнес серіктесі немесе мемлекеттік орган өкілі ретінде таныстырып, топ-менеджермен тікелей сөйлесіп, оны құпия мәліметтерді өз еркімен беруге итермелеуі мүмкін. «Киттік» фишингтің құрбандары әдетте жоғары өкілеттілікке ие болғандықтан, мұндай шабуылдың салдары өте ауыр болуы мүмкін. Дегенмен қарапайым пайдаланушы үшін дәл осы сценарийге тап болу ықтималдығы төмен, бірақ мәселенің ауқымын түсіну үшін білу пайдалы.
Дауыс арқылы фишинг (вишинг)
Вишинг (ағылш. voice phishing) – телефон қоңырауы арқылы дерек алдап алу. Қаскөйлер жәбірленушіге қоңырау шалып, өзін банк қызметкері, қауіпсіздік қызметі, полиция немесе басқа ресми ұйым ретінде таныстырады да, қандай да бір сылтаумен жеке ақпаратты «суырып алуға» тырысады. Көбіне мынадай сценарий қойылады: «банктің қауіпсіздік қызметі» күдікті операция немесе шотты бұзу әрекеті туралы хабарлап, «жеке басыңызды растауды» сұрайды. Сізден карта нөмірі мен CVV, SMS-код, онлайн-банктің логині мен құпиясөзі сұралуы мүмкін немесе «қауіпсіз шотқа» ақша аударуды өтінеді. Әрине, мұның бәрі тұзақ – нағыз банктер телефон арқылы PIN немесе бірреттік парольдерді толық сұрамайды. Қазақстанда соңғы жылдары телефон алаяқтығының өскені байқалды, кейде қоңырауда нөмірді алмастыру арқылы экранда банк немесе мемлекеттік органның нақты нөмірі көрсетілуі мүмкін. Есіңізде болсын: қоңырауда кодты, құпия реквизиттерді айтуға мәжбүрлеу – вишингтің айқын белгісі. Дереу әңгімені тоқтатып, ақпаратты тексеру үшін банкке ресми нөмір арқылы өзіңіз хабарласыңыз.
SMS арқылы фишинг (смишинг)
Смишинг (SMS phishing) – қысқа мәтіндік хабарламалар (SMS) арқылы жасалатын фишинг түрі. Сізге банк немесе белгілі компания атынан SMS келеді: «Картаңыз бұғатталды, шұғыл мына нөмірге қоңырау шалыңыз…» немесе «Сіз жүлде ұтып алдыңыз, толық ақпарат сілтемеде…». Жіберуші нөмірі «ресми» сияқты көрінуі мүмкін (мысалы, банк атауы телефонның орнына). Мақсат сол – зиянды сілтемеге өткіздірту немесе қаскөйлерге қоңырау шалдыру. Смишингтің қаупі – адамдар SMS-ті жиі оқиды және оған email-ге қарағанда көбірек сенуі мүмкін. Бірақ қазір байланыс операторлары мен реттеушілер бұған қарсы әрекет етеді: алаяқтардың жаппай таратуын бұғаттайды, пайдаланушыларды ескертеді. Соған қарамастан, егер сіз күмәнді сілтемесі бар SMS алсаңыз немесе қандай да бір әрекет талап етсе – ешқашан сілтемені ашпаңыз және көрсетілген нөмірге қоңырау шалмаңыз. Ақпаратты ұйымның ресми сайты немесе ресми байланыс орталығы арқылы тексерген дұрыс.
Онлайн-алдаудың басқа түрлері
Жоғарыдағылардан бөлек, фишингке жақын басқа да, неғұрлым арнайы тәсілдер бар. Мысалы, фарминг – күрделі схема: алаяқтар DNS жұмысына араласып немесе жәбірленушінің компьютерін жұқтырып, дұрыс терілген адрес болса да, оны жалған сайтқа бағыттайды. Нәтижесінде адам өзін заңды ресурсқа кірдім деп ойлайды, ал шын мәнінде бұл деректерді ұрлауға арналған көшірме болады. Мұндай шабуылдар техникалық тұрғыдан күрделірек әрі сирек, бірақ олар туралы да білу керек. Тағы бір түрі – романтикалық фишинг (ағылш. catfishing): қаскөй әлеуметтік желіде немесе танысу сайтында танысып, өзін «қарым-қатынасқа қызығатын» адам ретінде көрсетеді, сенімге кірген соң ақша немесе жеке деректер сұрай бастайды. Бұл тәсіл тікелей «құпиясөзді сұрау» болмауы мүмкін, бірақ психологиялық алдауды фишинг элементтерімен ұштастырады. Жалпы алғанда, қандай атаумен аталса да, мәні бір: қаскөй сізден құнды ақпаратты немесе қаражатты алдап алуға тырысады. Интернеттегі кез келген күмәнді жағдайда сақ болыңыз.
| Фишинг түрі | Схеманың қысқаша сипаттамасы |
|---|---|
| Email-фишинг (жаппай) | Белгілі компаниялар немесе сервистер атынан жалған хаттарды жаппай тарату. Мақсат – мүмкіндігінше көп адамды сілтемеге кіргізіп, жалған сайтта деректерін енгіздіру. |
| Нысаналы фишинг (spear phishing) | Нақты бір адамға немесе ұйымға бағытталған шабуыл. Алаяқтар хабарламаны жәбірленушіге сай етіп мұқият «жекелейді» (аты, қызметі, контексті), сондықтан сендіру ықтималдығы жоғары. |
| Вишинг | Телефон арқылы алдау. Қоңырау шалушы өзін банк/қызмет өкілі ретінде таныстырып, «шотты қорғау» сылтауымен деректерді сұрайды немесе ақша аударуға көндіреді. |
| Смишинг | SMS арқылы алдау. Жәбірленушіге сілтемесі бар немесе қоңырау шалуға шақыратын SMS келеді (банк, курьер т.б. сияқты), кейін оны жалған сайтқа бағыттайды немесе алаяқпен байланыстырады. |
| Әлеуметтік желілердегі фишинг | Әлеуметтік желілер мен мессенджерлердегі хабарламалар арқылы алдау. Алаяқтар достардың атынан немесе компаниялардың жалған аккаунттарынан сілтеме жіберіп, жалған ресурста авторизация жасатуға тырысады. |
Фишингтік хаттың белгілері
Қазіргі шабуылдар барған сайын күрделеніп бара жатса да, фишингтік хабарламалардың көбі мұқият қарасаңыз-ақ «әшкере болады». Төменде фишингтік хатты немесе хабарламаны тануға көмектесетін негізгі белгілер:
- Жалпы үндеу, жеке аты-жөніңіздің болмауы. Егер хат «Құрметті клиент» сияқты жалпылама сөзден басталып, сіздің атыңыз көрсетілмесе – күмәндануға себеп бар. Ресми ұйымдар әдетте (егер аты-жөніңіз белгілі болса) сізге есіміңізбен жүгінеді. Көптеген жаппай жіберілімдер мыңдаған адамға бірдей кететіндіктен, жеке үндеу қолданбайды.
- Қателер және күмәнді тіл. Грамматикалық қателер, теру қателері, түсініксіз сөйлемдер – фишингтің жиі белгісі. Алаяқтар автоматты аударманы қолдануы мүмкін немесе мәтін сапасына мән бермейді. Әрине, мінсіз тіл де «100% заңды» дегенді білдірмейді, бірақ анық қателер – дабыл белгісі.
- Жеке деректерді сұрау. Нағыз банктер мен сервистер сізден құпиясөз, PIN-код, PIN2, CVC/CVV немесе SMS-кодты жіберуді **ешқашан** сұрамайды. Егер хатта осындай талап болса – бұл алаяқтар. Сондай-ақ карта нөмірін, паспорт деректерін және басқа жеке ақпаратты email/мессенджер арқылы «растауды» сұраса – бұл да күмәнді.
- Қорқыту немесе асықтыру. «Дәл қазір сілтемеге өтпесеңіз, аккаунтыңыз бұғатталады» – фишерлердің классикалық әдісі. Ультимативті мерзімдер (24 сағат, «шұғыл» т.б.), қорқыту, қысым көрсету – алаяқтықтың белгісі. Ресми ұйымдар клиентті әдетте қорқытпайды.
- Тым «тиімді» ұсыныс. Екінші шеткі нұсқа – үлкен пайда уәде ету: лотерея ұтысы, орасан жеңілдік, сауалнамаға қатысқаныңыз үшін сыйлық және т.б. Егер ұсыныс «тым жақсы» көрінсе – бұл жиі алдау. Алаяқтар адамның ашкөздігін де пайдаланады.
- Жіберушінің күмәнді мекенжайы. Хаттың қай email-дан келгеніне назар аударыңыз. Көбіне мекенжай ұйымның ресми доменінен қатты ерекшеленеді: артық сөздер, сандар, басқа домен. Немесе банк әдетте атаумен жіберетін SMS сізге кәдімгі ұялы нөмірден келсе. Мекенжай күмәнді болса – мазмұнға сенбеңіз.
- Күтпеген контекст. Сіз қолданбайтын банктен хат келді ме? Қатыспаған конкурстан «ұтыс» туралы хабарлама ма? «Орны жоқ» хабарламаның бәрі – ықтимал алаяқтық белгісі. Тіпті сіз компания қызметін пайдалансаңыз да, хабар форматы әдеттен тыс болса немесе бұрын болмаған талап қойылса – сақтық қажет.
Фишингтік сайттың белгілері
Айталық, сіз күмәнді сілтемеге өтіп кеттіңіз немесе кездейсоқ сізден құпия деректерді енгізуді сұрайтын сайтқа тап болдыңыз. Бұл сайт «көшірме» фишингтік сайт емес екенін қалай түсінуге болады? Төмендегі жайттарға назар аударыңыз:
- Сайт адресі (URL). Әрдайым браузердің адрес жолындағы URL-ды тексеріңіз. Алаяқтар көбіне нағыз доменге өте ұқсас, бірақ көзге бірден түсе қоймайтын айырмашылығы бар адрес тіркейді. Мысалы,
paypai.comорнынаpaypal.com(латынның l әрпін i әрпімен алмастыру) немесе артық сөз/таңба қосады (kasp3rsky.comорнынаkaspersky.com). Кейде поддомен қолданады: ресмиbank.comорнынаbank.security-login.com. Адрес күмәнді көрінсе немесе артық элементтері болса – сайтты бірден жабыңыз. - SSL-сертификаттың болуы. Банктер мен төлем жүйелерінің заңды сайттары әрқашан қорғалған қосылымды қолданады (адрес
https://деп басталады, URL жанында «құлып» белгісі тұрады). Шифрлау болмаса – бұл жалғандықтың маңызды белгісі. Бірақ қазір алаяқтар да базалық SSL-сертификат ала алады. Сондықтан «https» – қажет, бірақ толық кепіл емес. - Дизайн және мазмұн. Жалған беттер сырттай түпнұсқаға қатты ұқсайды: логотиптер, фирмалық түстер болады. Бірақ жиі кемшіліктер кездеседі – суреттер сапасының төмендігі, мәтіннің қисық тұруы, аудармадағы қателер (егер халықаралық сайтты көшірсе). Сондай-ақ фишинг сайтында кей сілтемелер жұмыс істемеуі мүмкін («Біз туралы», «Байланыс» бөлімдері ашылмайды). Компания туралы нақты ақпараттың, пайдаланушы келісімінің, қолдау контактілерінің болмауы – күдікті белгі.
- Орынсыз сұраулар. Егер сайт кіре салысымен құпия деректерді сұраса – бұл күмәнді. Ресми сервистер әдетте алдымен кіруді ұсынады (логин+құпиясөз), ал операциялар жеке кабинет ішінде жасалады. Ал фишинг сайттары көбіне бірінші беттен-ақ карта нөмірін, PIN, SMS-кодты сұрайды – яғни әдетте *авторизацияға дейін* ешқашан сұралмайтын деректер. Сондай-ақ «верификация» үшін негізсіз ақпарат сұралса (мысалы, анаңыздың қыз кезіндегі тегі, паспорттың толық деректері және т.б.) – сақ болыңыз.
- Браузердің қалқып шығатын ескертулері. Қазіргі браузерлерде кіріктірілген қорғаныс бар және олар фишинг ресурстарын жиі таниды. Егер сайтқа кіргенде қызыл экранмен «қауіпті сайт» туралы ескерту шықса – оны ешқашан елемеңіз. Бұл ресурс жалған немесе зиянды ретінде «қара тізімге» енгенін білдіреді. Бетті бірден жабыңыз.
Есіңізде болсын, фишинг сайттары әдетте ұзақ «өмір сүрмейді» – орта есеппен 5 күн шамасында, оларды анықтап, сүзгілер бұғаттап тастағанға дейін. Сондықтан қаскөйлер басқа адреске қайта-қайта жаңа көшірмелер жасайды. Сайттың шынайылығына аз да болса күмәніңіз болса, ешқандай дерек енгізбеңіз. Ұйымның ресми сайтын іздеу жүйесі арқылы тауып немесе адресін қолмен енгізіп, қажетті ақпаратты сол жерден нақтылаған дұрыс.
Фишингтен қалай қорғануға болады
Фишингке мүлде тап болмауды кепілдеу мүмкін емес, бірақ бірнеше ережені ұстансаңыз, құрбан болу ықтималдығы айтарлықтай төмендейді. Төменде фишингтен қорғануға арналған негізгі ұсыныстар:
- Әрқашан сақ әрі күмәншіл болыңыз. Ең тиімді қорғаныс – сыни ойлау. Келген хаттар мен хабарламаларды мұқият оқыңыз. Күдік туса – қайта тексеріңіз. Алаяқтар асығыстық пен аңғарымпаз еместікке сүйенеді, сондықтан хабарлама қаншалықты «шұғыл» көрінсе де, сабыр сақтаңыз.
- Сұрағанға құпия дерек бермеңіз. Қандай жағдай болса да, құпиясөз, PIN, SMS-код, картадағы CVV сияқты деректерді чатта да, телефонда да үшінші тұлғаларға айтпаңыз. Нағыз банктер, төлем сервистері, мемлекеттік органдар клиенттен мұндай ақпаратты email, мессенджер немесе қоңырау арқылы **ешқашан** сұрамайды. Егер сұраса – бұл 100% алаяқтар.
- Күмәнді хабарламалардағы сілтемелерді ашпаңыз. Хат сенімді көрінсе де, сілтемені тікелей баспауға тырысыңыз. Ақпаратты тексеру керек болса, браузер ашып, сайт адресін қолмен енгізіңіз. Күтпеген хаттардағы файлдарды жүктеу де қауіпті – ол фишингпен қатар вирус болуы мүмкін.
- Сайттың түпнұсқалығын өзіңіз тексеріңіз. Егер веб-сайтта әрекет жасауды сұраса, оның ресми ресурс екеніне көз жеткізіңіз. Сайтты қалай тексеру керегін жоғарыда егжей-тегжейлі жаздық: адрес, сертификат, іздеу арқылы тексеру. Күдік болса – операцияны тоқтатып, ұйыммен ресми байланыс арқылы тікелей хабарласыңыз.
- Күрделі пароль және екі факторлы қорғаныс қолданыңыз. Маңызды аккаунттардың әрқайсысына бөлек, мықты пароль қолдану бір пароль «ағып кетсе» де зиянды азайтады. Ал екі факторлы аутентификацияны (2FA) қосу – SMS немесе қосымша арқылы растау – пароль ұрланса да аккаунтты қорғауға көмектеседі. Онда алаяққа сіздің телефоныңыз да керек болады, бұл әлдеқайда қиын.
- Бағдарламаларды және антивирусты жаңартып отырыңыз. Браузерді, пошта клиентін, операциялық жүйені тұрақты түрде жаңартыңыз – жаңа нұсқаларда қауіпсіздік құралдары мен антифишинг сүзгілері жақсарады. Интернет қауіпсіздігі бар сенімді антивирус орнатыңыз: ол зиянды сайттар мен хаттар туралы ескертуі мүмкін. Бұл 100% кепіл емес, бірақ қауіптердің бір бөлігін уақытында тоқтата алады.
- Қаржылық шоттарды бақылаңыз. Барынша сақ болсаңыз да, кейде банк операциялары тарихын, мобильді банктегі шоттарды және басқа маңызды аккаунттарды тексеріп тұрыңыз. Егер бір жерде қол жеткізу орын алса, күмәнді белсенділікті (рұқсатсыз аударым, кіру әрекеттері) тезірек байқайсыз және дер кезінде шара қолданасыз (картаны бұғаттау, парольді ауыстыру және т.б.).
- Киберсауаттылықты арттырыңыз. Алаяқтар тоқтап қалмай, жаңа схемалар ойлап табады, сондықтан өзекті қауіптерден хабардар болған пайдалы. Киберқауіпсіздік жаңалықтарын оқыңыз, фишинг мысалдарымен танысыңыз. Банктер мен реттеушілер кей схемалардың күшеюі туралы жиі ескертулер жариялайды. Обман әдістерін неғұрлым көп білсеңіз, нақты өмірде соғұрлым оңай танисыз.
Осы ережелерді сақтасаңыз, “қармаққа іліну” ықтималдығы айтарлықтай азаяды. Эксперттің айтуынша, «фишерлер адамның аңғарымпаз еместігі мен эмоциялық реакциясына сүйенеді. Сондықтан сізден жеке немесе төлем деректерін сұрап, асықтырып қысым жасаса, ақпаратты бірнеше рет тексеру маңызды». Күмәнді хаттарға және қоңырауларға сенбеңіз – ресми арналар арқылы нақтылап алған дұрыс. Дұрыс сақтық – фишингтен қорғанудағы ең жақсы көмекші.
Фишингтің құрбаны болсаңыз не істеу керек
Егер сіз құпия деректерді алаяқтарға беріп қойғаныңызды немесе фишинг сілтемесіне өткеніңізді сезсеңіз, бірден әрекет етіңіз. Жедел қадамдар залалды азайтуға көмектеседі:
- Парольдерді шұғыл ауыстырыңыз. Егер бір жерде құпиясөзіңізді енгізіп қойсаңыз, сол сервисте бірден парольді ауыстырыңыз. Егер бұл пароль басқа ресурстарда да қолданылған болса (ұсынбаймыз, бірақ кездеседі) – ол жақта да ауыстырыңыз. Ең алдымен электрондық пошта мен банк аккаунттарынан бастаңыз. Жаңа парольдердің мықты екеніне және еш жерде қайталанбайтынына көз жеткізіңіз.
- Банк карталарын/шоттарды бұғаттаңыз. Егер фишинг сайтында банк картасының деректерін енгізіп қойсаңыз немесе телефон арқылы реквизиттерді айтсаңыз, бірден банкке қоңырау шалып, картаны бұғаттаңыз. Банктен жағдайды «алаяқтық қаупі» ретінде белгілеуді сұраңыз. Карта неғұрлым тез бұғатталса, ақша ұрлану ықтималдығы соғұрлым төмен. Егер интернет-банктің қолжетімділігі туралы болса – шот бойынша операцияларды уақытша тоқтатуды өтініңіз.
- Құрылғыны вирустарға тексеріңіз. Алаяқ сілтемесіне кіріп немесе файл жүктеп, компьютер/смартфонға зиянды бағдарлама жұқтырып алуыңыз мүмкін (мысалы, тыңшы бағдарлама). Құрылғыны жаңартылған антивируспен тексеріңіз, толық сканер жасаған дұрыс. Қауіп табылса – жойып, қайта жүктеңіз. Құрылғы тазарғанша онлайн-банкте операция жасамаңыз және пароль енгізбеңіз.
- Тиісті сервистің қолдау қызметіне жүгініңіз. Егер фишинг белгілі бір сервис аккаунтына әсер етсе (пошта, әлеуметтік желі, төлем жүйесі) – олардың техқолдауына хабарласыңыз. Есептік деректеріңіз бұзылғанын айтыңыз. Олар қолжетімділікті қалпына келтіруге, рұқсатсыз әрекеттерді тоқтатуға немесе қосымша тексеріс қоюға көмектесуі мүмкін.
- Алаяқтық фактісі туралы хабарлаңыз. Қазақстанда интернет-алаяқтық бойынша құқық қорғау органдарына өтініш беруге болады (ҚР ҚК 190-бап). Сондай-ақ реттеушіге немесе профильдік ұйымдарға ақпарат жолдаудың да мәні бар. Мысалы, инцидент сипаттамасын Киберқалқан КЗ (CERT Kazakhstan) немесе Ұлттық банкке (егер қаржылық алаяқтық болса) жеткізу. Уәкілетті органдар неғұрлым көп дерек алса, фишерлермен күрес соғұрлым тиімді болады.
Есіңізде болсын: фишингтің құрбаны кез келген адам болуы мүмкін, бұдан ұялуға болмайды. Ең бастысы – уақыт созбай, мүмкіндігінше тез шара қабылдау. Банкке және полицияға дереу хабарласаңыз, ірі шығынның алдын алу мүмкін. Кейін оқиғаның қалай болғанын талдап, тәжірибені ескеріңіз – алда мұндай айлаға қайта түспеу үшін.
Фишинг — интернеттегі алдау: алаяқтар өзін банк, мемлекеттік қызмет немесе танымал сервис ретінде таныстырып, сізді деректеріңізді (құпиясөз, SMS-код, карта реквизиттері) беруге немесе жалған сайтқа кіруге мәжбүрлейді. Мақсат бір — ақшаңызға немесе аккаунттарыңызға қол жеткізу. Фишинг арқылы шоттан ақша шешіп алады, рұқсатсыз сатып алу жасайды, интернет-банкингке немесе әмияндарға кіріп алады. Егер сіз бірдей құпиясөз қолдансаңыз немесе растау кодтарын берсеңіз, бірден бірнеше сервисті «ілестіріп» алуы мүмкін. Көбіне — e-mail хаттар, SMS/мессенджердегі хабарламалар, «банктікі сияқты» жалған сайттар, «операцияны растаңыз» деген қоңыраулар, сондай-ақ әлеуметтік желілер мен жарнамадағы «тиімді ұсыныстар» арқылы жасалатын фишинг. Бұл — «сізге бейімделген» фишинг: алаяқтар сіздің атыңызды, жұмыс орныңызды, сатып алуларыңызды немесе хат-хабар контекстін пайдаланып, хабарламаны шынайы етіп көрсетеді. Мұндай алдау қауіпті, өйткені «жеке» және «нақты» болып көрінеді. Әдетте «қармақ» болады: асықтыру (аккаунт бұғатталады), қорқыту (күдікті операция), пайда уәде ету (өтемақы/жеңілдік) және міндетті түрде әрекет талап етіледі — сілтемеге өту, SMS-кодпен «растау» немесе бетте дерек енгізу. SMS арқылы келетін растау коды — операцияның кілті. Оны ешкімге айтуға болмайды, адам өзін банк немесе «қолдау қызметі» ретінде таныстырса да. Код сұраса — бұл көбіне фишинг немесе аккаунтты басып алу әрекеті. Адрес жолын қараңыз: домен дәл ресми болуы керек (артық әріпсіз, нүктесіз, «-secure», «-verify» сияқты қоспасыз). Хабарламадағы сілтемеге өтпеңіз — сайт адресін қолмен енгізіңіз немесе сервистің ресми қосымшасын ашыңыз. Жоқ. https тек байланыстың шифрланғанын білдіреді, бірақ сайттың адалдығын дәлелдемейді. Алаяқтар да https қоса алады. Ең маңыздысы — доменді тексеру және хабарламалардағы сілтемелер арқылы дерек енгізбеу. Мәтіндегі қателер, «бәрін бірден енгізіңіз» деген күмәнді формалар, CVV/PIN немесе SMS-код сұрау, күтпеген «жеке тұлғаны тексеру», басқа домендерге қайта бағыттау (редирект), сондай-ақ «шұғыл растаңыз» дейтін тым жабысқақ терезелер. Иә, өйткені соңғы адрес көрінбейді. Алаяқтар жалған доменді жасыру үшін қысқартқыштарды жиі қолданады. Қаржылық әрекеттер үшін қысқа сілтемелерді мүлде ашпаған дұрыс — сайтқа қолмен кіріңіз. Иә. Кейде алаяқтар ұқсас сұраныстарға жарнама сатып алып, сайт-көшірмеге апарады. Дерек енгізер алдында доменді міндетті түрде тексеріңіз, одан да дұрысы — ресми қосымшаны және бетбелгілерді қолданыңыз. Бұл — SMS арқылы жасалатын фишинг: «сәлемдеме», «айыппұл», «өтемақы», «аккаунтыңыз бұғатталды». Мақсат — сізді сілтемеге өткіздіру немесе қолданба орнаттыру. Ереже қарапайым: күтпеген SMS-тегі сілтемелерді ашпаңыз. Иә, өте жиі. «Қолдау қызметінен», «курьерден», «таныстан» (оның аккаунты бұзылған болса) деп жазуы мүмкін. Сілтемеге өтпеңіз, код жібермеңіз — ақпаратты ресми арна арқылы растаңыз. Бұл — зиянды сілтеме QR-кодтың ішінде «жасырылатын» жағдай. Сіз кодты сканерлейсіз де, жалған төлем немесе кіру сайтына түсесіз. Сканерлегеннен кейін ашылған сайт адресін міндетті түрде тексеріңіз. Иә, егер хат күтпеген болса. Тіркемеде зиянды макростар болуы мүмкін немесе «кіру бетіне» апаратын сілтеме жасырылуы ықтимал. Құжатты өзіңіз сұрамаған болсаңыз — ашпаңыз, жіберушіні компанияның ресми контактісі арқылы тексеріңіз. Алаяқтар қашықтан басқару қосымшасын немесе жалған «банк» APK ұсынуы мүмкін. Ол SMS, құпиясөздерді ұстап алып, телефонды басқаруға мүмкіндік береді. Қаржылық сервистер чаттағы сілтеме арқылы «тексеру бағдарламасын» орнатуды сұрамайды. Егер ештеңе енгізбесеңіз — бетті жабыңыз, қажет болса браузерді жаңартыңыз. Сақтық үшін құрылғыны антивируспен тексеріп, банк ескертулерін бақылаңыз. Ең қауіптісі — дерек енгізу және қосымша орнату. Дереу банкпен байланысып, картаны бұғаттауды/қайта шығаруды сұраңыз. Операцияларды және лимиттерді тексеріңіз, хабарландыруларды қосыңыз. Неғұрлым тез әрекет етсеңіз, соғұрлым ақша шешуді тоқтату мүмкіндігі жоғары. Ресми сайт/қосымша арқылы бірден парольді ауыстырыңыз, барлық сессиялардан шығыңыз, екі факторлы қорғанысты (мүмкін болса) қосыңыз. Содан кейін банкке қоңырау шалып, аккаунттың бұзылу қаупі барын ескертіңіз. Шұғыл түрде банкке қоңырау шалыңыз: операцияларды тоқтатуды және қолжетімділікті уақытша бұғаттауды сұраңыз. Одан кейін құпиясөздерді ауыстырып, құрылғыларды тексеріңіз. Егер ақша шешілсе — бәрін тіркеп, банкке өтініш және полицияға арыз беріңіз. Егер хат шұғыл түрде сілтеме арқылы «растауды» талап етсе, қателері болса, жіберуші адресі күмәнді көрінсе немесе сіз сұрамаған тіркеме келсе — бұл қауіпті белгі. Ең сенімді жол — ештеңені баспай, ақпаратты банк қосымшасынан немесе ресми нөмір арқылы тексеру. Екі факторлы аутентификация, бірегей парольдер, пароль менеджері, ОС пен браузер жаңартулары, кіру туралы хабарландырулар, карта лимиттері және интернет-төлемдерді қолданбасаңыз — оларды өшіру. Ұсынылмайды. Қауіпсізі — пароль менеджерін немесе қорғалған кіріктірілген қойманы пайдалану. Жазбалар мен чаттар аккаунт бұзылғанда немесе телефонға қолжетімділік болғанда оңай «ағып кетеді». Push/SMS-хабарландыруларды қосыңыз, лимиттерді шектеңіз, қажет болмаса онлайн-төлемдер мен халықаралық операцияларды өшіріңіз, интернет-сатып алуға бөлек карта қолданыңыз және оны төлем алдында ғана толтырыңыз. Күтпеген хабарламадағы сілтемеге өтпеңіз. Мемлекеттік сервистерге тек ресми сайт пен қосымша арқылы кіріңіз, хабарландыруларды жеке кабинеттен тексеріңіз, күмән болса — ресми байланыс орталығы арқылы нақтылаңыз. Егер ақшаға зиян келсе — алдымен банкке, кейін полицияға. Ал егер бұл белгілі бір сервистің «көшірмесі» болса — сол нақты компанияның қолдау қызметіне хабарлаңыз (банк/маркетплейс/мемқызмет), олар зиянды беттерді тезірек бұғаттап, клиенттерді ескерте алады. Қарапайым ереже беріңіз: «кодтар мен парольдерді ешкімге айтпа, хабарламадан сілтеме ашпа, күмәндансаң — бірден маған қоңырау шал». Қоса отырып спам бұғаттауын және банк хабарландыруларын баптап беруге болады. Мифтер: «маған болмайды», «құлып/https болса — қауіпсіз», «банк SMS-код сұрай алады», «бір парольді бәріне қою қалыпты». Дәл осы қателіктер бұзылулар мен ақша жоғалтудың көп бөлігіне себеп болады.FAQ: фишинг деген не — белгілері, сайттарды тексеру және қорғаныс
Фишинг әрекеті туралы қайда хабарлауға болады?
Егер сіз күмәнді хат, SMS немесе қоңырау алсаңыз, бұл туралы тиісті ұйымдарға хабарлаған дұрыс. Біріншіден, алаяқтар өзін сол ұйым атынан көрсетсе, сол компанияның қолдау қызметіне (банк, пошта сервисі, онлайн-дүкен) хатты немесе қоңырау деректерін жолдаңыз. Көп ірі компаниялардың сайтында «Қауіпсіздік» немесе «Алаяқтық туралы хабарлау» бөлімі болады. Екіншіден, жеке деректеріңізді жарияламай, басқа пайдаланушыларды ескерту үшін форумдарда немесе әлеуметтік желілерде ақпаратпен бөлісуге болады. Қазақстанда интернет-алаяқтық жағдайларын құқық қорғау органдарының жедел желілеріне немесе eGov арқылы да хабарлауға болады (киберқылмыс бөлімдері). Фишингке қарсы бірігіп әрекет етсек, бәріміз үшін онлайн орта қауіпсізірек болады.
Қорытынды: фишинг интернетте әлі де маңызды қауіп болып отыр, бірақ біліммен қаруланып, қарапайым сақтық шараларын ұстансаңыз, ақшаңыз бен деректеріңізді алаяқтардан қорғай аласыз. Алтын ереже: ешкімге және ешқашан құпия деректерді бермеңіз және келген сілтемелердің қайда апаратынын әрдайым тексеріңіз. Цифрлық қауіпсіздігіңізді сақтаңыз!