Müasir dünyanın modern problemi kiberhücumlarla mübarizə: Kapital Bank-ın Baş risk inzibatçısı ilə müsahibə
Texnologiyanın inkişafı həyatımızı asanlaşdırdığı qədər özü ilə bərabər modern problemlər də yaradır, məsələn, kiberhücumlar kimi. Son dövrlər bank kartlarına kiberhücumlarla bağlı narazılıqlar tez-tez gündəmə gəlir. Sosial şəbəkələrdə insanların məlumatları olmadan bank kartlarından pul oğurlanması ilə bağlı şikayətlərlə qarşılaşa bilirik. Ölkənin ən böyük müştəri portfelinə sahib bankı Kapital Bank insanları maarifləndirmək məqsədilə oğurluq hallarının baş vermə səbəbləri, şəxsi məlumatların qorunması, kiberhücumla qarşılaşdıqda atılmalı olan addımlar, bu mövzuda bankın, eləcə də müştərilərin öhdəlikləri kimi bir çox istiqamətdə bankın İdarə Heyətinin üzvü, Baş risk inzibatçısı Cavid Mirzəyevlə müsahibəni təqdim edir.
Cavid bəy, müasir texnologiyanın həyatımıza daxil etdiyi problemlərdən biri də kiberhücumlardır. Demək olar ki, hər gün mətbuatda, sosial şəbəkələrdə insanların məlumatı olmadan kartlarından pulun çıxarılması ilə əlaqədar xəbərlər yayılır. Bu nə ilə bağlıdır?
– Bəli, təəssüf ki, bu gün dələduzluq formaları da rəqəmsallaşıb və bu mövzuda kifayət qədər, dırnaqarası desək, “peşəkarlar” var. Onların uğurunun əsas səbəbi isə əksər hallarda insanların məlumatsızlığı olur. Kiberdələduzlar hər gün yeni formalar, metodlar tapırlar. Real hadisələr üzərindən danışsaq, yəqin “Filan linkə daxil olub, hədiyyə qazanın”, “Ad gününə özəl hədiyyə kampaniyası”, “Lotereya keçirilməsi” və.s kimi müxtəlif başlıqlarda elanlarla rastlaşmısınız. 2023-cü ildə internetdə Kapital Bank adına uyğun yaradılan və dələduzluqla məşğul olan 62 belə sayt tərəfimizdən aşkar olunaraq bloklanıb. “Tik-tok”, “Facebook”, “WhatsApp”, “Telegram”, “Instagram” kimi sosial şəbəkələrdə blokladığımız dələduzluq səhifələrinin sayı isə 600-dən çoxdur. Diqqətlə baxılanda həmin linklərdə 1-2 hərf fərqi ilə adlar səhv yazılır, yanlış loqo istifadə olunur. Bu xəbərlərə qətiyyən inanmaq olmaz. Müştəri həmin linkə daxil olduğu zaman, hətta prosesi sona qədər icra etməsə belə, şəxsi məlumatları oğurlanır. Müştərilərimiz birmənalı olaraq bilməlidir ki, istənilən kampaniya ilə bağlı xəbər onlayn olaraq ancaq Kapital Bank-ın rəsmi təsdiqlənmiş sosial şəbəkə hesablarında: https://kbl.az/kbsml və Birbank, Birbank Biznes mobil tətbiqində paylaşıla bilər: https://kbl.az/bbsml. Hətta rəsmi səhifələr belə məlumatı birbaşa bankın rəsmi saytına istinadən verir. Daha sonra kampaniyalarla bağlı ciddi mətbuat orqanlarında, televiziya kanallarında məlumat verilir, bank filiallarında kommunikasiyalar aparılır. Bu, təkcə bizə yox, bütün banklara aiddir.
Dələduzların hədəfi daha çox kimlərdir? Şəxsi məlumatların oğurlanma üsulları nə qədər genişdir və onlardan necə qoruna bilərik?
– Onların hədəfi, təbii ki, hər birimizik. Nəzərə alsaq ki, Kapital Bank-ın 5 milyondan çox müştərisi var, deməli, hər ailənin 2-3 üzvü bizim müştərimizdir. Bunu isə dələduzlar çox yaxşı bilirlər. Ona görə də Kapital Bank adından çox istifadə olunur. Dələduzluq üsulları o qədər müxtəlifdir ki, yaşından, sosial statusundan, işindən asılı olmayaraq diqqətsiz davrandığımız an hər birimiz zərərçəkənə çevrilə bilərik. Məsələn, zənglə aldadılanlar sırasında daha çox yaşlı insanlar var. Dələduzlar zəng edib özlərini bank əməkdaşı kimi təqdim edirlər. Müştərilər bilməlidirlər ki, heç bir bank əməkdaşı kartın üzərindəki CVV kodunu – yəni 3 rəqəmli kodu, SMS vasitəsilə gələn 3D təhlükəsizlik kodunu istəyə bilməz.
Eyni zamanda rəsmi olmayan mobil tətbiqlərin istifadəsi təhlükə mənbəyidir. Qeyri-rəsmi modifikasiya olunmuş mobil tətbiqlər, məsələn “WhatsApp+”, “VPN”lər, fərqli oyunlar və.s. kimi mobil tətbiqlər yükləndikdə telefon, sahibinin məlumatı olmadan kiberhücuma məruz qalır və şəxsi məlumatlar oğurlanır.
Onlayn satış platformalarından alış-veriş edərkən rəsmi, etibarlı satış kanallarından istifadə edilməsi mütləqdir. Yaxşı olar ki, alış-veriş üçün karta limit tətbiq olunsun və kart məlumatları saytın yaddaşında saxlanılmasın.
Saxta iş elanları və ya təqdim edilən “linki bəyən, bu qədər məbləğ qazanacaqsan” kimi elanlar bu sırada böyük yer tutur. Vacib bir məqamı qeyd edim ki, bu günədək bizə müraciət olunan zərərçəkmiş bütün müştərilərin şikayətləri araşdırılıb. Oğurlanan məbləğin geri qaytarılması mümkün olmayan halların hamısında məlum olub ki, məlumatlar müştərinin özü tərəfindən paylaşılıb. Zərərçəkən əksər hallarda mənbənin təhlükəsizliyini yoxlamadan şəxsi məlumatlarını paylaşır. Və ya onun məlumatları bilməyərəkdən, sadaladığımız səbəblərdən oğurlanmış olur. Kart məlumatları hakerlərin əlinə keçdikdən sonra sadalanan boşluqlardan dolayı banka aid olmayan OTP kodu üçün göndərilən SMS-lər də ələ keçirilə bilir.
Dələduzluq üsulları həqiqətən çoxdur və biz əksər hallarda görürük ki, müştərilər bankı onun şəxsi məlumatlarını qoruya bilməməkdə günahlandırır. Bu məqamda bankın məsuliyyəti nədir?
– Təhlükəsiz bank xidməti və dələduzluqla mübarizə hər zaman Kapital Bank-ın əsas mövzularından biridir. Bu mövzuda bank mövcud qanunvericiliyə, requlyativ tələblərə və beynəlxalq təcrübələrə istinad edir. Kapital Bank-da ISO27001 standartı üzrə 54 nəzarət mexanizmi var. Həmçinin kibertəhlükəsizlik insidentlərinin operativ həlli üçün 7/24 monitorinq mexanizmi qurulub. Bununla da əməkdaşlarımız 24 saat ərzində kibertəhdidləri izləyir, təhlükəli məqamlarda müdaxilə edirlər. Bu, müştəri məlumatlarının müstəqil olaraq qorunmasını və operativ şəkildə cavab verilməsini təmin edir. Bankımız prosessinq xidməti verdiyi üçün hər il PCI-DSS (Payment Card Industry Data Security Standard) sertifikasiyasından keçir. Bu sertifikat müştəri kart məlumatlarının təhlükəsizliyinin təmin olunmasında dünya standartıdır.
Bildiyiniz kimi bütün Kapital Bank kartlarında 3D təhlükəsizlik sistemi mövcuddur. Doğrudur, elə saytlar da var ki, orada əməliyyat zamanı müştəridən SMS təsdiq kodu istənilmir, belə saytlarda keçən əməliyyatlar mütəmadi olaraq monitorinq olunaraq şübhəli kateqoriyasına düşdükdə bloklanır. Ümumilikdə hər gün yüzlərlə bu tip resurs “Meta” və dövlətin müvafiq qurumları ilə əməkdaşlıq çərçivəsində qara siyahıya salınaraq fəaliyyəti dayandırılır. Təkcə 2023-cü ildə dələduzluq faktı ilə bağlı 4000-ə yaxın müraciət almışıq. Faktın təsdiqləndiyi 2000-ə yaxın kart tərəfimizdən bloklanıb.
Cavid bəy, bəs bu mövzuda maarifləndirmə tədbirlərini yetərli hesab edirsinizmi?
Bunun üçün əlimizdə olan bütün imkanlardan istifadə edirik. Sosial media hesablarımızda vaxtaşırı bu haqda məlumatlar paylaşılır. Azərbaycan Banklar Assosiasiyası ilə birgə video çarxlar çəkilir. Bütün bunlara baxmayaraq vacib məqam odur ki, təhlükəsizliyin təmini üçün banklarla müştərilər birlikdə addımlamalıdırlar. Bir daha müştərilərimizdən etibarlılığı şübhə yaradan mobil tətbiqlərdən istifadə edərkən diqqətli olmalarını, şəxsi məlumatlarını, eləcə də istifadə etdikləri kartı üçüncü şəxslərə verməməyi, kartın üzərində olan CVV kodunu – 3 rəqəmli kodu, SMS vasitəsilə gələn 3D təsdiqləmə OTP (birdəfəlik şifrə) təhlükəsizlik kodunu, şəxsiyyət vəsiqəsinin FIN kodunu heç kimlə bölüşməməyi, banklar adından hazırlanan qeyri-peşəkar videolara və reklam mətnlərinə inanmamağı xahiş edirik. Bununla yanaşı, dələduzlar tərəfindən yeni trendə çevrilən saxta veb-linklərə keçid etmək, həmin linklərdə kart məlumatlarını yerləşdirmək, müxtəlif sosial şəbəkələrdə asan qazanc əldə etməyi vəd edənlərə inananmaq olmaz.
Cavid bəy, istəmədən də olsa bu hadisələr baş verir və biz dələduzluq halları ilə qarşılaşa bilirik. Bu halda müştəri və bank üçün proses necə davam edir? Dələduzluqla qarşılaşan şəxs ilk olaraq nə etməlidir?
– Dələduzluq halı ilə qarşılaşan şəxsə əməliyyat haqqında SMS və ya “Push” bildiriş daxil olubsa, yaxud müştəri mobil tətbiqində icra etmədiyi əməliyyat görürsə, ilk növbədə təcili olaraq bankla əlaqə saxlamalıdır. Bunun üçün ən yaxın filiala yaxınlaşaraq və ya bankın sorğu mərkəzindən, rəsmi sosial media kanallarından, eləcə də mobil tətbiqdən müraciət etmək olar. Müraciətin ardından bank dərhal kartın və ya ödəniş alətləri (ApplePay, GooglePay) üzrə tokenlərin bloklanmasını təmin edir. Daha sonra müştəri həmin silinmələri banka bəyan etməli, əməliyyatın özü tərəfindən aparılmadığına dair iddia qaldırmalıdır. Qarşılığında isə bank həmin iddianı qəbul edərək Mərkəzi Bank-ın direktivləri və prosedurlarına, Beynəlxalq Ödəniş Sistemlərinin qaydalarına və daxili prosedurlara uyğun olaraq araşdırmanı başlayır və araşdırmanın nəticəsi haqqında müştəriyə məlumat verir. Bu, individual məsələ olduğundan bəzi hallarda müştəridən filiala gəlmək, əlavə sənədləri təqdim etmək və ya prosedurlara əsasən müvafiq ərizələrin yazılması, hüquq-mühafizə orqanlarına müraciət etmələri xahiş oluna bilər.
Hansı hallarda müştərinin oğurlanmış pulu geri qaytarılır?
– Nəticələr, təbii ki, araşdırmanın sonunda bəlli olur. Bank tərəfindən ilk növbədə əməliyyatın keçmə üsulu araşdırılır. Məsələn, POS terminal, elektron ticarət, ATM, mobil tətbiq və.s. Daha sonra isə dələduzların məlumatları əldə etmə forması və müştəri haqqında nə qədər məlumata sahib olması dəqiqləşdirilir. Bu araşdırmanın nəticəsinə uyğun olaraq bank 2 məqamla üz-üzə qalır. 1-ci halda məlum olarsa ki, müştərinin şəxsi məlumatları 3-cü şəxsə onun özü tərəfindən ötürülüb və dələduz müştəri haqqında bütün məlumatlara sahibdir, təəssüf ki, bu zaman bankın edə biləcəyi dəstək mexanizmi olmur.
2-ci halda isə tam əksinə, dələduzluq halı baş verir, kartdan oğurluq olur, amma dələduz müştərinin bütün məlumatlarına sahib olmur. Məsələn, hansısa virusla telefondan bir qism məlumatlar öyrənilib və oğurluq olunub, amma dələduz müştərinin 3D və OTP koduna sahib deyil. Bu halda bank beynəlxalq təhlükəsizlik qaydalarını əsas gətirərək iddia qaldıra və müştərinin hüquqları təmin edə bilir.
Nəticədə şübhəli əməliyyatlar ödəniş sistemlərinin standartlarına uyğun olmadığı, dələduzlar müştərinin təhlükəsizlik məlumatlarına tam sahib olmadığı, bu səbəbdən də bütün məlumatları daxil edə bilmədiyi halda müştərilərin pulları geri qaytarılır. İstənilən halda bütün hallar araşdırılır və bu proses ortalama 45 təqvim günü ərzində nəticələnir.
Əgər kartlar üzrə dələduzluq əməliyyatlarının statistikasına baxsaq, 2023-cü ildə bu mövzuda alınan 4000-ə yaxın müraciətin 70%-i müştərilərin xeyrinə həll edilib, 30%-i isə, təəssüf ki, şəxsi məlumatlar müştəri tərəfindən ötürüldüyündən təmin edilməyib.
Bununla yanaşı, əgər banka daxil olan müraciətləri kənara qoysaq, ümumilikdə bank tərəfindən ötən il 382 000-ə yaxın əməliyyat şübhəli hesab olunub və icrasına icazə verilməyib. Daha sonra müştərilərlə əlaqə nəticəsində heç bir oğurluq hadisəsi baş vermədən 72 000 nəfərin dələduzluq halı ilə üzləşməsinin qarşısı alınıb. Yəni əməkdaşlarımızın zəngi nəticəsində 72 000 nəfər əməliyyata cəhdi özü etmədiyini bildirib. Digər müştərilər isə əməliyyatın özü tərəfindən aparıldığını təsdiq edib.
Onu da qeyd edim ki, həm ödəniş sistemlərinin, həm də Mərkəzi Bank-ın və onun nəzdində olan Bank Kart Mərkəzinin prosedurları demək olar ki, bütün şübhəli və yanlış əməliyyat hadisələrində proseslərin aparılma qaydalarını tənzimləyir və bank həmin prosedurlar üzrə müvafiq addımları həyata keçirir.
Çox təşəkkür edirik, Cavid bəy.
-Mən təşəkkür edirəm. Ümid edirəm, bu müsahibə hər kəs üçün faydalı olar.