බොහෝ දෙනෙකුගේ පොදු මතය වන්නේ බැංකු ගිණුමකින් මුදල් අහිමි වූ විට එය බැංකුවේ පද්ධතියේ පවතින දුර්වලතාවයක් (Security Breach) බවයි. නමුත් වර්තමානයේ සිදුවන ගිණුම් කොල්ලකෑම්වලින් 99%ක්ම සිදුවන්නේ "Social Engineering" හෙවත් මිනිස් මනස උපයෝගී කරගෙන සිදුකරන වංචා මගිනි. මෙහිදී බැංකු පද්ධතියට පිටතින් පාරිභෝගිකයා හරහාම දත්ත ලබා ගැනීම සිදු කෙරේ.
1. වංචාකරුවන් අනුගමනය කරන තාක්ෂණික පියවර
- ව්යාජ වෙබ් අඩවි නිර්මාණය (Phishing Infrastructure): වංචාකරුවන් මුලින්ම කරන්නේ බැංකුවේ සැබෑ වෙබ් අඩවියේ අතුරු මුහුණත (Frontend) සම්පූර්ණයෙන්ම පිටපත් කිරීමයි. මෙහිදී ඔවුන් භාවිතා කරන තාක්ෂණයන් බැංකුවේ සැබෑ සයිට් එකට සමාන වුවද, එහි පසුතල ක්රියාවලිය (Backend) සකසා ඇත්තේ ඔබ ඇතුළත් කරන දත්ත ඔවුන්ගේ පාලනයේ පවතින සේවාදායකයක් (Server) වෙත යොමු කිරීමටයි.
- සෙවුම් යන්ත්ර දැන්වීම් අවභාවිතය (Search Engine Marketing Exploitation): සාමාන්යයෙන් වෙබ් අඩවියක් Google සෙවුම් ප්රතිඵලවල මුලට ඒමට කාලයක් ගත වේ. නමුත් වංචාකරුවන් Google Ads සඳහා මුදල් ගෙවීම හරහා ඔවුන්ගේ ව්යාජ වෙබ් අඩවිය බැංකුවේ නිල වෙබ් අඩවියටත් වඩා ඉහළින් ප්රදර්ශනය කරවයි. මෙය පාරිභෝගිකයා මුළා කරවන ප්රධානතම තාක්ෂණික උපක්රමයයි.
2. පාරිභෝගිකයා අතින් සිදුවන තාක්ෂණික වැරදි (The Human Factor)
මෙම වංචාව සම්පූර්ණ වීමට පාරිභෝගිකයා අතින් ප්රධාන වැරදි තුනක් සිදු විය යුතුය. එසේ නොමැතිව වංචාකරුවෙකුට බැංකු ගිණුමකට ඇතුළු විය නොහැක.
- ප්රවේශ තොරතුරු ලබා දීම (Credential Sharing): පාරිභෝගිකයා විසින් බැංකුවේ නිල වෙබ් අඩවිය සහ ව්යාජ වෙබ් අඩවිය අතර වෙනස හඳුනා නොගෙන තමන්ගේ Username සහ Password එම ව්යාජ පද්ධතියට ඇතුළත් කිරීම.
- OTP කේතය අවභාවිතය: බැංකු පද්ධතිය විසින් ගනුදෙනුවක් තහවුරු කිරීමට එවන OTP (One Time Password) කේතය, පාරිභෝගිකයා විසින්ම ව්යාජ වෙබ් අඩවියේ ඇතුළත් කිරීම. මෙහිදී පාරිභෝගිකයා වටහාගත යුතු කරුණ නම්, ඔබ සැබෑ බැංකු පද්ධතියට ඇතුළු වීමට උත්සාහ කරන්නේ නම් මිස වෙනත් කිසිදු අවස්ථාවක OTP කේතයක් අවශ්ය නොවන බවයි.
- අනාරක්ෂිත සබැඳි (Links) කෙරෙහි විශ්වාසය තැබීම: බැංකුවකින් එවන බව පවසන SMS හෝ Email මගින් ලැබෙන ලින්ක් එකක් ක්ලික් කිරීම හරහා ඔබ පිවිසෙන්නේ අනාරක්ෂිත වටපිටාවකට බව අවබෝධ කර නොගැනීම.
3. බැංකුවේ පද්ධතිය සහ පාරිභෝගිකයාගේ වගකීම අතර සම්බන්ධය
මෙම ක්රියාවලියේදී බැංකුවේ වෙබ් අඩවිය හැක් කිරීමක් සිදු නොවේ. සිදුවන්නේ පාරිභෝගිකයා තමන් සතු රහස්ය තොරතුරු (Username/Password/OTP) තමන් විසින්ම තවත් පාර්ශවයකට ලබා දීමයි.
තාක්ෂණිකව පැහැදිලි කරන්නේ නම්, වංචාකරුවා කරන්නේ "Man-in-the-middle" ප්රහාරයකට සමාන ක්රියාවලියකි. ඔබ ව්යාජ සයිට් එකේ තොරතුරු ගහන විට, වංචාකරුවා එම තොරතුරු භාවිතා කර සැබෑ බැංකු සයිට් එකට ලොග් වේ. එවිට බැංකුව සිතන්නේ ඔබ ගිණුමට ඇතුළු වීමට උත්සාහ කරන බවයි. ඒ අනුව බැංකුව විසින් එවන සැබෑ OTP කේතය, පාරිභෝගිකයා විසින්ම වංචාකරුවාට ලබා දීම හරහා ගනුදෙනුව තහවුරු වේ. ඒ නිසා මෙය පාරිභෝගිකයාගේ නොසැලකිල්ල මත පදනම් වූ වංචාවකි.
4. පූර්ණ ආරක්ෂාව සඳහා අනුගමනය කළ යුතු තාක්ෂණික පිළිවෙත්
- URL පරික්ෂාව: වෙබ් අඩවියකට පිවිසීමට පෙර එහි URL ලිපිනයෙහි අක්ෂර වින්යාසය ඉතා හොඳින් පරීක්ෂා කරන්න. උදාහරණයක් ලෙස commercialbank.lk වෙනුවට commerclalbank.lk (මෙහි 'i' වෙනුවට 'l' යොදා ඇත) වැනි ඉතා සූක්ෂ්ම වෙනස්කම් තිබිය හැක.
- සෘජු ප්රවේශය (Direct Entry): Google Search භාවිතා කරනවා වෙනුවට සෑම විටම බැංකුවේ නිල වෙබ් ලිපිනය Address Bar එකෙහි සෘජුවම ටයිප් කරන්න.
- නිල ජංගම යෙදුම් (Official Mobile Apps): වෙබ් බ්රවුසර හරහා බැංකු කටයුතු කරනවාට වඩා බැංකුවේ නිල Mobile App එක භාවිතා කිරීම ආරක්ෂිතය. මන්දයත් එවිට ව්යාජ වෙබ් අඩවිවලට පිවිසීමේ අවදානම සම්පූර්ණයෙන්ම ඉවත් වේ.
- OTP පණිවිඩය කියවීම: ඔබට ලැබෙන OTP පණිවිඩයේ අන්තර්ගතය හොඳින් කියවන්න. එය "Login OTP" එකක්ද නැතහොත් "Transaction OTP" එකක්ද යන්න එහි සඳහන් වේ. ඔබ ගනුදෙනුවක් නොකරන්නේ නම්, එවැනි කේතයක් කිසිවිටෙකත් ඇතුළත් නොකරන්න.
සාරාංශයක් ලෙස, බැංකු පද්ධති කෙතරම් ශක්තිමත් වුවද පාරිභෝගිකයා විසින් තමන්ගේ රහස්ය දත්ත බාහිර පාර්ශවයකට ලබා දෙන්නේ නම්, එය කිසිදු පද්ධතියකින් වැළැක්විය නොහැක. එබැවින් තාක්ෂණය භාවිතා කිරීමේදී අවදියෙන් සිටීම පාරිභෝගිකයාගේ ප්රධානතම වගකීම වේ.
වංචනිකයන් ඔබේ ලොගින් තොරතුරු ලබා ගත්තොත් කරන අනික් දේ තමයි ඔබේ Account එකට ලොග් වෙලා ඔබේ සල්ලි ඔවුන්ගේ Account එකකට ඉක්මණින් transfer කරන එක, ව්යාජ එකේ ඔබට OTP එක ඇතුලත් කරන්න කියල pop up එකකුත් පෙනවනවා. මේ වෙද්දි වංචනිකයින් ඔබේ account එකෙන් මුදල් මාරු කරගන්න එවපු SMS එක ලැබිල ඇති. මේ OTP එක ඔබ වැරදිලාහරි ඔය ව්යාජ වෙබ් අඩවියේ පෙන්වන OTP අංකය ඇතුලත් කරන Pop Up එකේ දැම්මොත් ඉවරම තමයි. මොකද වංචනිකයන්ට ඔබේ මුදල් හොරකම් කරන්න අවශ්ය සියලු විස්තර ඔබ දීල ඉවරයි.
ඒ නිසා ඔබට එන OTP පණිවිඩය හොඳට කියවන්න. එය ඔබ නොකරපු transaction එකක් සඳහා එනවනම් කිසිම වෙබ්සයිට් එකකට add කරන්න එපා
