බැංකු පද්ධති සහ පාරිභෝගික දත්ත සුරක්ෂිතතාවය පිළිබඳ ගැඹුරු තාක්ෂණික විශ්ලේෂණය

බොහෝ දෙනෙකුගේ පොදු මතය වන්නේ බැංකු ගිණුමකින් මුදල් අහිමි වූ විට එය බැංකුවේ පද්ධතියේ පවතින දුර්වලතාවයක් (Security Breach) බවයි. නමුත් වර්තමානයේ සිදුවන ගිණුම් කොල්ලකෑම්වලින් 99%ක්ම සිදුවන්නේ “Social Engineering” හෙවත් මිනිස් මනස උපයෝගී කරගෙන සිදුකරන වංචා මගිනි. මෙහිදී බැංකු පද්ධතියට පිටතින් පාරිභෝගිකයා හරහාම දත්ත ලබා ගැනීම සිදු කෙරේ.

1. වංචාකරුවන් අනුගමනය කරන තාක්ෂණික පියවර

ව්‍යාජ වෙබ් අඩවි නිර්මාණය (Phishing Infrastructure):

වංචාකරුවන් මුලින්ම කරන්නේ බැංකුවේ සැබෑ වෙබ් අඩවියේ අතුරු මුහුණත (Frontend) සම්පූර්ණයෙන්ම පිටපත් කිරීමයි. මෙහිදී ඔවුන් භාවිතා කරන තාක්ෂණයන් බැංකුවේ සැබෑ සයිට් එකට සමාන වුවද, එහි පසුතල ක්‍රියාවලිය (Backend) සකසා ඇත්තේ ඔබ ඇතුළත් කරන දත්ත ඔවුන්ගේ පාලනයේ පවතින සේවාදායකයක් (Server) වෙත යොමු කිරීමටයි.

සෙවුම් යන්ත්‍ර දැන්වීම් අවභාවිතය (Search Engine Marketing Exploitation):

සාමාන්‍යයෙන් වෙබ් අඩවියක් Google සෙවුම් ප්‍රතිඵලවල මුලට ඒමට කාලයක් ගත වේ. නමුත් වංචාකරුවන් Google Ads සඳහා මුදල් ගෙවීම හරහා ඔවුන්ගේ ව්‍යාජ වෙබ් අඩවිය බැංකුවේ නිල වෙබ් අඩවියටත් වඩා ඉහළින් ප්‍රදර්ශනය කරවයි. මෙය පාරිභෝගිකයා මුළා කරවන ප්‍රධානතම තාක්ෂණික උපක්‍රමයයි.

2. පාරිභෝගිකයා අතින් සිදුවන තාක්ෂණික වැරදි (The Human Factor)

මෙම වංචාව සම්පූර්ණ වීමට පාරිභෝගිකයා අතින් ප්‍රධාන වැරදි තුනක් සිදු විය යුතුය. එසේ නොමැතිව වංචාකරුවෙකුට බැංකු ගිණුමකට ඇතුළු විය නොහැක.

* ප්‍රවේශ තොරතුරු ලබා දීම (Credential Sharing): පාරිභෝගිකයා විසින් බැංකුවේ නිල වෙබ් අඩවිය සහ ව්‍යාජ වෙබ් අඩවිය අතර වෙනස හඳුනා නොගෙන තමන්ගේ Username සහ Password එම ව්‍යාජ පද්ධතියට ඇතුළත් කිරීම.

* OTP කේතය අවභාවිතය: බැංකු පද්ධතිය විසින් ගනුදෙනුවක් තහවුරු කිරීමට එවන OTP (One Time Password) කේතය, පාරිභෝගිකයා විසින්ම ව්‍යාජ වෙබ් අඩවියේ ඇතුළත් කිරීම. මෙහිදී පාරිභෝගිකයා වටහාගත යුතු කරුණ නම්, ඔබ සැබෑ බැංකු පද්ධතියට ඇතුළු වීමට උත්සාහ කරන්නේ නම් මිස වෙනත් කිසිදු අවස්ථාවක OTP කේතයක් අවශ්‍ය නොවන බවයි.

* අනාරක්ෂිත සබැඳි (Links) කෙරෙහි විශ්වාසය තැබීම: බැංකුවකින් එවන බව පවසන SMS හෝ Email මගින් ලැබෙන ලින්ක් එකක් ක්ලික් කිරීම හරහා ඔබ පිවිසෙන්නේ අනාරක්ෂිත වටපිටාවකට බව අවබෝධ කර නොගැනීම.

3. බැංකුවේ පද්ධතිය සහ පාරිභෝගිකයාගේ වගකීම අතර සම්බන්ධය

මෙම ක්‍රියාවලියේදී බැංකුවේ වෙබ් අඩවිය හැක් කිරීමක් සිදු නොවේ. සිදුවන්නේ පාරිභෝගිකයා තමන් සතු රහස්‍ය තොරතුරු (Username/Password/OTP) තමන් විසින්ම තවත් පාර්ශවයකට ලබා දීමයි.

තාක්ෂණිකව පැහැදිලි කරන්නේ නම්, වංචාකරුවා කරන්නේ “Man-in-the-middle” ප්‍රහාරයකට සමාන ක්‍රියාවලියකි. ඔබ ව්‍යාජ සයිට් එකේ තොරතුරු ගහන විට, වංචාකරුවා එම තොරතුරු භාවිතා කර සැබෑ බැංකු සයිට් එකට ලොග් වේ. එවිට බැංකුව සිතන්නේ ඔබ ගිණුමට ඇතුළු වීමට උත්සාහ කරන බවයි. ඒ අනුව බැංකුව විසින් එවන සැබෑ OTP කේතය, පාරිභෝගිකයා විසින්ම වංචාකරුවාට ලබා දීම හරහා ගනුදෙනුව තහවුරු වේ. ඒ නිසා මෙය පාරිභෝගිකයාගේ නොසැලකිල්ල මත පදනම් වූ වංචාවකි.

4. පූර්ණ ආරක්ෂාව සඳහා අනුගමනය කළ යුතු තාක්ෂණික පිළිවෙත්

* URL පරික්ෂාව: වෙබ් අඩවියකට පිවිසීමට පෙර එහි URL ලිපිනයෙහි අක්ෂර වින්‍යාසය ඉතා හොඳින් පරීක්ෂා කරන්න. උදාහරණයක් ලෙස commercialbank.lk වෙනුවට commerclalbank.lk (මෙහි ‘i’ වෙනුවට ‘l’ යොදා ඇත) වැනි ඉතා සූක්ෂ්ම වෙනස්කම් තිබිය හැක.

* සෘජු ප්‍රවේශය (Direct Entry): Google Search භාවිතා කරනවා වෙනුවට සෑම විටම බැංකුවේ නිල වෙබ් ලිපිනය Address Bar එකෙහි සෘජුවම ටයිප් කරන්න.

* නිල ජංගම යෙදුම් (Official Mobile Apps): වෙබ් බ්‍රවුසර හරහා බැංකු කටයුතු කරනවාට වඩා බැංකුවේ නිල Mobile App එක භාවිතා කිරීම ආරක්ෂිතය. මන්දයත් එවිට ව්‍යාජ වෙබ් අඩවිවලට පිවිසීමේ අවදානම සම්පූර්ණයෙන්ම ඉවත් වේ.

* OTP පණිවිඩය කියවීම: ඔබට ලැබෙන OTP පණිවිඩයේ අන්තර්ගතය හොඳින් කියවන්න. එය “Login OTP” එකක්ද නැතහොත් “Transaction OTP” එකක්ද යන්න එහි සඳහන් වේ. ඔබ ගනුදෙනුවක් නොකරන්නේ නම්, එවැනි කේතයක් කිසිවිටෙකත් ඇතුළත් නොකරන්න.

සාරාංශයක් ලෙස, බැංකු පද්ධති කෙතරම් ශක්තිමත් වුවද පාරිභෝගිකයා විසින් තමන්ගේ රහස්‍ය දත්ත බාහිර පාර්ශවයකට ලබා දෙන්නේ නම්, එය කිසිදු පද්ධතියකින් වැළැක්විය නොහැක. එබැවින් තාක්ෂණය භාවිතා කිරීමේදී අවදියෙන් සිටීම පාරිභෝගිකයාගේ ප්‍රධානතම වගකීම වේ.

උපුටා ගැනීම : Thimira Madhusanka Thenuwara