Дансаа бүү ашиглуул + Smishing, Phishing, Vishing

  • November 29, 2025
  • Posted by: greenadmin
  • Category: Санхүүгийн зөвлөгөө, мэдээ
No Comments
Дансаа бүү ашиглуул + Smishing, Phishing, Vishing

Бид өдөр тутамдаа ямар нэгэн байдлаар хувийн мэдээллээ алдсаар байдаг. Үүнд монголчууд бидний түгээмэл гаргадаг алдаа болох аливаа пост, зарын дор өөрийн утасны дугаар, овог нэрээ бичиж үлдээх, мөн ямар нэгэн баталгаагүй судалгаа бөглөх зэрэг багтах бөгөөд эдгээр хувийн мэдээлэл нь эргээд таны санхүүгийн аюулгүй байдлыг ноцтой эрсдэлд оруулах боломжтой гэдгийг тооцоолдоггүй.

Баярын өдрүүд айсуй жилийн энэ үед дэлхий дахинд цахим халдлага эрчимтэй нэмэгддэг гэсэн тооцоо бий. 2023 оны байдлаар л гэхэд дэлхий дахинд нийт 600 сая гаруй хүн хувийн мэдээллээ алдсан тохиолдолд бүртгэгджээ. Иймд энэ удаагийн нийтлэлээрээ бид уншигч танд кибер аюулгүй байдлын тухай мэдээлэл хүргэх, сэрэмжлүүлэх зорилгоор цахим халдлагын гол төрлүүд болох “smishing, phishing, vishing, social engineering” гэх ойлголтуудын тухай мэдээллийг Голомт банктай хамтран бэлтгэлээ.

Хувийн мэдээлэл гэж юу вэ?

Юун түрүүнд хувийн мэдээлэл гэдэгт бид юу юуг хамааруулж ойлгох тухай өгүүлье. Ихэнх хүмүүс хувийн мэдээлэл гэдгийг гэрийн хаяг, картын дугаар, нууц үг зэргээс илүү өргөн хүрээнд хүлээн авах нь ховор. Гэтэл хувийн мэдээлэл гэдэгт биднийг таних, тодорхойлох боломжтой бүхий л мэдээллийг хамаатуулдгийг санууштай. Тодруулбал, таны овог, нэр, төрсөн огноо, регистрийн дугаар, банкны данс болон картын мэдээлэл, утасны дугаар, имэйл хаяг, нууц үг, мөн зарим улсад арьсны өнгө тань хүртэл хувь хүний эмзэг мэдээлэлд хамаардаг байна.

Хувийн мэдээлэл тань алдагдсанаар та гэмт этгээдүүдэд өөрийн хувийн орон зайд зөвшөөрөлгүй нэвтрэх боломжийг олгож байна гэсэн үг. Тиймээс та олон нийтийн сүлжээнд аливаа хувийн мэдээллээ хуваалцахаас зайлсхийн болзошгүй эрсдэлээс өөрийгөө хамгаалах шаардлагатай.

Сэтгэлзүйд суурилсан халдлага: Social Engineering

Social engineering бол кибер гэмт хэрэгтнүүд техникээс илүү хүний сэтгэлзүйг ашигладаг халдлагын арга гэж ойлгож болно. Тэд хүмүүсийн итгэл, айдас, яаран шийдвэр гаргах сиймхийг ашиглан хувийн мэдээллийг нь авахыг оролддог. Тухайлбал, “танай банкнаас ярьж байна”, “данс тань хаагдах гэж байна”, “хүүхдийн тань мэдээлэлд асуудал гарлаа” гэх мэт санаа зовоох агуулгатай дуудлага, мессеж илгээдэг. Зорилго нь танд яаралтай мэдрэмж төрүүлж шалгалгүй өөрийн мэдээллээ өгөхөд хүргэх юм.

Мөн social engineering-ийн нэгэн онцлог нь хүмүүсийн сошиал орчин дахь мэдээлэлд үндэслэн таны тухай урьдчилсан судалгаа хийдэг нь билээ. Төрсөн он сар, овог нэр, эрхэлдэг ажил, хобби гэх мэт нийгмийн сүлжээнд ил байгаа мэдээлэл нь гэмт этгээдүүдэд таныг “таньдаг” мэт сэтгэгдэл төрүүлэх боломж олгон, итгэл төрүүлэх суурь хөрс болон хувирдаг аж. Энэ төрлийн халдлагаас хамгаалах хамгийн энгийн бөгөөд найдвартай арга бол хэн нэгэн таны ямар нэгэн мэдээллийг нэхсэн тохиолдолд тухайн байгууллагын албан ёсны сувгаар өөрөө холбогдон давхар баталгаажуулах юм шүү.

Сонирхуулахад, албаныхны мэдээлж буйгаар 2024 оны байдлаар манай улс руу ОХУ-аас хамгийн олон буюу 128 сая гаруй, АНУ-аас 65 сая гаруй, БНХАУ-аас 50 сая гаруй сэжигтэй хандалт бүртгэгджээ. Энэ нь хүний хувийн эмзэг мэдээллийг олзлох, хулгайлах зорилтот халдлага хэр өндөр байгааг илтгэж буй биз ээ.

Гурван “shing”: Smishing, Phishing, Vishing

Smishing, phishing, vishing нь бүгд таны хувийн мэдээлэлд халдах зорилготой кибер залилангийн хэлбэрүүд юм. Эдгээр нь нэр болон арга барилаараа хоорондоо ялгаатай боловч үндсэн зорилго нь таны хувийн мэдээлэл, банкны нэвтрэх эрх, картын дугаарыг авахад чиглэсэн гэдгээрээ адилхан.

Smishing нь SMS буюу мессеж ашигладгаараа онцлог. Учир нь зарим хүмүүс имэйлд бус утсанд шууд ирсэн мессежинд илүүтэй итгэх хандлагатай байдаг аж. Улмаар залилагчид “таны дансанд асуудал илэрлээ”, “буцаан олголт ирсэн тул баталгаажуулна уу” гэх мэт хэрэглэгчийг яаруулж, шавдуулсан мессеж илгээнэ. Энэ нь таныг сандаргаж тодорхой нэгэн холбоос, линк дээр дарах, түүнчлэн тухайн холбоосоор ороход банк, санхүүгийн байгууллага, эсвэл өөр ямар нэгэн нэр бүхий албаны лого, таних тэмдгийг хуулбарлан итгэл төрүүлж хувийн мэдээллээ оруулахыг шаарддаг байна.

Харин phishing нь smishing-тэй ерөнхийдөө төстэй ч түлхүү имэйлийг ашигладгаараа ялгаатай. Энэ төрлийн халдлага нь хуурамч банк, хүргэлтийн компани, төрийн байгууллагын нэр барьсан мэйл илгээж “нууц үг шинэчлэх”, “данс баталгаажуулах” гэх шалтгаанаар таны мэдээллийг шалгааж залилдаг. Түүгээр ч зогсохгүй энэ төрлийн имэйлд QR код хавсарган илгээх тохиолдол түгээмэл бөгөөд хэрэглэгч тухайн кодыг уншуулснаар хуурамч вэбсайт руу хөтлөгдөх, төхөөрөмждөө вирус зэрэг олон төрлийн хортой программ хангамж (malware)-ийг суулгуулах эрсдэл үүсдэг.

Мөн phishing халдлагын нэг дэд хэлбэр нь invoice fraud. Өөрөөр хэлбэл хуурамч нэхэмжлэхийн залилан юм. Ихэвчлэн жижиг, дунд бизнесүүдийг онилдог бөгөөд гэмт этгээд өмнө нь харилцаж байсан компани, нийлүүлэгчийнх нь нэрийг ашиглан “төлбөрийн нэхэмжлэх шинэчлэгдсэн”, “шинэ данс руу шилжүүлнэ үү” гэх мэт тайлбартай хуурамч тооцооны баримт илгээдэг. Хэрэглэгч эсвэл байгууллага уг мэйлийг үнэн гэж андуурч төлбөрийг гэмт этгээдийн данс руу шилжүүлснээр их хэмжээний санхүүгийн хохирол амсах эрсдэлтэй. Зарим тохиолдолд хуурамч нэхэмжлэхийг PDF хавсралтын хэлбэрээр илгээж, нээх үед нь төхөөрөмж рүү вирус суулгах тохиолдол ч ажиглагддаг. Тиймээс байгууллагууд шинэ нэхэмжлэх, өөрчлөгдсөн дансны мэдээлэл хүлээн авсан тохиолдолд заавал утсаар баталгаажуулж шалгах нь хамгийн найдвартай хамгаалалт болдог байна.

Монгол улсын аж ахуй нэгжийн бодит хохирол амсаж буй нэг фишинг хэлбэр нь хуурамч нэхэмжлэхийн залилан юм. Энэ нь байгууллагын санхүү, нягтлан бодох, худалдан авалт хариуцсан ажилтнуудыг онилж, нийлүүлэгчийн нэр барьсан хуурамч и-мэйл, нэхэмжлэхээр дамжуулан мөнгийг залилангийн данс руу шилжүүлэхийг зориодог фишинг халдлага юм. Ихэвчлэн жинхэнэ нийлүүлэгчтэй өмнө нь харилцаж байсан мэт бичсэн, логотой, гарын үсэгтэй, “дансны дугаар шинэчлэгдсэн”, “яаралтай төлбөр төлнө үү”, “өмнөх төлбөр хүлээн аваагүй” гэх мэт агуулгатай и-мэйл ирж, хавсралт нэхэмжлэх эсвэл “new invoice” нэртэй линкээр дамжуулан төлбөрийн дансыг өөрчилж ирүүлдэг.

Ийм төрлийн халдлагаас сэргийлэхийн тулд и-мэйлээр ирсэн дансны өөрчлөлт, яаралтай төлбөрийн хүсэлтийг утсаар эсвэл албан ёсны сувгаар дахин баталгаажуулах, нийлүүлэгчийн дансны өөрчлөлтийг дандаа 2 хүний шалгалт, баталгаажуулалттайгаар хийх, санхүүгийн ажилтнуудад тогтмол фишингийн сургалт, дасгалжуулалт хийх нь нэн чухал.

Vishing нь дээрх хоёроос нэг алхам цаашилж, утсаар ярьж итгүүлэх оролдлого хийдэг. Хэт итгэлтэй, “IT мэргэжилтэн” мэт дуудлагаар залилагчид таныг айлган картын мэдээлэл, OTP код (нэг удаагийн код), нууц үгийг тань хэлүүлэхийг оролддог. Эдгээр гурван хэлбэрийн алинд нь ч өртсөн бай санхүүгийн томоохон хохирол амсах эрсдэлтэй тул сэжигтэй дуудлага, мессеж бүрд өндөр сонор сэрэмжтэй байх нь өөрийгөө хамгаалах хамгийн эхний алхам гэдгийг санаарай.

Яагаад дансаа ашиглуулах нь хамгийн том эрсдэл вэ?

Дансаа бусдад ашиглуулах нь санхүүгийн хувьд хамгийн өндөр эрсдэлтэй үйлдэл юм. Учир нь таны дансаар хийгдсэн бүх гүйлгээ хуулийн хувьд таны нэр дээр бүртгэгддэг. Хэрэв тухайн мөнгө залилан, мөнгө угаах, мөрийтэй тоглоом, цахим гэмт хэрэгт холбогдсон бол та өөрөө мэдээгүй ч хэрэгтэнд тооцогдоно.

Товчдоо, банкны дансаа ашиглуулснаар эрүүгийн хэргийн хамтрагч болох эрсдэлтэйг санууштай. Мөн мөрдөн шалгах ажиллагаанд таныг удаан хугацаагаар татан оролцуулж, цаг хугацаа, нэр хүнд, санхүүгийн хохирол дагуулах эрсдэлтэй. Иймд та дансаа хэзээ ч, ямар ч нөхцөлд, хэнд ч ашиглуулахаас татгалзан дараах гурван энгийн зөвлөмжийг дагаарай:

  1. Баталгаагүй, албан бус газарт эсвэл хувь хүнд аль болох хувийн мэдээллээ өгөхгүй байх
  2. Хэрвээ хэн нэгэн хуулийн этгээдэд хувийн мэдээллээ өгч байгаа бол таны мэдээллийг ямар зорилгоор авч байгаа талаар заавал тодруулах
  3. Банкны аппликэйшн болон сошиал хаягууд, имэйлийнхээ нууц үгийг чангатгаж, давхар баталгаажуулалтыг идэвхжүүлэх

Эх сурвалж: Unread today