2026 ஏப்ரலில் அசாதாரணமான ஒன்று நடந்தது: இலங்கையின் மிகப்பெரிய வங்கிகளில் சில — HNB, Standard Chartered, PanAsia, DFCC உட்பட — தங்கள் சொந்த இணையதளங்களின் போலி வடிவங்கள் குறித்து ஒரே நேரத்தில் பொது எச்சரிக்கைகளை வெளியிட்டன. அப்படி ஒருங்கிணைந்த எச்சரிக்கைகள் சிறிய பிரச்சினைகளுக்கு வருவதில்லை.
தாக்குதல், படிப்படியாக
இதன் இயங்குமுறை விரிவாகச் செய்தியாக்கப்பட்டது: மோசடிக்காரர்கள் வங்கியின் login portal-ஐ கிட்டத்தட்ட ஒரே மாதிரியான domain-இன் கீழ் நகலெடுத்து, email அல்லது SMS மூலம் வாடிக்கையாளர்களை இழுக்கிறார்கள். நீங்கள் போலிப் பக்கத்தில் உங்கள் username-ஐயும் password-ஐயும் type செய்கிறீர்கள். திரைக்குப் பின்னால், தாக்குபவர்கள் அந்த விவரங்களை உண்மையான வங்கித் தளத்தில் உள்ளிடுகிறார்கள் — அது உண்மையான OTP-ஐ உங்கள் phone-க்கு அனுப்புகிறது. அந்த OTP-ஐயும் நீங்கள் போலிப் பக்கத்திலேயே type செய்கிறீர்கள். இப்போது தாக்குபவர்கள் உங்கள் உண்மையான கணக்குக்குள், டிரான்ஸ்ஃபர்கள் நகரத் தொடங்குகின்றன.
கொடூரமான பகுதி: நம்பும்படி உங்களுக்குக் கற்பிக்கப்பட்ட ஒவ்வொரு அடையாளமும் இங்கே உள்ளது. பக்கம் சரியாகவே தெரிகிறது. OTP உண்மையிலேயே உங்கள் வங்கியிலிருந்துதான் வந்தது. இருப்பு காலியாகும் வரை எதுவும் தவறாக உணரப்படுவதில்லை.
பலியானவர்கள் இந்தப் பக்கங்களுக்கு எப்படி வந்து சேர்கிறார்கள் என்பதை ஒரு ஆவணப்படுத்தப்பட்ட வழக்கு காட்டுகிறது: போலி Commercial Bank portal ஒன்றின் பகுப்பாய்வில், மோசடிக்காரர்கள் "ComBank login" போன்ற தேடல்களுக்கு Google விளம்பரங்களை வாங்கியிருந்தது கண்டறியப்பட்டது — அதனால் தேடல் முடிவுகளில் போலித் தளம் உண்மையான வங்கிக்கு மேலே தோன்றியது. உங்கள் சொந்த வங்கியை Google-இல் தேடுவது இனி அதை அடைய ஒரு பாதுகாப்பான வழி அல்ல.
இதற்கு இணையதளம் கூடத் தேவையில்லை
சில நேரங்களில் "போலிப் பக்கம்" என்பது வெறும் குரல்தான். பரவலாகச் செய்தியான 2024 வழக்கு ஒன்றில், இரத்தினபுரியில் பத்து பௌத்த பிக்குகள் phone-இல் OTP-களைப் பகிர்ந்து பணத்தை இழந்தனர் — வங்கி ஊழியர்களாக நடித்த அழைப்பாளர்களிடம். மத்திய வங்கி ஆளுநரின் முடிவு மிக நேரடியானது: பெரும்பாலான சம்பவங்களின் காரணம் வாடிக்கையாளர்கள் OTP-ஐப் பகிர்வதே, பொதுவாக telephone வழியாக. அதன் பின் வந்த எதிர்நடவடிக்கைகளையும் அதே கட்டுரை குறிப்பிடுகிறது — Rs. 10,000-க்கு மேற்பட்ட டிரான்ஸ்ஃபர்களுக்கு transaction அடிப்படையிலான OTP, வங்கிகளுக்கிடையே ஒருங்கிணைக்க நிதித்துறை சம்பவ மீட்புக் குழு (FinCSIRT).
அளவு சிறியது அல்ல. 2024 இறுதிக்குள், செய்திகளின்படி செப்டெம்பர் வரையிலான ஆண்டில் ஆன்லைன் மோசடி புகார்கள் 7,210 — பல வங்கிகள் பல மில்லியன் ரூபாய் phishing இழப்புகளைப் பதிவு செய்தன.
அதை வெல்லும் பழக்கங்கள்
- ஒவ்வொரு முறையும் உங்கள் வங்கியின் முகவரியை நீங்களே type செய்யுங்கள். ஏப்ரல் எச்சரிக்கையின் போது HNB-இன் சொந்த அறிவுரை சரியாக இதுதான். Bookmark செய்யுங்கள். தேடல் விளம்பரம், SMS அல்லது email இணைப்பு வழியாக வங்கி login-க்கு ஒருபோதும் செல்லாதீர்கள்.
- OTP விதிக்கு விதிவிலக்கே இல்லை. CID-இன் கணினி குற்றப் பிரிவு பிரதி இயக்குநர் சொன்னது போல்: OTP உங்களுக்கு மட்டுமே — வங்கி ஊழியர்களுக்கு அல்ல, பொலிஸுக்கு அல்ல, யாருக்கும் அல்ல, "நீங்கள் மிகவும் நம்பும் நபர்களுக்குக் கூட அல்ல." உண்மையான வங்கிக்கு நீங்கள் அதைச் சொல்லித் தர ஒருபோதும் தேவையில்லை.
- "அவசரம்" என்று வரும் எதிலும் மெதுவாகச் செல்லுங்கள். கணக்கு முடக்கப்பட்டது, password காலாவதியாகிறது, பார்சல் காத்திருக்கிறது — அவசரம்தான் பொதுவான மூலப்பொருள். உண்மையான நிறுவனங்கள் உங்களுக்கு நேரம் தருகின்றன.
- நடந்துவிட்டால், உடனடியாக வங்கியின் hotline-ஐ அழையுங்கள் — பணத்தை எப்போதாவது மீட்டுத் தரக்கூடிய ஒரே விஷயம் வேகம்தான், பணம் பெறும் கணக்குகளையும் flag செய்ய முடியும்.
வாங்குபவர்களுக்கான பெரிய பாடம்
வங்கி phishing-உம் ஷாப்பிங் மோசடிகளும் ஒரே வேரைப் பகிர்கின்றன: தான் யார் என்று சொல்வது பொய்யான ஒருவருக்கு, அழுத்தத்தின் கீழ் அனுப்பப்படும், திரும்பப் பெற முடியாத டிரான்ஸ்ஃபர். Phishing-ஐ எப்போதும் கட்டுப்படுத்த முடியாது — ஆனால் ஆன்லைனில் பொருட்கள் வாங்குவதில், அந்த விளையாட்டிலேயே இறங்க மறுக்கலாம். TrustPay வழியாகச் செலுத்தினால் அந்நியருக்கு டிரான்ஸ்ஃபர் என்பதே இல்லை: பணம் நடுவில் இருக்கிறது, அது பாதுகாப்பாக உள்ளது என்று தெரிந்தே விற்பனையாளர் அனுப்புகிறார், நீங்கள் delivery-ஐ உறுதிப்படுத்தும் போதுதான் அது நகரும். எப்படி வேலை செய்கிறது என்று பாருங்கள்.