2026 අප්රේල් මාසේ අසාමාන්ය දෙයක් වුණා: ශ්රී ලංකාවේ ලොකුම බැංකු කිහිපයක් — HNB, Standard Chartered, PanAsia සහ DFCC ඒ අතර — ඒගොල්ලන්ගේම වෙබ් අඩවිවල ව්යාජ අනුවාද ගැන එකම වෙලාවේ ප්රසිද්ධ අනතුරු ඇඟවීම් නිකුත් කළා. ඒ වගේ සම්බන්ධීකරණය වුණු alerts පොඩි ප්රශ්නවලට එන්නේ නැහැ.
ප්රහාරය, පියවරෙන් පියවර
යාන්ත්රණය විස්තරාත්මකව වාර්තා වුණා: වංචාකරුවෝ බැංකුවක login portal එක ගොඩක් සමාන domain එකක් යටතේ clone කරලා, email හෝ SMS වලින් ගනුදෙනුකරුවන්ව ඇදගන්නවා. ඔබ ව්යාජ පිටුවට username එකයි password එකයි type කරනවා. තිරය පිටිපස්සේ, ප්රහාරකයෝ ඒ විස්තර සැබෑ බැංකු වෙබ් අඩවියට දානවා — ඒක හරියටම සැබෑ OTP එකක් ඔබේ phone එකට එවනවා. ඒ OTP එකත් ඔබ ව්යාජ පිටුවටම type කරනවා. දැන් ප්රහාරකයෝ ඔබේ සැබෑ ගිණුම ඇතුළේ, මාරු කිරීම් පටන් ගන්නවා.
කෲරම කොටස: විශ්වාස කරන්න කියලා ඔබට උගන්නපු හැම සංඥාවක්ම මෙතන තියෙනවා. පිටුව හරියට පේනවා. OTP එක ඇත්තටම ආවේ ඔබේ බැංකුවෙන්. ශේෂය නැති වෙනකම් කිසි දෙයක් වැරදියි කියලා දැනෙන්නේ නැහැ.
වින්දිතයෝ මේ පිටුවලට එන හැටි ලේඛනගත සිද්ධියකින් පේනවා: ව්යාජ Commercial Bank portal එකක විශ්ලේෂණයකින් හොයාගත්තා වංචාකරුවෝ "ComBank login" වගේ searches වලට Google ads අරගෙන කියලා — ඒ නිසා ව්යාජ වෙබ් අඩවිය search results වල සැබෑ බැංකුවට උඩින් පෙනුණා. ඔබේම බැංකුව Google කරන එක දැන් ඒකට යන ආරක්ෂිත ක්රමයක් නෙවෙයි.
ඒකට වෙබ් අඩවියක්වත් ඕන නැහැ
සමහර වෙලාවට "ව්යාජ පිටුව" හඬක් විතරයි. පුළුල්ව වාර්තා වුණු 2024 සිද්ධියක, රත්නපුරේ බෞද්ධ භික්ෂූන් වහන්සේලා දස නමක් phone එකෙන් OTP බෙදාගෙන මුදල් නැති කරගත්තා — බැංකු සේවකයන් විදිහට පෙනී හිටපු callers ලා එක්ක. මහ බැංකු අධිපතිගේ නිගමනය කෙළින්ම: බොහෝ සිද්ධිවලට හේතුව ගනුදෙනුකරුවන් OTP එක බෙදාගැනීම, සාමාන්යයෙන් telephone එකෙන්. ඊට පස්සේ ආපු ප්රතිවිරෝධතාත් ඒ ලිපියේම සඳහන්: Rs. 10,000ට වැඩි මාරුවලට transaction-based OTP, සහ බැංකු අතර සම්බන්ධීකරණයට මූල්ය අංශයේ සිද්ධි ප්රතිචාර කණ්ඩායමක් (FinCSIRT).
පරිමාණය පොඩි නැහැ. 2024 අග වෙද්දී, වාර්තාකරණයට අනුව සැප්තැම්බර් දක්වා අවුරුද්දේ ඔන්ලයින් වංචා පැමිණිලි 7,210ක් — බැංකු කිහිපයක්ම රුපියල් මිලියන ගණනක phishing පාඩු වාර්තා කරමින්.
ඒක පරද්දන පුරුදු
- හැම වෙලාවේම ඔබේ බැංකුවේ ලිපිනය ඔබම type කරන්න. අප්රේල් alert එකේදී HNB එකේම උපදෙස හරියටම මේකයි. Bookmark කරන්න. Search ad එකකින්, SMS එකකින් හෝ email link එකකින් බැංකු login එකකට කවදාවත් යන්න එපා.
- OTP නීතියට ව්යතිරේක නැහැ. CID එකේ පරිගණක අපරාධ නියෝජ්ය අධ්යක්ෂවරයා කිව්ව විදිහට: OTP එක ඔබට විතරයි — බැංකු සේවකයන්ට නෙවෙයි, පොලිසියට නෙවෙයි, කාටවත් නෙවෙයි, "ඔබ වැඩියෙන්ම විශ්වාස කරන අයටවත් නෙවෙයි." සැබෑ බැංකුවකට ඔබ ඒක කියවලා දෙන්න කවදාවත් ඕන වෙන්නේ නැහැ.
- "හදිසි" ඕනෑම දේකදී හෙමින් යන්න. ගිණුම suspend වෙලා, password කල් ඉකුත් වෙනවා, පාර්සලයක් බලාගෙන ඉන්නවා — පොදු අමුද්රව්යය හදිස්සියයි. සැබෑ ආයතන ඔබට වෙලාව දෙනවා.
- සිද්ධ වුණොත්, වහාම බැංකුවේ hotline එකට කතා කරන්න — සමහර වෙලාවට මුදල් ආපසු ගන්න උදව් වෙන එකම දේ වේගයයි, ලැබෙන ගිණුම් flag කරන්නත් පුළුවන්.
ගැනුම්කරුවන්ට ලොකුම පාඩම
බැංකු phishing එකයි ෂොපිං වංචායි බෙදාගන්නේ එකම මුල: තමන් කියන කෙනා නොවන කෙනෙකුට, පීඩනය යටතේ යවන, ආපසු හරවන්න බැරි මාරුවක්. Phishing හැම වෙලාවේම පාලනය කරන්න බැරි වෙයි — ඒත් ඔන්ලයින් භාණ්ඩ ගන්නකොට, ඔබට ක්රීඩාවටම නොබැහැලා ඉන්න පුළුවන්. TrustPay හරහා ගෙව්වාම නාඳුනන කෙනෙකුට මාරුවක්ම නැහැ: මුදල මැද රැඳිලා තියෙනවා, ඒක සුරක්ෂිත බව දැනගෙන විකුණුම්කරු භාණ්ඩය එවනවා, ඔබ delivery එක තහවුරු කළාම විතරයි ඒක ගමන් කරන්නේ. ක්රියා කරන හැටි බලන්න.