Pun Up – Səhv axtarış sorğularının arxasında nə var
Brend və yazı xətləri: « Pun Up » « Pin Up » ilə eynidirmi? « Pun Up » avtomatik düzəliş, dil qarışdırma (rus/azərbaycan/türk) və transliterasiya variantları (« pinap », « pinap », « pin up az« ) nəticəsində Pin Up brendi üçün tipik klaviatura və fonetik yazı səhvidir. Anti-Fişinq İşçi Qrupunun (APWG, 2024) məlumatına görə, fişinq hücumlarının 60%-dən çoxu oxşar domenlərdən və brend şəxsiyyətlərinin vizual təqlidlərindən istifadə edərək, fişinq sorğularını etimadnamənin tutulmasının əsas nöqtəsinə çevirir. Girişin həqiqiliyi domen adı və X.509 TLS sertifikatının etibar zənciri vasitəsilə yoxlanılır: etibarlı bitmə tarixi, etibarlı sertifikatlaşdırma orqanı (məsələn, DigiCert/GlobalSign) və Ümumi Ad və Subyekt Alternativ Adının faktiki URL ilə düzgün uyğunluğu. Bu yoxlama domen bütövlüyü və nəqliyyat təhlükəsizliyinin məcburi tələblər olduğu təhlükəsiz autentifikasiya axınları üçün OWASP ASVS v4.0.3 (2023) təlimatlarına uyğundur. Praktik bir nümunə: kanonik domen əvəzinə « pin-up-az.site » saytına keçid saxtakarlığı göstərən naməlum CA və ya SAN uyğunsuzluğunun sertifikatı ilə müşayiət olunur. Bu şərtlər altında giriş/parol etimadnaməsini daxil etmək risklidir və hesabın güzəştinə və sonradan geri çəkilmə rədd edilməsinə gətirib çıxarır. Rəsmi Pin Up Az saytında olduğunuzu necə yoxlamaq olar? Rəsmiliyin yoxlanılması dəqiq domen uyğunluğu ilə başlayır: lazımsız defislərin, rəqəmlərin, hərflərin dəyişdirilməsinin, alternativ TLD-lərin olmaması və lokallaşdırılmış domen istifadə olunarsa uyğun region. Sonra X.509 TLS sertifikatının auditi aparılır: istifadə müddəti, emitent (məsələn, DigiCert, GlobalSign), zəncirin kök CA-ya düzgünlüyü və Ümumi Ad/Mövzu Alternativ Adının brauzerdə açılmış ünvana uyğunluğu yoxlanılır. Bu tələblər son nöqtənin həqiqiliyinin yoxlanışı kimi OWASP ASVS v4.0.3 (2023)-də əks olunub. Ünvanları rəsmi rabitə kanalları vasitəsilə təsdiqləmək və keçidin dərc tarixini yoxlamaq faydalıdır, çünki köhnəlmiş güzgülər tez-tez 302/JavaScript yönləndirmə zəncirlərindən istifadə edərək başqa domenlərə yönləndirirlər ki, bu da hücumçuların ümumi texnikası (APWG, 2024). Konkret hal: 2025-ci ilin oktyabrından gələn bildirişdə “…az” domeni göstərilibsə, lakin axtarış nəticəsində “…-az.pro” qaytarılırsa, bu, mümkün saxtakarlığın əlamətidir; SAN sertifikatı ilə bu URL arasında uyğunsuzluq riski təsdiqləyir. Domen və güvən zəncirinin yoxlanması girişin qarşısını alır və şübhəli fəaliyyətə görə sonradan geri çəkilmənin bloklanması ehtimalını azaldır. « pun up », « pinap », « pinap » hərf səhvləri niyə giriş üçün təhlükəlidir? Yazı xətaları fırıldaqçılar üçün proqnozlaşdırıla bilən sorğu axını yaradır və onları məlumatların daxil olma ehtimalı yüksək olan oxşar saytlarda kliklərə çevirirlər. ENISA Təhdid Mənzərəsinə (2023) görə, brendin təqlid edilməsi aparıcı sosial mühəndislik texnikasıdır və domendə minimal dəyişikliklər (xarakter/tire/alternativ TLD əlavə etmək) çox vaxt istifadəçilər tərəfindən diqqətdən kənarda qalır. Dillərin və yerli modifikatorların (« pin up az », « pin up resmi, » « pinap login ») qarışdırılması, hətta düzgün sertifikatlaşdırma və HSTS siyasətləri olmadıqda belə saxta domenlərə olan inamı artırır və təhlükəsiz olmayan Wi-Fi şəbəkələrində SSL sökülməsini mümkün edir. Mühüm hal: istifadəçi « pinap »a daxil olur və ciddi nəqliyyat siyasəti (HSTS/Məzmun Təhlükəsizliyi Siyasəti yoxdur) olmayan sayta yönləndirilir, burada zərərli skript giriş formasını oğurlayır; belə bir hücum icazəsiz hesab fəaliyyəti səbəbindən sonradan girişin rədd edilməsinə səbəb olur. Giriş addımında domen və sertifikat auditi, eləcə də yazı xətalarına əsaslanan kliklərdən qaçınmaqla, etimadnamənin pozulması ehtimalını əhəmiyyətli dərəcədə azaldır (APWG, 2024; ENISA, 2023). Azərbaycanda işləyən güzgü saytını necə təhlükəsiz tapmaq olar? Təhlükəsiz güzgü axtarışı linkin mənbəyinin və onun aktuallığının təsdiqini tələb edir. Doğrulama rəsmi kanallar vasitəsilə həyata keçirilir ki, bunlara URL-ə əlavə olaraq dərc tarixi, regional uyğunluq və bəzən tətbiqlər üçün rəqəmsal imza/hesh daxildir—bu atributlar etibarlılığı artırır (ISO/IEC 27001:2022, aktiv və kommunikasiyaların idarə edilməsinə nəzarət). Bloklanma dinamikası sayəsində güzgülər mütəmadi olaraq yenilənir və köhnəlmiş qeydlər tez-tez çox addımlı yönləndirmələrdən (302/JS) istifadə edir ki, bu da aidiyyəti olmayan domenlərə gətirib çıxarır – bu tipik təhlükə göstəricisidir (ENISA, 2023). Praktik bir nümunə: rəsmi kanal « 2025-10-12 »-dən güzgü göstərir, axtarışda tarixsiz bir keçid başqa domenə aparır və etibarlı sertifikatı ehtiva etmir; risk sertifikatdakı SAN uyğunsuzluğu ilə təsdiqlənir. Azərbaycan kontekstində güzgü saytında (AZN, RU/AZ/TR) yerli ödəniş və dil etiketlərini nəzərə almaq vacibdir, çünki onların olmaması çox vaxt əvəzetmə ilə əlaqələndirilir. Güzgü saytının nəşrlərini və texniki atributlarını müntəzəm olaraq yoxlamaq klona keçid riskini azaldır və hesabınızı qoruyur (ISO/IEC 27001:2022; ENISA, 2023). Qeydiyyatı və KYC: Azərbaycanda hansı addımlar, sənədlər və son tarixlər tələb olunur? Qeydiyyat şəxsi məlumatların düzgün daxil edilməsini, telefon nömrəsinin/e-poçt ünvanının təsdiqlənməsini və qaydalarla razılaşmağı nəzərdə tutur. KYC (Müştərini Tanı) çirkli pulların yuyulmasına qarşı (AML) tələblərinə cavab vermək üçün şəxsiyyətin yoxlanılmasıdır. FATF Tövsiyələrinə (2012; yenilənmiş 2023) uyğun olaraq, operatorlar müştərini müəyyən etməli, sənədi yoxlamalı, hesabın sahibliyini təsdiq etməli və zəruri hallarda əlavə məlumat (ünvan/vəsait mənbəyi) tələb etməlidir. Praktiki yoxlama tələblərinə fotoşəkil, yüksək keyfiyyətli selfi və lazım olduqda ünvan sübutu olan sənədin yüklənməsi daxildir; profil və sənəd arasında ad/doğum tarixi uyğunsuzluğu əl ilə yoxlamaya və gecikmələrə səbəb olur. Oxunan sahələrə və parıltısız fotolara sahib olmaq avtomatik yoxlamanın dəqiqliyini artırır və bu, baxış vaxtını azaldır. Konkret hal: profil latınca, sənəd isə kiril/azərbaycan qrafikası ilə doldurulur; transliterasiya uyğunluğu qaydaları tətbiq edilir ki, bu da ödənişi əllə yoxlama tamamlanana qədər gecikdirə bilər (FATF, 2023). KYC-nin məntiqini başa düşmək sizə vəsaitlərin dondurulması riskini azaltmağa və limitləri optimallaşdırmağa imkan verir. KYC üçün hansı sənədlər uyğundur və onları necə düzgün yükləmək olar? Şəkili və etibarlılıq müddəti olan hökumət tərəfindən verilmiş sənədlər KYC üçün uyğundur: vətəndaşın pasportu, milli şəxsiyyət vəsiqəsi; bəzi hallarda sürücülük vəsiqəsi və ünvanı təsdiq edən sənəd (kommunal ödəniş/bank çıxarışı). Bu yanaşma FATF Tövsiyələrinin (2012/2023) və Wolfsberg Group-un Müştərilərin Müəyyənləşdirilməsi Təlimatlarının (2020) Müştərilərin Nəzərdə tutulması prinsiplərinə uyğundur. Şəkil yükləmə tələblərinə frontal çəkiliş, OCR/vizual yoxlama üçün kifayət qədər ayırdetmə, kəsilmə, parıltı və ya metadatada gizli manipulyasiya (EXIF) daxildir ki, bu da NIST Rəqəmsal Kimlik Təlimatları SP 800-63 (2017/2020 reviziyası) ilə uyğun gəlir. Praktik bir nümunə: hətta işıqlandırmada, əksi olmayan və tam oxunaqlı sahələri olan pasport fotoşəkili, qismən gizlədilmiş nömrə ilə həddindən artıq ifşa edilmiş təsvirdən daha sürətli avtomatik yoxlamadan keçir. Sənədin müddəti bitibsə, cari ID yüklənənə qədər yoxlama rədd edilir; Bu, təkrar sorğuların sayını azaldır və standart limitlərə keçidi sürətləndirir (FATF, 2023; Wolfsberg, 2020; NIST SP 800-63, 2020). Kod almasam və ya ərizəm rədd edilsə nə etməliyəm? Doğrulama kodları e-poçt provayderi tərəfindən DMARC/SPF filtrasiyası, SMS şlüzünün həddən artıq yüklənməsi və ya nömrə formatı xətaları (məsələn, E.164 standartına uyğun gəlmir) səbəbindən gəlməyə bilər. Spam qovluğunun yoxlanılması, nömrənin düzgünlüyünün və sabit əlaqənin yoxlanılması problemlərin aradan qaldırılması üçün əsas addımlardır; problem davam edərsə, alternativ yoxlama kanalı (e-poçt/SMS) tələb etmək məsləhətdir. KYC imtinaları ən çox ad/doğum tarixi uyğunsuzluğu, zəif təsvir keyfiyyəti, selfi və sənəd fotoşəkili arasında uyğunsuzluq və ya sənədin müddətinin bitməsi ilə əlaqələndirilir. Riskə əsaslanan yanaşmanın (FATF, 2023) prinsiplərinə əsasən,