“Λόγω αύξησης κακόβουλων μηνυμάτων με στόχο την υποκλοπή κωδικών πρόσβασης, η Τράπεζα υπενθυμίζει ότι ποτέ και με κανέναν τρόπο δεν πρόκειται να σας ζητήσει τα στοιχεία εισόδου στο web banking. Οι κωδικοί αυτοί είναι προσωπικοί και δεν πρέπει σε καμία περίπτωση να τους αποκαλύπτετε σε τρίτους. Παρακαλούμε, για την ασφάλειά σας, να ενημερώσετε τα στοιχεία σας και να αλλάξετε τους κωδικούς πρόσβασης τώρα, πατώντας στον παρακάτω σύνδεσμο”.
Πρόκειται για μία από τις χιλιάδες παραλλαγές που μπορεί να έχει ένα μήνυμα μέσω email, SMS, τηλεφώνου, social media ή όποιου άλλου μέσου και τρόπου μπορεί να φανταστεί κάποιος ώστε ο επιτήδειος να υποκλέψει τους κωδικούς πρόσβασης στον τραπεζικό λογαριασμό ή τα στοιχεία της κάρτας. Υπάρχουν μηνύματα ευγενικά, όπως το παραπάνω που προσπαθούν να κερδίσουν την εμπιστοσύνη του θύματος, αλλά και εκφοβιστικά. Κυκλοφορούν μηνύματα που ζητούν βοήθεια για μια συναλλαγή με το αζημίωτο ή προτείνουν εμπορική ή επιχειρηματική συνεργασία με μεγάλη προμήθεια. Σε κάθε περίπτωση, ο στόχος του επιτήδειου είναι οδηγήσει το θύμα του να ανταποκριθεί και να πατήσει τον σύνδεσμο (link) στο μήνυμα ή να πληκτρολογήσει ένα νούμερο στο κινητό του (π.χ. “πατήστε το 1 για εξακρίβωση των στοιχείων σας”). Με τον τρόπο αυτό ανοίγει ο δρόμος για την υποκλοπή των στοιχείων πρόσβασης του ανυποψίαστου θύματος στον τραπεζικό λογαριασμό μέσω ebanking ή mobile banking.
Phishing
Η πιο διαδεδομένη μορφή απάτης που δίνει πρόσβαση στον τραπεζικό λογαριασμό του θύματος είναι το “phishing”. Αν και έχει αρκετές παραλλαγές, η βασική τυπολογία προβλέπει τα εξής βήματα: το υποψήφιο θύμα λαμβάνει ένα μήνυμα, το οποίο, για παράδειγμα, εμφανίζεται να έχει σταλεί από την τράπεζά του, με έναν σύνδεσμο. Πλέον τα μηνύματα αυτά “αντιγράφουν” πιστά το λογότυπο, τη γραμματοσειρά, τα χρώματα, ακόμα και το ύφος επικοινωνίας της τράπεζας ή άλλης εταιρείας. Επίσης, δεν έχουν συντακτικά και ορθογραφικά λάθη όπως παλαιότερα. Αν το υποψήφιο θύμα πατήσει τον σύνδεσμο, τότε ανακατευθύνεται σε ένα site το οποίο μοιάζει με εκείνο της τράπεζας με την οποία συναλλάσσεται ή της όποιας άλλης εταιρείας φέρεται να έχει στείλει το αρχικό μήνυμα. Το site ζητά προσωπικά στοιχεία, όπως ΑΦΜ, αριθμό τηλεφώνου, αριθμό ταυτότητας κ.λπ. για υποτιθέμενο έλεγχο ταυτοπροσωπίας ή προσπαθεί να αποσπάσει το όνομα χρήστη και τον κωδικό εισόδου στο web ή mobile banking. Αν το υποψήφιο θύμα πληκτρολογήσει το όνομα χρήστη και τον κωδικό, π.χ. για επιβεβαίωση στοιχείων ή για να αλλάξει τον κωδικό του για υποτιμημενη ασφάλεια, τότε έρχεται στο κινητό του θύματος ένας κωδικός επιβεβαίωσης. Το site ζητά από το θύμα τον κωδικό αυτό. Μόλις τον πληκτρολογήσει και τον καταχωρήσει έχει δώσει στον επιτήδειο ό,τι χρειάζεται για να εισέλθει στον τραπεζικό λογαριασμό: όνομα χρήστη, προσωπικό κωδικό και κωδικό επιβεβαίωσης μέσω του κινητού.
Το πώς θα ζητηθούν οι προσωπικοί κωδικοί ή οι κωδικοί επιβεβαίωσης μέσω κινητού ή πόσες φορές, αυτό εξαρτάται από το σενάριο της απάτης και στον στόχο. Αν, για παράδειγμα, το σενάριο θέλει το θύμα να αλλάζει προσωπικό κωδικό εισόδου, τότε θα ζητηθεί μία φορά κωδικός επιβεβαίωσης μέσω κινητού. Άρα, ο επιτήδειος μπορεί να εισέλθει στον τραπεζικό λογαριασμό και να κάνει κινήσεις που δεν χρειάζονται πάλι επιβεβαίωση μέσω κινητού. Για παράδειγμα, μπορεί να μεταφέρει χρήματα από λογαριασμό σε λογαριασμό εντός της ίδιας τράπεζας. Υπάρχουν κι άλλα σενάρια που ζητούν δύο φορές επιβεβαίωση ή και περισσότερες. Έτσι, ο επιτήδειος μπορεί να κάνει κι άλλες συναλλαγές, όπως να στείλει τα χρήματα σε λογαριασμό άλλης τράπεζας ή ακόμα και στο εξωτερικό. Μπορεί να κάνει αίτηση για έκδοση prepaid card, να μεταφέρει εκεί τα χρήματα και στη συνέχεια να κάνει ανάληψη από μετρητά ή να τη συνδέσει με μια υπηρεσία παροχής πληρωμών και συναλλαγών.
SIM Swapping
Η δεύτερη πιο διαδεδομένη μορφή απάτης είναι το SIM Swapping που σημείωσε έξαρση κυρίως στην αρχή της πανδημίας. Μοιάζει με το “phishing”, αλλά έχει την εξής διαφορά: ο επιτήδειος δημιουργεί αντίγραφο της κάρτας SIM και λαμβάνει αυτός τα μηνύματα με τον κωδικό επιβεβαίωσης. Αυτό γίνεται αφού πρώτα έχει υποκλέψει κάποια προσωπικά δεδομένα και στη συνέχεια επικαλείται ότι είναι ο κάτοχος του κινητού τηλεφώνου που του χάλασε η κάρτα SIM. Ζητά από ένα κατάστημα κινητής τηλεφωνίας την αντικατάστασή της. Μάλιστα, οι τρόποι υποκλοπής έχουν ξεπεράσει τη φαντασία. Σε ορισμένες περιπτώσεις χρησιμοποιήθηκαν μέχρι οι υπηρεσίες του Gov.gr, με τα στοιχεία εισόδου που έδωσε το ανυποψίαστο θύμα, με αποτέλεσμα οι επιτήδειοι να βγάλουν βεβαιώσεις για να πείσουν ότι ήταν οι κάτοχοι του κινητού τηλεφώνου κ.ά. Στις περιπτώσεις αυτές SIM Swapping, το θύμα αρχικά διαπιστώνει ότι το κινητό του δεν είχε σήμα. Οι περισσότεροι πιστεύουν ότι υπάρχει κάποιο πρόβλημα στο δίκτυο. Όταν ανησυχήσουν και αναζητήσουν τον λόγο που το κινητό τους τηλέφωνο δεν έχει σήμα, τότε είναι αργά…
Λύση του προβλήματος
Σύμφωνα με τραπεζικά στελέχη που ασχολούνται με την ασφάλεια των συστημάτων, ο πιο άμεσος τρόπος αντιμετώπισης των φαινομένων αυτών είναι η συνεργασία μεταξύ τραπεζών και εταιρειών κινητής τηλεφωνίας, όπου θα διασταυρώνονται παράλληλα, κατά την είσοδο στο web ή mobile banking, το IP της συσκευής που προσπαθεί να εισέλθει, ο αριθμός του κινητού τηλεφώνου και ο αριθμός της κάρτας SIM. Ο χρυσός κανόνας, όμως, είναι ένας. Δεν δίνουμε κωδικούς πρόσβασης σε κανέναν. Ούτε κι αν (λέει ότι) τα ζητά η τράπεζα εμπιστευτικά.
H έξαρση των φαινομένων απάτης στις ηλεκτρονικές συναλλαγές αυξήθηκε κατά την πανδημία, λόγω της ανόδου των ψηφιακών, απομακρυσμένων και ανέπαφων συναλλαγών. Ταυτόχρονα, λόγω του μεγάλου ρυθμού ψηφιοποίησης, εισήλθαν χρήστες που δεν ήταν εξοικειωμένοι με τα ψηφιακά μέσα. Οι περισσότερες απάτες παρατηρούνται είτε σε μεγάλες ηλικίες, λόγω μειωμένης εξοικίωσης ή στις μικρές λόγω άγνοιας ή υποτίμησης του κινδύνου και της μεγάλης χρήσης των social media, κινητών τηλεφώνων, chat, link για μπόνους/δώρα, ανανεώσεις χρόνων κ.λπ.
Περιστατικά
Επίσης, έμπειρα τραπεζικά στελέχη στον χώρο των συστημάτων συναλλαγών και την ασφάλεια, ανέφεραν ότι κατά το 2020 που ακούστηκαν περιστατικά SIM Swapping και “Phishing” που έφτασαν μέχρι τα 30 σε μία ημέρα. Ακόμα, από τους ελέγχους διαπιστώθηκε ότι οι εγκέφαλοι της απάτης συνήθως βάζουν μεσάζοντες που στέλνουν τα μηνύματα ή κάνουν τις παράνομες μεταφορές χρημάτων κερδίζοντας σημαντικό ποσοστό.
Οι μεσάζοντες αυτοί, που στη γλώσσα της συγκεκριμένης αγοράς ονομάζονται “μουλάρια” (“mules”) είναι συνήθως αλλοδαποί και νεαρά ηλικίας άτομα, τα οποία πολλές φορές είναι και αυτά θύματα της όλης απάτης.
Επιπλέον, η άνοδος της απάτης οφείλεται σε μεγάλο βαθμό και στην εξέλιξη των επιτήδειων και των εργαλείων που χρησιμοποιούν. Σήμερα, μεγάλοι τεχνολογικοί κολοσσοί και εταιρείες πληροφορικής αναζητούν στο dark web έτοιμες εφαρμογές που προσφέρουν όλα τα εργαλεία για στήσιμο απάτης. Τα μηνύματα και τα site είναι καλοφτιαγμένα, πιστά αντίγραφα των πραγματικών, τα κείμενα είναι σωστά μεταφρασμένα και δεν έχουν συντακτικά και ορθογραφικά λάθη. Οι εταιρείες πληροφορικής εντοπίζουν αυτά τα παράνομα λογισμικά, ενημερώνουν και τον ανταγωνισμό και τους πελάτες τους, ενώ ταυτόχρονα τα μπλοκάρουν ώστε να μη λειτουργούν. Όμως, συνεχώς ξεπετάγονται σαν μανιτάρια.
O τζίρος της απάτης
Στην πρόσφατη σύσκεψη στο υπ. Προστασίας του Πολίτη, εκπρόσωποι των τραπεζών, της Τράπεζας της Ελλάδος, της Αστυνομίας και του ηλεκτρονικού εγκλήματος. Από τα στοιχεία που συζητήθηκαν προέκυψε ότι περίπου 10 τυπολογίες αποτελούν το 95% του τζίρου της απάτης στην Ελλάδα. Μόνο οι απάτες μέσω καρτών, πιστωτικών και χρεωστικών, ξεπερνούν τα 12-13 εκατ. ευρώ, ενώ μαζί με τις προηγούμενες δύο το μέγεθος μπορεί να ξεπερνά τα 40 εκατ. ευρώ. Η εκτίμηση αυτή βασίζεται στον στατιστικό δείκτη της μέσης απάτης ανά αξία συναλλαγής στην Ελλάδα που κυμαίνεται μεταξύ 0,01% και 0,02%. Εάν το μέσο ποσοστό (0,015%) εφαρμοστεί στο σύνολο των ηλεκτρονικών συναλλαγών του 2020, τότε ο τζίρος της e-απάτης εκτιμάται γύρω στα 40-44 εκατ. ευρώ.
Το Capital.gr, ως όφειλε, τηρώντας τους κανόνες δημοσιογραφικής έρευνας και με στόχο την ενημέρωση των αναγνωστών για την καλύτερη προστασία από παράνομες και ζημιογόνες σε βάρος τους πρακτικές, υπέβαλε επίσημο αίτημα προς τη Γενική Γραμματεία και το γραφείο Τύπου της Ελληνικής Ένωσης Τραπεζών, ζητώντας περαιτέρω ενημέρωση και διευκρινίσεις για τις απάτες σε βάρος τραπεζικών πελατών. Η επίσημη απάντηση που έλαβε ήταν ότι “οικονομικά και στατιστικά στοιχεία δίνονται στη δημοσιότητα μόνο με επίσημες ανακοινώσεις και δελτία τύπου της ΕΕΤ”.
Πηγή: Capital.gr
