29.888,30 ευρώ. Αυτό είναι κατά μέσο όρο το ποσό που χανόταν κάθε ημέρα από τραπεζικούς λογαριασμούς κατά τη διάρκεια της περυσινής χρονιάς. Πρόκειται για περίπου 250.000 περιστατικά απάτης με χρήση των καρτών πληρωμών ανυποψίαστων πολιτών. Τα μεγέθη αυτά δεν θεωρούνται μεγάλα, δεδομένου ότι αντιπροσωπεύουν μόλις το 0,02% και 0,03% της αξίας και του αριθμού αντίστοιχα των συνολικών συναλλαγών που πραγματοποιήθηκαν το 2019.
Ωστόσο, την τελευταία τριετία βαίνουν συνεχώς αυξανόμενα, εξέλιξη που αποδίδεται τόσο στην αύξηση της χρήσης καρτών και ηλεκτρονικών καναλιών όσο και στον συνεχή εκσυγχρονισμό των επιτήδειων που μέσω του Διαδικτύου έχουν βάλει στο μάτι τα τραπεζικά προϊόντα φυσικών και νομικών προσώπων. Είναι χαρακτηριστικό ότι η αξία των απατηλών συναλλαγών με κάρτες κατέγραψε τη διετία 2018-2019 άνοδο της τάξης του 72%, ενώ ο αριθμός των περιστατικών αυξήθηκε κατά 160%!
Σύμφωνα με τραπεζικά στελέχη, μπορεί τα συστήματα ασφαλείας των χρηματοπιστωτικών οργανισμών να ενισχύονται και να αναβαθμίζονται συνεχώς, ωστόσο υπάρχει μια παράμετρος που δεν μπορεί να ελεγχθεί. «Είναι η απροσεξία των χρηστών που πέφτουν θύματα διαδικτυακής απάτης, επιτρέποντας σε επιτηδείους να αποκτήσουν πρόσβαση στα στοιχεία τους» σημειώνουν οι ίδιες πηγές.
Οπως εξηγούν, η αύξηση της χρήσης των σύγχρονων μεθόδων ηλεκτρονικής τραπεζικής από ανθρώπους μεγαλύτερων κατά βάση ηλικιών, που δεν είναι εξοικειωμένοι με τα ψηφιακά μέσα, αποτελεί τον κυριότερο λόγο αύξησης των περιστατικών απάτης. Προσθέτουν δε πως το μόνο που μπορούν να κάνουν οι τράπεζες και οι Αρχές είναι να εκπαιδεύσουν τον κόσμο ώστε να αντιλαμβάνεται ευκολότερα τις απόπειρες διαδικτυακών επιθέσεων.
Ειδικά μετά το ξέσπασμα της πανδημίας, η αύξηση των εγγραφών στο e-banking κινητοποίησε τους e-ληστές, οι οποίοι βρήκαν μια μοναδική ευκαιρία να βγάλουν μεροκάματο από τους πρωτάρηδες. Πριν από λίγες ημέρες μάλιστα έγινε γνωστό ότι πολίτης στην Κρήτη είδε τον λογαριασμό του να αδειάζει μέσα σε μιάμιση ώρα, χωρίς να μπορεί να κάνει τίποτα, παρότι αντιλήφθηκε εγκαίρως το περιστατικό.
Πώς παίρνουν τα λεφτά
Πώς είναι δυνατόν όμως κάποιος να αποκτήσει πρόσβαση στον λογαριασμό μας; «Δεν είναι εύκολο, αλλά ούτε και αδύνατο» σημειώνει τραπεζική πηγή. Προϋποθέτει τόσο την υποκλοπή των στοιχείων εισόδου στο e-banking όσο και την απόκτηση σε πραγματικό χρόνο των κωδικών ασφαλείας μιας χρήσης που παράγονται στη στιγμή για την εκτέλεση μιας συναλλαγής.
Τα στοιχεία εισόδου στο e-banking τα γνωρίζει μόνο ο χρήστης των υπηρεσιών. Ούτε η ίδια η τράπεζα έχει πρόσβαση σε αυτά. Δεν είναι τυχαίο το μήνυμα «η τράπεζα δεν θα σας ζητήσει ποτέ και για κανέναν λόγο τα στοιχεία εισόδου στο e-banking» που μεταδίδεται όταν κάποιος καλεί την υπηρεσία Phone Banking.
Ως εκ τούτου, για να περιέλθουν στην κατοχή των κλεφτών, θα πρέπει να τα αποκαλύψει άθελά του ο πελάτης. Αυτό μπορεί να γίνει με τους ακόλουθους τρόπους:
Phishing (ηλεκτρονικό ψάρεμα)
Είναι η κακόβουλη προσπάθεια επίδοξων ληστών να υποκλέψουν προσωπικά στοιχεία, όπως κωδικούς πρόσβασης Internet banking, αριθμούς ή PIN πιστωτικών / χρεωστικών καρτών, αριθμούς διαβατηρίων, αστυνομικών ταυτοτήτων και ΑΦΜ. Οι phishers στέλνουν μαζικά e-mails σε τυχαία e-mail accounts ανυποψίαστων παραληπτών, όπου είτε δελεάζοντάς τους είτε προσπαθώντας να τους πείσουν ότι είναι αναγκαίο τους καλούν να επιλέξουν (να κάνουν κλικ σε) έναν σύνδεσμο (link).
Ο σύνδεσμος αυτός οδηγεί σε ιστοσελίδες που έχουν φτιάξει οι phishers και οι οποίες μοιάζουν με τις πραγματικές ιστοσελίδες των τραπεζών, με σκοπό να παραπλανήσουν τους χρήστες ώστε να πληκτρολογήσουν εκεί προσωπικά τους στοιχεία. Μόλις γίνει η πληκτρολόγηση, οι απατεώνες έχουν μάθει τους κωδικούς εισόδου στο e-banking.
Προστασία. Μπορείτε να προστατευθείτε από phishing αποφεύγοντας να ανοίγετε e-mails από άγνωστους σε εσάς αποστολείς και μη δίνοντας τους κωδικούς σας και τα προσωπικά στοιχεία σε sites που δεν γνωρίζετε σε ποιον οργανισμό ανήκουν.
Επίσης, μπορείτε να αναγνωρίσετε τον επίσημο ιστότοπο της τράπεζάς σας από το λουκέτο (security lock) στην αρχή της γραμμής που περιέχει τη διεύθυνση του e-banking.
Μalware (κακόβουλο λογισμικό)
Πρόκειται για προγράμματα που μπορεί να εγκατασταθούν στον υπολογιστή ή στο κινητό σας χωρίς να το καταλάβετε, με σκοπό να υποκλέψουν ευαίσθητες πληροφορίες από τη συσκευή σας και να εκτελέσουν μη εξουσιοδοτημένες ενέργειες, ή, γενικότερα, να αποκτήσουν έλεγχο της συσκευής σας εν αγνοία σας.
Το malware που στοχεύει στην υποκλοπή στοιχείων παρακολουθεί σε μόνιμη βάση τις ιστοσελίδες που επισκέπτεστε και εφόσον ανιχνεύσει ότι πρόκειται για τράπεζα ξεκινά να καταγράφει κρυφά σε τοπικό αρχείο οτιδήποτε πληκτρολογείτε (Username, passwords κ.λπ.). Εάν χρειαστεί, μπορεί ακόμα και να αποθηκεύσει στιγμιότυπο/εικόνα της σελίδας. Αφού ο χρήστης ολοκληρώσει τη διαδικασία, στέλνει αυτόματα όλα τα δεδομένα που έχει καταγράψει (συνήθως ως επισυναπτόμενα σε email) στον δημιουργό του. Τα απεσταλμένα στοιχεία μπορεί να χρησιμοποιηθούν απευθείας από τον δημιουργό του malware ή να πουληθούν μαζικά σε τρίτους.
Οι πιο συνήθεις τακτικές εγκατάστασης malware είναι οι ακόλουθες:
- Συνημμένα αρχεία σε email. Απατεώνες στέλνουν emails που προσπαθούν να σας ξεγελάσουν και να ακολουθήσετε μία ιστοσελίδα, κατεβάζοντας ένα κομμάτι του λογισμικού ή το άνοιγμα ενός συνημμένου που εγκαθιστά στη συνέχεια το Trojan.
- Λήψεις δωρεάν λογισμικού (π.χ. παιχνίδια, ταινίες, μουσική και ελεύθερο λογισμικό).
Προστασία
Μπορείτε να προστατευθείτε από malware αποφεύγοντας να ανοίγετε e-mails από άγνωστους σε εσάς αποστολείς, προσέχοντας από πού κατεβάζετε αρχεία, εγκαθιστώντας ειδικά προγράμματα προστασίας των συσκευών σας (anti-virus. anti-spyware κ.ά.) και ενημερώνοντάς τα τακτικά, αναβαθμίζοντας τακτικά τα προγράμματά σας (λειτουργικά συστήματα, browsers κ.ά.) στην τελευταία τους έκδοση.
Vishing (κακόβουλη τηλεφωνική επικοινωνία)
Αυτή η τακτική είναι μια απόπειρα phishing που πραγματοποιείται μέσω τηλεφωνικής κλήσης ή φωνητικού μηνύματος. Οι phishers παραπλανούν τον καλούντα, χρησιμοποιώντας προσωπικές πληροφορίες, όπως το όνομά του, δίνοντας την αίσθηση ότι η κλήση πραγματοποιείται από εκπρόσωπο της τράπεζας ή κάποιας μεγάλης πολυεθνικής εταιρείας.
Στόχος τους είναι να εκμαιεύσουν ευαίσθητα δεδομένα, που το θύμα πιθανόν να αποκαλύψει, και να τα χρησιμοποιήσουν (συνήθως με τη συγκατάθεσή του) εις βάρος του. Αν δεν γνωρίζετε τον συνομιλητή σας, τερματίστε την κλήση και επιβεβαιώστε τα στοιχεία του με το contact center της τράπεζάς σας.
Τελευταία καταγράφεται μεγάλος αριθμός τηλεφωνημάτων σε πελάτες τραπεζών από υποτιθέμενους παρόχους υπηρεσιών τεχνικής υποστήριξης ή επισκευής υποτιθέμενης βλάβης υπολογιστή (technical support scams). Οι δράστες τηλεφωνούν σε ανυποψίαστους πολίτες και υποδύονται τεχνικούς από μεγάλη π.χ. πολυεθνική εταιρεία πληροφορικής.
Η τηλεφωνική συνομιλία είναι μάλιστα αρκετές φορές στα αγγλικά. Με πρόφαση ότι ο υπολογιστής τους ή / και η φορητή συσκευή τους είναι «μολυσμένα» από κακόβουλο λογισμικό ζητούν να εγκαταστήσουν λογισμικό απομακρυσμένης πρόσβασης για τη δήθεν επιδιόρθωση – αποκατάσταση του προβλήματος.
Οι εφαρμογές αυτές, αφότου εγκατασταθούν, επιτρέπουν στους δράστες να έχουν πλήρη έλεγχο στις ηλεκτρονικές συσκευές των θυμάτων τους, τους οποίους στη συνέχεια εξαπατούν για να τους «δώσουν» και τους προσωπικούς κωδικούς τους για το e-banking.
Οι δράστες προβαίνουν στη συνέχεια σε μεταφορές χρημάτων από τους λογαριασμούς (e-banking) των θυμάτων τους σε τραπεζικούς λογαριασμούς που ελέγχουν οι ίδιοι ή συνεργοί τους.
Phishing μέσω SMS
Η τακτική αυτή είναι επίσης γνωστή και ως smishing, η οποία είναι ένας συνδυασμός των SMS και phishing. Ο σκοπός του μηνύματος κειμένου phishing είναι ο ίδιος με το παραδοσιακό phishing e-mail, δηλαδή να πείσει τους παραλήπτες να μοιραστούν τις απόρρητες πληροφορίες τους.
Η απάτη με την κάρτα SIM
Με τις προαναφερθείσες μορφές απάτης, οι επιτήδειοι αποκτούν πρόσβαση στα στοιχεία εισόδου στις υπηρεσίες ηλεκτρονικής τραπεζικής. Ωστόσο, για να εκτελεστεί μια συναλλαγή, χρειάζεται και κάτι ακόμη. Ο κωδικός μίας χρήσης που είτε παράγεται από συσκευή που σας έχει δώσει η τράπεζά σας ή αποστέλλεται μέσω γραπτού μηνύματος SMS ή Viber στο κινητό σας τηλέφωνο. Αρα ο δράστης θα πρέπει να σας εκμαιεύσει την ίδια στιγμή το PIN μίας χρήσης για να κάνει τη συναλλαγή.
Στην περίπτωση που έχετε συσκευή για την παραγωγή αυτών των κωδικών, θα πρέπει εσείς να τους αποκαλύψετε στον δράστη. Κίνδυνος υπάρχει και για όσους λαμβάνουν τους σχετικούς κωδικούς μέσω μηνύματος στο κινητό τους. Ο λόγος γίνεται για το «SIM Swapping».
Πρόκειται για μια μορφή ηλεκτρονικής εξαπάτησης η οποία την τελευταία χρονική περίοδο έχει εμφανιστεί διεθνώς, αλλά και στη χώρα μας. Οι εγκληματίες στοχεύουν στην υποκλοπή και χρήση του αριθμού κινητού τηλεφώνου επειδή ολοένα και περισσότεροι οργανισμοί, τράπεζες, κυβερνήσεις χρησιμοποιούν τον αριθμό κινητού τηλεφώνου ως ένα από τα βασικά στοιχεία για την αξιόπιστη ταυτοποίηση του φυσικού προσώπου.
Δύο σκέλη. Το κύκλωμα αποτελείται από δύο σκέλη
Στο πρώτο οι δράστες έχουν καταφέρει να υποκλέψουν τους κωδικούς της ηλεκτρονικής υπηρεσίας του θύματος, όπως, για παράδειγμα, τους κωδικούς e-banking καθώς και τον αριθμό κινητού τηλεφώνου.
Αυτό συνήθως γίνεται μέσω ενός ηλεκτρονικού μηνύματος «ψαρέματος», όπως παρουσιάστηκε παραπάνω, ή μέσω κακόβουλου λογισμικού που έχουν εγκαταστήσει στον υπολογιστή του θύματος, ή μέσω αγοράς από διάφορα παράνομα φόρουμ του Διαδικτύου.
Κατά το δεύτερο σκέλος της απάτης, οι δράστες εκμεταλλεύονται τη δυνατότητα αλλαγής κάρτας SIM, η οποία είναι μια καθ’ όλα νόμιμη υπηρεσία που προσφέρουν οι πάροχοι κινητής τηλεφωνίας στους συνδρομητές τους.
Προσποιούνται είτε τον νόμιμο συνδρομητή ή κάποιον εξουσιοδοτημένο από αυτόν και προσπαθούν έτσι να εξαπατήσουν τους παρόχους κινητής τηλεφωνίας και να αποκτήσουν νέα κάρτα SIM προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος.
Με την ενεργοποίηση της νέας κάρτας SIM, η παλιά κάρτα, που βρίσκεται στην κατοχή του νόμιμου συνδρομητή, απενεργοποιείται και έτσι όλες οι υπηρεσίες κινητής τηλεφωνίας, όπως κλήσεις, SMS, πρόσβαση στο Διαδίκτυο, λαμβάνονται στη συσκευή που βρίσκεται στην κατοχή των δραστών. Τους δίνουν έτσι τη δυνατότητα να διεξάγουν παράνομες δραστηριότητες εν αγνοία των νόμιμων συνδρομητών.
Τι να προσέξετε
Η σύσταση στους καταναλωτές είναι η εξής: Αν το κινητό τους σταματήσει να λειτουργεί για ασυνήθιστους λόγους, πρέπει να επικοινωνήσουν αμέσως με τον πάροχο κινητής τηλεφωνίας τους. Μερικές φορές μπορεί να χάσουν το σήμα λόγω ευρύτερων προβλημάτων που επηρεάζουν την υπηρεσία κινητής τηλεφωνίας. Ωστόσο, εάν χαθεί η υπηρεσία σε μια θέση που συνήθως έχει καλή κάλυψη, είναι ασφαλέστερο να επικοινωνήσουν με τον πάροχο του δικτύου τους και να επιβεβαιώσουν ότι δεν έχει αντικατασταθεί η SIM.