Πώς επιτήδειοι κλέβουν κωδικούς και δεδομένα με email, sms και το κόλπο με τις διπλές κάρτες SIM

Νέους τρόπους για ηλεκτρονικές κλοπές με email και sms βρίσκουν οι επιτήδειοι.

Μόνο τυχαία δεν είναι η νέα ενημερωτική εκστρατεία της Τράπεζας της Ελλάδας και των πιστωτικών ιδρυμάτων, για τους κινδύνους που ελλοχεύουν πίσω από φαινομενικά «αθώα» ή «επίσημα» ηλεκτρονικά μηνύματα.

Σε ένα τέτοιο e-mail, ως αποστολέας εμφανίζεται συστημική τράπεζα, η οποία καλεί τον παραλήπτη- με την προσφώνηση «αξιοσέβαστε πελάτη»- να επιβεβαιώσει τον τηλεφωνικό του αριθμό, έτσι ώστε να… προστατεύσει τα προσωπικά του δεδομένα και να… ενισχύσει την ασφάλεια του λογαριασμού.

Όποιος από κεκτημένη ταχύτητα ή από περιέργεια, πατήσει το ενεργό link, είτε θα μεταφερθεί σε ένα ψεύτικο περιβάλλον της τράπεζας και θα “καταθέσει” ευαίσθητα δεδομένα είτε θα “τσιμπήσει” έναν ωραιότατο ιό (spyware), ο οποίος θα κλέψει κωδικούς και άλλες ευαίσθητες πληροφορίες. Όποιος παρατηρήσει απλώς την ηλεκτρονική διεύθυνση του αποστολέα, θα διαπιστώσει εύκολα ότι “μυρίζει” απάτη.

Τέτοια μηνύματα, υποτίθεται από τράπεζες που ενδιαφέρονται για την… ασφάλεια των λογαριασμών μας, από την ΑΑΔΕ που θέλει να μας… επιστρέψει φόρους, από εταιρίες ταχυμεταφορών που θέλουν να… ξεμπλοκάρουν δέματα, από εταιρίες ενέργειας που θέλουν να… διορθώσουν λανθασμένες χρεώσεις, κατακλύζουν πάλι τα κινητά τηλέφωνα και τα ηλεκτρονικά ταχυδρομεία των πολιτών.

Οι πιο υποψιασμένοι απλώς διαγράφουν τα μηνύματα. Ωστόσο σε ουκ ολίγες περιπτώσεις, οι απατεώνες δεν χρειάζονται καν τη “συνεργασία” μας. Μια τέτοια περίπτωση είναι η απάτη της μορφής SIM Swapping.

Η χρήση του αριθμού κινητού τηλεφώνου ως ένα από τα κύρια και βασικά στοιχεία για την ισχυρή και αξιόπιστη ταυτοποίηση του κατόχου/συνδρομητή του, αποτελεί διεθνή πρακτική που χρησιμοποιούν οργανισμοί, εταιρίες και το δημόσιο για τις υπηρεσίες που προσφέρουν.

Οι τράπεζες δεν αποτελούν εξαίρεση σε αυτή την πρακτική, αφού χρησιμοποιούν τον αριθμό κινητού τηλεφώνου των πελατών τους ως το μέσο για την αποστολή κωδικών μίας χρήσης (OTP) που ενισχύουν την ασφάλεια  ηλεκτρονικών συναλλαγών (μεταφορές κεφαλαίων, αγορές με κάρτες, κλπ), την αποστολή ειδοποιήσεων ασφαλείας (alerts) για συναλλαγές που έχουν εκτελεστεί και την εξ αποστάσεως εγγραφή τους σε νέες υπηρεσίες.

Η αντικατάσταση/αλλαγή της κάρτας SIM (SIM Replace) είναι μια καθόλα νόμιμη υπηρεσία που προσφέρουν οι πάροχοι κινητής τηλεφωνίας στους συνδρομητές τους, ώστε οι τελευταίοι να διατηρήσουν τον αριθμό τηλεφώνου τους σε περίπτωση απώλειας ή κλοπής της συσκευής τους ή λόγω ανάγκης χρήσης διαφορετικού μεγέθους κάρτας SIM.

Με την ενεργοποίηση της νέας κάρτας SIM, η παλαιά κάρτα αυτόματα απενεργοποιείται και οι υπηρεσίες κινητής τηλεφωνίας (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) πραγματοποιούνται εφεξής από την καινούργια κάρτα που λειτουργεί με τον ίδιο αριθμό.  Στις περιπτώσεις απάτης τύπου SIM Swapping, οι δράστες εκμεταλλεύονται τη δυνατότητα αλλαγής κάρτας SIM και προσποιούνται είτε τον κάτοχο της κάρτας SIM ή κάποιον εξουσιοδοτημένο από τον νόμιμο συνδρομητή, προσπαθώντας έτσι να εξαπατήσουν τους παρόχους κινητής τηλεφωνίας και να αποκτήσουν νέα κάρτα προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος.

Μόλις ενεργοποιήσουν τη νέα κάρτα, η παλιά, που βρίσκεται στην κατοχή του νόμιμου συνδρομητή απενεργοποιείται και έτσι όλες οι υπηρεσίες (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) λαμβάνονται στη συσκευή που βρίσκεται στην κατοχή του εξαπατήσαντος δράστη, δίνοντάς τους τη δυνατότητα να διεξάγουν παράνομες δραστηριότητες εν αγνοία των νόμιμων συνδρομητών. (π.χ. λαμβάνοντας κλήσεις και μηνύματα που προορίζονται για αυτούς, υποκλέπτοντας κωδικούς μιας χρήσης ή μηνυμάτων επαλήθευσης ασφάλειας κ.λπ).

Η μη εξουσιοδοτημένη αντικατάσταση/ανταλλαγή της κάρτας SIM αποτελεί συνήθως το δεύτερο σκέλος του παραπάνω παράνομου τρόπου δράσης.  Κατά το πρώτο σκέλος, οι δράστες έχουν καταφέρει να υποκλέψουν τους κωδικούς e-Banking συνήθως μέσω ενός ηλεκτρονικού μηνύματος “ψαρέματος” (phishing) ή μέσω κακόβουλου λογισμικού (trojan/malware) που έχουν εγκαταστήσει στον υπολογιστή του θύματος.

Το διαδίκτυο Με αυτά τα δεδομένα, είναι προφανές ότι το “σερφάρισμα” και οι συναλλαγές στο διαδίκτυο απαιτούν ύψιστο βαθμό προσοχής, έχοντας κατά νου ότι οι τράπεζες δεν ζητούν με κανέναν τρόπο (τηλεφωνικώς ή μέσω e-mail) στοιχεία λογαριασμών, στοιχεία καρτών, κωδικούς πρόσβασης.    Οι κανόνες αυτοπροστασίας είναι αυτονόητοι:

Αλλάζετε συχνά τους κωδικούς σας και χρησιμοποιείτε συνδυασμούς από γράμματα, αριθμούς και ειδικούς χαρακτήρες όπως # και @. Έχετε την ευθύνη διαφύλαξης των προσωπικών κωδικών ασφαλείας, σε περίπτωση δε διαρροής αυτών, οφείλετε να ειδοποιήσετε αμέσως την τράπεζα σας Μην μοιράζεστε τα προσωπικά σας στοιχεία/δεδομένα Μη δίνετε τα στοιχεία της κάρτας σας στις επιχειρήσεις τηλεφωνικά, καθώς αυτό εγκυμονεί κινδύνους διαρροής των στοιχείων σας προς τρίτα πρόσωπα Να πλοηγείστε και να δίνετε τα στοιχεία των καρτών σας σε πιστοποιημένους ιστοτόπους /επιχειρήσεις. Αν δεν είστε σίγουροι για την ασφάλειά σας, αποφύγετε να συναλλάσσεστε μαζί τους Πριν από κάθε χρήση των ηλεκτρονικών υπηρεσιών της τράπεζας σας, βεβαιωθείτε ότι βρίσκεστε στο ασφαλές περιβάλλον συναλλαγών της τράπεζας, με το χαρακτηριστικό  λουκέτο (security lock) στην αρχή της γραμμής αναζήτησης Τα μέσα κοινωνικής δικτύωσης είναι όλο και πιο δημοφιλή, αλλά είναι φρονιμότερο να κρατήσει κανείς ορισμένα προσωπικά στοιχεία ιδιωτικά Αποφύγετε την κοινή χρήση των προσωπικών σας στοιχείων που χρησιμοποιείτε για να συναλλάσεστε με τα χρηματοπιστωτικά ιδρύματα για την αναγνώρισή σας, όπως η ημερομηνία γέννησής σας, η διεύθυνση κατοικίας, το πατρικό όνομα της μητέρας, σχολεία φοίτησης και το όνομα του κατοικίδιου ζώου. Οι απατεώνες μπορούν να χρησιμοποιήσουν αυτό το είδος των πληροφοριών για να αποκτήσουν πρόσβαση σε οποιονδήποτε λογαριασμό, δεδομένου ότι οι απαντήσεις στις ερωτήσεις ασφαλείας είναι κοινές Πάντα να εξετάζετε προσεκτικά τις επιλογές απορρήτου των μέσων κοινωνικής δικτύωσης που εγγράφεστε. Οι επιλογές απόρρητου και τα εργαλεία των μέσων κοινωνικής δικτύωσης μπορεί να είναι περίπλοκα, γι’ αυτό πρέπει να εξετάζονται προσεκτικά, διότι μπορεί να περικλείουν πληροφορίες που θα θέλατε να παραμείνουν απόρρητες. Σύμφωνα με τα τελευταία στοιχεία της Τράπεζας της Ελλάδας, το 2023, καταγράφηκε σημαντική αύξηση του αριθμού των συναλλαγών απάτης κατά 43% σε σχέση με το 2022.     Αναλύοντας τις μεταβολές των περιστατικών απάτης ανά τύπο συναλλαγής, παρατηρείται η αύξηση του αριθμού των συναλλαγών απάτης που αφορά στις εξ αποστάσεως συναλλαγές χωρίς φυσική παρουσία κάρτας (card not present – CNP) κατά 34% σε 337 χιλ. περιστατικά το 2023, από 251 χιλ. το 2022, καθώς και η αντίστοιχη αύξηση της αξίας τους κατά 35% σε 17,5 εκατ. ευρώ, από 13 εκατ. ευρώ το 2022.

Πηγή: iefimerida, Γ. Παππούς