Υστερα από 27 λεπτά αναμονής κατάφερα να μιλήσω με αντιπρόσωπο και να εξηγήσω τι γίνεται». Τα λεπτά αυτά ήταν αγωνιώδη, όπως περιέγραψε, καθώς όσο περίμενε έβλεπε χιλιάδες ευρώ να «κάνουν βόλτα» από λογαριασμό σε λογαριασμό και έπειτα να εξαφανίζονται.
Οι επιτιθέμενοι επιχείρησαν να του αποσπάσουν συνολικά 29.000 ευρώ από διαφορετικούς λογαριασμούς που διατηρούσε. Οπως υποστήριξε, παρότι και τα δύο τραπεζικά ιδρύματα των οποίων ήταν πελάτης του είπαν ότι «μπλόκαραν» τον παραλήπτη, η μία τράπεζα δεν τα κατάφερε. «Εχασα 12.500 ευρώ και δεν μου τα έδινε η τράπεζα». Οπως ανέφερε, λίγους μήνες μετά δέχθηκε τηλέφωνο από έναν δικηγόρο, που τον ενημέρωσε πως συνελήφθησαν τα τέσσερα άτομα που είχαν διαπράξει την κλοπή σε βάρος του. «Μου είπαν πως αν είμαι διατεθειμένος να υπογράψω ότι δεν επιθυμώ την ποινική δίωξη, θα μου έδιναν πίσω τα χρήματα».
26 άτομα σε όλη την Ελλάδα που είχαν πέσει θύματα
Αυτό και έκανε. Ο Κ.Τ. αντάλλαξε την υπεύθυνη δήλωση με τα χρήματά του.Ο άνδρας ήταν ανάμεσα σε 26 άτομα σε όλη την Ελλάδα που είχαν πέσει θύματα εγκληματικής οργάνωσης, που κατάφερε να αποσπάσει συνολικά 315.000 ευρώ. Το ενδιαφέρον στην υπόθεση είναι πως οι επιτιθέμενοι δεν πήραν τους κωδικούς εξαπατώντας τα θύματά τους, αλλά τους αγόρασαν μέσα από δύο γνωστές ιστοσελίδες του σκοτεινού διαδικτύου.
Η υπόθεση ξεκίνησε έπειτα από αναφορά πολίτη που κατήγγειλε στην αστυνομία αδικαιολόγητες και μη εξουσιοδοτημένες από τον ίδιο τραπεζικές συναλλαγές, κατόπιν παράνομης πρόσβασης που αποκτήθηκε από τους δράστες στον λογαριασμό e-banking που διατηρούσε. Οπως επισήμανε ο διευθυντής της Υποδιεύθυνσης Δίωξης Ηλεκτρονικού Βορείου Ελλάδος, Γεώργιος Αποστολίδης, με δηλώσεις του στην «Κ», αυτό που διέφερε σε σχέση με άλλες περιπτώσεις ηλεκτρονικής απάτης, ήταν πως η παράνομη πρόσβαση στο e-banking δεν δικαιολογούνταν από κάποια αμέσως προηγηθείσα χρονικά προσπάθεια «αλίευσης» των διαπιστευτηρίων πρόσβασης, με χρήση μεθόδων όπως το phishing ή το smishing.
Το ηγετικό μέλος της εγκληματικής οργάνωσης επισκεπτόταν σελίδες του deep και του dark web και έκανε αναζητήσεις καταχωρώντας λέξεις-κλειδιά
![](data:image/svg+xml;charset=utf-8,<svg height="908" width="1100" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Αντ’ αυτού, όπως αποκαλύφθηκε από την έρευνα της αστυνομίας, το ηγετικό μέλος της εγκληματικής οργάνωσης επισκεπτόταν σελίδες του deep και του dark web και έκανε αναζητήσεις καταχωρώντας λέξεις-κλειδιά που σχετίζονταν με e-banking ελληνικών τραπεζών, δημόσιες υπηρεσίες και υπηρεσίες παροχής υπηρεσιών τηλεφωνίας. «Μετά την καταβολή του αντιτίμου, που πραγματοποιούνταν κυρίως με χρήση κρυπτονομισμάτων, παραλάμβανε αρχεία που περιείχαν πληροφορίες του συστήματος-“στόχου”, όπως διαπιστευτήρια πρόσβασης (usernames, passwords), cookies, ιστορικό και δεδομένα αυτόματης συμπλήρωσης περιηγητών, άυλα μέσα πληρωμής, στιγμιότυπα οθόνης και άλλες κρίσιμες πληροφορίες», τόνισε ο κ. Αποστολίδης. Εχοντας στο χέρια τους τα προσωπικά δεδομένα, οι δράστες κατάφεραν να έχουν πρόσβαση σε λογαριασμούς της Google και όλων των εφαρμογών της, από το gmail μέχρι τα google docs, το e-banking, το e-gov, καθώς και σε υπηρεσίες κινητής τηλεφωνίας και λογαριασμούς social media.
Οι εγκληματίες παραβίαζαν και την τελευταία δικλείδα ασφαλείας των θυμάτων τους: τους αριθμούς τηλεφώνου με τους οποίους ήταν συνδεδεμένοι οι τραπεζικοί λογαριασμοί
Διαθέτοντας όλα αυτά τα στοιχεία, οι εγκληματίες παραβίαζαν και την τελευταία δικλείδα ασφαλείας των θυμάτων τους: τους αριθμούς τηλεφώνου με τους οποίους ήταν συνδεδεμένοι οι τραπεζικοί λογαριασμοί. Σε κάποιες περιπτώσεις καλούσαν την εξυπηρέτηση πελατών του παρόχου τηλεποικοινωνίας και προσποιούμενοι το θύμα έκαναν εκτροπή του τηλεφώνου σε δικό τους αριθμό ώστε να έχουν πρόσβαση στο One Time Password (OTP) που χρησιμοποιούν οι τράπεζες για να διασφαλίσουν τις συναλλαγές. Σε άλλες περιπτώσεις έμπαιναν στο gov.gr και άλλαζαν τον συνδεδεμένο αριθμό τηλεφώνου με κάποιο δικό τους ή αποκτούσαν παράνομη πρόσβαση στο viber όπου επίσης τα θύματα λάμβαναν το OTP για τις συναλλαγές τους.
Τα μέλη του κυκλώματος είχαν καταφέρει να διεισδύσουν σε τόσο μεγάλο βάθος στα προσωπικά δεδομένα των θυμάτων που κατάφεραν και εξέδωσαν μέχρι και δάνεια-εξπρές στα ονόματα θυμάτων.
![](data:image/svg+xml;charset=utf-8,<svg height="600" width="900" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Xρήση money mules
Η δράση της οργάνωσης δεν θα μπορούσε να ολοκληρωθεί δίχως την επιστράτευση των λεγόμενων money mules. Οπως περιέγραψε ο Γεώργιος Αποστολίδης, τα ηγετικά μέλη της οργάνωσης αναλάμβαναν «συστηματικά την εξεύρεση, έναντι χρηματικής αμοιβής, νέων ατόμων, κυρίως ατόμων που είχαν οικονομική ανάγκη, προκειμένου να συνδράμουν στη δράση της».
Δημιουργούσαν λογαριασμούς σε ιδρύματα ηλεκτρονικών συναλλαγών, σε ανταλλακτήρια κρυπτονομισμάτων ακόμα και σε στοιχηματικές εταιρείες στους οποίους μετέφεραν τα χρηματικά ποσά που αποκτούσαν παράνομα
Σύμφωνα με την έρευνα, τα άτομα αυτά έκαναν χρήση είτε των προσωπικών τους στοιχείων και εγγράφων ταυτοποίησης, για τα οποία στη συνέχεια δήλωναν κλοπή σε αστυνομικές υπηρεσίες, είτε πλαστών ή νοθευμένων εγγράφων που προμηθευόταν ή καταρτούσε για τον σκοπό αυτό η εγκληματική οργάνωση. Με τη χρήση των εγγράφων αυτών, δημιουργούσαν λογαριασμούς σε ιδρύματα ηλεκτρονικών συναλλαγών, σε ανταλλακτήρια κρυπτονομισμάτων ακόμα και σε στοιχηματικές εταιρείες στους οποίους μετέφεραν τα χρηματικά ποσά που αποκτούσαν παράνομα.
Διαρκώς αυξανόμενη πρακτική του κυβερνοεγκλήματος
Ο κ. Αποστολίδης διευκρίνισε πως μέχρι στιγμής δεν υπάρχουν ενδείξεις ότι τα προσωπικά δεδομένα της υπόθεσης αυτής προήλθαν από συγκεκριμένες διαρροές σε συστήματα οργανισμών του ελληνικού Δημοσίου ή του ιδιωτικού τομέα. «Οπως έχει παρατηρηθεί διεθνώς, προσωπικά δεδομένα τέτοιου είδους συνήθως υποκλέπτονται/”αλιεύονται” σε προγενέστερο χρόνο από άγνωστους δράστες, με τη χρήση κακόβουλων λογισμικών, με σκοπό να διατεθούν προς πώληση σε δεύτερο χρόνο». Οπως δήλωσε στην «Κ», η αγορά διαπιστευτηρίων μέσα από το dark web δεν είναι μια τακτική που συναντάει συχνά η υπηρεσία, κυρίως εξαιτίας της δυσχέρειας στην τεκμηρίωσή της. Παρ’ όλα αυτά η διεθνής τάση δείχνει ότι η αγορά διαπιστευτηρίων (credentials) στο dark web είναι μια διαρκώς αυξανόμενη πρακτική στον κόσμο του κυβερνοεγκλήματος, καθώς αποτελούν τα πιο εμπορεύσιμα δεδομένα στο dark web από τη στιγμή που δίνουν πλήθος εγκληματικών δυνατοτήτων στον κάτοχό τους.
Η ευθύνη των τραπεζών
Το ερώτημα που προκύπτει είναι εάν και πώς προστατεύονται οι καταναλωτές από επιθέσεις τέτοιου είδους. Σύμφωνα με την πιο πρόσφατη διάταξη που ψηφίστηκε το 2023, σε περίπτωση ηλεκτρονικής απάτης – ακόμα και αν επιδείξει βαριά αμέλεια– ο καταναλωτής ευθύνεται μέχρι του ανώτατου ποσού των 1.000 ευρώ. Αν το έμβασμα ή η μεταφορά χρημάτων ξεπεράσουν το ποσό αυτό, ευθύνη έχει η τράπεζα.
Ωστόσο, η διάταξη απαλλάσσει τις τράπεζες από την υποχρέωση να αποζημιώνουν τα θύματα ηλεκτρονικής απάτης για απώλειες άνω των 1.000 ευρώ, εφόσον ο πάροχος, δηλαδή η τράπεζα, αποδείξει ότι «διαθέτει και εφαρμόζει πρόσθετους και πιο εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, από αυτούς που εφαρμόζει για την ισχυρή ταυτοποίηση των συναλλαγών, όπως ιδίως μηχανισμούς ελέγχου που αξιοποιούν τεχνολογίες τεχνητής νοημοσύνης ή επιπλέον κωδικό ή βιομετρική ταυτοποίηση ή τηλεφωνική επιβεβαίωση».
Σε ερώτησή μας προς την Τράπεζα της Ελλάδας, αναφορικά με την προστασία των καταναλωτών σε περίπτωση επίθεσης χάκερ, μας απάντησαν πως «για να αξιολογηθεί επαρκώς μια απάτη που φέρεται κατά τη δήλωση του πελάτη να προκλήθηκε από “επίθεση χάκερ που προμηθεύτηκαν κωδικούς μέσω του σκοτεινού διαδικτύου”, απαιτείται η διερεύνηση πολλαπλών παραμέτρων ώστε να καταστεί εφικτό να τεκμηριωθεί εάν υπήρξε ολιγωρία από τον πάροχο υπηρεσιών πληρωμών ως προς την εφαρμογή των απαιτούμενων μέτρων ασφαλείας, ή εάν το θύμα επέδειξε πλημμελή συμπεριφορά στη διαχείριση των εξατομικευμένων διαπιστευτηρίων του ή βαριά αμέλεια». Οπως σημειώθηκε στην απάντηση, μείζονα ερωτήματα που θα έπρεπε να απαντηθούν στο πλαίσιο μίας αξιολόγησης θα ήταν το πώς τεκμηριώνεται ότι οι δράστες πράγματι απέκτησαν πρόσβαση σε διαπιστευτήρια μέσω του σκοτεινού διαδικτύου καθώς και με ποιον τρόπο τα διαπιστευτήρια του χρήστη διέρρευσαν ώστε τελικά να καταλήξουν σε διαδικτυακό χώρο.
Το ζήτημα της απόδειξης έθεσε στην «Κ» και η αναπληρώτρια της Συνηγόρου του Καταναλωτή. «Λύνονται πολύ δύσκολα οι διαφορές αυτές μεταξύ καταναλωτή και τράπεζας», σημείωσε η Βασιλική Μπώλου. «Αν σου έχουν αλλάξει το κινητό (σ.σ. στο οποίο λαμβάνεις τις ειδοποιήσεις συναλλαγής), πρέπει να αποδείξεις ότι ο δράστης πήρε τα στοιχεία σου και άλλαξε το κινητό σου και συνεπώς η συναλλαγή δεν έγινε με τη δική σου συγκατάθεση», ανέφερε με τη σειρά του ο δικηγόρος Χρήστος Διαμαντής, που έχει εμπειρία σε αντίστοιχες περιπτώσεις. Οπως εξήγησε, σε μια τέτοια υπόθεση συνήθως ο καταναλωτής θα πρέπει να κάνει μήνυση κατ’ αγνώστου και έπειτα να μπει σε μια δικαστική διαμάχη με την τράπεζα, διαδικασία που θα του κοστίσει χρόνο, χρήμα και ταλαιπωρία.
Ο Κ.Τ. πλέον, για τις συναλλαγές του στην τράπεζα χρησιμοποιεί κινητό που δεν συνδέεται στο διαδίκτυο και λαμβάνει μέσω sms τις ειδοποιήσεις και τους κωδικούς για την έγκριση συναλλαγών
Μετά το αρχικό σοκ που υπέστη ο Κ.Τ. πέφτοντας θύμα μιας τέτοιας απάτης, έλαβε τα μέτρα του. Εγκατέστησε λογισμικό ασφαλείας σε όλα τα συστήματα στην επιχείρησή του ενώ πλέον για τις συναλλαγές του στην τράπεζα χρησιμοποιεί κινητό που δεν συνδέεται στο διαδίκτυο και λαμβάνει μέσω sms τις ειδοποιήσεις και τους κωδικούς για την έγκριση συναλλαγών.
Πηγή: kathimerini.gr–Αλεξία Καλαϊτζή