Απάτη: Πολλές οι καταγγελίες από θύματα που έχουν πέσει στην παγίδα κυκλώματος. Πολλές φορές δεν είναι ικανές ούτε οι τράπεζες για να αποτρέψουν την απάτη. Δεκάδες καταγγελίες και προβληματισμός σε πολίτες και Αστυνομία. Όλες οι εξελίξεις στο xristika.gr.
«Τσουνάμι» καταγγελιών και ένα εξώδικο στο protothema.gr από θύματα του «phishing», όπως είναι διεθνώς γνωστή κάθε είδους ηλεκτρονική οικονομική απάτη, που είδαν να κάνουν «φτερά» μέσα από τους τραπεζικούς τους λογαριασμούς χιλιάδες ευρώ, με διαφορετικές πάντα κινήσεις.
Τα θύματα βρίσκονται σε κατάσταση αμόκ αναζητώντας εναγωνίως την δικαίωσή τους για την απάτη που έπεσαν θύματα, καθώς όπως υποστηρίζουν οι τραπεζικοί οργανισμοί στους οποίους διατηρούν κάρτες και λογαριασμούς, παρουσιάζουν κενό ασφαλείας με αποτέλεσμα τα στοιχεία τους να βρίσκονται στα χέρια απατεώνων.
Μέχρι αυτή την ώρα το σχέδιο του κυκλώματος μοιάζει να είναι πανομοιότυπο, καθώς όπως αποδεικνύεται δεν είναι και λίγοι αυτοί που καθημερινά δέχονται με sms στα κινητά τους τηλέφωνα τα παραπλανητικά τους μηνύματα.
Σε όλες τις περιπτώσεις ο αποστολέας είναι πάντα η τράπεζα στην οποία τα θύματα διατηρούν κάρτες και τραπεζικούς λογαριασμούς, με αποτέλεσμα ο κόσμος να πείθεται και να πέφτει άθελα του στην απάτη ακολουθώντας κατά γράμμα τις οδηγίες.
Το πρόβλημα ξεκινάει από την στιγμή που το εκάστοτε θύμα μπαίνει στην διαδικασία να επισκεφτεί το link που αναγράφεται στο μήνυμα που έχει λάβει.
Από εκεί οδηγείται σε μια σειρά από σοβαρά λάθη κι αυτό γιατί στα πεδία που του εμφανίζεται συμπληρώνει τους προσωπικούς του κωδικούς username και passoword. Αυτή είναι και η μεγάλη απάτη.
Μιλώντας στο protothema.gr ο κ. Κυπριανός Βασιλόπουλος, Επικεφαλής Σύμβουλος Ασφαλείας της εταιρείας Full Counter επισημαίνει ότι «εάν κάποιος έχει πρόσβαση στον αριθμό του κινητού τηλεφώνου ενός χρήστη, μπορεί να το χρησιμοποιήσει για να κάνει το λεγόμενο ‘phishing’.
Δηλαδή, να στέλνει παραπλανητικά μηνύματα που περιέχουν links για διευθύνσεις στο διαδίκτυο, όπου μπορεί πχ να ζητά ανάκτηση κωδικών κ.λπ.
Το ‘phishing’ είναι μια πολύ διαδεδομένη μέθοδος για την απόσπαση δεδομένων από έναν ανύποπτο χρήστη. Καμία τράπεζα/ κανένας τραπεζικός οργανισμός δεν θα σας ζητήσει να συνδεθείτε στον τραπεζικό σας λογαριασμό»
Απάτη: Μετά την καταγγελία το εξώδικό
Όπως κατήγγειλε στις 9 Σεπτεμβρίου στο protothema.gr ο Μιχάλης Κωνσταντινίδης, η υπόθεση του οποίου παίρνει νέες διαστάσεις, καθώς με εξώδικο του προς τον τραπεζικό του οργανισμό αναμένονται εξελίξεις, η παγίδα είναι τόσο καλά στημένη, καθώς όλα συμβαίνουν μέσω ψεύτικου υπολογιστικού περιβάλλοντος που προσομοιάζει με υπολογιστικό περιβάλλον τραπεζικής εφαρμογής, στην οποία ο παθών διατηρεί πιστωτικές κάρτες και λογαριασμό.
«Στις 15 Αυγούστου και ώρα 21:44, μου έστειλαν με sms στο κινητό μου τηλέφωνο μήνυμα με το διακριτικό όνομα της τράπεζας μου, που έλεγε: “Επιχειρήθηκε μια πληρωμή από μια νέα συσκευή.
Εάν δεν είστε εσείς επισκεφτείτε το link (αναφέρει όνομα)” αιφνιδιάστηκα και πείστηκα πως ήταν αληθινό. Αυτό είχε ως αποτέλεσμα να συνδεθώ με τον σύνδεσμο και να καταχωρήσω τους ηλεκτρονικούς μου αριθμούς (username και password), προκειμένου να δω τι ακριβώς είχε συμβεί, αλλά και τι είδους συναλλαγή είχε πραγματοποιηθεί. Κατά την είσοδο μου διαπίστωσα πως δεν είχε γίνει καμία συναλλαγή» αναφέρει ο Μιχάλης Κωνσταντινίδης και προσθέτει: «Δέκα λεπτά αργότερα και μέσω viber η τράπεζα, μου έστειλε τρία μηνύματα στα οποία φαίνονταν πως είχαν γίνει τρεις συναλλαγές με την χρήση της πιστωτικής μου κάρτας, χωρίς την συγκατάθεση μου. Συγκεκριμένα στις 21:56′ πραγματοποιήθηκε συναλλαγή 5.231 ευρώ στην επιχείρηση www.ALIEXPRESS.COM στην Μεγάλη Βρετανία.
Στις 22:00 συναλλαγή στην ίδια επιχείρηση της τάξεως των 517 ευρώ και στις 22:08 άλλη μια συναλλαγή χρηματικής αξίας 1.493 ευρώ. Επιπλέον οι δράστες, που μου έστειλαν το αρχικό μήνυμα απέκτησαν πρόσβαση και στον προσωπικό μου λογαριασμό.
Έτσι μπήκαν στην ηλεκτρονική υπηρεσία της τράπεζας μου και πρόσθεσαν στο προφίλ μου ένα νέο λογαριασμό με την σύντομη ονομασία man και πραγματοποίησαν δυο μεταφορές χρημάτων συνολικής αξίας 2.500 ευρώ.
Συγκεκριμένα στις 01:21′ μεταφορά χρημάτων 1000 ευρώ και στις 01:22′ 1.500 ευρώ. Συνολικά από τις τραπεζικές αυτές κινήσεις μου αφαιρέθηκε το ποσό των 9.743 ευρώ».
Από τις πρώτες κιόλας συναλλαγές ο 54χρονος κατάλαβε πως είχε πέσει θύμα απάτης, με αποτέλεσμα να ενημερώσει την ίδια στιγμή την τράπεζα του προκειμένου να τον συμβουλέψει για το τι πρέπει να κάνει.
«Την ώρα που έγινε η υποκλοπή πήρα αμέσως την τράπεζα και τους ενημέρωσα για ό,τι είχε συμβεί.
Τους λέω “παιδιά μου κλέβουν τις κάρτες αυτή την στιγμή, τι πρέπει να κάνω;”. Μου λένε μην ανησυχείτε γιατί για την ώρα έχουν γίνει δεσμεύσεις και όχι χρεώσεις.
Να τονίσω πως δεν πάτησα ποτέ τα push notification, τα οποία εγκρίνουν τις συναλλαγές αυτές. Στο τηλέφωνο η κοπέλα που με εξυπηρέτησε μου είπε να μην ανησυχώ γιατί η κάρτα μου ακυρώθηκε και πως δεν θα υπάρξει κανένα πρόβλημα, καθώς ναι μεν έχουν γίνει οι δεσμεύσεις, ωστόσο δεν έχουν γίνει οι χρεώσεις.
Υποτίθεται τα άτομα αυτά που εργάζονται στα συγκεκριμένα τμήματα θα πρέπει να γνωρίζουν καλύτερα από τον καθένα μας να χειρίζονται τις ηλεκτρονικές απάτες, όμως έπεσα έξω.
Αντί η υπάλληλος να μου πει πως από την στιγμή που οι δράστες έχουν τους κωδικούς πρόσβασης θα πρέπει να μπλοκαριστεί όλη η σχέση μου με την τράπεζα, το άφησε έτσι με αποτέλεσμα τα ξημερώματα της 16ης Αυγούστους στις 01:21′ να γίνουν και οι μεταφορές χρημάτων».
Όπως εξηγεί ο Μιχάλης Κωνσταντινίδης που πλέον έχει κινηθεί νομικά, ενώ με τον δικηγόρο του θα ζητήσουν και όλες τις τηλεφωνικές συνομιλίες της ημέρας εκείνης με τον υπάλληλο της τράπεζας, το θέμα του θα το φτάσει ακόμα και στον Άρειο Πάγο αν χρειαστεί.
«Δεν έπρεπε η τράπεζα να με προστατέψει από το πρώτο κιόλας τηλεφώνημά μου; Έπρεπε να μου μπλοκάρουν και να μου ακυρώσουν τις συναλλαγές και τις κάρτες, αλλά και τους λογαριασμούς μου. Δυστυχώς δεν το έκαναν κι αυτό γιατί υπάρχουν σοβαρά κενά ασφαλείας. Πρωί πρωί στις 16 Αυγούστου πήγα στην τράπεζα κι έκανα αιτήματα αμφισβήτησης. Εκεί πάλι μου είπαν να μην ανησυχώ γιατί κινήθηκα εγκαίρως και πως τα ποσά των πρώτων συναλλαγών θα μου επιστραφούν. Μετά από δέκα μέρες η τράπεζα μου απάντησε στα αιτήματα μου λέγοντας πως οι αμφισβητούμενες συναλλαγές εγκρίθηκαν με push notification, το οποίο εγώ δεν πάτησα ποτέ γιατί κατάλαβα πως μου τρώνε τα λεφτά. Συνεπώς η γνωστοποίηση των προσωπικών κωδικών αναγνώρισης έγινε μετά από δική μου παράβλεψη, η οποία οδήγησε στην ολοκλήρωση των λογαριασμών, ώστε η τράπεζα να μην μπορεί να αναλάβει το κόστος. Με άλλα λόγια όσα μου είπαν το βράδυ εκείνο στα τηλεφωνήματα που τους έκανα δεν ίσχυαν».
Για τον Μιχάλη Κωνσταντινίδη το πρόβλημα έγκειται στο γεγονός πως αν και ενημέρωσε έγκαιρα την τράπεζά του, ωστόσο δεν έγιναν οι απαραίτητοι αντιλογισμοί με αποτέλεσμα οι δεσμεύσεις των χρηματικών ποσών να γίνουν χρεώσεις.
«Εγώ έπαθα την ζημιά την ημέρα της Παναγίας 15 Αυγούστου και λίγες εβδομάδες νωρίτερα έλεγα στην αδελφή μου να προσέχει τις ηλεκτρονικές απάτες και τα μηνύματα που στέλνουν.
Για τις μεταφορές λογαριασμών δεν έχω λάβει καμία απάντηση. Εγώ έκανα ο,τι ακριβώς μου είπε η τράπεζα και τίποτα περισσότερο ή λιγότερο. Εκείνοι το μόνο που έκαναν ήταν να ακυρώσουν τις κάρτες μου χωρίς να κάνουν αντιλογισμούς στις χρεώσεις με αποτέλεσμα οι δεσμεύσεις να γίνουν και χρεώσεις.
Το άλλο σοβαρό ήταν που δεν μου μπλόκαραν και τον τραπεζικό μου λογαριασμό, πάλι καλά που δεν είχα περισσότερα χρήματα μέσα.
Εκτός από την τράπεζα πήγα και στο αστυνομικό τμήμα καταθέτοντας μήνυση κατά αγνώστων, είχα μιλήσει με την δίωξη ηλεκτρονικού εγκλήματος και ακολούθησα τις εντολές τους.
Το θέμα με την τράπεζα θα το πάω στα δικαστήρια, θα φτάσω μέχρι τον Άρειο Πάγο και το συμβούλιο επικρατείας. Να βρουν τους τρόπους ν ενημερώνουν σωστά τον κόσμο, οι δράστες χρησιμοποιούν στα μηνύματα τους το όνομα των τραπεζών τους κι αυτοί δεν κάνουν τίποτα. Υπάρχουν κενά στα ηλεκτρονικά συστήματα ασφαλείας με αποτέλεσμα να την πατάμε οι πολίτες».
Απάτη: Έξαρση περιπτώσεων απάτης με κάρτες – Οι πιο συνήθεις τακτικές
Η πιο συνηθισμένη τυπολογία στις ηλεκτρονικές απάτες στην Ελλάδα είναι η εξής:
1. “Phishing, “Pharming και Cracking” με “Sim Swapping”. Οι δράστες αποκτούν παράνομη πρόσβαση στους ηλεκτρονικούς υπολογιστές των θυμάτων και υποκλέπτουν τα ονόματα χρήστη και τους κωδικούς πρόσβασής τους στις διαδικτυακές τραπεζικές πλατφόρμες.
Εν συνεχεία, με τη χρήση των στοιχείων αυτών εκδίδουν εξουσιοδοτήσεις, μέσω υπηρεσιών της ηλεκτρονικής διακυβέρνησης (Gov.gr).
Αφού εκδώσουν όλα τα απαραίτητα έγγραφα, οι δράστες χρησιμοποιούν “αχυράνθρωπους” για να εκδώσουν νέες κάρτες SIM για τα κινητά τηλέφωνα των θυμάτων.
Με τον τρόπο αυτό καταφέρνουν να παρακάμψουν τις διαδικασίες ασφαλείας του e-banking (αποστολή SMS ή μηνύματος μέσω VIBER στους πελάτες με μοναδικό κωδικό για κάθε συναλλαγή) και να αφαιρέσουν μεγάλα χρηματικά ποσά από τα θύματα.
2. “Phishing”. Ο όρος “phishing” αναφέρεται στα απατηλά μηνύματα ηλεκτρονικού ταχυδρομείου, που σκοπό έχουν να εξαπατήσουν τους παραλήπτες τους και να γνωστοποιήσουν στους επιτήδειους δράστες προσωπικές και οικονομικές πληροφορίες ή κωδικούς ασφαλείας των θυμάτων.
3. “Smishing”. Ο όρος “smishing” (συνδυασμός των λέξεων “SMS” και “Phishing”) αναφέρεται στην προσπάθεια των επιτήδειων δραστών να αποκτήσουν προσωπικές και οικονομικές πληροφορίες ή κωδικούς ασφαλείας μέσω μηνυμάτων SMS.
Το SMS συνήθως ζητά από το θύμα να κάνει κλικ σε έναν ηλεκτρονικό σύνδεσμο (link) ή να καλέσει έναν αριθμό τηλεφώνου, προκειμένου να επαληθεύσει, ενημερώσει ή επανανεργοποιήσει τον λογαριασμό του.
4. “Ανάληψη μετρητών από ΑΤΜ χωρίς κάρτα”. Υποτίθεται ότι μια τραπεζική υπηρεσία παρέχει τη δυνατότητα άμεσης ανάληψης μετρητών από τα ΑΤΜ τράπεζας, χωρίς τη χρήση κάρτας.
Στην προκειμένη περίπτωση, ανάληψη των μετρητών μπορεί να κάνει ακόμη και παραλήπτης που δεν είναι πελάτης της τράπεζας από οποιοδήποτε ΑΤΜ, αρκεί να διαθέτει τον Κωδικό Ανάληψης Μετρητών που για λόγους ασφαλείας η τράπεζα κοινοποιεί μόνο στον αποστολέα των χρημάτων.
Οι δράστες χρησιμοποιούν εύσχημες δικαιολογίες και βασίζονται κυρίως στην άγνοια των υποψηφίων θυμάτων για το πώς λειτουργεί η συγκεκριμένη υπηρεσία ταχείας ανάληψης μετρητών χωρίς κάρτα.
Παραπλανούν τα θύματα και αυτά, ενώ πιστεύουν ότι πληκτρολογούν το ποσό που θα λάβουν για συγκεκριμένη συναλλαγή, στην πραγματικότητα δίνουν εντολή χρέωσης του δικού τους λογαριασμού (γίνεται ανάληψη από το λογαριασμό τους).
Στη συνέχεια, οι δράστες ζητούν από τα θύματα να τους πουν τον Κωδικό Ανάληψης Μετρητών μίας χρήσης που τα θύματα λαμβάνουν από την τράπεζα.
Τέλος, οι δράστες, μέσω του εν λόγω κωδικού, εισπράττουν άμεσα με ανάληψη από ΑΤΜ τα χρήματα που υποτίθεται ότι έπρεπε να καταβάλουν στα θύματα για τη συγκεκριμένη συναλλαγή.
5. Το κόλπο της προκαταβολής και του valeur. Οι απάτες αυτές σχετίζονται συνήθως με ψευδείς αγγελίες πώλησης αγαθών σε δημοφιλείς ιστοσελίδες αγγελιών και μέσων κοινωνικής δικτύωσης.
Οι δράστες άλλοτε ζητούν την κατάθεση του τιμήματος πριν από την παράδοση του προϊόντος, το οποίο ουδέποτε παραδίδουν, άλλοτε αποστέλλουν πλαστογραφημένα αντίγραφα εμβάσματος και SWIFT με στοιχεία υπαρκτών εταιρειών με συναφή δραστηριότητα.
Μια άλλη παραλλαγή φέρει τους δράστες να ισχυρίζονται ότι εκ παραδρομής έχουν μεταφέρει χρηματικά ποσά στους τραπεζικούς λογαριασμούς των υποψήφιων αγοραστών.
Εν συνεχεία, εκμεταλλευόμενοι την καθυστέρηση της πίστωσης του ποσού, λόγω valeur, ζητούν την επιστροφή των χρημάτων σε άλλους τραπεζικούς λογαριασμούς (των δραστών).
6. Ψεύτικες ιστοσελίδες τραπεζών. Κακόβουλα email περιλαμβάνουν ηλεκτρονικούς συνδέσμους (links) που φέρουν αντίγραφα λογοτύπου επίσημων τραπεζών, οι οποίοι σύνδεσμοι τους ανακατευθύνουν σε μια ψεύτικη ιστοσελίδα, δήθεν της επίσημης τράπεζας συνεργασίας, όπου τους ζητείται να αποκαλύψουν τα οικονομικά και προσωπικά τους στοιχεία. Οι ψεύτικες ιστοσελίδες τραπεζών προσομοιάζουν αρκετά με τις νόμιμες ιστοσελίδες τραπεζών. Η απάτη αποκαλύπτεται σχετικά εύκολα παρατηρώντας το URL της ιστοσελίδας αλλά και αρκετά ορθογραφικά και συντακτικά λάθη, τα οποία ποτέ δεν θα υπήρχαν σε μια επίσημη σελίδα τράπεζας.
7. Η απάτη του “τεχνικού”. Άτομα επιχειρούν να παραπλανήσουν χρήστες του διαδικτύου, προσποιούμενοι τους τεχνικούς που εργάζονται σε κέντρα υποστήριξης μεγάλων εταιρειών λογισμικού. Μέσω κλήσεων από τηλέφωνα τρίτων χωρών “προθυμοποιούνται” να βοηθήσουν στην επίλυση τεχνικών προβλημάτων του υπολογιστή. Από τα θύματα ζητούν να εγκαταστήσουν στον υπολογιστή τους λογισμικό απομακρυσμένης πρόσβασης. Με αυτόν τον τρόπο αποκτούν πλήρη έλεγχο και έχουν πρόσβαση σε αποθηκευμένους κωδικούς, τους οποίους στη συνέχεια έχουν τη δυνατότητα να χρησιμοποιήσουν για παράνομες ενέργειες.
8. Η “απάτη του CEO”. Υπάλληλος μιας εταιρείες που έχει τη δυνατότητα να κάνει πληρωμές λαμβάνει ένα επείγον email από τον διευθύνοντα σύμβουλο για μια μεταφορά χρημάτων. Συνήθως το email του αποστολέα διαφέρει ελάχιστα από εκείνο του πραγματικού CEO. O δήθεν CEO ζητά από τον υπάλληλο την άμεση μεταφορά του ποσού χωρίς να περιμένει εγκρίσεις λόγω του επείγοντος.
9. “Πως να γίνεις πλούσιος”. Η απάτη των μη ρεαλιστικών αποδόσεων αποτελούν ίσως τις πιο κοινές, οι οποίες όμως έχουν αυξηθεί τελευταία λόγω των χαμηλών επιτοκίων και της εργασιακής αβεβαιότητας. Οι απάτες αυτές σχετιζόμενες με επενδύσεις και υποσχόμενες εξαιρετικά υψηλές αποδόσεις, μπορεί να περιλαμβάνουν επικερδείς επενδυτικές ευκαιρίες, όπως μετοχές, ομόλογα, κρυπτονομίσματα, πολύτιμους λίθους, υπεράκτιες επενδύσεις σε ακίνητη περιουσία και εναλλακτικές πηγές ενέργειας.
Απάτη: Τρεις χρυσοί κανόνες
Η Αρχή δίνει τρεις χρήσιμους κανόνες για την ασφάλεια στις συναλλαγές:
1. Ποτέ κλικ σε ηλεκτρονικούς συνδέσμους (links) που περιλαμβάνονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία δήθεν ανακατευθύνουν στην ιστοσελίδα της τράπεζας με την οποία συνεργαζόμαστε.
2. Ποτέ δεν δίνονται οι κωδικοί “PIN” / “ΕΧΤΡΑ PIN” της πιστωτικής ή χρεωστικής κάρτας ή τον κωδικό πρόσβασης του τραπεζικού λογαριασμού μέσω e-banking. Η επίσημη τράπεζα ποτέ δεν ζητά τέτοιου είδους πληροφορίες.
3. Ιδιαίτερη προσοχή για συναλλαγές ή επικοινωνίες κατά τις μεταμεσημβρινές, απογευματινές και βραδινές ώρες καθώς και κατά τις ημέρες εορτών και αργιών, κατά τις οποίες αναφέρεται ότι είναι αναγκαία η άμεση τηλεφωνική επικοινωνία με την τράπεζα.