Μια καλοκουρδισμένη μηχανή, που κοστίζει τρισεκατομμύρια δολάρια ετησίως, είναι πλέον το κυβερνοέγκλημα. Σε ιστοσελίδες στο σκοτεινό διαδίκτυο (dark web), κρυμμένοι από τις Αρχές επιβολής του νόμου, αλλά και από την πλειοψηφία των καταναλωτών, οι κυβερνοεγκληματίες αγοράζουν και πουλάνε τεράστιες ποσότητες κλεμμένων δεδομένων.
Σύμφωνα με την ESET, σε τέτοιες ιστοσελίδες κυκλοφορούν σήμερα 24 δισεκατομμύρια ονόματα χρηστών και κωδικοί πρόσβασης, που έχουν αποκτηθεί παράνομα. Μεταξύ των πιο περιζήτητων είναι τα δεδομένα τραπεζικών καρτών, τα οποία στη συνέχεια αγοράζονται μαζικά από απατεώνες για να πραγματοποιήσουν απάτες ταυτότητας.
Στις χώρες που έχουν εφαρμόσει συστήματα chip και PIN (γνωστά και ως EMV), είναι δύσκολο να μετατραπούν αυτά τα δεδομένα σε κλωνοποιημένες κάρτες. Έτσι, συνήθως χρησιμοποιούνται online σε επιθέσεις τύπου card-not-present (CNP). Οι απατεώνες τις χρησιμοποιούν για να αγοράσουν είδη πολυτελείας και για να τα πουλήσουν ή ενδεχομένως για να αγοράσουν μαζικά κάρτες δώρων – που είναι ένας άλλος δημοφιλής τρόπος για το ξέπλυμα παράνομων κεφαλαίων.
Όπως επισημαίνουν οι αναλυτές, είναι δύσκολο να εκτιμηθεί το μέγεθος της αγοράς αυτών των καρτών. Ωστόσο, οι διαχειριστές της μεγαλύτερης παράνομης αγοράς στον κόσμο “βγήκαν στη σύνταξη” πρόσφατα, αφού πρώτα μάζεψαν περίπου $358 εκατ.
Πως δρουν οι χάκερς
Η ESET επισημαίνει πέντε τρόπους, με τους οποίους οι χάκερς κλέβουν τα στοιχεία των πιστωτικών καρτών:
Phishing: Το “ηλεκτρονικό ψάρεμα” (Phishing) είναι μια από τις πιο δημοφιλείς τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να κλέψουν προσωπικά στοιχεία καταναλωτών. Στην απλούστερη εκδοχή του, πρόκειται για ένα τέχνασμα απάτης κατά το οποίο ο χάκερ μεταμφιέζεται σε κάποια οντότητα κύρους (π.χ. τράπεζα, πάροχο ηλεκτρονικού εμπορίου, ή εταιρεία τεχνολογίας) για να εξαπατήσει τους χρήστες να αποκαλύψουν τα προσωπικά τους στοιχεία ή να κατεβάσουν κάποιο κακόβουλο λογισμικό.
Συχνά ενθαρρύνουν τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο ή να ανοίξουν ένα συνημμένο αρχείο. Ορισμένες φορές αυτό οδηγεί το χρήστη σε κάποια σελίδα phishing – όπου θα σας ενθαρρύνουν να εισάγετε προσωπικές και τραπεζικές πληροφορίες. Το phishing λέγεται ότι έφτασε στο υψηλότερο επίπεδο όλων των εποχών το 1ο τρίμηνο του 2022.
Και βεβαίως, αυτές οι απάτες έχουν εξελιχθεί τα τελευταία χρόνια. Αντί για ένα μήνυμα ηλεκτρονικού ταχυδρομείου, σήμερα μπορεί να λάβετε ένα κακόβουλο μήνυμα (SMS) από έναν χάκερ που προσποιείται ότι είναι από κάποια εταιρεία, μια κυβερνητική υπηρεσία, ή άλλον αξιόπιστο οργανισμό.
Οι απατεώνες μπορεί ακόμη και να σας τηλεφωνήσουν, προσποιούμενοι και πάλι ότι δουλεύουν για μια αξιόπιστη πηγή, με σκοπό να αποκτήσουν τα στοιχεία της κάρτας σας. Το phishing μέσω SMS (smishing) υπερδιπλασιάστηκε σε ετήσια βάση το 2021, ενώ το φωνητικό phishing (vishing) αυξήθηκε επίσης κατακόρυφα, σύμφωνα με εκτιμήσεις.
Κακόβουλο λογισμικό
Το κυβερνοέγκλημα είναι μια τεράστια αγορά, όχι μόνο για τα προσωπικά δεδομένα, αλλά και για κακόβουλο λογισμικό. Με την πάροδο των ετών, έχουν σχεδιαστεί διάφοροι τύποι κακόβουλου κώδικα για την κλοπή πληροφοριών. Ορισμένα καταγράφουν τις πληκτρολογήσεις σας – για παράδειγμα, καθώς πληκτρολογείτε τα στοιχεία της κάρτας σας σε μια ιστοσελίδα ηλεκτρονικού εμπορίου ή τραπεζικών συναλλαγών.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου ή τα μηνύματα ηλεκτρονικού “ψαρέματος” είναι μια δημοφιλής μέθοδος. Οι κακόβουλες διαδικτυακές διαφημίσεις είναι μια άλλη μέθοδος.
Σε άλλες περιπτώσεις, μπορεί να παραβιάζουν δημοφιλείς ιστοσελίδες και να περιμένουν τους χρήστες να τις επισκεφθούν. Το κακόβουλο λογισμικό Drive-by-download εγκαθίσταται αμέσως μόλις επισκεφθείτε την παραβιασμένη ιστοσελίδα. Το κακόβουλο λογισμικό κλοπής πληροφοριών είναι επίσης συχνά κρυμμένο μέσα σε κακόβουλες εφαρμογές (apps) για κινητά που μοιάζουν νόμιμες.
Ηλεκτρονικό “ξάφρισμα”
Μερικές φορές οι χάκερ εγκαθιστούν κακόβουλο λογισμικό στις σελίδες πληρωμών σε ιστοσελίδες ηλεκτρονικού εμπορίου. Αυτό είναι αόρατο για τον χρήστη, αλλά υποκλέπτει τα στοιχεία της κάρτας σας καθώς τα πληκτρολογείτε.
Δεν υπάρχουν πολλά που μπορούν να κάνουν οι χρήστες για να παραμείνουν ασφαλείς, εκτός από το να ψωνίζουν μόνο από γνωστές εταιρείες και ιστοσελίδες, οι οποίες είναι πιθανό να είναι πιο ασφαλείς. Οι ανιχνεύσεις ηλεκτρονικού ξαφρίσματος (ή αλλιώς online card skimming) αυξήθηκαν κατά 150% από τον Μάιο έως και το Νοέμβριο του 2021.
Μερικές φορές οι χάκερ κλέβουν τα στοιχεία των καρτών απευθείας από τις εταιρείες με τις οποίες συνεργάζεστε. Θα μπορούσε να είναι ένας πάροχος υγειονομικής περίθαλψης, ένα κατάστημα ηλεκτρονικού εμπορίου, ή ένα ταξιδιωτικό γραφείο.
Αυτός είναι ένας πιο αποδοτικός τρόπος δράσης από την πλευρά των χάκερ, επειδή με μία επίθεση αποκτούν μεμιάς πρόσβαση σε έναν τεράστιο όγκο δεδομένων, ενώ με τις εκστρατείες phishing πρέπει να κλέψουν από τα άτομα ένα προς ένα – αν και αυτές οι επιθέσεις είναι συνήθως αυτοματοποιημένες. Τα κακά νέα είναι ότι το 2021 ήταν έτος ρεκόρ παραβίασης δεδομένων στις ΗΠΑ.
Δημόσιο Wi-Fi
Όταν βρίσκεστε έξω, μπορεί να είναι δελεαστικό να σερφάρετε δωρεάν στο διαδίκτυο χρησιμοποιώντας δημόσια Wi-Fi hotspots – σε αεροδρόμια, ξενοδοχεία, καφετέριες και άλλους κοινόχρηστους χώρους. Ακόμη κι αν πρέπει να πληρώσετε για να αποκτήσετε πρόσβαση στο δίκτυο, μπορεί να μην είναι ασφαλές, αν οι χάκερ έχουν κάνει το ίδιο. Μπορούν να χρησιμοποιήσουν αυτήν την πρόσβαση για να κλέψουν τα στοιχεία σας την ώρα που τα πληκτρολογείτε.
Ασφάλεια Καταθέσεων
Οι «ληστές του Διαδικτύου» έχουν βελτιώσει τις τεχνικές που χρησιμοποιούν για να υποκλέψουν χρήματα
Νέα, πιο πειστικά κόλπα εφαρμόζουν το τελευταίο διάστημα οι επιτήδειοι που επιχειρούν να υποκλέψουν χρήματα από λογαριασμούς ανυποψίαστων συνδρομητών e-banking. Οι ληστές του Διαδικτύου, υπό το βάρος της εν εξελίξει τους τελευταίους μήνες μεγάλης ενημερωτικής καμπάνιας ενημέρωσης των πολιτών, έχουν αναγκαστεί να βελτιώσουν τις τεχνικές που χρησιμοποιούν.
Σύμφωνα με τραπεζικές πηγές, εκτιμάται ότι κατά τη διάρκεια της περυσινής χρονιάς η λεία από καταθέσεις που έκαναν φτερά διαμορφώθηκε στη ζώνη των 50 εκατ. ευρώ, σχεδόν πέντε φορές πάνω έναντι του 2020. Όπως εξηγούν, μετά το ξέσπασμα της πανδημίας και λόγω της ανάγκης για εξ αποστάσεως συναλλαγές, οι πρωτάρηδες του e-banking αυξήθηκαν κατακόρυφα. Περί τα 2.000.000 ιδιώτες άνοιξαν λογαριασμό στις υπηρεσίες ηλεκτρονικής τραπεζικής την τελευταία διετία, αποτελώντας εύκολα θύματα για τους e-ληστές, οι οποίοι είδαν την εξέλιξη αυτή ως μοναδική ευκαιρία για την ανάπτυξη των δραστηριοτήτων τους.
Η δημοσιοποίηση ωστόσο των περιστατικών απάτης, αλλά και οι εκστρατείες ενημέρωσης της Πολιτείας, της Ελληνικής Ένωσης Τραπεζών και των πιστωτικών ιδρυμάτων φρέναραν σε έναν βαθμό τον ρυθμό αύξησης των υποθέσεων. Αυτό ανάγκασε τους δράστες να γίνουν πιο επινοητικοί στον τρόπο που προσεγγίζουν τα θύματα και να βελτιώσουν ποιοτικά τα μηνύματά τους. Μέχρι πρότινος, η πλειονότητα των e-mails για το ψάρεμα πολιτών περιείχε ορθογραφικά/συντακτικά λάθη ή παραποιημένα λογότυπα των τραπεζών. Πλέον, το περιεχόμενο των μηνυμάτων είναι προσεκτικά γραμμένο, ενώ όλο το εικαστικό που τα συνοδεύει δίνει την αίσθηση ότι προέρχονται από την ίδια την τράπεζα. Παράλληλα, επικαλούνται προβλήματα που δημιουργούν την αίσθηση του κατεπείγοντος, π.χ. ότι δεν μπορεί να χρησιμοποιηθεί η κάρτα ή ότι πρέπει να γίνει μια ενέργεια για την προστασία του λογαριασμού e-banking. Σε ορισμένες περιπτώσεις μάλιστα ορίζουν και συγκεκριμένες προθεσμίες.
Στόχος των επιτήδειων είναι το θύμα να κινηθεί γρήγορα για να λύσει το υποτιθέμενο πρόβλημα και να μην ανακαλύψει κοιτώντας πιο προσεκτικά το μήνυμα πως πρόκειται για απάτη. Μόνο τυχαίο δεν είναι το γεγονός ότι η καμπάνια της ΕΕΤ έχει τίτλο «Μία παύση αρκεί».
Η κλασική μέθοδος. Ανεξάρτητα από το περιεχόμενο του μηνύματος που θα αποσταλεί στον συνδρομητή του e-banking, για να ολοκληρωθεί μια απάτη απαιτείται σε όλες τις περιπτώσεις η συμμετοχή του θύματος. Δεν τίθεται ζήτημα παραβίασης των συστημάτων ασφαλείας της τράπεζας. Ειδικότερα, για να εκτελεστεί μια μεταφορά χρειάζονται τα ακόλουθα: τα στοιχεία για την είσοδο στο e-banking και η επιβεβαίωση της συναλλαγής είτε με κωδικό μιας χρήσης ή μέσω ειδοποιήσεων στο κινητό του δικαιούχου του λογαριασμού.
Η κλασική μέθοδος είναι το phishing. Οι δράστες αποστέλλουν ένα απατηλό e-mail ή SMS, με το οποίο ενημερώνουν τον παραλήπτη ότι πρέπει να μπει στον λογαριασμό του πατώντας συγκεκριμένο link, προφασιζόμενοι ένα πρόβλημα, π.χ. ότι μπλόκαρε η κάρτα ή πάγωσε ο λογαριασμός του.
Αν το θύμα πατήσει στον σύνδεσμο, εισέρχεται σε μια ιστοσελίδα που μοιάζει πολύ με το e-banking της τράπεζάς του. Εφόσον πληκτρολογήσει εκεί τα στοιχεία του, αυτά περιέρχονται σε γνώση των δραστών. Οι τελευταίοι εισέρχονται έτσι στον πραγματικό λογαριασμό του θύματος και επιχειρούν την εκτέλεση μιας συναλλαγής. Η ολοκλήρωση της ληστείας γίνεται μετά την πληκτρολόγηση στην απατηλή ιστοσελίδα του κωδικού μίας χρήσης που λαμβάνει το θύμα στο κινητό του. Εναλλακτικά, το θύμα επιβεβαιώνει τη συναλλαγή μέσω της ειδοποίησης που λαμβάνει στο m-banking, θεωρώντας ότι με τον τρόπο αυτόν θα λυθεί το δήθεν πρόβλημα.
Ένας άλλος τρόπος ώστε οι δράστες να εξασφαλίσουν την πολυπόθητη επιβεβαίωση μιας συναλλαγής είναι να αποκτήσουν τον έλεγχο του κινητού τηλεφώνου του θύματος. Συγκεκριμένα, δηλώνουν στον τηλεπικοινωνιακό πάροχο, προσποιούμενοι το θύμα, ότι έχασαν το κινητό και εκδίδεται νέα κάρτα SIM με τον ίδιο αριθμό. Ετσι, λαμβάνουν άμεσα και τα SMS που αποστέλλει η τράπεζα στον πελάτη της ή ενεργοποιούν στη συσκευή τους τον λογαριασμό m-banking. Πάντως, οι πάροχοι πλέον είναι πολύ προσεκτικοί στην έκδοση νέων καρτών SIM.
Εξάλλου, στο εξωτερικό έχουν καταγραφεί το τελευταίο διάστημα περιστατικά απάτης μέσω τηλεφώνου. Στην προκειμένη περίπτωση το θύμα λαμβάνει κλήση από τον αριθμό της τράπεζάς του, καθώς έχει βρεθεί τρόπος να εμφανίζεται αυτός στην αναγνώριση κλήσεων. Στην άλλη γραμμή όμως είναι ο δράστης που καθοδηγεί το θύμα ώστε να του δώσει πρόσβαση στο e-banking του.
Δεν δίνουμε προσωπικά στοιχεία σε τρίτους
«Το κλειδί για την υφαρπαγή χρημάτων από τους τραπεζικούς λογαριασμούς είναι η συμμετοχή του θύματος. Χωρίς αυτήν δεν μπορεί να ολοκληρωθεί η απάτη. Γι’ αυτό είναι κρίσιμο οι πολίτες να γνωρίζουν ότι σε καμία περίπτωση δεν δίνουμε στοιχεία που σχετίζονται με την εκτέλεση τραπεζικών συναλλαγών, όπως ο προσωπικός κωδικός (PIN) σε τρίτους». Αυτό επισημαίνουν διαρκώς πηγές από τις αρμόδιες αρχές, προτρέποντας τους καταναλωτές να σκέφτονται διπλά και να κάνουν «μια παύση προτού προχωρήσουν».
πηγή: sepe.gr – Πως οι κυβερνοεγκληματίες κλέβουν στοιχεία πιστωτικών καρτών
Αυτή η εργασία έχει άδεια χρήσης Creative Commons Αναφορά δημιουργού4.0.
