Στις μέρες μας παρατηρείται ραγδαία αύξηση των κρουσμάτων απάτης στον κυβερνοχώρο (cyber scam), λόγω της κατακόρυφης αύξησης των ηλεκτρονικών συναλλαγών.
Σύμφωνα με τα τελευταία στοιχεία της Ευρωπαϊκής Τραπεζικής Αρχής (ΕΒΑ) για το 2020 και τις απάτες στις ηλεκτρονικές συναλλαγές, το ετήσιο κόστος στην Ελλάδα υπολογίζεται σε άνω των 22 εκατ. ευρώ. Το 2020, σύμφωνα με στοιχεία της Τραπέζης της Ελλάδος, οι απάτες αυξήθηκαν κατά 298% σε ό,τι αφορά τις μεταφορές πιστώσεων και κατά 313% ως προς την αξία. Οι κυβερνοεγκληματίες αναζητούν συνεχώς τρόπους να κερδίσουν χρήματα εις βάρος του κοινού.
Σήμερα μπορούμε να μιλήσουμε για:
■ Απάτη του CEO (CEO Fraud)
■ Απάτη μέσω τιμολογίων και λοιπών παραστατικών (invoice Fraud)
■ Απατηλές τηλεφωνικές κλήσεις (vishing), απατηλά μηνύματα SMS (smishing), απατηλά μηνύματα ηλεκτρονικού ταχυδρομείου (phishing)
■ Απατηλές ιστοσελίδες τραπεζών (spoofed bank websites)
■ Απάτη μέσω διαδικτυακών ραντεβού (romance scam)
■ Απώλεια δεδομένων προσωπικού χαρακτήρα διά μέσου των μέσων κοινωνικής δικτύωσης (personal data theft via social media)
■ Απάτες σχετιζόμενες με επενδύσεις (investment scams)
■ Απάτες σε αγορές μέσω διαδικτύου (online shopping scams)
■ Απάτες των Εταιρειών «Business Email Compromise»
Business Email Compromise: Ενας από τους τομείς που απασχολεί έντονα αυτή την περίοδο τη Δίωξη Ηλεκτρονικού Εγκλήματος και τις εταιρείες είναι η τεχνική της εξαπάτησης των Εταιρειών «Business Email Compromise», που είναι ένας τύπος απάτης ηλεκτρονικού εγκλήματος στον κυβερνοχώρο κατά τον οποίο ένας εισβολέας στοχεύει μια επιχείρηση για να εξαπατήσει την εταιρεία. Ο συμβιβασμός του επαγγελματικού e-mail είναι ένα μεγάλο και αυξανόμενο πρόβλημα που στοχεύει οργανισμούς όλων των μεγεθών σε κάθε κλάδο σε όλο τον κόσμο. Οι απάτες BEC έχουν εκθέσει τους οργανισμούς σε πιθανές απώλειες δισεκατομμυρίων δολαρίων. Η παραβίαση λογαριασμού e-mail (EAC) ή η εξαγορά λογαριασμού e-mail είναι μια σχετική απειλή που επιταχύνεται σε μια εποχή υποδομής που βασίζεται στο cloud. Οι διεθνείς οργανισμοί ορίζουν πλέον πέντε κύριους τύπους απάτης BEC:
● Απάτη CEO: Εδώ ο εισβολέας τοποθετείται ως διευθύνων σύμβουλος ή στέλεχος μιας εταιρείας και συνήθως στέλνει e-mail σε ένα άτομο εντός του τμήματος οικονομικών, ζητώντας να μεταφερθούν τα χρήματα σε έναν λογαριασμό που ελέγχεται από τον εισβολέα.
● Συμβιβασμός Λογαριασμού: Ο λογαριασμός e-mail ενός υπαλλήλου παραβιάζεται και χρησιμοποιείται για να ζητήσει πληρωμές σε προμηθευτές. Στη συνέχεια, οι πληρωμές αποστέλλονται σε δόλιους τραπεζικούς λογαριασμούς που ανήκουν στον εισβολέα.
● Σχέδιο Ψευδών Τιμολογίων: Οι εισβολείς στοχεύουν συνήθως ξένους προμηθευτές μέσω αυτής της τακτικής. Ο απατεώνας ενεργεί σαν να είναι ο προμηθευτής και ζητά μεταφορές κεφαλαίων σε δόλιους λογαριασμούς.
● Απομίμηση Δικηγόρου: Αυτό συμβαίνει όταν ένας εισβολέας υποδύεται δικηγόρο ή νόμιμο εκπρόσωπο. Οι εργαζόμενοι χαμηλότερου επιπέδου στοχοποιούνται συνήθως μέσω αυτών των τύπων επιθέσεων όπου κάποιος δεν θα είχε τη γνώση να αμφισβητήσει την εγκυρότητα του αιτήματος.
● Κλοπή Δεδομένων: Αυτοί οι τύποι επιθέσεων στοχεύουν συνήθως υπαλλήλους ανθρώπινου δυναμικού σε μια προσπάθεια να αποκτήσουν προσωπικές ή ευαίσθητες πληροφορίες για άτομα εντός της εταιρείας, όπως CEO και στελέχη. Αυτά τα δεδομένα μπορούν στη συνέχεια να αξιοποιηθούν για μελλοντικές επιθέσεις, όπως η απάτη CEO.
Phising
Ολοένα όμως ερχόμαστε αντιμέτωποι και με το «phishing». Αυτή η τεχνική χρησιμοποιείται για την απόκτηση πληροφοριών οι οποίες κατόπιν θα πουληθούν ή θα αξιοποιηθούν από τους επιτιθέμενους για εκβιασμό, κλοπή χρημάτων ή υποκλοπή ταυτότητας. Σε αυτή την περίπτωση οι κυβερνοεγκληματίες επικοινωνούν με τα θύματά τους κυρίως μέσω e-mail ή γραπτού μηνύματος SMS.
Προσποιούνται ότι είναι από την τράπεζά τους και συνήθως με πρόφαση του επείγοντος για ένα «πρόβλημα» με τους λογαριασμούς ή πρόβλημα με μια νέα κατάθεση ή ακόμα την ακύρωση μιας κατάθεσης, παραπέμπουν τα θύματά τους σε πλαστές ιστοσελίδες όπου τους ζητάνε να καταχωρίσουν τους κωδικούς πρόσβασης στο e-banking, στοιχεία πιστωτικών καρτών, κωδικούς μιας χρήσης για την επιβεβαίωση συναλλαγών, ώστε να μπορέσουν στη συνέχεια οι κυβερνοεγκληματίες να πραγματοποιήσουν και να ολοκληρώσουν παράνομες μεταφορές χρημάτων μέσω του ίντερνετ.
Πιο συγκεκριμένα ο κυβερνοεγκληματίας, μέσω ενός οικείου και σχετικώς γνώριμου «περιτυλίγματος» για τα θύματά του, όπως η επωνυμία ενός πιστωτικού ιδρύματος ή ταχυδρομείου, αποστέλλει μήνυμα (e-mail) και μέσω των συνδέσμων που προβάλλονται (links) ο χρήστης -θύμα οδηγείται σε ένα περιβάλλον το οποίο, ενώ δεν είναι το αληθινό, ομοιάζει με το πραγματικό που έχει δει και έχει χρησιμοποιήσει. Τότε καλείται ο χρήστης να συμπληρώσει προσωπικά δεδομένα και κωδικούς! Αυτό όμως είναι που χρειάζονται οι «εγκληματίες του διαδικτύου», τους κωδικούς.
Οι Τράπεζες
Οι τράπεζες από την πλευρά τους έχουν τονίσει επανειλημμένως ότι δεν ζητάνε ποτέ, για κανέναν λόγο και με κανέναν τρόπο (e-mail, SMS, Viber, τηλεφωνικά) τους κωδικούς του e-banking και τα στοιχεία καρτών των πελατών.
Ο χρήστης
Τι πρέπει να κάνει για να προστατευτεί:
● Δεν κάνουμε «κλικ» σε συνδέσμους και δεν ανοίγουμε μηνύματα ηλεκτρονικού ταχυδρομείου ή SMS που ισχυρίζονται ότι προέρχονται από την τράπεζά μας ή άλλον οργανισμό και μας ζητούν να ενημερώσουμε ή να επαληθεύσουμε τα στοιχεία μας.
● Αναζητούμε το σύμβολο ασφαλείας. Οι ασφαλείς ιστότοποι μπορούν να αναγνωριστούν με τη χρήση του «https:» αντί του «http:» στην αρχή της διεύθυνσης διαδικτύου ή ενός κλειστού λουκέτου ή ενός εικονιδίου χωρίς σπασίματα στην κάτω δεξιά γωνία του παραθύρου του προγράμματος περιήγησής σας.
●Δεν παραχωρούμε ποτέ τα προσωπικά μας στοιχεία ή του λογαριασμού μας στο διαδίκτυο, ακόμα και αν έχει προηγηθεί τηλεφωνική κλήση ότι δήθεν είναι από τράπεζα ή άλλον φορέα. Στην περίπτωση αυτή ζητήστε το όνομά τους και τον αριθμό επικοινωνίας τους και καλέστε εσείς την τράπεζά σας να το επιβεβαιώσετε.
Θύμα απάτης
Σε περίπτωση που έχουμε πέσει θύματα:
1. Επικοινωνούμε αμέσως με την τράπεζα για να ενημερώσουμε και να ακυρώσουμε-μπλοκάρουμε τη μεταβίβαση των χρημάτων.
2. Καταγγελία-μήνυση στη Δίωξη Ηλεκτρονικού Εγκλήματος.
3. Επικοινωνία με την τράπεζα προκειμένου να ενημερωθούμε για τα στοιχεία των ατόμων που έχουν παρανόμως λάβει τα χρήματα από τους τραπεζικούς λογαριασμούς μας.
4. Αγωγή κατά των ατόμων που έχουν χωρίς τη θέλησή μας λάβει παρανόμως τα χρήματά μας.
Δεν πρέπει να ξεχνάμε ότι οι τράπεζες έχουν σχετικές ασφάλειες για την προστασία τους από τέτοιου είδους απάτες και έχουν τη δυνατότητα επιστροφής των χρημάτων.
Αυτό όμως που απαιτείται από όλους μας είναι η διαρκής επαγρύπνηση για ζητήματα απατών και εγκληματικών ενεργειών στον ψηφιακό κόσμο, γιατί όλα είναι ένα «κλικ» είτε προς την αποδοχή είτε προς την απόρριψη του εγκλήματος.
Στοιχεία επικοινωνίας:
● Τηλεφωνικά: 11188
● Στέλνοντας e-mail στο: ccu@cybercrimeunit.gov.gr
● Μέσω twitter: @CyberAlertGR
● Μέσω της διαδικτυακής πύλης (portal) της Ελληνικής Αστυνομίας (https://portal.astynomia.gr)
● Μέσω της εφαρμογής (application) για έξυπνα τηλέφωνα (smartphones): CYBERΚΙD
*Δικηγόρος στον Αρειο Πάγο
**Δικηγόρος στον Αρειο Πάγο-LLM
ΠΗΓΗ : ΕΦΗΜΕΡΙΔΑ ΤΩΝ ΣΥΝΤΑΚΤΩΝ
ΔΗΜΟΣΙΕΥΜΑ 04 -11-2022