Advertisement

Κοινωνία

«Μου έκλεψαν 12.500 ευρώ αγοράζοντας προσωπικά μου δεδομένα στο dark web»

Πώς τα μέλη του κυκλώματος είχαν καταφέρει να διεισδύσουν σε τόσο μεγάλο βάθος στα προσωπικά δεδομένα των θυμάτων. Εχουν ευθύνη οι τράπεζες; Τι πρέπει να κάνουν οι πολίτες για να προστατευτούν από τις συμμορίες του διαδικτύου; | Αλεξία Καλαϊτζή

478

Ο K.T. είχε μόλις φτάσει στο επαγγελματικό του γραφείο σε επαρχιακή πόλη της Βόρειας Ελλάδας όταν άρχισε να βλέπει ύποπτες κινήσεις στον τραπεζικό του λογαριασμό. Στην αρχή μεταφέρθηκαν 6.000 ευρώ και ύστερα από λίγα λεπτά ακόμα 6.000 ευρώ.

Πήρε τηλέφωνο απευθείας την τράπεζά του. Οσο ήταν στη γραμμή αναμονής, διαπίστωσεαντίστοιχα ύποπτες κινήσεις στον λογαριασμό που είχε σε άλλη τράπεζα. «Ζήτησα από τον συνεργάτη μου να καλέσει την άλλη τράπεζα και μιλούσα σε δύο συσκευές.

Advertisement

Εβλεπε χιλιάδες ευρώ να «κάνουν βόλτα» από λογαριασμό σε λογαριασμό και έπειτα να εξαφανίζονται

»Υστερα από 27 λεπτά αναμονής κατάφερα να μιλήσω με αντιπρόσωπο και να εξηγήσω τι γίνεται». Τα λεπτά αυτά ήταν αγωνιώδη, όπως περιέγραψε, καθώς όσο περίμενε έβλεπε χιλιάδες ευρώ να «κάνουν βόλτα» από λογαριασμό σε λογαριασμό και έπειτα να εξαφανίζονται.

Οι επιτιθέμενοι επιχείρησαν να του αποσπάσουν συνολικά 29.000 ευρώ από διαφορετικούς λογαριασμούς που διατηρούσε. Οπως υποστήριξε, παρότι και τα δύο τραπεζικά ιδρύματα των οποίων ήταν πελάτης του είπαν ότι «μπλόκαραν» τον παραλήπτη, η μία τράπεζα δεν τα κατάφερε. «Εχασα 12.500 ευρώ και δεν μου τα έδινε η τράπεζα». Οπως ανέφερε, λίγους μήνες μετά δέχθηκε τηλέφωνο από έναν δικηγόρο, που τον ενημέρωσε πως συνελήφθησαν τα τέσσερα άτομα που είχαν διαπράξει την κλοπή σε βάρος του. «Μου είπαν πως αν είμαι διατεθειμένος να υπογράψω ότι δεν επιθυμώ την ποινική δίωξη, θα μου έδιναν πίσω τα χρήματα».

26 άτομα σε όλη την Ελλάδα που είχαν πέσει θύματα

Αυτό και έκανε. Ο Κ.Τ. αντάλλαξε την υπεύθυνη δήλωση με τα χρήματά του.
Ο άνδρας ήταν ανάμεσα σε 26 άτομα σε όλη την Ελλάδα που είχαν πέσει θύματα εγκληματικής οργάνωσης, που κατάφερε να αποσπάσει συνολικά 315.000 ευρώ. Το ενδιαφέρον στην υπόθεση είναι πως οι επιτιθέμενοι δεν πήραν τους κωδικούς εξαπατώντας τα θύματά τους, αλλά τους αγόρασαν μέσα από δύο γνωστές ιστοσελίδες του σκοτεινού διαδικτύου.

Η υπόθεση ξεκίνησε έπειτα από αναφορά πολίτη που κατήγγειλε στην αστυνομία αδικαιολόγητες και μη εξουσιοδοτημένες από τον ίδιο τραπεζικές συναλλαγές, κατόπιν παράνομης πρόσβασης που αποκτήθηκε από τους δράστες στον λογαριασμό e-banking που διατηρούσε. Οπως επισήμανε ο διευθυντής της Υποδιεύθυνσης Δίωξης Ηλεκτρονικού Βορείου Ελλάδος, Γεώργιος Αποστολίδης, με δηλώσεις του στην «Κ», αυτό που διέφερε σε σχέση με άλλες περιπτώσεις ηλεκτρονικής απάτης, ήταν πως η παράνομη πρόσβαση στο e-banking δεν δικαιολογούνταν από κάποια αμέσως προηγηθείσα χρονικά προσπάθεια «αλίευσης» των διαπιστευτηρίων πρόσβασης, με χρήση μεθόδων όπως το phishing ή το smishing.

Το ηγετικό μέλος της εγκληματικής οργάνωσης επισκεπτόταν σελίδες του deep και του dark web και έκανε αναζητήσεις καταχωρώντας λέξεις-κλειδιά

Αντ’ αυτού, όπως αποκαλύφθηκε από την έρευνα της αστυνομίας, το ηγετικό μέλος της εγκληματικής οργάνωσης επισκεπτόταν σελίδες του deep και του dark web και έκανε αναζητήσεις καταχωρώντας λέξεις-κλειδιά που σχετίζονταν με e-banking ελληνικών τραπεζών, δημόσιες υπηρεσίες και υπηρεσίες παροχής υπηρεσιών τηλεφωνίας. «Μετά την καταβολή του αντιτίμου, που πραγματοποιούνταν κυρίως με χρήση κρυπτονομισμάτων, παραλάμβανε αρχεία που περιείχαν πληροφορίες του συστήματος-“στόχου”, όπως διαπιστευτήρια πρόσβασης (usernames, passwords), cookies, ιστορικό και δεδομένα αυτόματης συμπλήρωσης περιηγητών, άυλα μέσα πληρωμής, στιγμιότυπα οθόνης και άλλες κρίσιμες πληροφορίες», τόνισε ο κ. Αποστολίδης. Εχοντας στο χέρια τους τα προσωπικά δεδομένα, οι δράστες κατάφεραν να έχουν πρόσβαση σε λογαριασμούς της Google και όλων των εφαρμογών της, από το gmail μέχρι τα google docs, το e-banking, το e-gov, καθώς και σε υπηρεσίες κινητής τηλεφωνίας και λογαριασμούς social media.

Οι εγκληματίες παραβίαζαν και την τελευταία δικλείδα ασφαλείας των θυμάτων τους: τους αριθμούς τηλεφώνου με τους οποίους ήταν συνδεδεμένοι οι τραπεζικοί λογαριασμοί

Διαθέτοντας όλα αυτά τα στοιχεία, οι εγκληματίες παραβίαζαν και την τελευταία δικλείδα ασφαλείας των θυμάτων τους: τους αριθμούς τηλεφώνου με τους οποίους ήταν συνδεδεμένοι οι τραπεζικοί λογαριασμοί. Σε κάποιες περιπτώσεις καλούσαν την εξυπηρέτηση πελατών του παρόχου τηλεποικοινωνίας και προσποιούμενοι το θύμα έκαναν εκτροπή του τηλεφώνου σε δικό τους αριθμό ώστε να έχουν πρόσβαση στο One Time Password (OTP) που χρησιμοποιούν οι τράπεζες για να διασφαλίσουν τις συναλλαγές. Σε άλλες περιπτώσεις έμπαιναν στο gov.gr και άλλαζαν τον συνδεδεμένο αριθμό τηλεφώνου με κάποιο δικό τους ή αποκτούσαν παράνομη πρόσβαση στο viber όπου επίσης τα θύματα λάμβαναν το OTP για τις συναλλαγές τους.

Τα μέλη του κυκλώματος είχαν καταφέρει να διεισδύσουν σε τόσο μεγάλο βάθος στα προσωπικά δεδομένα των θυμάτων πουκατάφεραν και εξέδωσαν μέχρι και δάνεια-εξπρές στα ονόματα θυμάτων.

Xρήση money mules

Η δράση της οργάνωσης δεν θα μπορούσε να ολοκληρωθεί δίχως την
επιστράτευση των λεγόμενων money mules. Οπως περιέγραψε ο Γεώργιος
Αποστολίδης, τα ηγετικά μέλη της οργάνωσης αναλάμβαναν «συστηματικά την εξεύρεση, έναντι χρηματικής αμοιβής, νέων ατόμων, κυρίως ατόμων που είχαν οικονομική ανάγκη, προκειμένου να συνδράμουν στη δράση της».

Δημιουργούσαν λογαριασμούς σε ιδρύματα ηλεκτρονικών συναλλαγών, σε ανταλλακτήρια κρυπτονομισμάτων ακόμα και σε στοιχηματικές εταιρείες στους οποίους μετέφεραν τα χρηματικά ποσά που αποκτούσαν παράνομα

Σύμφωνα με την έρευνα, τα άτομα αυτά έκαναν χρήση είτε των προσωπικών τους στοιχείων και εγγράφων ταυτοποίησης, για τα οποία στη συνέχεια δήλωναν κλοπή σε αστυνομικές υπηρεσίες, είτε πλαστών ή νοθευμένων εγγράφων που προμηθευόταν ή καταρτούσε για τον σκοπό αυτό η εγκληματική οργάνωση. Με τη χρήση των εγγράφων αυτών, δημιουργούσαν λογαριασμούς σε ιδρύματα ηλεκτρονικών συναλλαγών, σε ανταλλακτήρια κρυπτονομισμάτων ακόμα και σε στοιχηματικές εταιρείες στους οποίους μετέφεραν τα χρηματικά ποσά που αποκτούσαν παράνομα.

Διαρκώς αυξανόμενη πρακτική του κυβερνοεγκλήματος

Ο κ. Αποστολίδης διευκρίνισε πως μέχρι στιγμής δεν υπάρχουν ενδείξεις ότι τα προσωπικά δεδομένα της υπόθεσης αυτής προήλθαν από συγκεκριμένες
διαρροές σε συστήματα οργανισμών του ελληνικού Δημοσίου ή του ιδιωτικού τομέα.
«Οπως έχει παρατηρηθεί διεθνώς, προσωπικά δεδομένα τέτοιου είδους
συνήθως υποκλέπτονται/”αλιεύονται” σε προγενέστερο χρόνο από άγνωστους δράστες, με τη χρήση κακόβουλων λογισμικών, με σκοπό να διατεθούν προς πώληση σε δεύτερο χρόνο». Οπως δήλωσε στην «Κ», η αγορά διαπιστευτηρίων μέσα από το dark web δεν είναι μια τακτική που συναντάει συχνά η υπηρεσία, κυρίως εξαιτίας της δυσχέρειας στην τεκμηρίωσή της. Παρ’ όλα αυτά η διεθνής τάση δείχνει ότι η αγορά διαπιστευτηρίων (credentials) στο dark web είναι μια διαρκώς αυξανόμενη πρακτική στον κόσμο του κυβερνοεγκλήματος, καθώς αποτελούν τα πιο εμπορεύσιμα δεδομένα στο dark web από τη στιγμή που δίνουν πλήθος εγκληματικών δυνατοτήτων στον κάτοχό τους.

Η ευθύνη των τραπεζών

Το ερώτημα που προκύπτει είναι εάν και πώς προστατεύονται οι καταναλωτές από επιθέσεις τέτοιου είδους. Σύμφωνα με την πιο πρόσφατη διάταξη που ψηφίστηκε το 2023, σε περίπτωση ηλεκτρονικής απάτης – ακόμα και αν επιδείξει βαριά αμέλεια– ο καταναλωτής ευθύνεται μέχρι του ανώτατου ποσού των 1.000 ευρώ. Αν το έμβασμα ή η μεταφορά χρημάτων ξεπεράσουν το ποσό αυτό, ευθύνη έχει η τράπεζα.

Ωστόσο, η διάταξη απαλλάσσει τις τράπεζες από την υποχρέωση να αποζημιώνουν τα θύματα ηλεκτρονικής απάτης για απώλειες άνω των 1.000 ευρώ, εφόσον ο πάροχος, δηλαδή η τράπεζα, αποδείξει ότι «διαθέτει και
εφαρμόζει πρόσθετους και πιο εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, από αυτούς που εφαρμόζει για την ισχυρή ταυτοποίηση των
συναλλαγών, όπως ιδίως μηχανισμούς ελέγχου που αξιοποιούν τεχνολογίες τεχνητής νοημοσύνης ή επιπλέον κωδικό ή βιομετρική ταυτοποίηση ή τηλεφωνική επιβεβαίωση».

Σε ερώτησή μας προς την Τράπεζα της Ελλάδας, αναφορικά με την προστασία των καταναλωτών σε περίπτωση επίθεσης χάκερ, μας απάντησαν πως «για να αξιολογηθεί επαρκώς μια απάτη που φέρεται κατά τη δήλωση του πελάτη να προκλήθηκε από “επίθεση χάκερ που προμηθεύτηκαν κωδικούς μέσω του σκοτεινού διαδικτύου”, απαιτείται η διερεύνηση πολλαπλών παραμέτρων ώστε να καταστεί εφικτό να τεκμηριωθεί εάν υπήρξε ολιγωρία από τον πάροχο υπηρεσιών πληρωμών ως προς την εφαρμογή των απαιτούμενων μέτρων ασφαλείας, ή εάν το θύμα επέδειξε πλημμελή συμπεριφορά στη διαχείριση των εξατομικευμένων διαπιστευτηρίων του ή βαριά αμέλεια». Οπως σημειώθηκε στην απάντηση, μείζονα ερωτήματα που θα έπρεπε να απαντηθούν στο πλαίσιο μίας αξιολόγησης θα ήταν το πώς τεκμηριώνεται ότι οι δράστες πράγματι απέκτησαν πρόσβαση σε διαπιστευτήρια μέσω του σκοτεινού διαδικτύου καθώς και με ποιον τρόπο τα διαπιστευτήρια του χρήστη διέρρευσαν ώστε τελικά να καταλήξουν σε διαδικτυακό χώρο.

Οκτώ προληπτικά μέτρα

Η Δίωξη Ηλεκτρονικού Εγκλήματος προτείνει στους πολίτες, προκειμένου να προστατευτούν, να λαμβάνουν, ενδεικτικά, τα ακόλουθα μέτρα:

    1. Να χρησιμοποιούν ισχυρούς και διαφορετικούς κωδικούς πρόσβασης για κάθε υπηρεσία.
    2. Τη χρήση ελέγχου ταυτότητας δύο παραγόντων (2FA), όπου είναι διαθέσιμος.
    3. Τη χρήση Passwordmanager για ασφαλή αποθήκευση και δημιουργία κωδικών.
    4. Να διατηρούν το λογισμικό ενημερωμένο, περιλαμβανομένου του φυλλομετρητή ιστοσελίδων (browser), του αντιικού προγραμμάτος (antivirus) και του λειτουργικού συστήματος.
    5. Τη χρήση ειδικών λογισμικών προστασίας από κακόβουλα λογισμικά.
    6. Να μην κάνουν απευθείας κλικ σε ηλεκτρονικούς συνδέσμους (link) και να μην πραγματοποιούν λήψη (download) του επισυναπτόμενου αρχείου, αντίθετα να πληκτρολογούν τη διεύθυνση του ηλεκτρονικού συνδέσμου στον φυλλομετρητή ιστοσελίδων (browser) που χρησιμοποιούν
    7. Να επικοινωνούν άμεσα με το αρμόδιο τραπεζικό ίδρυμα σε περίπτωση πραγματοποίησης συναλλαγών που δεν αναγνωρίζουν.
    8. Να ενημερώνονται σχετικά με τις τρέχουσες τάσεις κυβερνοεγκλημάτων, μέσα από την ιστοσελίδα και τις εφαρμογές κοινωνικής δικτύωσης της Υπηρεσίας της Διώξης.

Αν κάποιος πέσει θύμα μη διστάσει να το καταγγείλει:

  • Στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, μέσω τηλεφώνου στο 11188 ή μέσω e-mail στο ccu@cybercrimeunit.gov.gr ή με φυσική παρουσία.
  • Σε οποιαδήποτε αστυνομική ή δικαστική αρχή ανά την Επικράτεια.
  • Στην ψηφιακή πύλη της Δημόσιας Διοίκησης gov.gr, στην ενότητα «Πολίτης και καθημερινότητα» και στην υποενότητα «Καταγγελίες».

Το ζήτημα της απόδειξης έθεσε στην «Κ» και η αναπληρώτρια της Συνηγόρου του Καταναλωτή. «Λύνονται πολύ δύσκολα οι διαφορές αυτές μεταξύ καταναλωτή και τράπεζας», σημείωσε η Βασιλική Μπώλου.
«Αν σου έχουν αλλάξει το κινητό (σ.σ. στο οποίο λαμβάνεις τις ειδοποιήσεις συναλλαγής), πρέπει να αποδείξεις ότι ο δράστης πήρε τα στοιχεία σου και
άλλαξε το κινητό σου και συνεπώς η συναλλαγή δεν έγινε με τη δική σου συγκατάθεση», ανέφερε με τη σειρά του ο δικηγόρος Χρήστος Διαμαντής, που έχει εμπειρία σε αντίστοιχες περιπτώσεις. Οπως εξήγησε, σε μια τέτοια υπόθεση συνήθως ο καταναλωτής θα πρέπει να κάνει μήνυση κατ’ αγνώστου και έπειτα να μπει σε μια δικαστική διαμάχη με την τράπεζα, διαδικασία που θα του κοστίσει χρόνο, χρήμα και ταλαιπωρία.

Ο Κ.Τ. πλέον, για τις συναλλαγές του στην τράπεζα χρησιμοποιεί κινητό που δεν συνδέεται στο διαδίκτυο και λαμβάνει μέσω sms τις ειδοποιήσεις και τους κωδικούς για την έγκριση συναλλαγών

Μετά το αρχικό σοκ που υπέστη ο Κ.Τ. πέφτοντας θύμα μιας τέτοιας απάτης,
έλαβε τα μέτρα του. Εγκατέστησε λογισμικό ασφαλείας σε όλα τα συστήματα στην επιχείρησή του ενώ πλέον για τις συναλλαγές του στην τράπεζα χρησιμοποιεί κινητό που δεν συνδέεται στο διαδίκτυο και λαμβάνει μέσω sms τις ειδοποιήσεις και τους κωδικούς για την έγκριση συναλλαγών.

 

 

Πηγή Καθημερινή
Μπορεί επίσης να σας αρέσει
Κοινωνία

Καταργούνται ως δικαιολογητικά στο Δημόσιο πιστοποιητικά Γέννησης και Οικογενειακής…

Κοινωνία

Μαρινάκης: Δημοτικές και Περιφερειακές εκλογές σε ένα γύρο – Έρχεται νομοσχέδιο…

Κοινωνία

Πώς θα μοιράζεται μια περιουσία χωρίς διαθήκη

Κοινωνία

Αναστολή λειτουργίας σε επιχειρήσεις που κλέβουν ρεύμα, λουκέτο σε περίπτωση…

Περισσότερα

Καταργούνται ως δικαιολογητικά στο Δημόσιο πιστοποιητικά…

119

Μαρινάκης: Δημοτικές και Περιφερειακές εκλογές σε ένα γύρο…

125

Πώς θα μοιράζεται μια περιουσία χωρίς διαθήκη

187
1 από 1.141

Συνεχίζοντας να χρησιμοποιείτε την ιστοσελίδα, συμφωνείτε με τη χρήση των cookies. Περισσότερες πληροφορίες.

Οι ρυθμίσεις των cookies σε αυτή την ιστοσελίδα έχουν οριστεί σε "αποδοχή cookies" για να σας δώσουμε την καλύτερη δυνατή εμπειρία περιήγησης. Εάν συνεχίσετε να χρησιμοποιείτε αυτή την ιστοσελίδα χωρίς να αλλάξετε τις ρυθμίσεις των cookies σας ή κάνετε κλικ στο κουμπί "Κλείσιμο" παρακάτω τότε συναινείτε σε αυτό.

Κλείσιμο