Τους τελευταίους μήνες (και όχι μόνο) εμφανίζεται σε όλη τη χώρα μια νέα, ιδιαίτερα πειστική μορφή απάτης μέσω SMS, που σπέρνει σύγχυση και οικονομικές ζημίες σε πολίτες κάθε ηλικίας.
Το μήνυμα SMS φτάνει στο κινητό ως φαινομενικά επίσημη ειδοποίηση: από τον ΕΟΠΥΥ και την εφορία για επιστροφή χρημάτων, ή από τράπεζα, ταχυδρομείο ή εταιρεία courier και αναφέρει ότι υπάρχει πρόβλημα με μια συναλλαγή ή μια παραγγελία.
Ζητά άμεση ενέργεια – είτε να «επαληθεύσετε» τα στοιχεία σας μέσω συνδέσμου, είτε να καλέσετε έναν φαινομενικά νόμιμο αριθμό.
Η ταχύτητα και ο πανικός που προκαλεί το περιεχόμενο είναι το ζητούμενο των απατεώνων: πολλοί πατούν το link (ειδικά όταν πρόκειται για επιστροφή χρημάτων) ή καλούν χωρίς δεύτερη σκέψη και βρίσκονται εγκλωβισμένοι σε πολύπλοκες διαδικασίες υποκλοπής.
Μηχανισμοί και εξέλιξη της απάτης
Η νέα μορφή βασίζεται σε δύο κύριες τεχνικές.
Η πρώτη είναι το phishing μέσω ψευδών URL που μιμούνται πιστά τις σελίδες τραπεζών ή μεγάλων εταιρειών. Τα μηνύματα περιέχουν σύντομα, καλοσχεδιασμένα links που ανοίγουν φόρμες όπου ζητούνται κωδικοί, αριθμοί καρτών ή στοιχεία ταυτότητας.
Η δεύτερη τεχνική είναι το vishing: οι αποστολείς δίνουν έναν αριθμό τηλεφώνου που εμφανίζεται να είναι του ιδίου του οργανισμού. Όταν ο χρήστης καλέσει, μπαίνει σε σπειρά ένθερμης επικοινωνίας με έναν «υπάλληλο» που με πολιτισμένο και πιεστικό ύφος ζητά επιβεβαίωση στοιχείων, δικαιολογώντας την αναγκαιότητα με αγχωτικούς όρους – «άμεση μπλοκάρισμα της κάρτας», «παράδοση σε 24 ώρες» κ.λπ.
Σε ορισμένες περιπτώσεις το θύμα καλείται να εγκαταστήσει εφαρμογή απομακρυσμένης διαχείρισης, δίνοντας στους απατεώνες πλήρη πρόσβαση στο κινητό και στις τραπεζικές εφαρμογές.
Ποιοι στοχεύονται και γιατί λειτουργεί
Οι απατεώνες δεν στοχεύουν μόνο ηλικιωμένους ή ανθρώπους με χαμηλή εξοικείωση στην τεχνολογία.
Τα μηνύματα διαμορφώνονται δυναμικά: χρησιμοποιούν προσωπικά ονόματα, αναφέρονται σε πρόσφατες αγορές ή ακόμη και σε τμήματα της διεύθυνσης που αντλούνται από δημοσιεύσιμες πηγές ή από μαζικές διαρροές δεδομένων.
Η χρήση κοινωνικής μηχανικής – φόβου, επείγοντος και ψευδούς εξουσίας – είναι το κλειδί.
Επιπλέον, πολλοί αποδέκτες ανταποκρίνονται επειδή το μήνυμα φαίνεται να προέρχεται από αξιόπιστη πηγή και η διαδικασία που ζητείται μοιάζει απλή: «μόνο ένας κωδικός», «επιβεβαίωσε το όνομα σου».
Πραγματικά περιστατικά και επιπτώσεις
Στις αναφορές των τελευταίων εβδομάδων καταγράφονται περιπτώσεις όπου χρήστες έχασαν από λίγες εκατοντάδες έως δεκάδες χιλιάδες ευρώ.
Σε ένα από τα πιο χαρακτηριστικά περιστατικά, ένας πολίτης δέχθηκε μήνυμα για «αποτυχημένη χρέωση» και κατέληξε να εγκαθιστά εφαρμογή διαχείρισης, δίνοντας πρόσβαση σε SMS και κωδικούς 2‑FA, με αποτέλεσμα απευθείας μεταφορές χρημάτων.
Σε άλλες περιπτώσεις, οι απατεώνες απέσπασαν ευαίσθητα προσωπικά δεδομένα που χρησιμοποιήθηκαν σε μελλοντικές απάτες ή για άνοιγμα δανείων στο όνομα των θυμάτων.
Πώς να διακρίνετε το ψεύτικο από το πραγματικό
Υπάρχουν μερικά βασικά σημεία προσοχής που μειώνουν δραστικά τον κίνδυνο.
Πρώτον, οι επίσημοι οργανισμοί σπάνια ζητούν λεπτομερείς προσωπικές πληροφορίες μέσω SMS ή τηλεφώνου – ειδικά χωρίς προηγούμενη ταυτοποίηση.
Δεύτερον, το URL που οδηγεί σε φόρμα έχει συνήθως ελαφρές παραλλαγές ή περιέχει παραπανίσια στοιχεία (ελέγξτε προσεκτικά το domain).
Τρίτον, αν το μήνυμα προκαλεί αίσθημα άμεσης απειλής, κάντε ένα βήμα πίσω: επικοινωνήστε απευθείας με την τράπεζα ή την εταιρεία μέσω του επίσημου τηλεφωνικού αριθμού από την ιστοσελίδα τους και όχι μέσω του αριθμού που δόθηκε στο SMS.
Τι πρέπει να κάνετε αν πέσατε θύμα
Αν κατά λάθος δώσατε στοιχεία ή εγκαταστήσατε ύποπτη εφαρμογή, κλείστε άμεσα την πρόσβαση που δώσατε: αλλάξτε κωδικούς, επικοινωνήστε με την τράπεζά σας και μπλοκάρετε κάρτες.
Αναφέρετε το περιστατικό στην τράπεζα και στην Αρχή Προστασίας Δεδομένων και υποβάλετε αναφορά στην αστυνομία – κάθε επίσημη καταγραφή διευκολύνει τον εντοπισμό των δραστών αλλά και την πιθανή αποζημίωση.
Σε περίπτωση εγκατάστασης εφαρμογής απομακρυσμένης πρόσβασης, απενεργοποιήστε την και εφόσον είναι εφικτό κάντε επαναφορά εργοστασιακών ρυθμίσεων στο κινητό μετά από αντίγραφο ασφαλείας.
Τι κάνουν οι Αρχές και οι πάροχοι
Τράπεζες και υπηρεσίες αποστέλλουν μαζικές ενημερώσεις ασφαλείας και υπενθυμίσεις, ενώ συνεργάζονται με τις τηλεπικοινωνιακές εταιρείες για να μπλοκάρουν γνωστούς αριθμούς και domains.
Η αστυνομία προειδοποιεί ότι οι απατεώνες αλλάζουν γρήγορα τεχνικές και αριθμούς, γι’ αυτό η εγρήγορση του κοινού είναι κρίσιμη.
Οι ειδικοί κυβερνοασφάλειας επισημαίνουν ότι η εκπαίδευση των πολιτών, μαζί με τεχνικά φίλτρα SMS και δύο παραγόντων ταυτοποίησης που δεν βασίζονται σε SMS, μειώνουν αισθητά τον κίνδυνο.
Εν κατακλείδι, η απάτη μέσω SMS λειτουργεί γιατί παίζει στο συναίσθημα και στην ταχύτητα αντίδρασης των χρηστών.
Η απάντηση δεν είναι μόνο τεχνική, αλλά κυρίως ενημερωτική: κάθε στιγμή αμφιβολίας, επικοινωνήστε με τους επίσημους φορείς μέσω των γνωστών καναλιών, μη δίνετε κωδικούς ή πρόσβαση σε τρίτους και διατηρείτε τα κινητά και τις εφαρμογές σας ενημερωμένα.
Η προσοχή σήμερα μπορεί να αποτρέψει σημαντική οικονομική και προσωπική ζημιά αύριο.
