Η κυβερνοεπίθεση είχε ως αποτέλεσμα την διαρροή προσωπικών δεδομένων, το μέγεθος των οποίων ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία του ΕΑΠ.

Πρόκειται για προσωπικά δεδομένα που αφορούν:

• Ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες
• Προσωπικά στοιχεία επικοινωνίας (διευθύνσεις, τηλέφωνα, email)
• Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών
• Ιατρικά δεδομένα
• Βαθμολογίες, τίτλοι σπουδών, εκπαιδευτικά έγγραφα
• Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Όλα τα παραπάνω, σύμφωνα με το ίδιο το Ίδρυμα, έχουν εντοπιστεί στο dark web, με τουλάχιστον 65 GB να έχουν ήδη ανακτηθεί από τρίτους. Κανείς δεν μπορεί να γνωρίζει ποιοι τα έχουν στην κατοχή τους και με τι σκοπούς».

Σύμφωνα με το Φοιτητικά Νέα, φοιτητές και απόφοιτοι είχαν εκφράσει, ήδη από τον Νοέμβριο του 2024, την ανησυχία τους για την έκταση της επίθεσης και την αδικαιολόγητη καθυστέρηση στην ενημέρωση. Σε επιστολές τους προς τη διοίκηση ζητούσαν ξεκάθαρες απαντήσεις: Ποια δεδομένα είχαν διαρρεύσει, ποιοι είχαν πρόσβαση, και κυρίως, τι ενέργειες έπρεπε να κάνουν για να προστατευθούν.

Τα «Φοιτητικά Νέα» είχαν αναδείξει από τις 03/11/2024, μέσω σχετικών ρεπορτάζ, πως η επίθεση είχε προκαλέσει σοβαρές ανησυχίες στους φοιτητές και τους αποφοίτους του Ιδρύματος καθώς κυκλοφορούσε στο διαδίκτυο η (ενδεχόμενη) πιθανότητα διαρροής των προσωπικών τους δεδομένων, σε περίπτωση που το ΕΑΠ δεν κατέβαλε τα απαιτούμενα λύτρα στους κυβερνοεγκληματίες εντός του συγκεκριμένου χρονικού διαστήματος που είχαν ορίσει.

Οι πρώτες αντιδράσεις δεν άργησαν να έρθουν, καθώς πολλοί φοιτητές και απόφοιτοι εξέφρασαν πως τα προσωπικά τους στοιχεία έχουν ενδεχομένως εκτεθεί σε κακόβουλους τρίτους.

Η ιδιαίτερη ανησυχία εκφράστηκε και από τους στρατιωτικούς φοιτητές και απόφοιτους του ΕΑΠ. Οι στρατιωτικοί είχαν προβεί σε δημόσιες ανακοινώσεις ότι η διαρροή προσωπικών δεδομένων μπορεί να αφορά ευαίσθητες στρατιωτικές πληροφορίες, οι οποίες μπορεί να σχετίζονται άμεσα με την εθνική ασφάλεια.

Η ανακοίνωση του ΕΑΠ

«Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.

Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου.

Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας.

Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας.

Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή. Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις».

Ενέργειες που έγιναν προς αντιμετώπιση του περιστατικού

«Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πιο συγκεκριμένα:

• Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής.
• Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα.
• Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού.
• Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται).
• Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων.
• Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις.
• Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό.
• Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση.
• Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας.

Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Ενδεχόμενες συνέπειες της διαρροής για τα υποκείμενα των δεδομένων:

• Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως:
• Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
• Απόπειρες απάτης, μέσω email ή τηλεφώνου.
• Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες.
• Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων.
• Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
• Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική).
• Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).
• Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς.
• Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες.

Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται.

Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους», γράφει η ανακοίνωση του ΕΑΠ.

Για την προστασία των φοιτητών, το ΕΑΠ συνιστά να ακολουθήσετε τις εξής οδηγίες:

• Αλλάξτε, άμεσα, τους κωδικούς πρόσβασης στους λογαριασμούς σας (ηλεκτρονικού ταχυδρομείου και υπηρεσιών μητρώου). Συνιστάται η χρήση ενός μοναδικού και ισχυρού κωδικού, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. Επιπλέον, προτείνεται η τακτική αλλαγή του κωδικού, ιδανικά κάθε έξι μήνες.
• Αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
• Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
• Μην ανοίγετε συνδέσμους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
• Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
• Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
• Περιορίστε τη δημοσίευση προσωπικών πληροφοριών σε δημόσιες πλατφόρμες και κοινωνικά δίκτυα.
• Ρυθμίστε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας.
• Ενημερώστε, άμεσα, τον πάροχο υπηρεσιών σας εάν παρατηρήσετε ύποπτη δραστηριότητα σε προσωπικούς ή επαγγελματικούς σας λογαριασμούς.
• Σε περίπτωση που αρχίσετε να λαμβάνετε ανεπιθύμητες, εμπορικές κλήσεις, εξετάστε την πιθανότητα εγγραφής σας, μέσω των σχετικών, νόμιμων διαδικασιών στο μητρώο της παρ. 2, άρθρου 11, Ν. 3471/2006.
• Σε περίπτωση που λαμβάνετε ενοχλητικά, διαφημιστικά email, μηνύματα ή μηνύματα τα οποία δε σχετίζονται με την εκπαιδευτική διαδικασία στις ηλεκτρονικές διευθύνσεις που σας έχουν δοθεί από το Ε.Α.Π., παρακαλούμε να τα γνωστοποιείτε στο Γραφείο Δικτυακών και Πληροφοριακών Υπηρεσιών, προωθώντας τα εν λόγω μηνύματα στην email διεύθυνση abuse@eap.gr, έτσι ώστε να λαμβάνονται όλα τα απαραίτητα μέτρα.

Οι κατηγορούμενοι υποδυόμενοι υπάλληλους Υπηρεσίας Πρόνοιας, έπεισαν τηλεφωνικά εφημέριο Ιερού Ναού του Δήμου Ωραιοκάστρου, να καταθέσει το χρηματικό ποσό των 250 ευρώ σε συγκεκριμένο τραπεζικό λογαριασμό, προκειμένου να αποπληρωθεί ενοίκιο κατοικίας οικογένειας για την οποία έχει εκδοθεί δικαστική απόφαση έξωσης. Μετά τη μεταφορά των χρημάτων στο λογαριασμό οι κατηγορούμενοι εξαφανίστηκαν.

Με τον τρόπο αυτό οι τράπεζες αντιμετωπίζουν και τον ανταγωνισμό που έχει προκύψει τα τελευταία χρόνια από τους καλούμενους τρίτους παίκτες που έχουν εισέλθει δυναμικά τόσο διεθνώς όσο και στην χώρα μας σε επιμέρους τομείς πληρωμών και υπηρεσιών που μέχρι πρόσφατα ήταν αποκλειστικό σχεδόν θέμα του τραπεζικού συστήματος. Σε ποιο όμως συγκεκριμένο στάδιο βρίσκονται σήμερα οι τράπεζες στον τομέα ψηφιοποίησης και γιατί θα αντέξουν στην είσοδο νέων παικτών; Τι έχουν να περιμένουν οι πελάτες; Ποιες υπηρεσίες γνωρίζουν ανάπτυξη;

Όπως ανέφερε, από το βήμα του Φόρουμ των Δελφών, ο Chief Digital Officer της Alpha Bank, Μιχάλης Τσαρμπόπουλος είναι γεγονός ότι βλέπουμε ολοένα και περισσότερες εφαρμογές κοινωνικής δικτύωσης, ανταλλαγής μηνυμάτων κ.λπ. να προσθέτουν υπηρεσίες με βασικότερη αυτή της μεταφοράς αξίας, της έκδοσης χρεωστικής κάρτας και της πληρωμής λογαριασμών. Επί της ουσίας όμως, όπως ανέφερε, μέχρι σήμερα, δεν έχουμε δει κάποια τέτοια εταιρεία να προσφέρει μία πραγματικά νέα υπηρεσία, μία πραγματική καινοτομία που δεν προσφέρεται ήδη από τις τράπεζες εδώ και χρόνια, και μάλιστα πάνω από πραγματικούς τραπεζικούς λογαριασμούς που καλύπτονται και από το πλαίσιο εγγύησης των καταθέσεων.

Αναφέρθηκε χαρακτηριστικά το IRIS payments, επισημαίνοντας ότι ένας πολίτης μπορεί να στείλει άμεσα χρήματα σε έναν άλλο πολίτη ή σε έναν επαγγελματία, γνωρίζοντας μόνο τον αριθμό του κινητού του και φυσικά με την ασφάλεια των καταθέσεων που δεν υπάρχει σε ένα απλό ψηφιακό πορτοφόλι. Αυτή είναι μία υπηρεσία πολύ μεγαλύτερης προστιθέμενης αξίας, καθώς καλύπτει την πραγματική μεταφορά χρημάτων και μάλιστα μεταξύ διαφορετικών τραπεζικών ιδρυμάτων και όχι απλά τη μεταφορά αξίας μεταξύ χρηστών του ίδιου οργανισμού.

Προσφερόμενες ψηφιακές υπηρεσίες στο 100%

Σήμερα μέσα από τις εφαρμογές των τραπεζών, ένας πελάτης έχει πολύ πιο ολοκληρωμένη εξυπηρέτηση, καθώς μπορεί να κάνει εμβάσματα προς όλες τις χώρες και τις τράπεζες του κόσμου, να πληρώσει όποιον λογαριασμό θέλει, να εκδώσει χρεωστικές ή πιστωτικές κάρτες, να ψηφιοποιήσει τις κάρτες του και να τις συνδέσει με ψηφιακά πορτοφόλια, να αποκτήσει προσωπικό δάνειο, να κάνει συναλλαγές επί επενδυτικών προϊόντων, να αποκτήσει ασφαλιστικές καλύψεις κ.λπ.

Μία από τις σημαντικές προκλήσεις που αντιμετωπίζουν πλέον οι τράπεζες, ανέφερε ο Chief Digital Officer της Alpha Bank, Μιχάλης Τσαρμπόπουλος είναι σχεδιαστικής φύσεως στο ψηφιακό περιβάλλον των λύσεων που προσφέρουν κάτι μεταξύ τέχνης και επιστήμης, ώστε οι πελάτες, από ένα μεγάλο εύρος προϊόντων και υπηρεσιών, να μπορούν εύκολα και γρήγορα να μπορούν εύκολα και γρήγορα να τις βρίσκουν και να τις χρησιμοποιήσουν.

Εστιάζοντας στην Alpha Bank επισήμανε ότι έχει σχεδιάσει και εφαρμόζει ένα ολοκληρωμένο πλάνο περαιτέρω εμπλουτισμού των ψηφιακών υπηρεσιών και αναβάθμισης της ψηφιακής εμπειρίας των πελατών της για τα επόμενα χρόνια. Βασικοί πυλώνες αυτού του σχεδίου είναι η ψηφιοποίηση των υπηρεσιών της καθημερινότητας των πελατών στο 100%, η δυνατότητα όλα τα απλά τραπεζικά και τραπεζοασφαλιστικά προϊόντα να παρέχονται μέσα από πλήρως ψηφιοποιημένα ταξίδια, η ενίσχυση της παροχής σύνθετων τραπεζικών υπηρεσιών και προϊόντων (π.χ. διαχείριση περιουσίας, στεγαστικά δάνεια) μέσα από την αξιοποίηση της σύγχρονης τεχνολογίας, όπως π.χ. τηλεδιασκέψεις με χρήση video, ανταλλαγή ψηφιακών εγγράφων και υπογραφών με τους πελάτες, και τέλος ο ανασχεδιασμός και εκσυγχρονισμός των βασικών της ψηφιακών εφαρμογών, τόσο στο web όσο και στο mobile.

Ξεκίνημα τραπεζικής σχέσης χωρίς παρουσία στο κατάστημα

Από την πλευρά και η Χριστίνα Θεοφιλίδη, Γενική Διευθύντρια Λιανικής Τραπεζικής της Εθνικής Τράπεζας, τόνισε την εντυπωσιακή πρόοδο που έχει σημειωθεί την τελευταία δεκαετία στην Ευρώπη, με το ποσοστό διείσδυσης της ψηφιακής τραπεζικής να εκτινάσσεται στο 60%, από 35% το 2011. Ειδικά στην Ελλάδα, οι συναλλαγές μέσω ψηφιακών δικτύων αυξήθηκαν σημαντικά, περιορίζοντας αντίστοιχα τις συναλλαγές στα δίκτυα καταστημάτων, που σήμερα εξυπηρετούν μόλις το 3% των εγχρήματων συναλλαγών.

Η Ελλάδα, μαζί με τη Γερμανία και την Ιταλία, βρίσκεται σε ένα επίπεδο χρήσης ψηφιακής τραπεζικής λίγο πάνω από το 50%, ποσοστό το οποίο απέχει από άλλες ευρωπαϊκές χώρες όπως η Γαλλία και η Ισπανία, οι οποίες είναι κοντά στο 68% και ασφαλώς οι σκανδιναβικές χώρες, στις οποίες η ψηφιακή τραπεζική έχει περάσει σε διείσδυση στο κοινό το 85%. Για την ψηφιακή ωριμότητα της Εθνικής Τράπεζας, η κ. Θεοφιλίδη επικαλέστηκε πρόσφατη παγκόσμια έρευνα της Deloitte, στην οποία η Εθνική κατατάσσεται ανάμεσα στις 20 κορυφαίες προτάσεις από σύνολο περίπου 300 τραπεζικών ιδρυμάτων, συμπεριλαμβανομένων παραδοσιακών τραπεζών αλλά και neobanks.

Σήμερα, ανέφερε η κ. Θεοφιλίδη, κάθε Έλληνας μπορεί να γίνει πελάτης της Εθνικής Τράπεζας αποκλειστικά από το κινητό του, να ανοίξει τον πρώτο του λογαριασμό, να αποκτήσει κάθε είδους κάρτα (χρεωστική, προπληρωμένη, πιστωτική), να αιτηθεί και να λάβει σε λίγα λεπτά προσωπικό δάνειο, να επενδύσει σε προθεσμιακές καταθέσεις, αμοιβαία κεφάλαια και μετοχές, να ασφαλίσει τον ίδιο, την οικογένειά του και την περιουσία του.

Οι τεχνολογικοί κολοσσοί και οι τράπεζες

Αναφορικά με την είσοδο τεχνολογικών κολοσσών, όπως η Apple, στη διάθεση τραπεζικών προϊόντων, η κ. Θεοφιλίδη, εκτίμησε πως είναι μία τάση που θα γίνει πιο έντονη στο μέλλον, καθώς οι συγκεκριμένες εταιρείες κυριαρχούν στην προσφορά υπηρεσιών μέσω κινητών τηλεφώνων.

Η πρόκληση, ωστόσο, δεν έχει να κάνει με το αν μπορούν να προσφέρουν ένα μεμονωμένο προϊόν με πολύ καλή τιμολόγηση. Αυτό μπορούν σίγουρα να το κάνουν, όπως θα μπορούσε και μία νεοσύστατη τράπεζα αν ήθελε να κερδίσει πελατολόγιο. Πρέπει να μελετήσουμε και ήδη κοιτάμε από πολύ κοντά είναι η εμπειρία που οι big tech εταιρίες προσφέρουν στον πελάτη. Εκεί έχουμε πολλά να μάθουμε ως τραπεζικό σύστημα. Και πρέπει να συνεχίσουμε να γινόμαστε καλύτεροι, πιο ανθρωποκεντρικοί και να βελτιώνουμε την εμπειρία του πελάτη που συναλλάσσεται ψηφιακά μαζί μας. Έτσι απαντάμε στην πρόκληση των Big techs, και έτσι αυξάνουμε και την ψηφιακή μας διείσδυση.

Επενδύσεις που ξεπέρασαν το ένα δισ. ευρώ

Για να οδηγηθεί το εγχώριο τραπεζικό σύστημα στην νέα ψηφιακή εποχή οι συνολικές επενδύσεις, σύμφωνα με συγκλίνουσες εκτιμήσεις που έχουν δημοσιοποιηθεί, ξεπέρασαν το ένα δισ. ευρώ και επεκτάθηκαν σε όλη την οργανωτική τους δομή. Τα συγκεκριμένα προγράμματα μετασχηματισμού που είχαν ορίζοντα τουλάχιστον τριετίας βρίσκονται στις περισσότερες των περιπτώσεων σε προχωρημένο στάδιο με τις αλλαγές να είναι πλέον ορατές και στους απλούς συναλλασσομένους, με πιο χαρακτηριστικό παράδειγμα την αλλαγή όψης του φυσικού δικτύου των τραπεζικών καταστημάτων.

Οι φερόμενοι δράστες παρέπεμπαν τα θύματά τους σε ιστοσελίδες κλώνους τραπεζικών καταστημάτων αποσπώντας τους προσωπικά στοιχεία και κωδικούς με αποτέλεσμα να καταφέρουν να αποσπάσουν συνολικά το χρηματικό ποσό των 86.163,53 ευρώ, μεταφέροντάς το σε εμβάσματα σε διάφορα χρηματοπιστωτικά ιδρύματα τόσο της χώρας όσο και του εξωτερικού.
Οι σχετικές δικογραφίες θα υποβληθούν στις αρμόδιες δικαστικές αρχές.

Συμβουλές για την αποφυγή περιστατικών εξαπάτησης πολιτών μέσω διαδικτύου

Στο μεταξύ, η Γενική Αστυνομική Διεύθυνση Θεσσαλονίκης, δίνει συμβουλές στο κοινό προκειμένου να αποφεύγει περιπτώσεις εξαπάτησης από επιτήδειους. Συγκεκριμένα συνιστά στους πολίτες: 
-να αγοράζουν από αξιόπιστες πηγές και να πραγματοποιούν αγορές από εταιρείες και καταστήματα που γνωρίζουν ή που έχουν αγοράσει ξανά, 
-να βεβαιώνονται για την ασφαλή διαδικασία μεταφοράς δεδομένων, αναζητώντας το σύμβολο του λουκέτου στη γραμμή (URL) και τη χρήση των πρωτοκόλλων HTTPS και SSL κατά την περιήγηση στο διαδίκτυο.
-να μην υποβάλλουν τα στοιχεία της κάρτας τους εάν δεν αγοράζουν συγκεκριμένο προϊόν ή υπηρεσία. 
-όταν αγοράζουν κάτι μέσω διαδικτύου από ιδιώτη να μην στέλνουν χρήματα προκαταβολικά στον πωλητή.
-να μην στέλνουν χρήματα σε κάποιον που δεν γνωρίζουν
-να μην δίνουν τον αριθμό της κάρτας τους, το ΡΙΝ ή οποιαδήποτε άλλη πληροφορία για την κάρτα, μέσω ηλεκτρονικού ταχυδρομείου (email)
-να αποφεύγουν διαδικτυακές αγορές σε ιστοσελίδες που δεν χρησιμοποιούν πλήρη αυθεντικοποίηση (verified by visa / mastercard / secure code)
-να μη στέλνουν ποτέ στοιχεία της κάρτας τους με μη κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο (email).

Οι κυριότερες μορφές διαδικτυακής απάτης

Η αστυνομία, άλλωστε, γνωστοποιεί ότι οι κυριότερες μορφές διαδικτυακής απάτης είναι οι ακόλουθες:
– Phishing προσωπικών στοιχείων. Πραγματοποιείται συνήθως με τη αποστολή emails από υποτιθέμενη υπαρκτή και νόμιμη εταιρεία, το οποίο περιλαμβάνει ύποπτο link ή συνημμένο αρχείο.
– Απάτες με πιστωτικές κάρτες. Πραγματοποιούνται με την αλίευση (phishing) στο διαδίκτυο των ευαίσθητων
προσωπικών δεδομένων και κυρίως στοιχεία τραπεζικών λογαριασμών μέσω υπερσυνδέσμου που οδηγεί συνήθως σε πλασματική ιστοσελίδα τράπεζας. 
– «Νιγηριανή» Απάτη. Στην περίπτωση αυτή αποστέλλονται emails, με τα οποία πληροφορούν ότι κάποιος χρειάζεται τη βοήθειά σας προκειμένου να μεταφέρει ένα υψηλό χρηματικό ποσό (ή κληρονομιά), έναντι μεγάλης υποσχόμενης αμοιβής.
– Σε διαδικτυακές αγορές. Δημοσίευση προσφορών, οι οποίες είναι πολύ καλές για να είναι αληθινές και είναι
διαθέσιμες για περιορισμένο χρονικό διάστημα.
– Ισπανικό Λόττο. Ενημέρωση μέσω email ότι έχετε κερδίσει ένα μεγάλο χρηματικό ποσό σε ηλεκτρονική κλήρωση.
– Με χορήγηση δανείων. Αναρτήσεις σε σελίδες κοινωνικής δικτύωσης για δάνεια με ευνοϊκούς όρους από μη αδειοδοτούμενους φορείς.
– Με αγγελίες μέσω διαδικτύου. Δημοσίευση απατηλών αγγελιών στο διαδίκτυο για μίσθωση κατοικιών, εύρεση εργασίας ή αγοραπωλησίες προϊόντων.

Σε περίπτωση που πολίτες πέσουν θύματα διαδικτυακής απάτης καλούνται να το καταγγείλουν είτε στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος μέσω τηλεφώνου στο 11188 ή μέσω email στο  ccu@cybercrimeunit.gov.gr είτε σε οποιαδήποτε αστυνομική ή δικαστική αρχή ανά την Επικράτεια.

Στο Twitter αναρτήθηκε επώνυμη καταγγελία δύο Ισπανών πολιτών, στο γραφείο του Ευρωπαίου εισαγγελέα και στην ισπανική οργάνωση για την καταπολέμηση της διαφθοράς ΑCODAP (Ένωση ενάντια στη Διαφθορά) σχετικά με τους πρωταγωνιστές του Qatargate.

Η ACODAP επιβεβαίωσε ότι υπήρξε αποδέκτρια της καταγγελίας και του σχετικού υλικού, το οποίο όπως ανέφερε σε ΜΜΕ, διαβίβασε την Δευτέρα (19/12) ενώπιον των αρμόδιων εισαγγελικών αρχών της Ισπανίας.

• Η καταγγελία συνοδεύεται από έγγραφα τραπεζικών καταθέσεων, από το περιεχόμενο των οποίων προκύπτει ότι σε λογαριασμούς που διατηρούν η Εύα Καϊλή, ο πατέρας της και άλλα σχετιζόμενα πρόσωπα σε τράπεζα στον Παναμά έχουν κατατεθεί πολλά εκατομμύρια ευρώ από το Qatar Investment Authority.

Έρευνα Βουρλιώτη για τα 28 εκατ. στον Παναμά

• Εν τω μεταξύ, την παρέμβαση του Προέδρου της Αρχής Ξεπλύματος Αντεισαγγελέα ΑΠ ε.τ προκάλεσαν όσα «είδαν» το φως της δημοσιότητας, για τρεις ονομαστικούς λογαριασμούς της Εύας Καϊλή και μελών της οικογένειας της στον Παναμά, με καταθέσεις 28 εκατομμυρίων ευρώ, με το Κατάρ, να είναι η χώρα προέλευσης των χρημάτων.

Ο κ. Βουρλιώτης, που έχει ήδη ξεκινήσει έρευνα σε βάρος της Εύας Καϊλή, μόλις ξέσπασε το Qatargate, έχει ήδη δεσμεύσει τους λογαριασμούς της Ευρωβουλευτή, καθώς και λογαριασμούς δύο ΜΚΟ, που ανήκουν στην αδελφή της Μανταλένα, αναμένεται να επεκτείνει την έρευνα του και στον Παναμά.

• Σύμφωνα με πληροφορίες του iEidiseis, ο Πρόεδρος της Αρχής Ξεπλύματος μαύρου χρήματος, στο πλαίσιο της άρσης τραπεζικού απορρήτου θα αναζητήσει από τις Δικαστικές Αρχές του Παναμά στοιχεία, για τραπεζικούς λογαριασμούς της κ. Καϊλή, ή ακόμη και για θυρίδες, προκειμένου να διαπιστωθεί, εάν υπάρχει ροή 28 εκατομμυρίων από το Κατάρ, στην ίδια και σε μέλη της οικογένειας της.

Η υπόθεση ήρθε στο φως της δημοσιότητας με ανάρτηση του βουλευτή του ΣΥΡΙΖΑ Γιάννη Μπουρνούς, που εμφάνισε τραπεζικά έγγραφα, ενώ ανέφερε:

«Ήρθαν στο φως οι τραπεζικοί λογαριασμοί σε φορολογικούς παραδείσους των εμπλεκομένων στο μεγαλύτερο σκάνδαλο διαφθοράς του Ευρωκοινοβουλίου. Τρεις λογαριασμοί από αυτούς που βρέθηκαν στον Παναμά ανήκαν στην Εύα Καϊλή, τον πατέρα της Αλέξανδρο Καϊλή και την μητέρα της, Μαρία Ιγνατιάδου.

Βρέθηκαν 20 εκατομμύρια ευρώ σε δύο καταθέσεις από το Κατάρ προς την Εύα Καϊλή. 4 εκατομμύρια ευρώ σε δύο καταθέσεις από το Κατάρ προς τον Αλέξανδρο Καϊλή. 4 εκατομμύρια ευρώ σε δύο καταθέσεις από το Κατάρ προς την Μαρία Ιγνατιάδου. Σοσιαλιστές μέχρι το μεδούλι οικογενειακώς. Η Ελλάδα διασύρεται διεθνώς και η κατρακύλα δεν έχει σταματημό. Ας είναι καλά η βελγική δικαιοσύνη που κάνει τη δουλειά της και ξεσκεπάζει τον βούρκο».

Διαψεύδει ο δικηγόρος της Εύας Καϊλή

O συνήγορος υπεράσπισης της κ. Καϊλή Μιχάλης Δημητρακόπουλος, αμφισβήτησε τη γνησιότητα των εγγράφων και μάλιστα ανέφερε ότι:

«Θα στείλουμε άμεσα στον κύριο Χαράλαμπο Βουρλιώτη, Πρόεδρο της Αρχής Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές δραστηριότητες τα πλαστογραφημένα έγγραφα, ώστε άμεσα να επικοινωνήσει με τις αρμόδιες αρχές στον Παναμά και να πιστοποιηθεί αυθεντικά η πλαστογραφία τους, συγχρόνως δε θα αποσταλούν στην Διεύθυνση Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, ώστε να εντοπιστεί ο πλαστογράφος που επιχειρεί να παραπλανήσει τους δημοσιογράφους και τους πολίτες».

• «Τα έγγραφα που εμφανίζουν το κράτος του Κατάρ μέσω της Εθνικής Τράπεζας του Κατάρ να δωροδοκούν την Εύα Καϊλή και μέλη της οικογένειάς της σε τραπεζικούς λογαριασμούς ονομαστικούς στον Παναμά είναι προδήλως και εμφανέστατα πλαστά» τόνισε χαρακτηριστικά ο δικηγόρος της Εύας Καϊλή.

«Θα ζητήσουμε από τη Διεύθυνση Ηλεκτρονικού Εγκλήματος να διερευνήσει ποιος είναι ο πλαστογράφος και ποιες οι σκοπιμότητες του» συμπλήρωσε ο κ. Δημητρακόπουλος.

Δημοσιεύματα για 20 εκατ. της οικογένειας Καϊλή σε τράπεζα του Παναμά

• Τα προηγούμενα 24ωρα, δημοσιεύτηκαν στα social media, ορισμένα έγγραφα που αποκαλύπτουν ότι βρέθηκαν, συνολικά, πάνω από 20 εκατομμύρια ευρώ σε τρεις λογαριασμούς στον Παναμά που ανήκουν στην Εύα Καϊλή, στον πατέρα της Αλέξανδρο Καϊλή και στη μητέρα της Μαρία Ιγνατιάδου.

Από τα έγγραφα προκύπτει ότι το παραπάνω ποσό βρέθηκε σε καταθέσεις από το 2019 και το 2020.

Προς το παρόν, δεν επιβεβαιώνεται η εγκυρότητά τους.

Ωστόσο, παρόμοια ανάρτηση έκανε στα social media και ο βουλευτής του ΣΥΡΙΖΑ, Γιάννης Μπουρνούς. Επικαλούμενος τα συγκεκριμένα έγγραφα αναφέρει ότι εντοπίστηκαν 20 εκατ. ευρώ σε λογαριασμούς της Εύας Καϊλή, στους λογαριασμούς του πατέρα της 4 εκατ. ευρώ και στης μητέρας της 4 εκατ. ευρώ.

Τα έγγραφα

Σύμφωνα με τραπεζικές πηγές, εκτιμάται ότι κατά τη διάρκεια της περυσινής χρονιάς η λεία από καταθέσεις που έκαναν φτερά διαμορφώθηκε στη ζώνη των 50 εκατομμυρίων ευρώ, σχεδόν πέντε φορές πάνω έναντι του 2020.

Όπως εξηγούν, μετά το ξέσπασμα της πανδημίας και λόγω της ανάγκης για εξ αποστάσεως συναλλαγές, οι πρωτάρηδες του e-banking αυξήθηκαν κατακόρυφα. Περί τα 2.000.000 ιδιώτες άνοιξαν λογαριασμό στις υπηρεσίες ηλεκτρονικής τραπεζικής την τελευταία διετία, αποτελώντας εύκολα θύματα για τους e-ληστές, οι οποίοι είδαν την εξέλιξη αυτή ως μοναδική ευκαιρία για την ανάπτυξη των δραστηριοτήτων τους.

Τι να προσέξετε στα mail που δέχεστε

Η δημοσιοποίηση ωστόσο των περιστατικών απάτης, αλλά και οι εκστρατείες ενημέρωσης της Πολιτείας, της Ελληνικής Ένωσης Τραπεζών και των πιστωτικών ιδρυμάτων φρέναραν σε έναν βαθμό τον ρυθμό αύξησης των υποθέσεων. Αυτό ανάγκασε τους δράστες να γίνουν πιο επινοητικοί στον τρόπο που προσεγγίζουν τα θύματα και να βελτιώσουν ποιοτικά τα μηνύματά τους. Μέχρι πρότινος, η πλειονότητα των e-mails για το ψάρεμα πολιτών περιείχε ορθογραφικά/συντακτικά λάθη ή παραποιημένα λογότυπα των τραπεζών.

Πλέον, το περιεχόμενο των μηνυμάτων είναι προσεκτικά γραμμένο, ενώ όλο το εικαστικό που τα συνοδεύει δίνει την αίσθηση ότι προέρχονται από την ίδια την τράπεζα. Παράλληλα, επικαλούνται προβλήματα που δημιουργούν την αίσθηση του κατεπείγοντος, π.χ. ότι δεν μπορεί να χρησιμοποιηθεί η κάρτα ή ότι πρέπει να γίνει μια ενέργεια για την προστασία του λογαριασμού e-banking. Σε ορισμένες περιπτώσεις μάλιστα ορίζουν και συγκεκριμένες προθεσμίες.

Στόχος των επιτήδειων είναι το θύμα να κινηθεί γρήγορα για να λύσει το υποτιθέμενο πρόβλημα και να μην ανακαλύψει κοιτώντας πιο προσεκτικά το μήνυμα πως πρόκειται για απάτη. Μόνο τυχαίο δεν είναι το γεγονός ότι η καμπάνια της ΕΕΤ έχει τίτλο «Μία παύση αρκεί».

Ανεξάρτητα από το περιεχόμενο του μηνύματος που θα αποσταλεί στον συνδρομητή του e-banking, για να ολοκληρωθεί μια απάτη απαιτείται σε όλες τις περιπτώσεις η συμμετοχή του θύματος. Δεν τίθεται ζήτημα παραβίασης των συστημάτων ασφαλείας της τράπεζας. Ειδικότερα, για να εκτελεστεί μια μεταφορά χρειάζονται τα ακόλουθα: τα στοιχεία για την είσοδο στο e-banking και η επιβεβαίωση της συναλλαγής είτε με κωδικό μιας χρήσης ή μέσω ειδοποιήσεων στο κινητό του δικαιούχου του λογαριασμού.

Phising: Πώς ξεγελούν τους πολίτες με mail ή SMS

Η κλασική μέθοδος είναι το phishing. Οι δράστες αποστέλλουν ένα απατηλό e-mail ή SMS, με το οποίο ενημερώνουν τον παραλήπτη ότι πρέπει να μπει στον λογαριασμό του πατώντας συγκεκριμένο link, προφασιζόμενοι ένα πρόβλημα, π.χ. ότι μπλόκαρε η κάρτα ή πάγωσε ο λογαριασμός του.

Αν το θύμα πατήσει στον σύνδεσμο, εισέρχεται σε μια ιστοσελίδα που μοιάζει πολύ με το e-banking της τράπεζάς του. Εφόσον πληκτρολογήσει εκεί τα στοιχεία του, αυτά περιέρχονται σε γνώση των δραστών.

Οι τελευταίοι εισέρχονται έτσι στον πραγματικό λογαριασμό του θύματος και επιχειρούν την εκτέλεση μιας συναλλαγής. Η ολοκλήρωση της ληστείας γίνεται μετά την πληκτρολόγηση στην απατηλή ιστοσελίδα του κωδικού μίας χρήσης που λαμβάνει το θύμα στο κινητό του.

Εναλλακτικά, το θύμα επιβεβαιώνει τη συναλλαγή μέσω της ειδοποίησης που λαμβάνει στο m-banking, θεωρώντας ότι με τον τρόπο αυτόν θα λυθεί το δήθεν πρόβλημα.

Ένας άλλος τρόπος ώστε οι δράστες να εξασφαλίσουν την πολυπόθητη επιβεβαίωση μιας συναλλαγής είναι να αποκτήσουν τον έλεγχο του κινητού τηλεφώνου του θύματος. Συγκεκριμένα, δηλώνουν στον τηλεπικοινωνιακό πάροχο, προσποιούμενοι το θύμα, ότι έχασαν το κινητό και εκδίδεται νέα κάρτα SIM με τον ίδιο αριθμό. Έτσι, λαμβάνουν άμεσα και τα SMS που αποστέλλει η τράπεζα στον πελάτη της ή ενεργοποιούν στη συσκευή τους τον λογαριασμό m-banking. Πάντως, οι πάροχοι πλέον είναι πολύ προσεκτικοί στην έκδοση νέων καρτών SIM.

Εξάλλου, στο εξωτερικό έχουν καταγραφεί το τελευταίο διάστημα περιστατικά απάτης μέσω τηλεφώνου. Στην προκειμένη περίπτωση το θύμα λαμβάνει κλήση από τον αριθμό της τράπεζάς του, καθώς έχει βρεθεί τρόπος να εμφανίζεται αυτός στην αναγνώριση κλήσεων. Στην άλλη γραμμή όμως είναι ο δράστης που καθοδηγεί το θύμα ώστε να του δώσει πρόσβαση στο e-banking του.

Μία νέα μέθοδο εξαπάτησης των πολιτών έχουν επινοήσει επιτήδειοι, που δρουν μέσω αποστολής SMS στα κινητά, για να αντλήσουν τα δεδομένα του χρήστη.

Σάλος στο twitter με τη δήλωση Πετρούνια για το #metoo – Ανασκεύασε λίγη ώρα αργότερα

Το επίμαχο μήνυμα ενημερώνει τον χρήστη ότι δήθεν μπαίνει σε καραντίνα, με μια διατύπωση ωστόσο που μαρτυρά την αναξιοπιστία του. «Έχετε σταλεί σε καραντίνα για 10 ημέρες». Ακολούθως, παρατίθεται ένας σύνδεσμος (link) τον οποίο ο χρήστης δεν πρέπει να ακολουθήσει.

Στην περίπτωση που το πράξει, οι επιτήδειοι θα έχουν πρόσβαση σε ευαίσθητα προσωπικά του δεδομένα, έως και κωδικούς πρόσβασης λ.χ. σε υπηρεσίες ηλεκτρονικής τραπεζικής (web banking), με κίνδυνο να χάσει ακόμα και χρήματα.