Από κάποιον που παριστάνει εκπρόσωπο του λογιστικού γραφείου με το οποίο συνεργάζεσαι. Μέσα σε λίγα λεπτά, αν κάποιος δεν είναι προσεκτικός, μπορεί να βρεθεί αντιμέτωπος με άδειους λογαριασμούς.

Το phishing δεν είναι πια μια σποραδική απάτη του διαδικτύου. Στην ελληνική πραγματικότητα έχει μετατραπεί σε ένα διαρκές, εξελισσόμενο φαινόμενο που ακολουθεί την ψηφιακή καθημερινότητα των πολιτών. SMS, Viber, emails, ακόμα και τηλεφωνικές κλήσεις συνθέτουν ένα πλέγμα επιθέσεων που βασίζεται λιγότερο στην τεχνολογία και περισσότερο στην ψυχολογία. «Πατά» πάνω στη βιασύνη, στην ανασφάλεια και στην τάση μας να εμπιστευόμαστε ό,τι μοιάζει θεσμικό. Αξιοποιεί τη στιγμιαία πίεση, την αβεβαιότητα και την εύκολη αποδοχή μιας πηγής που δείχνει αξιόπιστη. Και στο τέλος μετανιώνουμε για όλες εκείνες τις κινήσεις που κάναμε πάνω στον πανικό μας.

Ο υπουργός Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης, Δημήτρης Παπαστεργίου, παραδέχεται ότι το πρόβλημα είναι σύνθετο και διαρκώς μεταβαλλόμενο. Όπως σημειώνει, γίνεται συστηματική δουλειά με τους παρόχους κινητής τηλεφωνίας και ήδη έχει περιοριστεί σε έναν βαθμό το spoofing — η πρακτική κατά την οποία οι απατεώνες εμφανίζονται με ψεύτικο, αλλά φαινομενικά αξιόπιστο αριθμό, συχνά προσομοιώνοντας τραπεζικές γραμμές. Ωστόσο, όπως τονίζει, νέα εργαλεία και νέα «κέντρα» αποστολής τέτοιων μηνυμάτων εμφανίζονται συνεχώς, καθιστώντας την αντιμετώπιση μια διαρκή μάχη.

Στην πράξη, οι επιθέσεις έχουν γίνει πιο στοχευμένες και πιο «καλοδουλεμένες». Τα μηνύματα δεν έχουν πλέον εμφανή λάθη, χρησιμοποιούν σωστή γλώσσα και συχνά ενσωματώνουν στοιχεία που μοιάζουν απολύτως αληθοφανή. Οι ψεύτικες ιστοσελίδες τραπεζών είναι σχεδόν πανομοιότυπες με τις πραγματικές, ενώ τα σενάρια που χρησιμοποιούνται (μπλοκαρισμένοι λογαριασμοί, επιστροφές φόρων κλπ) πατούν πάνω σε καθημερινές ανάγκες και φόβους των πολιτών.

Αυτό που ανησυχεί ιδιαίτερα τις αρχές είναι ότι τα θύματα δεν ανήκουν πλέον μόνο σε ευάλωτες ομάδες. Όπως επισημαίνεται, ακόμη και νεότεροι ή μορφωμένοι χρήστες πέφτουν θύματα, ακριβώς επειδή οι επιθέσεις έχουν γίνει πιο πειστικές και λιγότερο «πρόχειρες» από ό,τι στο παρελθόν.

Παρά τις προσπάθειες για τεχνικό περιορισμό του φαινομένου, όπως ο αποκλεισμός μη πιστοποιημένων κέντρων αποστολής μηνυμάτων, η πραγματικότητα είναι ότι δεν υπάρχει οριστική λύση. Το phishing προσαρμόζεται διαρκώς, ακολουθώντας την τεχνολογία και εκμεταλλευόμενο κάθε νέο κανάλι επικοινωνίας.

Στο ίδιο πλαίσιο, η Εθνική Αρχή Κυβερνοασφάλειας έχει επανειλημμένα επισημάνει ότι οι επιθέσεις phishing και spoofing βασίζονται κυρίως στην πλαστοπροσωπία αξιόπιστων φορέων και στην παραπλάνηση του χρήστη μέσω φαινομενικά «έγκυρων» μηνυμάτων. Όπως τονίζει, οι πολίτες θα πρέπει να είναι ιδιαίτερα προσεκτικοί σε μηνύματα που περιέχουν συνδέσμους ή ζητούν άμεση ενέργεια, καθώς συχνά οδηγούν σε ψεύτικες ιστοσελίδες ή αποσκοπούν στην εγκατάσταση κακόβουλου λογισμικού.

Η Αρχή υπογραμμίζει ότι κανένας οργανισμός δεν ζητά ευαίσθητα προσωπικά ή τραπεζικά δεδομένα μέσω SMS, email ή τηλεφωνικών κλήσεων, ενώ εφιστά την προσοχή στο γεγονός ότι ακόμη και η εμφάνιση ενός «έγκυρου» αποστολέα ή αριθμού δεν αποτελεί εγγύηση αξιοπιστίας.

Για τον λόγο αυτό, συστήνει τη διασταύρωση κάθε ύποπτης επικοινωνίας μέσω επίσημων καναλιών, την αποφυγή ανοίγματος συνδέσμων από άγνωστες πηγές και τη γενικότερη καλλιέργεια ψηφιακής εγρήγορσης ως βασικής γραμμής άμυνας απέναντι σε τέτοιου είδους επιθέσεις.

Τι μπορούν να κάνουν οι πολίτες 

Μέσα σε αυτό το ψηφιακό περιβάλλον, η προστασία δεν εξαρτάται μόνο από τα συστήματα, αλλά και από τα αντανακλαστικά των ίδιων των χρηστών. Υπάρχουν ορισμένοι βασικοί κανόνες που, αν τηρούνται, μπορούν να μειώσουν σημαντικά τον κίνδυνο:

– Να αντιμετωπίζουν με καχυποψία κάθε μήνυμα που ζητά άμεση ενέργεια ή δημιουργεί αίσθηση πίεσης. Η βιασύνη είναι το βασικό «εργαλείο» των απατεώνων.

– Να μην ανοίγουν συνδέσμους από SMS, Viber ή email αν δεν είναι απολύτως βέβαιοι για τον αποστολέα.

– Να μην καταχωρούν ποτέ προσωπικούς κωδικούς ή στοιχεία τραπεζικών καρτών μετά από τέτοιου είδους ειδοποιήσεις. Καμία τράπεζα δεν ζητά αυτά τα δεδομένα με αυτόν τον τρόπο.

– Να ελέγχουν προσεκτικά τη διεύθυνση της ιστοσελίδας — πολλές φορές η διαφορά από την αυθεντική είναι ελάχιστη, αλλά κρίσιμη.

– Να διακόπτουν τηλεφωνικές κλήσεις που ζητούν ευαίσθητα στοιχεία και να καλούν οι ίδιοι τον επίσημο αριθμό του οργανισμού.

– Να ενεργοποιούν τη διπλή επιβεβαίωση ταυτότητας όπου υπάρχει, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας.

– Να διατηρούν ενημερωμένες τις συσκευές και τις εφαρμογές τους, καθώς πολλά περιστατικά εκμεταλλεύονται παλαιότερα «κενά» ασφαλείας.

Η αντιμετώπιση του phishing στην Ελλάδα μοιάζει με έναν αγώνα χωρίς σαφή γραμμή τερματισμού. Από τη μία πλευρά, η πολιτεία και οι πάροχοι επιχειρούν να περιορίσουν τις «πύλες» απάτης. Από την άλλη, οι επιτήδειοι εξελίσσονται με την ίδια -αν όχι μεγαλύτερη- ταχύτητα.

Γι’ αυτό και οι πολίτες οφείλουν να είναι προσεκτικοί. Να «αμφισβητούν» αυτό που βλέπουν για λίγα δευτερόλεπτα και να το σκέφτονται δύο και τρεις φορές πριν πατήσουν κάποιο link ή δώσουν προσωπικά στοιχεία. Στον ψηφιακό κόσμο όλα μοιάζουν αληθινά. Κάθε μέρα και περισσότερο. Όμως δεν είναι…

Συγκεκριμένα, στην ανακοίνωση της ΑΑΔΕ αναφέρεται:

Εφιστούμε ιδιαίτερη προσοχή καθώς τα παραπλανητικά μηνύματα

• Φαίνεται ότι αποστέλλονται από την ΑΑΔΕ ή κάποια άλλη αξιόπιστη οντότητα, όπως το gov.gr.
• Ισχυρίζονται ότι ο παραλήπτης δικαιούται επιδότηση ή επιστροφή φόρου.
• Παροτρύνουν την σύνδεση μέσω link σε πλαστή ιστοσελίδα.

Εάν οι παραλήπτες πατήσουν τον σύνδεσμο, υπάρχει σοβαρός κίνδυνος να προκληθούν προβλήματα ασφαλείας ή να αλιευθούν προσωπικές ή και τραπεζικές τους πληροφορίες. Για την προστασία τους, οι πολίτες πρέπει να μην κάνουν click ή tap σε κανένα σύνδεσμο και να διαγράψουν αμέσως το μήνυμα.

Υπενθυμίζουμε ότι η ΑΑΔΕ δεν ζητά ποτέ και για κανένα λόγο από τους φορολογούμενους, να αποκαλύψουν προσωπικά τους στοιχεία (όνομα, ΑΦΜ, ημερομηνία γέννησης, τραπεζικούς λογαριασμούς ή κωδικούς πρόσβασης (Username ή Password) μέσω μηνύματος SMS ή μηνύματος ηλεκτρονικού ταχυδρομείου. Οι πολίτες πρέπει να συνδέονται στην ψηφιακή πύλη myAADE μόνο από τη διεύθυνση myaade.gov.gr, ή μέσω της επίσημης ιστοσελίδας της Ανεξάρτητης Αρχής Δημοσίων Εσόδων www.aade.gr ή να χρησιμοποιούν την επίσημη ψηφιακή εφαρμογή της ΑΑΔΕ για φορητές συσκευές myAADEapp.

Ειδικότερα, αποστέλλονται ψευδή μηνύματα σε πολίτες, τα οποία προσομοιώνουν αίτημα από την Ενιαία Ψηφιακή Πύλη του Δημοσίου, το gov.gr, και τα οποία καλούν τους πολίτες να επισκεφθούν συγκεκριμένο σύνδεσμο (link) ώστε να έχουν πρόσβαση σε «αζήτητα οφέλη» τους.

Το Phishing συνιστά ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο που καλεί τον αποδέκτη του μηνύματος να ακολουθήσει τις οδηγίες που του δίνονται. Αυτές οι οδηγίες μπορεί να ζητούν από τον αποδέκτη να ακολουθήσει κάποιον ηλεκτρονικό σύνδεσμο (link) ή και να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Καλούνται οι πολίτες να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής φαίνεται ο αποστολέας ή και τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων που δρουν με αυτόν τον τρόπο.

Ακολουθούν κάποιες πρακτικές συμβουλές για την προστασία από τις επιθέσεις αυτού του τύπου (phishing attacks):

• Δεν θα πρέπει ποτέ να δίνετε τα προσωπικά στοιχεία (π.χ. κωδικούς Taxis, e-Βanking, αριθμούς/PIN καρτών, κωδικούς πρόσβασης, όνομα χρήστη) σε υποτιθέμενους διαμεσολαβητές, νομικά γραφεία, λογιστές, ή άλλους επιτήδειους για δήθεν εξυπηρέτηση (π.χ. σε θέματα κρατικής επιδότησης, Power/Fuel/Τουρισμός για όλους ή άλλες περιπτώσεις όπως ενοικίαση δωματίων κλπ).

• Θα πρέπει να πραγματοποιείτε πρόσβαση μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας ή μέσω της εφαρμογής στο κινητό σας (app) και όχι μέσω συνδέσμων από κάποιο μήνυμα ή email που λάβατε, μηχανές αναζήτησης ή άλλες ιστοσελίδες.

• Αν λάβατε κάποιο ύποπτο email, προτού ενεργήσετε θα πρέπει να επικοινωνήσετε με τους συνεργάτες σας ή με τον υποτιθέμενο αποστολέα για να ελέγξετε την αυθεντικότητα του.

• Θα πρέπει να ελέγχετε προσεκτικά τη διεύθυνση του αποστολέα. Τα μηνύματα τύπου phishing έχουν συχνά διευθύνσεις αποστολέα που δεν έχουν σχέση με αυτόν που υποτίθεται ότι τα στέλνει.

• Θα πρέπει να εξετάζετε το είδος των πληροφοριών που σας ζητούνται. Ακόμα και αν το μήνυμα που λάβατε φαίνεται αυθεντικό, είναι απίθανο κάποιος φορέας, τράπεζα ή εταιρία να επικοινωνήσει μέσω ηλεκτρονικού ταχυδρομείου για να σας ζητήσει προσωπικά στοιχεία, στοιχεία τραπεζικής ή πιστωτικής κάρτας, ή άλλα προσωπικά ή ευαίσθητα δεδομένα.

• Θα πρέπει να είστε επιφυλακτικοί εάν το μήνυμα δημιουργεί μια αίσθηση επείγοντος. Οι επιτιθέμενοι προσπαθούν συχνά να ασκήσουν πίεση χρησιμοποιώντας αυτήν την τακτική.

• Θα πρέπει επίσης να είστε επιφυλακτικοί με μηνύματα επιστροφής φόρου ή χορήγησης επιδομάτων.

• Είναι αποτελεσματικός ένας ενδελεχής έλεγχος γραμματικής και ορθογραφίας καθώς τα τυπογραφικά λάθη και η κακή γραμματική είναι συχνά χαρακτηριστικά των μηνυμάτων τύπου phishing.

• Υπάρχουν αρκετές λύσεις ασφάλειας και αντιμετώπισης κακόβουλου λογισμικού (antispamming) που περιλαμβάνουν λειτουργίες αναγνώρισης και απόρριψης κακόβουλων μηνυμάτων.

Το θύμα έχει ήδη ενημερώσει δύο τράπεζες και χθες συνοδευόμενη από τον δικηγόρο της, την Εισαγγελέα Υπηρεσίας. Εχει ήδη υποβάλει μήνυση κατ’ αγνώστων στην Υποδιεύθυνση Ασφαλείας Ρόδου, που διενεργεί προκαταρκτική εξέταση.

Τον τελευταίο καιρό έχουν πληθύνει οι καταγγελίες για επιθέσεις ηλεκτρονικού ψαρέματος (phishing) προκειμένου επιτήδειοι να αποσπάσουν προσωπικά στοιχεία. Το «ηλεκτρονικό ψάρεμα» γίνεται κυρίως μέσω ηλεκτρονικού ταχυδρομείου, διαφημίσεων ή από ιστότοπους που έχουν παρόμοια εμφάνιση με ιστότοπους που τα θύματα χρησιμοποιούν ήδη.

Για παράδειγμα, τα θύματα λαμβάνουν μήνυμα ηλεκτρονικού ταχυδρομείου που μοιάζει να έχει σταλεί από την τράπεζά τους, με το οποίο τους ζητείται να επιβεβαιώσουν τον αριθμό του τραπεζικού τους λογαριασμού.

Πληροφορίες που μπορεί να ζητηθούν είναι τα ονόματα χρηστών και οι κωδικοί πρόσβασης, αριθμοί κοινωνικής ασφάλισης, αριθμοί τραπεζικών λογαριασμών, αριθμοί πιστωτικών καρτών, ημερομηνία γέννησης κ.α.

Στην προκείμενη περίπτωση την 16η Φεβρουαρίου 2021 η ελεύθερη επαγγελματίας έλαβε ένα μήνυμα στο κινητό τηλέφωνο της, που υποτίθεται πως είχε σταλεί από την τράπεζα. Σε αυτό διάβαζε πως «έχει παρατηρηθεί ύποπτη δραστηριότητα» στον λογαριασμό της.

Δυστυχώς πραγματοποίησε μέσω του κινητού της τηλεφώνου είσοδο στον παραπάνω σύνδεσμο, νομίζοντας ότι επρόκειτο για το e-banking της τράπεζας και μεταφέρθηκε σε ένα περιβάλλον που ήταν πανομοιότυπο με αυτό της τράπεζάς της, στο οποίο εισήλθε κάνοντας χρήση των κωδικών της και του ονόματος χρήστη, προκειμένου να ελέγξει την υποτιθέμενη παράνομη δραστηριότητα στον λογαριασμό της.

Με την σύνδεση αυτή διαπίστωσε ότι φαίνονταν όλες οι συναλλαγές που είχε πραγματοποιήσει μέσω του internet με αποτέλεσμα να μην υποψιαστεί ότι επρόκειτο για απάτη και ψεύτικο περιβάλλον του site. Διαπίστωσε ότι χωρίς την δική της συναίνεση είχαν μεταφερθεί 12.500 ευρώ την ίδια ημέρα και χωρίς να αναφέρεται η ακριβής ώρα της συναλλαγής.

Σύμφωνα με το dimokratiki.gr, τα χρήματά της μεταφέρθηκαν ειδικότερα σε τραπεζικό λογαριασμό άλλης τράπεζας που είχε ανοιχτεί σε υποκατάστημα της Τράπεζας στην οδό Σταδίου στην Αττική με δικαιούχο έναν Έλληνα. Αμέσως έσπευσε να ακυρώσει την συναλλαγή και ηλεκτρονικά μέσω του site και τηλεφωνικά με την εξυπηρέτηση πελατών της τράπεζας.

Έλαβε μάλιστα μήνυμα επιβεβαίωσης από την τράπεζα Πειραιώς ότι η ακύρωση της συναλλαγής εκτελέστηκε επιτυχώς. Αφού έγιναν όλα τα απαραίτητα, η τράπεζα την ενημέρωσε ότι πλέον δεν υπάρχει άλλη ενέργεια που μπορεί να κάνει και επαφίεται στην δεύτερη τράπεζα η επιστροφή των χρημάτων της.