Η «κυβερνοληστεία» του αιώνα
Του Κωστα Καρκαγιαννη
Μια νέα διαδικτυακή απάτη που κόστισε περισσότερα από 36 εκ. ευρώ
σε περισσότερους από 30 χιλιάδες πελάτες 30 τραπεζών σε Γερμανία,
Ιταλία, Ισπανία και Ολλανδία, αποκαλύπτει η εφημερίδα Financial
Times. Οι κυβερνοαπατεώνες, χρησιμοποιώντας εξελιγμένο κακόβουλο
λογισμικό, κατάφεραν να παραπλανήσουν τους πελάτες των τραπεζών
πείθοντας τους ότι η τράπεζα τους τούς ζητάει ν’ αναβαθμίσουν το
επίπεδο ασφαλείας.
Η απάτη άρχισε να αποκαλύπτεται το περασμένο καλοκαίρι στην Ιταλία.
Στόχος της απάτης ήταν αποκλειστικά η διαδικτυακή τραπεζική και
προκειμένου να «σπάσουν» τα συστήματα ασφαλείας των τραπεζών οι
απατεώνες έπρεπε να «μολύνουν» τόσο τον προσωπικό υπολογιστή του
χρήστη, όσο και το κινητό του τηλέφωνο. Φαίνεται μάλιστα ότι ο
αδύναμος κρίκος ήταν το κινητό τηλέφωνο, διότι οι απατεώνες
αποκτούσαν πρόσβαση στον τραπεζικό λογαριασμό των θυμάτων μόνο
αφότου αποκτούσαν τους κωδικούς επαλήθευσης που έστελναν οι
τράπεζες στους πελάτες τους. Στη συνέχεια οι χάκερς
πραγματοποιούσαν μια δεύτερη τραπεζική συναλλαγή κλέβοντας ποσά που
κυμαίνονταν μεταξύ 500 ευρώ και 250 χιλιάδων ευρώ. Το ανησυχητικό
της υπόθεσης είναι ότι οι απατεώνες χρησιμοποιώντας τον «δούρειο
ίππο» (μορφή κακόβουλου λογισμικού) κατάφεραν να «σπάσουν» τα
συστήματα ασφαλείας διπλής επαλήθευσης, τα οποία χρησιμοποιεί
περίπου το 30% των τραπεζών στην Ευρώπη και στις ΗΠΑ. Στα συστήματα
διπλής επαλήθευσης ο πελάτης προκειμένου να εκτελέσει μια συναλλαγή
πρώτα εισάγει τον προσωπικό του κωδικό και στη συνέχεια έναν κωδικό
που του στέλνει η τράπεζα.
Η διαδικτυακή επίθεση αρχίζει με τους απατεώνες να συγκεντρώνουν
προσωπικά στοιχεία από σάιτ και κοινωνικά δίκτυα και στη συνέχεια
να τα χρησιμοποιούν προκειμένου να συντάξουν ένα email που να είναι
αρκετά πειστικό ώστε το θύμα να το ανοίξει και επιπλέον να
χρησιμοποιήσει το σύνδεσμο που περιέχει. Μόλις ολοκληρωθεί αυτό το
βήμα, οι απατεώνες έχουν καταφέρει να «μολύνουν» τον υπολογιστή του
θύματος με τον δούρειο ίππο, ο οποίος στην συγκεκριμένη περίπτωση
ονομάζεται ευρώ άρπαγας (eurograbber). Την επόμενη φορά που το θύμα
θα προσπαθήσει να πραγματοποιήσει μια ηλεκτρονική συναλλαγή με την
τράπεζα του, ο δούρειος ίππος, φαινομενικά η ιστοσελίδα της
τράπεζας, προσκαλεί το χρήστη ν’ αναβαθμίσει την ασφάλεια των
διαδικτυακών συναλλαγών με την τράπεζα και στη διάρκεια της
διαδικασίας απαιτεί από το χρήστη να εισάγει τον αριθμό του κινητού
τηλεφώνου του. Στη συνέχεια το θύμα λαμβάνει ένα μήνυμα στο
τηλέφωνο του, το οποίο περιλαμβάνει και ένα σύνδεσμο, με το οποίο
προσκαλείται να ολοκληρώσει τη διαδικασία αναβάθμισης της
ασφάλειας. Οταν το θύμα χρησιμοποιήσει το δεύτερο σύνδεσμο, ένας
δεύτερος δούρειος ίππος «μολύνει» αυτή τη φορά το κινητό τηλέφωνο.
Πλέον, οι χάκερ έχουν πρόσβαση και στα δύο μέσα (υπολογιστή και
κινητό) που χρησιμοποιούν οι τράπεζες κατά τη διαδικασία διπλής
επαλήθευσης του χρήστη. Οι απάτη άρχισε να ξετυλίγεται από δύο
εταιρείες διαδικτυακής ασφάλειας, τις Check Point και Versafe όταν
εντόπισαν δύο πελάτες τους των οποίων είχαν μολυνθεί οι
υπολογιστές. Στη συνέχεια ειδοποιήθηκαν οι τράπεζες των οποίων τα
διαδικτυακά συστήματα ασφαλείας είχαν υπονομευθεί. Οι ειδικοί στη
διαδικτυακή ασφάλεια συστήνουν στους χρήστες του ίντερνετ να έχουν
πάντοτε ενημερωμένο το λογισμικό του υπολογιστή και του κινητού
τηλεφώνου τους. Επίσης, ποτέ να μην ανοίγουν συνδέσμους που
περιλαμβάνονται σε email άγνωστου αποστολέα και κυρίως να θυμούνται
ότι οι τράπεζες ποτέ δεν θα ζητήσουν προσωπικά τους στοιχεία μέσω
τηλεφώνου ή μέσω υπολογιστή.
