Επί 9 μήνες από τα τέλη του 2022 έως το καλοκαίρι του 2023, 4 νεαροί από την Θεσσαλονίκη εκμεταλλευόμενοι τις δικές τους ψηφιακές δεξιότητες και το «αδέξιο» σύστημα διπλής επαλήθευσης τραπεζικών λογαριασμών, κατόρθωσαν να υφαρπάξουν προσωπικά στοιχεία σύνδεσης και OTP κωδικούς βάζοντας χέρι στα υπόλοιπα ταμιευτηρίου ανυποψίαστων και ιδιαίτερα εκτεθειμένων πελατών ελληνικών τραπεζών.

Η μεθοδολογία τους, αρκετά διαδεδομένη, ίσως ξυπνήσει μια ανησυχία στους αναγνώστες του παρόντος άρθρου. Με τηλεφωνικές κλήσεις από απόκρυψη «ενοχλούσαν» τυχαίους αριθμούς. 37χρονος κάτοικος Θεσσαλονίκης, που προφανώς δεν ήταν ο μόνος, κατήγγειλε πως αφού απάντησε μια τέτοια κλήση, διαπίστωσε ότι από την επόμενη κιόλας ημέρα, έπαψε να λαμβάνει εισερχόμενες κλήσεις κι απευθύνθηκε στην εταιρεία κινητής τηλεφωνίας της οποίας ήταν πελάτης.

Η εξυπηρέτηση πελατών τον πληροφόρησε, πως είχε ενεργοποιηθεί προώθηση από το κινητό του σε άλλον αριθμό, με αποτέλεσμα μέλη της σπείρας που είχαν ήδη στην κατοχή τους username και password του e-banking του, να «υποδέχονται» τα sms με κωδικούς επαλήθευσης και να αφαιρούν ποσά από τραπεζικούς του λογαριασμούς ύψους περίπου 90.000€.

H Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος Βορείου Ελλάδος της ΕΛ.ΑΣ. κατάφερε κατόπιν πολύμηνων ερευνών, να φτάσει στις συλλήψεις των μελών της ψηφιακής σπείρας, που γνωρίζοντας τον τρόπο λειτουργίας παρόχων υπηρεσιών τηλεπικοινωνίας, τραπεζικών ιδρυμάτων, ιδρυμάτων ηλεκτρονικού χρήματος και ανταλλακτηρίων κρυπτονομισμάτων είχαν πλούσια ψηφιακή δράση και άπλετο χώρο με κενά ασφαλείας για να κινηθούν.

Βασικό εργαλείο για την τέλεση των ψηφιακών εγκλημάτων αποτέλεσε, σύμφωνα με τη δικογραφία, το Dark Web, ένας ωκεανός ψηφιακών αρχείων με διαπιστευτήρια πρόσβασης (password/username), , άυλα μέσα πληρωμής και προσωπικά δεδομένα ανυποψίαστων πολιτών, τα οποία ήταν προϊόν υποκλοπής και μεταπώλησης από άγνωστους.

Με πρόσβαση στα δεδομένα αυτά, οι νεαροί συλληφθέντες μπορούσαν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε υπηρεσίες e-banking, ψηφιακής διακυβέρνησης (e-GOV), ψηφιακές υπηρεσίες παρόχων κινητής τηλεφωνίας και σε εφαρμογές επικοινωνίας και κοινωνικής δικτύωσης. Η μεθοδολογία τους σύμφωνα με τη δικογραφία ήταν αυτή του phising, όπου υπέκλεπταν είτε μέσω facebook και instagram είτε μέσω αποστολής μηνύματος (SMS) τους 6ψήφιους κωδικούς μίας χρήσης (Οne Τime Password-OTP) στις υπηρεσίες ηλεκτρονικής τραπεζικής.

Mε αιτιολογία: «συναλλαγή με στοιχηματική εταιρεία» χρέωναν ποσά 10.000€ σε άτομα, που προηγουμένως ειδοποιούσαν να πληκτρολογήσουν συγκεκριμένο εξαψήφιο κωδικό που λάμβαναν με SMS ή μήνυμα Viber.

Κι όμως όλα θα μπορούσαν να είχαν αποφευχθεί, αν απλά οι ελληνικές τράπεζες είχαν εκσυγχρονίσει το σύστημα double verification των τραπεζικών λογαριασμών πελατών τους με χρήση του φυσικού κλειδιού ασφαλείας της Yubico που στην Ελλάδα και στην Ν. Ευρώπη αντιπροσωπεύει η Smart Management. Το YubiKey το νούμερο 1 κλειδί ασφαλείας στον κόσμο πιστοποιεί τον ιδιοκτήτη του λογαριασμού χωρίς κωδικό που μπορεί να υποκλαπεί μέσω phishing. Το κλειδί ασφαλείας YubiKey έχει πρόσβαση σε υπολογιστές, τηλέφωνα, δίκτυα και διαδικτυακές υπηρεσίες – όλα με ένα απλό άγγιγμα καταργώντας την επισφάλεια του OTP κωδικού μέσω SMS, Viber ή άλλης εφαρμογής που πλέον είναι διαβλητές, ευάλωτες και μπορούν εύκολα να υποκλαπούν.

Αν διαβάσουμε με ψυχραιμία και στοιχειώδη λογική τον κύριο όγκο της δικογραφίας, δυο λέξεις μάλλον μπορούν να αποτελέσουν ένα τελικό συμπέρασμά μας: «Όλα λάθος»!
Από τη μεριά των χρηστών, κωδικοί social media και εφαρμογών επικοινωνίας, ψηφιακά πορτοφόλια, mail accounts και λογαριασμοί στοιχηματικών εταιριών θα μπορούσαν εύκολα να θωρακιστούν με το YubiKey, το φυσικό κλειδί ασφαλείας της Yubico, που παρέχει τη μέγιστη διαδικτυακή ασφάλεια με τη δυνατότητα πιστοποίησης με έλεγχο ταυτότητας 2 παραγόντων (2FA) ή πολλαπλών παραγόντων (MFA).

Από τη μεριά του Κράτους και των ελληνικών τραπεζών είναι πλέον απαραίτητο να υιοθετηθούν σύγχρονα και πραγματικά ισχυρά πρωτόκολλα ασφαλείας για την προστασία των πολιτών. Χαρακτηριστικό το παράδειγμα του τραπεζικού κολοσσού Bank of America, του πρώτου χρηματοπιστωτικού ιδρύματος που αντιλήφθηκε την αξία και τη μοναδικότητα του YubiKey, με αποτέλεσμα να διασφαλίσει την ασφάλεια των πελατών της και να καταργήσει στην πράξη τον κίνδυνο του phishing.

Απαραίτητο για όλα τα παραπάνω η κινητοποίηση και η απαίτηση εκ μέρους των πολιτών – καταναλωτών, που θέλουν η ψηφιοποίηση του Κράτους και της Αγοράς να συνοδεύονται από την Ασφάλεια. Μάθετε τώρα τις εφαρμογές του YubiKey και ζητήστε μας κάθε πληροφορία και διευκρίνιση στο smartmanagement.gr