Το κινητό δονείται στην τσέπη σου. Το ξεκλειδώνεις και διαβάζεις μήνυμα για «εκκρεμείς πληρωμές φόρου κυκλοφορίας». Ο αποστολέας; «myAADE». Φαίνεται επίσημο, με μια πρώτη ματιά. Το ύφος επείγον. Αλλά υπάρχει κάτι βασικό: δεν έχεις αυτοκίνητο…
Αυτό συνέβη στη Ράνια, 31χρονη από το Μαρούσι, που έλαβε δύο μηνύματα μέσα σε δύο μέρες. «Δεν έχω εισοδήματα, είμαι άνεργη, δεν χρωστάω πουθενά. Α, επίσης, δεν έχω καν όχημα!», λέει στο WIRED Greece. Η Ράνια γλίτωσε γιατί η ασυμφωνία των δεδομένων ήταν κραυγαλέα. «Δύο διαφορετικά links με περίεργα ονόματα και ορθογραφικά λάθη», εξηγεί. Άλλοι, όμως, δεν είναι τόσο τυχεροί.
Μια από τις πιο διαδεδομένες μορφές εξαπάτησης αφορά δήθεν «εκκρεμότητες» που σχετίζονται με το αυτοκίνητο: ληξιπρόθεσμα τέλη κυκλοφορίας ή πρόστιμα από την τροχαία. Επίσης, συχνά τα θύματα λαμβάνουν μηνύματα ή κλήσεις σχετικά με θέματα που αφορούν τη φορολογία ή την ενέργεια.
Οι απάτες μέσω μηνυμάτων ή τηλεφωνικών κλήσεων δεν είναι κάτι νέο, αλλά γίνονται με όλο και πιο πειστικό τρόπο. Καθώς η καθημερινότητα έχει μεταφερθεί σε μεγάλο βαθμό στις οθόνες των κινητών μας, η εμπιστοσύνη στην ψηφιακή επικοινωνία γίνεται όπλο στα χέρια επιτήδειων, που στήνουν εξελιγμένες τηλεφωνικές απάτες (vishing) και απάτες μέσω μηνυμάτων (smishing). Με νέα εργαλεία και προσεγγίσεις, καταφέρνουν να ξεγελούν ακόμα και νεότερους ανθρώπους, πιο εξοικειωμένους με την τεχνολογία. Κι αυτό συμβαίνει επειδή οι μέθοδοι δεν βασίζονται στην τεχνολογία και τα κενά της, αλλά στην ανθρώπινη ψυχολογία.
Το τελευταίο διάστημα, μια από τις πιο διαδεδομένες μορφές εξαπάτησης αφορά δήθεν «εκκρεμότητες» που σχετίζονται με το αυτοκίνητο: ληξιπρόθεσμα τέλη κυκλοφορίας ή πρόστιμα από την τροχαία. Επίσης, συχνά τα θύματα λαμβάνουν μηνύματα ή κλήσεις σχετικά με θέματα που αφορούν τη φορολογία ή την ενέργεια.
Σύμφωνα με όσα είπε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο WIRED Greece, αν και στο Ολοκληρωμένο Πληροφοριακό Σύστημα της Αρχής δεν τηρούνται ειδικά στατιστικά για τη μη εξουσιοδοτημένη χρήση τηλεφωνικού αριθμού, υπάρχουν δεκάδες τέτοιες αναφορές, συνήθως κατά αγνώστων.
Πώς στήνεται η «παγίδα»
Η μέθοδος των δραστών είναι απλή αλλά εξαιρετικά αποτελεσματική, καθώς βασίζεται στον ψυχολογικό εκβιασμό του κατεπείγοντος. Ο χρήστης λαμβάνει ένα SMS που φαίνεται να προέρχεται από επίσημο φορέα, όπως «Gov.gr», ΑΑΔΕ ή κάποια εταιρεία διαχείρισης αυτοκινητοδρόμων. Οι απατεώνες χρησιμοποιούν τεχνικές που ονομάζονται «spoofing» (πλαστογράφηση αριθμού), αξιοποιώντας κενά στα συστήματα τηλεπικοινωνιών. Μπορούν να εμφανίσουν ένα όνομα αντί για έναν άγνωστο αριθμό, κάνοντας το μήνυμα ή την κλήση να φαίνεται ως συνομιλία με την τράπεζα ή το κράτος.
Αν πατήσει στον σύνδεσμο που περιλαμβάνει το μήνυμα, ο χρήστης μεταφέρεται σε μια πλαστή ιστοσελίδα-πιστό αντίγραφο μιας πραγματικής. Εκεί, του ζητείται να εισάγει τα στοιχεία της κάρτας του ή τους κωδικούς e-banking για να «πληρώσει» ένα ποσό. Μόλις το κάνει, οι δράστες αποκτούν πλήρη πρόσβαση στους λογαριασμούς του.
Παρόμοιες μέθοδοι χρησιμοποιούνται τηλεφωνικά, ή σε συνδυασμό με μηνύματα και email. Το vishing είναι εξαιρετικά αποτελεσματικό, καθώς η φωνητική επικοινωνία δημιουργεί πιο άμεση σχέση εμπιστοσύνης, αυξάνοντας τις πιθανότητες επιτυχίας για τον απατεώνα σε σύγκριση με τα απλά μηνύματα.
Οι τηλεφωνικές απάτες που βασίζονται στην κοινωνική μηχανική (social engineering) δεν στοχεύουν σε τεχνικές αδυναμίες λογισμικού, αλλά στην ψυχολογική χειραγώγηση. Οι δράστες εκμεταλλεύονται συναισθήματα όπως η περιέργεια, ο φόβος, η εμπιστοσύνη ή η επιθυμία για εύκολο κέρδος, προκειμένου να αποσπάσουν ευαίσθητες πληροφορίες ή χρήματα.
Τα «red flags» της εξαπάτησης
Πάντως, όσο κι αν είναι πειστικά με μια πρώτη ματιά, τα μηνύματα έχουν κενά. Για παράδειγμα, αυτά που έλαβε η Ράνια έγραφαν: «Τοόχημά [sic] σας έχει εκκρεμείς πληρωμές φόρου κυκλοφορίας», με κολλημένες λέξεις. Στο πρώτο μήνυμα, το domain ήταν myaadei.com, ενώ στο δεύτερο myaadex.com. Μια υπηρεσία όπως η ΑΑΔΕ δεν θα έστελνε ένα τόσο σύντομο, απότομο μήνυμα, ενώ η επίσημη ιστοσελίδα της σίγουρα δεν καταλήγει σε «.com».
Στο ερώτημα για το πώς οι απατεώνες αποκτούν πρόσβαση σε αριθμούς χρηστών, η Αρχή Προστασίας Δεδομένων επισημαίνει: «Δεν είναι σαφές από πού προέρχονται οι λίστες. Πολλοί τηλεφωνικοί αριθμοί μπορεί να βρίσκονται νόμιμα στο διαδίκτυο ή σε νόμιμο κατάλογο συνδρομητών. Το κρίσιμο είναι η ποινικού χαρακτήρα διερεύνηση. Μέσω του εντοπισμού του “απατεώνα” μπορεί μετά να ελεγχθεί η πηγή των δεδομένων».
Η Αρχή σημειώνει πως κάθε φορέας φέρει ευθύνη για την ασφάλεια των δεδομένων που τηρεί, έχοντας επιβάλει στο παρελθόν πρόστιμα για διαρροές (π.χ. σε ΕΛΤΑ), αν και παραμένει άγνωστο αν αυτές αποτέλεσαν τις πηγές για τους συγκεκριμένους απατεώνες.
Ψυχολογική «ομηρία»
Σε μια ενδεικτική περίπτωση vishing στην περιοχή Ζωγράφου, η 25χρονη Μαρία δέχτηκε μια κλήση στο σταθερό ένα μεσημέρι Σαββάτου. Έπεσε σε καλύτερα οργανωμένους δράστες. Η συνέχεια είναι σχεδόν σουρεαλιστική: η 25χρονη κρατήθηκε σε «ομηρία» για μισή ώρα, καθώς της ζητούσαν να κάνει όλο και πιο αλλόκοτα πράγματα.
«Ήταν λίγο αγριεμένος», λέει η Μαρία, περιγράφοντας πώς ο άνδρας επέμενε και την πίεζε, αποκαλώντας την με το μικρό της όνομα. Της είπε πως ήταν από τον ΔΕΔΔΗΕ και ότι η υπόθεση αφορούσε δήθεν υψηλή τάση ρεύματος. Καθώς είχε δει αύξηση στον λογαριασμό της, τα λόγια του έγιναν πιο εύκολα πιστευτά. «Αλλιώς, θα μείνετε χωρίς ρεύμα για 48 ώρες», την προειδοποίησε, δημιουργώντας αίσθηση επείγοντος.
Ο δράστης την κάλεσε στο Viber, όπου είχε φωτογραφία προφίλ το λογότυπο του ΔΕΔΔΗΕ. «Με έβαζε να δείχνω με την κάμερα τις πρίζες στο σπίτι και εκείνος υποτίθεται πως τις σκάναρε για μετρήσεις», θυμάται η Μαρία. Οι επιτήδειοι την εμπόδιζαν από οποιαδήποτε άλλη επικοινωνία, ζητώντας της να κρατά ανοιχτό και το σταθερό. «Του έλεγα “να κλείσω, να σας πάρω σε λίγο” κι εκείνος απαντούσε “όχι, μην κλείσετε, γιατί θα μείνετε χωρίς ρεύμα”». Η Μαρία κατανοεί σήμερα την προσέγγιση: «Πατούσε στον εκφοβισμό, για να με απειλήσει και να μην έχω χρόνο να σκεφτώ».
Ραδιενέργεια, κοσμήματα και αλουμινόχαρτο
Οι αμφιβολίες της ξεκίνησαν όταν οι οδηγίες έγιναν παράξενες. Της ζήτησε να μαζέψει μπαταρίες και συσκευές σε μια λεκάνη με αλουμινόχαρτο για προστασία από το «μπλακάουτ», ενώ μίλησε ακόμα και για ραδιενέργεια. Στη συνέχεια, τη ρώτησε αν έχει χρυσά κοσμήματα γιατί δήθεν επηρεάζονται και αυτά. Της είπε να τα απλώσει σε μια επιφάνεια να τα δει μέσω κάμερας. «Αυτά είναι faux», σχολίασε όταν είδε ένα κόσμημα, επιμένοντας να μάθει αν υπάρχουν λίρες ή πραγματικός χρυσός.
Ακόμα και για τα χαρτονομίσματα ισχυρίστηκε ότι η μεταλλική τους λωρίδα θα «έπιανε ρεύμα» και θα έπαιρνε φωτιά το σπίτι. Όταν η επιμονή του για τα χρήματα έγινε έντονη, η Μαρία αντέδρασε: «Είπα πως δεν γίνεται, πρέπει να γκουγκλάρω». Η αναζήτηση για «υψηλή τάση ρεύματος» αποκάλυψε αμέσως την απάτη. Του είπε πως θα τον καταγγείλει και έκλεισε το τηλέφωνο.
Απευθύνθηκε στις Αρχές, οι οποίες την καθησύχασαν ότι, χωρίς τη διεύθυνσή της, ήταν δύσκολο να την εντοπίσουν. «Είχα φοβηθεί ότι μπορεί να έρθουν έστω και για 50 ευρώ που είχα στο σπίτι», λέει. Προσπαθώντας να αναλύσει την εμπειρία της, καταλήγει πως οι επιτήδειοι «δουλεύουν με βάση την ψυχολογία, την έχουν μελετήσει, εκμεταλλεύονται τον φόβο και το σοκ».
Πολλοί άνθρωποι νιώθουν άσχημα που εξαπατήθηκαν, όμως δεν θα έπρεπε. Οι μέθοδοι είναι σχεδιασμένες να εξουδετερώνουν την κοινή λογική μέσω της ψυχολογικής πίεσης. Όσο κι αν κάποιος νιώθει σιγουριά λόγω της εξοικείωσής του με την τεχνολογία, καλό είναι να κρατάμε «μικρό καλάθι». Ειδικά με νεότερες τεχνολογίες, όπως η κλωνοποίηση φωνής με ΑΙ, μπορεί να την πατήσει ο καθένας.
