«ΑΠΑΤΕΣ ΣΕ ΒΑΡΟΣ ΕΠΙΧΕΙΡΗΜΑΤΙΩΝ με το ΔΙΑΥΓΕΙΑ»

 

Τηλεφωνικές απάτες (Vishing) καταγράφονται το τελευταίο χρονικό διάστημα σε διάφορους δήμους της χώρας. Άγνωστοι δράστες, ημεδαποί, επικοινωνούν με επιχειρηματίες, τα στοιχεία επικοινωνίας των οποίων εντοπίζουν στο «Διαύγεια» και ζητούν να καταβάλουν κρατήσεις ή να αποπληρώσουν το τιμολόγιο από οφειλές που έχουν με τον δημόσιο οργανισμό. Ο τρόπος τέλεσης της συγκεκριμένης απάτης έχει ως εξής: Κάποιος τηλεφωνεί από κινητό τηλέφωνο του οποίου η σύνδεση αντιστοιχεί πάντα σε «αχυρανθρώπους», αλλοδαπούς που έχουν ενεργοποιηθεί επ’ ονόματί τους δεκάδες τηλεφωνικές συνδέσεις καρτοκινητής, με ελλιπή στοιχεία ως μηδαμινά, γνωστές ως “ghostcards”, προσποιούμενος ότι είναι από την οικονομική Υπηρεσία του δημοσίου οργανισμού και του ζήτησε να καταβάλει κρατήσεις ενταλμάτων που δήθεν όφειλε.

Τα εν δυνάμει θύματα είναι επιχειρηματίες που έχουν συνάψει σύμβαση με δημόσιο οργανισμό, συνήθως Δήμους (ΟΤΑ) και έχουν αναλάβει ένα έργο το οποίο μοιραία πρέπει βάσει Νομοθεσίας να «ανεβάσουν» - γνωστοποιήσουν στο «ΔΙΑΥΓΕΙΑ». Εκεί λοιπόν έχουν πρόσβαση οι «πανούργοι» απατεώνες που με μια απλή αναζήτηση σε ανοιχτές πηγές του διαδικτύου και έχοντας μικρό χάρισμα στο «λέγειν» τηλεφωνούν στα επίδοξα θύματα, επικαλούμενοι ονόματα δήθεν υπαλλήλων του δήμου ζητούν στοιχεία κωδικών τραπεζικών λογαριασμών προκειμένου να τους καταβάλουν τις οφειλές και από εκεί και πέρα αρχίζει και εκτυλίσσεται η απάτη.

Ένα χαρακτηριστικό παράδειγμα: Ο άγνωστος απατεώνας, αρκετές φορές και με «αξάν» δυτικών προαστίων της Αττικής, τηλεφωνεί, προσποιούμενος ότι είναι υπάλληλος από την οικονομική Υπηρεσία του Δήμου και ζητάει να καταβάλει κρατήσεις ενταλμάτων που δήθεν όφειλε, ο επιχειρηματίας που συνειδητοποίησε το ύποπτο του τηλεφωνήματος, επικοινώνησε με τις αρμόδιες υπηρεσίες του δήμου, όπου και διαπιστώθηκε η επιχειρούμενη απάτη. Το εν λόγω τηλεφώνημα προς τον επιχειρηματία, ευτυχώς δεν τον αιφνιδίασε, καθώς γνώριζε ότι η ίδια απάτη συνέβη και σε άλλους δήμους και έτσι, αντιλήφθηκε άμεσα και εγκαίρως περί τίνος πρόκειται. Σε άλλες περιπτώσεις όμως έχουν μεταφερθεί αρκετά μεγάλα χρηματικά ποσά σε τραπεζικούς λογαριασμούς από “money mules” οι οποίοι δίνουν λογαριασμούς (διαπιστευτήρια ebanking) και κάρτες ανάληψης  (με τα PIN) έναντι μικρής χρηματικής αμοιβής.

•        Προς ενημέρωση των ανυποψίαστων επιχειρηματιών και υπαλλήλων αυτών να σημειωθεί ότι είναι αρκετά εύκολο να αντληθούν πληροφορίες από δημόσιες υπηρεσίες, εξάλλου στα τιμολόγια που κοινοποιούνται στο «Διαύγεια» έχουν αρκετά στοιχεία που μπορεί να κάνουν πειστικότερο το τηλεφώνημα.
•      Προκειμένου πάντως να αποφευχθεί αυτό το ενδεχόμενο, διάφοροι Δήμοι ανά την επικράτεια έχουν εκδώσει δελτία τύπου όπου κρούουν τον κώδωνα του κινδύνου.

Απάτες με τη μέθοδο του «ενδιάμεσου» – εξαπάτηση επαγγελματιών στο διαδίκτυο (Business E-mail Compromise-BEC)

 

Σημειώνεται ότι ο συγκεκριμένος τρόπος δράσης «Business Email Compromise (BEC) – Απάτη με τη μέθοδο του ενδιάμεσου», είναι μια εξελιγμένη απάτη που στοχεύει στις επιχειρήσεις και τα άτομα που εκτελούν πληρωμές μέσω τραπεζικών εμβασμάτων.

Η συγκεκριμένη μορφή απάτης που λαμβάνει χώρα στο κυβερνοχώρο, αφορά κατά κύριο λόγο τους επαγγελματίες, εμπόρους, προμηθευτές, ιδιοκτήτες εταιρειών. Η συγκεκριμένη μορφή απάτης έχει ονομαστεί σε ευρωπαϊκό - διεθνές επίπεδο ως απάτη «man in the middle». 

Ειδικότερα, οι δράστες παρεμβαίνουν σε τμήματα της επικοινωνίας μεταξύ συναλλασσόμενων επαγγελματιών και εμπόρων με επιχειρήσεις του εξωτερικού και τους πείθουν να καταθέσουν χρήματα σε τραπεζικούς λογαριασμούς, διαφορετικούς από αυτούς που είχαν αρχικά συμφωνηθεί.

Modus operandi:

Οι δράστες αποκτούν με διάφορες τεχνικές μη εξουσιοδοτημένη πρόσβαση και παρεμβαίνουν σε τμήματα της ηλεκτρονικής αλληλογραφίας, μεταξύ συναλλασσόμενων επαγγελματιών και εμπόρων με προμηθευτές ή πελάτες και μόλις εντοπίσουν μηνύματα που αφορούν επικείμενη πληρωμή σε τραπεζικό λογαριασμό, παρεμβαίνουν αποστέλλοντας απατηλά μηνύματα, από διευθύνσεις ηλεκτρονικού ταχυδρομείου που προσομοιάζουν με τις πραγματικές.

Στη συνέχεια υποδύονται υπαλλήλους της συνεργαζόμενης επιχείρησης και πείθουν τους συναλλασσόμενους να καταθέσουν χρήματα σε απατηλούς τραπεζικούς λογαριασμούς, διαφορετικούς από αυτούς που είχαν συμφωνηθεί.

Πώς λειτουργούν οι απάτες BEC; 

1. Οι απατεώνες μελετούν τους στόχους τους και βρίσκουν πώς να πλαστογραφήσουν την ταυτότητά τους. Ορισμένες φορές δημιουργούν πλαστές τοποθεσίες web ή ακόμη και καταχωρούν εταιρείες με το ίδιο όνομα με το δικό σας σε διαφορετική χώρα ή περιοχή.

2. Μόλις αποκτήσουν πρόσβαση, οι απατεώνες παρακολουθούν τα μηνύματα ηλεκτρονικού ταχυδρομείου για να διαπιστώσουν ποιος μπορεί να στείλει ή να λάβει χρήματα. Εξετάζουν επίσης μοτίβα συνομιλίας και τιμολόγια ή την ρουτίνα των συναλλασσόμενων.

3. Κατά τη διάρκεια μιας συνομιλίας μέσω ηλεκτρονικού ταχυδρομείου, ο απατεώνας μιμείται ένα από τα μέρη πλαστογραφώντας τον τομέα ηλεκτρονικού ταχυδρομείου. (Η διεύθυνση ηλεκτρονικού ταχυδρομείου μπορεί να διαφέρει κατά ένα ή δύο γράμματα π.χ. αντί για το ορθό suspicius@bec.com να είναι το suspicius@bec.corn ή μπορεί να είναι η σωστή διεύθυνση ηλεκτρονικού ταχυδρομείου "μέσω” ενός διαφορετικού τομέα)

4. Ο απατεώνας προσπαθεί να αποκτήσει την εμπιστοσύνη του στόχου και στη συνέχεια, ζητά χρήματα, δωροκάρτες ή πληροφορίες.

Εάν μια επίθεση παραβίασης επιχειρησιακού ηλεκτρονικού ταχυδρομείου είναι επιτυχής, ο οργανισμός σας θα μπορούσε:

• Να χάσει εκατοντάδες χιλιάδες έως εκατομμύρια ευρώ ή δολλάρια.
• Να αντιμετωπίσει εκτεταμένη κλοπή δεδομένων, αν κλαπούν προσωπικά στοιχεία.
• Κατά λάθος διαρροή εμπιστευτικών δεδομένων, όπως πνευματική ιδιοκτησία υπαλλήλων ή πελατών.

Τι μπορείς να κάνεις;

Ως Εταιρεία

• Έχετε επίγνωση των κινδύνων και βεβαιωθείτε ότι οι εργαζόμενοι είναι επίσης ενημερωμένοι και ενήμεροι.
• Ενθαρρύνετε το προσωπικό σας να προσεγγίζει τα αιτήματα πληρωμής με προσοχή.
• Εφαρμογή εσωτερικών πρωτοκόλλων σχετικά με τις πληρωμές.
• Εφαρμόστε μια διαδικασία για την επαλήθευση της νομιμότητας των αιτημάτων πληρωμής που λαμβάνονται μέσω email.
• Καθιερώστε ρουτίνες αναφοράς για τη διαχείριση της απάτης.
• Ελέγξτε τις πληροφορίες που δημοσιεύονται στον ιστότοπο της εταιρείας σας, περιορίστε τις πληροφορίες και δείξτε προσοχή όσον αφορά τα μέσα κοινωνικής δικτύωσης.
• Αναβάθμιση και ενημέρωση τεχνικής ασφάλειας.
• Πάντα να επικοινωνείτε με την αστυνομία σε περιπτώσεις απόπειρας απάτης, ακόμα κι αν δεν είστε θύμα απάτης.

Ως υπάλληλος

• Εφαρμόστε αυστηρά τις ισχύουσες διαδικασίες ασφαλείας για πληρωμές και προμήθειες. Μην παραλείψετε κανένα βήμα και μην υποκύψετε στην πίεση.
• Πάντα να ελέγχετε προσεκτικά τις διευθύνσεις email όταν αντιμετωπίζετε ευαίσθητες πληροφορίες - μεταφορές χρημάτων.
• Σε περίπτωση αμφιβολίας για εντολή μεταφοράς, συμβουλευτείτε έναν αρμόδιο συνάδελφο.
• Μην ανοίγετε ποτέ ύποπτους συνδέσμους ή συνημμένα που λαμβάνονται μέσω email. Να είστε ιδιαίτερα προσεκτικοί όταν ελέγχετε το ιδιωτικό email σας στους υπολογιστές της εταιρείας.
• Περιορίστε τις πληροφορίες και δείξτε προσοχή σε σχέση με τα μέσα κοινωνικής δικτύωσης.
• Αποφύγετε να μοιράζεστε πληροφορίες σχετικά με την ιεραρχία, την ασφάλεια ή τις διαδικασίες της εταιρείας.
• Εάν λάβετε ένα ύποπτο email ή κλήση, ενημερώστε πάντα το τμήμα πληροφορικής σας.

Ελληνικά eshops τεχνολογίας που βάζουν ξαφνικό «λουκέτο»…

 

Μια μάστιγα που αρχίζει και αγγίζει και τους εκατοντάδες χιλιάδες καθημερινούς καταναλωτές στη χώρα μας. Γνωστά πρώην «scroutzoμάγαζα» - φυσικά καταστήματα τεχνολογίας που διαθέτουν και eshops ρίχνουν «πιστόλι» και αφήνουν μετέωρους πελάτες και παραγγελίες…

Αρχίζουν και κάνουν τεράστιες πωλήσεις και παραγγελίες, με την αρχική τους ένταξη σε πλατφόρμες κατάταξης φθηνότερων καταστημάτων (skroutz, bestprice κλπ...) και συνεχίζουν με τις παραγγελίες να εκτοξεύονται σύμφωνα με την ψυχολογία του Έλληνα καταναλωτή που «πανηγυρίζει» ότι πέτυχε την καλύτερη δυνατή τιμή, με την ενδεχόμενη ψευδαίσθηση ότι παραπλάνησε μέχρι και τον πωλητή με την απίθανη τιμή που πέτυχε.

Τελευταία γίναμε μάρτυρες δυο τέτοιων περιστατικών που κλυδώνισαν την κοινή γνώμη επαρχιακών πόλεων διότι διέθεταν και φυσικό κατάστημα. Για το πρώτο κατάστημα ακολούθησαν ανακοινώσεις και πρόστιμα του αρμόδιου Υπουργείου, φαντάζομαι και για το δεύτερο, για παραβάσεις που αφορούν τους κανόνες και την νομοθεσία περί εμπορίου. Στην συνέχεια εγείρεται και θέμα ποινικών κυρώσεων διότι υπάρχει και παράνομο περιουσιακό όφελος από παραγγελίες που ποτέ δεν τελεσφόρησαν.

Πληρωμένες παραγγελίες που δεν φθάνουν ποτέ, ημερομηνίες παράδοσης που συνεχώς μετατίθενται, ακυρωμένες παραγγελίες όπου τα χρήματα επιστρέφονται μετά από μήνες ή και καθόλου. Βέβαια, υπάρχουν και κάποιες εξαιρέσεις και στέλνουν τα προϊόντα με δωροεπιταγή για νέα παραγγελία ως «συγγνώμη» για την ταλαιπωρία.

Η ανωτέρω κατάσταση πάντως αποδεικνύει και κοινωνικά θέματα που γεννώνται στη Χώρα μας, όπως το γεγονός ότι παρά την οικονομική ένδεια και κρίση της εποχής μας, ο Έλληνας καταναλωτής δεν διστάζει να καταθέσει μεγάλα χρηματικά ποσά σε τραπεζικούς λογαριασμούς αγνώστων σε αυτούς ιδιοκτητών καταστημάτων.  Επίσης, αποδείχθηκε ότι αφού έχουν παραγγείλει ένα προϊόν με διαθεσιμότητα μέχρι ενός μήνα, δεν υπήρχε από μέρους τους υπομονή ούτε για μια εβδομάδα αναμονής. Οπότε, δεν υπάρχει κανένας λόγος να αναμένεις ένα προϊόν μέχρι 30 ημέρες και να έχεις νεύρα τεντωμένα μέχρι να το παραλάβεις. Τέλος, αποδείχθηκε μια απεγνωσμένη επιθυμία, του ελληνικού καταναλωτικού κοινού του διαδικτύου για κορυφαία τεχνολογικά προϊόντα (π.χ. flagship κινητά όλων των εταιρειών και τελευταίας γενιάς κινητά τηλέφωνα) και ένα ένστικτο που θα τον έκανε να προβεί σε αδικήματα του κοινού ποινικού δικαίου, λαϊκιστί «θα σκότωνε για ένα iPhone 15 pro max».

Το χαρακτηριστικό των καταστημάτων αυτών ήταν ότι παρουσίαζαν εξαιρετικά χαμηλές τιμές, πείθοντας τους χρήστες του διαδικτύου να τα επιλέξουν αλλά με αναμονή παράδοσης προϊόντος 15-30 ημέρες. Προσωπικά εγώ προτείνω πως εάν ένα κατάστημα έχει τέτοια αναμονή στην συντριπτική πλειοψηφία των προϊόντων του είναι «καμπανάκι». Επίσης, κατάστημα που έχει σε διαθεσιμότητα όλα του τα προϊόντα, όλων των κατηγοριών κάτι παίζει, με ελάχιστες εξαιρέσεις μεγάλων πολυεθνικών καταστημάτων που στις περισσότερες των περιπτώσεων έχουν πλήρως ενημερωμένα τα προϊόντα και την διαθεσιμότητα τους στα eshops τους.   

Σε κάθε περίπτωση, όπως έχω γράψει και σε προηγούμενο άρθρο μου στο blog για τα eshops, να πληρώνεις πάντα με πιστωτική ή PayPal για να μπορείς να πραγματοποιήσεις αμφισβήτηση της συναλλαγής ή στην καλύτερη των περιπτώσεων αντικαταβολή. Εάν δεις ότι δεν υπάρχουν αυτές οι δυνατότητες και υπάρχει μόνο τραπεζική μεταφορά, επίσης χτυπάει δυνατό «καμπανάκι». Σε eshops που διαθέτουν και φυσικά καταστήματα, κάνε ένα τηλέφωνο να δεις εάν υπάρχει και λειτουργεί εύρυθμα ή καλύτερα ψάξε σε μια μηχανή αναζήτησης “google it”. Στις περιπτώσεις των δυο αυτών eshops το τηλεφωνικό κέντρο δεν δούλευε κανονικά και δύσκολα τους έβρισκες στις περισσότερες περιπτώσεις.

Ελεύθερα δίκτυα WiFi σε ξενοδοχεία και κίνδυνοι

Το σχήμα διεύθυνσης 172.16.42.x  δεν είναι μια κοινή προεπιλογή για ένα κανονικό ρούτερ. Είναι η προεπιλογή για μια συσκευή που ονομάζεται "WiFi Pineapple" 📶🍍, η οποία είναι ένα εργαλείο hacking που προορίζεται κυρίως για pentesting, δηλαδή για εύρεση εκμεταλλεύσιμων σημείων ευπάθειας σε ένα σύστημα υπολογιστών ή δικτύων, επαγγελματίες χάκερ, επαγγελματίες διεισδυτές (pentesters), το χρησιμοποιούν για να δοκιμάσουν την ασφάλεια των δικτύων τους, αλλά στην συγκεκριμένη περίπτωση κάποιος το χρησιμοποιεί για να κάνει κάτι άσχημο με το free WiFi του ξενοδοχείου.

“Είναι όμως τα πράγματα όσο καλά φαίνονται ή το δωρεάν προσφερόμενο Wi-Fi είναι  ένας δούρειος ίππος που κρύβει μέσα του κινδύνους; ”

Τι κινδύνους μπορεί να κρύβει ένα δημόσιο Wi-Fi;

Όταν είστε συνδεδεμένοι σε ένα δημόσιο Wi-Fi μπορείτε να θεωρείτε δεδομένο ότι κάθε κίνησή σας μπορεί να παρακολουθείται από τρίτους. Τα δεδομένα που μοιράζεστε, μηνύματα, στοιχεία σύνδεσης σε διάφορες σελίδες (username, password), τίποτα δεν είναι απόρρητο και προσωπικό σε ένα δημόσιο δίκτυο. Οι κίνδυνοι που αντιμετωπίζετε συνδεόμενοι σε ένα δημόσιο Wi-Fi είναι κυρίως:

·        Υποκλοπή στοιχείων σύνδεσης.

Εάν οι εφαρμογές και οι ιστοσελίδες στις οποίες συνδέεστε δε χρησιμοποιούν κρυπτογράφηση, τα προσωπικά σας στοιχεία στέλνονται ως απλό κείμενο και είναι εύκολο για κάποιον επιτήδειο να υποκλέψει το όνομα και τον κωδικό πρόσβασης που χρησιμοποιείτε. Αφού αποκτήσει κάποιος αυτές τις πληροφορίες, μπορεί να έχει πρόσβαση στους λογαριασμούς σας, είτε πρόκειται για ένα λογαριασμό Facebook, ένα e-mail ή ακόμα και έναν τραπεζικό λογαριασμό.

·        Παρεμβολή σε προσωπικές συνομιλίες και μηνύματα

Όταν δεν είναι κρυπτογραφημένες οι υπηρεσίες ανταλλαγής μηνυμάτων online είτε πρόκειται για κάποια εφαρμογή είτε για μία υπηρεσία που προσφέρουν διάφορες ιστοσελίδες, τότε είναι δυνατόν να αποκτήσει πρόσβαση κάποιος κακοπροαίρετος. Έτσι μπορεί και να αποκομίσει πληροφορίες από το περιεχόμενό τους, αλλά και να το αλλάξει.

·        Πρόσβαση από τρίτους στα αρχεία που είναι αποθηκευμένα στη συσκευή σας.

Όταν συνδέεστε σε ένα δημόσιο δίκτυο και έχετε ενεργοποιημένη την «Κοινή χρήση αρχείων και εκτυπωτών» ο οποιοσδήποτε μπορεί να συνδεθεί στον υπολογιστή σας και να αντιγράψει αρχεία από το σκληρό δίσκο σας. Με τον ίδιο τρόπο μπορεί και να μεταφέρει αρχεία στη συσκευή σας, όπως κάποιο κακόβουλο πρόγραμμα (ιός).

Η Ασφάλεια που είναι το… παν!

Οι admins που διαχειρίζονται το δημόσιο Wi-Fi δίκτυο οφείλουν να κατανοήσουν την τεράστια σημασία της ασφάλειας. Από τη στιγμή που στην καθημερινότητα μας καλούμαστε να διαχειριστούμε δεκάδες προσωπικά δεδομένα (προσωπικής ή επαγγελματικής φύσεως), θα πρέπει από τον υπεύθυνο του δικτύου της ξενοδοχειακής μονάδας, να υψωθεί ένα αποτελεσματικό τείχος προστασίας, τόσο στους servers, όσο και στη διαδικασία ταυτοποίησης, έτσι ώστε οι hackers να κρατηθούν… μακριά για πάντα!

 

πηγές: facebook.com, lab.com.gr