Η αλίευση δεδομένων γνωστή και ως phishing τείνει να αποτελεί μια διαρκή και αυξανόμενη απειλή για τους πολίτες και χρήστες του Κυβερνοχώρου αλλά και για τις ίδιες τις οργανωμένες κοινωνίες.
*Γράφει ο Γιώργος Παπαπροδρόμου
Προσδιορίζοντας την έννοια της Αλίευσης δεδομένων ως μια διαρκή και αυξανόμενη προσπάθεια των εκφραστών του οργανωμένου εγκλήματος (κυβερνοεγκληματιών) να υφαρπάξουν πολύτιμες πληροφορίες ατόμων αλλά και οργανισμών- χρηστών των ΤΠΕ, χρησιμοποιώντας διάφορα μέσα που τους επιτρέπει η τεχνολογία (ηλεκτρονικό ταχυδρομείο, μηνύματα sms, τηλεφωνικές κλήσεις) με σκοπό την περαιτέρω άμεση ή έμμεση εκμετάλλευσή τους, προσπορίζοντας οικονομικό όφελος.
Η στόχευση των αλιευτών δεν περιορίζεται μόνο στην απόκτηση με παράνομο τρόπο στοιχείων όπως ονόματα χρηστών και κωδικών πρόσβασης σε τραπεζικούς λογαριασμούς (στην πλειοψηφία των περιπτώσεων) αλλά και στην παράνομη πρόσβαση και χειραγώγηση πληροφοριακών συστημάτων με την εγκατάσταση κακόβουλου λογισμικού, με ολέθριες πολλές φορές συνέπειες για τα θύματα τους (άτομα, επιχειρήσεις και οργανισμοί).
Στην καθημερινή της εκδοχή το θύμα δέχεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται ότι προέρχεται από έναν τραπεζικό οργανισμό, ζητώντας του να ακολουθήσει έναν σύνδεσμο (link) ύστερα από την επίκληση σχετικού λόγου (πχ επαναφορά κωδικού). Ουσιαστικά ο δράστης οδηγεί το υποψήφιο θύμα του σε έναν ιστότοπο που φαίνεται αλλά δεν ανήκει στην τράπεζα και μέσω της απατηλής αυτής διαδικασίας αποκτά πρόσβαση στο λογαριασμό του θύματος, προβαίνοντας σε ανεπιθύμητες (για το θύμα) μεταφορές χρηματικών ποσών.
Συχνά οι δράστες – αλιευτές εκμεταλλευόμενοι την απειρία των θυμάτων τους ασκούν έντονη ψυχολογική πίεση κυρίως στις περιπτώσεις των τηλεφωνικών κλήσεων (παραλλαγή του phishing που είναι το Vishing αλλά και το smishing) προκειμένου τα θύματά τους να προχωρήσουν στα απαραίτητα βήματα μέχρι την επίτευξη του τελικού τους σκοπού. Τις περισσότερες φορές και ειδικότερα όταν υπάρχει ένα περιβάλλον με αυξημένη ενημέρωση και ευαισθητοποίηση αυτά τα μηνύματα αποτελούν μόνο μια απόπειρα απάτης, η οποία ηθικά και νομικά έχει την απαξία της.
Στο δικό μας νομικό σύστημα και η απόπειρα απάτης αποτελεί αδίκημα και διώκεται ποινικά.
Στην πράξη όμως για μια σειρά από διάφορους λόγους (γραφειοκρατικοί, θεσμικοί, αναξιοπιστίας θεσμών και διαδικασιών) η καταγγελία αυτών των συμπεριφορών δεν γίνεται, με αποτέλεσμα την διαιώνιση κι ένταση του φαινομένου αλλά και την θολή και σκοτεινή εικόνα της πραγματικής εγκληματικότητας από πλευράς των αρχών επιβολής του νόμου.
Τι πρέπει να γίνει σε ατομικό και θεσμικό επίπεδο.
Σε ατομικό επίπεδο η εξάλειψη ή καλύτερα ο περιορισμός του φαινομένου αυτού και η καλύτερη διαχείριση του προϋποθέτει και σχετίζεται με την ανάπτυξη ψηφιακών δεξιοτήτων πολυεπίπεδων μορφών (βασικών αλλά και προχωρημένων-εξειδικευμένων).
Συγκεκριμένα σήμερα στη χώρα μας ο πολίτης έχει μια σειρά από δυνατότητες όπως η Ψηφιακή Ακαδημία Πολιτών, μια πλατφόρμα πολύ χρήσιμη και δυναμική, όπου μπορεί να αντλήσει πολλές και χρήσιμες πληροφορίες και συμβουλές.
Επιπλέον έχει τη δυνατότητα μέσα από θεσμικά κανάλια όπως ανεξάρτητες αρχές (Συνήγορος του Καταναλωτή, Αρχής Προστασίας Δεδομένων Προσωπικού χαρακτήρα, αντίστοιχες αρχές και θεσμούς σε επίπεδο ΕΕ) να αντλήσει χρήσιμο και πολύτιμο υλικό.
Σε επίπεδο Αρχών Επιβολής του Νόμου υλικό μπορεί να βρει κανείς σε οργανισμούς όπως η Eurojust, Interpol και Europol, σημαντικό μέρος του οποίου αξιοποιείται από τις εγχώριες αρχές όπως η Τράπεζα της Ελλάδος, η Ένωση Ελληνικών Τραπεζών, το Αρχηγείο της Ελληνικής Αστυνομίας.
Οι συμβουλές και οδηγίες προέρχονται από την πείρα πραγματικών περιστατικών (“παθήματα”) και στόχο έχουν την πρόληψη του φαινομένου.
Ενδεικτικά μπορούμε να αναφέρουμε ορισμένες οδηγίες.
• Δεν δίνουμε ποτέ το όνομα χρήστη και τους κωδικούς πρόσβασης σε λογαριασμούς (τραπεζικούς κλπ)
• Δεν ακολουθούμε συνδέσμους και δεν ανοίγουμε συνημμένα αρχεία από άγνωστους αποστολείς μηνυμάτων (ηλεκτρονικού ταχυδρομείου, sms)
• Χρησιμοποιούμε ασφαλέστερους κωδικούς (συνδυασμός γραμμάτων, αριθμών, συμβόλων)
• Δεν χρησιμοποιούμε ποτέ τον ίδιο κωδικό για κάθε λογαριασμό μας
• Φροντίζουμε να αλλάζουμε τον κωδικό σε τακτά χρονικά διαστήματα (πολλές φορές μας το ζητούν και οι ίδιες οι τράπεζες καθόσον ο κάθε κωδικός έχει μια συγκεκριμένη χρονική ισχύ. Προσοχή την διαδικασία της αλλαγής του κωδικού την επιλέγουμε εμείς από τον επίσημο δικτυακό τόπο της τράπεζας μας κι όχι από προτεινόμενο σύνδεσμο σε μήνυμα)
• Δεν δίνουμε τον αριθμό κινητού τηλεφώνου μας στα μέσα κοινωνικής δικτύωσης
• Επισκεπτόμαστε ασφαλείς δικτυακούς τόπους οργανισμών και επιχειρήσεων (οχι Http αλλά https (extened Validation Certificates) με το γνωστό “λουκετάκι”. Υπόψη οτι οι κυβερνοεγκληματίες έχουν προχωρήσει και χρησιμοποιούν και σελίδες https!!!)
• Προσέχουμε για τυχόν συντακτικά και ορθογραφικά λάθη στα εισερχόμενα μηνύματα μας
• Οι συσκευές που χρησιμοποιούμε να διαθέτουν επικαιροποιημένο λογισμικό και λογισμικό προστασίας από κακόβουλες εφαρμογές
• Παρακολουθούμε συχνά την κίνηση του λογαριασμού μας (όπως και στην περίπτωση των αγορών μας με κάρτες)
• Παρακολουθούμε και την λειτουργία του κινητού μας (άμεση επικοινωνία με τον πάροχο σε περίπτωση ασυνήθιστης δυσλειτουργίας για την αποφυγή της απάτης μέσω της αλλαγής κάρτας SIM και χειραγώγησης των πρόσθετων μηνυμάτων που μας έρχονται πλέον ύστερα από την εφαρμογή της Payment Service Directive 2 που επιβάλλει την συναλλαγή με τη χρήση πρόσθετου κωδικού μιας χρήσης (One Time Password)
• Αναφέρουμε οπωσδήποτε οποιαδήποτε απόπειρα απάτης ή τετελεσμένης απάτης (υπάρχει ειδική φόρμα στο gov.gr – Πολίτης και Καθημερινότητα- Καταγγελίες – Καταγγελία για απόπειρα απάτης ή τετελεσμένης απάτης)
• Γνωρίζουμε από πριν (σε ανύποπτο χρόνο) την διαδικασία αμφισβήτησης μιας συναλλαγής που ακολουθεί η τράπεζα μας αλλά και τα δικαιώματα μας ως καταναλωτές-συναλλασσόμενοι (ειδικά το πρώτο εικοσιτετράωρο)
• Συζητούμε το θέμα με το άμεσο περιβάλλον μας και αναζητούμε τυχόν βοήθεια (Η σιωπή βοηθά και ενθαρρύνει τους απατεώνες και τους κυβερνοεγκληματίες)
• Επισκεπτόμαστε τακτικά τον επίσημο δικτυακό τόπο των παραπάνω φορέων και οργανισμών
Τι πρέπει να κάνει η πολιτεία
Η ουσιαστική αντιμετώπιση του φαινομένου της Αλίευσης δεδομένων και του Κυβερνοεγκλήματος εν γένει επιβάλλει την ουσιαστική και ενεργότερη συνεργασία των φορέων.
Συγκεκριμένα:
• Ενίσχυση θεσμικού πλαισίου
• Εκσυγχρονισμός του νόμου για το τραπεζικό απόρρητο (από το 1971!!!!) ο οποίος δυσχεραίνει το έργο των δικαστικών αρχών και ουσιαστικά προστατεύει τα συμφέροντα του οργανωμένου εγκλήματος (“Follow the money from the first cent”)
• Εξειδίκευση δικαστών και μηχανισμών επιβολής του Νόμου (χαρακτηριστικά αναφέρω την ανάγκη για την ύπαρξη ενός εισαγγελικού λειτουργού για την αντιμετώπιση του κυβερνοεγκλήματος σε όλη την επικράτεια – σήμερα έχουμε την πολυτέλεια να έχουμε εξήντα τρεις εισαγγελικές αρχές σε όλη την χώρα)
• Ενίσχυση και εκσυγχρονισμός στις πλατφόρμες για την καταγγελία κατά της απάτης (και σε επίπεδο δικαιοσύνης με σκοπό την ταχύτητα και αμεσότητα στην αντιμετώπιση της)
• Ενίσχυση της Διεθνούς Δικαστικής και Αστυνομικής συνεργασίας αλλά και άλλων Διεθνών Οργανισμών και Φορέων (Συμβούλιο της Ευρώπης, Ευρωπαϊκή Κεντρική Τράπεζα, κα)
• Εκσυγχρονισμός του πλαισίου της εκπαίδευσης και δια βίου μάθησης (με νέα θέματα στην ατζέντα όπως η αντιμετώπιση διαφόρων μορφών Κυβερνοεγκλήματος.
• Αύξηση της ενημερωτικής εκστρατείας και ευαισθητοποίησης της κοινωνίας (στοχευμένη και υπεύθυνη ενημέρωση ευάλωτων ομάδων όπως οι ηλικιωμένοι, τα παιδιά, οι καταναλωτές κλπ).
Όλα τα παραπάνω για να γίνουν απαιτείται όραμα, στρατηγική και κυρίως θέληση και αποφασιστικότητα με γνώμονα το συμφέρον των πολλών (πολιτών και εν δυνάμει θυμάτων) κι όχι των λίγων και εκφραστών του οργανωμένου εγκλήματος και της διαφθοράς.
Η επιλογή ανήκει στην κάθε κοινωνία και στο φιλότιμο της…..
*Ο Γιώργος Παπαπροδρόμου είναι Υποστράτηγος ε.α (πρώην διευθυντής της Δίωξης Ηλεκτρονικού Εγκλήματος), Πτυχιούχος Νομικής ΑΠΘ, Ειδικός σε θέματα αντιμετώπισης Κυβερνοεγκλήματος