Ο Ξανθιώτης, πρώην χάκερ, μιλά ΑΠΟΚΛΕΙΣΤΙΚΑ στην «Θ», με αφορμή τα απανωτά «χτυπήματα» σε λογαριασμούς πολιτών
Πως «πλαστογραφείται» ένα mail και πως μπορεί να εντοπιστεί από το υποψήφιο «θύμα»
Με την φράση «δεν γίνεται να αδειάσει ένας λογαριασμός με ένα «κλικ», εξηγεί όσα ακολουθούν οι δράστες, που εκμεταλλεύονται την άγνοια αλλά και τον φόβο – όπως χαρακτηριστικά αναφέρει – των πολιτών προκειμένου να αρπάξουν χρήματα μέσα από τους τραπεζικούς τους λογαριασμούς, ο πρώην Ξανθιώτης χάκερ Κώστας Καρακατσούλης, που μιλά ΑΠΟΚΛΕΙΣΤΙΚΑ στην «Θ».
Αφορμή για το εν λόγω ρεπορτάζ, στάθηκαν τα απανωτά περιστατικά διαδικτυακής εξαπάτησης που σημειώνονται το τελευταίο διάστημα, τόσο στην Ξάνθη όσο και σε όλη την Περιφέρεια Ανατολικής Μακεδονίας και Θράκης. Ο κ. Καρακατσούλης, εκφράζει την άποψη ότι οι δράστες κατευθύνουν τηλεφωνικά τα θύματά τους, ενώ συμβουλεύει όλους τους πολίτες να μην ακολουθούν τις οδηγίες που λαμβάνουν μέσω mail, να επαληθεύουν από την ίδια την τράπεζα εάν υπάρχει πρόβλημα με τον λογαριασμό τους και – εάν διαπιστώσουν απόπειρα εξαπάτησης – να προχωρούν σε καταγγελία προς την Δίωξη Ηλεκτρονικού Εγκλήματος.
Τέλος ο ίδιος, σημειώνει σε όλους τους τόνους, ότι καμία ελληνική τράπεζα και κανένας τραπεζικός υπάλληλος, δεν πρόκειται ποτέ να ζητήσει πληροφορίες που δίνουν πρόσβαση σε προσωπικό λογαριασμό.
ΣΥΝΗΘΩΣ ΟΙ ΔΡΑΣΤΕΣ ΚΑΤΕΥΘΥΝΟΥΝ ΤΑ ΘΥΜΑΤΑ – ΔΕΝ ΓΙΝΕΤΑΙ ΝΑ ΑΔΕΙΑΣΕΙ Ο ΛΟΓΑΡΙΑΣΜΟΣ ΜΕ ΕΝΑ «ΚΛΙΚ»
Αναλυτικότερα σε ερώτηση της «Θ» για το πώς μπορεί ένας δράστης να αρπάξει χρήματα από τραπεζικό λογαριασμό ενός τρίτου και το πώς πέφτουν οι πολίτες σε μια τέτοια παγίδα, ο κ. Καρακατσούλης απαντά:
Συνήθως τους κατευθύνουν. Με το «πρόσχημα» δηλαδή να τους βοηθήσουν να κάνουν κάποια συναλλαγή είτε για να δεχθούν χρήματα είτε για να στείλουν «προκαταβολή» ή ο,τιδήποτε άλλο. Τους κατευθύνουν σε μια σημεία του e- banking που δεν γνωρίζουν είτε λόγω ηλικίας είτε λόγω απειρίας. Για παράδειγμα, θα μπορούσαν να τους κατευθύνουν για να στείλουν «λεφτά στο λεπτό» μιας «Χ» τράπεζας, τηλεφωνικά, με το πρόσχημα ότι είτε θα λάβουν κάποια χρήματα, επειδή έχουν βάλει κάποια αγγελία στο ίντερνετ είτε με την αιτιολογία της προκαταβολής (εάν θέλουν να αγοράσουν από μια αγγελία στο ιντερνετ). Τους λένε να κάνουν συγκεκριμένα βήματα, τα οποία και ακολουθούν επειδή δεν γνωρίζουν την διαδικασία. Στην θέση του ποσού, τους λένε να βάλουν έναν αριθμό που τον παρουσιάζουν ως κάτι άλλο και με αυτόν τον τρόπο, τους αδειάζουν τον λογαριασμό. Δεν γίνεται να αδειάσει ο λογαριασμός με ένα «κλικ». Δεν υφίσταται αυτό, κυρίως για τις ελληνικές τράπεζες.
ΚΑΝΕΝΑΣ ΥΠΑΛΛΗΛΟΣ ΤΡΑΠΕΖΑΣ, ΔΕΝ ΘΑ ΖΗΤΗΣΕΙ ΠΟΤΕ ΠΛΗΡΟΦΟΡΙΕΣ ΠΟΥ ΔΙΝΟΥΝ ΠΡΟΣΒΑΣΗ ΣΕ ΠΡΟΣΩΠΙΚΟ ΛΟΓΑΡΙΑΣΜΟ
Επίσης, αναφορικά με τις τράπεζες ο κ. Καρακατσούλης, επισήμανε ότι:
Αν επικοινωνήσει μαζί σου η τράπεζα, θα είναι σε πολύ συγκεκριμένες περιπτώσεις (για παράδειγμα, εάν εντοπίσθηκε ύποπτη κίνηση στον λογαριασμό σου).
Υπάρχουν αλγόριθμοι που ενημερώνουν την τράπεζα ότι «αυτή η κίνηση πιθανόν να μην έγινε από τον ίδιο τον πελάτη». Η τράπεζα αντιλαμβάνεται την αλλαγή συμπεριφοράς ενός πελάτη. Μόνο σε αυτήν την περίπτωση, υπάρχει η πιθανότητα να επικοινωνήσει η τράπεζα μαζί σου και ποτέ, σε καμία επικοινωνία – είτε επικοινωνήσεις εσύ με την τράπεζα, είτε επικοινωνήσει η τράπεζα μαζί σου – δεν σου ζητά στοιχεία πρόσβασης στον λογαριασμό (π.χ τον αριθμό της κάρτας σου, το pin της κάρτας σου κλπ). Το ΙΒΑΝ, μπορούν να το ζητήσουν (δεν υπάρχει πρόβλημα). Αλλά πληροφορίες που δίνουν πρόσβαση στον προσωπικό σου λογαριασμό, δεν πρόκειται ποτέ να σου ζητήσει κανένας υπάλληλος τράπεζας.
ΟΙ ΤΡΟΠΟΙ ΠΛΑΣΤΟΓΡΑΦΗΣΗΣ ΕΙΝΑΙ ΔΥΟ – Ο ΕΝΑΣ ΕΙΝΑΙ ΣΥΝΗΘΩΣ ΑΥΤΟΣ ΠΟΥ ΒΛΕΠΟΥΜΕ ΣΤΑ PHISHING EMAILS
Πως μπορεί λοιπόν να «εξετάσει» ένας πολίτης, εάν το e-mail που έχει λάβει, είναι ή δεν είναι από την τράπεζα;
Σε αυτήν την ερώτηση, ο κ. Καρακατσούλης, απαντά:
Οι τρόποι για να πλαστογραφήσει κάποιος ένα mail, είναι δύο. Ο πρώτος τρόπος, είναι αυτός που συνήθως βλέπουμε στα Phishing emails, ο οποίος δεν πλαστογραφεί το e- mail, αυτό καθαυτό, αλλά πλαστογραφεί το όνομα. Π.χ. λαμβάνεις ένα email που λέει ότι είναι από την «Χ» τράπεζα, αλλά αν προσέξεις το email, δεν ανήκει σε αυτήν την τράπεζα. Αυτό το διαπιστώνεις, εύκολα. Κοιτάς απλά το email.
Ο δεύτερος τρόπος, είναι να πλαστογραφήσουν το ίδιο το email, αλλά αυτό χρειάζεται εξειδίκευση. Δεν μπορεί να το κάνει ο καθένας. Υπάρχει τρόπος να το κάνει κάποιος, αλλά χρειάζεται εξειδίκευση επάνω στον τομέα των υπολογιστικών συστημάτων. Δεν αποτελεί γνώση που θα μπορούσε να έχει ο καθένας, αλλά ακόμη και να είναι, είναι δύσκολο να υλοποιηθεί (αλλά γίνεται). Παρόλα αυτά, υπάρχουν δικλείδες ασφαλείας που λειτουργούν ούτως ή άλλως, χωρίς να το ξέρει ο πελάτης. Το e- mail σου, σε προστατεύει συνήθως από τέτοια πράγματα. Όταν – για παράδειγμα – θα έρθει ένα mail με πλαστογραφημένο αποστολέα, το ίδιο σου το e-mail σε ενημερώνει ότι αυτό το mail φαίνεται να ήρθε από «εκεί» αλλά πιθανόν να μην ήρθε από «εκεί».
Έτσι στην πρώτη περίπτωση, είναι πιο εύκολο να παρασυρθούν, γιατί οι προστασίες που έχει η κάθε υπηρεσία e-mail, δεν λειτουργούν όπως θα έπρεπε (αφού αλλάζουν μόνον ένα όνομα). Έτσι, αν φτάσει το mail στο inbox (εισερχόμενα), ο μόνος τρόπος να το καταλάβεις είναι να δεις αν το email του αποστολέα, είναι – για παράδειγμα – «@» και «το όνομα της τράπεζας». Και φυσικά, σε επίσημο mail τράπεζας, δεν πρόκειται ποτέ να σου ζητήσουν να πάς στο «Χ» site και να κάνεις την «τάδε» ενέργεια. Ακόμη και για να αλλάξεις κωδικό στον τράπεζα, πρώτα θα πρέπει να μπεις στο e- banking και αφού πρώτα πιστοποιηθείς ως χρήστης, σου ζητά η τράπεζα – μέσα στο e- banging – να αλλάξεις κωδικό. Ποτέ, δεν θα λάβει κάποιος επίσημο (legit) mail από τράπεζα που θα αναφέρει ότι πρέπει να μπεις και να αλλάξεις κωδικούς.
ΜΗΝ ΑΚΟΛΟΥΘΕΙΤΕ ΤΙΣ ΟΔΗΓΙΕΣ ΠΟΥ ΔΕΧΕΣΤΕ ΣΤΟ EMAIL ΟΣΟ ΚΑΙ ΑΝ ΣΑΣ ΦΟΒΙΖΕΙ ΑΥΤΟ ΠΟΥ ΓΡΑΦΕΙ – ΕΠΑΛΗΘΕΥΣΤΕ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ – ΚΑΤΑΓΓΕΙΛΤΕ ΤΟ ΠΕΡΙΣΤΑΤΙΚΟ ΣΤΗΝ ΔΙΩΞΗ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΓΚΛΗΜΑΤΟΣ
Ποια είναι όμως η συμβουλή του πρώην χάκερ, προς τους Ξανθιώτες που δεν έχουν τόσο καλή σχέση με τα emails τους και πιθανόν θα μπορούσαν να είναι τα επόμενα «θύματα» των δραστών;
Ο κ. Καρακατσούλης, επισημαίνει ότι:
Πρώτον, να μην ακολουθούν τις οδηγίες που δέχονται στο mail, όσο και αν τους φοβίζει αυτό που γράφει το email (διότι συνήθως στον φόβο πατούν οι επίδοξοι).
Δεύτερον, να διαπιστώνουν εάν πρόκειται για email τράπεζας, με ένα απλό τηλέφωνο στην τράπεζα και πιστοποιώντας τα στοιχεία τους, ώστε να τους θέσουν το ερώτημα, εάν υπάρχει πρόβλημα με τον λογαριασμό, διότι έλαβαν κάποιο mail.
ΠΡΟΣΟΧΗ: Να μην καλούν στα τηλέφωνα που αναφέρουν τα ίδια τα emails (σ.σ. εννοεί οτι εάν το mail προέρχεται από επίδοξο δράστη, τα τηλέφωνα που αναγράφονται, οδηγούν επίσης σε αυτόν) αλλά να αναζητούν το επίσημο αρμόδιο τμήμα της τράπεζας είτε μέσω πληροφοριών τηλεφωνικού καταλόγου (οι ηλικιωμένοι) είτε μέσω αναζήτησης google, οι νεότεροι.
Τρίτον, να κάνουν καταγγελία στην Δίωξη Ηλεκτρονικού Εγκλήματος Βορείου Ελλάδος.
ΕΚΜΕΤΑΛΛΕΥΟΝΤΑΙ ΤΗΝ ΑΓΝΟΙΑ ΚΑΙ ΤΟΝ ΦΟΒΟ ΟΜΩΣ…ΕΝΑ LINK ΔΕΝ ΑΡΚΕΙ ΠΟΤΕ
Τι φταίει όμως και πέφτουν τόσο εύκολα τα «θύματα» των δραστών στην ηλεκτρονική εξαπάτηση; Σύμφωνα με τον ίδιο:
Είναι η άγνοια και ο φόβος. Άγνοια για το πώς λειτουργούν οι συγκεκριμένοι οργανισμοί (τα τραπεζικά ιδρύματα) και ο φόβος που τους προκαλούν τα email. Αυτό εκμεταλλεύονται. Κατά την προσωπική μου άποψη, το «άδειασμα» των λογαριασμών, γίνεται κατευθυνόμενα από το τηλέφωνο. Ένα link δεν αρκεί ποτέ. Οι ελληνικές τράπεζες, έχουν εδώ και πάρα πολλά χρόνια τρόπο να προστατεύουν τους πελάτες τους, από τέτοιου είδους links. Δεν γίνεται να κάνεις οποιαδήποτε συναλλαγή μέσω e- banking, εάν δεν έχεις πρόσβαση στο κινητό τηλέφωνο του πελάτη. Προφανώς και δεν έχουν πρόσβαση στο κινητό τηλέφωνο του πελάτη – υπάρχει τρόπος να έχουν, αλλά δεν έχουν – οπότε θεωρώ ότι είναι «κατευθυνόμενη» η συναλλαγή. Δηλαδή υποκρίνονται «υπαλλήλους τράπεζας» ή «εμπόρους αυτοκινήτων» ή ο,τιδήποτε άλλο και κατευθύνουν τα θύματα, για να κάνουν τις μεταφορές.