Προειδοποίηση για μια επικίνδυνη τάση: Οι εγκληματίες του κυβερνοχώρου και οι εγκληματίες του πραγματικού κόσμου ενώνουν τις δυνάμεις τους για να διαπράξουν απάτη.

Οι κυβερνοεγκληματίες συνεργάζονται στενά με εγκληματίες του πραγματικού κόσμου, εκμεταλλευόμενοι διαρροές δεδομένων, εξελιγμένες τεχνικές πλαστογράφησης και κενά στις αρχές επιβολής του νόμου για να εξαπατήσουν τους χρήστες, σύμφωνα με το The Conversation στις 10 Ιουλίου.

Η ευπάθεια προήλθε από διαρροή δεδομένων.

Μια κλήση από τον ίδιο ακριβώς αριθμό τηλεφώνου με την τράπεζα, με τον καλούντα να ισχυρίζεται ότι είναι υπάλληλος που βοηθά σε «μια ασυνήθιστη συναλλαγή». Αναφέρει τα προσωπικά σας στοιχεία - όνομα, αριθμό λογαριασμού, ημερομηνία γέννησης - και απλώς σας ζητά να δώσετε έναν κωδικό πρόσβασης μίας χρήσης (OTP).

Αλλά μόλις διαβάσετε τον κωδικό, τα χρήματα στον λογαριασμό σας εξαφανίζονται αμέσως. Η τράπεζα αρνείται να σας επιστρέψει τα χρήματά σας, ισχυριζόμενη ότι «παρείχατε τον κωδικό προληπτικά».

Σε αντίθεση με παλαιότερες απάτες που βασίζονταν σε ψεύτικα email ή εφαρμογές από άγνωστες πηγές, τα πρόσφατα περιστατικά προέρχονται από διαρροές προσωπικών δεδομένων που προκύπτουν από κυβερνοεπιθέσεις.

Πρόσφατα, ένα περιστατικό στην Qantas Airlines είχε ως αποτέλεσμα την αποκάλυψη πάνω από 5,7 εκατομμυρίων αρχείων πελατών. Πληροφορίες όπως ονόματα, διευθύνσεις email, αριθμοί τηλεφώνου, ακόμη και αριθμοί τραπεζικών καρτών, προσφέρθηκαν δημόσια προς πώληση στο dark web.

Οι απατεώνες χρησιμοποιούν αυτές τις πληροφορίες για να δημιουργήσουν ένα πειστικό σενάριο, πλαστογραφώντας αριθμούς τηλεφώνου τράπεζας, καλώντας τα θύματα και πιέζοντάς τα να επαληθεύσουν την «ταυτότητά» τους χρησιμοποιώντας έναν κωδικό OTP – στην πραγματικότητα, για να αποσύρουν χρήματα από τους λογαριασμούς τους.

Οι ειδικοί αποκαλούν αυτό «συγκλίνουσα απάτη», όπου στοιχεία του διαδικτύου και του πραγματικού κόσμου συνδυάζονται για να εξαπατήσουν τα θύματα πιο αποτελεσματικά. Αυτή η τακτική γίνεται ολοένα και πιο διαδεδομένη, εξελιγμένη και απρόβλεπτη .

Μεγάλη ζημιά, ασαφής η λογοδοσία.

Ανησυχητικά, το τρέχον σύστημα υποστήριξης θυμάτων μόλις που συμβαδίζει με το αυξανόμενο ποσοστό απάτης. Για παράδειγμα, στην Αυστραλία, πολλά ασφαλιστήρια συμβόλαια πιστωτικών καρτών αρνούνται την αποζημίωση εάν οι πελάτες παρέχουν «οικειοθελώς» κωδικούς επαλήθευσης, ακόμη και αν η ενέργεια αυτή έλαβε χώρα στο πλαίσιο απάτης.

Ένα θύμα ανέφερε ότι έχασε σχεδόν 6.000 AUD (περίπου 4.000 USD) απλώς επειδή διάβασε έναν κωδικό OTP μέσω τηλεφώνου. Η τράπεζα αρνήθηκε να επιστρέψει τα χρήματα, επικαλούμενη ότι αυτή η συμπεριφορά παραβίαζε τους κανόνες ηλεκτρονικών πληρωμών.

Ακόμα χειρότερα, ακόμη και όταν υπάρχουν φυσικά στοιχεία, όπως συναλλαγές με πλαστές πιστωτικές κάρτες σε μεγάλα σούπερ μάρκετ, που μπορούν να εντοπιστούν μέσω καμερών ασφαλείας, οι αρχές σπάνια παρεμβαίνουν. Πολλές αναφορές απλώς σημειώνονται και στη συνέχεια αφήνονται χωρίς να διεκπεραιωθούν, χωρίς να διενεργείται περαιτέρω έρευνα.

Αυτή η καθυστέρηση αφήνει τους εγκληματίες ουσιαστικά «απρόσβλητους» από τον νόμο. Εν τω μεταξύ, τα συστήματα επαλήθευσης των τραπεζών και των ρυθμιστικών αρχών εξακολουθούν να βασίζονται σε κωδικούς OTP – μια μέθοδος που έχει υπερεκμεταλλευτεί και δεν είναι πλέον επαρκώς ασφαλής.

Απαιτείται συστημική αλλαγή.

Υπό το πρίσμα των ολοένα και πιο εξελιγμένων απάτων, οι ειδικοί στον τομέα της κυβερνοασφάλειας ζητούν ολοκληρωμένες μεταρρυθμίσεις τόσο από τους χρήστες όσο και από τους οργανισμούς.

Για τους χρήστες, ο κρίσιμος κανόνας είναι να μην κοινοποιούν ποτέ κωδικούς OTP μέσω τηλεφώνου , ακόμη και αν ο καλών φαίνεται να είναι τραπεζικός υπάλληλος. Σε περίπτωση αμφιβολίας, τερματίστε αμέσως την κλήση και επικοινωνήστε ξανά μαζί τους χρησιμοποιώντας τον επίσημο αριθμό που αναγράφεται στην κάρτα.

Το πιο σημαντικό είναι ότι τα χρηματοπιστωτικά ιδρύματα πρέπει επειγόντως να αναβαθμίσουν τα συστήματα ελέγχου ταυτότητας που διαθέτουν. Οι κωδικοί OTP —οι οποίοι είναι επιρρεπείς σε κατάχρηση— πρέπει να αντικατασταθούν με πιο σύγχρονες λύσεις, όπως η βιομετρική πιστοποίηση ή ξεχωριστές εφαρμογές ασφαλείας.

Επιπλέον, απαιτείται επειγόντως ένα νέο νομικό πλαίσιο που θα καθιστά υπόλογους όσους αποθηκεύουν προσωπικά δεδομένα, ιδίως τις εταιρείες μεσιτείας δεδομένων, όταν διαρρέουν πληροφορίες και χρησιμοποιούνται ως εργαλείο για εγκληματικότητα.

Ταυτόχρονα, οι υπηρεσίες επιβολής του νόμου πρέπει να ενισχυθούν όσον αφορά το προσωπικό και τα εργαλεία για την παρακολούθηση των υποθέσεων απάτης μέχρι τέλους, ακόμη και αν η αξία της ζημίας είναι μικρή.

Η τρέχουσα σιωπή και αμέλεια στέλνουν άθελά τους ένα επικίνδυνο μήνυμα: οι εγκληματίες μπορούν να ενεργούν ατιμώρητα.

Καθώς η τεχνολογία ενσωματώνεται ολοένα και περισσότερο στη ζωή μας, η διαχωριστική γραμμή μεταξύ της «κυβερνοαπάτης» και του «πραγματικού εγκλήματος» γίνεται ολοένα και πιο θολή.

Αλλά αυτό που είναι ακόμη πιο ανησυχητικό δεν είναι η απώλεια χρημάτων, αλλά η απώλεια εμπιστοσύνης: στην τράπεζα, στο σύστημα προστασίας των πολιτών και στην ασφάλεια της ταυτότητας κάποιου.