Ξεκλειδώνοντας το «σεντούκι» του κυβερνοεγκληματία
ΓΙΑΝΝΗ ΠΑΠΑΔΟΠΟΥΛΟΥ Την περασμένη εβδομάδα, η «Κ» παρουσίασε την ανατομία μιας ψηφιακής απάτης. Εξέτασε τρία διαφορετικά παραπλανητικά ηλεκτρονικά μηνύματα τα οποία υποτίθεται ότι είχαν σταλεί από τα ΕΛΤΑ τον Ιούλιο και τον Αύγουστο. Ενημέρωναν τους παραλήπτες ότι το δέμα τους είχε επιστραφεί στην αποθήκη. Αρκούσε να καταχωρίσουν τα στοιχεία τους στις ιστοσελίδες όπου παρέπεμπαν τα μηνύματα και να καταβάλουν ένα μικρό αντίτιμο, δήθεν για να το ανακτήσουν και να αποφύγουν «επιπλέον χρεώσεις». Οι υπερσύνδεσμοι και στα τρία μηνύματα οδηγούσαν σε πανομοιότυπες ιστοσελίδες πληρωμής, πιθανότατα του ίδιου δημιουργού. Με τη βοήθεια ειδικών κυβερνοασφάλειας, η «Κ» διαπίστωσε πού καταλήγουν τα στοιχεία που καταφέρνει να υποκλέψει ο κυβερνοεγκληματίας από τα ανυποψίαστα θύματά του.
Εκατοντάδες καταχωρίσεις
Τουλάχιστον ένα κανάλι στην εφαρμογή Telegram λειτουργεί ως «βάση δεδομένων» όπου συγκεντρώνονται από αυτή την απάτη email, ονοματεπώνυμα, διευθύνσεις, αριθμοί και ημερομηνίες λήξης καρτών, κωδικοί αριθμοί ασφαλείας καρτών, σε κάποιες περιπτώσεις και κωδικοί sms για την επιβεβαίωση της κίνησης. Οι καταχωρίσεις που
υπάρχουν σε αυτή τη «βάση δεδομένων» είναι εκατοντάδες, εκ των οποίων οι περισσότερες αφορούν Ελληνες χρήστες.
Η «Κ» έχει ενημερώσει σχετικά τη Δίωξη Ηλεκτρονικού Εγκλήματος και δεν δημοσιοποιεί την ονομασία του καναλιού ή κάποια φωτογραφία του, για ευνόητους λόγους. Οπως φαίνεται, το κανάλι ενεργοποιήθηκε στα τέλη Ιανουαρίου 2022 και άρχισε να δέχεται τα πρώτα στοιχεία θυμάτων μετά την πρώτη εβδομάδα του Φεβρουαρίου. Από τις πρώτες κιόλας ημέρες υπάρχουν καταχωρίσεις email, αριθμών καρτών, ακόμη και κωδικών πρόσβασης στο PayPal, από κάθε άκρη της Ελλάδας. Εμφανίζονται στοιχεία που παραπέμπουν σε κατοίκους από τα Ανώγεια Ρεθύμνου, μέχρι τη Νεάπολη Λακωνίας και το Παλαιόκαστρο Θεσσαλονίκης.
Ενδεικτικά, μόνο μέσα σε μία ημέρα του Φεβρουαρίου, οι νέες εγγραφές αλιευμένων κωδικών ξεκινούν ένα τέταρτο μετά τα μεσάνυχτα και ολοκληρώνονται στις 23.35. Μέσα σε αυτό το διάστημα έχουν καταχωρισθεί περισσότερα από 60 email Ελλήνων χρηστών, αρκετοί εκ των οποίων έχουν περάσει και στοιχεία των καρτών τους.
Δεν μπορεί να εξακριβωθεί εάν όλοι αυτοί είχαν και οικονομικές απώλειες μετά την υποκλοπή των δεδομένων τους, εάν δηλαδή τα στοιχεία που μοιράστηκαν ήταν αρκετά για να ολοκληρωθεί ο κύκλος της απάτης. Ωστόσο, το γεγονός ότι σε ορισμένα από αυτά φαίνεται να περιλαμβάνονται και κωδικοί πρόσβασης σε e-banking καθιστούν το ενδεχόμενο χρηματικής απώλειας πολύ πιθανό.
Το νήμα της απάτης
Ο Ανδρέας Βενιέρης, υπεύθυνος ασφαλείας πληροφοριακών συστημάτων, ο οποίος είχε εξετάσει για την «Κ» στο προηγούμενο ρεπορτάζ την ηλεκτρονική απάτη με τα υποτιθέμενα δέματα, επιχείρησε να την ερευνήσει παραπάνω. Ανακάλυψε ότι εάν κάποιος καταχώριζε τα στοιχεία του στην ιστοσελίδα που είχε κατασκευάσει ο κυβερνοεγκληματίας, αυτά, μέσω ενός bot (προγράμματος που εκτελεί αυτοματοποιημένες εργασίες), κατέληγαν σε ένα κανάλι στο Telegram. Σε αυτό το κανάλι εμφανίζονται ως συνδεδεμένα μόνο δύο μέλη, ο δημιουργός του και το bot.
Δεν μπορεί, βάσει των διαθέσιμων στοιχείων, να προσδιορισθεί η χώρα στην οποία βρίσκεται ο δράστης ή πιθανότατα οι δράστες. Υπάρχουν, πάντως, ενδείξεις
ότι ίσως δραστηριοποιείται στο εξωτερικό. Εχει κατασκευάσει πανομοιότυπη ιστοσελίδα υποκλοπής δεδομένων και για χρήστες του Διαδικτύου στη Φινλανδία, στη Σλοβενία και σε κάποιες χώρες της Λατινικής Αμερικής. Ακόμη, φαίνεται ότι στο ίδιο κανάλι του στο Telegram καταλήγουν στοιχεία εξαπατημένων χρηστών από τις πόλεις Λιουμπλιάνα και Μάριμπορ. Ο κ. Βενιέρης υπολογίζει ότι οι συνολικές καταχωρίσεις στη βάση δεδομένων ξεπερνούν τις 1.500, μια ένδειξη και για τον πιθανό αριθμό των θυμάτων.
Το ίδιο νήμα της συγκεκριμένης απάτης με τα υποτιθέμενα δέματα των ΕΛΤΑ έχουν ξετυλίξει και αναλυτές ψηφιακών πειστηρίων της εταιρείας v4ensics. Από τη δική τους παράλληλη έρευνα διαπίστωσαν και αυτοί ότι οι ιστοσελίδες αλίευσης δεδομένων συνδέονται με κανάλι στο Telegram. «Είναι σαν μια θυρίδα όπου καταλήγουν όλα τα κλεμμένα δεδομένα. Ο μόνος που θεωρητικά έχει πρόσβαση εκεί είναι ο κυβερνοεγκληματίας», λέει στην «Κ» ένας από τους αναλυτές της εταιρείας. «Γιατί επιλέχθηκε το Telegram; Γιατί με βάση τις προδιαγραφές του, τα μηνύματα που ανταλλάσσουν οι χρήστες είναι κρυπτογραφημένα και μπορούν να αυτοκαταστραφούν, ως εκ τούτου το Telegram θεωρείται από τους δράστες της απάτης ως μη εύκολα ανιχνεύσιμο».