Ηλεκτρονικό Έγκλημα: SIM Swapping - Μια νέα μορφή απάτης
Γνωρίζεις ότι κακόβουλοι χρήστες μπορούν να πάρουν τον έλεγχο του κινητού σου τηλεφώνου; Όσο οι τεχνολογίες της πληροφορίας και των επικοινωνιών μεγιστοποιούν ευκαιρίες και δυνατότητες για πολίτες και τις επιχειρήσεις, τόσο διευρύνονται και οι κίνδυνοι τέλεσης νέων μορφών εγκληματικής συμπεριφοράς, με αποτέλεσμα την εμφάνιση νέων παραλλαγών παραδοσιακών εγκλημάτων, όπως η απάτη της μορφής SIM Swapping.
Ένας κακόβολους χρήστης μπορεί να αποκτήσει πρόσβαση στα προσωπικά δεδομένα του θύματος μέσω π.χ. μιας παραβίασης δεδομένων, phishing, αναζήτησης στα μέσα κοινωνικής δικτύωσης, κακόβουλων εφαρμογών, ηλεκτρονικών αγορών, κακόβουλου λογισμικού κλπ. Με τις πληροφορίες αυτές εξαπάτα στη συνέχεια τον πάροχο υπηρεσιών κινητής τηλεφωνίας, προκειμένου να μεταφέρει τον αριθμό κινητού του τηλεφώνου του θύματος σε κάρτα SIM που θα έχει στην κατοχή του ο ίδιος. Με την αντικατάσταση της κάρτας SIM, ο δράστης λαμβάνει εισερχόμενες κλήσεις και μηνύματα, που απευθύνονται στον αριθμό κινητού τηλεφώνου του θύματος, συμπεριλαμβανομένης της διαδικτυακής τραπεζικής του υπηρεσίας. Το θύμα θα παρατηρήσει ότι το κινητό του τηλέφωνο δεν έχει σήμα και στην συνέχεια ότι δεν μπορεί να συνδεθεί στον τραπεζικό του λογαριασμό. Ο δράστης συνδέεται στους λογαριασμούς μέσω ηλεκτρονικής τραπεζικής (web banking) και προβαίνει σε μία σειρά τραπεζικών εμβασμάτων και μεταφορών από τους τραπεζικούς του θύματος σε τρίτους τραπεζικούς λογαριασμούς ημεδαπών και αλλοδαπών τραπεζικών εταιρειών. Κάθε φορά που πραγματοποιείται μία τραπεζική μεταφορά το αντίστοιχο τραπεζικό ίδρυμα στέλνει έναν κωδικό σε μορφή γραπτού μηνύματος (sms) ο οποίος πρέπει να συμπληρωθεί, προκειμένου να ολοκληρωθεί η συναλλαγή. Λόγω της προηγούμενης αντικατάστασης της κάρτας SIM και έχοντας ήδη υφαρπάξει παράνομα τους κωδικούς web banking- ο δράστης έχει άμεση πρόσβαση στα γραπτά μηνύματα (sms), δυνάμενος με τον τρόπο αυτό να ολοκληρώσει κάθε σχετική τραπεζική συναλλαγή μεταφοράς χρημάτων σε λογαριασμούς τρίτων, εντός και εκτός Ελλάδος και να καταχωρεί εντολές για παραλαβή μετρητών χωρίς χρήση κάρτας μέσω αυτομάτων μηχανημάτων ανάληψης (ΑΤΜ), αποσπώντας και καθ’ αυτό τον τρόπο χρήματα από τους λογαριασμούς του θύματος.
Φυσικά, οι παραπάνω συμπεριφορές αξιολογούνται ποινικά καθώς, κατά περίπτωση, ενδέχεται να στοιχειοθετούνται τα αδικήματα της απάτης (386 ΠΚ), της απάτης με υπολογιστή (386Α ΠΚ), της παράνομης πρόσβασης σε σύστημα πληροφοριών ή σε δεδομένα (370Β ΠΚ), καθώς και της παραβίασης των σχετικών με την προστασίας Δεδομένων Προσωπικού Χαρακτήρα ποινικών διατάξεων (άρθρο 38 Ν. 4624/2019), αφού τρίτος χωρίς δικαίωμα και κατά παράβαση των μέτρων προστασίας αποκτά παράνομη πρόσβαση σε πληροφοριακό σύστημα και σε ηλεκτρονικά δεδομένα, αλλοιώνει δεδομένα υπολογιστή και ιδίως δεδομένα ταυτοποίησής και αξιοποιεί (χωρίς δικαίωµα) λογισµικό προορισμένο για τη μετακίνηση χρηµάτων.
Η χρήση του αριθμού κινητού τηλεφώνου ως ένα από τα κύρια και βασικά στοιχεία για την ισχυρή και αξιόπιστη ταυτοποίηση του κατόχου/συνδρομητή του, αποτελεί διεθνή πρακτική που χρησιμοποιούν οργανισμοί, εταιρίες και το δημόσιο για τις υπηρεσίες που προσφέρουν. Σύμφωνα με πρόσφατη ανακοίνωση της Ελληνικής Ένωσης Τραπεζών (για να δείτε την ανακοίνωση πατήστε εδώ[A1] ), οι τράπεζες δεν αποτελούν εξαίρεση σε αυτή την πρακτική, αφού χρησιμοποιούν τον αριθμό κινητού τηλεφώνου των πελατών τους ως το μέσο για την αποστολή κωδικών μίας χρήσης (OTP) που ενισχύουν την ασφάλεια ηλεκτρονικών συναλλαγών (μεταφορές κεφαλαίων, αγορές με κάρτες, κ.λπ), την αποστολή ειδοποιήσεων ασφαλείας (alerts) για συναλλαγές που έχουν εκτελεστεί και την εξ αποστάσεως εγγραφή τους σε νέες υπηρεσίες.
Τι είναι η απάτη της μορφής SIM Swapping;
Καταρχήν, η αντικατάσταση/αλλαγή της κάρτας SIM (SIM Replace) είναι μια καθόλα νόμιμη υπηρεσία που προσφέρουν οι πάροχοι κινητής τηλεφωνίας στους συνδρομητές τους, ώστε οι τελευταίοι να διατηρήσουν τον αριθμό τηλεφώνου τους σε περίπτωση απώλειας ή κλοπής της συσκευής τους ή λόγω ανάγκης χρήσης διαφορετικού μεγέθους κάρτας SIM. Με την ενεργοποίηση της νέας κάρτας SIM, η παλαιά κάρτα αυτόματα απενεργοποιείται και οι υπηρεσίες κινητής τηλεφωνίας (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) πραγματοποιούνται εφεξής από την καινούργια κάρτα που λειτουργεί με τον ίδιο αριθμό.
Στις περιπτώσεις απάτης τύπου SIM Swapping, οι δράστες εκμεταλλεύονται τη δυνατότητα αλλαγής κάρτας SIM και προσποιούνται είτε τον κάτοχο της κάρτας SIM ή κάποιον εξουσιοδοτημένο από τον νόμιμο συνδρομητή, προσπαθώντας έτσι να εξαπατήσουν τους παρόχους κινητής τηλεφωνίας και να αποκτήσουν νέα κάρτα προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος.
Πώς μπορούν όμως οι δράστες με την αντικατάσταση/ανταλλαγή της κάρτας SIM να μπουν στο e-Banking μου;
Μόλις ενεργοποιήσουν τη νέα κάρτα, η παλιά, που βρίσκεται στην κατοχή του νόμιμου συνδρομητή απενεργοποιείται και έτσι όλες οι υπηρεσίες (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) λαμβάνονται στη συσκευή που βρίσκεται στην κατοχή του εξαπατήσαντος δράστη, δίνοντάς τους τη δυνατότητα να διεξάγουν παράνομες δραστηριότητες εν αγνοία των νόμιμων συνδρομητών. (π.χ. λαμβάνοντας κλήσεις και μηνύματα που προορίζονται για αυτούς, υποκλέπτοντας κωδικούς μιας χρήσης ή μηνυμάτων επαλήθευσης ασφάλειας κ.λπ).
Η μη εξουσιοδοτημένη αντικατάσταση/ανταλλαγή της κάρτας SIM αποτελεί συνήθως το δεύτερο σκέλος του παραπάνω παράνομου τρόπου δράσης. Κατά το πρώτο σκέλος, οι δράστες έχουν καταφέρει να υποκλέψουν τους κωδικούς e-Banking συνήθως μέσω ενός ηλεκτρονικού μηνύματος "ψαρέματος" (phishing) ή μέσω κακόβουλου λογισμικού (trojan/malware) που έχουν εγκαταστήσει στον υπολογιστή του θύματος.
Οι δράστες, λοιπόν, εκμεταλλευόμενοι τον έλεγχο ταυτότητας δύο παραγόντων αποκτούν πρόσβαση σε πληροφοριακό σύστημα και σε ηλεκτρονικά δεδομένα, αλλοιώνουν δεδομένα υπολογιστή και ιδίως δεδομένα ταυτοποίησής των συνδρομητών και αξιοποιώντας (χωρίς δικαίωµα) λογισµικό προορισμένο για τη μετακίνηση χρηµάτων, επιχειρούν να προσκομίσουν στον εαυτό τους ή σε άλλον παράνοµο περιουσιακό όφελος σε βάρος της περιουσίας του κατόχου/συδρομητή.
Χρήσιμες συμβουλές: Τι μπορώ να κάνω;
- Αν το κινητό σας σταματήσει να λειτουργεί για ασυνήθιστους λόγους, επικοινωνήστε αμέσως με τον πάροχο κινητής τηλεφωνίας σας. Μερικές φορές μπορεί να χάσετε σήμα λόγω ευρύτερων προβλημάτων που επηρεάζουν την υπηρεσία κινητής τηλεφωνίας. Ωστόσο, εάν χάσετε την υπηρεσία σε μια θέση που συνήθως έχει καλή κάλυψη, είναι ασφαλέστερο να επικοινωνήσετε με τον πάροχο του δικτύου σας και να επιβεβαιώσετε ότι δεν έχει απενεργοποιηθεί η SIM σας.
- Μην αποκαλύπτετε τον αριθμό του κινητού σας τηλεφώνου στα μέσα κοινωνικής δικτύωσης.
- Εγγραφείτε στις υπηρεσίες των οργανισμών που παρέχουν ειδοποιήσεις SMS και ηλεκτρονικού ταχυδρομείου όταν εκτελούνται συναλλαγές σας.
- Μην απαντάτε ποτέ σε άγνωστα μηνύματα ή κλήσεις που σας ζητούν τα στοιχεία λογαριασμών σας και τον καταχωρημένο αριθμό του κινητού σας τηλεφώνου.
- Μην ακολουθείτε συνδέσμους (links) ιστοσελίδων και μην ανοίγετε συνημμένα αρχεία που μπορεί να λάβετε από άγνωστους αποστολείς ηλεκτρονικού ταχυδρομείου. Ελέγξτε προσεκτικά τον αποστολέα καθώς οι δράστες συχνά προσποιούνται νόμιμες επιχειρήσεις και οργανισμούς.
- Μην κοινοποιείτε σε κανέναν και μην εισάγετε σε άγνωστες ιστοσελίδες, τους κωδικούς e-banking σας (username και password) ή αριθμούς καρτών. Επιβεβαιώνετε ότι έχετε επισκεφθεί το επίσημο site της Τράπεζάς σας και θυμηθείτε ότι οι Τράπεζες ποτέ και με κανένα τρόπο δεν θα σας ζητήσουν τους κωδικούς σας.
- Ο υπολογιστής και οι συσκευές σας (tablet, έξυπνα κινητά) να έχουν πάντα τις τελευταίες ενημερώσεις λειτουργικού και εφαρμογών. Εγκαταστήστε και έχετε πάντα ενημερωμένο ένα αξιόπιστο πρόγραμμα προστασίας από κακόβουλο λογισμικό.
- Να ελέγχετε συχνά τις κινήσεις των λογαριασμών σας.
- Εάν έχετε πέσει θύμα απάτης τύπου SIM Swapping ή έχετε διαπιστώσει συναλλαγές οι οποίες δεν έχουν την έγκρισή σας ενημερώστε άμεσα την Τράπεζα σας.
Για περισσότερες συμβουλές ασφαλείας και μέτρα προστασίας δείτε εδώ[A2] :
[A1] https://bit.ly/36W7Zbv
[A2] https://bit.ly/3iRGS3I