Translate -TRANSLATE -

Τετάρτη, 27 Μαΐου 2009

Ενημέρωση για κρούσματα εξαπάτησης κατόχων πιστωτικών καρτών (1)

Κρούσματα ηλεκτρονικής απάτης με υποψήφια θύματα χρήστες του Ιντερνέτ και κατόχους ηλεκτρονικών διευθύνσεων (e–mail) εντοπίζονται κατά διαστήματα και στην Ελλάδα

Πως γίνεται η υποκλοπή

Oι επιτήδειοι με παραπλανητικά e–mail προσπαθούν να «αρπάξουν» εμπιστευτικές πληροφορίες από καταναλωτές–πελάτες τραπεζών και κατόχους πιστωτικών καρτών. Mέσα από παραπλανητικά μηνύματα ζητούν στοιχεία όπως όνομα, επώνυμο, αριθμό κάρτας, κωδικό, τραπεζικό λογαριασμό κ.λπ. Δηλαδή, όσα απαιτούνται για να μπορούν να χρησιμοποιήσουν την πιστωτική κάρτα και να «ανοίξουν» τον τραπεζικό λογαριασμό του θύματος και να τον αδειάσουν.

H πρακτική αυτή ονομάζεται από τους ειδικούς Phising και αποτελεί παραλλαγή της κατηγορίας «νιγηριανή απάτη». Το Phising παίρνει διεθνώς ανεξέλεγκτες διαστάσεις, και οι ειδικοί εκτιμούν ότι κάθε μήνα οι ηλεκτρονικές επιθέσεις που πραγματοποιούνται με τη συγκεκριμένη μέθοδο σημειώνουν αύξηση σε παγκόσμιο επίπεδο.

Ένα παραπλανητικό όμως μήνυμα για να είναι αποτελεσματικό θα πρέπει να είναι πειστικό. Για το λόγο αυτό, οι επιτήδειοι χρησιμοποιούν ότι καλύτερο και πειστικότερο. Για παράδειγμα, τα μηνύματα είναι γραμμένα με τον πιο επίσημο τρόπο (με λογότυπο και γραμματοσειρές των τραπεζών) και ζητούν επιβεβαίωση προσωπικών στοιχείων.

Οι δικαιολογίες είναι διάφορες. Προ ετών στην περίπτωση μιας ελληνικής τράπεζας χρησιμοποιήθηκε το λογότυπο της και στα μηνύματα αναφερόταν ότι διεξάγεται έρευνα για ξέπλυμα βρώμικου χρήματος, απαιτώντας από τα θύματα να συμπληρώσουν ειδικό ερωτηματολόγιο με τους on line κωδικούς πρόσβασης στους τραπεζικούς λογαριασμούς. Χαρακτηριστικά ανέφεραν ότι στην περίπτωση που δεν συμπληρωθεί το ερωτηματολόγιο θα «πάγωνε» ο τραπεζικός λογαριασμός για αόριστο χρονικό διάστημα...

Kάτι αντίστοιχο συνέβη και σε μια άλλη ελληνική Τράπεζα (ζητούσαν προσωπικά δεδομένα όπως αριθμό λογαριασμού, κωδικούς ασφαλείας, ονοματεπώνυμο και τηλέφωνο) και παλαιότερα με τη Citibank.

Ένα μάλιστα καλοκαίρι πριν δύο – τρία χρόνια υπήρξε ένα άλλο κρούσμα όπου εμφανιζόταν μια ιστοσελίδα που πραγματοποιούσε κληρώσεις μεταξύ χρηστών του Διαδικτύου και ο νικητής θα κέρδιζε 1,5 εκατ. δολάρια. H ιστοσελίδα είχε ως στόχο τη διάδοση της χρήσης του Διαδικτύου και είχε ως χρηματοδότες επιφανείς προσωπικότητες, όπως μεταξύ άλλων τον Mπιλ Γέιτς και τον Σουλτάνο του Mπρουνέι...

Οδηγίες προστασίας στο internet banking

H Ένωση Ελληνικών Τραπεζών δίνει τις εξής οδηγίες στους συναλλασσομένους, προκειμένου να εξετάζουν το επίπεδο ασφαλείας της τράπεζας και να διενεργούν ασφαλείς συναλλαγές. Σύμφωνα με την Ένωση, η ασφάλεια των συναλλαγών μέσω internet banking κατοχυρώνεται με:

1. Προσωπικούς Κωδικούς Πρόσβασης (User ID και PIN): Δεν τους κοινοποιούμε ποτέ σε τρίτους και με κανένα μέσο. Χρησιμοποιούνται για την αναγνώριση ως πελάτη και τη σύνδεση με την υπηρεσία internet banking.

2. Κρυπτογράφηση: Όλες οι πληροφορίες που ανταλλάσσονται με την τράπεζα από την έναρξη έως τη λήξη της σύνδεσης κρυπτογραφούνται (SSL 128-bit encryption), ενώ η πρόσβαση στα συστήματα της τράπεζας ελέγχεται με τη χρήση των ειδικών συστημάτων ασφαλείας (Firewall). «Το SSL 128-bit encryption θεωρείται απαραβίαστο για τις εφαρμογές στο Διαδίκτυο», εξηγούν στελέχη της Εθνικής Τράπεζας. «128-bit encryption σημαίνει ότι υπάρχουν 2.128 πιθανά κλειδιά που είναι δυνατόν να χρησιμοποιηθούν για την κρυπτογράφηση των μηνυμάτων, αλλά μόνο ένα από αυτά δουλεύει σε κάθε online session. Υπάρχουν, δηλαδή, 288 φορές περισσότεροι συνδυασμοί κλειδιών απ’ ότι στο 40-bit encryption», εξηγούν στελέχη της Alpha Bank.

3. Αυτόματη Αποσύνδεση: Αν δεν υπάρξει δραστηριότητα για ένα προκαθορισμένο χρονικό διάστημα («Idle Timeout») γίνεται αυτόματη αποσύνδεση από το σύστημα.

4. Το απόρρητο των συναλλαγών. Όλες οι πληροφορίες που διαβιβάζονται από τον πελάτη προς την τράπεζα είναι εμπιστευτικές και η τράπεζα έχει λάβει όλα τα απαραίτητα μέτρα ώστε να γίνεται χρήση τους μόνο στο βαθμό που αυτό κρίνεται αναγκαίο στο πλαίσιο των παρεχόμενων υπηρεσιών.

5. Επίπεδο ασφάλειας. Για να είμαστε βέβαιοι ότι η οθόνη εισαγωγής των κωδικών στο internet banking (log-in webpage/screen) ανήκει πραγματικά στον ηλεκτρονικό υπολογιστή της τράπεζας, ελέγχουμε ότι στην πρώτη αυτή οθόνη υπάρχει το εικονίδιο του ψηφιακού πιστοποιητικού (digital certificate) που μοιάζει με λουκέτο. Πατώντας πάνω στο εικονίδιο, που θα μοιάζει με λουκέτο, μπορούμε να ελέγχουμε τα στοιχεία του ιδιοκτήτη της οθόνης / ιστοσελίδας (web page) τα οποία θα πρέπει να είναι αυτά της τράπεζας, της οποίας το internet banking χρησιμοποιούμε.

Έτσι είμαστε βέβαιοι ότι έχουμε συνδεθεί με την πραγματική ιστοθέση / δικτυακό τόπο και τον ηλεκτρονικό υπολογιστή της τράπεζάς σας.

6. H τράπεζα δεν ζητάει προσωπικά δεδομένα Δεν πρέπει να ξεχνάμε ότι η τράπεζα δεν μας ζητάει εμπιστευτικά προσωπικά δεδομένα, όπως USER ID, PASSWORD, αριθμούς λογαριασμών μέσω ηλεκτρονικού ταχυδρομείου (e-mail), ούτε μας στέλνει εμπιστευτικές πληροφορίες μέσω αυτού.

Τεχνικές απάτης

Από τις περιπτώσεις που έχουν εντοπιστεί μέχρι σήμερα από τις τράπεζες, οι πιο διαδεδομένες μέθοδοι ηλεκτρονικής απάτης είναι οι εξής:

- «Νιγηριανές απάτες». Αυτές γίνονται συνήθως μέσω mail. Kάποιος στέλνει ένα mail σε πολλούς αποστολείς, όπου αναπτύσσει μια ολόκληρη ιστορία για μια μεταφορά χρημάτων που δεν μπορεί να την κάνει ο ίδιος. Όποιος απαντήσει στο mail κινδυνεύει να του αποσπάσει τον τραπεζικό λογαριασμό ή τα στοιχεία της κάρτας του.

- Phising. Παραπλανητικά mail ή χρήση «ψεύτικων» ιστοσελίδων με στόχο την «αρπαγή» εμπιστευτικών πληροφοριών.

- Skimming («ξάφρισμα»). Αποκαλείται και «σύγχρονη πληγή» των ATM. Τοποθετείται ένας λεπτός μηχανισμός πάχους μερικών χιλιοστών (κάποτε είχε πάχος περίπου 2 εκατοστά) στον καρταναγνώστη (μέσα στην υποδοχή όπου βάζουμε την κάρτα) του ATM. O μηχανισμός αυτός δεν διακρίνεται εύκολα από τον πελάτη, ο οποίος βάζει την κάρτα του στο ATM και εκτελεί τη συναλλαγή του κανονικά. O μηχανισμός, όμως, αυτός αντιγράφει όλα τα στοιχεία της κάρτας.

- «Λιβανέζικες θηλιές» ή «Λιβανέζικοι βρόχοι». Σε ένα πολύ λεπτό πλαστικό δένεται με θηλιά μια λεπτή κλωστή. Το πλαστικό με την κλωστή τοποθετείται μέσα στην υποδοχή όπου μπαίνει η κάρτα στα ATM. Όταν ο κάτοχος της κάρτας τη βάλει στην υποδοχή, αυτή μπλοκάρει. Τότε ένας πολύ ευγενικός κύριος (ιστορικά η μέθοδος είχε ξεκινήσει με ευγενικές κυρίες) προσπαθούσε να βοηθήσει και, μεταξύ άλλων, ρωτούσε και το PIN. Τελικά, όμως, δεν γινόταν τίποτα και μόλις ο κάτοχος της κάρτας απομακρυνόταν, ο επιτήδειος έπαιρνε την κάρτα, ενώ γνωρίζει και το PIN. Mε τη μέθοδο αυτή μπορούν να κλαπούν 2–4 κάρτες τη «βάρδια».

Πηγή πληροφοριών:

Σχετικά άρθρα εφημερίδας «Καθημερινή»

Δεν υπάρχουν σχόλια: