Ο κίνδυνος της πλαστογράφησης της ταυτότητας καλούντος (CallerID)
Εισαγωγή
Στη σημερινή ψηφιακή εποχή, οι απάτες έχουν γίνει πιο εξελιγμένες,
αξιοποιώντας την προηγμένη τεχνολογία για να ξεγελάσουν ακόμη και τα πιο
προσεκτικά άτομα. Μια ιδιαίτερα ανησυχητική μέθοδος είναι η πλαστογράφηση
αναγνώρισης κλήσης, όπου οι απατεώνες παραποιούν την ταυτότητα καλούντος στο
κινητό των θυμάτων μιμούμενοι αξιόπιστα ιδρύματα όπως τράπεζες, την ίδια την
αστυνομία ή κάποιο νοσοκομείο κλπ. Αυτό το άρθρο εμβαθύνει στο πώς λειτουργούν
αυτές οι απάτες, τις ψυχολογικές τακτικές που χρησιμοποιούν οι απατεώνες και
πώς μπορείτε να προστατεύσετε τον εαυτό σας από το να πέσετε θύματα τέτοιων
εξαπατήσεων.
Κατανόηση της πλαστογράφησης αναγνώρισης καλούντος
Η πλαστογράφηση αναγνώρισης καλούντος είναι μια τεχνική όπου ο απατεώνας
παραποιεί τον αριθμό που εμφανίζεται στην οθόνη του κινητού του θύματος και
έτσι φαίνεται σαν η κλήση να προέρχεται από κάποια νόμιμη, αξιόπιστη πηγή. Για
παράδειγμα, το αναγνωριστικό καλούντος μπορεί να εμφανίζει "Τράπεζα
τάδε" ή τον αριθμό υποστήριξης πελατών της τράπεζας, καθιστώντας πιο
πιθανό να απαντήσετε στην κλήση. Αυτή η μέθοδος είναι εξαιρετικά
αποτελεσματική, επειδή οι περισσότεροι από εμάς έχουμε μάθει να εμπιστευόμαστε
τις πληροφορίες που εμφανίζονται στα τηλέφωνά μας.
Η ανατομία μιας απάτης
Ας εξετάσουμε το σενάριο μιας τέτοιας απάτης. Συνήθως ξεκινά με ένα SMS που φαίνεται να
προέρχεται από την τράπεζά σας, το οποίο σας ειδοποιεί για μια ύποπτη συναλλαγή
που συνέβη στον λογαριασμό σας. Το μήνυμα μπορεί να σας ζητήσει να απαντήσετε
με "1" για ναι ή "2" για όχι (όλοι έχουμε λάβει τέτοιου
τύπου SMS π.χ. από
εταιρείες κινητής τηλεφωνίας "στείλε Α στο 1323 για να ενεργοποιήσεις τα
δωρεάν MB" κλπ.).
Επίσης μπορεί να σας ζητήσει να κάνετε κλικ σε έναν σύνδεσμο που υπάρχει στο
μήνυμα. Αφού στείλετε το SMS ή κάνετε το κλικ, λαμβάνετε στη συνέχεια μια κλήση από
έναν αριθμό που φαίνεται ότι είναι ίδιος με τον αριθμό εξυπηρέτησης πελατών της
τράπεζάς σας, πείθοντάς σας περαιτέρω για την αυθεντικότητα της κλήσης.
Κατά τη διάρκεια της κλήσης, ο απατεώνας, ο οποίος συχνά έχει συγκεντρώσει
ορισμένες από τις προσωπικές σας πληροφορίες από μέσα κοινωνικής δικτύωσης ή
μεσίτες δεδομένων (databrokers), προχωρά στην "οικοδόμηση εμπιστοσύνης"
κοινοποιώντας ακριβείς λεπτομέρειες όπως οι πρόσφατες συναλλαγές σας, η
ημερομηνία γέννησης ή η διεύθυνση. Αυτές οι λεπτομέρειες κάνουν τον απατεώνα να
φαίνεται αξιόπιστος, μειώνοντας ταυτόχρονα τo επίπεδο επιφυλακής σας.
Ο ρόλος των κωδικών μιας χρήσης (One-TimePins ή OTPs)
Ένα κρίσιμο μέρος της απάτης περιλαμβάνει τη χρήση One-TimePin/Password (OTPs). Ο απατεώνας θα ζητήσει να επιβεβαιώσει την ταυτότητά σας στέλνοντάς σας ένα OTP, το οποίο θα λάβετε ως μήνυμα SMS απευθείας δήθεν από την τράπεζά σας. Ο απατεώνας, που υποδύεται τον τραπεζικό
υπάλληλο, θα σας δώσει εντολή να εισάγετε αυτόν τον κωδικό σε ένα αυτοματοποιημένο σύστημα (π.χ. έναν ιστότοπο), ισχυριζόμενος ότι είναι απαραίτητο για την ασφάλεια του λογαριασμού σας (όσοι χρησιμοποιείτε e-banking / phonebanking για τις συναλλαγές γνωρίζετε αυτήν τη διαδικασία). Στην πραγματικότητα, η εισαγωγή αυτού του κωδικού εξουσιοδοτεί τον απατεώνα να ολοκληρώσει μια δόλια συναλλαγή.
Ο πραγματικός κίνδυνος έγκειται στο γεγονός ότι αυτά τα βήματα μιμούνται
τις νόμιμες τραπεζικές διαδικασίες τόσο στενά που ακόμη και τα πιο προσεκτικά
άτομα μπορούν να εξαπατηθούν. Μόλις εισάγετε τον OTP, τα χρήματά σας έχουν
"κάνει φτερά" και η απάτη έχει ολοκληρωθεί.
Πώς οι απατεώνες συλλέγουν πληροφορίες
Οι απατεώνες χρησιμοποιούν συχνά έναν συνδυασμό κοινωνικής μηχανικής και
άμεσα διαθέσιμων διαδικτυακών εργαλείων για τη συλλογή προσωπικών πληροφοριών.
Για παράδειγμα, αναζητώντας αναρτήσεις στα μέσα κοινωνικής δικτύωσης, μπορούν
να μάθουν για τις πρόσφατες αγορές, τα γενέθλιά σας ή ακόμα και τη διεύθυνση
του σπιτιού σας. Μπορούν επίσης να αγοράσουν λεπτομερή προσωπικά δεδομένα από
μεσίτες δεδομένων (databrokers, είναι μεγάλο κεφάλαιο αυτοί και θα ασχοληθώ σε επόμενο
άρθρο), οι οποίοι συλλέγουν "κρυφά" και πωλούν πληροφορίες (έναντι
κάποιας τιμής) όπως ο αριθμός τηλεφώνου, η ηλικία, ακόμη και το οικονομικό σας
ιστορικό.
Η τεχνολογία πίσω από την απάτη
Η τεχνολογία που χρησιμοποιείται σε αυτές τις απάτες δεν είναι ιδιαίτερα
περίπλοκη. Η πλαστογράφηση αναγνώρισης καλούντος (CallerID) μπορεί να
επιτευχθεί με συστήματα που επιτρέπουν στον καλούντα να επιλέξει τον αριθμό ή
το όνομα που εμφανίζεται στο τηλέφωνο του θύματος. Ενώ οι νόμιμες εταιρείες
κινητής τηλεφωνίας χρησιμοποιούν αυτήν την τεχνολογία για θεμιτούς σκοπούς
ειδοποίησης του ποιος καλεί ποιόν, είναι επίσης διαθέσιμη στους απατεώνες, όπως
π.χ. στο "σκοτεινό διαδίκτυο" (DarkWeb) όπου δεν υπάρχουν κανονισμοί ή
έλεγχοι για την αποφυγή κακής χρήσης.
Οι απατεώνες μπορούν ακόμη και να δημιουργήσουν αυτοματοποιημένα συστήματα
για τη συλλογή των OTP σας. Καταγράφοντας σας όταν εισάγετε τον κωδικό, μπορούν εύκολα να τον
αποκωδικοποιήσουν χρησιμοποιώντας αποκωδικοποιητές DTMF (Dual-ToneMulti-Frequency), οι οποίοι
είναι ευρέως διαθέσιμοι στο διαδίκτυο.
Οι περιορισμοί της τραπεζικής ασφάλισης
Πολλοί άνθρωποι πιστεύουν λανθασμένα ότι η ασφάλεια της τράπεζάς τους θα
καλύψει ζημιές από τέτοιες απάτες. Ωστόσο, αυτό δεν συμβαίνει πάντα. Η ασφάλιση
συνήθως ισχύει μόνο όταν φταίει η τράπεζα, όπως σε περιπτώσεις λάθους
τραπεζικού υπαλλήλου ή εάν η ίδια η τράπεζα είναι σε κίνδυνο. Σε αυτές τις
απάτες, εφόσον η δόλια συναλλαγή εγκρίθηκε τεχνικά από εσάς (αν και εν αγνοία
σας), η τράπεζα δεν ευθύνεται.
Πως να προστατεύστε τον εαυτό σας από πλαστογράφηση
αναγνώρισης καλούντος
Δεδομένης της πολυπλοκότητας αυτών των απατών, είναι ζωτικής σημασίας να
υιοθετήσετε μια σκεπτικιστική προσέγγιση στις απροσδόκητες επικοινωνίες, ακόμη
κι αν φαίνεται ότι προέρχονται από αξιόπιστες πηγές. Σχεδόν ποτέ η τράπεζα σας
δεν θα σας καλέσει για να ζητήσει κωδικούς πρόσβασης. Ακολουθούνορισμένα βασικά βήματα για
να προστατευτείτε:
- Επαληθεύστε
τον καλούντα: Εάν λάβετε κλήση π.χ. από το τμήμα απάτης της
τράπεζάς σας, πείτε τους ότι θα τους καλέσετε άμεσα εσείς χρησιμοποιώντας
τον αριθμό στο πίσω μέρος της κάρτας σας ή τον επίσημο αριθμό εξυπηρέτησης
πελατών που υπάρχει στον ιστότοπο της τράπεζας. Αυτό θα διασφαλίσει ότι
επικοινωνείτεμετονόμιμοίδρυμα.
- Προσοχή
στις τακτικές "επείγουσας ανάγκης": Οι
απατεώνες δημιουργούν συχνά μια αίσθηση επείγοντος, ισχυριζόμενοι ότι
πρέπει να ενεργήσετε αμέσως για να αποτρέψετε την απώλεια κεφαλαίων.
Θυμηθείτε, οι νόμιμοι θεσμοί δεν θα σας πιέσουν με αυτόν τον τρόπο.
- Περιορίστε
τις προσωπικές πληροφορίες που διαρρέετε στο διαδίκτυο: Μειώστε τον
όγκο των προσωπικών πληροφοριών που μοιράζεστε στα μέσα κοινωνικής
δικτύωσης. Οι απατεώνες χρησιμοποιούν αυτές τις πλατφόρμες για να συγκεντρώσουν
λεπτομέρειες που κάνουν τα σχέδιά τους πιο πειστικά.
- Χρήση
Υπηρεσιών Προστασίας Δεδομένων: Υπηρεσίες
όπως η DeleteMe μπορούν να
βοηθήσουν στην κατάργηση των πληροφοριών σας από ιστότοπους μεσιτών
δεδομένων (databrokers), μειώνοντας την πιθανότητα χρήσης τους σε απάτες.
- Ποτέ μην
μοιράζεστε το OTP σας: Να είστε
πάντα προσεκτικοί με αιτήματα εισαγωγής OTP ή άλλων
κωδικών, ακόμα κι αν το αίτημα φαίνεται να προέρχεται από αξιόπιστη πηγή.
Επαληθεύστε την ανάγκη για τον κωδικό ανεξάρτητα, πριν προβείτε σε
ενέργειες.
Συμπέρασμα
Οι απάτες πλαστογράφησης αναγνώρισης κλήσεων αποτελούν μια αυξανόμενη
απειλή στον όλο και πιο συνδεδεμένο κόσμο μας. Με τη χειραγώγηση της
τεχνολογίας και την εκμετάλλευση της ανθρώπινης ψυχολογίας, οι απατεώνες είναι
σε θέση να εξαπατήσουν ακόμη και τα πιο προσεκτικά άτομα. Η κατανόηση του
τρόπου με τον οποίο λειτουργούν αυτές οι απάτες και η λήψη προληπτικών μέτρων
για την προστασία του εαυτού σας είναι απαραίτητα για την προστασία των
προσωπικών και οικονομικών σας πληροφοριών. Να θυμάστε πάντα να επαληθεύετε, να
είστε δύσπιστοι ως προς το "επείγον" του πράγματος και να περιορίζετε
τις προσωπικές πληροφορίες που μοιράζεστε στο διαδίκτυο.
Παραμένοντας ενημερωμένοι και σε εγρήγορση, μπορείτε να
μειώσετε σημαντικά τον κίνδυνο να πέσετε θύματα αυτών των εξελιγμένων απατών.
Ελπίζω να σας άρεσε το άρθρο και να πρόσθεσε κάτι στις ήδη υπάρχουσες
γνώσεις σας. Αν χρειάζεστε περαιτέρω συμβουλευτική πάνω σε θέματα απάτης μέσω
κινητού ή μέσω διαδικτύου αλλά και για οποιοδήποτε διαδικτυακό θέμα, από
δημιουργία ιστοσελίδων μέχρι κρυπτονομίσματα, τότε μπορείτε να νοικιάσετε λίγο
από τον χρόνο μου μέσω της υπηρεσίας "Διαδικτυακός
Σύμβουλος". Θα βάλω τα δυνατά μου και την εμπειρία που έχω
αποκτήσει ασχολούμενος με διαδικτυακά θέματα και Η/Υ τα τελευταία 20 χρόνια για
σας δώσω τις απαντήσεις που χρειάζεστε. Επίσης σας προτρέπω να "κατεβάσετε"
τα 3 ηλεκτρονικά μου βιβλία που μαζί με άλλο υλικό προσφέρω στο ευρύ κοινό και
ναι... είναι εντελώς δωρεάν.!
Λάζαρος Γεωργούλας
Μηχανικός Η/Υ, Σύμβουλος Διαδικτύου
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου