Επισκέπτης Δημοσ. 26 Νοεμβρίου 2008 Δημοσ. 26 Νοεμβρίου 2008 Οι απάτες στο διαδίκτυο αυξάνονται ποσοτικά αλλά αλλάζουν συνέχεια μορφή με αποτέλεσμα να χρειάζεται συνεχή ενημέρωση για μια ασφαλή διαδικτυακή τραπεζική συναλλαγή. H διάπραξη απάτης με μέθοδο phising πραγματοποιείται σε (3) στάδια Στάδιο Α Στο πρώτο στάδιο, οι δράστες μελετούν ιστοσελίδες τραπεζών ανά τον κόσμο και στη συνέχεια κατασκευάζουν πανομοιότυπες με τελικό σκοπό να αποσπούν κωδικούς e-banking πελατών τραπεζών. Ο χρήστης εκτρέπεται σε ιστοσελίδα πανομοιότυπη με αυτή της τράπεζας όταν αλλάξει ο server της τράπεζας στον server του κακόβουλου δράστη. Ο χρήστης νομίζει ότι είναι συνδεμένος στην ιστοσελίδα της τράπεζας και πληκτρολογεί τους κωδικούς και τα προσωπικά στοιχεία για να κάνει τις συναλλαγές του. Τότε όμως “δίνει” κωδικούς πρόσβασης του τραπεζικού λογαριασμού του στο δράστη της πλαστής ιστοσελίδας. Τότε αυτός μπορεί να συνδεθεί όποτε θέλει στο λογαριασμό e-banking και να κάνει οποιαδήποτε συναλλαγή. \ Με την τοποθέτηση ενός ιού “Trojan Horse“ στον υπολογιστή του χρήστη μπορεί επίσης να αποκαλυφθούν οι κωδικοί του ανυποψίαστου χρήστη. Ο ιός εισβάλλει στον υπολογιστή είτε με κάποιο e-mail είτε με κάποιο αρχείο που “κατεβάζει” το θύμα, το οποίο όμως δεν βλάπτει τον υπολογιστή όπως ένας ιος τύπου “worm”. Ο “Trojan Horse” παραμένει ανενεργός και ενεργοποιείται μετά από καιρό αλλά δίνει δυνατότητα στο δράστη να αποσπάσει κωδικούς e-banking. Αυτό είναι το πρώτο στάδιο για την απόσπαση των κωδικών e-banking πελατών τράπεζας Στάδιο Β Το επόμενο βήμα είναι να βρεθεί το θύμα, δηλαδή να “ψαρευτεί=phish” στο λογαριασμό του οποίου να μεταφερθούν χρήματα τα οποία θα κλαπούν από τραπεζικό λογαριασμό του πρώτου θύματος. Στο στάδιο αυτό υπάρχουν διάφοροι τρόποι για να αλιεύουν θύματα οι επιτήδειοι δράστες. Αρχικά δημιουργούν ιστοσελίδες για επενδυτικά προγράμματα που αναζητούν συνεργάτες ή φόρμες για αιτήσεις πρόσληψης προσωπικού, συμβόλαια και όροι χρήσης που το θύμα καλείται να διαβάσει και να υπογράψει. Τα κείμενα αυτά είναι νομότυπα και τόσο καλά συνταγμένα που παραπλανούν ακόμη και νομικούς. Όταν το άτομο προσληφθεί στην ανύπαρκτη εταιρεία, καλείται να δώσει προσωπικό λογαριασμό στη εταιρεία, η οποία θα καταθέσει σε αυτόν το χρηματικό ποσό που εκλάπη από το θύμα στο Στάδιο Α. Εδώ καλείται το άτομο να κρατήσει ένα ποσοστό από αυτό το ποσό συνήθως 10% και μετά να αποστείλει τα χρήματα μέσω western union, moneygram ή άλλων εταιρειών μεταφοράς χρημάτων εκτός τραπεζικού δικτύου, σε συγκεκριμένο άτομο και τοποθεσία. Τέτοιες περιοχές είναι χώρες της Αφρικής, χώρες ανατολικού μπλοκ και η Μ.Βρετανία. Εδώ πρέπει να αναφερθεί ότι μόλις τα χρήματα εξέλθουν από το e-banking ΔΕΝ μπορούν να αναζητηθούν, άρα όταν ο ανυποψίαστος νέος υπάλληλος της ανύπαρκτης εταιρείας κάνει ανάληψη χρημάτων, δεν μπορεί να εντοπιστούν! Η μέθοδος phising έχει εξελιχτεί και τώρα πλέον αναζητούνται θύματα σε ιστοσελίδες όπου υπάρχουν on line παραγγελίες προϊόντων. Επικοινωνούν με θύματα ως υποψήφιοι αγοραστές και αφού συμφωνήσουν κάποια τιμή, στέλνουν στον αγοραστή χρήματα για να καλυφθούν έξοδα επισκευών και μεταφοράς του οχήματος. Για παράδειγμα, ένα πραγματικό μήνυμα για αγορά αυτοκινήτου αξίας 16.000ευρώ ήταν το ακόλουθο “Thanks for your mail. I am very sorry for not getting back to you as expexted. I am delighted to tell yoy that my client appreciates and commends your vehicle with full interest; I have finalized my client on the price of 16,000 euro which is the last asking price for vehicle. My client instructed me to inform you that payment will get to you in euro certified bank cheque or bank draft at the amount of 25,000 euro. So you are required to deduct the cost of the vehicle 16,000 euro when payment gets to you and refund 9,000 eyros to the Agent for shipping for him to offset shipping & tax charges. After payment has reached you and balance sent back to the agent, he will proceed with inspection, pick up of vehicle, signing of title papers and drive to a prepaid shipper for item to be shipped to the customer whule title papers and other documents to be handled to my agent at pick up time. Please provide the following details Name to be written on cheque...... Address to be sent the cheque.... Direct Phone..... Please confirm this and forward the information as above for payment to be made and send to you as soon as possible. Thank you for your understanding and co-operation. Best Regards” Μηνύματα σαν αυτό οδηγούν τον ανυποψίαστο πωλητή να στείλει ποσό 9,000ευρώ σε τρίτο πρόσωπο για έξοδα αποστολής. Αυτά τα μυνήματα πρέπει να αγνοούνται αφού ουσιαστικά οι επιτήδειοι ψάχνουν άτομα για να “ξεπλύνουν” τα κλεμμένα χρήματα. Στάδιο Γ Εδώ ολοκληρώνεται η απάτη Phising! Ο πωλητής του οχήματος λαμβάνει χρήματα μέσω της τράπεζας, κρατάει ένα ποσό 10% και στη συνέχεια στέλνει με εταιρείες μεταφοράς ποσού το υπόλοιπο ποσό όπως του έχει υποδειχθεί. Όταν ο ανυποψίαστος χρήστης αποστείλει τα χρήματα μέσω western union ΔΕΝ μπορούν να αναζητηθούν αφού το πραγματικό όνομα του παραλήπτη μπορεί να είναι ψεύτικο. Οι συνέπειες για τον πωλητή είναι πολλές αφού αυτός είναι ο τελικός παραλήπτης χρημάτων τα οποία είναι κλεμμένα ή είναι προϊόν παράνομης δραστηριότητας. Όταν εντοπιστεί η απώλεια χρημάτων μέσω e-banking από το Στάδιο Α, το τραπεζικό σύστημα εντοπίζει πορεία χρημάτων με τελικό παραλήπτη τον πωλητή του οχήματος. Δηλαδή ο πωλητής άθελα του είναι συμμέτοχος στην απάτη για νομιμοποίηση εσόδων από εγκληματική δραστηριότητα, απάτη κατά συνεργία κλπ. Φυσικά ο πωλητής όχι μονο ΔΕΝ πωλεί το όχημα του αλλά αντιμετωπίζει προφυλάκιση ενώ οι επιτήδειοι δεν συλλαμβάνονται τουλάχιστον άμεσα. Μπορεί στην Ελλάδα να μην υπάρχουν θύματα με το νέο τρόπο αλίευσης θυμάτων (Στάδιο Β), αλλά επειδή είναι αρκετά πειστικός, μπορεί να υπάρξουν σύντομα. Για αυτό να ενημερωθούν χρήστες διαδικτύου που πωλούν πράγματα, να αποφύγουν τέτοιο κίνδυνο Όταν ο χρήστης λάβει τέτοιο μήνυμα και διαπιστώσει παρόμοιο τρόπο συναλλαγής, ΔΕΝ πρέπει να στείλει προσωπικά στοιχεία ούτε λογαριασμό τράπεζας ή να δεχθεί χρήματα με τέτοιο τρόπο. Να σταματήσει την επικοινωνία με τους επιτήδειους και να ενημερώσει και την αρχή ηλεκτρονικού εγκλήματος του Υπουργείου Δημόσιας Τάξης. Ειδικά για μια αγοραπωλησία μοτό, οχήματος, σκάφους, ο πιο ασφαλής τρόπος είναι να δει ο αγοραστής απο κοντά το πωληθέν αντικείμενο, να το επιθεωρήσει και η πληρωμή να γίνει με γνωστές μεθόδους. Ο νέος τρόπος Phising είναι πειστικός για υποψήφιους πωλητές αντικειμένων για αυτό οι χρήστες να είναι προσεκτικοί για να μη πέσουν σε αυτή την παγίδα. Ο σκοπός αυτού του άρθρου που βρήκα στο περιοδικό “IT Security” είναι η σωστή ενημέρωση και γνώση του χρήστη για μια νέα “διαδικτυακή παγίδα” ή ενός υποψήφιου online πωλητή που δεν μπορεί να φανταστεί ότι κάποιοι άλλοι δεν ενδιαφέρονται για αυτά που πουλάει αλλά ψάχνουν για εξιλαστήρια θύματα τα οποία εκμεταλλεύονται για τις δραστηρότητες τους.
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.