Με μια βιαστική, πρώτη ανάγνωση το sms μπορεί να μην κινήσει υποψίες στον παραλήπτη. Είναι καλογραμμένο, με σωστή ορθογραφία και σύνταξη και βασίζεται στην επικαιρότητα για να αποκτήσει περισσότερη αληθοφάνεια. «Δικαιούστε οικονομική ενίσχυση καυσίμων μέσω του προγράμματος Fuel Pass IΙΙ. Για να πιστωθεί το ποσό στον λογαριασμό σας, είναι απαραίτητη η άμεση ενεργοποίηση της κάρτας σας. Σημαντικό: Η μη ενεργοποίηση εντός της προθεσμίας θα οδηγήσει σε ακύρωση της επιδότησης», αναφέρει το παραπλανητικό μήνυμα που κυκλοφορεί τις τελευταίες εβδομάδες σε ελληνικά κινητά τηλέφωνα παρακινώντας τους πολίτες να πατήσουν έναν σύνδεσμο και να καταχωρίσουν τα στοιχεία τους. Η «Κ» ερεύνησε τι κρύβεται από πίσω και παρουσιάζει την ανατομία μιας ψηφιακής απάτης.
Ο Ανδρέας Βενιέρης, υπεύθυνος ασφαλείας πληροφοριακών συστημάτων, ανέλυσε για την «Κ» το link που περιλαμβάνεται σε αυτό το sms. Ο server βρίσκεται στη Φρανκφούρτη της Γερμανίας και ανήκει στην κινεζική υπηρεσία cloud Tencent. «Είναι μια συνηθισμένη τακτική για ιστοσελίδες υποκλοπής δεδομένων», παρατηρεί ο κ. Βενιέρης. «Χρησιμοποιούν ευρωπαϊκή IP για να φαίνονται πιο νόμιμες και να αποφύγουν άμεσο μπλοκάρισμα. Ο επιτιθέμενος δεν βρίσκεται στη Γερμανία, απλώς νοίκιασε έναν server εκεί. Η χρήση της κινεζικής υπηρεσίας υποδηλώνει πιθανή σύνδεση με Κίνα ή Νοτιοανατολική Ασία, αλλά και αυτό δεν είναι σίγουρο».
Στον ίδιο σέρβερ βρέθηκαν δηλωμένα 50 διαφορετικά domains που έχουν την ίδια δομή: vouchers-gov.[κάποιος τυχαίος 6ψήφιος αριθμός].cc/gr. Επιχειρούν να μιμηθούν την επίσημη σελίδα επιδομάτων του gov.gr και παραπέμπουν σε μια οργανωμένη απάτη. Σε αντίθεση με άλλες παρόμοιες απόπειρες εξαπάτησης το σχετικό link μοιάζει πιο αληθοφανές καθώς περιέχει τη λέξη vouchers, το gov και το gr.
«Στόχος τους είναι εάν μπλοκαριστεί ένα από αυτά τα domains να συνεχίσουν τη λειτουργία τους τα υπόλοιπα 49. Στέλνουν διαφορετικά links σε διαφορετικά θύματα και είναι δύσκολο να κατέβουν όλα ταυτόχρονα», λέει ο κ. Βενιέρης που εκτιμά ότι πίσω από την απάτη δεν κρύβεται ένα άτομο, αλλά κάποια ομάδα δραστών. «Πιθανότατα στοχεύουν ταυτόχρονα πολλούς Ελληνες χρήστες», τονίζει.
Ο ενορχηστρωτής της απάτης δεν βρίσκεται στη Γερμανία, όμως νοίκιασε έναν server εκεί. Η χρήση της κινεζικής υπηρεσίας υποδηλώνει πιθανή σύνδεση με Κίνα ή ΝΑ Ασία, αναφέρει ο Ανδρέας Βενιέρης, υπεύθυνος ασφαλείας πληροφοριακών συστημάτων.
Μόλις ο παραλήπτης του sms πατήσει το επίμαχο link μεταφέρεται σε μια ιστοσελίδα που μιμείται αυτήν του επιδόματος Fuel Pass. Ακολουθεί μια φόρμα εγγραφής στην οποία ο ενδιαφερόμενος συμπληρώνει τα στοιχεία του: ονοματεπώνυμο, ΑΦΜ, διεύθυνση, αριθμό τηλεφώνου. Για να ολοκληρωθεί η διαδικασία ζητείται έπειτα να καταχωρίσει και τα στοιχεία της τραπεζικής του κάρτας.
Ο επιτιθέμενος ενημερώνεται κάθε φορά που κάποιος επισκέπτεται τη σελίδα και συμπληρώνει τις σχετικές φόρμες. Μόλις περαστούν τα στοιχεία της τραπεζικής κάρτας ο επιτιθέμενος τα χρησιμοποιεί για να υλοποιήσει μια πραγματική συναλλαγή. Η τράπεζα στέλνει στο κινητό του χρήστη το OTP για να ολοκληρωθεί η συναλλαγή. Τότε εμφανίζεται στην ιστοσελίδα μια ειδική φόρμα για να πληκτρολογήσει ο χρήστης τον προσωρινό κωδικό ασφαλείας. Το θύμα νομίζει ότι πρόκειται για ακόμη ένα βήμα επαλήθευσης της ταυτότητάς του, στην πραγματικότητα όμως είναι η τελευταία κίνηση που γίνεται για να κλαπούν τα χρήματά του.
Πώς μπορούν να προστατευτούν οι πολίτες; Αρκεί να θυμούνται ότι οι δημόσιοι φορείς δεν στέλνουν ποτέ μηνύματα με συνδέσμους για καταχώριση τραπεζικών στοιχείων.
Πολλαπλά σενάρια
Δεν αποκλείεται όποιοι κρύβονται πίσω από τον σχεδιασμό αυτής της απάτης να την πουλούν σαν «υπηρεσία» σε άλλους κυβερνοεγκληματίες. Αυτή είναι η εκτίμηση του κ. Βενιέρη. «Δεν πρόκειται για μια απλή σελίδα υποκλοπής δεδομένων, αλλά για ένα πλήρες Phishing-as-a-Service kit που μπορεί να καλύψει διαφορετικές μορφές απάτης. Ο “πελάτης” της κακόβουλης υπηρεσίας επιλέγει κάθε φορά ποιο σενάριο τον εξυπηρετεί», λέει. Από την ανάλυση του κώδικα της παραπλανητικής ιστοσελίδας προκύπτει ότι περιλαμβάνονται σε αυτόν και άλλα ελληνικά μηνύματα που καλύπτουν πολλαπλά σενάρια. Πέρα από Fuel Pass η απάτη μπορεί να μιμηθεί εταιρείες courier για την παράδοση δεμάτων, τραπεζικά ιδρύματα για την αύξηση του πιστωτικού ορίου, ή υποτιθέμενα ηλεκτρονικά καταστήματα που πωλούν ηλεκτρικές οδοντόβουρτσες, ρολόγια, ακόμη και air fryer.
