Vishing: Από το ηλεκτρονικό στο… φωνητικό ψάρεμα!

Το Vishing είναι ένα έγκλημα στον κυβερνοχώρο ή καλύτερα μία φωνητική απάτη μέσω τηλεφώνου που χρησιμοποιεί διάφορες τεχνικές για να εξαπατήσει τους πολίτες, αλλά και μεγάλους οργανισμούς και επιχειρήσεις. Συχνά αναφέρεται ως φωνητικό ψάρεμα και χρησιμοποιείται για την κλοπή διαπιστευτηρίων και άρα την πρόσβαση…

Το Vishing είναι ένα έγκλημα στον κυβερνοχώρο ή καλύτερα μία φωνητική απάτη μέσω τηλεφώνου που χρησιμοποιεί διάφορες τεχνικές για να εξαπατήσει τους πολίτες, αλλά και μεγάλους οργανισμούς και επιχειρήσεις. Συχνά αναφέρεται ως φωνητικό ψάρεμα και χρησιμοποιείται για την κλοπή διαπιστευτηρίων και άρα την πρόσβαση σε τραπεζικούς λογαριασμούς.

Όλοι έχουμε ακούσει για το ηλεκτρονικό ψάρεμα-phishing. Το Phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο ‘θύτης’ υποδύεται μία αξιόπιστη πηγή, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί.

Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον χάκερ Khan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό fishing (ψάρεμα), καθώς η διαδικασία με την οποία ο θύτης παρουσιάζεται ως η αξιόπιστη οντότητα ώστε να προσελκύσει τους χρήστες, θυμίζει την διαδικασία του δολώματος στο ψάρεμα.

Το vishing είναι μια αντίστοιχη απάτη “φωνητικού ψαρέματος”. Είναι ένα κόλπο με πολλές παραλλαγές που μπορεί να ξεγελάσει άτομα και μεγάλους οργανισμούς – με πιθανές καταστροφικές συνέπειες. Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET, το phishing, το smishing, το pharming και το vishing κόστισαν σε περισσότερα από 241.000 θύματα πάνω από 54 εκατομμύρια δολάρια. Και αυτές είναι μόνο οι περιπτώσεις που καταγγέλθηκαν στο FBI, καθώς πολλές περιπτώσεις απάτης δε δηλώνονται στις Αρχές.

Συχνά, αυτός που καλεί, προσποιείται πως είναι από την αστυνομία, την κυβέρνηση, την εφορία, ακόμα και την τράπεζα του θύματος. Η πειστική γλώσσα που χρησιμοποιούν οι κυβερνοεγκληματίες, κάνει τα θύματα να αισθάνονται σαν να μην έχουν άλλη επιλογή παρά να παρέχουν τις πληροφορίες που τους ζητούνται! Κάποιοι μάλιστα, είναι τόσο πειστικοί, που προτείνουν στα υποψήφια θύματα τους λύσεις, ώστε να αποφύγουν ποινικές κατηγορίες. Τέτοιες περιπτώσεις έχουν καταγγελθεί και στη χώρα μας. Πιο συγκεκριμένα οι δράστες επιλέγουν κυρίως ηλικιωμένους ανθρώπους, για τους οποίους πληροφορούνται με οποιανδήποτε τρόπο τα στοιχεία ταυτότητας τόσο των ιδίων, όσο και προσφιλών συγγενικών τους προσώπων, συνήθως των παιδιών ή των εγγονιών τους.

Τους προσεγγίζουν «δήθεν» ως απεσταλμένοι των συγγενών τους και με το πρόσχημα άμεσης και επείγουσας ανάγκης χρημάτων, επιδιώκουν να τους αποσπάσουν μεγάλα χρηματικά ποσά. Η προσέγγιση, συνήθως γίνεται κατά την έξοδο ή λίγο πριν την είσοδο στην κατοικία τους, καθώς και έξω από τράπεζες ή εμπορικά καταστήματα κ.λπ.

Οι τεχνικές που χρησιμοποιούν οι δράστες για να πείσουν τους ηλικιωμένους να τους δώσουν τα χρήματα για λογαριασμό των οικείων τους, είναι ο αιφνιδιασμός και η παρουσίαση μιας αληθοφανούς οικονομικής ανάγκης που πρέπει να ικανοποιηθεί χωρίς αναβολή. Με τον τρόπο αυτό, αλλά και με την αναφορά σε συγγενικά πρόσωπα με ιδιαίτερη οικειότητα, επιδιώκουν να κερδίσουν την εμπιστοσύνη και να μην αφήσουν περιθώρια δεύτερης σκέψης. Σε αρκετές περιπτώσεις, οι δράστες για να ισχυροποιήσουν τα επιχειρήματά τους, προσποιούνται πως τηλεφωνούν στα οικεία πρόσωπα για να επιβεβαιώσουν την οικονομική ανάγκη, πλην όμως οι ηλικιωμένοι μέσα στην αναστάτωση τους δεν αντιλαμβάνονται ότι συνομιλούν με συνεργούς των δραστών και όχι με τους συγγενείς τους. Οι λόγοι που επικαλούνται οι δράστες για να αποσπάσουν χρήματα είναι συνήθως η εξόφληση ενός χρέους, η πληρωμή ασφαλιστηρίων συμβολαίων, η αγορά ηλεκτρικών συσκευών, ανταλλακτικών αυτοκινήτων κ.λπ., για λογαριασμό «δήθεν» συγγενικών προσώπων.

Μία ακόμα απάτη, είναι αυτή με το πρόσχημα ενός τροχαίου ατυχήματος. Οι δράστες πραγματοποιούν αιφνιδιαστικές τηλεφωνικές κλήσεις σε αυτούς (κυρίως πρωινές και απογευματινές ώρες), προσποιούμενοι άλλοτε τους νοσοκομειακούς γιατρούς και άλλοτε τους δικηγόρους ή αστυνομικούς, υποστηρίζοντας ψευδώς ότι, στενό συγγενικό τους πρόσωπο (συνήθως τέκνο τους) έχει προκαλέσει με υπαιτιότητά του τροχαίο ατύχημα, με συνέπεια τον θανάσιμο ή βαρύτατο τραυματισμό συνήθως ανήλικου παιδιού.

Προκειμένου να αποφευχθεί η φυλάκιση του συγγενικού τους προσώπου και να απεμπλακεί από τις επικείμενες ποινικές συνέπειες, απαιτούν την καταβολή σημαντικών χρηματικών ποσών, το ύψος των οποίων ποικίλλει, προσαρμοζόμενα σε κάθε υπόθεση ανάλογα με τη δεκτικότητα και την ευπιστία των θυμάτων.

Για να γίνουν πιο πειστικοί, έτεροι συνεργάτες παρεμβάλλονται στην τηλεφωνική επικοινωνία, αναλόγως του φύλου του συγγενικού τους προσώπου, προσποιούμενοι αυτό, εκλιπαρώντας για βοήθεια και ασκώντας αφόρητη ψυχολογική πίεση στα θύματα.

Στη συνέχεια και εφόσον τα θύματα έχουν πεισθεί, είτε εμφανίζονται στην οικία τους για την παραλαβή των χρημάτων, είτε δίνουν ραντεβού σε προκαθορισμένο από τους δράστες τόπο και χρόνο, πλησίον της οικίας.

Επισημαίνεται ότι στα τροχαία ατυχήματα ακολουθούνται πάντα από τις αστυνομικές Αρχές οι νόμιμες και προβλεπόμενες ενέργειες, υπό την καθοδήγηση των κατά τόπους Εισαγγελικών Αρχών και σε καμία περίπτωση δεν υφίστανται παρέκκλιση από αυτές, με την καταβολή χρηματικών ποσών.

Στο χώρο εργασίας 

Στο εταιρικό περιβάλλον το Vishing είναι πιθανόν να χρησιμοποιηθεί για την κλοπή διαπιστευτηρίων. Όπως αναφέρει η ESET στην επίσημη ιστοσελίδα της, το FBI έχει προειδοποιήσει πολλές φορές για τέτοιες επιθέσεις. Τον Αύγουστο του 2020, περιέγραψε μια εξελιγμένη επιχείρηση στην οποία οι κυβερνοεγκληματίες μελέτησαν με λεπτομέρεια τους στόχους τους και στη συνέχεια τους κάλεσαν  το τηλέφωνο προσποιούμενοι ότι τηλεφωνούν από το τμήμα IT. Τα θύματα ενθαρρύνθηκαν να συμπληρώσουν τα στοιχεία σύνδεσης τους σε ένα website ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί ώστε να μοιάζει με τη σελίδα σύνδεσης στο VPN της εταιρείας. Αυτά τα διαπιστευτήρια χρησιμοποιήθηκαν στη συνέχεια για πρόσβαση σε βάσεις δεδομένων της εταιρείας για την κλοπή προσωπικών στοιχείων των πελατών.

Τέτοιες επιθέσεις είναι πιο συνηθισμένες εν μέρει χάρη στη μαζική στροφή προς την απομακρυσμένη εργασία κατά τη διάρκεια της πανδημίας, προειδοποίησε το FBI. Στην πραγματικότητα, το FBI αναγκάστηκε να εκδώσει μια ακόμα προειδοποίηση τον Ιανουάριο του 2021 για μια επιχείρηση στην οποία παρόμοιες τεχνικές χρησιμοποιήθηκαν ώστε οι κυβερνοεγκληματίες να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο.

Μια γνωστή επίθεση κατά της εταιρείας Twitter, στην οποία εργαζόμενοι εξαπατήθηκαν από vishers για να αποκαλύψουν τα στοιχεία σύνδεσής τους, δείχνει ότι ακόμη και οι εταιρείες τεχνολογίας μπορούν να πέσουν θύματα μιας επίθεσης. Σε αυτήν την περίπτωση, η πρόσβαση χρησιμοποιήθηκε για την παραβίαση λογαριασμών διάσημων χρηστών του Twitter για τη διανομή μιας απάτης με κρυπτονομίσματα.

Ακολουθούν μερικές τυπικές απάτες

Απάτες με τεχνική υποστήριξη: Στην απάτη τεχνικής υποστήριξης, τα θύματα συχνά προσεγγίζονται από κάποιον που προσποιείται ότι καλεί από τον τηλεπικοινωνιακό πάροχο ή από έναν γνωστό προμηθευτή λογισμικού ή υλικού. Οι απατεώνες θα ισχυριστούν ότι βρήκαν ένα πρόβλημα στον υπολογιστή σας και, στη συνέχεια, θα ζητήσουν αμοιβή (και τα στοιχεία της κάρτας σας) για να το επιδιορθώσουν. Μερικές φορές, η διαδικασία περιλαμβάνει και λήψη κακόβουλου λογισμικού εν αγνοία του θύματος.

Αποστολή μηνυμάτων σε μεγάλο αριθμό τηλεφωνικών αριθμών – Wardialing: Αυτή είναι η πρακτική της αποστολής αυτοματοποιημένων φωνητικών μηνυμάτων σε μεγάλο αριθμό θυμάτων, και συνήθως προσπαθεί να τους τρομάξει ώστε να καλέσουν πίσω – για παράδειγμα ισχυριζόμενοι ότι τα θύματα έχουν απλήρωτους λογαριασμούς στην εφορία ή άλλα πρόστιμα.

Telemarketing: Μια άλλη δημοφιλής τακτική είναι το τηλεφώνημα στο οποίο ο απατεώνας ισχυρίζεται ότι έχετε κερδίσει ένα έπαθλο. Το μόνο πρόβλημα είναι ότι απαιτείται χρηματική προκαταβολή προτού το θύμα μπορεί να λάβει το βραβείο.

hishing/smishing: Όπως αναφέρθηκε, οι απάτες μπορούν να ξεκινήσουν με ένα ψεύτικο email ή ένα ψεύτικο SMS, ενθαρρύνοντας τον χρήστη να καλέσει έναν αριθμό. Μια δημοφιλής απάτη είναι κάποιο email από την εταιρεία «Amazon» που ισχυρίζεται ότι κάτι δεν πάει καλά με μια πρόσφατη παραγγελία. Καλώντας τον αριθμό, το θύμα θα συνδεθεί τελικά με τον απατεώνα.

Συμβουλές για την αποφυγή εξαπάτησης

Με αφορμή περιστατικά εξαπάτησης πολιτών, σε διάφορες περιοχές της χώρας, από επιτήδειους που προσεγγίζουν κυρίως άτομα τρίτης ηλικίας και με διάφορα προσχήματα και τεχνάσματα τους αποσπούν χρηματικά ποσά, η Ελληνική Αστυνομία συνιστά:

• Να μην πείθεστε εύκολα από άτομα, τα οποία σας “πλησιάζουν” ως γνωστοί συγγενικών – φιλικών προσώπων.
• Να είστε ιδιαίτερα επιφυλακτικοί σε άγνωστα άτομα που επιχειρούν με διάφορα προσχήματα και τεχνάσματα να εισέλθουν στην οικία σας.
• Στην περίπτωση αυτή, να προσέχετε τα προσωπικά σας αντικείμενα, προκειμένου να αποφευχθεί το ενδεχόμενο αφαίρεσής τους με τη μέθοδο της απασχόλησης.
• Να είστε ιδιαίτερα επιφυλακτικοί όταν άγνωστοι προσπαθήσουν να σας πείσουν για την καταβολή χρηματικού ποσού, με το πρόσχημα επείγουσας ανάγκης συγγενικού – φιλικού προσώπου (π.χ. νοσηλεία σε νοσοκομείο). Το ίδιο μπορεί να προσπαθήσουν και τηλεφωνικά. Για τους ίδιους λόγους να μην ενδίδετε σε προτροπές για συνάντηση (ραντεβού κ.λπ.).
• Σε περιπτώσεις που άγνωστοι επικαλούνται έκτακτη ανάγκη γνωστού – συγγενικού σας προσώπου, να επιδιώκετε πάντα οι ίδιοι να επικοινωνείτε τηλεφωνικά με το γνωστό – συγγενικό σας πρόσωπο, προς επιβεβαίωση των όσων επικαλούνται. Η επικοινωνία να γίνεται με δικό σας τηλέφωνο και κατόπιν δικής σας πρωτοβουλίας και να μην δέχεστε να μιλάτε με άτομο, το οποίο κάλεσαν οι άγνωστοι.
• Σε κάθε περίπτωση, να δηλώνετε ότι δεν πρόκειται να παραδώσετε χρήματα, εάν δεν εμφανιστούν οι γνωστοί – συγγενείς σας.
• Να μην δέχεστε σε καμία περίπτωση άγνωστα άτομα να σας οδηγήσουν σε Πιστωτικό Κατάστημα ή ΑΤΜ για ανάληψη χρηματικού ποσού.
• Να μην πείθεσθε εύκολα σε ευκαιριακές αγορές προϊόντων που σας προτείνουν άγνωστα άτομα, ιδιαίτερα δε δίχως να δείτε πρώτα τα προϊόντα αυτά.
• Να μην πείθεστε από άγνωστους, οι οποίοι εμφανίζονται ως υπάλληλοι Δημόσιας Υπηρεσίας ή άλλου φορέα για την επιδιόρθωση κάποιου τεχνικού προβλήματος, εάν δεν τους έχετε εσείς προηγουμένως καλέσει.
• Να μην πείθεστε όταν άγνωστοι σας ζητούν να καταβάλλετε χρήματα για οφειλές γνωστών ή συγγενικών προσώπων σε δημόσιες υπηρεσίες ή σε καταστήματα-εταιρείες για αγορά αγαθών-προσφορά υπηρεσιών.
• Επισημαίνεται ότι νοσοκομεία ή δημόσιες υπηρεσίες δεν χρησιμοποιούν την πρακτική που θέλει υπάλληλοί τους να μεταβαίνουν σε οικίες ή σε δημόσιους χώρους και να ζητούν από πολίτες την καταβολή χρημάτων για υπηρεσίες που παρέχουν.
• Να έχετε πάντα διαθέσιμους τους τηλεφωνικούς αριθμούς, με τους οποίους πρέπει να επικοινωνήσετε σε περίπτωση ανάγκης (Αστυνομία, Πυροσβεστική, Νοσοκομεία, στενοί συγγενείς κ.ά.).
• Προσπαθήστε να συγκρατήσετε τα χαρακτηριστικά των δραστών, καθώς και τα οχήματα με τα οποία κινούνται (αριθμό κυκλοφορίας, μάρκα οχήματος, χρώμα κ.λπ.), για να βοηθήσετε το έργο των διωκτικών αρχών.
• Να ενημερώνετε πάντα τις αστυνομικές Αρχές, ακόμη και σε περίπτωση απόπειρας απάτης σε βάρος σας.

{gallery}10333{/gallery}