Απάτη «SIM Swapping»· Μια νέα μορφή ηλεκτρονικού εγκλήματος
Όλο και πιο συχνά πλέον, οι πολίτες χρησιμοποιούν ηλεκτρονικά μέσα για τη διενέργεια και πραγματοποίηση καθημερινών τους συναλλαγών. Ωστόσο, όσο περισσότερο διευρύνεται ο τεχνολογικός τομέας τόσο πιο συχνά κάνουν την εμφάνιση τους νέες μορφές εγκληματικής συμπεριφοράς, όπως είναι η ηλεκτρονική απάτη μέσω «sim swapping». Από τι αρχές του 2020 έχουν γίνει στη Δίωξη Ηλεκτρονικού Εγκλήματος παραπάνω από 40 καταγγελίες πολιτών, οι οποίοι υπήρξαν θύματα της απάτης αυτής, χάνοντας στις περισσότερες περιπτώσεις καταθέσεις μιας ολόκληρης ζωής.
Είναι ευρέως γνωστό ότι η χρήση του αριθμού του κινητού τηλεφώνου αποτελεί ένα κύριο στοιχείο για την ταυτοποίηση του κατόχου του, πρακτική την οποία ακολουθούν ασφαλώς και οι τράπεζες, όταν πρόκειται να διασφαλίσουν τις ηλεκτρονικές συναλλαγές των πελατών τους. Ειδικότερα, τα τραπεζικά ιδρύματα χρησιμοποιούν την υπηρεσία αποστολής κωδικών μίας χρήσης, τους λεγόμενους OTP, αποσκοπώντας στην ενίσχυση της ασφάλεια των ηλεκτρονικών συναλλαγών.
Από την άλλη, η αντικατάσταση ή αλλαγή της κάρτας SIM αποτελεί μια νόμιμη και συχνή υπηρεσία που παρέχουν οι διάφοροι πάροχοι κινητής τηλεφωνίας στους συνδρομητές τους, ώστε να διατηρηθεί ο προηγούμενος αριθμός τηλεφώνου τους σε περίπτωση απώλειας ή κλοπής της συσκευής τους ή ακόμα και λόγω χρήσης διαφορετικού μεγέθους κάρτας SIM. Με την ενεργοποίηση της νέας κάρτας SIM, η παλιά κάρτα αυτόματα απενεργοποιείται και οι υπηρεσίες κινητής τηλεφωνίας, δηλαδή κλήσεις, γραπτά μηνύματα (SMS) και η πρόσβαση στο Διαδίκτυο πραγματοποιούνται εφεξής από την καινούργια κάρτα που λειτουργεί με τον ίδιο αριθμό.
Πως λειτουργεί, επομένως, η απάτη «sim swapping»?
Οι επίδοξοι δράστες χρησιμοποιούν τη δυνατότητα των παρόχων κινητής τηλεφωνίας για αντικατάσταση της κάρτας SIM. Παρουσιάζονται, λοιπόν, σε ένα κατάστημα κινητής τηλεφωνίας του παρόχου και χρησιμοποιώντας συνήθως ψεύτικη εξουσιοδότηση ή πλαστή ταυτότητα ζητούν μια νέα κάρτα SIM, την οποία τοποθετούν σε ένα δικό τους τηλέφωνο. Μόλις ενεργοποιηθεί η νέα κάρτα, η παλιά, που βρίσκεται στην κατοχή του νόμιμου συνδρομητή απενεργοποιείται και έτσι όλες οι υπηρεσίες, όπως αναφέρθηκαν, λαμβάνονται στη συσκευή που βρίσκεται στην κατοχή του δράστη. Γι’ αυτό το λόγο και πρώτη ένδειξη μιας παράνομης ενέργειας αποτελεί η μη ύπαρξη «σήματος» στο κινητό του νόμιμου κατόχου, το οποίο για ένα εύλογο χρονικό διάστημα σταματά να λειτουργεί. Με αυτό τον τρόπο, δίνεται η δυνατότητα στο δράστη να διεξάγει παράνομες δραστηριότητες εν αγνοία του νόμιμου συνδρομητή, υποκλέπτοντας π.χ. κωδικούς μιας χρήσης ή μηνυμάτων επαλήθευσης ασφάλειας, όπως οι κωδικοί OTP.
Σε ένα πρώτο στάδιο,βέβαια, οι δράστες έχουν υποκλέψει τους κωδικούς web-banking συνήθως μέσω ενός ηλεκτρονικού μηνύματος “ψαρέματος” (phishing) ή μέσω κακόβουλου λογισμικού (trojan/malware) που έχουν εγκαταστήσει στον υπολογιστή του θύματος και έπειτα προχωρούν στη μη εξουσιοδοτημένη αντικατάσταση της κάρτας sim στο κατάστημα του παρόχου. Με την ολοκλήρωση και των δύο σταδίων, οι δράστες έχουν τη δυνατότητα να ολοκληρώσουν κάθε σχετική τραπεζική συναλλαγή μεταφοράς χρημάτων σε λογαριασμούς τρίτων, εντός και εκτός Ελλάδος και να καταχωρούν εντολές για παραλαβή μετρητών χωρίς χρήση κάρτας μέσω αυτομάτων μηχανημάτων ανάληψης (ΑΤΜ), αποσπώντας καθ’ αυτό τον τρόπο χρήματα από τους λογαριασμούς του θύματος.
Ασφαλώς, οι ανωτέρω πράξεις αξιολογούνται ως ποινικά κολάσιμες πράξεις και κατά περίπτωση στοιχειοθετούν αδικήματα του Ποινικού Κώδικα, όπως είναι αυτό της απάτης (α. 386 ΠΚ), της απάτης με ηλεκτρονικό υπολογιστή (α. 386Α ΠΚ) καθώς και της παραβίασης των διατάξεων του ν. 4624/2019 για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα.
Όπως σημειώθηκε και στην από 18/05/2020 Ανακοίνωση της Ελληνικής Ένωσης Τραπεζών, έχουν προβλεφθεί ορισμένα μέτρα και χρήσιμες συμβουλές προς τους συναλλασσόμενους πολίτες. Ειδικότερα, έχει επισημανθεί ότι σε περίπτωση που το κινητό του συνδρομητή σταματήσει να λειτουργεί για ασυνήθιστους λόγους, θα πρέπει να επικοινωνήσει αμέσως με τον πάροχο κινητής τηλεφωνίας. Επιπλέον, εάν έχει ήδη πέσει θύμα απάτης τύπου «SIM Swapping» ή έχει διαπιστώσει συναλλαγές οι οποίες δεν έχουν την απαιτούμενη έγκρισή του, θα πρέπει να ενημερώσει άμεσα την Τράπεζά.
Επιπρόσθετα, έχουν προβλεφθεί ορισμένα μέτρα φύλαξης τα οποία θα πρέπει να λαμβάνουν οι συνδρομητές όπως: α) να μην αποκαλύπτουν τον αριθμό του κινητού τηλεφώνου τους στα μέσα κοινωνικής δικτύωσης, β) να μην απαντούν ποτέ σε άγνωστα μηνύματα ή κλήσεις που ζητούν τα στοιχεία λογαριασμών και τον καταχωρημένο αριθμό του κινητού τηλεφώνου, γ) να μην ακολουθούν συνδέσμους (links) ιστοσελίδων και μην ανοίγουν συνημμένα αρχεία που μπορεί να λάβουν από άγνωστους αποστολείς ηλεκτρονικού ταχυδρομείου και δ) να μην κοινοποιούν σε κανέναν και να μην εισάγουν σε άγνωστες ιστοσελίδες, τους κωδικούς e-banking (username και password) ή αριθμούς καρτών. Τέλος, προτρέπουν τους χρήστες να εγγράφονται στις υπηρεσίες των οργανισμών που παρέχουν ειδοποιήσεις SMS και ηλεκτρονικού ταχυδρομείου όταν εκτελούνται συναλλαγές, να έχουν πάντα τις τελευταίες ενημερώσεις λειτουργικού και εφαρμογών οι συσκευές, που χρησιμοποιούν, όπως ο υπολογιστής, τα κινητά τηλέφωνα και τα tablets καθώς και να ελέγχουν συχνά τις κινήσεις των λογαριασμών τους.
Ανάλογες κατευθύνσεις έχουν δοθεί και στα τραπεζικά ιδρύματα σχετικά με τη διασφάλιση της προστασίας των συναλλαγών των πελατών τους. Πιο συγκεκριμένα, οι τράπεζες, δυστυχώς, δεν μπορούν να έχουν γνώση πότε ένας συνδρομητής έχει πέσει θύμα απάτης ή αν έχει τοποθετηθεί κακόβουλο λογισμικό στον υπολογιστή του, με αποτέλεσμα την υποκλοπή των κωδικών του. Παρόλα αυτά, τα τραπεζικά ιδρύματα λαμβάνουν ισχυρά μέτρα προστασίας των ηλεκτρονικών συναλλαγών, ακολουθώντας τις τρέχουσες τεχνικές και τεχνολογικές εξελίξεις, καθώς και τις πιο αποτελεσματικές πρακτικές ασφάλειας των στοιχείων και πληροφοριών.
Όπως γίνεται αντιληπτό, για την αντιμετώπιση αυτού του νέου φαινομένου απάτης θα πρέπει να υπάρξει συνεργασία όλων των εμπλεκόμενων μερών, με σκοπό την αποτροπή ή την πρόληψη τους. Να σημειωθεί ότι έχει συσταθεί ήδη στην Ελληνική Ένωση Τραπεζών ειδική Επιτροπή Πρόληψης και Αντιμετώπισης της Απάτης στα Μέσα και Συστήματα Πληρωμών, η οποία συνεργάζεται στενά με τη Δίωξη Ηλεκτρονικού Εγκλήματος ώστε να απαλειφθούν τέτοιας μορφής εγκληματικές ενέργειες.