Μαζί με τις ηλεκτρονικές συναλλαγές αυξάνονται και οι απάτες με την υποκλοπή των στοιχείων των πιστωτικών ή χρεωστικών καρτών. Σύμφωνα με...
την Τράπεζα της Ελλάδος, το 2024 καταγράφηκαν 398.723 περιστατικά απάτης με κάρτες, εκ των οποίων τα 349.000 κατά τις συναλλαγές στο Διαδίκτυο, και τα ποσά που υπεκλάπησαν ανήλθαν σε 22,6 εκατ. ευρώ. Ο πιο διαδεδομένος τρόπος υποκλοπής των στοιχείων της κάρτας ή ακόμη και των στοιχείων ενός τραπεζικού λογαριασμού είναι οι ψεύτικες ιστοσελίδες και το δέλεαρ για την προσέλκυση των θυμάτων η εξαιρετικά χαμηλή τιμή κάποιου προϊόντος. Σε αντίθεση με την πεποίθηση ότι θύματα είναι μεγάλης ηλικίας άνθρωποι, τα στοιχεία δείχνουν ότι τα περιστατικά απάτης αφορούν κυρίως νέους 18 έως 27 ετών.
Ψηφιακή λεία 22,6 εκατ. ευρώ σε ένα χρόνο
Τις 349.000 έφτασαν το 2024 τα περιστατικά απάτης με κάρτες στο Διαδίκτυο, αριθμός αυξημένος κατά 4% σε σχέση με το 2023. Εκτός από την προφανή περίπτωση απώλειας της κάρτας και χρήσης της από τρίτο, η υποκλοπή των στοιχείων κατά τις συναλλαγές στο Διαδίκτυο αποτελεί τον πιο διαδεδομένο τρόπο απάτης σε ό,τι αφορά τις κάρτες και η λεία των απατεώνων έφτασε το 2024 στα 17,7 εκατ. ευρώ.
Αυτό προκύπτει από στοιχεία της Τράπεζας της Ελλάδος, βάσει των οποίων, σε αντίθεση με τις αγορές στο Διαδίκτυο, οι απάτες με κάρτες μειώθηκαν στα φυσικά σημεία, δηλαδή κατά τις αγορές μέσω τερματικών POS. Αυξητική ωστόσο ήταν η τάση στις απάτες στα ATM, ο αριθμός των οποίων αν και αυξήθηκε οριακά μόλις κατά 2%, η αξία τους αυξήθηκε κατά 22% στα 2,4 εκατ. ευρώ. Σύμφωνα με τα στοιχεία της ΤτΕ, συνολικά το 2024 εντοπίστηκαν 398.723 περιστατικά απάτης με κάρτες, καταγράφοντας μικρή μείωση του αριθμού τους κατά 3% σε σχέση με το 2023, ενώ τα ποσά που υπεκλάπησαν ανήλθαν σε 22,6 εκατ. ευρώ καταγράφοντας μείωση κατά 5% σε σχέση με το 2023. Τα νούμερα αυτά αντιστοιχούν σε 1 συναλλαγή απάτης ανά 6.300 συναλλαγές, ποσοστό μειωμένο κατά 14% συγκριτικά με το 2023.
Online αγορές
Η αύξηση της απάτης χωρίς τη φυσική κάρτα (card not present) που αναφέρεται κυρίως στις συναλλαγές μέσω Διαδικτύου έχει να κάνει με την εκτίναξη των online αγορών. Αυτό γιατί σύμφωνα με στοιχεία από τις τράπεζες ο πιο διαδεδομένος τρόπος υποκλοπής των στοιχείων της κάρτας ή ακόμη και των στοιχείων ενός τραπεζικού λογαριασμού είναι οι ψεύτικες ιστοσελίδες (fake sites). Το δέλεαρ σε αυτές τις περιπτώσεις είναι κατά κανόνα η εξαιρετικά φθηνή τιμή ενός προϊόντος έτσι ώστε ο υποψήφιος αγοραστής να «τσιμπήσει» και να επισκεφθεί τη συγκεκριμένη ιστοσελίδα για να πραγματοποιήσει μια αγορά. Η διαδικασία υποκλοπής από εκεί και πέρα είναι σχετικά απλή, καθώς ο απατεώνας είναι πλέον σε θέση να υποκλέψει τα στοιχεία της κάρτας σας καθώς τα πληκτρολογείτε στο τελικό στάδιο της αγοράς του προϊόντος.
Οι τράπεζες είναι σε θέση να απορρίπτουν πολλές συναλλαγές αμφιβόλου αξιοπιστίας σε ό,τι αφορά την ιστοσελίδα του εμπόρου, αλλά πολλές φορές αυτό δεν είναι αυτονόητο όταν τέτοιες ιστοσελίδες μπορούν να «ανέβουν» και να «κλείσουν» ανά πάσα στιγμή. Για αυτό οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί κυρίως σε ό,τι αφορά τις ιστοσελίδες που επισκέπτονται για την αγορά προϊόντων.
Σε ορισμένες περιπτώσεις οι χάκερ εγκαθιστούν κακόβουλο λογισμικό στις σελίδες πληρωμών σε ιστοσελίδες ηλεκτρονικού εμπορίου. Αυτό είναι αόρατο για τον χρήστη, αλλά υποκλέπτει τα στοιχεία της κάρτας καθώς κάποιος τα πληκτρολογεί. Και σε αυτή την περίπτωση δεν υπάρχουν πολλά που μπορούν να κάνουν οι χρήστες για να παραμείνουν ασφαλείς, εκτός από το να ψωνίζουν μόνο από γνωστές εταιρείες και ιστοσελίδες, οι οποίες είναι κατά κανόνα πιο ασφαλείς.
Στη γενιά Χ η εξαπάτηση μέσω ιστοσελίδας φθάνει στο 60%, ενώ οι Millennials είναι πιο ευάλωτοι στα social media σε ποσοστό 75%.
Κρυφή κάμερα
Οσον αφορά την υποκλοπή των στοιχείων της κάρτας κατά τη χρήση της στο ΑΤΜ, ο συνήθης τρόπος είναι η μέθοδος του skimming, η τοποθέτηση δηλαδή στη σχισμή στην οποία βάζουμε την κάρτα στο ΑΤΜ ενός μηχανισμού αναγνώρισης που υποκλέπτει τα στοιχεία της κάρτας. Η τοποθέτηση κρυφής κάμερας για την υποκλοπή του PIN είναι το κερασάκι στην τούρτα.
Κόντρα μάλιστα στην εδραιωμένη αντίληψη ότι οι μεγαλύτερες γενιές είναι πιο ευάλωτες στις διαδικτυακές απάτες μέσω καρτών, είναι τα ευρήματα πρόσφατης έρευνας της Revolut, που αποκαλύπτει ότι τα περιστατικά απάτης που διαπιστώνονται με κάρτες, έχουν κυρίως ως στόχο τους νέους ανθρώπους και συγκεκριμένα την ηλικιακή κατηγορία που ανήκει στην Gen Z (18-27 ετών). Αυτή η κατηγορία αποτέλεσε το 32% των περιστατικών απάτης που αναφέρθηκαν κατά το τελευταίο έτος και μαζί με τους Millennials, δηλαδή αυτούς από 28 έως 43 ετών, αντιπροσωπεύουν το 53% των περιπτώσεων εξαπάτησης που αναφέρθηκαν στη Revolut τους τελευταίους 12 μήνες στη χώρα μας. Οι μεγαλύτερες γενιές (Gen X και Boomers) αντιπροσώπευαν το 42% των περιστατικών απάτης. Οπως μάλιστα σημειώνει η Revolut, κοινός παρονομαστής στις απάτες που αντιμετώπισαν όλες οι ηλικιακές ομάδες ήταν η προέλευση. Οι απάτες στα μέσα κοινωνικής δικτύωσης και σε ιστοσελίδες αποτέλεσαν τη συχνότερη πηγή.
Οι απάτες μέσω ιστοσελίδων και οι τηλεφωνικές κλήσεις ήταν κοινές σε όλες τις ηλικιακές ομάδες, με έμφαση ωστόσο στη γενιά Χ, όπου η εξαπάτηση σε ιστοσελίδα διαπιστώθηκε σε ποσοστό 60%, ενώ οι Millennials είναι πιο ευάλωτοι στις απάτες μέσω social media σε ποσοστό 75%.
Στη διεθνή πρακτική των κυβερνοαπατεώνων δεν λείπουν και οι περιπτώσεις υποκλοπής των στοιχείων καρτών απευθείας από τις εταιρείες, όπως ένα μεγάλο ή μικρότερο κατάστημα ηλεκτρονικού εμπορίου, ένα ταξιδιωτικό γραφείο κ.ά., που έχουν αποθηκεύσει τα στοιχεία των πελατών τους. Πλέον όμως οι μεγάλες εταιρείες αποθηκεύουν αυτά τα στοιχεία σε μορφή tokenization, χωρίς δηλαδή να αποκαλύπτονται τα πλήρη στοιχεία της κάρτας καθιστώντας αυτή τη μορφή απάτης λιγότερο αποτελεσματική.
Καθώς η ζωή μας και η επικοινωνία με κάθε δημόσιο ή ιδιωτικό φορέα γίνεται πλέον ψηφιακά και οι συναλλαγές εκτελούνται ηλεκτρονικά, εμπλουτίζεται καθημερινά και η φαντασία των επιτήδειων, που χρησιμοποιούν κάθε ευφάνταστη μέθοδο για να παραπλανήσουν τον κάτοχο της κάρτας ή του τραπεζικού λογαριασμού. Εκτός από τα μηνύματα των ΕΛΤΑ ή άλλων εταιρειών αποστολής δεμάτων, θραύση κάνουν και τα μηνύματα από δημοφιλείς εταιρείες παροχής υπηρεσιών, όπως η συνδρομητική τηλεόραση, που ενημερώνουν ότι τα χρήματα της μηνιαίας συνδρομής δεν έχουν πληρωθεί και ζητούν από τον πελάτη να μπει σε έναν σύνδεσμο προκειμένου να τακτοποιήσει την οφειλή του.
Δήθεν επιστροφή χρημάτων
Αντίστοιχα διαδεδομένα είναι τα μηνύματα από την ΑΑΔΑΕ ή τον ΕΦΚΑ, που ενημερώνουν τους ασφαλισμένους για το δικαίωμά τους σε επιστροφή χρημάτων, έχοντας πετύχει σε πολλές περιπτώσεις να υπεξαιρέσουν μεγάλα ποσά, ενώ κλασική μέθοδος παραπλάνησης είναι και η περίπτωση που ο απατεώνας προσποιείται τον λογιστή και προσφέρεται να βοηθήσει στην υποβολή αίτησης για ένα επίδομα που κάποιος δικαιούται να λάβει. Στα αναρίθμητα περιστατικά που καταγράφονται από την καθημερινή εμπειρία πελατών και τραπεζών, δεν λείπουν φυσικά και τα παραπλανητικά μηνύματα από τις τράπεζες, που ζητούν από τον κάτοχο του λογαριασμού να πιστοποιήσει τα στοιχεία του.
Πώς «ξεπλένουν» τα κλοπιμαία και σβήνουν τα ίχνη τους
Το αίτημα του γενικού εισαγγελέα του Οφενμπουργκ έφτασε στις δικαστικές αρχές της Θεσσαλονίκης το 2022. Καλούσε να εξεταστεί ως ύποπτη διάπραξης ηλεκτρονικής απάτης μια 23χρονη κάτοικος της Αγχιάλου. Λίγους μήνες νωρίτερα, φέρεται να είχε αποσπάσει χρήματα από τον τραπεζικό λογαριασμό ενός Γερμανού υποδυόμενη υπάλληλο της Microsoft. Εκείνος παρείχε πρόσβαση στον ηλεκτρονικό του υπολογιστή, υποθέτοντας ότι με αυτόν τον τρόπο θα τον θωράκιζε από πιθανούς εισβολείς και κακόβουλα λογισμικά, για να διαπιστώσει όμως αργότερα ότι 2.000 ευρώ από τις καταθέσεις του είχαν κάνει φτερά.
Ολα τα στοιχεία που προσκόμισε ο Γερμανός εισαγγελέας, μεταξύ των οποίων και το IBAN στο οποίο πραγματοποιήθηκε το έμβασμα, έστρεψαν τις έρευνες στη Θεσσαλονίκη. Οταν έφτασε η ώρα των εξηγήσεων, η 23χρονη δήλωσε αθώα. Ανέφερε στο υπόμνημά της ότι εργαζόταν σε ένα κατάστημα με ναργιλέδες, αλλά το επίμαχο διάστημα που σημειώθηκε η απάτη βρισκόταν σε προχωρημένη εγκυμοσύνη και αντιμετώπιζε επιπλοκές. Υποστήριξε ακόμη ότι λίγες ημέρες προτού αποσπαστούν τα χρήματα από τον λογαριασμό του Γερμανού υπηκόου, η ίδια είχε δεχτεί ένα ύποπτο μήνυμα στο κινητό της. Εμοιαζε να είχε σταλεί από την τράπεζά της και την καλούσε να πατήσει ένα σύνδεσμο και να στείλει εκεί αντίγραφο της ταυτότητάς της και μια φωτογραφία της προς ταυτοποίηση των στοιχείων της.
Ισχυρίζεται ότι ακολούθησε πιστά τις οδηγίες, αλλά μετέπειτα σε επικοινωνία που είχε με την τράπεζα τής επισήμαναν ότι επρόκειτο για απάτη. Σε καμία περίπτωση δεν θα της ζητούσαν να προβεί σε αντίστοιχη ενέργεια, ούτε θα έστελναν κάποιο σχετικό sms, διευκρίνισαν από την τράπεζα.
Κατά την 23χρονη, με αυτόν τον τρόπο άγνωστοι υπέκλεψαν τα στοιχεία της, άνοιξαν άλλο λογαριασμό και εξαπάτησαν το θύμα στη Γερμανία. Οι ισχυρισμοί της τελικά έγιναν δεκτοί από τις εισαγγελικές αρχές στην Ελλάδα και η υπόθεση μπήκε στο αρχείο.
Τα κυκλώματα συχνά χρησιμοποιούν ανυποψίαστους πολίτες ως «ενδιάμεσους» διακίνησης της λείας τους.
Αυτή η ιστορία είναι ενδεικτική των πρακτικών που μπορεί να χρησιμοποιήσουν οι κυβερνοεγκληματίες για να θολώσουν τη διαδρομή του χρήματος και να καλύψουν τα ίχνη τους. «Συχνά οι δράστες βρίσκονται σε άλλη χώρα και τα χρήματα καταλήγουν στο εξωτερικό», σημειώνει ο δικηγόρος Θοδωρής Καραγιάννης, που εκπροσώπησε την 23χρονη. «Τα κυκλώματα αρχικά υποκλέπτουν τα προσωπικά στοιχεία των θυμάτων, συνήθως αποστέλλοντας ένα “εικονικό” email από τραπεζικό ίδρυμα ή άλλο δημόσιο φορέα που τους ζητάνε τα στοιχεία επειδή κινδυνεύουν από απάτη».
Σε παρόμοιους μπελάδες είχε μπει και ένας συνταξιούχος από την Κόρινθο. Ελαβε ένα email δήθεν από την τράπεζά του, το οποίο ανέφερε ότι είχε αποκλειστεί προσωρινά από τον λογαριασμό του και ότι έπρεπε να επιβεβαιώσει τα στοιχεία του. Θεώρησε ότι δεν υπήρχε κάτι παράξενο, άλλωστε το μήνυμα είχε το λογότυπο της τράπεζας. Εάν έριχνε, όμως, μια πιο προσεκτική ματιά στην κατάληξη της διεύθυνσης του email θα διαπίστωνε ότι αυτό είχε πιθανότατα σταλεί από τη Χιλή.
Ακολουθώντας τις οδηγίες κατά γράμμα μεταφέρθηκε σε μια ιστοσελίδα-κλώνο της τράπεζάς του και καταχώρισε τους κωδικούς του. Λίγες ημέρες αργότερα, του εστάλη έμβασμα 10.000 ευρώ από έναν κάτοικο στη Ρόδο ο οποίος επίσης είχε πέσει θύμα ηλεκτρονικής απάτης.
Οι δράστες είχαν επιχειρήσει να χρησιμοποιήσουν τον λογαριασμό του συνταξιούχου, στον οποίο φαίνεται πως είχαν αποκτήσει πρόσβαση, ως ενδιάμεσο σταθμό διακίνησης της λείας τους. Σκοπός τους ήταν να τα μεταφέρουν διαδοχικά σε άλλους λογαριασμούς μέχρι να χαθούν τελείως τα ίχνη τους και μετά να προβούν σε αναλήψεις. Ο συνταξιούχος θεωρήθηκε ύποπτος για ξέπλυμα χρήματος και ταλαιπωρήθηκε για πάνω από ένα χρόνο μέχρι να «ξεπαγώσει» ο λογαριασμός του. Με εισαγγελική διάταξη απορρίφθηκε η έγκληση εις βάρος του, γιατί διαπιστώθηκε ότι δεν είχε καμία ποινική ευθύνη.
Ισχυρίζεται ότι ακολούθησε πιστά τις οδηγίες, αλλά μετέπειτα σε επικοινωνία που είχε με την τράπεζα τής επισήμαναν ότι επρόκειτο για απάτη. Σε καμία περίπτωση δεν θα της ζητούσαν να προβεί σε αντίστοιχη ενέργεια, ούτε θα έστελναν κάποιο σχετικό sms, διευκρίνισαν από την τράπεζα.
Κατά την 23χρονη, με αυτόν τον τρόπο άγνωστοι υπέκλεψαν τα στοιχεία της, άνοιξαν άλλο λογαριασμό και εξαπάτησαν το θύμα στη Γερμανία. Οι ισχυρισμοί της τελικά έγιναν δεκτοί από τις εισαγγελικές αρχές στην Ελλάδα και η υπόθεση μπήκε στο αρχείο.
Τα κυκλώματα συχνά χρησιμοποιούν ανυποψίαστους πολίτες ως «ενδιάμεσους» διακίνησης της λείας τους.
Αυτή η ιστορία είναι ενδεικτική των πρακτικών που μπορεί να χρησιμοποιήσουν οι κυβερνοεγκληματίες για να θολώσουν τη διαδρομή του χρήματος και να καλύψουν τα ίχνη τους. «Συχνά οι δράστες βρίσκονται σε άλλη χώρα και τα χρήματα καταλήγουν στο εξωτερικό», σημειώνει ο δικηγόρος Θοδωρής Καραγιάννης, που εκπροσώπησε την 23χρονη. «Τα κυκλώματα αρχικά υποκλέπτουν τα προσωπικά στοιχεία των θυμάτων, συνήθως αποστέλλοντας ένα “εικονικό” email από τραπεζικό ίδρυμα ή άλλο δημόσιο φορέα που τους ζητάνε τα στοιχεία επειδή κινδυνεύουν από απάτη».
Σε παρόμοιους μπελάδες είχε μπει και ένας συνταξιούχος από την Κόρινθο. Ελαβε ένα email δήθεν από την τράπεζά του, το οποίο ανέφερε ότι είχε αποκλειστεί προσωρινά από τον λογαριασμό του και ότι έπρεπε να επιβεβαιώσει τα στοιχεία του. Θεώρησε ότι δεν υπήρχε κάτι παράξενο, άλλωστε το μήνυμα είχε το λογότυπο της τράπεζας. Εάν έριχνε, όμως, μια πιο προσεκτική ματιά στην κατάληξη της διεύθυνσης του email θα διαπίστωνε ότι αυτό είχε πιθανότατα σταλεί από τη Χιλή.
Ακολουθώντας τις οδηγίες κατά γράμμα μεταφέρθηκε σε μια ιστοσελίδα-κλώνο της τράπεζάς του και καταχώρισε τους κωδικούς του. Λίγες ημέρες αργότερα, του εστάλη έμβασμα 10.000 ευρώ από έναν κάτοικο στη Ρόδο ο οποίος επίσης είχε πέσει θύμα ηλεκτρονικής απάτης.
Οι δράστες είχαν επιχειρήσει να χρησιμοποιήσουν τον λογαριασμό του συνταξιούχου, στον οποίο φαίνεται πως είχαν αποκτήσει πρόσβαση, ως ενδιάμεσο σταθμό διακίνησης της λείας τους. Σκοπός τους ήταν να τα μεταφέρουν διαδοχικά σε άλλους λογαριασμούς μέχρι να χαθούν τελείως τα ίχνη τους και μετά να προβούν σε αναλήψεις. Ο συνταξιούχος θεωρήθηκε ύποπτος για ξέπλυμα χρήματος και ταλαιπωρήθηκε για πάνω από ένα χρόνο μέχρι να «ξεπαγώσει» ο λογαριασμός του. Με εισαγγελική διάταξη απορρίφθηκε η έγκληση εις βάρος του, γιατί διαπιστώθηκε ότι δεν είχε καμία ποινική ευθύνη.
