Απάτες ύψους 6 εκατομμυρίων ευρώ αποκάλυψε μεγάλη έρευνα της Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., που «ξήλωσε» μία από τις μεγαλύτερες εγκληματικές οργανώσεις της Ελλάδας που εξαπατούσε ανυποψίαστους πολίτες με τη μέθοδο του «phishing».
Ενδεικτικό της έκτασης της δράσης του κυκλώματος είναι ότι σχηματίστηκε δικογραφία σε βάρος 155 ατόμων, εκ των οποίων συνελήφθησαν 24 (17 άνδρες και 7 γυναίκες).
Παράλληλα, εξετάζεται ο βαθμός συμμετοχής και εμπλοκής, για περισσότερους από 1.200 δικαιούχους τραπεζικών λογαριασμών, («μουλάρια» όπως ονομάζονται), οι οποίοι λειτουργούσαν ως «μπροστινοί» για να παίρνουν τα χρήματα στους λογαριασμούς τους και να μην αποκαλύπτονται τα αρχηγικά μέλη.
Η δράση της εγκληματικής οργάνωσης στόχευε στην υποκλοπή και παράνομη πρόσβαση στους λογαριασμούς ηλεκτρονικής τραπεζικής (E-banking) των θυμάτων και ακολούθως στη μεταφορά (μέσω ενδιάμεσων προσώπων – «μουλαριών») και εκταμίευση του συνόλου του διαθέσιμου χρηματικού ποσού από τα μέλη της εγκληματικής οργάνωσης.
Ως προς το μέγεθος της δράσης τους, εξακριβώθηκε ότι έχουν διαπράξει τουλάχιστον 670 περιπτώσεις απάτης, με τη συνολική ζημία των θυμάτων να υπερβαίνει τα έξι εκατομμύρια ευρώ.
Τα μέλη της οργάνωσης προσέγγιζαν τα θύματα μέσω τηλεφωνικής επικοινωνίας, όπου παρουσιάζονταν άλλοτε ως ενδιαφερόμενοι για την παροχή υπηρεσιών ή υποψήφιοι αγοραστές προϊόντων που εντόπιζαν σε διαδικτυακές αγγελίες, και άλλοτε ως υπάλληλοι εταιρειών ή δημόσιων υπηρεσιών (ΔΕΔΔΗΕ, Εφορίας, Υπάλληλοι Δήμων, Λογιστές κ.λπ.), αναφορικά με επιστροφή χρηματικού ποσού ή χορήγηση επιδομάτων όπως «market pass», «fuel pass», «power pass» κ.τ.λ..
Στη συνέχεια, αρχικά με μεθόδους κοινωνικής μηχανικής (προφορική χειραγώγηση) και ακολούθως μέσω απατηλών υπερσυνδέσμων (phishing links) που ανακατεύθυναν σε απατηλούς ιστότοπους, οι οποίοι προσομοίαζαν σε μεγάλο βαθμό με τους αντίστοιχους των τραπεζικών ιδρυμάτων, κατάφερναν να υποκλέψουν τα διαπιστευτήρια εισόδου (username & password) και να αποκτήσουν παράνομη πρόσβαση στους λογαριασμούς ηλεκτρονικής τραπεζικής (e-banking) των θυμάτων.
Ακολούθως, οι δράστες παρέκαμπταν με διαφορετικές κατά περίπτωση μεθόδους την τελευταία δικλείδα ασφαλείας (ασφάλεια ταυτότητας δύο παραγόντων) των τραπεζικών λογαριασμών των θυμάτων και προέβαιναν σε μεταφορά του συνόλου του διαθέσιμου χρηματικού ποσού, σε τραπεζικούς λογαριασμούς στρατολογημένων ατόμων (money mules – μουλαριών).
Τέλος, εντός σύντομου χρονικού διαστήματος, έτερα μέλη της οργάνωσης προέβαιναν σε ανάληψη των αφαιρεθέντων χρηματικών ποσών από διάφορα ΑΤΜ ανά την επικράτεια, τα οποία παραδίδονταν ιεραρχικά στα ηγετικά μέλη της οργάνωσης.
Σε περιπτώσεις όπου δεν ήταν εφικτή η μεταφορά των χρημάτων σε τραπεζικούς λογαριασμούς «μουλαριών», τα μέλη της οργάνωσης, είτε ενεργοποιούσαν τις χρεωστικές κάρτες των θυμάτων, σε άυλη μορφή, στα ψηφιακά πορτοφόλια (e-wallets) επιχειρησιακών κινητών τηλεφώνων της οργάνωσης, είτε εξέδιδαν νέες κάρτες, με χρήση των οποίων στη συνέχεια προέβαιναν σε αγορές μέσω ανέπαφων συναλλαγών, από καταστήματα πώλησης κυρίως προϊόντων τεχνολογίας, τα οποία ακολούθως άλλα μέλη της οργάνωσης μεταπωλούσαν.
Αξίζει να σημειωθεί πως πρόκειται για «αναβαθμισμένες» ως προς τον τρόπο τέλεσής τους περιπτώσεις απάτης, δεδομένου πως πέρα από τις παραδοσιακές μεθόδους υποκλοπής των τραπεζικών στοιχείων (προφορική χειραγώγηση), τα μέλη της οργάνωσης είχαν αναπτύξει τεχνικές γνώσεις και δεξιότητες που απαιτούνται για την κατασκευή και διαχείριση των απατηλών ιστοσελίδων (phishing sites) και παράλληλα είχαν αποκτήσει άριστη γνώση χειρισμού των συστημάτων ηλεκτρονικής τραπεζικής (E-banking) για το σύνολο των τραπεζικών ιδρυμάτων, καθώς όπως προέκυψε, ολοκλήρωναν τη δράση τους σε πολύ σύντομο χρονικό διάστημα, από το χρόνο της υποκλοπής των στοιχείων, επιδεικνύοντας μεγάλη ευελιξία και προσαρμοστικότητα προκειμένου να πετύχουν το σκοπό τους (π.χ. παράκαμψη ελέγχου ταυτότητας δύο παραγόντων, υποκλοπή one-time password, άμεση αύξηση ορίου συναλλαγών, απόκτηση παράνομης πρόσβασης σε εφαρμογές ανταλλαγής μηνυμάτων των θυμάτων, χρήση άυλων μέσων πληρωμής κ.α.).
Πηγή: ieidiseis.gr