MY KTEO

Σάββατο 18 Ιουνίου 2022

Πώς λειτουργεί το phishing και χιλιάδες ευρώ κάνουν «φτερά» από τραπεζικούς λογαριασμούς


Εδώ και αρκετό καιρό πολλές «ηλεκτρονικές» συμμορίες έχουν κάνει την εμφάνισή τους και με γρήγορες διαδικασίες μπορούν να... ψαρεύουν στοιχεία από τραπεζικούς λογαριασμούς με αποτέλεσμα να αρπάζουν χρήματα από τα ανυποψίαστα θύματά τους.

Η διαδικασία αποκαλείται, σύμφωνα με τη Δίωξη Ηλεκτρονικού Εγκλήματος, phishing, δηλαδή ηλεκτρονικό ψάρεμα στοιχείων. Το iefimerida.gr επικοινώνησε με τη Δάφνη Σφυρή, μέλος μέλος της νομικής εταιρείας «Ψαράκης και Κεφαλάς», η οποία μας εξήγησε πως λειτουργούν οι επιτήδειοι που αρπάζουν χρήματα από τραπεζικούς λογαριασμούς με αστραπιαίες κινήσεις από… απόσταση.

«Η πρακτική του Phishing ''ηλεκτρονικό ψάρεμα στοιχείων'', χρησιμοποιεί συνήθως τα emails/sms ως μέσα για την υποκλοπή προσωπικών στοιχείων του παραλήπτη (λ.χ. κωδικοί πρόσβασης e-banking, στοιχεία πιστωτικών/χρεωστικών καρτών), προβάλλοντας ως «δόλωμα» κάποιο ψεύτικο ή παραπλανητικό πρόσχημα. Αποτελεί, δε, γεγονός ότι το φαινόμενο αυτό έχει λάβει ανησυχητικές διαστάσεις ιδιαιτέρως κατά τη διενέργεια ηλεκτρονικών τραπεζικών συναλλαγών και ως εκ τούτου οι χρήστες του διαδικτύου οφείλουν να είναι ιδιαιτέρως προσεχτικοί», ανέφερε χαρακτηριστικά η κ. Σφυρή.

Τι προβλέπει η νομοθεσία;

«Ο Ν. 4537/2018, ο οποίος ενσωμάτωσε στο ελληνικό δίκαιο την Οδηγία 2015/2366/ΕΕ (PSD II), διέπει τις υπηρεσίες πληρωμών και τις εκτελέσεις πράξεων πληρωμής με κάρτα πληρωμής ή ανάλογο μέσο. Σύμφωνα, λοιπόν, με την οικεία νομοθεσία ο πάροχος υπηρεσιών πληρωμής οφείλει – πριν ολοκληρωθεί η πληρωμή - να προβεί, αρχικά, σε ταυτοποίηση με βάση τη χρήση δύο ή περισσότερων στοιχείων που αφορούν γνώση (στοιχείο το οποίο μόνο ο χρήστης υπηρεσιών πληρωμών γνωρίζει), κατοχή (στοιχείο το οποίο μόνο ο χρήστης κατέχει) και κάποιο μοναδικό εγγενές χαρακτηριστικό του (στοιχείο το οποίο ο χρήστης είναι), στοιχεία τα οποία είναι ανεξάρτητα μεταξύ τους, ως προς το ότι η παραβίαση του ενός δεν θέτει σε κίνδυνο την αξιοπιστία των υπολοίπων και η διαδικασία της οποίας είναι σχεδιασμένη κατά τρόπο που να προστατεύεται η εμπιστευτικότητα των δεδομένων ταυτοποίησης. Παράλληλα, ο πάροχος υπηρεσιών πληρωμής οφείλει να επιδεικνύει τη δέουσα επιμέλεια προς αποτροπή σχετικών απατηλών συμπεριφορών: Ειδικότερα, ο πάροχος υπηρεσιών πληρωμών οφείλει να εφαρμόζει μηχανισμούς παρακολούθησης συναλλαγών που του επιτρέπει να εντοπίζει μη εγκεκριμένες ή δόλιες πράξεις πληρωμής και να εφαρμόζει συγκεκριμένα μέτρα ασφαλείας, τα οποία αποτρέπουν τις μη εξουσιοδοτημένες συναλλαγές και προστατεύουν τον πελάτη.», εξήγησε στο iefimerida.gr, η κ. Σφυρή, πο ασχολείται με αρκετές τέτοιες περιπτώσεις.

Αυτά τα οποία οφείλουν και πρέπει να προσέχουν οι πάροχοι υπηρεσιών πληρωμής κατά τη λειτουργία τους αλλά και τα συστήματα ασφαλείας τους, σύμφωνα με την ίδια, είναι πάρα πολλά:
  • τα γνωστά σενάρια απάτης,
  • το είδος της συναλλαγής,
  • η επανεμφάνισή της,
  • η μη συνηθισμένη και επαναλαμβανόμενη χρέωση,
  • η τοποθεσία υψηλού κινδύνου του δικαιούχου,
  • ο εντοπισμός μη συνηθισμένων πληρωμών σε σχέση με το ιστορικό των πράξεων πληρωμής του πελάτη,
  • οι προηγούμενες συναλλαγές, το ποσό της συναλλαγής και πληθώρα άλλων παραγόντων, ώστε να αποτρέπονται από τον πάροχο υπηρεσιών πληρωμής
  • οι επίφοβες συναλλαγές.
«Για παράδειγμα, εάν παρατηρηθούν επαναλαμβανόμενες και ισόποσες συναλλαγές με ηλεκτρονικό πιστωτικό ίδρυμα, οι οποίες δεν συμβαδίζουν με το εν γένει προφίλ του δικαιούχου, τότε ο πάροχος υπηρεσίας πληρωμής, ακόμη και αν έχει πραγματοποιηθεί ορθώς η ταυτοποίηση του συγκεκριμένου πελάτη, οφείλει να αποτρέψει τη συγκεκριμένη συναλλαγή ως ιδιαιτέρως επικίνδυνη. Εφόσον, λοιπόν, τα συστήματα ασφαλείας των παρόχων υπηρεσιών πληρωμής δεν αποτρέψουν τις μη εξουσιοδοτημένες συναλλαγές ένεκα της προφανούς επικινδυνότητάς τους ή δεν προβούν σε σωστή ταυτοποίηση του πελάτη κατά τα προαναφερόμενα, υπέχουν έναντι του πελάτη τους ευθύνη και οφείλουν να τον αποζημιώσουν κατά τη ζημία που υπέστη», τόνισε χαρακτηριστικά.



iefimerida.gr