Κυκλώματα υποκλέπτουν κωδικούς από πιστωτικές κάρτες και smartphones και τζογάρουν σε εταιρείες betting και ηλεκτρονικά καζίνο – Τα πέντε στάδια της απάτης
Στοιχήματα-απάτη με πιστωτικές κάρτες ανυποψίαστων πολιτών που δεν έχουν λογαριασμούς (και ούτε έχουν παίξει καν ποτέ στη ζωή τους) σε εταιρείες betting και ηλεκτρονικά καζίνο φέρνουν στο φως νέες καταγγελίες που φτάνουν στις ελεγκτικές και διωκτικές αρχές της χώρας. Κυκλώματα βρίσκουν νέους τρόπους και «κανάλια» για να υποκλέψουν ηλεκτρονικά τα συνθηματικά των κατόχων τους (τριψήφιους κωδικούς CVC) αλλά και να παρακάμψουν τα τραπεζικά πρωτόκολλα ασφαλείας (push notifications).
Βρίσκονται τόσο μπροστά από τις έρευνες και τα συστήματα ελέγχου ώστε, χωρίς να φοβούνται μήπως αποκαλυφθούν, αφήνουν παντού ηλεκτρονικά ίχνη, τα οποία οδηγούν ευθέως σε προσωπικά στοιχεία, αστυνομικές ταυτότητες και τραπεζικούς λογαριασμούς των δραστών. Το επιστέγασμα όλων είναι ότι εξασφαλίζουν στο τέλος-τέλος ακόμα και… πιστοποιητικό νομιμότητος για τα χρήματα που έκλεψαν -αλλά και «ξέπλυναν» ταυτόχρονα- με αυτόν τον τρόπο!
Χρεώσεις-ρεκόρ
Τέτοιες παράνομες χρεώσεις κρύβονται πίσω και από το κρεσέντο στοιχηματισμού που φαίνεται ότι καταγράφεται τους τελευταίους μήνες στη χώρα μας. Σύμφωνα με στοιχεία των ελληνικών τραπεζών, τα οποία αποκαλύπτει σήμερα το «ΘΕΜΑ», οι ηλεκτρονικές πληρωμές σε καζίνο και εταιρείες στοιχημάτων τον Οκτώβριο φέτος σημείωναν ρεκόρ όλων των εποχών: αυξήθηκαν κατά 325% έναντι του Οκτωβρίου του 2021!
Χοντρός τζόγος
Το πραγματικό εύρος του φαινομένου βρίσκεται ακόμα υπό διερεύνηση, η εξέλιξη αυτή όμως υποψιάζει και ανησυχεί, καθώς κυκλώματα φαίνεται πως χρησιμοποιούν νέες πρακτικές για να ξεγλιστρήσουν από τις ελεγκτικές αρχές. Φαίνεται μάλιστα να βασίζονται σε μια σειρά από τρύπες ασφαλείας, στα συστήματα εντοπισμού του «βρώμικου» χρήματος. Πλήθος από υπηρεσίες, φορείς και εισαγγελικές αρχές έχουν επιφορτιστεί με το έργο της παρακολούθησης και καταπολέμησης τέτοιων φαινομένων.
Ωστόσο, καθένας από αυτούς παρακολουθεί έναν μόνο τομέα της διαδρομής του χρήματος – και μόνο από τη δική του σκοπιά. Φαίνεται συνεπώς ότι επιτήδειοι έχουν «χαρτογραφήσει» τα μονοπάτια μέσα από τα οποία μπορούν να κινούνται ανενόχλητοι, χωρίς να ενεργοποιούν τις παγίδες συναγερμού που έχουν απλώσει οι Αρχές.
Κάπως έτσι καταφέρνουν να δρουν ανενόχλητοι, ακόμα και την ώρα που τα θύματα αντιλαμβάνονται άμεσα την απόπειρα απάτης, τη στιγμή που βρίσκεται σε εξέλιξη και όχι 1-2 μήνες μετά, όταν εξετάσουν το statement των συναλλαγών τους! Αλλά και αν ειδοποιήσουν άμεσα τις τράπεζες και τους εμπλεκόμενους φορείς για να εντοπίσουν και να ματαιώσουν τη συναλλαγή εν τη γενέσει της, οι καταγγελίες τους αντιμετωπίζονται με γραφειοκρατικές διαδικασίες που δεν κινούνται παρά μόνο μέρες ή βδομάδες μετά, αφού ολοκληρωθεί και βεβαιωθεί η ηλεκτρονική συναλλαγή-απάτη σε βάρος τους.
Τα 5 στάδια
Η απάτη αναπτύσσεται μεθοδικά και προμελετημένα σε 5 πεδία και φάσεις, γεγονός που δείχνει οργάνωση «απ’ άκρου εις άκρον» της αλυσίδας:
Στάδιο 1ο
Υποκλοπές προσωπικών στοιχείων
Η αρχή γίνεται με τις υποκλοπές στοιχείων πιστωτικών καρτών που κοστίζουν εκατοντάδες ή χιλιάδες ευρώ σε χιλιάδες θύματα. Οχι όμως μόνο με τους παραδοσιακούς τρόπους που όλοι πια γνωρίζουν και προσέχουν (μηνύματα phising, τηλεφωνικές ή διαδικτυακές απάτες κ.λπ.).
Επιτήδειοι χρησιμοποιούν λογισμικό παρακολούθησης «έξυπνων» κινητών, πολύ απλούστερα και πιο διαδεδομένα από τα περιβόητα «Predator» ή «Pegasus» κ.λπ. Πλέον όμως οι διωκτικές αρχές βάζουν στο μικροσκόπιο μέχρι και νόμιμες εφαρμογές που σχεδόν όλοι εγκαθιστούμε στα κινητά μας για καθημερινές ηλεκτρονικές συναλλαγές και πληρωμές.
Σε άλλες περιπτώσεις πάλι, οι Αρχές έχουν εντοπίσει σε φυσικά καταστήματα, συσκευές σκαναρίσματος καρτών, όπου υπάλληλοι υποκλέπτουν μυστικούς κωδικούς, ακόμα και αν γίνεται ανέπαφα η πληρωμή.
Στάδιο 2ο
Παράκαμψη πρωτοκόλλων ασφαλείας
Για τον πολύ κόσμο, ακόμα και η είσοδος με e-banking στον δικό του τραπεζικό λογαριασμό μπορεί να γίνει δύσκολη ή αδύνατη, εξαιτίας των υπερβολικών μέτρων ασφαλείας που λαμβάνονται: αν, π.χ., πάθει σύγχυση λόγω πολύπλοκων κωδικών που πρέπει διαρκώς να απομνημονεύει και να αλλάζει, ή και αν τελειώσει η μπαταρία στο κινητό και δεν μπορεί να εγκριθεί με push notification η είσοδος από τον υπολογιστή, όπως συχνά απαιτείται μετά την καταχώρηση των κωδικών.
α κυκλώματα βρίσκουν τρόπο, όμως, να παρακάμπτουν και αυτές τις πρόσθετες δικλείδες ασφαλείας. Ενας τρόπος είναι ότι καταχωρούν άλλο κινητό. Και μπορεί να έρθει ένα μήνυμα push notification στο θύμα, αλλά από το δεύτερο και μετά πάνε σε άλλο κινητό που το ελέγχουν οι ίδιοι.
Ακόμα χειρότερα όμως, συμβαίνει να μην έρχεται καν το μήνυμα push notification τη στιγμή που γίνεται η παράνομη χρέωση. Για παράδειγμα, επιτήδειοι «τσιμπάνε» από την πιστωτική κάρτα 110 ευρώ και τα μεταφέρουν σε λογαριασμό (account) κάποιου τρίτου σε εταιρεία στοιχηματισμού.
Αν δεν ενεργοποιηθεί η άμεση ειδοποίηση push, τότε περνούν απανωτά και άλλες μεταφορές/πιστώσεις των 110 ευρώ στον ίδιο προφίλ παίκτη.
Σύμφωνα με μια πρώτη προσέγγιση και έρευνα από τραπεζικές πηγές, η παράκαμψη της ειδοποίησης μπορεί να συμβαίνει αν οι διαδικτυακές συναλλαγές γίνονται σε εξωχώριες επιχειρήσεις ή οι εταιρείες χρησιμοποιούν servers εγκατεστημένους εκτός της Ε.Ε.
Στάδιο 3ο
Χρέωση μικροποσών
Οι παράνομες χρεώσεις σε πιστωτικές κάρτες γίνονται συνήθως αντιληπτές 1-1,5 μήνα μετά ή και ποτέ, αν κάποιος προσέξει τις χρεώσεις στο μηνιαίο statement του λογαριασμού του. Μεμονωμένα ποσά της τάξεως των 100 ευρώ μπορεί έτσι και να διαφύγουν της παρατήρησης. Για τέτοια ποσά, τα θύματα σπάνια αφιερώνουν περισσότερο χρόνο για ενέργειες, πέραν της αντικατάστασης της κάρτας και της μήνυσης κατ’ αγνώστων σε Αστυνομικό Τμήμα.
Και αν ακόμα έχουν αθροιστεί όμως επαναλαμβανόμενες χρεώσεις, συχνά οι τράπεζες αναλαμβάνουν να καλύψουν το θύμα και του αφαιρούν τις χρεώσεις, εφόσον έχει προσφύγει στην Αστυνομία και μέχρι να αποκαλυφθούν οι δράστες. Εκεί σταματάνε συνήθως και οι διαδικασίες εκ μέρους του θύματος.
Στάδιο 4ο
Κάτω από τα «ραντάρ»
Από πλευράς των διωκτικών αρχών, ο κάθε φορέας στέκεται συνήθως στον τομέα ευθύνης του. Κάποιες υποθέσεις μεταφέρονται προς έλεγχο από το συντονιστικό όργανο καταπολέμησης του «βρώμικου» χρήματος. Είναι όμως μια εσωτερική διαδικασία των φορέων που δίνει χρόνο στα κυκλώματα να εξαφανίζουν τα ίχνη τους.
Για παράδειγμα, θύμα απάτης λαμβάνει ειδοποίηση push ότι θα χρεωθεί εκείνη τη στιγμή 110 ευρώ για betting. Απορρίπτει/ακυρώνει τη συναλλαγή, επικοινωνεί με την τράπεζα και μαθαίνει ότι μόλις ένα λεπτό πριν έχει ήδη χρεωθεί άλλα 110 ευρώ σε στοιχηματική εταιρεία. Αμφισβητεί άμεσα τη χρέωση, ζητά να μπλοκαριστεί η συναλλαγή και να εντοπιστεί ποιος και από πού κινεί την πιστωτική του. Εισπράττει όμως ως απάντηση πως πρέπει να αλλάξει κάρτα και να στείλει επιστολή αμφισβήτησης της χρέωσης τις επόμενες ημέρες, αφού πρώτα ολοκληρωθεί και εκκαθαριστεί η συναλλαγή – δηλαδή όταν θα εκδοθεί ο λογαριασμός!Την ίδια στιγμή επικοινωνεί και με τη στοιχηματική εταιρεία στο εξωτερικό όπου κατέληξαν τα λεφτά του, για να ενημερώσει και να εμποδίσει την απάτη. Οι στοιχηματικές έχουν νομική υποχρέωση να ταυτοποιούν τους πελάτες τους με τα προσωπικά στοιχεία τους (ταυτότητες, λογαριασμοί email κ.λπ.) και γνωρίζουν άμεσα ποιος πήρε τα 110 ευρώ. Ωστόσο το θύμα της απάτης δεν είναι πελάτης της. Εύλογα έτσι επικαλείται το προσωπικό απόρρητο των πελατών της -εν προκειμένω του δράστη- αρνούμενη να δώσει άλλα στοιχεία ή να εμποδίσει τη χρέωση. Ενημερώνει όμως ότι αν γίνει μήνυση και της ζητηθεί από την Αστυνομία, θα αποκαλύψει τα στοιχεία ταυτότητας του πελάτη.
Οι εποπτικές αρχές, εφόσον λάβουν γνώση για όλα αυτά, ερευνούν αν η τράπεζα ή η στοιχηματική κίνησε (ή όχι) τις εσωτερικές διαδικασίες που προβλέπονται γι’ αυτές, ως φορείς και εταιρείες που πρέπει να επιδεικνύουν αυξημένη «δέουσα επιμέλεια» στην περίπτωση απάτης.
Μετά τη μήνυση ενημερώνεται η Εισαγγελία Πρωτοδικών. Ερχεται αντιμέτωπη όμως με μια απλή απάτη ύψους μόλις 110 ευρώ. Μεμονωμένη μια τέτοια έρευνα δεν έχει κανένα ουσιαστικό αντίκτυπο, ακόμα και αν οδηγήσει σε σύλληψη και δίκη. Μόνο αν η παραβατική δράση αναγνωριστεί και εντοπιστεί ως κύκλωμα και συμμορία μπορεί να φανεί πως η λεία είναι πολλαπλάσια και ξεπερνά τα χρηματικά όρια του οικονομικού εγκλήματος και της σύστασης οργάνωσης (π.χ. 100.000 ευρώ και άνω). Και άλλες διωκτικές ή δικαστικές αρχές επίσης, ακόμα και αν λάβουν γνώση, δηλώνουν αναρμόδιες αν δεν προκύπτει άμεσα οικονομική ζημιά του Δημοσίου. Στην περίπτωση των παράνομων χρεώσεων στοιχηματισμού, μάλιστα, το Δημόσιο κερδίζει από φόρους στα κέρδη των παικτών και της εταιρείας.
Στάδιο 5ο
Κλεμμένες ταυτότητες
Σύμφωνα με έμπειρα στελέχη των διωκτικών αρχών, κάπου εκεί το παιχνίδι έχει ήδη πια χαθεί!
Οι στοιχηματικές συνεργάζονται και δίνουν τα στοιχεία στην Ελληνική Αστυνομία. Ποιος, όμως, θα έστηνε όλο το κόλπο για να «καρφωθεί» με διαδικασίες ταυτοποίησης; Προφανώς κανείς δεν είναι τόσο αφελής…
Αντιθέτως, παρ’ όλες τις αυξημένες τραπεζικές πιστοποιήσεις και απαιτήσεις, όταν τα κέρδη από τα λεφτά που έκλεψαν οι επιτήδειοι καταλήγουν σε καταθετικούς λογαριασμούς της Ελλάδας ή του εξωτερικού (καθώς παίζουν τα λεφτά για να κερδίσουν και όχι για να χάσουν), σχεδόν πάντα βρίσκονται από πίσω κλεμμένες ταυτότητες ή ονόματα νεκρών κ.λπ. Στην πράξη δηλαδή, το κύκλωμα που ξεκινά συγκεντρώνοντας κλεμμένους κωδικούς καρτών, καταλήγει με κλεμμένες ταυτότητες και γι’ αυτό δεν φοβάται πού θα οδηγήσουν τα ίχνη.
Το «κόλπο» ολοκληρώνεται με βεβαιώσεις κερδών που νομιμοποιούν τα χρήματα, με πιστοποιητικά που απαιτεί η νομοθεσία για τα κέρδη από στοιχηματισμό, ώστε μετά να αλλάζουν νόμιμα χέρια και κατόχους.
Για να δυσκολέψουν έτσι οι επιτήδειοι έρευνες τύπου «follow the money», αντί για τους δρόμους του χρήματος, ακολουθούν ένα πολύ στενό «μονοπάτι», ποντάροντας όχι στην τύχη, αλλά στη γνώση των αδυναμιών των κρατικών συστημάτων ελέγχων και ασφαλείας.
Πηγή: PROTO THEMA