Έξαρση ψηφιακών επιθέσεων - Απατεώνες χτυπούν λογιστήρια και δεδομένα κυπριακών επιχειρήσεων

Σε μείζον πρόβλημα για την ομαλή λειτουργία της αγοράς εξελίσσεται το κύμα διαδικτυακών οικονομικών απατών σε βάρος επιχειρήσεων και νοικοκυριών. Οι επιτήδειοι αξιοποιούν τη ραγδαία διείσδυση της τεχνολογίας σε καθημερινές συναλλαγές για να υποκλέψουν τραπεζικά δεδομένα, χρήματα. Μάλιστα, καταγράφονται και φαινόμενα υποκλοπής δεδομένων από επιχειρήσεις για τα οποία ζητούνται λύτρα, τα οποία και καταβάλλονται.

Στο αστυνομικό δελτίο είναι συχνές οι αναφορές ψηφιακών απατών, με το φαινόμενο να έχει χαρακτηριστικά επιδημίας. Μόνο τον Ιούλιο μέσα σε οκτώ ημέρες η Αστυνομία ανακοίνωσε τρεις υποθέσεις με τις δύο να αφορούν Απάτη μέσω Τιμολογίων, την οποία θα εξηγήσουμε στη συνέχεια.

Η Αστυνομία έχει αναρτήσει στον ιστότοπό της αναλυτικές πληροφορίες για τα είδη των ψηφιακών εγκλημάτων και τρόπους πρόληψης, αλλά οι απατεώνες βρίσκουν θύματα στηριζόμενα στη χαλαρότητα των θυμάτων τους ή σε κενά ασφαλείας στη λειτουργία επιχειρήσεων.

Η δε εξιχνίαση των υποθέσεων είναι εξαιρετικά δύσκολη. Σε υποθέσεις με λύτρα η καταβολή γίνεται σε κρυπτονομίσματα καθιστώντας αδύνατο τον εντοπισμό των χρημάτων.

Σε ό,τι αφορά τις επιχειρήσεις, οι συνέπειες είναι αλυσιδωτές. Μια απάτη σε έξαρση είναι οι απατεώνες να αποκτούν πρόσβαση σε λογιστήρια, να αλλάζουν το IBAN του λογαριασμού στα τιμολόγια που αποστέλλονται και να λαμβάνουν την πληρωμή. Η απώλεια όμως και λίγων χιλιάδων ευρώ μπορεί να απειλήσει τη βιωσιμότητα της επιχείρησης και την κάλυψη άλλων δαπανών προκαλώντας ένα ντόμινο ανεξόφλητων υποχρεώσεων. Στις ημέρες μας και το τελευταίο ευρώ είναι πολύτιμο για μια επιχείρηση και δεν υπάρχει η πολυτέλεια να χαθεί η είσπραξη από ένα μεγάλο τιμολόγιο.

Ο πρόεδρος του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου Χριστόδουλος Παπαδόπουλος επιβεβαιώνει στον «Π» τη σοβαρότητα του φαινομένου.

Ο σύνδεσμος δημιουργήθηκε το 2018 και αποτελείται από επαγγελματίες στους τομείς της προστασίας της ιδιωτικότητας και της κυβερνοασφάλειας, οι οποίοι καλύπτουν έναν συνδυασμό επαγγελμάτων, από νομικούς μέχρι τεχνικούς.

«Με την έξαρση του κορωνοϊού και την ανάγκη ο κόσμος να δουλέψει από το σπίτι είχαμε μια αύξηση σε διάφορα περιστατικά, κυρίως κυβερνοασφάλειας», σημειώνει ο κ. Παπαδόπουλος, και αποκαλύπτει ότι σε εβδομαδιαία βάση υπάρχουν περιστατικά κυβερνοεπιθέσεων σε επιχειρήσεις, σε μεγάλους οργανισμούς αλλά και σε μικρότερες επιχειρήσεις, με σκοπό τα λύτρα.

«Το δυστύχημα είναι ότι δεν δίνεται πολύ περιθώριο στους οργανισμούς για να αντιδράσουν. Συνήθως όταν έχουμε επιθέσεις όπου ζητούνται λύτρα, στις περισσότερες περιπτώσεις ο κόσμος αναγκάζεται, δυστυχώς, να πληρώσει για να μην υποστεί περαιτέρω συνέπειες», αναφέρει ο κ. Παπαδόπουλος. Σε κάποιες περιπτώσεις τα δεδομένα δεν αφαιρούνται, αλλά «σφραγίζονται» και ξεκλειδώνουν με την καταβολή των χρημάτων. Τέτοιου είδους επιθέσεις εκτελούνται συνήθως νύχτα, όταν τα IT των εταιρειών δεν λειτουργούν.

Τα λύτρα που ζητούνται ξεκινούν από 100 ευρώ και φτάνουν σε μερικές εκατοντάδες χιλιάδες ευρώ, ανάλογα με το είδος του θύματος.

Κενά ασφάλειας και συμπεριφοράς

Ο πρόεδρος του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου εξηγεί ότι οι απατεώνες εκμεταλλεύονται κενά ασφάλειας και συμπεριφοράς και τον αυξημένο όγκο εργασίας σε λογιστήρια για να χτυπήσουν τα θύματά τους.

«Σε ένα λογιστήριο μπορεί να χρειαστεί να απαντηθούν 100-200 emails την ημέρα και ταυτόχρονα μπορεί να χρειαστεί να εξυπηρετήσουν πελάτες. Στην προσπάθεια απάντησης σε ένα email, όπως ότι πρέπει να αλλάξει ο λογαριασμός καταβολής των χρημάτων σε ένα τιμολόγιο, χωρίς να εξεταστούν λεπτομερώς όλες οι πληροφορίες, είναι εύκολο να την πατήσεις. Πολλές επιθέσεις γίνονται σε λογιστήρια και συνήθως αλλάζουν το iban number σε τιμολόγια. Η πληρωμή εκτελείται, αλλά καταλήγει σε άλλη τσέπη», εξηγεί.

Στις απάτες σε λογιστήρια οι απατεώνες προσεγγίζουν διαδικτυακά τα θύματά τους για να αποσπάσουν προσωπικές πληροφορίες που θα τους επιτρέψουν να αποκτήσουν πρόσβαση στα προσωπικά τους δεδομένα και μέσω αυτών στα εταιρικά. Έτσι μαθαίνουν ποιες πληρωμές επίκεινται και στη συνέχεια προσποιούνται τους πελάτες και ζητούν την αλλαγή του τραπεζικού λογαριασμού. Πχ. ένα τραπεζικό statement που έχει σταλεί σε προσωπικό email μπορεί να ξεκλειδώσει ένα εταιρικό email. Με βάση τα προσωπικά στοιχεία οι απατεώνες μαντεύουν τους εταιρικούς κωδικούς. Δυστυχώς, σε πολλές περιπτώσεις οι κωδικοί προσωπικών και εταιρικών λογαριασμών είναι οι ίδιοι.

Η ανάγκη για εργασία και από το σπίτι λειτουργεί ως δίοδος για τους απατεώνες, καθώς ο χώρος του σπιτιού είναι ευάλωτος σε προσπάθειες υποκλοπών.

Σε αυτό το περιβάλλον οι κυπριακές εταιρείες έχουν αρχίσει να επενδύουν πολύ περισσότερο απ' ό,τι πριν στην ψηφιακή τους ασφάλεια και στην εκπαίδευση του προσωπικού τους.

«Ο κορωνοϊός ήταν μία από τις κύριες αιτίες για να αναγκαστούν οι εταιρείες να δουλέψει ο κόσμος τους απομακρυσμένα από το γραφείο και απ' ό,τι φαίνεται αυτή η πρακτική ήρθε και θα μείνει σε διάφορους τομείς. Χρειάζεται συνεχής προσπάθεια, συνεχής εκπαίδευση, διαρκής έλεγχος και από μέσα, εντός των εταιρειών, αλλά και εκτός των εταιρειών από τρίτα μέρη, ούτως ώστε να διαπιστώνονται ανά πάσα στιγμή ότι το επίπεδο των ασφάλειας είναι σε αποδεκτά πλαίσια», υπογραμμίζει ο κ. Παπαδόπουλος.

«Σε επιθέσεις σε βάρος μεγάλων επιχειρήσεων βλέπουμε πρώτα να επεμβαίνει κάποιος στα προσωπικά emails ενός διευθυντή μιας εταιρείας ή ενός οικονομικού διευθυντή μιας εταιρείας και μετά μέσω των προσωπικών emails αποκτούν πρόσβαση και στα εταιρικά δεδομένα. Άρα είναι πολύ-πολύ σημαντικό ακόμα και οι εταιρείες να φροντίσουν να προστατεύουν συνολικά το προσωπικό τους και όχι μόνο σε εταιρικό επίπεδο», προσθέτει.

Τρόποι προστασίας

Στο ερώτημα πώς μπορούμε να προστατευτούμε, ο κ. Παπαδόπουλος αναφέρει ότι υπάρχουν κάποιοι πολύ απλοί τρόποι προστασίας, όπως η χρήση κοινών εφαρμογών, όπως antivirus και antispyware. Ωστόσο, η προστασία πρέπει να είναι ολιστική και οι επιχειρήσεις, ανεξαρτήτως μεγέθους, καλούνται να αναπτύξουν στρατηγικές ψηφιακής ασφάλειας.

«Όταν αναφερόμαστε σε προστασία δεν πρέπει να μιλάμε μόνο για τον υπολογιστή μας, αλλά θα πρέπει να περιλαμβάνουμε στην ασφάλεια και τα κινητά μας τηλέφωνα και οτιδήποτε άλλο μπορεί να έχουμε είτε στο σπίτι είτε στην εργασία. Όλες πλέον οι συσκευές λειτουργούν διαδικτυακά. Άρα πρέπει να υπάρξει ασφάλεια σε αυτόν τον τομέα. Πρέπει να γίνεται εκπαίδευση, κυρίως στον εταιρικό τομέα στα θέματα ασφάλειας. Να επικοινωνούμε με κόσμο που συνήθως γνωρίζουμε, να προσέχουμε από πού μπαίνουμε στα emails μας. Η Αστυνομία Κύπρου αλλά και φορείς κυβερνοασφάλειας του κράτους έχουν απευθύνει πολλές φορές προειδοποιήσεις στο κοινό. Ο κόσμος πρέπει να είναι πολύ πιο προσεκτικός και υποψιασμένος».

Το κινητό, σήμερα, είναι ένας Δούρειος Ίππος για τα προσωπικά μας δεδομένα. Οι τηλεοράσεις που συνδέονται με το διαδίκτυο επίσης μπορεί κάποιος να τις χακάρει, ενώ στο όχι μακρινό μέλλον θα έχουμε και τα αυτοκίνητα που θα συνδέονται με το διαδίκτυο.

Υπάρχουν πολλοί τρόποι για να αποσπάσουν οι απατεώνες πληροφορίες που θα τους δώσουν πρόσβαση στα δεδομένα, από sms και emails, μέχρι λογαριασμούς κοινωνικής δικτύωσης, γι' αυτό απαιτείται εγρήγορση.

«Και βεβαίως αυτό είναι ανθρωπίνως αδύνατo και σε αυτό πατούν οι επιτήδειοι. Δεν υπάρχει περίπτωση να σταματήσουν οι απάτες. Το θέμα είναι να τις μειώσουμε στο όσο το δυνατόν περισσότερο», συμπληρώνει ο κ. Παπαδόπουλος, και επιμένει στην ολιστική προσέγγιση.

Για παράδειγμα, η χρήση VPN είναι ένας τρόπος προστασίας, αλλά όχι απόλυτος.

«Eίναι αναγκαίο το VPN αλλά και πολλά άλλα μέτρα πρέπει να συντρέχουν ούτως ώστε να μπορέσουμε να αυξήσουμε τα επίπεδα ασφάλειας. Για παράδειγμα, δουλεύουμε από το σπίτι μας με VPN στο εταιρικό δίκτυο, αλλά στο σπίτι μας έχουμε και άλλες συσκευές, τα κινητά των παιδιών μας, του συζύγου. Αυτά είναι ακόμα εκτεθειμένα και είμαστε μέλος του ίδιου δικτύου και πολύ εύκολα μπορεί μέσω αυτών κάποιος να αποκτήσει πρόσβαση στα εταιρικά δεδομένα. Πρέπει, συνεπώς, να απομονώνουμε τις εταιρικές συσκευές από τις ιδιωτικές», εξηγεί ο κ. Παπαδόπουλος.