Ο Χρίστος Τόπακας, Chief Information Security Officer (CISO) της Τράπεζας Πειραιώς, εξηγεί πώς πρέπει να κινούνται οι τράπεζες και οι πελάτες τους προκειμένου να αποφύγουν τα όποια κενά και τις απάτες στις ψηφιακές συναλλαγές.

It takes two to tango στην προστασία από τις ηλεκτρονικές απάτες, γι’αυτό η συνεργασία τραπεζών με τους πελάτες είναι αναγκαία. Στη συνέντευξη που παραχώρησε στο περιοδικό μας, ο κ. Τόπακας της Τράπεζας Πειραιώς υποστηρίζει ότι οι καταναλωτές είναι αρκετά ευάλωτοι στην ηλεκτρονική απάτη, καθώς υπάρχει μια έλλειψη εκπαίδευσης του κοινού στο πώς μπορούν να προστατευτούν από τους κυβερνοεγκληματίες.

Παρά τα συστήματα ασφαλείας και τα σχετικά νομοθετικά πλαίσια που υπάρχουν τόσο σε Ελλάδα όσο και σε Ευρώπη, κατά τη διάρκεια του lockdown και της πανδημίας, οι ηλεκτρονικές απάτες αυξήθηκαν κατακόρυφα αφού οι καταναλωτές στράφηκαν προς τις ψηφιακές αγορές, χρησιμοποιώντας κατά κόρον κάρτες και e-banking για την ολοκλήρωση των συναλλαγών τους.

Από τις πιο κοινές και συχνές περιπτώσεις απάτης είναι τα SMS ή e-mail phishing, τα οποία έχουν εξειδικευθεί σε μεγάλο βαθμό, και πλέον αποστέλλονται και από τη χώρα μας, κάνοντας ακόμα πιο δύσκολο και δυσδιάκριτο να καταλάβει κάποιος αν ένα μήνυμα είναι απάτη ή όχι. Υπάρχουν τρόποι για να προστατευτεί τόσο το τραπεζικό σύστημα όσο και οι πελάτες του; Ο Χρίστος Τόπακας υποστηρίζει ότι με λίγο παραπάνω awareness, και με τις συντονισμένες προσπάθειες τραπεζών και Δίωξης Ηλεκτρονικού Εγκλήματος τα πράγματα μπορούν να εξομαλυνθούν.

Κύριε Τόπακα, θέλω να μου πείτε πως αξιολογείτε τα συστήματα των τραπεζών σχετικά με την προστασία από τις απάτες στις ηλεκτρονικές συναλλαγές, ποιες είναι οι προκλήσεις και ποιες είναι οι αλλαγές που πρέπει να γίνουν.

Το θέμα του cybersecurity έχει ευρεία έννοια όπως το ζούμε όλοι, και αν κάνουμε focus σε αυτό που λέμε «ψηφιακές πληρωμές», οι κίνδυνοι είναι πάρα πολλοί. Είναι όπως λέμε «στους δύο τρίτος δε χωρεί», όπου ο fraudster προσπαθεί να μπει ανάμεσα σε αυτόν που πάει να εκτελέσει μια συναλλαγή ή να εκτελέσει το transaction σου ενώ εσύ δεν ξέρεις ότι ο απέναντι δεν είναι ο σωστός άνθρωπος. Εκεί στηρίζεται η λογική και θα την εξηγήσουμε πολύ απλά και γρήγορα για να απαντήσω αμέσως στο ερώτημα στο τι κάνουν οι τράπεζες.

Οι τράπεζες ευτυχώς ή δυστυχώς έχουν ένα πολύ στενό και περιορισμένο κανονιστικό πλαίσιο, έχουν μπει αρχές, ειδικά με την PSD2 οδηγία η οποία υλοποιήθηκε από όλους. Επιπλέον οι τράπεζες είναι κοντά στο 99% στην υλοποίηση αυτού του περιβόητου SCA, δηλαδή το strong customer authentication. Mε αυτό αναγκάζονται πλέον οι τράπεζες και οι έμποροι να δημιουργήσουν ένα σωστό και ασφαλές περιβάλλον χωρίς να είναι όμως αργό, αλλά ευέλικτο και ευπροσάρμοστο, δυνατό και ισχυρό. Με την υλοποίησή του μειώθηκαν όχι μόνο οι απάτες αλλά και τα ποσά που «έκλεβαν» οι fraudsters. Δυστυχώς, πριν το SCA, τα ποσά τα οποία υπεξαιρούνταν ήταν τεράστια – μιλάμε για αρκετά εκατομμύρια ευρώ – και με αυτό το μέτρο υπήρξε φως. Άρα οι τράπεζες λόγω του κανονιστικού πλαισίου είναι υποχρεωμένες να ακολουθήσουν τους τρόπους διασφάλισης των συναλλαγών.

Και πράγματι αυτοί οι τρόποι δούλεψαν. Στην ουσία αυτό που προστέθηκε είναι ένα επιπλέον βήμα στην ηλεκτρονική συναλλαγή, η φάση που γίνεται το redirection. Σε συναλλαγές όπου ο έμπορος δεν είναι πελάτης της τράπεζας, όταν το σύστημα ζητήσει τα στοιχεία του μέσω της ηλεκτρονικής τραπεζικής, πρέπει να γίνει το authentication. Σε αυτό αντιμετωπίσαμε ποικίλες συμπεριφορές. Αρκετοί μπήκαν και προχώρησαν κανονικά τη διαδικασία, ωστόσο υπήρξαν κι αυτοί που έχοντας υπόψη τους τις προτροπές που έχουν ακούσει να μη βάζουν τα credentials της ηλεκτρονικής τραπεζικής τους αλλού λειτούργησαν με καχυποψία και δισταγμό, ενώ υπήρχαν κι αυτοί οι οποίοι διέκοπταν την συναλλαγή καθώς θεωρούσαν ότι υποκλέπτονται οι κωδικοί τους.Έγιναν πράγματι πολλές κινήσεις, αλλά ο κόσμος μάς παίρνει τηλέφωνο και ρωτά: «να μπω εκεί κύριε Τόπακα, να μην μπω;» ή «γιατί κάποιες φορές ζητάει τα στοιχεία του e-banking και κάποιες άλλες όχι;». Αυτά είναι διάφορα πράγματα τα οποία ακούμε. Υπάρχει φυσικά και η άλλη πλευρά που λέει «ό,τι θέλει ας είναι, εγώ θα βάλω τα στοιχεία και θα ολοκληρώσω τη συναλλαγή».Aυτά είναι διάφορα πράγματα τα οποία ακούμε. Υπάρχει και η άλλη πλευρά που λέει «ό,τι θέλει ας είναι, εγώ θα βάλω τα στοιχεία και ας προχωρήσω». Απαντώ λοιπόν και στις δύο πλευρές ότι οι τράπεζες κάνουν τα αναγκαία βήματα γιατί είναι το πλαίσιο το κανονιστικό που τα επιβάλει.

Κατά πόσο ο ανθρώπινος παράγοντας παίζει ρόλο στην ασφάλεια και ποιο είναι το μέγεθος της ευθύνης των καταναλωτών;

Όπως είπα στην αρχή είναι δύο τα μέλη μιας συναλλαγής. Δυστυχώς αυτό που παρατηρούμε από τα συμβάντα που έχουμε υπόψη μας – όχι μόνο στην Τράπεζα Πειραιώς που εκπροσωπώ αλλά και σε όλες τις ευρωπαϊκές τράπεζες – είναι ότι ο χρήστης δεν έχει εκπαιδευτεί στο να προστατεύει τον εαυτό του.

Το λεγόμενο phishing καλά κρατεί. Γι’ αυτό είπα ότι πρέπει και το άλλο μέλος να μάθει πως να διαχειρίζεται τα ηλεκτρονικά του στοιχεία. ο ηλεκτρονικό vault του είναι η τράπεζα, μη δίνει τα κλειδιά ευκόλως.

Με την πανδημία έγιναν έργα πολύ εσπευσμένα – μιλάμε για πλάνα πέντε χρόνων που υλοποιήθηκαν μέσα σε ένα μήνα. Αν το δείτε με το gov.gr, έχουν γίνει τεράστια βήματα τα οποία δεν θα γίνονταν σε τριάντα χρόνια αλλά έπρεπε να γίνουν. Με αυτό το σκεπτικό και επειδή είμαστε όλοι με το κινητό στο χέρι, ή το tablet ή το iPad μας, και επειδή απαντάμε σε οτιδήποτε μέσω social media, πρέπει να μάθουμε να αναγνωρίζουμε με ποιον συνομιλούμε. Κατ’ αρχάς πρέπει να είμαστε προσεκτικοί με τα SMS που περιέχουν links – τα phishing SMS είναι η πρώτη μεγαλύτερη απάτη που πργματοποιείται την τρέχουσα περίοδο στην Ευρώπη.

Με το SMS είναι δύσκολο να καταλάβεις ποιος είναι ο αποστολέας γιατί δεν έχεις το full URL να δεις το pattern πάνω του και να καταλάβεις ότι δεν είναι η Πειραιώς, η Alpha Bank ή η Εθνική ή η Eurobank. Επειδή είμαστε εθισμένοι στα κινητά η εμπειρία λέει το εξής, ότι όταν έρχεται στο κινητό μου SMS πατάω αυτόματα το link. Η τράπεζα λέει ότι «εμείς δε θα σας ζητήσουμε τα credentials της ηλεκτρονικής τραπεζικής και ότι όλες οι επικοινωνίες γίνονται μέσω των επίσημων ιστοσελίδων και mobile applications».

Όμως εμείς σαν χρήστες είτε επειδή το ξεχνάμε είτε επειδή είμαστε πλέον με το δάχτυλο στη σκανδάλη, δηλαδή να απαντήσουμε στα SMS, στα posts των social media, πατάμε το link που είναι μεγάλο σφάλμα.. Έρχεται μετά το SCA και στη συναλλαγή σου φτάνεις σε ένα σημείο να σου κάνει το customer authentication. Σου βγάζει pop-up, δηλαδή redirection το οποίο σε πάει για να γίνει το strong customer authentication. Είναι όπως το taxisnet που σου λέει «με ποιο τρόπο θα μπεις; Με την ηλεκτρονική τραπεζική μου» και βάζω τα credential μου και με πάει στο taxisnet. Αυτό έχει γίνει και από την άλλη πλευρά. Πιστεύω ακράδαντα πως λείπει η ενημέρωση και ότι ο χρήστης που πραγματοποιεί ηλεκτρονικές συναλλαγές πρέπει να γνωρίζει ότι δεν απαντάμε σε μηνύματα που ζητούν τα credential μας. Και η τράπεζα σίγουρα δεν θα τα ζητήσει.

Άρα οι τράπεζες μπορούν να παίξουν το ρόλο του να ενημερώσουν τους καταναλωτές, για το πως πρέπει να κινηθούν; Τι περιθώρια υπάρχουν σε αυτό;

Στην Ελληνική Ένωση Τραπεζών (ΕΕΤ) υπάρχει μια ειδική επιτροπή που συνεδριάζει τακτικά, με στόχο την προστασία των καταναλωτών και τη βελτίωση της ασφάλειας των ηλεκτρονικών συναλλαγών. Και γι’ αυτό το λόγο συμμετέχουν στελέχη της Τράπεζας της Ελλάδος και της Δίωξης Ηλεκτρονικού Εγκλήματος. Εκτιμώ ότι γίνεται καλή και αποτελεσματική δουλειά, καθώς ως εκπρόσωπος της ΕΕΤ στη Europol όπου υπάρχει το European Cyber Threat Center και στο Cybersecurity Working Group του European Banking Federation, έχω εικόνα πως λειτουργούν τα πράγματα στο εξωτερικό και πιστεύω ότι είμαστε σε πολύ καλό επίπεδο. Φυσικά η δυναμική είναι μεταβαλλόμενη και γίνεται συνεχής προσπάθεια βελτίωσης των μέτρων προστασίας. Το awareness είναι το σημαντικότερο σημείο αναφοράς. Μέσω της συνεργασίας της Ένωσης Τραπεζών, της Δίωξης Ηλεκτρονικού Εγκλήματος και της Europol πραγματοποιούνται συνεχής καμπάνιες ενημέρωσης. Παράλληλα, κάθε τράπεζα ξεχωριστά ενημερώνει τους πελάτες της μέσω των επίσημων ιστοσελίδων και social media λογαριασμών.Αν ένας πελάτης πέσει θύμα απάτης υπάρχει άμεση αντίδραση από την τράπεζα, είτε γιατί θα ενεργοποιηθούν τα anti-fraud συστήματα είτε γιατί θα ενημερωθεί από το χρήστη, γιατί καμιά φορά ο χρήστης το αντιλαμβάνεται σχεδόν αμέσως μετά την εκτέλεση της συναλλαγής. Δυστυχώς τέτοιες υποθέσεις είναι αρκετές και δύσκολες, γι’ αυτό χρειάζεται πολύ μεγάλη προσοχή.

Για παράδειγμα, δεν μπορεί να επικοινωνεί κάποιος τηλεφωνικά για να αγοράσει φυτοφάρμακα και να δίνεις τα credential σου, χωρίς δεύτερη σκέψη, ώστε να καταθέσει στο λογαριασμό σου €17.000. Πρέπει ο καθένας από μας να προσέχει. Είναι και ατομική η ευθύνη. Οι τράπεζες έχουν επενδύσει αρκετά στα anti-fraud συστήματα αλλά πάντα υπάρχει και ο ανθρώπινος παράγοντας. Πρέπει και ο πελάτης να είναι ευαίσθητος στη διαχείριση αυτών. Αλλά πρέπει να προστατεύει και τα προσωπικά του δεδομένα, δεν είναι δυνατόν να τα βγάζουμε απροκάλυπτα στα social media.

Εμείς ως καταναλωτές πρακτικά πως μπορούμε να προστατευτούμε;

Η βασική αρχή είναι πως οτιδήποτε λαμβάνουμε μέσω e-mail/ SMS/ social media και περιέχει links και ζητάει τα στοιχεία των καρτών μας ή τους κωδικούς της ηλεκτρονικής τραπεζικής δεν θα πρέπει να τα πληκτρολογούμε. Άρα ο χρήστης πρέπει να συνειδητοποιήσει ότι καμία τράπεζα δε θα ζητήσει credentials μέσω links. Ούτε να αλλάξει κωδικούς με e-mail ή SMS. Επiπροσθέτως, δεν καταχωρούμε e-banking κωδικούς σε διαφημίσεις στα social media. Ειδικότερα, οι επικοινωνίες μέσω social media είναι επισφαλείς καθώς δεν μπορούμε να πιστοποιήσουμε το προφίλ του συνομιλητή μας. Με βάση αυτή τη παράμετρο, θα πρέπει να προστατέψουμε τα προσωπικά μας δεδομένα. Οι fraudsters έχουν χάσει αρκετά λεφτά από τις κλεψιές πορτοφολιών και λεφτών λόγω πανδημίας, γιατί και αυτοί τζίρο κάνουν από την πλευρά τους και είναι καλά οργανωμένοι, οπότε προς τι οδηγήθηκαν τώρα;

Θα πρέπει να σημειωθεί ότι έχουμε αρκετά πλέον ελληνικά phishing e-mails, τα οποία είναι καλογραμμένα χωρίς συντακτικά ή ορθογραφικά λάθη, σε αντίθεση με ότι συνέβαινε στο παρελθόν όπου τα αντίστοιχα e-mails ήταν προϊόν google translate και προκαλούσαν υποψίες στον καταναλωτή. Καθώς οι fraudsters έχουν χάσει εξαιτίας της πανδημίας και των περιορισμών στις μετακινήσεις τη δυνατότητα αρπαγής χρημάτων με τους παραδοσιακούς τρόπους, επικεντρώθηκαν στη διαδικτυακή απάτη. Θα πρέπει να σημειωθεί ότι έχουμε αρκετά πλέον ελληνικά phishing e-mails, τα οποία είναι καλογραμμένα χωρίς συντακτικά ή ορθογραφικά λάθη, όπως συνέβαινε στο παρελθόν όπου τα αντίστοιχα ήταν προϊόν google translate και προκαλούν κάποιες υποψίες στον καταναλωτή. Στον αντίποδα, οι τράπεζες κάνουν σημαντικά βήματα σε συνεργασία με τις εγχώριες και ευρωπαϊκές αρχές ώστε να προστατεύσουν τους πολίτες.Είναι γεγονός ότι οι μηχανισμοί των τραπεζών έχουν επιτύχει την επιστροφή σε χρημάτων σε θύματα διαδικτυακής απάτης. Όμως, όπως τα anti-fraud συστήματα εξελίσσονται, το ίδιο κάνουν και οι fraudsters φέρνοντας το voice phishing στην καθημερινότητα, όπου μέσω τηλεφώνου προσπαθούν να αποσπάσουν κωδικούς και στοιχεία καρτών.

Εν Ολίγοις
Η εκπαίδευση των πελατών στην προστασία των προσωπικών τους δεδομένων και την κυβερνοασφάλεια θα πρέπει να συμβαδίζει με τις προσπάθειες των τραπεζών για γρήγορες και ασφαλείς ηλεκτρονικές συναλλαγές.

Το e-mail και SMS phishing είναι οι κορυφαίοι τρόποι υποκλοπής χρημάτων, με την πανδημία να έχει αυξήσει δραματικά τα κρούσματα ηλεκτρονικής απάτης και στη χώρα μας. Σύμφωνα με τον Χρίστο Τόπακα, θα πρέπει οι καταναλωτές να ενημερώνονται για τις εξελίξεις στον τομέα της κυβερνοασφάλειας και να παίρνουν προφυλάξεις για να προστατεύσουν τα χρήματα τους.