Η πανδημία του Covid-19 και η εντατικοποίηση του ψηφιακού μετασχηματισμού πολλαπλασίασαν τα… “κρούσματα” ηλεκτρονικής απάτης, με τους χρηματοοικονομικούς οργανισμούς να πρέπει να αναπροσαρμόσουν τις στρατηγικές και τις τεχνολογίες που διαθέτουν για την καταπολέμηση του ηλεκτρονικού εγκλήματος.

Καθώς η ζωή μας περνάει με γοργό ρυθμό και με καταλύτη την πανδημία από την offline στην online έκφρασή της, το ίδιο -μοιραία- συμβαίνει και με το έγκλημα, που γίνεται κι αυτό ψηφιακό. Επιχειρήσεις, οργανισμοί και ιδιώτες βρίσκονται όλο και πιο συχνά αντιμέτωποι με κυβερνο-επιθέσεις που στόχο έχουν είτε την οικονομική απολαβή, με πολλούς και διάφορους τρόπους, είτε την κλοπή δεδομένων – που κι αυτά πωλούνται από τους κακόβουλους στο Dark Web.

Τέσσερις ειδικοί επί του θέματος μιλούν στο Digital Finance, περιγράφοντας -ο καθένας με τη δική του οπτική- την κατάσταση που επικρατεί σήμερα στην Ελλάδα και την ευρύτερη περιοχή όσον αφορά στην ηλεκτρονική απάτη, παρέχοντας μετά λόγου γνώσεως οδηγίες και συμβουλές προς αντιμετώπιση αυτού του ολοένα εντεινόμενου προβλήματος.

ΚΑΛΛΙΟ ΤΟ ΠΡΟΛΑΜΒΑΝΕΙΝ…

Ένα από τα βασικά “αναχώματα” της κοινωνίας απέναντι στις ηλεκτρονικές απάτες, είναι η  Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., η οποία δίνει το παρών σε όλες τις φάσεις, από την ενημέρωση των πολιτών ως την αντιμετώπιση του προβλήματος σε πραγματικό χρόνο, αλλά και στην ευαισθητοποίησή τους, ώστε να λαμβάνουν εγκαίρως προληπτικά μέτρα και προφυλάξεις.

Ο Διευθυντής της Υπηρεσίας, Αστυνομικός Διευθυντής Βασίλης Παπακώστας, περιγράφει με στοιχεία και στατιστικές το μέγεθος του προβλήματος και δίνει συμβουλές για την αντιμετώπιση των κινδύνων.

ΟΙ ΣΥΝΕΠΕΙΕΣ ΤΗΣ ΠΑΝΔΗΜΙΑΣ

Η πανδημία του COVID-19 και η ανάγκη για απρόσκοπτη συνέχιση της λειτουργίας του δημόσιου και ιδιωτικού τομέα, επιτάχυναν τον ψηφιακό μετασχηματισμό επιχειρήσεων και οργανισμών, που προσαρμόστηκαν στα νέα δεδομένα αξιοποιώντας τεχνολογίες απομακρυσμένης πρόσβασης μέσω ασφαλών εικονικών δικτύων (Virtual Private Networks – VPN), προκειμένου να διασφαλίσουν την εξ αποστάσεως εργασία.

Στην Ελλάδα, σύμφωνα με τον Ελληνικό Σύνδεσμο Ηλεκτρονικού Εμπορίου (GRECA), ο όγκος των ηλεκτρονικών παραγγελιών ανά ημέρα ξεπέρασε τον Δεκέμβριο του 2020 τις 800.000. Το ηλεκτρονικό εμπόριο, το οποίο υπό κανονικές συνθήκες αποτελεί το 17% της κίνησης, σήμερα φτάνει το 83% του συνολικού όγκου αγορών.

Αντίστοιχα, σύμφωνα με τα στατιστικά της Υπηρεσίας μας, αλλά και εκθέσεις που έχουν εκπονηθεί διεθνώς, όπως αυτή της Europol, οι εγκληματίες επίσης προσαρμόστηκαν στα νέα δεδομένα.

Πρωταγωνιστικό ρόλο στο κυβερνοέγκλημα κατέχουν η κοινωνική μηχανική (Social engineering),δηλαδή, η χειραγώγηση των θυμάτων από τους δράστες, και οι επιθέσεις με αλίευση των προσωπικών δεδομένων (phishing), τεχνικές που χαρακτηρίζονται ιδιαίτερα επιτυχείς, κυρίως λόγω έλλειψης επαρκών μέτρων ασφαλείας και κατάλληλης ενημέρωσης ή εκπαίδευσης των χρηστών.

Εξίσου συνηθισμένες είναι και οι επιθέσεις με κακόβουλο λογισμικό τύπου ransomware (λυτρισμικό), αλλά και επιθέσεις με άλλου τύπου κακόβουλο λογισμικό. Σημαντικό ρόλο, τέλος, εξακολουθούν να διαδραματίζουν οι απάτες που διαπράττονται μέσω διαδικτύου και ειδικά οι λεγόμενες απάτες με τη μέθοδο του «ενδιάμεσου» (Business Email Compromise – BEC) καθώς και οι νεοεμφανιζόμενες με τη μέθοδο της αντικατάστασης καρτών κινητής τηλεφωνίας SIM (SIM-swap).

ΜΑΚΡΥΣ Ο ΔΡΟΜΟΣ

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια στον Κυβερνοχώρο (ENISA)προειδοποιεί ότι ο δρόμος για ένα πιο ασφαλές ψηφιακό περιβάλλον θα είναι μακρύς. Αυτό οφείλεται, κυρίως, στην αποδυνάμωση των υφιστάμενων μέτρων ασφάλειας στον κυβερνοχώρο λόγω των αλλαγών στα πρότυπα εργασίας της εξ αποστάσεως απασχόλησης. Αυτή η στροφή οδήγησε σε αύξηση των εξατομικευμένων επιθέσεων στον κυβερνοχώρο, με τη χρήση, μάλιστα, πιο προηγμένων μεθόδων και τεχνικών.

ΠΛΟΥΣΙΑ ΣΥΓΚΟΜΙΔΗ

Σύμφωνα με τα επίσημα στατιστικά στοιχεία της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος παρατηρήθηκε αύξηση 13,8% στο σύνολο των νέων υποθέσεων τις οποίες χειρίστηκε το 2020, σε σχέση με το 2019.

Οι απάτες που πραγματοποιήθηκαν μέσω διαδικτύου εμφάνισαν αύξηση 13,66% με σημαντικότερους τρόπους δράσης τις μεταφορές χρημάτων μέσω τραπεζικών συστημάτων και απάτες που σχετίζονταν με αγορές υλικών αγαθών. Επίσης, εμφανίστηκαν νέοι τρόποι δράσης, όπως οι απάτες με αντικατάσταση/αλλαγή κάρτας SIM κινητού τηλεφώνου (sim swap) και οι απάτες με την υπόσχεση παροχής επενδυτικών υπηρεσιών.

Δεν υπάρχουν σύνορα – Για τη διάπραξη κακόβουλων ενεργειών στο διαδίκτυο δεν απαιτείται αυτοπρόσωπη παρουσία δράστη και θύματος. Βασικό χαρακτηριστικό του διαδικτύου είναι η “ανωνυμία” που παρέχει στους χρήστες του, λόγω μη ταυτοποίησης κατά την εγγραφή τους σε ιστολόγια και μέσα κοινωνικής δικτύωσης.

Το διαδικτυακό έγκλημα είναι παγκοσμιοποιημένο και αναπτύσσεται ταχέως, η διάδοσή του είναι ραγδαία και συμβαδίζει με την εξέλιξη και διείσδυση της τεχνολογίας των υπολογιστών στις κοινωνίες. Τα εγκλήματα μπορούν να πραγματοποιηθούν από οποιονδήποτε κακόβουλο χρήστη που βρίσκεται σε οποιοδήποτε σημείο του πλανήτη και να πλήξουν πολίτες που βρίσκονται σε οποιαδήποτε άλλη χώρα.

Η ισχύς εν τη ενώσει – Σ’ αυτό το πλαίσιο, η χώρα μας επενδύει σε συνεργασίες εντός της επικράτειας με εισαγγελικές αρχές, άλλους φορείς, ανεξάρτητες αρχές, πανεπιστήμια, τραπεζικά ιδρύματα, ιδιωτικό τομέα, καθώς και με τον εμπορικό και επιχειρηματικό κόσμο, αλλά και σε διεθνές επίπεδο με Europol, Interpol, ec3, FBI, ENISA.

Ειδική μνεία γίνεται για την απευθείας συνεργασία της Υπηρεσίας μας με αστυνομικές και δικαστικές αρχές της αλλοδαπής, με τη συνδρομή της Eurojust, προκειμένου να οργανωθούν JITs-Joint Investigation Teams.

CRIME AS A SERVICE

Η παροχή υπηρεσιών διάπραξης “διαδικτυακών εγκλημάτων ως υπηρεσία”, γνωστό ως “Crime as a Service” αποτελεί μια από τις σημαντικότερες απειλές στον κυβερνοχώρο, καθώς χρησιμοποιείται από κυκλώματα του οργανωμένου εγκλήματος για όλα τα διαδικτυακά εγκλήματα και κυρίως για επιθέσεις σε κρίσιμες κρατικές και μη ψηφιακές υποδομές, την τρομοκρατία, το παράνομο εμπόριο όπλων, ανθρώπων, ναρκωτικών κ.λπ.

Βλέπουμε, δηλαδή, πως το έγκλημα στο διαδίκτυο εμπορευματοποιείται και παράλληλα -τόσο από άποψη ωρίμανσης, όσο και προσφοράς- αυξάνεται. Στην τελευταία έκθεση της IOCTA 2020 το “Crime as a Service” αναγνωρίζεται ως μέσο διευκόλυνσης τόσο του ηλεκτρονικού ψαρέματος “phishing”, όσο και άλλων μορφών κυβερνοεγκλήματος.

Συγκεκριμένα, η διαθεσιμότητά του στο σκοτεινό διαδίκτυο βοηθάει τους εγκληματίες να βελτιώσουν σημαντικά την τεχνική πολυπλοκότητα των επιθέσεών τους, χωρίς να απαιτείται κατανόηση των διαθέσιμων εξελιγμένων τεχνολογιών, συμπεριλαμβανομένης και της Τεχνητής Νοημοσύνης.

ΝΕΟ ΠΕΔΙΟ ΔΟΞΗΣ ΛΑΜΠΡΟ

Οι απάτες είναι πια περισσότερο εξελιγμένες και οι δράστες πιο καταρτισμένοι, τόσο σε τεχνικά όσο και σε οικονομικά ζητήματα.

Η ισχυρή παρουσία των κρυπτονομισμάτων ως μέσο τέλεσης παραβατικών πράξεων καταδεικνύει την πολυπλοκότητα εξιχνίασης υποθέσεων απατών, δεδομένου ότι η χρήση μηχανισμών ανάμειξης συναλλαγών κρυπτονομισμάτων (τα λεγόμενα mixing services ή tumblers) οδηγεί στην απόκρυψη της ροής του χρήματος και δυσκολεύει σημαντικά την ταυτοποίηση του τελικού αποδέκτη.

Οι απάτες σε συνδυασμό με τη χρήση κρυπτονομισμάτων κατά την τέλεσή τους απαιτούν ερευνητές με ειδικές γνώσεις για τη διαλεύκανσή τους.

Η εμπλοκή αλλοδαπών χωρών στην αναζήτηση των ηλεκτρονικών ιχνών ανέρχεται σε ποσοστό 80%-90% των υποθέσεων, ενώ η περιουσιακή ζημία για τους πολίτες της χώρας μας αποτιμάται ετησίως σε 9 – 40 εκατ. ευρώ. Επομένως, είναι επιβεβλημένη η συνέχιση της διεθνούς παρουσίας της ΕΛ.ΑΣ. και η συμμετοχή της σε διεθνείς δράσεις για την επίτευξη σημαντικών αποτελεσμάτων στη δίωξη του κυβερνοεγκλήματος.

Φάρμακα και θεραπείες – Η πρόληψη αναφορικά με το έγκλημα στον κυβερνοχώρο αποτελεί στρατηγική επιλογή του Αρχηγείου της Ελληνικής Αστυνομίας, μέσω της κατάρτισης προγραμμάτων ενημέρωσης πολιτών και φορέων, καθώς -όπως διαπιστώνουμε- τα διαδικτυακά εγκλήματα οφείλονται κυρίως σε έλλειψη εμπειρίας και λήψης μέτρων ασφαλείας από τους χρήστες.

Σημαντική είναι, επίσης, και η δημοσιοποίηση του κοινωνικού έργου της Υπηρεσίας μέσω των ιστοσελίδων (cyberalert.gr και cyberkid.gr) και των μέσων κοινωνικής δικτύωσης (Twitter, Facebook, Instagram, YouTube) με σκοπό την άμεση ενημέρωση και ευαισθητοποίηση των πολιτών σε θέματα ηλεκτρονικών απειλών και κινδύνων.

Η ασφάλεια των πληροφοριακών και τηλεπικοινωνιακών υποδομών είναι μια διαρκής διαδικασία στην οποία αξίζει να επενδύουμε σε υλικοτεχνικό εξοπλισμό και κατάλληλο στελεχιακό δυναμικό, το οποίο -με την κατάλληλη εκπαίδευση- θα είναι σύμμαχος του φορέα που υπηρετεί στην αποτελεσματική διαδικτυακή προστασία.

Η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί υψηλή προτεραιότητα για όλους μας, ειδικά κατά την τρέχουσα περίοδο, αλλά και μελλοντικά που ολοένα και περισσότερες δραστηριότητες θα διενεργούνται διαδικτυακά.

Ο ΕΦΗΣΥΧΑΣΜΟΣ ΒΛΑΠΤΕΙ ΣΟΒΑΡΑ ΤΟ ΤΡΑΠΕΖΙΚΟ ΣΥΣΤΗΜΑ

Η απότομη, λόγω της πανδημίας, αύξηση των αγορών και γενικότερα των συναλλαγών μέσω του Διαδικτύου, έχει προκαλέσει το έντονο ενδιαφέρον μεμονωμένων κακόβουλων ή και ολόκληρων εγκληματικών δικτύων, που σπεύδουν να εκμεταλλευτούν την ευκαιρία.

Ο Ανδρέας Κίτσιος, Head of Customer Advisory, Greece & Eastern Europe της SAS Institute, περιγράφει την κατάσταση που επικρατεί σήμερα στη χώρα μας, σχολιάζει τις συνέπειες για το χρηματοπιστωτικό σύστημα αλλά και το κοινό, ενώ κάνει και προτάσεις για βελτίωση αυτής της ανησυχητικής εξέλιξης.

Σήμερα, λόγω της πανδημίας, πολύ περισσότεροι ψωνίζουν online. Οι ψηφιακές συναλλαγές εκτοξεύθηκαν κι αυτό είχε μεγάλη επίπτωση τόσο παγκοσμίως, όσο και στην Ελλάδα, στο κομμάτι που λέγεται Identity theft.

Υπάρχουν δυο διακλαδώσεις: η μια έχει να κάνει με την κλοπή των στοιχείων της κάρτας σου -πχ. τα passwords και ΡΙΝ που σου στέλνει η τράπεζα, για να κάνεις αναλήψεις από τον eBanking λογαριασμό σου- χωρίς να το καταλάβεις και η άλλη με το ότι μπορώ να σου κλέψω στοιχεία και να δημιουργήσω συνθετικές ταυτότητες – δηλ. ψεύτικα προφίλ ανθρώπων.

Οι κακοποιοί προσπαθούν να υποκλέψουν τα στοιχεία κάποιου προκειμένου να πάρουν χρηματοοικονομικά προϊόντα στο όνομά του – φυσικά, μόλις τα πάρουν εξαφανίζονται και δεν τα πληρώνουν ποτέ. Οι τράπεζες μετά, είτε κυνηγούν εσένα (γιατί κάποια στοιχεία της ταυτότητας είναι εντελώς ψεύτικα, όμως κάποια άλλα ανήκουν σε πραγματικά πρόσωπα) είτε ψάχνουν να βρουν ποιος έκανε την ”κλοπή”.

Σε πολλές περιπτώσεις έχουμε δει και συνεργασίες όχι ύποπτων πελατών τραπεζών, που γίνονται εν γνώσει τους (δίνοντας κάποια στοιχεία τους) “σημεία εισόδου” για οργανωμένα εγκληματικά δίκτυα.

Η τράπεζα είναι σ’ αυτές τις περιπτώσεις υποχρεωμένη να κάνει έρευνες (forensics) – τριπλό κομμάτι που έχει να κάνει με cybersecurity, cyber forensics και process investigation. Οι τράπεζες θέλουν να γίνουν πιο πολύ fintech και να δώσουν περισσότερες ψηφιακές υπηρεσίες. Όσο ανοίγει αυτό το “μπουκέτο”, λοιπόν, τόσο ανοίγει και η δυνατότητα για τους εγκληματίες να δράσουν.

Το νομικό πλαίσιο – Πλαίσια υπάρχουν, αλλά αφήνουν αρκετά περιθώρια στην ερμηνεία τους. Στο PSD2 υπάρχουν ποσοτικά κριτήρια που πρέπει να πληρούν οι τράπεζες πχ. μια συναλλαγή να ελέγχεται αν είναι πιθανώς απάτη μέσα σε χρόνο το πολύ 0,3’’ – αυτό είναι εντελώς ξεκάθαρο και στη συντριπτική πλειοψηφία τους μπορούν να το κάνουν, χάρη στην τεχνολογία.

Το πρόβλημα είναι να βρουν τα κριτήρια που πρέπει να καλύψουν, σ’ αυτό το χρονικό διάστημα. Υπάρχει μηχανισμός ελέγχου, αλλά δεν προλαβαίνει να εμπλουτιστεί με την κατάλληλη πληροφορία, με σενάρια εντοπισμού, δικλίδες ή και self-learning δυνατότητες, προκειμένου να πιάσει νέες περιπτώσεις απάτης.

Εκεί είναι το μεγάλο στοίχημα, όπως και σε κάποια άλλα θέματα, όπως πχ. τα βιομετρικά χαρακτηριστικά. Για παράδειγμα, στο mobile banking πολλές φορές το ένα password δεν φτάνει, σε κάποιες περιπτώσεις ίσως χρειάζεται 3-tier / 3 factor authentication. Είναι ένα περίεργο balancing act για τις τράπεζες, που πρέπει να τα συμβιβάσουν όλα.

Τρία Προβλήματα – Το πρώτο και μεγαλύτερο πρόβλημα είναι τα synthetic identities και το ότι οι τράπεζες δεν προλαβαίνουν να προσαρμοστούν σε νέες απειλές. Το δεύτερο, ότι γενικώς οι πηγές πληροφοριών που έχουν τα συστήματα ελέγχου είναι φτωχές (συνήθως το core banking σύστημά τους και το CRM) – θα μπορούσαν να συνδυάσουν πολύ περισσότερες πχ. κάποια mobile και web portals για βιομετρικά χαρακτηριστικά ή κάποια repositories (πχ. Τειρεσίας)

Υπάρχουν, βεβαίως, θέματα προστασίας του προσωπικού απορρήτου, αλλά και δικλείδες ασφαλείας – τα δεδομένα χρησιμοποιούνται masked, χωρίς να ανοίγουν, δίνουν μόνο ένα ναι ή ένα όχι ως απάντηση. Το τρίτο είναι ότι υπάρχει μεγάλη κατάτμηση μεταξύ τμημάτων και αρμοδιοτήτων σ’ ό,τι αφορά στις απάτες. Άλλοι κοιτούν fraud σε κάρτες, άλλοι σε ψηφιακά κανάλια, άλλοι για “ξέπλυμα” χρήματος.

Κάποιος μπορεί να κινηθεί στα όρια, ανάμεσα σ’ όλες αυτές τις διαφορετικές τυπολογίες, και να έχει περιθώριο δράσης. Έξω, υπάρχει η τάση αυτά να συγκεντρώνονται σε συνολικό εποπτικό όργανο, εκτός από κάποια ειδικά τμήματα, το οποίο μπορεί reactively (αν και όχι proactively) να εντοπίζει τις νεκρές ζώνες και να φροντίζει για βελτίωση της κατάστασης.

Εμπλέκονται, βεβαίως, πολλοί: τράπεζες, Mastercard – Visa και πάροχοι πληρωμών (η Viva wallet για την ώρα, η Revolut ήρθε επίσης, ενώ ακολουθούν με ανάλογες υπηρεσίες και οι τηλεπικοινωνιακές).

Τρεις προτάσεις – Είμαστε σε σχετικά καλό επίπεδο ωριμότητας, αλλά με αρκετά περιθώρια βελτίωσης. Μπορεί εύκολα να ξεγελάσει κάποιος το σύστημα, ειδικά αν έχει συνεργασία εκ των έσω, αλλά σαν μεγαλύτερο κίνδυνο θεωρώ τον εφησυχασμό – Μπορεί σήμερα να είμαστε καλά, αλλά σύντομα όχι, αν συνεχιστεί έτσι.

Οι τράπεζες πρέπει να αντιληφθούν ποια ακριβώς είναι τα δεδομένα και οι περιοχές που μπορούν να εκμεταλλευτούν σωστά και αποτελεσματικά, προκειμένου να βελτιστοποιήσουν τις διαδικασίες για εντοπισμό απάτης – όσο το δυνατόν σε πραγματικό χρόνο!

Είναι, επίσης, πολύ βασικό να επιταχύνουν τις υπηρεσίες τους και δεν χρειάζεται να ανακαλύψουν τον τροχό – υπάρχουν οι τεχνολογικές δυνατότητες, πολλά έχουν ήδη γίνει στο εξωτερικό.

Εμείς, ας πούμε στη SAS, θέλουμε να τον εκδημοκρατίσουμε – να μπορεί ο business χρήστης να εισάγει στο σύστημα και να επεξεργαστεί τα δεδομένα του πάρα πολύ γρήγορα, χωρίς τη βοήθεια του τμήματος ΙΤ, που πλέον ασχολείται με άλλα πράγματα.

ΕΝΗΜΕΡΩΣΗ, ΚΑΤΑΝΟΗΣΗ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΠΡΟΛΗΨΗ

Η καταπολέμηση της απάτης σε όλες τις εκφάνσεις, βαθμούς, κλάδους και μορφές της είναι ο βασικός σκοπός και στόχος του διεθνούς μη-κερδοσκοπικού Association of Certified Fraud Examiners, του οποίου το ελληνικό τμήμα -ως Ινστιτούτο Αντιμετώπισης Απάτης- πραγματοποίησε τον περασμένο Νοέμβριο και για πρώτη φορά δικτυακά, εβδομαδιαίο συνέδριο στο πλαίσιο της παγκόσμιας Fraud Awareness Week.

Ο πρόεδρός του, Χαράλαμπος Ξύδης, δίνει στο Digital Finance την εικόνα του eFraud σήμερα και τα βασικά αντίμετρα για την αντιμετώπισή του. Καταπολέμηση σημαίνει… πρόληψη – ανίχνευση – καταστολή, σε όλο το φάσμα του φαινομένου της απάτης και των περιστατικών που συνδέονται μ’ αυτήν.

Ο συνδυασμός των γρήγορων εξελίξεων στους τομείς της τεχνολογίας και των τηλεπικοινωνιών, της ψηφιοποίησης των συστημάτων που χρησιμοποιούν οι εταιρείες, σε σχέση και με τη ραγδαία αύξηση των ηλεκτρονικών συναλλαγών, έχει σαν αποτέλεσμα την τεράστια αύξηση του όγκου της συνολικής απάτης -στην περίπτωσή μας, στην ηλεκτρονική απάτη- με μεγάλη οικονομική επίπτωση.

Εμείς, σαν Ινστιτούτο, θεωρούμε ότι η ενημέρωση και κατάρτιση των στελεχών επιχειρήσεων για τις ηλεκτρονικές απάτες, όπως και η δημιουργία πλαισίου ετοιμότητας σε επίπεδο εργαλείων από κάποιον οργανισμό, είναι σε θέση να αποτρέψουν   τέτοιου είδους ηλεκτρονικά εγκλήματα που έχουν ως στόχο είτε το οικονομικό όφελος είτε την κλοπή προσωπικών δεδομένων.

RED FLAGS

Έχει αποδειχθεί διαχρονικά και σε εποχές που το εργαλείο αιχμής για τον απατεώνα δεν ήταν η τεχνολογία αλλά το μυαλό του, πως το τελευταίο παραμένει η κινητήρια δύναμη και ο μοχλός που τον φέρνει πάντοτε ένα βήμα μπροστά από το ανυποψίαστο θύμα ή κι από τις αρχές.

Είναι σημαντικό τα στελέχη σε καίριες θέσεις, να μπορούν να αναγνωρίσουν σαφείς ενδείξεις (red flags) της ηλεκτρονικής (και όχι μόνο…) απάτης! Είναι πολύ βασικό να κάνουν ανίχνευση και πρόληψη, να γνωρίζουν τα κατάλληλα μέτρα ασφαλείας, και -κυρίως- ο κόσμος των επιχειρήσεων πρέπει να αρχίσει να κατανοεί τις διάφορες τεχνολογίες για ενίσχυση της ιδιωτικότητας, κρυπτογράφηση κλπ. Το αντίθετο μπορεί να έχει πολύ αρνητικά, καταστροφικά αποτελέσματα!

Η καθημερινότητά μας και η επιχειρησιακή ζωή ψηφιοποιούνται πλέον πλήρως, όλες οι συναλλαγές είναι ηλεκτρονικές όπως και η συντριπτική πλειοψηφία της δραστηριότητας μιας εταιρίας ή οργανισμού.

Τα ERP συστήματα αποτελούν μέρος της ζωής μας, εξελίσσονται διαρκώς και γίνονται πιο περίπλοκα, ενώ μπαίνουν επίσης στη ζωή μας με ομαλό μεν αλλά πολύ γρήγορο τρόπο, και συστήματα τα οποία έχουν σχέση με την απάτη και τη διαφθορά πχ. συστήματα whistleblowing με σχετικές πλατφόρμες προειδοποίησης.

ΕΤΑΙΡΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ

Όλα αυτά συνδέονται με το συνολικά governance της εταιρείας –όλα όσα ακουμπάνε στο fraud examination, στον έλεγχο, την οικονομική διαχείριση, σε θέματα νομικά και ΙΤ, σε θέματα συμμόρφωσης (ethics & compliance), ανταγωνισμού, ξεπλύματος χρημάτων κλπ., μας πήρε πολύ καιρό να το καταλάβουμε– και συγκεκριμενοποιούνται όχι μόνο με το νόμο της εταιρικής διακυβέρνησης, που έχουμε από το περασμένο καλοκαίρι.

Οι τάσεις, οι εξελίξεις και οι ανάγκες της αγοράς, μπαίνουν επίσης κάτω από τη μεγάλη ομπρέλα του corporate governance, η οποία καλύπτει πάρα πολλούς τομείς. Τα συστήματα ήρθαν για να μείνουν.

Για εμάς, το τρίπτυχο είναι ενημέρωση, κατανόηση συστημάτων και πρόληψη! Αν αυτό μπορούσαμε να το περάσουμε σε όλο τον κόσμο σαν φιλοσοφία κι όποιος μπορεί να το εφαρμόσει στην καθημερινή του ζωή, θα γλυτώναμε πολλά…

«Η χρήση μηχανισμών ανάμειξης συναλλαγών κρυπτονομισμάτων (τα λεγόμενα mixing services ή tumblers) οδηγεί στην απόκρυψη της ροής του χρήματος.»

Βασίλης Παπακώστας, Αστυνομικός Διευθυντής – Διευθυντής της Δίωξης Ηλεκτρονικόύ Εγκλήματος

«Υπάρχει μηχανισμός ελέγχου, αλλά δεν προλαβαίνει να εμπλουτιστεί με την κατάλληλη πληροφορία, προκειμένου να πιάσει νέες περιπτώσεις απάτης.»

Ανδρέας Κίτσιος, Head of Customer Advisory, Greece & Eastern Europe της SAS Institute

«Ο κόσμος των επιχειρήσεων πρέπει να αρχίσει να κατανοεί τις διάφορες τεχνολογίες για ενίσχυση της ιδιωτικότητας.»

Χαράλαμπος Ξύδης, Πρόεδρος Ινστιτούτου Αντιμετώπισης Απάτης

ΣΤΟ ΣΤΟΧΑΣΤΡΟ Ο CEO

To phishing, η «αλίευση» προσωπικών δεδομένων, μπορεί να έχει ως αποδέκτη τον καθένα από εμάς, αλλά είναι ευνόητο πως στο στόχαστρο των κακόβουλων βρίσκονται πολύ περισσότερο κάποια «επώνυμα» και «προβεβλημένα» άτομα, όπως πχ. οι CEO και τα κορυφαία στελέχη μεγάλων επιχειρήσεων και οργανισμών.

Αυτοί είναι τα «μεγάλα ψάρια» από τους οποίους προσδοκούν πολλά και υπάρχει ολόκληρη κατηγορία για τέτοιου είδους επιθέσεις, το CEO Fraud. Ο Διευθυντής Τεχνολογίας της ειδικής σε θέματα ασφαλείας εταιρείας Systecom, Χρήστος Αντωνόπουλος, αναλύει αυτή την περίπτωση Πάνω στις Phishing τεχνικές βασίζονται το eFraud και το CEO Fraud.

Στο πρώτο, οι εγκληματίες του κυβερνοχώρου πλαστογραφούν λογαριασμούς email εταιρειών ή πλαστοπροσωπούν τα στελέχη, για να ξεγελάσουν έναν υπάλληλο που ασχολείται κυρίως με τα οικονομικά στοιχεία του οργανισμού ή το τμήμα HR, για την εκτέλεση μη εξουσιοδοτημένων τραπεζικών εμβασμάτων ή την αποστολή εμπιστευτικών φορολογικών πληροφοριών.

Αντίστοιχα, στο δεύτερο, προσπαθούν να ξεγελάσουν στοχευμένα στελέχη με εξελιγμένες τεχνικές για την απόσπαση πολύτιμων πληροφοριών, με κόστος που ξεπερνά -σύμφωνα με στατιστικά στοιχεία του FBI- τα 26 δις δολάρια και πλέον διπλασιάζεται κάθε χρόνο.

ΠΟΛΛΕΣ ΕΠΙΛΟΓΕΣ

Εκτός από τον CEO, το eFraud στοχεύει συχνά και σε άλλες ομάδες εργαζομένων, που θεωρούνται «πολύτιμοι», λόγω του ρόλου τους. Το οικονομικό τμήμα μιας εταιρίας είναι συχνά στόχος, λόγω της πρόσβασης σε οικονομικά στοιχεία.

Στόχοι υψηλής αξίας είναι και οι ομάδες πληροφορικής/ασφαλείας με εξουσία ελέγχου, όπως πρόσβαση σε κωδικούς και λογαριασμούς email. Aν τα διαπιστευτήριά τους παραβιαστούν, οι κακόβουλοι αποκτούν πλέον πρόσβαση σε κάθε μέρος του οργανισμού.