Πολύ περισσότερες από όσες δηλώνονται στις Αρχές είναι οι κυβερνοεπιθέσεις, σύμφωνα με όσα εκτιμούν αναλυτές. Με βάση πρόσφατη μελέτη της εταιρείας Surfshark, το 2022 στην Ελλάδα 54 άτομα ανά 1 εκατ. πληθυσμό έπεσαν θύματα κυβερνοεγκλήματος, αναλογία που κατατάσσει τη χώρα μας έκτη παγκοσμίως.
Στις πέντε πρώτες θέσεις της κατάταξης ανήκουν η Μεγάλη Βρετανία με 4.371 θύματα ανά 1 εκατ. χρήστες διαδικτύου, οι Ηνωμένες Πολιτείες (με 1.612 παθόντες), ο Καναδάς, η Αυστραλία και η Νότια Αφρική. Τη δεκάδα συμπληρώνουν η Γαλλία, η Γερμανία, το Μεξικό και η Ισπανία.
Ωστόσο, το πρόβλημα ενδέχεται να έχει πολύ μεγαλύτερες διαστάσεις, επειδή τα θύματα, σε αρκετές περιπτώσεις, δεν καταγγέλλουν στις Αρχές τα περιστατικά.
«Υπάρχει ένα ζήτημα του πώς και τι μετράμε. Ενδέχεται, δηλαδή, κάποιοι άνθρωποι να έχουν πέσει θύματα κυβερνοεπιθέσεων των οποίων οι επιπτώσεις δεν είναι άμεσα ορατές, ιδίως εάν δεν διαθέτουν πρόγραμμα προστασίας έναντι των ιών (antivirus).
Αυτό συναντάται ίσως περισσότερο σε χρήστες μεγαλύτερων ηλικιακών κατηγοριών» σημειώνει ο διεθνολόγος με ειδικότητα στην ευρωπαϊκή ασφάλεια και τις νέες απειλές Τριαντάφυλλος Άκης Καρατράντος.
Επίσης, οι πιο συνηθισμένες περιπτώσεις όπου τα θύματα-ιδίως εάν πρόκειται για ενήλικους άνδρες- δεν καταφεύγουν στις Αρχές περιλαμβάνουν την κοινοποίηση προσωπικών φωτογραφιών ή βίντεό τους στο διαδίκτυο χωρίς τη συγκατάθεσή τους.
Ενδεικτικό είναι πως, σύμφωνα με πρόσφατη έρευνα της Metron Analysis, 1 στους 10 χρήστες ίντερνετ έχει πέσει θύμα κυβερνοεγκλήματος, σχεδόν όλοι «έχουν ακούσει» για τη Γενική Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, αλλά μόλις 1 στους 10 έχει απευθυνθεί σε αυτήν για θέματα ασφαλείας στο Διαδίκτυο.
Μάλιστα, δεν ξεπερνάει το 35% το ποσοστό όσων έχουν πέσει θύμα κυβερνοεγκλήματος κι έχουν απευθυνθεί στην ειδική διεύθυνση της Ελληνικής Αστυνομίας. Κατά την ίδια έρευνα, 1 στους 10 έχει απευθυνθεί αλλού για θέματα ασφαλείας στο Διαδίκτυο και το ίδιο έχουν πράξει 3 στα 10 θύματα κυβερνοεγκλήματος. Τα φιλικά-συγγενικά πρόσωπα αποτελούν τους πρώτους στους οποίους προσφεύγει το 25% όσων έχει δεχτεί κυβερνοεπίθεση.
Οι κρίσιμες υποδομές
Την ίδια στιγμή, βασικός στόχος των κυβερνοεγκληματιών είναι οι κρίσιμες υποδομές.
“Είμαστε σε μία περίοδο όπου η Δύση και πολλές ευρωπαϊκές χώρες βρίσκεται σε αντιπαράθεση με τη Ρωσία η οποία χρησιμοποιεί και την παραπληροφόρηση ως όπλο. Αυτό φανερώνει και την ανάγκη της προστασίας των κρίσιμων οντοτήτων και υποδομών, όπως ένα μεγάλο τηλεπικοινωνιακό δίκτυο, τα φορολογικά δεδομένα των πολιτών, υπουργεία, ενεργειακές εγκαταστάσεις κ.τ.λ.
Πάντως, η Ελλάδα, κυρίως μετά το 2020, έχει προχωρήσει στη δημιουργία των αναγκαίων δομών κυβερνοασφάλειας, ενώ κρίσιμο ρόλο διαδραματίζει και η εκπαίδευση των πολιτών» αναφέρει ο κ. Καρατράντος.
Όπως έχει σημειώσει, κατά το πρόσφατο φόρουμ των Δελφών, ο Γιώργος Ντάγκλας, COO της εταιρείας παροχής υπηρεσιών προστασίας έναντι κυβερνοεπιθέσεων, τα κέρδη από το κυβερνοέγκλημα έχουν ξεπεράσει τα κέρδη από τα ναρκωτικά. «Όλη η οικονομική δραστηριότητα ψηφιοποιείται αυτή τη στιγμή. Θα πρέπει να λαμβάνεται εγγενώς υπόψη η ασφάλεια γιατί αλλιώς θα βρεθούμε προ εκπλήξεων» σημείωσε.
Ταυτόχρονα, οι κυβερνοεπιθέσεις αποτελούν και για τους Έλληνες διευθύνοντες συμβούλους τον μεγαλύτερο κίνδυνο, σύμφωνα με παλαιότερη έρευνα της συμβουλευτικής εταιρείας EY που διεξήχθη σε 30 μεγάλες ελληνικές επιχειρήσεις. Οχι άδικα.
Σύμφωνα με την ετήσια έκθεση της αμερικανικής τεχνολογικής εταιρείας IBM, πέρυσι, διεθνώς, το μέσο κόστος ενός περιστατικού διαρροής δεδομένων ανήλθε για τις επιχειρήσεις με δραστηριότητα σε νευραλγικούς τομείς (ενέργεια, μεταφορές, επικοινωνίες κτλ.) σε περίπου 4 εκατ. ευρώ, έχοντας αυξηθεί κατά 12,7%, συγκριτικά με το 2020. Συνολικά, οι απώλειες εκτιμάται ότι θα αυξηθούν από 8 τρισ. ευρώ σε 22 τρισ. ευρώ μέχρι το 2027.
Επίσης, ο χρόνος που απαιτείται για να λάβει χώρα ένα κυβερνοχτύπημα έχει συρρικνωθεί δραματικά. «Ενώ στο παρελθόν μία κυβερνοεπίθεση απαιτούσε περίπου 60 ημέρες για να οργανωθεί και να εκτελεστεί, σήμερα δεν χρειάζονται παρά μόνο τέσσερις ημέρες», όπως έχει αναφέρει στην «Κ» ο Μπομπ Κάλκα, αντιπρόεδρος του τομέα ασφάλειας της IBM.
Τα δέκα πιο συνηθισμένα ψηφιακά κόλπα:
- Τα απατηλά μηνύματα ηλεκτρονικού ταχυδρομείου (phishing). Στόχος είναι η εξαπάτηση του παραλήπτη, ώστε να γνωστοποιήσει προσωπικές και οικονομικές πληροφορίες ή κωδικούς ασφαλείας. Αυτού του είδους τα μηνύματα μοιάζουν πολύ με όσα στέλνουν οι τράπεζες στους πελάτες τους, φέροντας το ίδιο λογότυπο, τα χαρακτηριστικά και το ύφος των πραγματικών e-mails.
- Τα ψεύτικα μηνύματα στο κινητό (smishing). Ο παραλήπτης ζητείται να κάνει κλικ σε έναν ηλεκτρονικό σύνδεσμο (link) προκειμένου να επαληθεύσει, να ενημερώσει ή να ενεργοποιήσει, εκ νέου, τον λογαριασμό του. Ωστόσο, το link οδηγεί σε ψεύτικη ιστοσελίδα, μέσω της οποίας οι δράστες αποκτούν τον έλεγχο του κινητού.
- Η προσέγγιση μέσω τηλεφώνου (vishing) του θύματος. Σε συνδυασμό με την υιοθέτηση κοινωνικής μηχανικής, το θύμα πείθεται να αποκαλύψει προσωπικά στοιχεία, κωδικούς ασφαλείας ή pin ή ακόμη και να μεταφέρει χρήματα στους απατεώνες.
- Η τεχνική sim swap, της οποίας το «μυστικό επιτυχίας» βασίζεται στο ότι η χρήση του αριθμού κινητού τηλεφώνου είναι από τα πιο βασικά στοιχεία ταυτοποίησης ενός συνδρομητή ή συναλλασσόμενου. Οι δράστες προσποιούνται τον κάτοχο της SIM με στόχο να εξαπατήσουν τους παρόχους και να αποκτήσουν νέα κάρτα που αντικαθιστά αυτή του νόμιμου κατόχου. Μόλις ενεργοποιήσουν τη νέα κάρτα, η παλιά απενεργοποιείται. Ως αποτέλεσμα, όλες οι υπηρεσίες (κλήσεις, SMS, πρόσβαση στο Διαδίκτυο) λαμβάνονται στη συσκευή του δράστη.
- Οι αγορές μέσω Διαδικτύου και οι μεγάλες προσφορές χωρίς πραγματικό αντίκρισμα. Σε αυτή την κατηγορία ανήκουν και οι ψευδείς διαγωνισμοί για δωροεπιταγές από αλυσίδες λιανικής. Το θύμα καλείται να πληκτρολογήσει τον τηλεφωνικό αριθμό του και άλλα προσωπικά στοιχεία.
- Οι απάτες με επενδύσεις υψηλών αποδόσεων συνοδεύονται, ίσως, και με τη μεγαλύτερη λεία. Οι δράστες χρησιμοποιούν, συνήθως, εργαλεία και λογισμικά που τους επιτρέπουν να αλλοιώνουν τους τηλεφωνικούς τους αριθμούς («fake caller ID»), να παρουσιάζουν ψεύτικες ιστοσελίδες ως αληθινές και να δημιουργούν πλαστογραφημένα έγγραφα. Υπόσχονται στα θύματά τους ότι με πολύ μικρό αρχικό κεφάλαιο, συνήθως 250 ευρώ, μπορούν να κερδίσουν πολλά επενδύοντας σε χρηματοοικονομικά προϊόντα.
- Τα διαδικτυακά ραντεβού. Οι απατεώνες, αφότου κερδίσουν την εμπιστοσύνη του συνομιλητή τους, ζητούν και συνήθως λαμβάνουν προσωπικές φωτογραφίες ή βίντεο, ενώ στη συνέχεια, τους εκβιάζουν, απαιτώντας χρήματα για να μη τα δημοσιοποιήσουν.
- Η πληρωμή τιμολογίων και παραστατικών. Σύμφωνα με τη Europol, μια επιχείρηση προσεγγίζεται, μέσω e-mail, τηλεφωνικής κλήσης κ.λπ., από κάποιον που ισχυρίζεται ότι εκπροσωπεί έναν προμηθευτή-δικαιούχο πληρωμής. Ο απατεώνας ζητεί να τροποποιηθούν οι πληροφορίες για τις μελλοντικές πληρωμές τιμολογίων (δηλαδή τα στοιχεία του τραπεζικού λογαριασμού του δικαιούχου πληρωμής), εξασφαλίζοντας έτσι την κυριότητα του προτεινόμενου λογαριασμού.
- Η αποστολή εταιρικού e-email σε εξουσιοδοτημένο για την πραγματοποίηση πληρωμών υπάλληλο μιας εταιρείας. Ο απατεώνας, που έχει γνώση της εσωτερικής εταιρικής διάρθρωσης, υποδύεται ένα υψηλόβαθμο στέλεχος (π.χ. οικονομικός διευθυντής) και απαιτεί επειγόντως την εξόφληση ενός τιμολογίου, ενώ συχνά αναφέρεται σε μια «ευαίσθητη» για την επιχείρηση κατάσταση (π.χ. φορολογικός έλεγχος). Συχνά το αίτημα εξόφλησης αφορά τη διενέργεια πληρωμών σε τράπεζες εκτός Ευρώπης.
- Η «χρυσή κληρονομιά». Στις «απάτες 419» ή «Νιγηριανές Απάτες», όπως αποκαλούνται, αποστέλλονται, μηνύματα σε τυχαίους χρήστες του Διαδικτύου, με τα οποία πληροφορούν ότι απεβίωσε κάτοχος μεγάλης περιουσίας. Και, είτε δεν υφίσταται κανείς κληρονόμος και ο παραλήπτης του μηνύματος έχει επιλεγεί ως κληρονόμος, είτε για να καταστεί δυνατό να αποδεσμευτεί η περιουσία, χρειάζεται αυτή να μεταφερθεί σε τραπεζικό λογαριασμό του εξωτερικού. Ετσι, ο παραλήπτης ενημερώνεται ότι εάν διαθέσει τον λογαριασμό του (και αποστείλει τα στοιχεία του τραπεζικού λογαριασμού του), θα αποκτήσει κάποιο ποσοστό επί της περιουσίας αυτής. Αντίστοιχα, άτομα από τη Νιγηρία αναζητούν συνεργάτες για να μεταφέρουν τα κεφάλαιά τους και υπόσχονται υψηλές αμοιβές.