Σε συνέχεια της παρουσίασης του προηγούμενου τεύχους, θα γίνει αναφορά σε διαδικτυακούς κινδύνους που προκύπτουν από τις εξελιγμένες δυνατότητες επικοινωνίας στο πλαίσιο του Ίντερνετ. Εδώ εμπίπτουν, κυρίως, οι απάτες τύπου «Νιγηριανού συνδέσμου», η «αλίευση κωδικών» (phishing) καθώς και η ανεπιθύμητη ηλεκτρονική αλληλογραφία (spam), που δεν προσβάλλουν την υπολογιστική ισχύ ή την δικτυακή δομή αλλά χρησιμοποιούν το διαδίκτυο ως βοηθητικό επικοινωνιακό μέσο. Το πρόβλημα της ανεπιθύμητης ηλεκτρονικής αλληλογραφίας έχει τύχει ήδη εκτενούς ανάλυσης στη στήλη (τ. 1/2005) και έχει παρουσιαστεί τόσο ο τρόπος δράσης των σπάμερ, όσο και οι προσπάθειες αντιμετώπισης του φαινομένου από τους παροχείς διαδικτυακών υπηρεσιών, τις εταιρείες λογισμικού και τις νομοθεσίες διεθνώς. Οι μηχανισμοί του σπαμ δεν υποβοηθούν, όμως, αποκλειστικά την εμπορική προώθηση αγαθών. Καθημερινά, εξυπηρετούν και τη διακίνηση μαζικής αλληλογραφίας που αποσκοπεί στην εξαπάτηση των ανυποψίαστων παραληπτών.
Ίσως η πρώτη μορφή απάτης που χρησιμοποίησε την ηλεκτρονική οδό προς άγρα θυμάτων, είναι οι γνωστές στον ελληνικό χώρο ως «Νιγηριανές επιστολές» (διεθνώς αναφέρεται ως «Nigerian Connection»). Πρόκειται για περίπτωση που εμφανίστηκε ήδη από το 1988, χρησιμοποιώντας πρώτα το συμβατικό ταχυδρομείο, αργότερα το φαξ και τελικά το Ίντερνετ. Στην πράξη η διαδικασία είναι απλή. Όλα ξεκινούν με κάποιο μήνυμα στην ηλεκτρονική θυρίδα του χρήστη, που προέρχεται από έναν άγνωστο αποστολέα. Το μήνυμα έχει συνήθως επίσημη μορφή και χαρακτήρα εμπιστευτικό, ενώ ο άγνωστος ισχυρίζεται πως είναι αξιωματούχος κάποιας αφρικανικής χώρας, μέλος της κυβέρνησης, επιχειρηματίας ή κληρονόμος μεγάλης περιουσίας και αναζητά βοήθεια προκειμένου να εξάγει σε τράπεζα του εξωτερικού κάποιο μεγάλο χρηματικό ποσό. Ο παραλήπτης καλείται να αποκαλύψει τον αριθμό του τραπεζικού του λογαριασμού, ώστε να γίνει η μεταφορά των χρημάτων, εκ των οποίων του υπόσχονται ένα σεβαστό ποσοστό ως ανταμοιβή. Μόνη προϋπόθεση είναι η αποστολή ενός ικανού χρηματικού ποσού από το υποψήφιο θύμα, προκειμένου να αποδεσμευθούν τα χρήματα ή να καλυφθούν τα έξοδα μεταφοράς τους κλπ. Σε περίπτωση, βέβαια, που κάποιος αφελής χρήστης πεισθεί και επιχειρήσει να εκμεταλλευτεί την φαινομενική ευκαιρία εύκολου κέρδους, αποστέλλοντας το απαιτούμενο ποσό, η επικοινωνία διακόπτεται και η απάτη αποκαλύπτεται.
Η ιδιότητα του αποστολέα και το περιεχόμενο της ιστορίας που περιγράφει, παραλλάσει με ευφάνταστο τρόπο σε τέτοιου είδους e-mail, αλλά το τελικό αίτημα δεν διαφέρει ιδιαίτερα. Σήμερα, εξάλλου, οι επιστολές αυτές δε σχετίζονται αποκλειστικά με τη Νιγηρία, μολονότι η ονομασία της απάτης διατηρείται και συχνά αναφέρεται, μάλιστα, με την κωδική ονομασία «419», βάσει του αντίστοιχου άρθρου στο νιγηριανό Ποινικό Κώδικα. Είναι προφανές, πάντως, ότι η επιτυχία του νιγηριανού κυκλώματος βασίζεται, κατά κύριο λόγο, στην αφέλεια του παραλήπτη. Ακριβώς γι’ αυτό το λόγο, η εν λόγω μορφή ανθεί στο διαδίκτυο, όπου είναι πολύ πιο εύκολο, γρήγορο και σχεδόν ανέξοδο να ανακαλυφθεί ο ένας αφελής χρήστης ανάμεσα σε χιλιάδες.
Στο ίδιο σκεπτικό στηρίζονται και πολλές παραπλήσιες μορφές εξαπάτησης των δικτυοπολιτών. Χαρακτηριστική είναι η περίπτωση ιστοσελίδων ή και μαζικών ηλεκτρονικών μηνυμάτων που εμφανίζονται σε περιόδους μεγάλων φυσικών καταστροφών, πολέμων και διεθνών κρίσεων για να διευκολύνουν, φαινομενικά, την φιλανθρωπική έκφραση. Σε πολλές περιπτώσεις, δυστυχώς, η πρωτοβουλία αυτή ανήκει σε άτομα που εκμεταλλεύονται την ανθρώπινη ανάγκη και το αίσθημα αλληλεγγύης για να εξασφαλίσουν μεγάλα κέρδη. Οι χιλιάδες μικρές ηλεκτρονικές δωρεές καταλήγουν τελικά σε λογαριασμούς τραπεζών, χωρών που δεν μπορούν να ελεγχθούν εύκολα, αυξάνοντας την περιουσία κάποιου επιτήδειου. Μερικές φορές, όμως, δεν απαιτούνται καν ειδικές περιστάσεις για να ζητηθεί η προσφορά των χρηστών. Πρόσφατο και ενδεικτικό παράδειγμα αποτελεί η ιστοσελίδα «www.savetoby.com», μέσω της οποίας, ο δημιουργός της ανακοίνωνε την πρόθεσή του να οδηγήσει σε σφαγή ένα κατοικίδιο κουνέλι, τον Τόμπι, που έχει στην ιδιοκτησία του, εκτός αν συγκεντρώσει ένα ορισμένο χρηματικό ποσό από δωρεές, με καταληκτική ημερομηνία την 30η Ιουνίου 2005. Με τον τρόπο αυτό, ο συγκεκριμένος άνθρωπος κατόρθωσε να συγκεντρώσει περίπου 30.000 δολάρια και ανέβαλε πρόσκαιρα το σκοπό του, ανανεώνοντας, όμως, ήδη το αίτημά του έως την 6η Νοεμβρίου 2006.
Η οικονομική εκμετάλλευση στο διαδίκτυο δεν σχετίζεται, ωστόσο, μόνο με καταφανώς απατηλές ιστοσελίδες ή ηλεκτρονικά μηνύματα για αφελείς. Πολύ συχνά ο κίνδυνος υφίσταται και στο πλαίσιο της συνήθους ηλεκτρονικής συναλλαγής των καταναλωτών. Τέτοια παραδείγματα αντλούνται από ιστοσελίδες παροχής τουριστικών υπηρεσιών καθώς και από διαδικτυακές δημοπρασίες (Internet Auctions). Σχετικά με την πρώτη περίπτωση, διαπιστώνεται πως οι χρήστες, αναζητώντας κάποια ταξιδιωτική προσφορά, καταλήγουν συχνά σε διαδικτυακούς τόπους που δεν αντιστοιχούν σε κάποιο υπαρκτό τουριστικό γραφείο. Μέχρι να αποκαλυφθεί η αλήθεια, οι υποτιθέμενοι ταξιδιωτικοί πράκτορες έχουν ήδη εισπράξει αμοιβές ή προκαταβολές και εξαφανίζονται, καλύπτοντας ταχύτατα τα δικτυακά τους ίχνη. Από τη άλλη πλευρά, στο πλαίσιο των διαδικτυακών δημοπρασιών, που είναι πολύ δημοφιλείς, παρατηρούνται επίσης ανησυχητικά φαινόμενα. Πολύ συχνά υπάρχει μεγάλη απόκλιση ανάμεσα στην εικόνα του προσφερόμενου αντικειμένου και σ’ αυτό που παραλαμβάνει ο πλειοδότης, ενώ κάποιες φορές το αντικείμενο δεν παραδίδεται ποτέ. Άλλοτε πάλι, μπορεί ο αγοραστής να καθυστερεί ή να αρνείται την πληρωμή. Σε κάθε περίπτωση, απαιτείται ιδιαίτερη προσοχή από τους χρήστες, λήψη υπηρεσιών μόνο από ιστοσελίδες αναγνωρισμένης εμπιστοσύνης και, κυρίως, ακριβής γνώση των όρων συναλλαγών που διέπουν τη λειτουργία των επίμαχων ιστοτόπων.
Ο πιο σύγχρονος κίνδυνος στο διαδικτυακό περιβάλλον εντοπίζεται στο φαινόμενο της «κλοπής ταυτότητας» (Identity theft) και συγκεκριμένα της υποκλοπής προσωπικών κωδικών, αριθμών πιστωτικών καρτών ή τραπεζικών λογαριασμών κλπ. Για την ειδικότερη αυτή μορφή υποκλοπής προσωπικών δεδομένων, που αφορά στοιχεία οικονομικού ενδιαφέροντος, έχει επικρατήσει η ονομασία «phishing», εκ της παραφθοράς της αγγλικής λέξης «fishing» (ψάρεμα) σε συνδυασμό με τη λέξη «password» (κωδικός). Το πρόβλημα του «phishing» σημειώνει εξελικτική πορεία μέσα στο διάστημα της τελευταίας διετίας, όχι μόνο ποσοτικά αλλά και ποιοτικά. Τα κυκλώματα των λεγόμενων «phishers» εφευρίσκουν καθημερινά νέους τρόπους για να αποσπάσουν πολύτιμες πληροφορίες, χρησιμοποιώντας όλα τα τεχνολογικά μέσα που έχουν στη διάθεσή τους. Κι εδώ βέβαια οι μηχανισμοί του σπαμ παίζουν πολύ σημαντικό ρόλο.
Ο κλασικός, πλέον, τρόπος προσέγγισης ενός θύματος «phishing», ξεκινά από το ηλεκτρονικό ταχυδρομείο. Ο χρήστης δέχεται, αρχικά, ένα e-mail που φαίνεται να προέρχεται από την τράπεζά του, τον υπεύθυνο για την πιστωτική του κάρτα ή κάποια ιστοσελίδα ηλεκτρονικών συναλλαγών. Το μήνυμα, που δεν είναι βέβαια αυθεντικό, ενημερώνει το υποψήφιο θύμα για πιθανό πρόβλημα σχετικά με τον τραπεζικό του λογαριασμό, τους κωδικούς του ή την πιστωτική του κάρτα και τον καλεί να ενεργήσει άμεσα για την άρση του προβλήματος. Προς το σκοπό αυτό, στα πρώτα κρούσματα «phishing», ζητούνταν από τους χρήστες απαντητικά e-mail με κρίσιμα οικονομικά δεδομένα, όπως κωδικούς e-banking και στοιχεία πιστωτικών καρτών. Στην πορεία η παγίδα άρχισε να στήνεται με πιο πειστικό τρόπο. Τα ηλεκτρονικά μηνύματα παραπέμπουν πια, συνήθως μέσω συνδέσμων (links), σε διαδικτυακές τοποθεσίες τραπεζών, οργανισμών πιστωτικών καρτών, ηλεκτρονικών καταστημάτων κλπ., οι οποίες, όμως, αποτελούν πιστές απομιμήσεις των αυθεντικών ιστοτόπων και ελέγχονται από τους υπεύθυνους της απάτης. Αν ο χρήστης οδηγηθεί σε τέτοιου είδους σελίδες και συμπληρώσει τα στοιχεία που του ζητούνται, βρίσκεται σύντομα αντιμέτωπος με σοβαρή οικονομική ζημία.
Η εκμετάλλευση των αλιευμένων στοιχείων πραγματοποιείται με διάφορους τρόπους. Οι «phishers» έχουν τη δυνατότητα, στην πιο απλή εκδοχή, να εκταμιεύσουν μεγάλα χρηματικά ποσά από τραπεζικούς λογαριασμούς, αν διαθέτουν τους κωδικούς πρόσβασης για ηλεκτρονικές τραπεζικές συναλλαγές. Επιπλέον, χρησιμοποιώντας το αριθμό και τα στοιχεία πιστωτικών καρτών, μπορούν να προβούν σε αγορές μέσω διαδικτύου, να αποκτήσουν πρόσβαση σε ιστοσελίδες με χρέωση αλλά και να δράσουν υπό το όνομα του δικαιούχου της κάρτας εξαπατώντας άλλους χρήστες, π.χ. στο πλαίσιο ηλεκτρονικών δημοπρασιών.
Το «phishing», σε όλες τις μορφές του, αποτελεί, ίσως, την πιο σοβαρή απειλή της ηλεκτρονικής ζωής, καθώς επιφέρει, άμεσα, σημαντική οικονομική ζημία, ενώ συγχρόνως κλονίζει ανεπανόρθωτα την εμπιστοσύνη των χρηστών στις σύγχρονες διαδικτυακές υπηρεσίες. Παράλληλα, ανήκει στα πιο δυσδιάκριτα είδη απάτης, παραπλανώντας ακόμη και έμπειρους χρήστες. Για την αντιμετώπιση του φαινομένου, πολλά χρηματοπιστωτικά ιδρύματα, εξέδωσαν προειδοποιητικές ανακοινώσεις, βεβαιώνοντας τους πελάτες πως κανένας υπάλληλος δεν εξουσιοδοτείται να τους ζητήσει εμπιστευτικά οικονομικά στοιχεία και ιδιαίτερα μέσω ηλεκτρονικού ταχυδρομείου. Κατά συνέπεια, οι χρήστες θα πρέπει να θεωρούν, a priori, αναξιόπιστη την πηγή παρόμοιων μηνυμάτων, αλλά και να επιδεικνύουν, εν γένει, ιδιαίτερη προσοχή σε σχέση με τη διαδικτυακή δραστηριότητα που αφορά ηλεκτρονικές συναλλαγές και απαιτεί αποκάλυψη πληροφοριών οικονομικής φύσης.
Συνοψίζοντας, πρέπει να ειπωθεί πως οι περιπτώσεις, που αναφέρθηκαν, αποτελούν μόνο τις πιο ενδεικτικές μορφές εμφάνισης του διαδικτυακού εγκλήματος. Γενικότερα, η ηλεκτρονική εγκληματικότητα εξελίσσεται διαρκώς και ανακαλύπτει νέους τρόπους έκφρασης. Από την παρούσα αναφορά δε, απουσιάζουν δύο βασικοί τομείς παράνομης δικτυακής δράσης, που προβλέπεται να αναλυθούν μελλοντικά στη στήλη: η παιδική πορνογραφία και η πειρατεία. Κλείνοντας, τονίζεται και πάλι ότι σκοπός αυτής της παρουσίασης δεν είναι η δημιουργία ενός κλίματος φόβου σχετικά με το ψηφιακό περιβάλλον. Αντιθέτως, βασική επιδίωξη αποτελεί η καλλιέργεια μιας κουλτούρας ασφάλειας στο δικτυοπολίτη, η οποία θα βασίζεται στην γνώση και την αναγνώριση των κινδύνων αλλά και τη συνεργασία με τις αρμόδιες αρχές, που καλούνται να αντιμετωπίσουν εγκληματικές δραστηριότητες νέας κοπής.
ΣΧΕΤΙΚΑ LINKS:
Γενικά:
http://www.fraudaid.com
http://www.wiredsafety.org/
http://www.computerbetrug.de
Νιγηριανή απάτη:
http://www.nigeria-connection.de/
http://www.fraudaid.com/ScamSpeak/Nigerian/419_Hidden_Facts/
419_drugs_and_money_laundering.htm
http://www.margaret-marks.com/Transblawg/archives/000399.html
Phising:
http://www.antiphishing.org/
http://banking.about.com/od/securityandsafety/a/phishingscams.htm
http://www.securityinfo.ch/phising.html
http://www.computerbetrug.de/phishing-allgemeines.php
http://www.cbfa.be/eng/press/html/2004-07-14_phising.asp
http://www.consumer.gov/idtheft/
