Business

Κλοπή δεδομένων καρτών: Προσοχή στα e-shops! Μας προστατεύουν οι τράπεζες; Εurobank, Alpha Bank, Πειραιώς απαντούν


Ένα μήνυμα από την Paypal έρχεται στο email που διαβάζω χωρίς να καταλάβω ότι στοχεύει στα στοιχεία της κάρτας μου. «Προσοχή, ο λογαριασμός σας θα πάψει να λειτουργεί αν δεν ανανεώσετε τα στοιχεία σας, συνδεθείτε στο παρακάτω link». Συνδέομαι και βρίσκομαι σε περιβάλλον Paypal και εκεί συμπληρώνω τα στοιχεία της κάρτας μου, βέβαιη ότι έτσι δεν θα μπλοκάρει ο λογαριασμός και πατάω enter.

Τα στοιχεία της κάρτας μου, ταξίδεψαν, μαζί με τα στοιχεία εκατοντάδων ή και χιλιάδων άλλων καρτών που ψαρεύονται καθημερινά με ψεύτικα email και προστέθηκαν σε ένα ειδικό λογισμικό, το οποίο τις χρησιμοποιεί για να κάνει αγορές από εικονικά e-shop σε όλο τον κόσμο. Χρεώνουν μικρά ποσά και διαδοχικά και καταφέρνουν να ξαφρίζουν  από τους λογαριασμούς τεράστια ποσά.

Ποσά τόσο μεγάλα που ούτε οι τράπεζες αποκαλύπτουν….

Όσο αυξάνεται η διείσδυση του ίντερνετ, οι ψηφιακές πληρωμές και το ηλεκτρονικό εμπόριο τόσο συχνότερες γίνονται οι ηλεκτρονικές απάτες. Η πιο συνηθισμένη απάτη είναι η κλοπή δεδομένων καρτών με στόχο τα χρήματά του λογαριασμού σας. Μάλιστα πολλές φορές οι χρεώσεις είναι μικρές και επαναλαμβανόμενες και πραγματοποιούνται με περιοδικότητα από ειδικά λογισμικά …με στόχο να μην το πάρετε είδηση.

Πώς όμως τα δεδομένα των καρτών μπορούν να πέσουν στα λάθος χέρια και τί πρέπει κάνουμε για να προστατευτούμε;

 Το mononews.gr επικοινώνησε με τα αρμόδια τμήματα των τραπεζών που προειδοποιούν τι πρέπει να προσέχουμε και πώς να προστατευτούμε από τις πιο συνηθισμένες ηλεκτρονικές απάτες.

Να μην πιστεύουμε email και sms και ακόμη περισσότερο τα κάθε λόγης e-shop που ξεφυτρώνουν σαν τα μανιτάρια. Επίσης να μην κάνουμε πληρωμές λογαριασμών δίνοντας τηλεφωνικά στοιχεία καρτών (κάτι πολύ συνηθισμένο) και… να διαβάζουμε τους όρους και προϋποθέσεις πριν εμπιστευτούμε ένα e-shop…

 

 Ηλεκτρονικό ψάρεμα (phishing) μέσω email

Το ηλεκτρονικό ψάρεμα (phishing) είναι μία από τις πιο συνηθισμένες μορφές εξαπάτησης στον κυβερνοχώρο. Επίδοξοι απατεώνες προσπαθούν να εξαπατήσουν -ανυποψίαστους πολίτες / πελάτες τραπεζών για να τους υποκλέψουν προσωπικές και οικονομικές πληροφορίες, όπως, για παράδειγμα, στοιχεία καρτών, κωδικούς e-Banking, στοιχεία ταυτοποίησης, κ.λπ.. Συνήθως η εξαπάτηση ξεκινάει μέσω απατηλών μηνυμάτων ηλεκτρονικού ταχυδρομείου (email phishing) που προέρχονται δήθεν από την τράπεζα, ή κάποιον άλλο οργανισμό που συνεργάζεται ο πολίτης. Μέσω αυτών, με την επίκληση μιας ανάγκης, ή ενός υποθετικού προβλήματος (ο λογαριασμός σας έχει μπλοκάρει, διατρέχετε κίνδυνο) προτρέπουν τους αποδέκτες να link) και έτσι να μεταβούν σε ψεύτικες ιστοσελίδες. Ακολούθως τους ζητάνε  να πληκτρολογήσουν τα στοιχεία των πιστωτικών ή χρεωστικών καρτών τους.

Συνήθως ο πελάτης – «θύμα» της κακόβουλης ενέργειας συνειδητοποιεί, δυστυχώς, το πρόβλημα αφού έχει ήδη ακολουθήσει τις παραπλανητικές οδηγίες. Έτσι, στις περισσότερες περιπτώσεις, το αποτέλεσμα είναι να γνωστοποιεί το συμβάν στην τράπεζα του έχοντας, εκ των υστέρων, διαπιστώσει την απάτη.

Η συγκεκριμένη μορφή απάτης λόγω και της τεράστιας αύξησης που παρουσιάζουν τα τελευταία χρόνια οι συναλλαγές μέσω του ηλεκτρονικού εμπορίου γίνεται όλο και πιο συνηθισμένη. Τα παραπλανητικά e-mails με links που καθοδηγούν τον πελάτη να εισάγει σε ψεύτικες ιστοσελίδες τραπεζών ή/και οργανισμών, είναι μια συνήθης πρακτική υποκλοπής στοιχείων.

Υποκλοπή στοιχείων από αφερέγγυα ηλεκτρονικά καταστήματα

Σε έξαρση βρίσκεται μία άλλη μορφή απάτης στον κυβερνοχώρο, η υποκλοπή στοιχείων από διάφορα e-shop.

Πόσες φορές δεν έχετε δει εντυπωσιακά προϊόντα σε διαφημίσεις  στα social media, ρούχα, παπούτσια, ή προϊόντα τεχνολογίας σε εξαιρετικές τιμές.  Πολλές φορές τα καταστήματα αυτά δεν είναι γνωστά και αξιόπιστα αλλά αφερέγγυα και ο στόχος της ύπαρξής τους δεν είναι μόνο να πουλήσουν αλλά υπάρχουν με σκοπό την υποκλοπή στοιχείων καρτών των πελατών που τα εμπιστεύονται.

 Υποκλοπή στοιχείων μέσω sms  Κακόβουλο γραπτό μήνυμα (smishing)

Άλλη κατηγορία phishing αφορά στην αποστολή παραπλανητικών SMS (SMS phishing ή Smishing) όπου και αυτά παραπέμπουν σε ψεύτικες / απατηλές ιστοσελίδες. Αν δεν δοθεί προσοχή, αυτά τα απατηλά e-mails και τα SMS μοιάζουν νόμιμα και οι εγκληματίες στον κυβερνοχώρο βασίζονται στο γεγονός ότι οι άνθρωποι είναι απασχολημένοι ή βιαστικοί όταν τα διαβάζουν και μπορεί να μη δώσουν τη δέουσα προσοχή σε μικρές λεπτομέρειες που θα έπρεπε να τους προβληματίσουν για τη γνησιότητα του μηνύματος.

Ο σκοπός του μηνύματος κειμένου phishing είναι ο ίδιος με το παραδοσιακό phishing e-mail, δηλαδή να πείσει τους παραλήπτες να μοιραστούν τις απόρρητες πληροφορίες τους.

 Οι τράπεζες ενημερώνουν συστηματικά τους πελάτες τους ότι δεν αποστέλλουν τέτοιου είδους e-mails ή SMS όπου θα τους ζητούν να αποκαλύψουν στοιχεία καρτών (αριθμό κάρτας, ημερομηνία λήξης, PIN κ.λπ.) ή στοιχεία ταυτοποίησης των (ονοματεπώνυμο, αριθμό ταυτότητας, ΑΦΜ, κ.λπ.).

Υποκλοπή στοιχείων μέσω τηλεφώνου  – (vishing)

Κακόβουλη τηλεφωνική επικοινωνία (vishing). Γνωστή ως vishing, αυτή η τακτική είναι μια απόπειρα phishing που πραγματοποιείται μέσω τηλεφωνικής κλήσης ή φωνητικού μηνύματος. Οι phishers παραπλανούν τον καλούντα, χρησιμοποιώντας προσωπικές πληροφορίες, όπως το όνομά του, δίνοντας την αίσθηση ότι η κλήση πραγματοποιείται από εκπρόσωπο της Τράπεζας. Στόχος τους είναι να εκμαιεύσουν ευαίσθητα δεδομένα, που το θύμα πιθανόν να αποκαλύψει, και να τα χρησιμοποιήσουν (συνήθως με την συγκατάθεσή του) εις βάρος του.

 Τι πρέπει να κάνετε, αν διαπιστώσετε χρεώσεις που δεν έχετε κάνει ή καταλάβετε ότι σας υπέκλεψαν τα στοιχεία των καρτών σας

Εφόσον έχετε υπόνοιες ότι έχουν εκτεθεί ή υποκλαπεί τα στοιχεία της κάρτας σας ή διαπιστώσετε συναλλαγές οι οποίες δεν έχουν την έγκρισή σας, θα πρέπει άμεσα να ενημερώσετε την τράπεζα και να ακυρώσετε την κάρτα σας. Η ακύρωση είναι επιβεβλημένη καθώς προστατεύει τόσο τον ίδιο τον κάτοχο, όσο και την τράπεζα, από μελλοντικές κακόβουλες συναλλαγές χρήσης της, ακόμη και σε υψηλού ρίσκου ή παράνομες εικονικές συναλλαγές.

Έχουν όμως οι τράπεζες  κάποιο σύστημα εντοπισμού ύποπτων κινήσεων στις κάρτες; Από πότε και τι ελέγχει;

Eurobank : Ο πελάτης έχει κάθε δικαίωμα να αμφισβητήσει οποιαδήποτε συναλλαγή δεν αναγνωρίζει.

 Σύμφωνα με το αρμόδιο τμήμα της Eurobank,«η Τράπεζα αλλά και οι Διεθνείς Οργανισμοί Καρτών (Visa / Mastercard), έχουν δημιουργήσει μηχανισμούς επίβλεψης παρακολούθησης και ανάλυσης των συναλλαγών για την πρόληψη και αποτροπή προσπαθειών απάτης. Αξιολογώντας πλήθος χαρακτηριστικών μέσω πολύπλευρων μηχανισμών και εξειδικευμένων μοντέλων και τη συνδρομή των Συστημάτων Πληρωμής προσπαθούν να εντοπίσουν και να καταγράψουν ασυνήθιστες συναλλακτικές συμπεριφορές (π.χ. μία κάρτα δεν έχει κάνει ποτέ ή έχει κάνει ελάχιστες συναλλαγές σε eshop ή μία κάρτα που δεν έχει συναλλαγές στο εξωτερικό ξαφνικά εμφανίζει ηλεκτρονικά ασυνήθιστά πολλές ή μεγάλου ύψους συναλλαγές) και να παράγουν προειδοποιητικά μηνύματα (alerts) για τη διερεύνηση ενδεχόμενων περιπτώσεων απάτης.

Ο πελάτης έχει κάθε δικαίωμα να αμφισβητήσει οποιαδήποτε συναλλαγή δεν αναγνωρίζει.

Όπως τονίζει η Eurobank «προκειμένου όμως η τράπεζα να διαχειριστεί αίτημα αμφισβήτησης για συναλλαγή που ενδέχεται ή αναγνωρίζεται ως απατηλή, απαιτείται από τους Διεθνείς Οργανισμούς Καρτών (Visa / Mastercard)– ως προαπαιτούμενο – η ακύρωση της κάρτας. Στην πλειοψηφία των περιπτώσεων και μέσα από τη διαδικασία των αμφισβητήσεων (chargebacks) που ακολουθούν οι τράπεζες επιτυγχάνεται η αποζημίωση των πελάτων, εφόσον βέβαια η χρήση της κάρτας έχει γίνει από τον πελάτη βάσει των όρων που τη διέπουν.

Ο πελάτης πρέπει να ενημερώσει αμέσως την τράπεζα και να ακυρώσει την κάρτα, γιατί αλλιώς η τράπεζα δεν είναι σε θέση να γνωρίζει πως μπορεί να χρησιμοποιηθεί η κάρτα από τον οποιοδήποτε ή εάν έχει να αντιμετωπίσει έναν επίδοξο απατεώνα ή ένα κύκλωμα (π.χ. το ενδεχόμενο σύμπραξης απατεώνα – εμπόρου για απόδοση μετρητών).

Είναι σημαντικό ο πελάτης να κατανοεί ότι η πρακτική της ακύρωσης της κάρτας, παρά την όποια προσωρινή δυσλειτουργία επιφέρει στην καθημερινότητά του, γίνεται για τη δική του προστασία και τη διασφάλιση των δεδομένων του.»

Alpha Bank : Αν μια συναλλαγή δεν γίνεται στο ασφαλές περιβάλλον τράπεζας, υπάρχει κίνδυνος υποκλοπής

Η Alpha Bank, όπως αναφέρει, για τον εντοπισμό ύποπτων κινήσεων καρτών  χρησιμοποιεί ένα από τα καλύτερα anti-fraud συστήματα της αγοράς. Με βάση συγκεκριμένα κριτήρια και παραμέτρους, το σύστημα (detection model) αξιολογεί κάθε συναλλαγή και εφόσον κάποια κριθεί ύποπτη, παράγεται ειδοποίηση την οποία και διαχειρίζεται ειδική μονάδα της Τράπεζας, 24 ώρες το 24ωρο, 7 ημέρες της εβδομάδας, ενώ παράλληλα, μέσω τηλεφωνικής επικοινωνίας, ενημερώνεται άμεσα ο κάτοχος της κάρτας. Σε περίπτωση που κάποια συναλλαγή κατηγοριοποιηθεί ως ιδιαίτερα αυξημένου κινδύνου, το σύστημα την απορρίπτει (prevention model) και ο πελάτης ενημερώνεται σχετικά μέσω τηλεφωνικής επικοινωνίας.

Παράλληλα, η Alpha Bank παρέχει την υπηρεσία Alpha Alerts, με την οποία οι κάτοχοι των καρτών ενημερώνονται σε πραγματικό χρόνο, μέσω SMS ή και e-mail, για κάθε κίνηση της καρτών τους, τη στιγμή που πραγματοποιούνται οι συναλλαγές, οποιαδήποτε ώρα της ημέρας.

 Σε περίπτωση αμφισβητούμενων συναλλαγών που έχουν πραγματοποιηθεί με κάρτες έκδοσης Alpha Bank, ο Πελάτης υποβάλλει σχετικό αίτημα προς την Τράπεζα. Η ανάγκη ακύρωσης της κάρτας κρίνεται κατά περίπτωση, ανάλογα με το είδος των αμφισβητούμενων συναλλαγών. Συγκεκριμένα, όπως ορίζεται και από τα αντίστοιχα διεθνή σχήματα των καρτών, σε περίπτωση κλοπής κάρτας ή δεδομένων αυτής, επιβάλλεται η ακύρωσή της.

 

Όσον αφορά την ασφάλεια αγορών στο διαδίκτυο, η τράπεζα τονίζει ότι «μία συναλλαγή στο Internet είναι ασφαλής, εφόσον τηρεί το διεθνές τεχνικό πρότυπο ασφάλειας 3D Secure, δηλαδή, πληροί τις προδιαγραφές που ορίζονται από τα διεθνή σχήματα καρτών και από την EMVco. Κατά την τέλεση μίας συναλλαγής 3D Secure, ο κάτοχος της κάρτας μεταφέρεται σε ασφαλές περιβάλλον της Τράπεζας, δίνει τα απαραίτητα στοιχεία της κάρτας και κάποιο στοιχείο ταυτοποίησης (π.χ. τον μοναδικό κωδικό για τη συναλλαγή, κάποια βιομετρικά στοιχεία κ.ά.), μέσω των οποίων διασφαλίζεται ότι η συναλλαγή πραγματοποιήθηκε από τον νόμιμο κάτοχο της κάρτας.

Το γεγονός ότι η συναλλαγή εκτελείται σε ασφαλές περιβάλλον της Τράπεζας εξασφαλίζει ότι η επιχείρηση δεν τηρεί στοιχεία καρτών και μηδενίζει τον κίνδυνο υποκλοπής τους.

Σε κάθε άλλη περίπτωση υπάρχει κίνδυνος υποκλοπής.»

 

Πώς όμως ξεχωρίζουμε ένα αξιόπιστο eshop από ένα αφερέγγυο και επικίνδυνο για τις συναλλαγές μας;

Πειραιώς: Μη δίνετε τα στοιχεία της κάρτας  στις επιχειρήσεις τηλεφωνικά

Σύμφωνα με την τράπεζα Πειραιώς, πριν  από κάθε συναλλαγή θα πρέπει να ελεγχθεί η αξιοπιστία του ηλεκτρονικού καταστήματος.

Πρώτον, να έχει πιστοποίηση ασφάλειας για online αγορές.  Ψάχνουμε  για ορούς χρήσης και πολίτικη απορρήτου. Δεύτερον, ένα αξιόπιστο site, πέρα από email, έχει και τηλέφωνα επικοινωνίας, όπως και διάφορους τρόπους πληρωμής και πολίτικη επιστροφών.

Σημαντικό ρόλο παίζει και η συσκευή που χρησιμοποιούμε. Για ασφαλή πλοήγηση στο ίντερνετ θα πρέπει  να αποφεύγουμε τους δημόσιους υπολογιστές και τις δημόσιες συνδέσεις (internet cafe, VPN). Οπωσδήποτε να θωρακίζονται οι συσκευές με προγράμματα  προστασίας (firewalls, antivirus, antispyware). Οι συσκευές πρέπει να είναι ρυθμισμένες ώστε να αποτρέπεται στους μη εξουσιοδοτημένους χρήστες με απομακρυσμένη πρόσβαση να εισέλθουν σε αυτές.

Ο κάτοχος κάρτας έχει την ευθύνη διαφύλαξης των προσωπικών κωδικών ασφαλείας, σε περίπτωση δε διαρροής αυτών, οφείλει να ειδοποιήσει αμέσως την Τράπεζα.

Δεν θα πρέπει να διαδίδει τα προσωπικά του στοιχεία/δεδομένα.

Ο κάτοχος δεν θα πρέπει να δίνει τα στοιχεία της κάρτας του στις επιχειρήσεις τηλεφωνικά, καθώς αυτό εγκυμονεί κινδύνους διαρροής των στοιχείων προς τρίτα πρόσωπα.

Πρέπει να  πλοηγείται και να δίνει τα στοιχεία της κάρτας σε πιστοποιημένους ιστότοπους/ επιχειρήσεις. Αν δεν είναι σίγουρος για την ασφάλειά τους, θα πρέπει να αποφευχθεί η συναλλαγή μαζί τους.

Τα μέσα κοινωνικής δικτύωσης είναι όλο και πιο δημοφιλή, αλλά είναι φρόνιμο να κρατάμε τα προσωπικά μας στοιχεία ιδιωτικά. Θα πρέπει να αποφευχθεί η κοινή χρήση των προσωπικών στοιχείων που χρησιμοποιούνται για συναλλαγές με τα χρηματοπιστωτικά ιδρύματα για την αναγνώρισή του πελάτη, όπως η ημερομηνία γέννησης, η διεύθυνση κατοικίας, το πατρικό όνομα της μητέρας, σχολεία φοίτησης και το όνομα του κατοικίδιου ζώου. Οι απατεώνες μπορούν να χρησιμοποιήσουν αυτό το είδος των πληροφοριών για να διευκολύνουν την πρόσβαση σε οποιονδήποτε λογαριασμό, δεδομένου ότι οι απαντήσεις στις ερωτήσεις ασφαλείας είναι κοινές.

Πάντα να γίνεται προσεκτική εξέταση στις επιλογές απορρήτου των μέσων κοινωνικής δικτύωσης. Οι επιλογές απόρρητου και τα εργαλεία των μέσων κοινωνικής δικτύωσης μπορεί να είναι περίπλοκα, γι’ αυτό πρέπει να εξετάζονται προσεκτικά.

Η Τράπεζα δεν θα ζητήσει ποτέ και με κανένα τρόπο (τηλεφωνικώς ή μέσω e-mail) στοιχεία λογαριασμών, στοιχεία καρτών και κωδικούς πρόσβασης. Είναι στοιχεία προσωπικά και δεν πρέπει να αποκαλύπτονται σε κανέναν.

Θα  πρέπει να ελέγχονται συχνά οι κινήσεις του λογαριασμού για πιθανές άγνωστες, στον κάτοχο κάρτας, χρεώσεις.

Ο κάτοχος κάρτας μπορεί πάντα να ανατρέχει στις συμβουλές ασφαλείας που βρίσκονται στο επίσημο site της τράπεζας Πειραιώς.

Συνοπτικά οι συμβουλές των τραπεζών για μεγαλύτερη προστασία από τις υποκλοπές δεδομένων καρτών αναφέρουν:

Υπάρχουν στοιχεί α στις ιστοσελίδες τα οποία ο πελάτης μπορεί να ελέγχει ώστε να μειώνει τις πιθανότητες υποκλοπής των στοιχείων του, αλλά και ενέργειες που ο ίδιος θα πρέπει να εκτελεί για να προστατευτεί.

Επιγραμματικά:

  • Να είναι ιδιαίτερα προσεκτικός εάν ένα e-mail ή SMS από «τράπεζα» του ζητά ευαίσθητες πληροφορίες (π.χ. στοιχεία καρτών).
  • Να ελέγχει προσεκτικά το e-mail ή το SMS, να συγκρίνει τη διεύθυνση αποστολέα με τα προηγούμενα πραγματικά μηνύματα από την τράπεζα συνεργασίας του.
  • Να ελέγχει για ορθογραφικά λάθη και λάθη γραμματικής ή σύνταξης. · Να μην κάνει απευθείας κλικ στον ηλεκτρονικό σύνδεσμο (link), αλλά να πληκτρολογεί τη διεύθυνση του ηλεκτρονικού συνδέσμου σε νέα σελίδα του φυλλομετρητή ιστοσελίδων (browser).
  • Να είναι ιδιαίτερα προσεκτικός όταν χρησιμοποιεί μία φορητή συσκευή. Ενδεχομένως να είναι πιο δύσκολο να εντοπίσει μια απόπειρα phishing από το κινητό ή το tablet του.
  • Σε περίπτωση οποιασδήποτε αμφιβολίας να επικοινωνεί με την τράπεζα συνεργασίας του.
  • Να ελέγχει εάν η διεύθυνση της ιστοσελίδας είναι https: (που συνήθως παραπέμπει σε ασφαλές περιβάλλον).
  • Να επιλέγει ιστοσελίδες οι οποίες είναι γνωστές και να ελέγχει τις κριτικές που υπάρχουν γι’ αυτήν. Να μην προβαίνει σε αγορές μέσα από διαφημίσεις του διαδικτύου οι οποίες οδηγούν σε ιστοσελίδες που δεν γνωρίζουν χωρίς να έχουν προηγουμένως αναζητήσει κριτικές.
  • Να ελέγχει αν υπάρχει ξεκάθαρη πολιτική επιστροφών, αποστολή ενημερωτικού e-mail αλλά και αναλυτικής ενημέρωσης για την αγορά του προϊόντος.
  • Να μην προβαίνει σε αγορές από ανοικτά δίκτυα (free wifi) και να μην αποθηκεύει στοιχεία καρτών στους browsers.
  • Να διατηρεί το λογισμικό ενημερωμένο, συμπεριλαμβανομένου του browser, του αντιϊκού προγράμματος (antivirus) και του λειτουργικού συστήματος.