Καμπανάκι από την ΑΑΔΕ, για τα παραπλανητικά μηνύματα SMS που έχουν ως στόχο την υποκλοπή προσωπικών και άλλων ευαίσθητων στοιχείων των πολιτών.

Η ΑΑΔΕ εφιστά την ιδιαίτερη προσοχή των πολιτών καθώς τα συγκεκριμένα μηνύματα:

• Φαίνεται ότι αποστέλλονται από την ΑΑΔΕ ή κάποια άλλη αξιόπιστη οντότητα,
• Παροτρύνουν τους παραλήπτες να συνδεθούν μέσω link σε κάποια πλαστή ιστοσελίδα.

Για παράδειγμα, τα μηνύματα της πρόσφατης επίθεσης SMISHING που αφορούν την ΑΑΔΕ:

• Εμφανίζουν σαν αποστολέα την «AADE»,
• Αναφέρουν «Νέα αποζημίωση πληθωρισμού διαθέσιμη στο https://myaadelive-gr.com» ή «Υπενθύμιση: €250 επίδομα διαθέσιμο στο https://myaade-gov.com».
• Παροτρύνουν τους παραλήπτες να συνδεθούν μέσω link σε πλαστή ιστοσελίδα, που τους ενημερώνει ότι δικαιούνται επίδομα και πρέπει να υποβάλουν αίτημα συμπληρώνοντας τα προσωπικά τους στοιχεία (Ονοματεπώνυμο, ΑΦΜ, κωδικούς Taxis, Στοιχεία Τραπεζών, κ.λπ.).

Επισημαίνεται ότι η πλαστή αυτή ιστοσελίδα:

• Απεικονίζει το λογότυπο της Ελληνικής Δημοκρατίας και του Gov.gr και
• Κάνει σωστή χρήση της ελληνικής γλώσσας.

Για την προστασία τους οι πολίτες πρέπει να μην κάνουν click ή tap σε κανένα σύνδεσμο και να διαγράψουν αμέσως το μήνυμα.

Υπενθυμίζουμε ότι η ΑΑΔΕ δεν ζητά ποτέ και για κανένα λόγο από τους φορολογούμενους, να αποκαλύψουν προσωπικά τους στοιχεία (όνομα, ΑΦΜ, ημερομηνία γέννησης, τραπεζικούς λογαριασμούς ή κωδικούς πρόσβασης (Username ή Password) μέσω μηνύματος SMS ή μηνύματος ηλεκτρονικού ταχυδρομείου. Οι πολίτες πρέπει να συνδέονται στην ψηφιακή πύλη myAADE μόνο από τη διεύθυνση myaade.gov.gr ή μέσω της επίσημης ιστοσελίδας της Ανεξάρτητης Αρχής Δημοσίων Εσόδων www.aade.gr.

ΕΡΩΤΟΑΠΑΝΤΗΣΕΙΣ ΚΑΙ ΠΑΡΑΔΕΙΓΜΑΤΑ

Τι είναι το SMISHING;

Με το όρο SMISHING ορίζεται η απόπειρα υποκλοπής προσωπικών στοιχείων, όπως όνομα, ΑΦΜ, ημερομηνία γέννησης, τραπεζικοί λογαριασμοί ή κωδικοί πρόσβασης πολιτών με παραπλανητικά μηνύματα (SMS) σε κινητές συσκευές, από υποτιθέμενες έμπιστες οντότητες (σε αντιστοιχία με το ηλεκτρονικό ψάρεμα «PHISHING», όπου αποστέλλονται παραπλανητικά e-mails αντί SMS). Τα παραπλανητικά αυτά μηνύματα συνήθως περιέχουν κάποιο link προς έναν πλαστό ιστότοπο.

Έχει αναφερθεί κάποια πρόσφατη επίθεση;

Ναι, το τελευταίο διάστημα, σε συνεργασία με τις αρμόδιες αρχές, διαπιστώθηκαν κακόβουλες ενέργειες αποστολής παραπλανητικών μηνυμάτων SMS σε κινητές συσκευές (SMISHING), που αφορούν την ΑΑΔΕ, και έχουν στόχο την υποκλοπή προσωπικών στοιχείων πολιτών και στοιχείων τραπεζικών καρτών.

Πώς θα αναγνωρίσω τα κακόβουλα μηνύματα SMS;

Τα κακόβουλα μηνύματα SMS:

• Φαίνεται σαν να αποστέλλονται από την ΑΑΔΕ ή κάποια άλλη αξιόπιστη οντότητα
• Παροτρύνουν τους παραλήπτες να συνδεθούν μέσω link σε κάποια πλαστή ιστοσελίδα

Για παράδειγμα, τα μηνύματα πρόσφατης επίθεσης SMISHING που αφορούν την ΑΑΔΕ:

• Εμφάνιζαν ως αποστολέα την AADE
• Ανέφεραν: «Νέα αποζημίωση πληθωρισμού διαθέσιμη στο https://myaadelive-gr.com» ή «Υπενθύμιση: €250 επίδομα διαθέσιμο στο https://myaade-gov.com»
• Έμοιαζαν με τα SMS της παρακάτω εικόνας:

Τι θα συμβεί αν πατήσω το link που αναγράφεται στο κακόβουλο μήνυμα;

Πατώντας το συγκεκριμένο link του παραπάνω μηνύματος ο πολίτης κατευθύνεται σε πλαστή ιστοσελίδα, που τον ενημερώνει πως δικαιούται επίδομα και τον
προτρέπει να υποβάλει αίτημα, συμπληρώνοντας τα προσωπικά του στοιχεία (Ονοματεπώνυμο, ΑΦΜ, κωδικούς Taxis, Στοιχεία Τραπεζών, κ.λπ.).

Επισημαίνεται ότι η πλαστή αυτή ιστοσελίδα:

• Είναι αρκετά αληθοφανής,
• Εμφανίζει το λογότυπο της Ελληνικής Δημοκρατίας και του Gov.gr και
• Κάνει σωστή χρήση της ελληνικής γλώσσας.

Ακολουθούν φωτογραφίες και σύντομη περιγραφή από τα βήματα της πλαστής ιστοσελίδας.

1. Πατώντας το link του μηνύματος ο χρήστης κατευθύνεται σε πλαστή ιστοσελίδα της ΑΑΔΕ όπου ενημερώνεται πως δικαιούται επίδομα 250 €
και προτρέπεται να υποβάλει αντίστοιχο αίτημα.

2. Πατώντας «Υποβολή αιτήματος» εμφανίζεται η φόρμα εισαγωγής προσωπικών στοιχείων του πολίτη. Στην φόρμα απεικονίζεται το λογότυπο του gov.gr.

4. Στην συνέχεια ζητούνται τα προσωπικά στοιχεία του χρήστη: email, ονοματεπώνυμο, ημερομηνία γέννησης, διεύθυνση, ΤΚ, πόλη και αριθμός τηλεφώνου.

5. Έπειτα δίνεται η δυνατότητα επιλογής του τρόπου μεταφοράς του επιδόματος, είτε σε τραπεζικό λογαριασμό (που όμως η επιλογή αυτή αναφέρεται ως προσωρινά μη διαθέσιμη) είτε σε πιστωτική κάρτα.

Μια επίθεση τύπου smishing εξελίσσεται ως εξής:

– Το θύμα λαμβάνει ένα μήνυμα SMS στο οποίο ο αποστολέας υποδύεται μια αξιόπιστη οντότητα, οργανισμό ή πρόσωπο.

– Το SMS είναι σύντομο και περιέχει ένα σύνδεσμο (link).

– Κάνοντας κλικ, ο ανυποψίαστος χρήστης κατεβάζει στη συσκευή του κακόβουλο λογισμικό (malware) ή ανακατευθύνεται σε παραπλανητική ιστοσελίδα (malicious website) όπου του ζητείται να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Μέτρα πρόληψης και προστασίας

Όσοι χρησιμοποιούν ηλεκτρονικά μέσα πρέπει να διαχειρίζονται με προσοχή τα SMS και γενικότερα τα μηνύματα που λαμβάνουν ακόμα και αν με μια πρώτη ματιά φαίνονται αληθή.

– Δεν πρέπει να πατήσετε κανένα σύνδεσμο (link) που περιλαμβάνεται μέσα στο μήνυμα.

– Δεν πρέπει να απαντάτε και να αντιδράτε βιαστικά σε τέτοια μηνύματα ακόμα και αν παρουσιάζονται ως επείγοντα.

– Μη δίνετε προσωπικά στοιχεία όπως κωδικούς πρόσβασης, αριθμούς/PIN καρτών, όνομα χρήστη.

Σύμφωνα με την Κέλλυ Ιωάννου, διευθύντρια Διεθνούς Ινστιτούτου Κυβερνοασφάλειας, πρέπει να είμαστε «πάρα πολύ προσεκτικοί στο κομμάτι του με τι λινκ συνδεόμαστε».

Η «αποδοχή όρων» που πατάμε, όταν θέλουμε να κατεβάσουμε κάποια εφαρμογή, κρύβει παγίδες σύμφωνα με την κ. Ιωάννου.

«Ένας τρόπος που μπορεί να έχουμε δώσει πρόσβαση είναι οι δωρεάν εφαρμογές που δεν έχουμε καταλάβει τους όρους όταν τις κατεβάζουμε».

Από την άλλη μεριά, ειδικά στις μεταφορές χρημάτων, σημαντικό ρόλο παίζουν τα τραπεζικά ιδρύματα τα οποία ωστόσο δεν έχουν λάβει τα κατάλληλα μέτρα προκειμένου να αποτρέψουν τυχόν απάτες.

Σύμφωνα με το δικηγόρο Γιάννη Μαρακάκη, οι τράπεζες δεν σταματούν ενέργειες μεταφοράς χρημάτων ακόμα και αν έχουν ενημερωθεί ότι πρόκειται για απάτη.

«Η απάντηση είναι ότι δεν μπορούμε να το μπλοκάρουμε, ούτε προσωρινά».

«Οι επιτήδειοι βρίσκουν τρόπο να κερδίσουν εμπιστοσύνη» λέει ο δικηγόρος, επισημαίνοντας ότι «τη στιγμή που θα καταγγελθεί η απάτη, θα πρέπει να παγώνει η μεταφορά, έστω προσωρινά».

Το Smishing (γνωστό και ως phishing μέσω SMS) συνιστά μια μορφή απόπειρας ηλεκτρονικής απάτης η οποία πραγματοποιείται μέσω σύντομων μηνυμάτων κειμένου (SMS) μέσω κινητού τηλεφώνου.

Μια επίθεση τύπου smishing εξελίσσεται ως εξής:

- Το θύμα λαμβάνει ένα μήνυμα SMS στο οποίο ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο.

- Το SMS είναι σύντομο, και περιέχει ένα σύνδεσμο (link).

- Κάνοντας κλικ ο ανυποψίαστος χρήστης κατεβάζει στη συσκευή του κακόβουλο λογισμικό (malware) ή ανακατευθύνεται σε παραπλανητική ιστοσελίδα (malicious website) όπου του ζητείται να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Περιστατικά τύπου smishing αντιμετωπίζονται σε παγκόσμια κλίμακα. Ειδικά για την Ελληνική επικράτεια έχουν αναφερθεί κακόβουλα μηνύματα που φαίνεται να αφορούν δήθεν κάποια έκδοση εγγράφου από την Ενιαία Ψηφιακή Πύλη (Gov.gr), ή να έχουν περιεχόμενο φορολογικού ενδιαφέροντος (όπως επιστροφή φόρου), η να προέρχονται από τραπεζοπιστωτικά ιδρύματα, ή ακόμα και από εταιρείες εντοπισμού/παράδοσης δεμάτων.

Η Εθνική Αρχή Κυβερνοασφάλειας στην ανακοίνωσή της καλεί τους πολίτες να διαχειρίζονται με προσοχή και υπομονή τα SMS και γενικότερα τα μηνύματα που λαμβάνουν ακόμα και αν με μια πρώτη ματιά φαίνονται αληθή. Ειδικότερα συστήνονται τα ακόλουθα μέτρα πρόληψης και προστασίας:

- Δεν θα πρέπει να πατήσετε κανένα σύνδεσμο (link) που περιλαμβάνεται μέσα στο μήνυμα.

- Δε θα πρέπει να απαντάτε και να αντιδράτε βιαστικά σε τέτοια μηνύματα ακόμα και αν παρουσιάζονται ως επείγοντα. Αφιερώστε λίγο χρόνο αναζήτησης στο διαδίκτυο για να διερευνήσετε την γνησιότητα του μηνύματος. Αν είναι δυνατό επικοινωνήστε με τον φερόμενο ως αποστολέα για να επιβεβαιώσετε τη γνησιότητα του.

- Μην δίνετε προσωπικά στοιχεία όπως κωδικούς πρόσβασης, αριθμούς/PIN καρτών, όνομα χρήστη κλπ.

- Σε κάθε περίπτωση η πρόσβαση στον εκάστοτε φορέα δεν πρέπει να πραγματοποιείται μέσω συνδέσμων από κάποιο SMS μήνυμα ή email που λάβατε. Θα πρέπει να γίνεται μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας (ή μέσω της επίσημης εφαρμογής στο κινητό).

- Διατηρείτε τη συσκευή σας και τις εφαρμογές σας ενημερωμένες.