Ηλεκτρονικές απάτες µε τεχνητή νοηµοσύνη
Η περίπτωση εξαπάτησης CEO ή CFO (οικονομικός διευθυντής) μεγάλων επιχειρήσεων στο εξωτερικό, όπου κάνοντας χρήση της τεχνητής νοημοσύνης κάποιος μιμείται τη φωνή του επικεφαλής του ομίλου, έχει εμφανιστεί εδώ και μερικά χρόνια, συμπαρασύροντας σε εξαπάτηση ακόμη και έμπειρα στελέχη επιχειρήσεων. Η εντολή αφορά κυρίως τη μεταφορά χρημάτων προκειμένου να υλοποιηθεί άμεσα η προμήθεια εμπορευμάτων ή να υλοποιηθεί μια συμφωνία συγχώνευσης στο εξωτερικό και για την οποία ο επικεφαλής ενημερώνει εμπιστευτικά το στέλεχος της επιχείρησης, υποδεικνύοντάς του να την εκτελέσει άμεσα.
Το φαινόμενο λέγεται deepfake και δεν είναι παρά μια ακόμη μορφή παραπλάνησης προκειμένου να υπεξαιρεθούν ποσά και μάλιστα σημαντικά. Με βάση τις τελευταίες εξελίξεις, εκτός από τη φωνή, η τεχνητή νοημοσύνη (Artificial Intelligence -AI) που δίνει αυτή τη δυνατότητα, είναι σε θέση να αναπαράγει και βίντεο, αναπαριστώντας με απόλυτη πιστότητα ότι στην οθόνη μιλάει ο διευθύνων σύμβουλος της εταιρείας. Καθώς η AI τείνει να μπει σε κάθε σπίτι, το φαινόμενο αποκτά ανησυχητικές διαστάσεις, επιβεβαιώνοντας ότι θύματα των επιτήδειων, που στόχο έχουν να ξαφρίσουν τραπεζικούς λογαριασμούς ή κάρτες, δεν είναι πλέον συνταξιούχοι ή άνθρωποι μεγάλης ηλικίας, που δεν είναι εξοικειωμένοι με την τεχνολογία, αλλά και άνθρωποι όλων των ηλικιών και από κάθε επαγγελματική κατηγορία.
Τα social media
H φωνή και φυσικά το βίντεο αναπαράγεται από έναν αλγόριθμο, χρησιμοποιώντας αναρτήσεις συνήθως στα social media, η επεξεργασία των οποίων πλέον είναι σχετικά απλή υπόθεση για τους επαγγελματίες του είδους, που λειτουργούν με τη μορφή διεθνούς σπείρας με πλοκάμια σε όλες τις χώρες. Στα αναρίθμητα περιστατικά εξαπάτησης που καταγράφονται καθημερινά, έχει αναφερθεί περίπτωση όπου κάποιος αλγόριθμος αναπαραγάγει τη φωνή ενός φοιτητή στο εξωτερικό που ζητάει από τους γονείς του επειγόντως χρήματα για να αντιμετωπίσει μια έκτακτη κατάσταση.
Η φωνή στην άλλη άκρη της τηλεφωνικής γραμμής δεν αφήνει καμιά αμφιβολία στον γονέα, που γνωρίζοντας όσο κανένας άλλος τη φωνή του παιδιού του, σπεύδει να ανταποκριθεί στην έκτακτη ανάγκη και να το βγάλει από τη δύσκολη θέση που έχει βρεθεί, καταθέτοντας χρήματα στον λογαριασμό που ο επιτήδειος θα του υποδείξει. Και σε αυτή την περίπτωση η φωνή αναπαρήχθη μέσω αλγορίθμου από τα social media, π.χ. το ΤikΤok που χρησιμοποιείται σταθερά από άτομα νεαρής ηλικίας –και όχι μόνο– για να ανεβάσουν βίντεο.
Στην ελληνική πραγματικότητα, τα φαινόμενα εξαπάτησης των ηλικιωμένων υπήρξαν πραγματική μάστιγα κατά την περίοδο 2019-2022 με την έκρηξη των τραπεζικών συναλλαγών και την απειρία των καταναλωτών, αλλά φυσικά ο εύκολος στόχος δεν είναι πάντα ηλικιωμένοι. Η προσέγγιση νεαρής κοπέλας σε μεγάλο εμπορικό κέντρο, όπου ο κατά τα άλλα καθωσπρέπει κύριος της ζήτησε να ανοίξει το internet banking προκειμένου να δεχθεί 5.000 ευρώ –μια και το δικό του δεν έπιανε εκείνη την ώρα– δίνοντάς της 200 ευρώ χαρτζιλίκι για τη διευκόλυνση, αποτέλεσε άλλο ένα «καμπανάκι» για τις μεθόδους που χρησιμοποιούν οι σπείρες του Διαδικτύου, που δεν διστάζουν να επιστρατεύσουν ακούσια ή ακόμη και εκούσια νεαρά άτομα, έναντι μιας μικρής αμοιβής.
Καθώς η ζωή μας και η επικοινωνία με κάθε δημόσιο ή ιδιωτικό φορέα γίνεται πλέον ψηφιακά και οι συναλλαγές εκτελούνται ηλεκτρονικά, αυξάνονται ραγδαία τα τελευταία δύο χρόνια οι προσπάθειες κλοπής των στοιχείων της κάρτας (πιστωτικής ή χρεωστικής) ή των λογαριασμών στην τράπεζα. Εκτός από τα μηνύματα των ΕΛΤΑ ή άλλων εταιρειών αποστολής δεμάτων, θραύση κάνουν και τα μηνύματα από δημοφιλείς εταιρείες παροχής υπηρεσιών, όπως η συνδρομητική τηλεόραση, που ενημερώνουν ότι τα χρήματα της μηνιαίας συνδρομής δεν έχουν πληρωθεί και ζητούν από τον πελάτη να μπει σε έναν σύνδεσμο προκειμένου να τακτοποιήσει την οφειλή του.
Αντίστοιχα διαδεδομένα είναι τα μηνύματα από τον ΕΦΚΑ, που ενημερώνουν τους ασφαλισμένους για το δικαίωμά τους σε επιστροφή χρημάτων, έχοντας πετύχει σε πολλές περιπτώσεις να υπεξαιρέσουν μεγάλα ποσά, ενώ κλασική μέθοδος παραπλάνησης είναι και η περίπτωση που ο απατεώνας προσποιείται τον λογιστή και προσφέρεται να βοηθήσει στην υποβολή αίτησης για ένα επίδομα που κάποιος δικαιούται να λάβει.
Παραπλανητικά emails
Στα αναρίθμητα περιστατικά που καταγράφονται από την καθημερινή εμπειρία πελατών και τραπεζών, δεν λείπουν φυσικά και τα παραπλανητικά μηνύματα από τις τράπεζες, που ζητούν από τον κάτοχο του λογαριασμού να πιστοποιήσει τα στοιχεία του. Χαρακτηριστικό πρόσφατο παράδειγμα αποτελεί παραπλανητικό email από «τράπεζα», που καλούσε τους υπαλλήλους της στην κοπή της ετήσιας πίτας, παραπέμποντάς τους σε έναν σύνδεσμο για να κλείσουν μια θέση πάρκινγκ ή τους ενημέρωνε για την κλήρωσή τους για ένα ταξίδι στο εξωτερικό, καλώντας τους να κλείσουν θέση στα διαθέσιμα ξενοδοχεία που η τράπεζα είχε εξασφαλίσει σε προνομιακή τιμή.
Στις μεθόδους που χρησιμοποιούν κυριαρχούν επίσης τα επενδυτικά προϊόντα και οι επενδύσεις σε κρυπτονομίσματα μέσα από πλατφόρμες που δείχνουν καθ’ όλα νόμιμες και σε αρκετές περιπτώσεις δεν διστάζουν να επιστρέψουν ένα μέρος της απόδοσης των χρημάτων, έτσι ώστε να πείσουν τον επενδυτή για την αξιοπιστία τους. Μεταξύ των διαδεδομένων περιπτώσεων είναι επίσης η προσέγγιση μέσω social media ευάλωτων ανθρώπων με προβλήματα, όπως μια μόνιμη αναπηρία ή ασθένεια και αφού αναπτύξουν μαζί του πολύμηνη σχέση κατανόησης και αλληλοβοήθειας, με στόχο να κερδίσουν την εμπιστοσύνη του, περνούν στο επόμενο βήμα της επίκλησης ενός έκτακτου περιστατικού, ζητώντας την ανταπόδοση της βοήθειας.
Με βάση τα στοιχεία των τραπεζών, στη συντριπτική πλειονότητα αυτών των περιπτώσεων «την πόρτα» για την είσοδο κάποιου τρίτου στα τραπεζικά στοιχεία ανοίγει ο κάτοχος του λογαριασμού, ο οποίος δίνει με τη συναίνεσή του όχι μόνο το νούμερο της κάρτας ή του λογαριασμού του, αλλά και τους κωδικούς εισόδου στο internet/mobile banking και σε ορισμένες περιπτώσεις και τους κωδικούς μιας χρήσης που αποστέλλει πάντα η τράπεζα κατά τη διενέργεια μιας συναλλαγής. Γι’ αυτό, κόκκινο πανί σε τέτοιες «οχλήσεις» θα πρέπει να είναι όχι μόνο η υπόδειξη για την είσοδο στο ebanking προκειμένου να εκτελεστεί μια συναλλαγή, η οποία δεν αποτελεί πρωτοβουλία του κατόχου του λογαριασμού, αλλά και η ανάγκη του «επείγοντος», που συνήθως επικαλούνται παρόμοια μηνύματα.
Τι δείχνουν τα στοιχεία
Οπως σημειώνει η ΤτΕ σε πρόσφατη έκθεση για τις ηλεκτρονικές απάτες, η αναλογία των περιστατικών απάτης με μεταφορά πίστωσης, δηλαδή στη μεταφορά χρημάτων από λογαριασμό σε λογαριασμό, ήταν το 2022 1 συναλλαγή ανά 34.000 συναλλαγές και η αξία τους αντιστοιχούσε σε 1 ευρώ ανά 12.000 ευρώ αξία συναλλαγών. Η πλειονότητα (το 91%) των περιπτώσεων απάτης στη μεταφορά χρημάτων από λογαριασμό σε λογαριασμό το 2022, διενεργήθηκε με τη μέθοδο της έκδοσης εντολής πληρωμής από τον δράστη της απάτης και το 9% με τη μέθοδο της χειραγώγησης του κατόχου του λογαριασμού από τον δράστη. Στην πρώτη κατηγορία ο δράσης της απάτης εκδίδει πλαστή εντολή πληρωμής, αφού όμως αποκτήσει τα ευαίσθητα δεδομένα πληρωμής του πληρωτή ή του δικαιούχου με δόλια μέσα, ενώ βάσει της μεθόδου χειραγώγησης, ο πληρωτής παρέχει καλή τη πίστη τη συγκατάθεσή του στην εκτέλεση εντολής πληρωμής προς λογαριασμό τρίτων, θεωρώντας ότι ανήκει σε νόμιμο δικαιούχο.
Τι πρέπει να προσέχουν οι πολίτες και πώς μπορούν να προστατευθούν
Στοιχεία από τις τράπεζες δείχνουν ότι παρά την έξαρση των προσπαθειών παραπλάνησης και υπεξαίρεσης χρημάτων μέσα από παραπλανητικά emails (phishing), sms (smishing) ή το τηλέφωνο (vishing), που έχουν πολλαπλασιαστεί τους τελευταίους μήνες, τα περιστατικά απάτης έχουν περιοριστεί σημαντικά.
Αιτία αποτελεί η ενεργοποίηση των πρόσθετων επιπέδων ασφαλείας που έθεσαν σε εφαρμογή οι τράπεζες μετά τη νομοθετική πρωτοβουλία της κυβέρνησης που επέβαλε σε όλες τις τράπεζες για κάθε συναλλαγή άνω των 1.000 ευρώ να πιστοποιούν μια συναλλαγή με 3 κριτήρια (3 factors authentication), αντί των 2 που προβλεπόταν μέχρι πρόσφατα, δηλαδή του pin (στην περίπτωση της κάρτας) και του κωδικού μιας χρήσης (OTP – one time password) ή του password (στην περίπτωση τραπεζικού λογαριασμού) και του OTP.
Ολες οι τράπεζες έχουν προσαρμοστεί στη σχετική υποχρέωση, υιοθετώντας έναν επιπλέον κωδικό, ενώ σε κάποιες περιπτώσεις που οι συναλλαγές δεν είναι συνηθισμένες ή τακτικές, επικοινωνούν και απευθείας με τον πελάτη. Τα 3 επίπεδα ασφαλείας που είναι πλέον απαραίτητα για κάθε συναλλαγή, έτσι ώστε οι συναλλαγές αυτές να θεωρούνται «εξουσιοδοτημένες», δεν καλύπτουν όμως τον πελάτη στην περίπτωση που δεν αυτοπροστατευθεί και δώσει πρόσβαση στα στοιχεία του σε επιτήδειους. Δεν τον καλύπτουν επίσης στην περίπτωση που δεν έχει αποδεχθεί την υιοθέτηση του τρίτου επιπέδου ασφαλείας, στον βαθμό που ορισμένες τράπεζες, ενώ έχουν αποστείλει σχετικά emails στο ebanking των πελατών τους, έχουν αφήσει στη διακριτική ευχέρεια του πελάτη να αποδεχθεί τον πρόσθετο κωδικό ασφαλείας.
Πρόσθετο εργαλείο για την προστασία των πελατών αποτελεί το IBAN verification ή το confirmation of Payee. Πρόκειται για την επαλήθευση τη στιγμή της συναλλαγής ότι ο λογαριασμός στον οποίο κατευθύνονται τα χρήματα ανήκει πράγματι σε αυτόν που τα στέλνουμε, π.χ. στο φροντιστήριο που επιθυμούμε ή στον επαγγελματία που θέλουμε να πληρώσουμε και όχι σε κάποιο εξωτικό λογαριασμό, του οποίου τον κάτοχο δεν είμαστε σε θέση να εξακριβώσουμε την κρίσιμη στιγμή της συναλλαγής.
Το IBAN verification με τα αρχικά και τελικά γράμματα του δικαιούχου ενός λογαριασμού (π.χ. ΑΑ*** ΒΒ***) ισχύει πλέον διατραπεζικά, δηλαδή για όλες τις τράπεζες στην Ελλάδα από τον περασμένο Μάρτιο, και επιτρέπει να εμφανίζεται ευκρινώς πριν από την εκτέλεση της συναλλαγής το όνομα ή η επωνυμία –εάν πρόκειται για επιχείρηση– του δικαιούχου του λογαριασμού, περιορίζοντας έτσι τη δυνατότητα απάτης ακόμη και όταν ο συναλλασσόμενος έχει «αφελώς» δώσει όχι μόνο τα στοιχεία του λογαριασμού, αλλά και το password ή το OTP που έστειλε η τράπεζα.
Διαβάστε επίσης:
Διασυνοριακές πληρωμές: Νέοι κανόνες για την καταπολέμηση της απάτης στην ΕΕ
Ψηφιακό ριφιφί στα e-shops – Στόχος των χάκερς
«Ψαρεύοντας» online θύματα στις μικρές αγγελίες
Ακολουθήστε το Money Review στο Google News
