Τα τελευταία χρόνια, εκατομμύρια άνθρωποι σε όλο τον κόσμο λαμβάνουν καθημερινά ύποπτα μηνύματα που υποτίθεται ότι προέρχονται από τράπεζες, ταχυδρομικές υπηρεσίες ή άλλους επίσημους φορείς. Ζητούν μια "μικρή χρέωση", την επιβεβαίωση μιας παράδοσης ή την επίλυση μιας υποτιθέμενης οφειλής. Πίσω από αυτά τα μηνύματα δεν κρύβονται απλοί επιτήδειοι, αλλά μια οργανωμένη και βαθιά ριζωμένη εγκληματική βιομηχανία που λειτουργεί με επαγγελματισμό — και τεράστια κέρδη.
Smishing: Απάτη μέσω μηνυμάτων
Ο τρόπος δράσης της είναι απλός: ένας σύνδεσμος σε SMS οδηγεί σε ιστοσελίδα που μοιάζει απόλυτα με την πραγματική. Μόλις ο χρήστης πληκτρολογήσει στοιχεία κάρτας ή κωδικούς, αυτά καταγράφονται αυτόματα και μεταφέρονται στο δίκτυο των εγκληματιών. Η πρακτική αυτή είναι γνωστή ως smishing (SMS + phishing) και έχει εξελιχθεί σε ένα από τα πιο διαδεδομένα ψηφιακά εγκλήματα παγκοσμίως.
Πολλοί από τους ανθρώπους που πέφτουν θύματα αντιλαμβάνονται άμεσα την απάτη και ακυρώνουν κάρτες ή λογαριασμούς. Ωστόσο, η ζημιά έχει ήδη γίνει: ομάδες κυβερνοεγκληματιών έχουν τη δυνατότητα να συλλέγουν χιλιάδες στοιχεία ταυτόχρονα, χάρη σε εργαλεία που λειτουργούν πλέον ως ολοκληρωμένες "πλατφόρμες απάτης”. Με λίγες δεκάδες ή εκατοντάδες δολάρια τον μήνα, οποιοσδήποτε μπορεί να νοικιάσει λογισμικό που του επιτρέπει να στήσει ένα ολόκληρο σύστημα αποστολής παραπλανητικών SMS και συλλογής δεδομένων, χωρίς να γνωρίζει σχεδόν τίποτα από τεχνολογία.
Η συγκεκριμένη εγκληματική δραστηριότητα φαίνεται να έχει ισχυρή βάση στην Κίνα, όπου πωλητές τέτοιων εργαλείων δραστηριοποιούνται ανοιχτά σε Telegram groups και κανάλια στο YouTube. Το πιο εξελιγμένο από αυτά τα "πακέτα" είναι ένα λογισμικό γνωστό ως Lighthouse. Μέσα από μια απλή διεπαφή, ο αγοραστής μπορεί να επιλέξει ποια εταιρεία θέλει να μιμηθεί, να δημιουργήσει ψεύτικη ιστοσελίδα, να αγοράσει δεδομένα πιθανών θυμάτων και να συνεργαστεί με αποστολείς spam μηνυμάτων που χρησιμοποιούν δεκάδες κινητά τηλέφωνα ή ειδικές συσκευές SMS για να στείλουν χιλιάδες μηνύματα την ημέρα.
Αν κάποιος παγιδευτεί και πληκτρολογήσει τα στοιχεία του, το σύστημα τα τραβά αυτόματα πριν καν πατήσει "υποβολή". Στη συνέχεια τα δεδομένα περνούν σε ένα εξίσου οργανωμένο στάδιο ξεπλύματος χρήματος: ψηφιακά πορτοφόλια, ψεύτικοι έμποροι, συναλλαγές με ανύπαρκτα προϊόντα και διεθνείς αποστολές κινητών φορτωμένων με κλεμμένες κάρτες.
Παρά την οργάνωση, οι εγκληματίες κάνουν συχνά λάθη που αποκαλύπτουν στοιχεία της δράσης τους. Πρόχειροι κωδικοί διαχειριστών, δημόσια βίντεο με οδηγίες, ακόμα και email διευθύνσεις που εμφανίζονται κατά λάθος σε οθόνες, έχουν βοηθήσει ειδικούς της κυβερνοασφάλειας να συνδέσουν επιθέσεις με συγκεκριμένα πρόσωπα ή ομάδες.
Το πρόβλημα έχει πάρει τέτοιες διαστάσεις, ώστε κολοσσοί της τεχνολογίας όπως η Google, η Apple και εταιρείες καρτών πληρωμών έχουν αρχίσει να παρεμβαίνουν, ενισχύοντας τα συστήματα προστασίας και καταθέτοντας νομικές προσφυγές εναντίον όσων βρίσκονται πίσω από αυτές τις πλατφόρμες. Παρότι τέτοιες κινήσεις είναι σημαντικές, η εξάρθρωση ενός διεθνούς δικτύου που λειτουργεί εκτός νομικού πλαισίου πολλών χωρών παραμένει τεράστια πρόκληση.
Και όσο οι εταιρείες ενισχύουν την άμυνα, η εγκληματική βιομηχανία εξελίσσεται. Χρησιμοποιεί πλέον τεχνητή νοημοσύνη για να γράφει πιο πειστικά και προσωποποιημένα μηνύματα, εκμεταλλεύεται τεράστιες βάσεις δεδομένων που έχουν διαρρεύσει από άλλες επιθέσεις και δημιουργεί νέα εργαλεία που γίνονται ολοένα και δυσκολότερα να εντοπιστούν.
Όλα δείχνουν ότι η μάχη κατά του smishing δεν είναι ένας αγώνας με αρχή και τέλος, αλλά μια διαρκής αναμέτρηση. Και όσο ο κόσμος βασίζεται όλο και περισσότερο στο κινητό του για τραπεζικές και καθημερινές συναλλαγές, τόσο οι οργανωμένες ομάδες πίσω από αυτά τα μηνύματα θα αναζητούν νέους τρόπους να εκμεταλλευτούν την εμπιστοσύνη των χρηστών.
Ακολούθησε το Esquire στο Facebook, το Twitter και το Instagram.