Τις τελευταίες ημέρες, χιλιάδες πολίτες σε όλη την Ελλάδα –συμπεριλαμβανομένων και ημών– έγιναν αποδέκτες ενός μηνύματος SMS που, εκ πρώτης όψεως, μοιάζει με ευχάριστη έκπληξη. Το μήνυμα ενημερώνει τον παραλήπτη πως είναι δικαιούχος του επιδόματος θέρμανσης ή πως έχει πιστωθεί κάποιο ποσό στον λογαριασμό του, προτρέποντάς τον να πατήσει σε έναν σύνδεσμο (link) για να ολοκληρώσει τη διαδικασία ή να κάνει αποδοχή της πληρωμής.
Ωστόσο, πίσω από αυτή την φαινομενικά επίσημη ειδοποίηση κρύβεται μια καλοστημένη απόπειρα ηλεκτρονικής απάτης (smishing), για την οποία έχουν ήδη σημάνει συναγερμό τόσο η Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ) όσο και η Δίωξη Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας.
Η συγκεκριμένη απάτη βασίζεται στην τεχνική του SMS Phishing (ή Smishing). Οι δράστες εκμεταλλεύονται την τρέχουσα επικαιρότητα –στην προκειμένη περίπτωση την περίοδο πληρωμών του επιδόματος θέρμανσης– για να προσδώσουν αληθοφάνεια στο μήνυμά τους.
Το χαρακτηριστικό που καθιστά την απάτη αυτή ιδιαίτερα επικίνδυνη είναι η τεχνική της πλαστογράφησης της ταυτότητας του αποστολέα (Sender ID Spoofing). Το μήνυμα δεν έρχεται από κάποιον άγνωστο αριθμό κινητού (π.χ. 69XXXXXXXX), αλλά στο πεδίο του αποστολέα εμφανίζεται η ένδειξη “hli.thoj”, “AADE”, “MYaade” ή “GOV.GR”. Αυτό συμβαίνει διότι οι απατεώνες χρησιμοποιούν ειδικές διαδικτυακές υπηρεσίες μαζικής αποστολής μηνυμάτων που τους επιτρέπουν να ορίσουν όποιο όνομα θέλουν ως αποστολέα. Έτσι, το κακόβουλο μήνυμα συχνά ομαδοποιείται αυτόματα από το κινητό του θύματος στο ίδιο νήμα με προηγούμενα, γνήσια μηνύματα από το κράτος (π.χ. κωδικούς δίκοης ταυτοποίησης ή ραντεβού εμβολιασμού), αυξάνοντας κατακόρυφα την πιθανότητα να ξεγελαστεί ο παραλήπτης.
Ο σύνδεσμος που περιλαμβάνεται στο SMS οδηγεί σε μια ιστοσελίδα-κλώνο, η οποία έχει σχεδιαστεί ώστε να μιμείται πιστά το περιβάλλον του gov.gr ή της ΑΑΔΕ. Εκεί, ζητείται από το θύμα να εισάγει τους κωδικούς Taxisnet ή, ακόμη χειρότερα, τους κωδικούς e-banking και τα στοιχεία της χρεωστικής/πιστωτικής του κάρτας, προκειμένου δήθεν να «ταυτοποιηθεί» και να λάβει τα χρήματα.
Μόλις ο χρήστης πληκτρολογήσει τα στοιχεία του, αυτά υποκλέπτονται αυτόματα από τους δράστες, οι οποίοι στη συνέχεια αποκτούν πρόσβαση στους τραπεζικούς λογαριασμούς του θύματος, προχωρώντας σε μεταφορές χρημάτων.
Η Ελληνική Αστυνομία και η ΑΑΔΕ ήταν σαφείς στις ανακοινώσεις τους, τονίζοντας τρία βασικά σημεία που πρέπει να θυμάται κάθε πολίτης:
Η ΑΑΔΕ δεν στέλνει ποτέ SMS με συνδέσμους (links). Η Αρχή επικοινωνεί μαζί σας μέσω e-mail ή μέσω της θυρίδας σας στο myAADE, αλλά ποτέ δεν θα σας ζητήσει να πατήσετε link σε SMS για να λάβετε χρήματα.Δεν ζητούνται ποτέ κωδικοί μέσω μηνύματος. Κανένας δημόσιος οργανισμός και καμία τράπεζα δεν θα σας ζητήσει να εισάγετε τους κωδικούς e-banking ή το PIN της κάρτας σας μέσω ενός συνδέσμου που λάβατε στο κινητό.Το επίδομα θέρμανσης πιστώνεται αυτόματα. Για τους δικαιούχους που έχουν κάνει την αίτησή τους, η διαδικασία πίστωσης γίνεται απευθείας στον δηλωμένο IBAN, χωρίς να απαιτείται καμία επιπλέον ενέργεια αποδοχής μέσω SMS.
Το γεγονός ότι και εμείς λάβαμε το μήνυμα αποδεικνύει τη μαζικότητα της επίθεσης. Οι απατεώνες «παίζουν» με δύο βασικά ανθρώπινα συναισθήματα:
Την προσμονή/ανάγκη: Σε μια δύσκολη οικονομική συγκυρία, η είδηση για επιστροφή χρημάτων είναι πάντα καλοδεχούμενη, μειώνοντας τις άμυνες της λογικής μας.Το κύρος της Αρχής: Βλέποντας ως αποστολέα την «ΑΑΔΕ», το μυαλό τείνει να εμπιστευτεί το περιεχόμενο, ειδικά αν το μήνυμα έχει επίσημο ύφος.
Αν λάβετε τέτοιο μήνυμα, ακολουθήστε τα εξής βήματα:
Μην πατήσετε τον σύνδεσμο: Είναι ο χρυσός κανόνας. Ακόμα κι αν το πατήσετε κατά λάθος, μην εισάγετε κανένα στοιχείο στη σελίδα που θα ανοίξει.Ελέγξτε τη διεύθυνση (URL): Αν παρατηρήσετε προσεκτικά τον σύνδεσμο, θα δείτε ότι δεν τελειώνει σε .gov.gr ή .gr. Συχνά είναι περίεργες διευθύνσεις (π.χ. aade-refund.xyz) ή συντομευμένα links (bit.ly κ.λπ.).Διασταυρώστε την πληροφορία: Μπείτε στην επίσημη ιστοσελίδα της ΑΑΔΕ (aade.gr) πληκτρολογώντας τη διεύθυνση μόνος σας στον browser, και όχι μέσω του link, για να δείτε αν όντως υπάρχει κάποια ειδοποίηση.Διαγράψτε το μήνυμα: Αφού βεβαιωθείτε ότι είναι απάτη, διαγράψτε το από το κινητό σας.
Εάν έχετε ήδη δώσει τα στοιχεία σας, πρέπει να δράσετε αστραπιαία. Επικοινωνήστε άμεσα με την τράπεζά σας για να μπλοκάρουν τις κάρτες και τους κωδικούς e-banking και απευθυνθείτε στη Δίωξη Ηλεκτρονικού Εγκλήματος (Τηλέφωνο: 11188).