Η προειδοποίηση από την Europol είναι σαφής. Το «ψεύτικο όνομα» στην οθόνη του κινητού μας μπορεί να κρύβει μια πραγματική ψηφιακή παγίδα, με θύματα πολίτες και συστήματα σε όλη την Ευρώπη.
Η Europol σήμανε συναγερμό καλώντας για άμεση, εναρμονισμένη ευρωπαϊκή δράση ώστε να μπει τέλος στο κύμα απάτης μέσω caller ID spoofing, του φαινομένου που μετατρέπει τις τηλεφωνικές γραμμές σε εργαλείο δόλου και κοινωνικής μηχανικής.
Τι είναι το Spoofing
Το caller ID spoofing είναι η παραποίηση της αναγραφής του αριθμού καλούντος ή του ονόματος προβολής, πρακτική που απογείωσε τα τελευταία χρόνια την εγκληματικότητα μέσω τηλεφώνου και SMS.
Οι δράστες υποδύονται αξιόπιστους θεσμούς, τράπεζες, Αρχές, ακόμη και συγγενείς, για να αποκτήσουν πρόσβαση σε προσωπικά ή οικονομικά δεδομένα ανυποψίαστων θυμάτων. Με VoIP τεχνολογίες και ειδικά εργαλεία, η διαγραφή ή αλλαγή του πραγματικού αριθμού γίνεται παιχνιδάκι: ο απλός χρήστης βλέπει στην οθόνη ένα αναγνωρίσιμο νούμερο, ενώ στην άλλη άκρη βρίσκεται ο απατεώνας.
Τα στατιστικά σοκάρουν. Το 64% των περιστατικών εξαπάτησης μέσω ψηφιακών επικοινωνιών ξεκινά από spoofed τηλεφωνικές κλήσεις ή SMS, ενώ η ετήσια οικονομική ζημιά ξεπερνά τα 850 εκατ. ευρώ σε παγκόσμια κλίμακα.
Τα παράνομα δίκτυα και το spoofing
Το spoofing εξελίσσεται σε επάγγελμα, καθώς οργανωμένα δίκτυα εξαπλώνονται διασυνοριακά, αξιοποιώντας τις ρωγμές μεταξύ εθνικών συστημάτων για να προσφέρουν τις υπηρεσίες τους ακόμα και «κατά παραγγελία». Το φαινόμενο του “spoofing-as-a-service” παρέχει ακόμη και σε «ερασιτέχνες» ψεύτικες ταυτότητες και πρόσβαση σε ειδικά λογισμικά, καθιστώντας τον εντοπισμό από τις Αρχές σχεδόν αδύνατο.
Δεν είναι σπάνιο να προσποιούνται επίσημους φορείς ή να δημιουργούν swatting attacks, προσκαλώντας αδικαιολόγητα έκτακτες υπηρεσίες στη διεύθυνση του θύματος.
Τα τεχνικά κενά
Παρά τις προσπάθειες, οι ευρωπαϊκές Αρχές βρίσκονται συχνά ένα βήμα πίσω από τους χάκερς – ως συνήθως. Η Europol, σε έρευνα-καμπανάκι που περιέλαβε 23 χώρες, υπογραμμίζει ότι 400 εκατομμύρια πολίτες παραμένουν ουσιαστικά απροστάτευτοι απέναντι σε spoofing attacks, λόγω τριών βασικών εμποδίων:
- Δυστοκία στη συνεργασία με τηλεπικοινωνιακούς παρόχους, καθώς τα δίκτυα δυσκολεύονται να μοιράζονται ταχύτατα τα αναγκαία δεδομένα με τις ερευνητικές αρχές.
- Κατακερματισμός τεχνικών λύσεων και νομοθεσίας, αφού κάθε κράτος ακολουθεί δικές του πρακτικές, επιτρέποντας κενά που γίνονται εύκολα εκμεταλλεύσιμα.
- Έλλειψη έξυπνων εργαλείων φραγής, επειδή τα μέσα για εντοπισμό και αποκλεισμό ψεύτικων κλήσεων είναι ελλιπή και ετερογενή.
Οι τρεις γραμμές άμυνας της Europol
Με φόντο τη διαρκή αναπροσαρμογή των τεχνασμάτων των εγκληματιών, η Europol καταθέτει συγκεκριμένες συστάσεις και ζητά ευρωπαϊκή ενοποίηση της αντιμετώπισης, στηρίζοντας τη στρατηγική “ProtectEU”.
Σε πρώτο πλάνο, τα εναρμονισμένα τεχνικά πρότυπα, με σχεδιασμό κοινών ευρωπαϊκών λύσεων για επαλήθευση καλούντων, ιχνηλάτηση απάτης και αποκλεισμό ύποπτης κυκλοφορίας.
Δεύτερον, διασυνοριακή συνεργασία, με συντονισμένη δράση μεταξύ Αρχών, ρυθμιστών και παρόχων ώστε οι πληροφορίες να μοιράζονται άμεσα και οι έρευνες να γίνονται αποτελεσματικά σε περισσότερες από μία χώρες.
Τρίτον, σύγκλιση κανονιστικών πλαισίων, με εναρμόνιση κανονισμών που να διαχωρίζουν τις νόμιμες από τις παράνομες πρακτικές απόκρυψης, μαζί με υποχρεωτική χρήση αποδεδειγμένων μέτρων anti-fraud, ώστε κάθε κράτος να φέρει ευθύνη για την ιχνηλάτηση και τον αποκλεισμό παραποιημένων κλήσεων.
Η Europol ζητά βαθιές τομές, πραγματική συνεργασία και άμεσες δράσεις ώστε το τηλέφωνο του μέλλοντος να μετατραπεί και πάλι σε σύμμαχο της κοινωνίας, όχι σε όπλο στα χέρια των απατεώνων.
Η επόμενη μέρα
Ακόμα και αν τα παραπάνω υλοποιηθούν άμεσα, οι απατεώνες θα αναζητήσουν νέους δρόμους. Νέου τύπου απάτες με SIM, ανώνυμες προπληρωμένες υπηρεσίες, «smishing» και εξελιγμένες πλατφόρμες κοινωνικού engineering απαιτούν συνεχή κινητοποίηση και διαρκή προσαρμογή των συστημάτων ασφαλείας.
Στις έρευνες, στις μελέτες και στις προτάσεις όλα αυτά φαίνονται αυτονόητα και εύκολα υλοποιήσιμα. Αλλά, ούτε σε εθνικό επίπεδο ούτε σε ευρωπαϊκό είναι. Είτε λόγω έλλειψης κονδυλίων και άλλων πόρων είτε λόγω -ειδικά σε ευρωπαϊκό επίπεδο- εξαιρετικά χρονοβόρας νομοθετικής διαδικασίας.
