Η πλειονότητα των ελληνικών επιχειρήσεων δεν επενδύει σε πολιτικές ασφάλειας των τεχνολογικών συστημάτων με αποτέλεσμα να πέφτει εύκολα θύμα επιτηδείων, υποστηρίζει ο ταξίαρχος Μανώλης Σφακιανάκης, επικεφαλής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας.
Σύμφωνα με τον κ. Σφακιανάκη, η Δίωξη Ηλεκτρονικού Εγκλήματος έχει ασχοληθεί τα τελευταία χρόνια με τουλάχιστον 20 μεγάλες υποθέσεις βιομηχανικής κατασκοπείας, ενώ υπάρχουν παραδείγματα εταιρειών που κλονίστηκαν σοβαρά από επίθεση στα τεχνολογικά τους συστήματα.
"Το έγκλημα πλέον έχει μεταλλαχτεί και από παραδοσιακό έχει γίνει ηλεκτρονικό" επισημαίνει ο ίδιος. Πάντως τα στατιστικά δείχνουν πως τα κρούσματα επιθέσεων μέσω Διαδικτύου δεν παρουσιάζουν καμία ανησυχητική έξαρση. Ο επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος μιλάει για τα μέτρα που μπορούν να πάρουν επιχειρήσεις και καταναλωτές καθώς και για τις νέες πρωτοβουλίες της υπηρεσίας, όπως η ανάπτυξη τριών εφαρμογών λογισμικού και μια πανελλαδική εκστρατεία που ξεκινάει τον Σεπτέμβριο με παρουσιάσεις σε όλα τα σχολεία.
Μία από τις τελευταίες επιτυχίες της Δίωξης Ηλεκτρονικού Εγκλήματος ήταν ο εντοπισμός δύο Ελλήνων οι οποίοι ανέπτυξαν το κακόβουλο λογισμικό Lecpetex και μέσω του Facebook είχαν υφαρπάξει τα προσωπικά δεδομένα περισσότερων από 300.000 χρηστών. Μάλιστα η διοίκηση του Facebook έστειλε ευχαριστήριο e-mail στην ελληνική υπηρεσία.
Έχουν αυξηθεί τα κρούσματα επιθέσεων μέσω Διαδικτύου; Επικεντρώνονται στην υποκλοπή δεδομένων (π.χ. πιστωτικών καρτών, κωδικών πρόσβασης) από ιδιώτες ή υπάρχει αύξηση και των επιθέσεων σε εταιρείες;
Τα κρούσματα επιθέσεων μέσω Διαδικτύου σε εταιρείες δεν έχουν αυξηθεί σε σύγκριση με το 2013, πάντα σύμφωνα με τις καταγραφές μας. Όπως όλοι γνωρίζουμε, όμως, σπάνια τα θύματα δηλώνουν στις διωκτικές αρχές τη διαδικτυακή επίθεση που έχουν δεχθεί και αυτό γίνεται για λόγους φήμης των εταιρειών και μόνο.
Σε επίπεδο διαδικτυακού καταναλωτή μέσω κακόβουλου λογισμικού και με σκοπό την υποκλοπή προσωπικών δεδομένων έχουν αυξηθεί οι επιθέσεις κατά 8%. Πρόκειται για τη δραστηριότητα των ονομαζόμενων crackers μέσω οργανωμένων εγκληματικών ομάδων με σκοπό την είσπραξη χρηματικών ποσών είτε από τους λογαριασμούς ανύποπτων χρηστών, είτε μέσω εκβιαστικών κακόβουλων μηνυμάτων.
Στη συνέχεια μεταφέρουν τα συγκεκριμένα χρήματα μέσω Ελλήνων συμπολιτών τους οποίους «ψαρεύουν» μέσω του Διαδικτύου. Πρόκειται για τα γνωστά μηνύματα του τύπου «ο κ. Αδάμ προσφέρει 6.000 τον μήνα για επαγγελματική συνεργασία». Πολλοί άνθρωποι ανταποκρίνονται στο κάλεσμα για τα 6.000 ευρώ τον μήνα χωρίς να γνωρίζουν πως στην ουσία πρόκειται για χρήματα που κάποιοι έχουν κλέψει από τον γείτονά τους. Και για χρήματα που η τράπεζα θα ζητήσει σίγουρα να της επιστραφούν γιατί είναι κλεμμένα.
Γι’ αυτό και απευθύνω έκκληση προς τους συμπολίτες μας να μην πιστεύουν τους «κυρίους Αδάμ» και τις υποσχέσεις τους. Πρόκειται για απατηλές υποσχέσεις και σύντομα όσοι έχουν ανταποκριθεί σε τέτοιου τύπου εργασίες θα κληθούν να αντιμετωπίσουν τις Διωκτικές Αρχές και τις τράπεζες, οι οποίες θα απαιτήσουν την επιστροφή των χρημάτων τα οποία έχουν δόλια υφαρπάξει οι crackers από τους τραπεζικούς λογαριασμούς ανυποψίαστων καταθετών. Επισημαίνω πως τα περιστατικά αυτού του τύπου δε συνδέονται με προβλήματα ασφάλειας των τραπεζικών συστημάτων, αλλά με την υποκλοπή από συγκεκριμένες εγκληματικές οργανώσεις τραπεζικών στοιχείων (e banking) χρηστών του Διαδικτύου μέσω κακόβουλου λογισμικού.
Έχει αλλάξει η μορφή των επιθέσεων σε σχέση με το παρελθόν; Τι νέα εργαλεία χρησιμοποιούν οι επιτήδειοι και πώς απαντά η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της οποίας ηγείσθε;
Οι μορφές και οι τακτικές των κυβερνοεπιθέσεων μεταλλάσσονται συνεχώς. Ένα πρόσφατο παράδειγμα είναι το παγκοσμίως γνωστό πλέον κακόβουλο λογισμικό Lecpetex το οποίο είχε αναπτυχθεί από δύο Έλληνες οι οποίοι κατάφεραν να διεισδύσουν σε χιλιάδες ηλεκτρονικούς υπολογιστές ανυποψίαστων διαδικτυακών χρηστών παγκοσμίως μέσω των χρηστών του Facebook.
Οι Έλληνες που έκαναν την επίθεση και εντοπίστηκαν από τη Δίωξη Ηλεκτρονικού Εγκλήματος σχεδίαζαν να χρησιμοποιήσουν την υπολογιστική δύναμη των υπολογιστών που είχαν στον έλεγχο τους για να παράγουν το ψηφιακό νόμισμα Bitcoins (γνωστό εικονικό νόμισμα που χρησιμοποιείται για συναλλαγές στο Διαδίκτυο).
Όμως και άλλα κυκλώματα που είχαν έδρα σε τριτοκοσμικές χώρες της αλλοδαπής χρησιμοποιούσαν κακόβουλο λογισμικό. Υφάρπαξαν προσωπικά δεδομένα χρηστών του διαδικτύου (τραπεζικούς κωδικούς - πιστωτικές κάρτες κωδικούς EMAIL κ.ά.) και κατάφεραν να σηκώσουν χρήματα από τραπεζικούς λογαριασμούς ανυποψίαστων χρηστών του διαδικτύου τα οποία στη συνέχεια μετέφεραν σε λογαριασμούς τρίτων της αλλοδαπής.
Η εκρηκτική ανάπτυξη των κοινωνικών δικτύων έχει αυξήσει τη δράση των εγκληματιών και συνεπώς τις δικές σας αποτρεπτικές ενέργειες;
Η συντριπτική πλειονότητα των εγκληματικών πράξεων στο Διαδίκτυο γίνεται πλέον μέσω των κοινωνικών δικτύων. Για παράδειγμα, μόνο στη χώρα μας οι χρήστες του Facebook ξεπερνούν πλέον τα 5 εκατομμύρια. Όταν ολόκληρη η χώρα χρησιμοποιεί πλέον τα social media είναι λογικό να κινείται παράλληλα και το ηλεκτρονικό έγκλημα διότι διαπιστώνεται ότι το έγκλημα μετακινείται πλέον και στα κοινωνικά δίκτυα. Σήμερα περί το 60% των κλήσεων που δέχεται η υπηρεσία μας έχει σχέση με τα κοινωνικά δίκτυα και εγκληματικές συμπεριφορές.
Το έγκλημα που δημιουργείται στα κοινωνικά δίκτυα έχει πολλές μορφές και μεταλλάσσεται καθημερινά. Οι περισσότεροι χρήστες τους βλέπουν να τους εμφανίζονται στην οθόνη διάφορες φόρμες στις οποίες αναφέρεται π.χ. «βάλε το κίνητό σου για να κερδίσεις… χρήματα», «θες να μάθεις πότε θα πεθάνεις …αν θες, βάλε το κινητό σου εδώ..» κ.λπ. Όταν εισάγουν τον αριθμό τότε αρχίζουν οι χρεώσεις μέσω των μηνυμάτων που έρχονται πλέον σε αυτόν που δήλωσε τις επιθυμίες του στη συγκεκριμένη φόρμα!
Οι συγκεκριμένοι οικονομικοί εγκληματίες ψαρεύουν τα θύματά τους από τα κοινωνικά δίκτυα μέσω διαφόρων σεναρίων που εμπνέονται και ανανεώνουν σε τακτά χρονικά διαστήματα και βγάζουν χρήματα μέσω των υπερβολικών χρεώσεων στις υπηρεσίες που παρέχουν. Οι εν λόγω συστήνουν εταιρείες οι οποίες δηλώνουν ως έδρα τους την αλλοδαπή ώστε να είναι δύσκολος ο εντοπισμός τους. Η υπηρεσία μας παρακολουθεί και διερευνά διαρκώς το συγκεκριμένο φαινόμενο και έχει ήδη στείλει στον εισαγγελέα αρκετές υποθέσεις.
Ενας δεύτερος τομέας όπου δραστηριοποιούνται οι επιτήδειοι των κοινωνικών δικτύων είναι η υποκλοπή προσωπικών δεδομένων μέσω των γνωστών αγγελιών εύρεσης εργασίας με παχυλούς μισθούς κ.λπ. Χρειάζεται προσοχή γιατί σύντομα ανακακλύπτουμε πως είναι παγίδα την οποία πιθανώς θα πληρώνουμε σε ολόκληρη τη ζωή μας.
Επίσης υπάρχουν πλέον στα κοινωνικά δίκτυα αγγελίες για εύρεση α) κατοικίας και β) εργασίας σε διάφορα μέρη του κόσμου οι οποίες θέλουν διερεύνηση καθ' όσον διάφοροι επιδιώκουν να εκμεταλλευτούν απατηλά τον ανθρώπινο πόνο. Η υπηρεσία μας διαχειρίζεται δεκάδες τέτοιες υποθέσεις ανθρώπων οι οποίοι πλήρωσαν χρήματα για να ανακαλύψουν στη συνέχεια πως επρόκειτο για απάτη. Γι' αυτό και απευθύνω έκκληση στους χρήστες να προσέχουν πολύ τα μηνύματα που δέχονται μέσω των κοινωνικών δικτύων. Όλα τα μηνύματα πρέπει να ελέγχονται καθώς υπάρχουν αρκετά απατηλά.
Ειδικά για τις επιχειρήσεις μπορείτε να αναφέρετε παραδείγματα κυβερνοεπιθέσεων που αντιμετωπίσατε; Υπάρχουν βασικοί κανόνες που πρέπει να τηρούν οι επιχειρήσεις για να προστατευθούν;
Δυστυχώς η πολιτική ασφάλειας απουσιάζει από τη μεγάλη πλειονότητα των ελληνικών επιχειρήσεων. Ο σημαντικότερος κανόνας για την ασφάλεια των εταιρικών δεδομένων είναι ο καθένας να έχει πρόσβαση μέχρι εκεί που πρέπει. Όταν φτιάχνεις μια εταιρεία το πρώτο που κοιτάζεις είναι η ασφάλεια των πληροφορικών συστημάτων. Δεν μπορεί π.χ. μια γραμματέας να έχει πρόσβαση στο σύνολο των στοιχείων και πληροφοριών.
Η υπηρεσία μας μάλιστα είχε ασχοληθεί με υπόθεση γραμματέως η οποία αφού πήρε ολόκληρο το αρχείο της εταιρείας στην οποία εργαζόταν αποχώρησε και βρήκε δουλειά σε ανταγωνιστική επιχείρηση. Επίσης υπήρξε περίπτωση υπαλλήλου ναυτιλιακής ο οποίος εγκατέστησε κακόβουλο λογισμικό σε φορητό υπολογιστή του επικεφαλή της εταιρείας και μέσω αυτού υπέκλεπτε σημαντικές πληροφορίες για τις τιμές όπου έκλεινε τα διάφορα ναύλα. Ο συγκεκριμένος υπάλληλος παραιτήθηκε και ίδρυσε δική του ναυτιλιακή και χρησιμοποιούσε τα δεδομένα που υπέκλεπτε και τα οποία συνέχιζε να υφαρπάζει καθημερινά μέχρι που συνελήφθη από τη Δίωξη Ηλεκτρονικού Εγκλήματος.
Την ίδια στιγμή που οι επιχειρήσεις δαπανούν σημαντικά ποσά για τη φυσική προστασία των εγκαταστάσεών τους αποφεύγουν να επενδύσουν στην ασφάλεια των τεχνολογικών τους συστημάτων. Είναι παράλογο να μην επενδύουν στην ασφάλεια κρίσιμων πληροφορικών συστημάτων μέσω των οποίων διενεργείται πλέον η πλειονότητα των συναλλαγών. Διαπιστώνω ότι ένας αριθμός επιχειρήσεων δεν επενδύει όσο θα έπρεπε για την ασφάλεια των τεχνολογικών συστημάτων και στη συνέχεια το πληρώνει αυτό πολύ ακριβότερα.
Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος έχει ασχοληθεί τα τελευταία χρόνια με τουλάχιστον 20 σοβαρές περιπτώσεις βιομηχανικής κατασκοπείας και υπάρχουν περιπτώσεις εταιρειών που έχουν κλονιστεί σοβαρά από τέτοια χτυπήματα. Και αυτές οι 20 περιπτώσεις είναι η κορυφή του παγόβουνου καθώς εκατοντάδες υποθέσεις δεν φτάνουν στην υπηρεσία μας. Επιχειρήσεις πέφτουν θύματα εκβιασμών ή πληρώνουν αποζημιώσεις σε πελάτες που ζημιώθηκαν λόγω κλοπής προσωπικών τους δεδομένων. Συνεπώς θεωρούν πως δεν έχουν λόγο εκ των υστέρων να απευθυνθούν στις Διωκτικές Αρχές.
Εκτός από την εφαρμογή Cyberkids που παρουσιάσατε προ ημερών, εξετάζετε την ανάπτυξη και άλλων εφαρμογών που θα απευθύνονται σε άλλα κοινά;
Πιστεύω πως ο κάθε υπεύθυνος γονιός πρέπει να εγκαταστήσει το Cyberkids στο κινητό του καθώς εκτός των άλλων που του παρέχει του επιτρέπει παράλληλα να έρχεται σε άμεση επικοινωνία με τα στελέχη της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος. Τώρα κοιτάζουμε να αναπτύξουμε και άλλα τρία εργαλεία που συνδέονται με την ηλεκτρονική απάτη, την ασφάλεια πλοήγησης στο Διαδίκτυο καθώς και μια εφαρμογή η οποία θα ενημερώνεται σε πραγματικό χρόνο για τις απειλές στο Internet ώστε να γνωρίζουν οι χρήστες σε πραγματικό χρόνο αυτό που συμβαίνει και παράλληλα να το αποφεύγουν.
Τα τελευταία χρόνια έχετε ασχοληθεί επισταμένα με την ενημέρωση του κοινού για τα θέματα του διαδικτυακού εγκλήματος. Προγραμματίζετε νέες εκστρατείες ενημέρωσης και ποια μορφή θα έχουν;
Τον Σεπτέμβριο το Αρχηγείο της Ελληνικής Αστυνομίας θα προχωρήσει σε ανακοινώσεις για το πώς και πότε τα στελέχη της ΔΙΔΗΕ θα επισκευθούν διάφορα μέρη της χώρας μας. Επίσης ο υπουργός Δημόσιας Τάξεως Βασ. Κικίλιας μαζι με τον υπουργό Παιδείας Ανδρέα Λοβέρδο συμφώνησαν μέσα από το σχολικό δίκτυο να διδαχθούν από στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος οι μαθητές των δημοτικών Γυμνασίων και Λυκείων όλης της επικράτειας την ασφαλή πλοήγηση στο Διαδίκτυο. Πρόκειται για εκστρατεία η οποία πιστεύω πως θα αποτελέσει σημείο αναφοράς, καθώς για πρώτη φορά το μάθημα της ασφάλειας στο Διαδίκτυο θα διδαχθεί σε 16.800 σχολεία της χώρας μας.
Η Διεύθυνση στην οποία είστε επικεφαλής θεωρείται υπόδειγμα κρατικής υπηρεσίας, με περγαμηνές όχι μόνο από την Ελλάδα. Τι σας κάνει τόσο ξεχωριστούς;
Πιστεύω πως ο καθένας μας κρίνεται από τα αποτελέσματα που φέρνει. Η Δίωξη Ηλεκτρονικού Εγκλήματος έχει δείξει αποτελέσματα σε παγκόσμιο επίπεδο που τιμούν την Ελληνική Αστυνομία και κάνει περήφανους τους Έλληνες. Πρώτον για την ασφάλεια των παιδιών μας, δεύτερον για την ασφάλεια επικοινωνιών και συναλλαγών και τρίτον με τις δράσεις μας και τις καινοτομίες της υπηρεσίας μας.
Μόνο τον τελευταίο χρόνο έχουμε πραγματοποιήσει: α) 90 ημερίδες και β) 450 ημερίδες σε σχολεία μέσω τηλεδιασκέψεων σε διάφορες πόλεις της χώρας μας, με στόχο την ενημέρωση των πολιτών και των μαθητών.
Μάλιστα η πολιτική της πρόληψης που ακολουθούμε τα τελευταία χρόνια επιβραβεύθηκε πρόσφατα από το Ευρωπαϊκό Κέντρο Καταπολέμησης του Διαδικτυακού Εγκλήματος (EC3).