Για τον Μ ήταν ένα ακόμη βράδυ στο αγαπημένο του μπαρ. Στις οθόνες έπαιζε ποδόσφαιρο και ήταν αρκετό να τον χαλαρώσει έπειτα από μια ακόμη δύσκολη μέρα στη δουλειά. Ο Μ είναι οδηγός ταξί και παρότι κάνει με πολύ κόσμο, προτιμά να κρατάει τις αποστάσεις: μιλάει μόνο για τα τυπικά της διαδρομής, και αν κάποιος επιβάτης έχει όρεξη για κουβέντα, απαντάει ευγενικά μεν, μονολεκτικά δε. Στο μπαρ όμως είναι ομιλιτικότατος. Γνωρίζεται με όλους τους μόνιμους θαμώνες, λένε τα νέα τους, με κάποιους ανταλλάσσει και δυο λόγια παραπάνω. Εκείνο το βράδυ, μάλιστα, γνώρισε και έναν πολύ ωραίο τύπο που δεν είχε ξαναδεί, αλλά υποστήριζαν την ίδια ομάδα και γρήγορα άρχισαν να πίνουν δίπλα δίπλα.
Στο ημίχρονο ο νέος «φίλος» του είπε ότι πάει στην τουαλέτα. Δεν επέστρεψε ποτέ. Ο Μ τον έχασε, μαζί και το κινητό τηλέφωνό του, ένα iPhone που ακόμη πληρώνει. Δεν ήταν το χειρότερο. Λίγη ώρα μετά, ήταν φτωχότερος κατά 2.500 ευρώ. Ο άγνωστος «φίλος» τού είχε κλέψει το κινητό και αδειάσει τον τραπεζικό λογαριασμό του.
Το τι είχε συμβεί το έμαθε ο Μ από την αστυνομία. Ο κλέφτης είχε καταφέρει να δει λαθραία τον κωδικό (passcode) κάποια στιγμή που ο Μ χρησιμοποίησε το κινητό του. Το μόνο που είχε να κάνει μετά ο «φίλος» του ήταν να του αποσπάσει τη συσκευή. Έχοντας απομνημονεύσει τον κωδικό ασφαλείας είχε πρόσβαση στο περιεχόμενο, ανάμεσά τους και η εφαρμογή της τράπεζας. Προστέθηκε ως νέος δικαιούχος και επανέφερε τον κωδικό μέσω SMS που έστειλε το σύστημα της τράπεζας στον δηλωμένο τηλεφωνικό αριθμό κινητού. Του κινητού που είχε στα χέρια του. Η τράπεζα έστειλε με SMS και μια προειδοποίηση για πιθανή απάτη, αλλά το είδε μόνο ο… απατεώνας.
Τίποτα από αυτά δεν θα είχε συμβεί αν ο κλέφτης δεν είχε δει «λαθραία» τον κωδικό ασφαλείας. Ή αν η τράπεζα είχε πιο προηγμένο σύστημα ασφαλείας.
Στη Βρετανία, όπου παρόμοια περιστατικά δεν είναι πια σπάνια, το φαινόμενο να υποκλέπτουν κωδικούς ασφαλείας με μια… κλεφτή ματιά, ονομάζεται «σερφάρισμα από τον ώμο» (shoulder surfing). Παλαιότερα ήταν απλά ένας λαθραναγνώστης της εφημερίδας σου στη διαδρομή του μετρό. Σήμερα είναι ένας απατεώνας που παρατηρεί την οθόνη και το πληκτρολόγιο του υπολογιστή ή της κινητής συσκευής σου και για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Αναξιόπιστα και διάτρητα συστήματα
Μια περίπτωση παρόμοια με του Μ ανέδειξε η μεγαλύτερη Ένωση Καταναλωτών στο Νησί, «Which?», για να ευαισθητοποιήσει τις αρχές και τους τραπεζίτες στο να αυξήσουν / αλλάξουν τα μέτρα «προστασίας» των χρηστών και πελατών τους.
Σύμφωνα με το ρεπορτάζ των Times, η Ένωση δοκίμασε και άλλες τραπεζικές εφαρμογές και διαπίστωσε ότι ήταν εύκολο να κάνει κάποιος reset στους κωδικούς πρόσβασης. Κάποιες τράπεζες απαιτούσαν μόνο τα στοιχεία της πιστωτικής κάρτας που είναι αποθηκευμένα στην εφαρμογή και έναν κωδικό πρόσβασης μίας χρήσης (OTP) που αποστέλλεται μέσω SMS στον ίδιο αριθμό τηλεφώνου. Η δε Lloyds απαιτούσε μόνο έναν τετραψήφιο κωδικό που δημιουργήθηκε στο τηλέφωνο κατά τη διάρκεια μιας αυτοματοποιημένης κλήσης. Ενώ οι χρήστες της Amex μπορούν να επιλέξουν το «ξέχασα τον κωδικό πρόσβασης», να εισαγάγουν τα στοιχεία της πιστωτικής τους κάρτας και να λάβουν έναν κωδικό πρόσβασης μιας χρήσης που αποστέλλεται μέσω κειμένου ή email – σε αυτά δηλαδή που ένας κλέφτης θα μπορούσε να έχει άμεση πρόσβαση από ένα κλεμμένο κινητό τηλέφωνο.
Στο ίδιο ρεπορτάζ γίνεται αναφορά σε πρόσφατη έρευνα της Wall Street Journal, που αποκάλυψε ότι συμμορίες που έκαναν «shoulder surfing» στόχευαν ανθρώπους σε μπαρ σε πόλεις των ΗΠΑ και στο Λονδίνο. Η προσέγγιση είναι περίπου η ίδια με του Μ: γίνονται «φίλοι» με τα θύματα, τους ζητούν να μπουν από το κινητό στα social media, παρατηρούν και απομνημονεύουν τον κωδικό πρόσβασης. Σε ορισμένες περιπτώσεις, μάλιστα, απενεργοποιούσαν το τηλέφωνο, οπότε χρειαζόταν κωδικός πρόσβασης για να το ξεκλειδώσει ο χρήστης και έτσι παρακάμπτουν και την επαλήθευση προσώπου.
Έχοντας στην κατοχή τους ένα iPhone και γνωρίζοντας το passcode, έχουν τη δυνατότητα να αλλάξουν τον κωδικό πρόσβασης στην Apple ID, αποκλείοντας τον νόμιμο κάτοχο από τον λογαριασμό της Apple. Μπορούν επίσης να απενεργοποιήσουν τον εντοπισμό της συσκευής και να αποκλείσουν άλλες αξιόπιστες συσκευές που θα χρησιμοποιούσε το θύμα της κλοπής για να προλάβει το «κακό». Και βέβαια, το passcode μπορεί να ξεκλειδώσει τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στη συσκευή παρέχοντας πρόσβαση σε εφαρμογές τραπεζών κλπ…
Πώς να προστατευτούμε
Εκπρόσωπος της Ένωσης Καταναλωτών δήλωσε στου Times ότι «η έλλειψη ισχυρής προστασίας ασφαλείας σε εφαρμογές για κινητά ορισμένων τραπεζών αποτελεί τεράστια ανησυχία και θα μπορούσε να εκθέσει πολλούς περισσότερους καταναλωτές σε κίνδυνο εξαπάτησης. Οι τράπεζες πρέπει επίσης να διασφαλίσουν ότι εκπληρώνουν τις νομικές τους υποχρεώσεις και αποζημιώνουν τους πελάτες για μη εξουσιοδοτημένες συναλλαγές».
Για τη «Which?» οι τράπεζες πρέπει να βρουν άλλον τρόπο από τα SMS για να στέλνουν απόρρητες πληροφορίες και προειδοποιήσεις για απάτη, ενώ θα μπορούσαν να θεωρούν μη αξιόπιστα τα τηλέφωνα που συνδέονται με λογαριασμούς τους εφόσον έχει καταγγελθεί κλοπή.
Στους χρήστες των κινητών τηλεφώνων και των εφαρμογών συστήνει να προσθέσουν έναν μοναδικό κωδικό στην κάρτα sim και να έχουν απενεργοποιημένες τις ειδοποιήσεις προεπισκόπησης στην οθόνη του κινητού. Και, βέβαια, να ρίχνουν πού και πού καμιά ματιά πίσω από τους ώμους τους…