ΧΑΡΑΚΤΗΡΙΣΤΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΑΠΑΤΗΣ ΜΕ ΥΠΟΛΟΓΙΣΤΗ (Phising, Pharming, Skimming κλπ.)

Της Ευαγγελίας Κούρτη, δικηγόρου LLM, MSc – συνεργάτη της Piperakis–Kostopoulos Law Firm.

Ανάμεσα στις πιο διαδεδομένες εκδοχές του εγκλήματος της απάτης με υπολογιστή συγκαταλέγονται το phising, το pharming, το skimming,  όπως αυτές εξειδικεύονται ακολούθως:

– Το Phising (παράφραση του fishing) είναι ο δημοφιλέστερος ενδεχομένως τρόπος εξαπάτησης, καθόσον είναι ευκολότερο το να εξαπατηθεί κάποιος και να παραχωρήσει τα προσωπικά του στοιχεία, παρά να καμφθεί το τείχος προστασίας ενός Η/Υ και να αποκτηθεί πρόσβαση σε προσωπικά στοιχεία χωρίς τη συνδρομή του θύματος. Συνήθως παραλαμβάνεται μήνυμα (SMS – smishing, email ή άλλο που συχνά έχουν συντακτικά, ορθογραφικά και τυπογραφικά λάθη, ενώ συνήθως η πλήρης διεύθυνση ηλεκτρονικής αλληλογραφίας του αποστολέα δεν μοιάζει με τις διευθύνσεις γνησίων φορέων) από το θύμα που μοιάζει να είναι αξιόπιστης προέλευσης και το κείμενο προτρέπει στην επιλογή ενός υπερσυνδέσμου ανακατεύθυνσης σε κακόβουλο ιστότοπο που είναι όμως απομιμητικός ενός γνησίου, όπου το θύμα, συχνά και υπό την πίεση κάποιας απειλής που εμπεριέχεται στο αρχικό μήνυμα (π.χ. επικείμενος αποκλεισμός τραπεζικού λογαριασμού, μη παραλαβή δέματος αποστολής κ.α.), καταχωρίζει προσωπικές πληροφορίες και δεδομένα που αποθηκεύονται από το δράστη. Ο τελευταίος αποκτά με αυτόν τον τρόπο πρόσβαση σε στοιχεία τραπεζικών λογαριασμών και τραπεζικών καρτών του θύματος και έπειτα χρησιμοποιεί ο δράστης τα παρανόμως αποκτηθέντα στοιχεία, προσποιούμενος το θύμα, προκειμένου να επηρεάσει το αποτέλεσμα μιας διαδικασίας επεξεργασίας δεδομένων υπολογιστή και να αποκομίσει παράνομο περιουσιακό όφελος με αντίστοιχη περιουσιακή ζημία του θύματος.

– Το Pharming προσιδιάζει αρκετά στο phising αλλά ο δράστης σε αυτή την περίπτωση εγκαθιστά κακόβουλο λογισμικό σε διακομιστή ή σε Η/Υ και ανακατευθύνει το χρήστη σε απομιμητικούς ιστοτόπους με σκοπό την απόκτηση πρόσβασης σε προσωπικά δεδομένα και πληροφορίες του θύματος χωρίς τη γνώση και τη συγκατάθεση του τελευταίου. Με την ως άνω εγκατάσταση του κακόβουλου λογισμικού επιτυγχάνεται το να μολύνεται ο διακομιστής και έτσι όταν κάποιος χρήστης αναζητά μία ιστοσελίδα, π.χ. ενός τραπεζικού ιδρύματος, εμφανίζεται το πρώτον σε αυτόν μία απομίμηση της τελευταίας ιστοσελίδας, την οποία το θύμα την επιλέγει και εισέρχεται για παράδειγμα με καταχώριση κωδικών του σε κακόβουλο ιστότοπο. Ως αποτέλεσμα και πάλι ο δράστης, έχοντας πλέον αποκτήσει τις αναγκαίες προσωπικές πληροφορίες και δεδομένα, προσποιούμενος το θύμα, προβαίνει σε ενέργειες  που επηρεάζουν το αποτέλεσμα μιας διαδικασίας επεξεργασίας δεδομένων υπολογιστή προσποριζόμενος παράνομο περιουσιακό όφελος σε βάρος του θύματος.

Στις ως άνω περιπτώσεις ενδέχεται να συρρέουν (ή έστω το πρώτο στάδιο να είναι προπαρασκευαστικό του πρώτου ως ακολούθως:) τόσο η εξαπάτηση του φυσικού προσώπου, αφού μπορεί με την παραπλάνηση αυτού να εκτυλίσσεται το πρώτο στάδιο της απόκτησης των προσωπικών πληροφοριών και δεδομένων, όσο και η απάτη με υπολογιστή, αφού κατά το επόμενο στάδιο ο δράστης, προσποιούμενος το θύμα, επηρεάζει το αποτέλεσμα της επεξεργασίας δεδομένων υπολογιστή και αποκτά παράνομο περιουσιακό όφελος, χωρίς να μεσολαβεί σε αυτό το στάδιο η εξαπάτηση φυσικού προσώπου.

– Το Skimming είναι η παράνομη δραστηριότητα κατά την οποία αθέμιτα υποκλέπτονται δεδομένα αποθηκευμένα στις μαγνητικές ταινίες τραπεζικών καρτών αυτομάτων συναλλαγών, ώστε εν συνεχεία να αναπαραχθούν κλώνοι αυτών των καρτών και να χρησιμοποιηθούν από το δράστη, που προσποιείται το θύμα, και πραγματοποιεί συναλλαγές που θα αποφέρουν παράνομο όφελος σε αυτόν και αντίστοιχη περιουσιακή ζημία στο θύμα. Εν προκειμένω και πάλι δεν μεσολαβεί εξαπάτηση φυσικού προσώπου, παρά μόνο με την αθέμιτη χρήση των καρτών κλώνων επηρεάζεται το αποτέλεσμα της επεξεργασίας δεδομένων υπολογιστή και τελείται το έγκλημα της απάτης με υπολογιστή (π.χ. ενδεικτικά ο δράστης χρησιμοποιεί τα στοιχεία της κάρτας κλώνου και πραγματοποιεί διαδικτυακές αγορές).

Χαρακτηριστικά παραδείγματα απάτης με υπολογιστή, όπως έχουν κριθεί από τη νομολογία των Δικαστηρίων της χώρας μας είναι τα ακόλουθα:

– Σύμφωνα με την προρρηθείσα απόφαση (βούλευμα) του Συμβουλίου Πλημμελειοδικών Θεσσαλονίκης 828/2022 (ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ), έλαβε χώρα απάτη με υπολογιστή όταν οι δράστες, με σκοπό να προσποριστούν παράνομο περιουσιακό όφελος, συνιστάμενο σε ποσότητα κρυπτονομισμάτων bitcoins ύψους 7.23581806, που κατά τη δεδομένη χρονική στιγμή αντιστοιχούσε στο ποσό των 445.583,66 δολαρίων Ηνωμένων Πολιτειών Αμερικής, ήτοι στο ποσό των 400.000,00 ευρώ περίπου, έβλαψαν την περιουσία του παθόντος, με τη μείωση αυτής κατά την προαναφερόμενη ποσότητα bitcoins, προβαίνοντας χωρίς την με οποιονδήποτε τρόπο (ρητή ή σιωπηρή) συναίνεση αυτού σε μεταφορά της ανωτέρω ποσότητας bitcoins από το ηλεκτρονικό – ψηφιακό πορτοφόλι (e- wallet) αυτού στο ηλεκτρονικό – ψηφιακό πορτοφόλι (e-wallet) τρίτου προσώπου με την αυθαίρετη, ήτοι χωρίς τη σχετική συγκατάθεση του παθόντος, χρήση του υλικού φορέα αποθήκευσης της αυτής ποσότητας bitcoins (hardware wallet) κυριότητας του τελευταίου και την από μέρους τους εισαγωγή των στοιχείων αυθεντικοποίησης (seed phase), αποτελούμενων από 24 λέξεις, για τη διενέργεια της σχετικής μεταφοράς χωρίς τη συναίνεση του παθόντος.

– Σύμφωνα με την απόφαση 734/2021 του Αρείου Πάγου (ΣΤ΄ τμήμα – Ποινικές // ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ – skimming), τελέστηκε απάτη με υπολογιστή όταν, κατά το χρονικό διάστημα από 18-7-2000 έως τον Μάιο του 2001, ενεργήθηκαν από τους συγκατηγορουμένους του δράστη επιχειρηματίες, πεισθέντες προς τούτο εκ μέρους του τελευταίου με πειθώ, φορτικότητα και υπόσχεση οικονομικών ωφελημάτων, συναλλαγές με άκυρες πιστωτικές κάρτες εκδόσεως τραπεζών που εξωτερικού (ΗΠΑ), που ο δράστης, ως συναλλασσόμενος μαζί τους χρησιμοποίησε, εμφανιζόμενος ως κάτοχος των περισσοτέρων εξ αυτών, κατά παράβαση των συμφωνηθέντων όρων και ειδικότερα χωρίς τη λήψη έγκρισης από την εγκαλούσα Τράπεζα, αλλά με την εισαγωγή (πληκτρολόγηση) στην χειροκίνητη συσκευή (imprinter) και ειδική τερματική ηλεκτρονική συσκευή POS αυτόματης συναλλαγής και έγκρισης, τύπου MAGIC, που σε εκτέλεση της σύμβασης είχε εγκατασταθεί στο κατάστημα των επιχειρήσεών τους, αυθαίρετων (τυχαίων) κωδικών έγκρισης των συναλλαγών, οι οποίοι παρήγαγαν δελτία χρέωσης, που εμφάνιζαν κατ’ αρχήν τις αντίστοιχες συναλλαγές ως έγκυρες με αποτέλεσμα η παθούσα Τράπεζα να καταβάλει το ποσό που αφορούσαν, αναμένοντας την εκ των υστέρων εξόφλησή τους από τον κάτοχο πελάτη, πλην όμως οι συναλλαγές αυτές, κατόπιν των επιγενόμενων ελέγχων, δεν έγιναν αποδεκτές από τις εκδότριες των καρτών Τράπεζες, αφού αυτές ή είχαν υπερβεί το ανώτατο όριο συναλλαγής ή είχαν ακυρωθεί, με συνέπεια την αντίστοιχη ζημία της εγκαλούσας, αφού είχε στο ενδιάμεσο χρονικό διάστημα καταβάλει στους παραπάνω επιχειρηματίες το ποσά των εν λόγω συναλλαγών.

– Σύμφωνα με την απόφαση 562/2020 του Αρείου Πάγου (E’ Ποινικές – σε Συμβούλιο // ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ), στοιχειοθετήθηκε απάτη με υπολογιστή όταν ο δράστης εισήγαγε κάρτα αυτόματων αναλήψεων, συνδεδεμένη με τον τραπεζικό λογαριασμό του θύματος σε μηχανήματα ΑΤΜ υποκαταστημάτων της τράπεζας στην οποία τηρούταν ο πιο πάνω λογαριασμός και πληκτρολογώντας τον κωδικό PIN, του οποίου είχε λάβει γνώση προηγουμένως, επηρέασε τα στοιχεία του υπολογιστή που διαθέτουν τα μηχανήματα αυτά, προβαίνοντας σε αναλήψεις μετρητών μέσω της αυτοματοποιημένης διαδικασίας ανάληψης μετρητών από τα μηχανήματα ΑΤΜ της εν λόγω τράπεζας σε χρέωση του λογαριασμού του θύματος που ήταν ο νόμιμος κάτοχος της κάρτας αυτομάτων αναλήψεων, εμφανίζοντας στο ηλεκτρονικό πρόγραμμα αυτοματοποιημένης διαδικασίας εκταμίευσης μετρητών, που είχε σχεδιαστεί να υπακούει σε εντολές του εμφανιζόμενου (διά της εισαγωγής της στο ΑΤΜ) ως νόμιμου κατόχου της ως άνω κάρτας, ότι αυτός (ο κατηγορούμενος δράστης) ήταν ο νόμιμος κάτοχος της εν λόγω κάρτας και δικαιούταν σε ανάληψη των σχετικών ποσών από τον ανωτέρω τραπεζικό λογαριασμό.

– Σύμφωνα με την απόφαση 1087/2019 του Αρείου Πάγου (E’ Ποινικές // ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ), η απάτη με υπολογιστή αποτελεί ένα πολύτροπο ή υπαλλακτικώς μικτό έγκλημα το οποίο τελείται α) είτε με τη μη ορθή διαμόρφωση του προγράμματος β) είτε με επέμβαση κατά την εφαρμογή του γ) είτε με τη χρησιμοποίηση μη ορθών ή ελλιπών στοιχείων και δ) είτε με οποιοδήποτε άλλο τρόπο[1]. Ειδικώς ως προς την τελευταία αυτή περίπτωση θα πρέπει να λεχθεί ότι λόγω της ευρείας αυτής διατύπωσης του νόμου επιτρέπεται η υπαγωγή σ’ αυτήν και των περιπτώσεων επηρεασμού ακόμη και με μη σύννομη χρήση ορθών στοιχείων (δηλαδή κανονική αλλά χωρίς δικαίωμα εκτέλεσης προγράμματος). Στην περίπτωση αυτή υπάγεται και η ανάληψη χρημάτων από ΑΤΜ Τράπεζας από μη δικαιούμενο πρόσωπο (πχ με κλεμμένη μαγνητική κάρτα). Επομένως επηρεασμό συνιστά και οποιαδήποτε χωρίς δικαίωμα επεξεργασία των δεδομένων του υπολογιστή που οδηγεί σε αποτέλεσμα διαφορετικό από εκείνο που προσδοκάται με τη νόμιμη χρήση, όπως η περίπτωση που αναφέρεται διεθνώς υπό τον όρο “skimming” (ΑΠ 131/2013 βλ. σχετ. Χρ. Μυλωνόπουλου Ποινική Δικονομία έκδ. 2016 σελ.522, Μιχ. Μαργαρίτη Ποιν.Κώδικας έκδ. 24 – 2014 σελ.1325). … Ειδικότερα, σύμφωνα με τα διαλαμβανόμενα στην αυτή απόφαση, η Υποδιεύθυνση Δίωξης Οικονομικών Εγκλημάτων, Αρχαιοκαπηλίας και Ηθών, Ι0 τμήμα Οικονομικών Εγκλημάτων της Δ.Α.Α., αρκετό χρονικό διάστημα πριν την 19-12-2009 ασχολείτο με τον εντοπισμό δραστών, που προέβαιναν σε παγιδεύσεις των αυτόματων ταμειολογιστικών μηχανημάτων (ATM), μέθοδος γνωστή ως “skimming”, διαφόρων τραπεζών και με τον τρόπο αυτό προσπόριζαν παράνομο περιουσιακό όφελος. Οι δράστες κατασκεύαζαν αυτοσχέδιους μηχανισμούς παγίδευσης καρτών αναλήψεων, τους οποίους τοποθετούσαν σε ATM και μέσω αυτών υπέκλεπταν τα προσωπικά δεδομένα από τις πρωτότυπες κάρτες , κατά την ώρα της συναλλαγής, από το νόμιμο κάτοχο τους. Ακολούθως κατασκεύαζαν κάρτες κλώνους και εκταμίευαν παράνομα χρηματικά ποσά από τους λογαριασμούς των νομίμων δικαιούχων. Σημειωτέο, από νομικής επόψεως, ότι οι κατηγορούμενοι τιμωρούνται εν προκειμένω για το αδίκημα της πλαστογραφίας με χρήση, λόγω κατάρτισης των καρτών κλώνων, ενώ το αδίκημα της απάτης με υπολογιστή απορροφάται από την πλαστογραφία λόγω φαινομενικής συρροής.

– Σύμφωνα με την απόφαση 4689/2018 του Τριμελούς Εφετείου Κακουργημάτων Αθηνών (ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ), κρίθηκαν τα κάτωθι περιστατικά ως απάτη  με υπολογιστή. Συγκεκριμένα, ο κατηγορούμενος από το έτος 2001 έως το 2010, συμπεριέλαβε στις καταστάσεις που διαβίβαζε στην Τράπεζα και τα ονόματα δύο ακόμη προσώπων, ως δικαιούχων προνοιακών επιδομάτων. Επιπλέον, εξέδιδε αντίστοιχα σε έντυπη μορφή τα έγγραφα των εντολών πληρωμής προς την Τράπεζα και τα αντίστοιχα ειδοποιητήρια που αφορούσαν τα ανωτέρω δύο πρόσωπα. Έτσι εξέδωσε εντολές πληρωμής – επιταγές προνοιακών επιδομάτων ποσού 723.364,97 ευρώ για τη θεία του, και 18.150 ευρώ για τον συνάδελφό του. Τα ανωτέρω πρόσωπα όμως δεν ήταν δικαιούχοι προνοιακών επιδομάτων, εισέπραξαν δε τα προαναφερθέντα ποσά – το κύριο μέρος των οποίων απέδωσαν στον κατηγορούμενο –  χωρίς να τα δικαιούνται. Η είσπραξη του ως άνω ποσού εκ μέρους τους, επιτυγχανόταν πρωτίστως λόγω της συμπερίληψής τους στη διαβιβασθείσα στην Τράπεζα κατάσταση του υπολογιστή. Έτσι, λόγω της έλλειψης ελέγχου, ο κατηγορούμενος, αφ’ ενός με το να συμπεριλάβει στην ενοποιημένη κατάσταση τα ανωτέρω δύο πρόσωπα ως δικαιούχους, επενέβη στο πρόγραμμα του υπολογιστή κατά τη διαδικασία επεξεργασίας ψηφιακών δεδομένων, αφού ως αποτέλεσμα της επεξεργασίας αυτής, την οποία αυτόματα ενεργούσε το πρόγραμμα excel, εμφανιζόταν άλλος τελικός αριθμός δικαιούχων και άλλο ποσό ως άθροισμα του συνόλου των επιδομάτων, αφ’ ετέρου, στις εκδοθείσες εντολές πληρωμής-επιταγές, βεβαίωσε ψευδώς ότι τα ως άνω πρόσωπα ήταν δικαιούχοι επιδομάτων Πρόνοιας για το ποσό που αναγραφόταν σε αυτές (επιταγές). Με βάση τα παραπάνω αποδειχθέντα, ο κατηγορούμενος, … , επηρέασε τα στοιχεία υπολογιστή με χρησιμοποίηση μη ορθών στοιχείων κατά την εφαρμογή του προγράμματος, τέλεσε το αδίκημα της απάτης με ηλεκτρονικό υπολογιστή (386Α ΠΚ), καθόσον το σύνολο του ως άνω εγκλήματος τελέστηκε με την επέμβαση του κατηγορουμένου στις παραμέτρους του προγράμματος excel του ηλεκτρονικού υπολογιστή, επηρεάζοντας, με τη χρήση μη ορθών στοιχείων, το αποτέλεσμα της εφαρμογής του προγράμματος, αφού αυτό (αποτέλεσμα) αλλοιώθηκε τόσο ως προς τον αριθμό των δικαιούχων (+2) όσον και ως προς το τελικά εξαγόμενο ποσό επιδόματος (+748.334,97 ευρώ), ενώ εξάλλου μετά τη διαβίβαση της κατάστασης (με την ειδική γλώσσα προγραμματισμού) προς την Τράπεζα, αλλοιωνόταν και το υπόλοιπο του πιστωτικού λογαριασμού από τον οποίο πληρώνονταν τα επιδόματα στους δικαιούχους.

Για την αντιμετώπιση των περιστατικών απάτης με υπολογιστή είναι μείζονος σημασίας η άμεση ενεργοποίηση του θύματος, η αναζήτησης βοήθειας και η παραχρήμα ειδοποίηση των αρμοδίων αρχών, του σώματος δίωξης ηλεκτρονικού εγκλήματος, των εμπλεκόμενων τραπεζικών ιδρυμάτων διά της αμφισβήτησης των απατηλών συναλλαγών, ή και του Ελληνικού Χρηματοοικονομικού Μεσολαβητή.[2]

[1] Σύμφωνα με προϊσχύσασα μορφή του άρθρου 386 Α ΠΚ.

[2] Βλ. άρθρο «ΑΠΑΤΗ ΜΕ ΥΠΟΛΟΓΙΣΤΗ (Phising, Pharming, Skimming κλπ.)» στο σύνδεσμο: https://piperakis-kostopoulos.com/apati-me-ypologisti/

Η Piperakis – Kostopoulos Law Firm διαθέτει την εμπειρία και την τεχνογνωσία να σας συμβουλεύει, αλλά και να σας προστατεύσει προκαταβολικά ή μετά την επέλευση του κινδύνου. Τα ζητήματα που θίγονται ανωτέρω εντάσσονται στο πεδίο των δεξιοτήτων μας, γεγονός που αποτελεί εχέγγυο ως προς τον προσήκοντα από εμάς χειρισμό του θέματος που μας αναθέτετε.