Σύνοψη
- Νέο κύμα ηλεκτρονικής απάτης (smishing) βρίσκεται σε εξέλιξη, με τους επιτήδειους να χρησιμοποιούν ως δόλωμα την υποτιθέμενη επιδότηση καυσίμων Fuel Pass 2026.
- Τα παραπλανητικά γραπτά μηνύματα προτρέπουν τους παραλήπτες να ακολουθήσουν έναν κακόβουλο σύνδεσμο για δήθεν επιβεβαίωση στοιχείων ή υποβολή αίτησης.
- Το Υπουργείο Ψηφιακής Διακυβέρνησης διευκρινίζει επισήμως ότι καμία κρατική υπηρεσία δεν ζητά ποτέ τραπεζικούς κωδικούς, PIN ή στοιχεία καρτών μέσω SMS ή email.
- Η μοναδική ενδεδειγμένη αντίδραση είναι η άμεση διαγραφή του μηνύματος, χωρίς καμία αλληλεπίδραση με τον σύνδεσμο που περιέχει.
Τι ακριβώς συμβαίνει με τα SMS για το Fuel Pass 2026;
Το Υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης εξέδωσε επίσημη προειδοποίηση για μια νέα, εκτεταμένη και στοχευμένη εκστρατεία smishing (phishing μέσω SMS). Οι επιτήδειοι αποστέλλουν μαζικά μηνύματα στα κινητά τηλέφωνα των πολιτών, αναφέροντας ψευδώς ότι ο παραλήπτης είναι δικαιούχος του Fuel Pass 2026. Το μήνυμα καλεί τον χρήστη να ακολουθήσει έναν εξωτερικό σύνδεσμο (link) προκειμένου να υποβάλει αίτηση ή να επιβεβαιώσει τα προσωπικά και τραπεζικά του στοιχεία για να λάβει την επιδότηση.
Η συγκεκριμένη μέθοδος υποκλοπής δεδομένων δεν είναι καινούργια, ωστόσο η προσαρμογή της στην επικαιρότητα και στις αναζητήσεις των Ελλήνων καταναλωτών την καθιστά εξαιρετικά επικίνδυνη. Οι κυβερνοεγκληματίες εκμεταλλεύονται το αυξημένο ενδιαφέρον για τις κρατικές επιδοτήσεις, γνωρίζοντας ότι το άμεσο οικονομικό όφελος μειώνει τις αντιστάσεις και την κριτική σκέψη του τελικού χρήστη. Αντί να προσπαθήσουν να παραβιάσουν τα πολύπλοκα συστήματα ασφαλείας των τραπεζών, στοχεύουν απευθείας στον πιο αδύναμο κρίκο της αλυσίδας: τον ίδιο τον άνθρωπο.
Η μηχανική της κοινωνικής μηχανικής (Social Engineering)
Για να κατανοήσουμε την αποτελεσματικότητα αυτών των επιθέσεων, πρέπει να αναλύσουμε τον τρόπο λειτουργίας τους. Οι επιτιθέμενοι δεν επιλέγουν τυχαία το κείμενο του μηνύματος. Χρησιμοποιούν τεχνικές κοινωνικής μηχανικής (social engineering), δημιουργώντας μια αίσθηση κατεπείγοντος ή μια υπόσχεση ανταμοιβής. Το κείμενο συνήθως αναφέρει προθεσμίες που λήγουν άμεσα ή απειλεί με απώλεια του δικαιώματος επιδότησης αν ο χρήστης δεν δράσει γρήγορα.
Η απουσία ψυχραιμίας οδηγεί τον πολίτη στο κλικ. Μόλις ο χρήστης πατήσει τον κακόβουλο σύνδεσμο, μεταφέρεται σε μια ιστοσελίδα-κλώνο. Η σελίδα αυτή είναι σχεδιασμένη ώστε να μιμείται οπτικά το περιβάλλον της Ενιαίας Ψηφιακής Πύλης (gov.gr) ή τη σελίδα σύνδεσης (login) μιας συστημικής ελληνικής τράπεζας. Περιλαμβάνει τα επίσημα λογότυπα, τα ίδια χρώματα και πανομοιότυπη γραμματοσειρά. Η γραμμή διευθύνσεων (URL), ωστόσο, αποκαλύπτει την απάτη, καθώς δεν καταλήγει στο αυθεντικό ".gov.gr" ή στο επίσημο domain της τράπεζας, αλλά σε παραλλαγές όπως "https://www.google.com/search?q=gov-gr-fuelpass.com" ή κάτι αντίστοιχα παραπλανητικό.
Η τεχνική ανατομία της επίθεσης
Όταν ο ανυποψίαστος χρήστης βρεθεί στην πλαστή ιστοσελίδα, του ζητείται να εισάγει τα διαπιστευτήριά του (username και password) του e-Banking του ή τους κωδικούς Taxisnet, καθώς και στοιχεία χρεωστικών ή πιστωτικών καρτών (αριθμός κάρτας, ημερομηνία λήξης, CVV).
Από τη στιγμή που ο χρήστης πληκτρολογήσει αυτά τα δεδομένα και πατήσει "Υποβολή", οι πληροφορίες αποστέλλονται σε πραγματικό χρόνο στους διακομιστές (servers) των εγκληματιών. Σε πολλές περιπτώσεις, η επίθεση πηγαίνει ένα βήμα παραπέρα: η πλαστή σελίδα μπορεί να ζητήσει και τον Κωδικό Μίας Χρήσης (OTP - One Time Password) που λαμβάνει ο χρήστης εκείνη τη στιγμή από την τράπεζά του. Με αυτόν τον τρόπο, οι δράστες παρακάμπτουν το σύστημα ταυτοποίησης δύο παραγόντων (2FA) και αποκτούν πλήρη, ανεμπόδιστη πρόσβαση στον τραπεζικό λογαριασμό, εκτελώντας άμεσα μεταφορές χρημάτων.
Εναλλακτικά, το πάτημα του συνδέσμου ενδέχεται να εγκαταστήσει αθόρυβα κακόβουλο λογισμικό (malware ή spyware) στη συσκευή του θύματος. Αυτός ο τύπος λογισμικού μπορεί να παρακολουθεί τις πληκτρολογήσεις (keylogging), να υποκλέπτει μελλοντικούς κωδικούς ή να δίνει απομακρυσμένο έλεγχο της συσκευής στους επιτιθέμενους.
Προληπτικά μέτρα και άμυνα
Η αντιμετώπιση τέτοιων φαινομένων απαιτεί συνεχή εγρήγορση και τήρηση βασικών κανόνων ψηφιακής υγιεινής. Το Υπουργείο Ψηφιακής Διακυβέρνησης είναι σαφές: κανένας επίσημος κρατικός φορέας και καμία τράπεζα δεν πρόκειται ποτέ να ζητήσει ευαίσθητα προσωπικά δεδομένα, κωδικούς πρόσβασης ή αριθμούς PIN μέσω SMS, email ή τηλεφωνικής κλήσης. Η πρόσβαση στις κρατικές υπηρεσίες γίνεται αποκλειστικά μέσω της επίσημης διεύθυνσης gov.gr και των αντίστοιχων αυθεντικών εφαρμογών.
Εάν λάβετε ένα τέτοιο μήνυμα, τα βήματα είναι συγκεκριμένα. Αρχικά, μην πανικοβληθείτε και μην πιέσετε κανέναν σύνδεσμο. Ελέγξτε τον αριθμό του αποστολέα, αν και οι δράστες συχνά χρησιμοποιούν τεχνικές "spoofing" για να εμφανίζεται το μήνυμα ως προερχόμενο από αξιόπιστη πηγή (π.χ. "FuelPass", "Gov.gr" ή "Bank"). Διαγράψτε το μήνυμα αμέσως.
Εάν έχετε ήδη πατήσει τον σύνδεσμο και έχετε καταχωρήσει στοιχεία, η αντίδραση πρέπει να είναι ακαριαία. Επικοινωνήστε αμέσως με την τράπεζά σας μέσω των επίσημων, γνωστών τηλεφώνων εξυπηρέτησης πελατών για να μπλοκάρετε τις κάρτες σας και να απενεργοποιήσετε την πρόσβαση στο e-Banking σας. Επιπλέον, προχωρήστε σε άμεση αλλαγή των κωδικών πρόσβασης (passwords) σε όσες υπηρεσίες χρησιμοποιούσατε τον ίδιο κωδικό, αν και η πρακτική της χρήσης του ίδιου κωδικού παντού είναι κάτι που πρέπει να αποφεύγεται αυστηρά.
Η ασφάλεια των δεδομένων μας ξεκινά από την ενημέρωση. Καθώς οι ηλεκτρονικές υπηρεσίες του κράτους επεκτείνονται και η ψηφιακή διακυβέρνηση ενσωματώνει εργαλεία Τεχνητής Νοημοσύνης για την ταχύτερη εξυπηρέτηση του πολίτη, η ατομική ευθύνη στην προστασία των προσωπικών διαπιστευτηρίων παραμένει ο σημαντικότερος παράγοντας ανάσχεσης του κυβερνοεγκλήματος.
Η άποψη του Techgear
Η εμφάνιση της απάτης με το Fuel Pass 2026 επιβεβαιώνει την ταχύτητα με την οποία τα συνδικάτα κυβερνοεγκλήματος προσαρμόζουν τις καμπάνιες τους στα τοπικά δεδομένα κάθε χώρας.
Στην Ελλάδα, οι κρατικές πλατφόρμες (gov.gr) χαίρουν υψηλής εμπιστοσύνης από τους πολίτες, γεγονός που οι επιτιθέμενοι προσπαθούν να εργαλειοποιήσουν. Το επίπεδο αυτών των επιθέσεων έχει ανέβει σημαντικά. Τα ορθογραφικά λάθη και οι πρόχειρες μεταφράσεις, που κάποτε πρόδιδαν τα phishing SMS, απουσιάζουν από τις σύγχρονες επιθέσεις, χάρη στη χρήση εργαλείων Generative AI.
Το πρόβλημα δεν λύνεται απλώς με ενημερωτικά δελτία τύπου. Απαιτείται τεχνολογική θωράκιση από την πλευρά των παρόχων τηλεπικοινωνιών για τον καλύτερο εντοπισμό και φιλτράρισμα του SMS spoofing (την παραποίηση του ονόματος αποστολέα) πριν καν το μήνυμα φτάσει στο τερματικό του χρήστη. Μέχρι να υπάρξει ένα αυστηρότερο πρωτόκολλο πιστοποίησης των αποστολέων SMS στην Ευρώπη, ο χρυσός κανόνας παραμένει ένας: ποτέ δεν ολοκληρώνουμε καμία οικονομική ή διοικητική συναλλαγή μέσω link που μας ήρθε απρόσκλητα στο κινητό. Η πρόσβαση πρέπει να γίνεται αποκλειστικά πληκτρολογώντας μόνοι μας τη διεύθυνση στον browser ή μέσω της επίσημης εφαρμογής.
