© Blake Connally
Από τις Cristina Ruiz, Anna Brady, Sarah P. Hanson και Julia Michalska
Οι χάκερ κλέβουν μεγάλα χρηματικά ποσά από τις γκαλερί τέχνης και τους πελάτες τους χρησιμοποιώντας μια απλή απάτη ηλεκτρονικού ταχυδρομείου. Η Art Newspaper έχει μέχρι στιγμής εντοπίσει εννέα γκαλερί ή άτομα που έγιναν στόχος αυτής της απάτης. Περιλαμβάνουν τους Hauser & Wirth, τους εμπόρους του Λονδίνου Simon Lee, Thomas Dane, Rosenfeld Porcini και Laura Bartlett και, στις ΗΠΑ, τον Tony Karman, τον πρόεδρο της Expo Chicago.
«Γνωρίζουμε αρκετές γκαλερί που έχουν επηρεαστεί. Τα ποσά που χάθηκαν από αυτούς ή τους πελάτες τους κυμαίνονται από 10.000 έως 1 εκατομμύριο λίρες», λέει ο ασφαλιστής Adam Prideaux της Hallett Independent. «Υποψιάζομαι ότι το πρόβλημα είναι πολύ χειρότερο από όσο φαντάζομαστε.»
Πώς δουλεύει
Η απάτη είναι σχετικά απλή. Οι εγκληματίες χακάρουν το λογαριασμό email ενός εμπόρου τέχνης και παρακολουθούν την εισερχόμενη και εξερχόμενη αλληλογραφία. Όταν η γκαλερί στέλνει ένα τιμολόγιο σε μορφή PDF σε έναν πελάτη μέσω email μετά από μια πώληση, η συζήτηση εκτρέπεται. Μιλώντας ως η γκαλερί, οι χάκερ στέλνουν ένα αντίγραφο ψευδές τιμολόγιο από την ίδια διεύθυνση email με την γκαλερί, με ένα συνοδευτικό μήνυμα που δίνει εντολή στον πελάτη να αγνοήσει το πρώτο τιμολόγιο και αντ'' αυτού, να κάνει την πληρωμή στο λογαριασμό που αναφέρεται στο παραπλανητικό έγγραφο.
Μόλις μεταφερθούν τα χρήματα στο λογαριασμό των εγκληματιών, οι χάκερ μετακινούν τα χρήματα για να αποφύγουν την ανίχνευση και στη συνέχεια εξαφανίζονται. Η ίδια τεχνική χρησιμοποιείται για να εκτρέψει τις πληρωμές που γίνονται από γκαλερί στους καλλιτέχνες τους και σε άλλους. Επειδή οι χάκερ έχουν πρόσβαση στις επαφές ηλεκτρονικού ταχυδρομείου της γκαλερί, η απάτη μπορεί να εξαπλωθεί γρήγορα, με ψευδή emails που προέρχονται από γνωστές πηγές.
Τα θύματα
Αυτό το καλοκαίρι, η έμπορος με έδρα το Λονδίνο, Laura Bartlett, πούλησε μια ομάδα έργων σε ένα συλλέκτη των ΗΠΑ. «Ήταν μια πώληση αρκετά υψηλής αξίας για μένα», λέει. Η συναλλαγή διαπραγματεύθηκε εξ ολοκλήρου με email και όταν οριστικοποιήθηκε, η Bartlett απέστειλε στον αγοραστή ένα τιμολόγιο μέσω email, όπως έστελνε όλα τα τιμολόγιά της τα τελευταία 12 χρόνια. Ο πελάτης της το έλαβε αυτό, αλλά σύντομα μετά, τα emails της Bartlett εκτράπηκαν. «Κάποιος έστειλε ένα άλλο μήνυμα λέγοντας: Αγνοήστε το προηγούμενο τιμολόγιό μου. Σας έστειλα παλιά τραπεζικά στοιχεία: παρακαλώ χρησιμοποιήστε αυτό το τιμολόγιο.» Και ο πελάτης κατέθεσε τελικά τα χρήματα στους χάκερ αντί για την Bartlett.
«Κοίταζα συνέχεια το λογαριασμό μου για να δω αν τα χρήματα είχαν φτάσει και έστελνα όλο και περισσότερα emails στον πελάτη μου για να ρωτήσω πού είναι τα χρήματα», λέει. Ο πελάτης της απαντούσε σε αυτά τα emails, αλλά «αναδρομικά, αντιλαμβάνομαι ότι ο τόνος των ηλεκτρονικών μηνυμάτων του είχε αλλάξει εντελώς», λέει η Bartlett. Αυτό που εκείνη και ο πελάτης της δε γνώριζαν εκείνη τη στιγμή ήταν ότι οι χάκερ ήλεγχαν πλέον όλη την αλληλογραφία μεταξύ τους, ενώ ταυτόχρονα υποδυόντουσαν και τους δύο. Οι χάκερ απαντούσαν στα ερωτήματα της Bartlett σχετικά με την πληρωμή με διαβεβαιώσεις ότι «όλα ήταν καλά και ότι η καθυστέρηση στη λήψη των πληρωμών εξεταζόταν».
Μόνο όταν η Bartlett κάλεσε τον πελάτη μια εβδομάδα αργότερα συνειδητοποίησαν και οι δύο τι συνέβη. Ανέφεραν την κλοπή στην ομάδα Action Fraud της Μητροπολιτικής Αστυνομίας του Λονδίνου, αλλά δεν έχουν πληροφορίες σχετικά με τη διεξαγόμενη έρευνα. (Ένας εκπρόσωπος της ομάδας δήλωσε στην Art Newspaper ότι η αναφορά της Bartlett και του πελάτη της έχουν θεωρηθεί και έχουν δοθεί στην υπηρεσία της Μητροπολιτικής Αστυνομίας για έρευνα).
Ο πελάτης της Bartlett δεν έχει ανακτήσει τα χρήματά του και είναι απίθανο να το κάνει. «Η τράπεζά του του είπε ότι δεν ήταν σε θέση να τον αποζημιώσει», λέει η Bartlett. Σε περιπτώσεις όπως αυτές, «η τράπεζα δεν έκανε ένα λάθος για το οποίο αναγκαστικά πρέπει να αναλάβει την ευθύνη», λέει ο Chris Bentley, διευθυντής εγγυήσεων στην AXA Art Βόρεια Ευρώπης, Μέσης Ανατολής και Ασίας.
Ορισμένοι έμποροι τέχνης πιστεύουν ότι οι τράπεζες θα έπρεπε να διενεργούν πιο λεπτομερείς ελέγχους σε νέους πελάτες προτού τους δοθεί η δυνατότητα να ανοίξουν λογαριασμούς. Ο Ian Rosenfeld από την Rosenfeld Porcini στο Λονδίνο προσπαθεί να ανακτήσει χρήματα που εκλάπησαν από έναν από τους πελάτες της γκαλερί του εδώ και 18 μήνες. Όπως και στην περίπτωση της Bartlett, η κλοπή συνέβη αφού οι εγκληματίες εξέτρεψαν ένα τιμολόγιο που στάλθηκε σε έναν πελάτη με email μετά την πώληση ενός έργου.
«Περίπου επτά ή οκτώ ώρες αφότου είχαμε στείλει το τιμολόγιό μας, οι αγοραστές έλαβαν ένα άλλο μήνυμα που έλεγε ότι το τιμολόγιο που είχαμε στείλει ήταν σε λάθος νόμισμα και ότι θα έπρεπε να κάνουν πληρωμή σε διαφορετικό λογαριασμό», εξηγεί ο Rosenfeld. Για άλλη μια φορά, οι συλλέκτες κατέθεσαν τα χρήματα σε ένα λογαριασμό που δημιουργήθηκε από απατεώνες. «Είμαστε ακόμα σε συζήτηση με την τράπεζα ενάμισι χρόνο μετά, προσπαθώντας να ανακτήσουμε τα χρήματα: είναι εντελώς άχρηστοι», λέει ο Rosenfeld.
Ο κόσμος της τέχνης δεν έχει μπει συγκεκριμένα στο στόχαστρο από τους χάκερς, αλλά οι ταχείες συναλλαγές και τα μεγάλα ποσά που αλλάζουν χέρια τον καθιστούν ιδιαίτερα προσοδοφόρο. «Δεν μπορεί κάποιος να αγοράσει ένα διαμέρισμα αξίας 1 εκατομμυρίου δολαρίων χωρίς γραφειοκρατία τριών εβδομάδων και 100 ελέγχους υπολοίπου λογαριασμών, αλλά οι έμποροι τέχνης και οι πελάτες τους θα μεταφέρουν 1 εκατομμύριο δολάρια μετά από μια συνομιλία», λέει ένας αμερικανός έμπορος που ζήτησε να μην κατονομαστεί. Ο ίδιος έμπορος, του οποίου η γκαλερί έχασε σχεδόν 500.000 δολάρια όταν κάποιος από τους πελάτες του κατέθεσε χρήματα σε έναν απατεώνα (ο πελάτης ήταν σε θέση να ανακτήσει τα χρήματα αφού η τράπεζα αμφισβήτησε τη μεταφορά), λέει ότι ξέρει πολλές άλλες γκαλερί που έχουν μπει στο στόχο των χάκερ.
Για την Bartlett, η απώλεια εισοδήματος από μια σημαντική πώληση ήρθε σε κακή στιγμή. «Δεν είχα την οικονομική ασφάλεια για να ανταπεξέλθω σε αυτό το σενάριο», λέει. «Αν είχε συμβεί σε κάποια άλλη στιγμή μέσα στο χρόνο, όταν θα είχα μια καλύτερη πορεία, ίσως να ήταν εντάξει, αλλά αυτή η συγκεκριμένη πώληση επρόκειτο να πληρώσει πολλούς λογαριασμούς.» Λίγο μετά την κυβερνοεπίθεση, η Bartlett έκλεισε την γκαλερί της.
Στους εμπόρους τέχνης με έδρα το Λονδίνο που έχουν χάσει χρήματα μέσω αυτού του τύπου απάτης συμπεριλαμβάνεται και ο Simon Lee. «Ο λογιστής μας έλαβε ένα email και ένα τιμολόγιο από κάποιον εντός της εταιρείας μας, με ένα μήνυμα που έλεγε ''παρακαλώ πληρώστε αυτό''», λέει. Το ποσό που έχασε η γκαλερί του Lee ήταν μικρό, λέει, αλλά ξέρει «ανθρώπους που τους έχουν πάρει εκατοντάδες χιλιάδες λίρες». Ο Lee τώρα εκδίδει μια τυποποιημένη προειδοποίηση για κυβερνοαπάτη με κάθε τιμολόγιο και ο λογιστής του τώρα «τηλεφωνεί και επιβεβαιώνει τις τραπεζικές οδηγίες με τους πελάτες μέσω τηλεφώνου».
Στις ΗΠΑ, μια παρόμοια απόπειρα απάτης στοχεύεσε την Expo Chicago. «Κάποιος μπήκε στο σύστημά μας», λέει ο πρόεδρος Tony Karman. «Έχουμε ένα καλό σύστημα, αλλά κάποιος μπήκε μέσα και έστειλε ένα email στο λογιστή μας από τη διεύθυνση ηλεκτρονικού ταχυδρομείου μου με ένα τιμολόγιο και ένα μήνυμα που έλεγε ''παρακαλώ πληρώστε αμέσως αυτό''. Ευτυχώς, ο λογιστής μας έλεγξε μαζί μου το τιμολόγιο και του είπα ''δεν το έστειλα: δεν ήμουν εγώ.'' Αμέσως θέσαμε επιπλέον μέτρα ασφαλείας.»
Πίσω στο Λονδίνο, ένα άλλο θύμα είναι ο Thomas Dane: η γκαλερί έχασε χρήματα όταν κατά λάθος κατέθεσε χρήματα σε λογαριασμό απατεώνα. «Ήταν μια κλιμακωτή πληρωμή που εκτράπηκε», λέει ο Francois Chantala, συνεργάτης της γκαλερί. «Μας ταρακούνησε τόσο ώστε να αναδιαρθρώσουμε ολοκληρωτικά τις διαδικασίες τιμολόγησής μας», λέει, προσθέτοντας ότι η γκαλερί πλέον στέλνει τα περισσότερα από τα τιμολόγιά της με κούριερ.
Δεν είναι μόνο μικρές ή μεσαίες γκαλερί που έχουν στοχευθεί. Η ελβετική γκαλερί Hauser & Wirth, η οποία έχει χώρους στο Λονδίνο, το Somerset, τη Ζυρίχη, τη Νέα Υόρκη και το Λος Άντζελες, έχει επίσης πέσει θύμα της απάτης. Απαντώντας στις ερωτήσεις μας, η γκαλερί είπε σε μια δήλωση: «Όπως πολλοί άλλοι, είναι αλήθεια ότι ήμασταν στόχος κυβερνοεπίθεσης. Χάρη στα συστήματα που έχουμε στη διάθεσή μας και την επαγρύπνηση της ομάδας μας, μόλις πραγματοποιήθηκε η απόπειρα απάτης, ανταποκριθήκαμε γρήγορα, με αποτέλεσμα την πλήρη ανάκτηση των κεφαλαίων. Γνωρίζουμε πολύ καλά τους πιθανούς κινδύνους που ενέχουν οι ψηφιακές συναλλαγές και έχουμε εφαρμόσει πρόσθετα μέτρα ασφαλείας για την προστασία του προσωπικού και των επαφών μας.»
Ευαισθητοποίηση
Οι ενώσεις εμπόρων τέχνης κάνουν προσπάθειες ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο για μήνες. Το Φεβρουάριο, η Society of London Art Dealers εξέδωσε προειδοποίηση στα μέλη της σχετικά με τους κινδύνους απάτης με email. Τρεις μήνες αργότερα, έστειλε την προειδοποίηση ξανά. Στις ΗΠΑ, η Art Dealers Association of America (ADAA) κυκλοφόρησε την πρώτη της προειδοποίηση σχετικά με τους κινδύνους στον κυβερνοχώρο, συμπεριλαμβανομένου αυτού του συγκεκριμένου τύπου απάτης μέσω email, στην οποία αναφέρεται ως απάτη «του ενδιάμεσου ανθρώπου», το 2016. Ο Adam Sheffer της γκαλερί Cheim & Read, ο οποίος είναι πρόεδρος του ADAA, λέει ότι έστειλε την προειδοποίηση αφού προσεγγίστηκε από «μεγάλες αμερικανικές και ευρωπαϊκές γκαλερί», καθώς και καλλιτέχνες που είχαν στοχευθεί από απατεώνες.
Η λήψη βασικών προφυλάξεων, όπως η κρυπτογράφηση τιμολογίων και η επιβεβαίωση των τραπεζικών στοιχείων μέσω τηλεφώνου με πελάτες, καλλιτέχνες και παρόχους υπηρεσιών πριν από τη μεταβίβαση χρημάτων, είναι σημαντική, κυρίως διότι είναι δύσκολη η ασφάλιση έναντι απάτης μέσω ηλεκτρονικού ταχυδρομείου ή άλλων χακαρισμάτων. Παρόλο που υπάρχουν κάποιες πολιτικές ασφάλισης στον κυβερνοχώρο, αυτές συνήθως έχουν ένα σχετικά χαμηλό ανώτατο όριο για ζημίες που μπορεί να διεκδικηθούν. Επιπλέον, εάν οι πολιτικές αυτές αγοράζονται από γκαλερί, θα προστατεύσουν μόνο τις ίδιες τις γκαλερί και όχι τους πελάτες τους, οι οποίοι συχνά είναι τα θύματα.
Ο ασφαλιστικός κλάδος είναι διχασμένος για την αποτελεσματικότητα τέτοιων προϊόντων. Η AXA Art δεν προσφέρει αυτήν την περίοδο μια πολιτική που θα προστατεύει από απώλειες από αυτό το είδος ηλεκτρονικής απάτης, λέει ο Bentley. «Αυτή είναι μια πολύ ταχέως εξελισσόμενη περιοχή για την ασφαλιστική αγορά», λέει. «Κινείται τόσο γρήγορα ώστε εάν ανανεώσατε την πολιτική σας τον Απρίλιο και όχι τον Οκτώβριο, μπορεί να έχετε διαφορετική ρύθμιση». Πιστεύει ότι είναι αποτελεσματικότερο για τις γκαλερί να υιοθετήσουν «μια αλλαγή στην πράξη, για να αποφευχθεί το να συμβεί αυτή η κατάσταση εξαρχής αντί να αγοράσουν κάτι που πρόκειται να είναι πιθανότατα μια πολύ ακριβή ασφάλιση. Ακόμη και αν τελικά προσφέρεται ασφαλιστική λύση, εξακολουθεί να είναι πιθανό να είναι τόσο περιορισμένη όσο και δαπανηρή.»
Για τις γκαλερί στο Ηνωμένο Βασίλειο, η εισαγωγή μεγαλύτερης ασφάλειας είναι σημαντική. Τον επόμενο Μαΐο, το Ηνωμένο Βασίλειο θα εφαρμόσει τη νέα νομοθεσία της ΕΕ: ??το Γενικό Κανονισμό Προστασίας Δεδομένων. (Η νομοθεσία θα εισαχθεί στη Βρετανία ανεξάρτητα από τo Brexit.) Αυτός απαιτεί από κάθε εταιρεία που αποθηκεύει προσωπικά δεδομένα, όπως οι διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών, να την προστατεύει επαρκώς. Επομένως, αν ο λογαριασμός ηλεκτρονικού ταχυδρομείου της γκαλερί είναι χακαρισμένος λόγω ανεπαρκών μέτρων ασφαλείας, θα της επιβληθεί πρόστιμο 4% επί του ετήσιου τζίρου ή 20 εκατομμύρια ευρώ -όποιο ποσό είναι υψηλότερο. «Δεν υπάρχουν γκαλερί που να έχουν τόση επίγνωση της επικείμενης ρύθμισης», λέει ο Lee, προσθέτοντας ότι για τις γκαλερί «υπάρχουν τεράστιες ευθύνες και υπάρχουν πολλά που πρέπει να γίνουν για την προετοιμασία».
Προστασία σε πέντε βήματα κατά της απάτης μέσω email
- Αλλάξτε τακτικά όλους τους κωδικούς πρόσβασης σε email, λογισμικό και wifi
- Βεβαιωθείτε ότι όλα τα λογισμικά προστασίας από ιούς είναι ενημερωμένα
- Να στέλνετε τιμολόγια μέσω email μόνο εάν έχουν κρυπτογραφηθεί (προστατεύονται με κωδικό πρόσβασης)
- Αφού στείλετε ή λάβετε ένα τιμολόγιο με email, καλέστε ή/και στείλτε ένα μήνυμα ή ένα μήνυμα WhatsApp στον παραλήπτη, για να ελέγξετε ξανά το sort code και τον αριθμό λογαριασμού
- Προτρέψτε όλο το προσωπικό να είναι σε εξαιρετική εγρήγορση όταν ανοίγει emails και να μην κατεβάζει συνημμένα ή να κάνει κλικ σε συνδέσμους από μια μη αξιόπιστη πηγή. Πάντα να επιβεβαιώνετε τη νομιμότητα μέσω τηλεφώνου με τον αποστολέα σε περίπτωση αμφιβολίας.
Απόδοση: Νάσια Καλαμάκη
