Παραβίαση δεδομένων προσωπικού χαρακτήρα μέσω επιθέσεων “ηλεκτρονικού ψαρέματος” (phishing).
Γιατί πετυχαίνει και πώς μπορούμε να προστατεύσουμε την επιχείρηση ή τον οργανισμό μας.
Σε μια περίοδο όπως αυτή που διανύουμε, όπου η χρήση των online υπηρεσιών έχει καταστεί σε πολλές περιπτώσεις μοναδική επιλογή, είναι σημαντικό να ενισχυθεί η ευαισθητοποίηση των επιχειρήσεων, των οργανισμών και των καταναλωτών σε ζητήματα ψηφιακής ασφάλειας. Οι τεχνικές phishing και spam συνεχίζουν να αποτελούν τα βασικά όπλα του ψηφιακού εγκλήματος με τις προσπάθειες υποκλοπής δεδομένων προσωπικού χαρακτήρα μέσω επιθέσεων “ηλεκτρονικού ψαρέματος” (phishing) να έχουν αυξηθεί σημαντικά.
Τι είναι το Phising
Εάν έχετε λάβει ποτέ ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχεται από μια τράπεζα ή κάποια άλλη δημοφιλή ηλεκτρονική υπηρεσία που σας ζητά τα διαπιστευτήρια σας, έναν αριθμό πιστωτικής κάρτας ή άλλα προσωπικά σας δεδομένα, τότε γνωρίζετε πώς μοιάζουν οι επιθέσεις phishing.
Το Phising είναι μια εξαιρετικά διαδεδομένη διαδικασία κατά την οποία γίνεται προσπάθεια αλίευσης των δεδομένων ανυποψίαστων χρηστών. Συνήθως ο επιτιθέμενος κρύβεται πίσω από μια αξιόπιστη υπηρεσία ή οργανισμό και ζητά τα προσωπικά στοιχεία από το θύμα μέσω παραπλανητικού μηνύματος e-mail ή ανακατευθύνοντάς το σε μια ψεύτικη ιστοσελίδα. Η τεχνική χρησιμοποιείται για την απόκτηση πληροφοριών οι οποίες κατόπιν θα πουληθούν ή θα αξιοποιηθούν από τους επιτιθέμενους για εκβιασμό, κλοπή χρημάτων, ή υποκλοπή ταυτότητας.
Η πιο κοινή τεχνική ηλεκτρονικού "ψαρέματος" είναι να μιμηθεί κάποιος ένα χρηματοπιστωτικό ίδρυμα μέσω ηλεκτρονικού ταχυδρομείου, προκαλώντας το θύμα να συμπληρώσει τα στοιχεία του λογαριασμού του σε μια ψεύτικη φόρμα μέσα στο κείμενο του μηνύματος, σε ένα επισυναπτόμενο αρχείο, ή παραπέμποντάς τον σε μια ιστοσελίδα. Οι πληροφορίες που έχουν κλαπεί από τα θύματα, συνήθως χρησιμοποιούνται για το άδειασμα των τραπεζικών λογαριασμών τους ή πωλούνται στη μαύρη αγορά του internet.
Για παράδειγμα, σύμφωνα με τη την έκθεση της Kaspersky για το 2019 κατεγράφησαν περισσότερες από 467.188.119 προσπάθειες υποκλοπής δεδομένων προσωπικού χαρακτήρα και συνολικά το 15,17% των χρηστών της δέχτηκε επίθεση phishing. Το πρώτο τρίμηνο του 2020, το σύστημα Anti-Phishing της παραπάνω εταιρείας απέτρεψε 119.115.577 προσπάθειες ανακατεύθυνσης των χρηστών σε scam websites (πλαστές ιστοσελίδες) ενώ για το πρώτο, δεύτερο και τρίτο τρίμηνο του 2020 οι επιθέσεις Phishing φτάνουν συνολικά τις 328.513.833.
Σύμφωνα με Δελτίο Τύπου που εξέδωσε πρόσφατα η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, το τελευταίο διάστημα καταγγέλλονται περιπτώσεις απόπειρας υποκλοπής δεδομένων προσωπικού χαρακτήρα, μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mails) με τη χρήση τεχνικών «ηλεκτρονικού ψαρέματος» (phishing). Συγκεκριμένα, μέσω e-mails, που αποστέλλονται μαζικά προς τους πολίτες, με εμφανιζόμενο αποστολέα εταιρεία παροχής υπηρεσιών ταχυδρομείου, άγνωστοι δράστες επιχειρούν να υποκλέψουν δεδομένα προσωπικού χαρακτήρα με πρόφαση απαίτηση για πληρωμή εξόδων μεταφοράς και φύλαξης προϊόντων. Τα e-mails εμπεριέχουν συνδέσμους (links), που οδηγούν σε ιστοσελίδες στις οποίες πρέπει να συμπληρωθούν τα στοιχεία εισόδου σε online λογαριασμούς (e-mail, social media, web banking) αλλά και καρτών πληρωμών. Στη συνέχεια, εφόσον ο παραλήπτης του e-mail συμπληρώσει τα στοιχεία που του ζητούνται, οι δράστες τα αξιοποιούν είτε για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς του θύματος, είτε για να προβούν σε ηλεκτρονικές συναλλαγές χωρίς εξουσιοδότηση, με χρήση των υποκλαπέντων στοιχείων καρτών.
Πού στηρίζεται η επιτυχία του Phishing
Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες: την έλλειψη γνώσεων του θύματος, την έλλειψη προσοχής του θύματος και την οπτική εξαπάτηση. Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα τεχνάσματα μια επίθεσης phishing, όπως είναι παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.
Ωστόσο και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις ,η οπτική εξαπάτηση στην οποία στοχεύει ο επιτιθέμενος, προκειμένου να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία του, σε συνδυασμό με την έλλειψη προσοχής και χρόνου από μέρους του θύματος καθιστούν πολύ δύσκολη την ανίχνευση μιας τέτοιας επίθεση.
Η οπτική εξαπάτηση επιτυγχάνεται με:
- Παραπλανητικό κείμενο. Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com ), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κλπ.
- Παραπλανητικές εικόνες. Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της google, αλλά όταν πατάς σε αυτές να σε οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες που μιμούνται το λειτουργικό σύστημα του υπολογιστή.
- Παραπλανητικό design. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.
- Το μήνυμα συνήθως εμπεριέχει κάποια απειλή ή κάποιο πρόβλημα το οποίο ο χρήστης καλείται να αντιμετωπίσει. Π,χ «αν δεν ακολουθήσετε τον σύνδεσμο, ο λογαριασμός σας θα κλειδωθεί», ή «μόλις έγινε συναλλαγή €280 από τον λογαριασμό σας, για να την ακυρώσετε πατήστε εδώ»
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, στις περισσότερες περιπτώσεις έχει κατά 90% επιτυχημένες επιθέσεις.
Πώς να αναγνωρίσετε μια απόπειρα phishing
Ένα e-mail μπορεί να περιέχει επίσημα λογότυπα ή άλλες αναφορές ενός αξιόπιστου οργανισμού και παρόλα αυτά να εξακολουθεί να προέρχεται από phishers.
1. Εάν ένα μήνυμα περιέχει γενικούς ή ανεπίσημους χαιρετισμούς ή στερείτε εξατομίκευσης (π.χ. "Αγαπητέ πελάτη") και επισημότητας, τότε θα πρέπει να υποψιαστείτε ότι κάτι πάει στραβά. Το ίδιο ισχύει και για την ψευδο-εξατομίκευση χρησιμοποιώντας τυχαίους ή ψευδείς αριθμούς αναφοράς.
2. Ένα αίτημα για καταχώρηση προσωπικών πληροφοριών – Μια συχνή μέθοδος των phishers, που συνήθως αποφεύγεται από τις τράπεζες, τα χρηματοπιστωτικά ιδρύματα και τις περισσότερες online υπηρεσίες. Θα πρέπει να είστε υποψιασμένοι για οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου σας ζητούν να ελέγξετε ή να ανανεώσετε τα διαπιστευτήριά σας, ακόμη και αν φαίνεται να προέρχονται από μια αξιόπιστη πηγή. Δοκιμάστε να επαληθεύσετε την αυθεντικότητα του αιτήματος με άλλα μέσα, μην κάνετε κλικ σε ύποπτους συνδέσμους ή ανοίγετε τυχόν ύποπτα συνημμένα.
3. Κακή γραμματική - Τα ορθογραφικά, τα συντακτικά λάθη και οι ασυνήθιστες φράσεις συχνά υποδεικνύουν ένα ψεύτικο μήνυμα. Ωστόσο, η απουσία οποιουδήποτε από αυτά δεν αποτελεί απόδειξη νομιμότητας.
4. Απροσδόκητη αλληλογραφία - Η ανεπιθύμητη επικοινωνία από μια τράπεζα ή από έναν πάροχο υπηρεσιών είναι εξαιρετικά ασυνήθιστη και επομένως ύποπτη.
5. Τα μηνύματα που δημιουργούν μια εικόνα επείγοντος ή ανάγκης άμεσης απάντησης/επέμβασης είναι οι πιο συνήθεις περιπτώσεις phishing.
6. Μια προσφορά που δεν μπορείτε να αρνηθείτε; - Εάν το μήνυμα ακούγεται πολύ καλό για να είναι αλήθεια, είναι σχεδόν βέβαιο ότι δεν είναι.
7. Ύποπτο domain - Θα σας έστελνε ποτέ μια αμερικανική ή γερμανική τράπεζα ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα κινεζικό domain;
8. Να είστε πολύ ύποπτοι για μηνύματα από ανθρώπους που δεν γνωρίζετε - ειδικά εάν ζητούν να συνδεθούν με συνδέσμους ή ανοιχτά αρχεία.
9. Τα μηνύματα αποστέλλονται από άτομα που γνωρίζετε, αλλά ζητώντας ασυνήθιστα πράγματα είναι επίσης ύποπτα - επαληθεύστε μέσω τηλεφώνου αν είναι δυνατόν
Ιδιαίτερα προσοχή πρέπει να δίνεται στα κοινωνικά δίκτυα, όπου οι χρήστες δεν πρέπει να θεωρούν ως δεδομένη την αξιοπιστία κάθε δημοσίευσης. Αναρτήσεις που υπόσχονται π.χ. κατά την περίοδο που διανύουμε φτηνές μάσκες ή άλλον εξοπλισμό προστασίας είναι πιθανό να οδηγούν σε σελίδες με κακόβουλο λογισμικό. Μεγάλη προσοχή πρέπει να δίνεται επίσης σε χρήστες και σελίδες στα συστήματα κοινωνικής δικτύωσης που υποστηρίζουν ότι εκπροσωπούν κάποιον επίσημο κρατικό ή διεθνή φορέα. Όλοι οι φορείς διαθέτουν στις σελίδες τους στο διαδίκτυο παραπομπές στους λογαριασμούς κοινωνικής δικτύωσης που τυχόν διατηρούν.
Τονίζεται πως κανένας οργανισμός και φορέας, δημόσιος ή ιδιωτικός στην Ελλάδα δεν θα σας ζητήσει τηλεφωνικά, μέσω γραπτού μηνύματος, μέσω ηλεκτρονικού ταχυδρομείου ή μέσω των συστημάτων κοινωνικής δικτύωσης στοιχεία όπως ο κωδικός πρόσβασης ή θα σας προτρέψει να ανοίξετε κάποιο επισυναπτόμενο αρχείο ή υπερσύνδεσμο (link). Κάθε τέτοια επικοινωνία πρέπει να αντιμετωπίζεται ως απόπειρα απάτης.
Για παράδειγμα, επισημαίνεται ιδιαίτερα η περίπτωση που απασχόλησε τον τελευταίο καιρό τη Δίωξη Ηλεκτρονικού Εγκλήματος και αφορά μήνυμα που φτάνει στα ηλεκτρονικά ταχυδρομεία χιλιάδων πολιτών, ως δήθεν επιστολή της Ελληνικής Αστυνομίας. Για να γίνει πιο αληθοφανές το μήνυμα, οι δράστες χρησιμοποιούν στο τέλος το όνομα και την υπογραφή του Αρχηγού της ΕΛ.ΑΣ. Τονίζεται ότι ένα μήνυμα που φέρεται να έχει σταλεί από την Αστυνομία σε καμία περίπτωση δεν θα ξεκίναγε με τις φράσεις: «Χαίρετε, ελπίζουμε να αποδεχτείτε αυτή την επιστολή με καλή πίστη».
Μια άλλη περίπτωση που απασχόλησε πρόσφατη τη Δίωξη ηλεκτρονικού Εγκλήματος είναι αυτή των μαζικών μηνυμάτων “sextortion scam” προς χρήστες που τους γνωστοποιούν ότι δήθεν έχει εγκατασταθεί κακόβουλο λογισμικό, το οποίο έχει ενεργοποιήσει την κάμερα και τους έχει καταγράψει σε προσωπικές στιγμές, απειλώντας τους με την αποστολή του επίμαχου υλικού στις επαφές τους, σε περίπτωση που δεν λάβουν bitcoins αναφέροντας παράλληλα πραγματικούς κωδικούς τους, ώστε οι χρήστες να πεισθούν για το αληθινό της απειλής.
Επισημαίνεται ότι τα e-mails αυτά χρήζουν μεγάλης προσοχής, καθότι παρουσιάζονται εξαιρετικά αληθοφανή.
Πώς να προστατεύσετε την επιχείρηση, τον οργανισμό και τον εαυτό σας από το ηλεκτρονικό ψάρεμα
- Εκπαιδεύστε το προσωπικό, τα στελέχη και τους συνεργάτες σας κατάλληλα, προκειμένου να είναι σε θέση να αναγνωρίσουν μία επίθεση ηλεκτρονικού ψαρέματος με επανάληψη προσομοιωμένων επιθέσεων ηλεκτρονικού “ψαρέματος. Οι εταιρείες και οι οργανισμοί πρέπει να εκπαιδεύουν τους εργαζομένους ώστε να ελέγχουν πάντα τη διεύθυνση ενός συνδέσμου σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα που προέρχονται από έναν άγνωστο αποστολέα, να ελέγχουν τη διεύθυνσης ηλεκτρονικού ταχυδρομείου του αποστολέα πριν κλικάρουν σε οτιδήποτε ή ανοίξουν συνημμένα και να αναγνωρίζουν τους πλαστούς ή επισφαλείς ιστότοπους και να μην εισάγουν ποτέ τα διαπιστευτήριά τους πριν ελέγξουν την αξιοπιστία τους.
- Μην καταχωρείτε και μην στέλνετε προσωπικά δεδομένα και στοιχεία πιστωτικών καρτών. Να είστε πάντοτε υποψιασμένοι εάν ένα ηλεκτρονικό μήνυμα από μια φαινομενικά αξιόπιστη πηγή ζητά τα διαπιστευτήριά σας ή άλλες ευαίσθητες λεπτομέρειες. Εάν είναι απαραίτητο, επαληθεύστε τα περιεχόμενα του μηνύματος με τον αποστολέα ή τον οργανισμό που φαινομενικά αντιπροσωπεύει (χρησιμοποιώντας στοιχεία επικοινωνίας που είναι γνωστά ως αυθεντικά αντί για λεπτομέρειες που δίνονται στο μήνυμα).
- Σκεφτείτε το ξανά προτού κάνετε κλικ: Εάν ένα ύποπτο μήνυμα περιέχει σύνδεσμο ή συνημμένο αρχείο, μην κάνετε κλικ ή πραγματοποιήσετε λήψη. Κάτι τέτοιο μπορεί να σας οδηγήσει σε έναν κακόβουλο ιστότοπο ή να μολύνει τη συσκευή σας με κακόβουλο λογισμικό
- Ελέγχετε τακτικά τους λογαριασμούς σας στο διαδίκτυο: Για καλό και για κακό, ακόμη και αν δεν υποψιάζεστε ότι κάποιος προσπαθεί να κλέψει τα διαπιστευτήριά σας, ελέγξτε τους τραπεζικούς και άλλους online λογαριασμούς σας για ύποπτη δραστηριότητα
- Χρησιμοποιείτε μια εξειδικευμένη λύση ασφαλείας για τον mail server, που ενισχύει την προστασία από ανεπιθύμητα μηνύματα, phishing, κακόβουλα συνημμένα και άγνωστες απειλές που μπορεί να εξαπλωθούν μέσω e-mail.