Τεχνικές ηλεκτρονικού ψαρέματος

Ηλεκτρονικό ψάρεμα (phishing) – δόλιες δραστηριότητες που έχουν σχεδιαστεί για κλοπή προσωπικών ή/και άλλων εμπιστευτικών πληροφοριών (π.χ. δεδομένα ταυτότητας, κωδικοί πρόσβασης, στοιχεία κάρτας πληρωμής κ.λπ.).

Συνήθως, ο κύριος στόχος του ηλεκτρονικού ψαρέματος είναι η λήψη προσωπικών δεδομένων και διαπιστευτηρίων σύνδεσης για διαδικτυακές τραπεζικές συναλλαγές. Τις ταυτότητες ενός χρήστη, οι κωδικοί πρόσβασης και άλλα διαπιστευτήρια επιτρέπουν στους απατεώνες να έχουν πρόσβαση σε τραπεζικούς λογαριασμούς ατόμων και να απορρίπτουν τα χρήματα που διατηρούνται σε αυτούς τους λογαριασμούς από απόσταση (π.χ. μεταφέροντας αυτά τα χρήματα στους δικούς τους τραπεζικούς λογαριασμούς).


Η κλοπή δεδομένων πραγματοποιείται με δύο βασικούς τρόπους:

  1. Να επικοινωνήσετε απευθείας με άτομα και να τους ξεγελάσετε για να αποκαλύψετε αυτές τις πληροφορίες πρόθυμα.
  2. Χρήση αποκλειστικών τεχνολογιών που αντιγράφουν δεδομένα από διάφορους ιστότοπους ή συσκευές που χρησιμοποιούνται για περιήγηση στο Διαδίκτυο ή/και χρήση απομακρυσμένων υπηρεσιών.

 
Ο πιο συνηθισμένος τύπος ηλεκτρονικού ψαρέματος είναι το λεγόμενο παραπλανητικό ψάρεμα. Σε αυτήν την περίπτωση ένας απατεώνας πλαστοπροσωπεί ένα νόμιμο ίδρυμα ή εταιρεία (π.χ. κυβερνητική υπηρεσία, υπηρεσία επιβολής του νόμου, πάροχος χρηματοοικονομικών υπηρεσιών, μεγάλη γνωστή εταιρεία επωνυμίας κ.λπ.) και απευθύνεται σε άτομα απευθείας με αίτημα να συμπληρώσουν προσωπικά στοιχεία. Το ίδιο email ή άλλο είδος μηνύματος αποστέλλεται σε χιλιάδες άτομα ελπίζοντας ότι κάποια από αυτά θα ανταποκριθούν σε αυτό.

Τέτοια μηνύματα συνήθως ζητούν να αντιδράσουν πολύ γρήγορα, σημειώνοντας ότι ενδέχεται να υπάρχουν ανεπιθύμητες αρνητικές συνέπειες εάν ένα άτομο δεν ανταποκριθεί εγκαίρως (π.χ. το ίδρυμα θα λάβει νομικές ενέργειες, ενδέχεται να κλαπεί χρήματα από την τράπεζα του ατόμου, το έπαθλο θα απονεμηθεί σε άλλο άτομο κ.λπ.).

Τις περισσότερες φορές τέτοια μηνύματα ενδέχεται να περιέχουν κακόβουλους συνδέσμους ή/και άλλες αναφορές σε ειδικούς ιστότοπους που ζητούν από τα άτομα να εισαγάγουν εκεί τις ζητούμενες πληροφορίες. Μόλις ένα άτομο παρέχει αυτές τις πληροφορίες σε τέτοιους ιστότοπους, καθίσταται διαθέσιμος στον απατεώνα.

Οι πιο προηγμένοι απατεώνες ενδέχεται να εκμεταλλευτούν το μηχανισμό ελέγχου συνεδρίας και να καταλάβουν τη συνεδρία ενός νόμιμου ιστότοπου. Όταν ένα άτομο συνδέεται σε μια εφαρμογή ιστού, ο διακομιστής ορίζει ένα προσωρινό cookie περιόδου λειτουργίας στο πρόγραμμα περιήγησής του. Οι απατεώνες ενδέχεται να κλέψουν τέτοια cookies περιόδου λειτουργίας ή να παρέχουν σε ένα άτομο έναν σύνδεσμο που περιέχει ένα προετοιμασμένο αναγνωριστικό περιόδου σύνδεσης προτού εισέλθει σε μια τέτοια περίοδο ελέγχου ταυτότητας. Αυτές οι ενέργειες επιτρέπουν στους απατεώνες να παραβιάσουν αργότερα τη συνεδρία χρησιμοποιώντας το ίδιο αναγνωριστικό περιόδου σύνδεσης για τη δική τους περίοδο λειτουργίας προγράμματος περιήγησης.

Οι μέθοδοι ηλεκτρονικού ψαρέματος μπορούν επίσης να χρησιμοποιηθούν δημιουργώντας ψεύτικα ηλεκτρονικά καταστήματα ή άλλους ιστότοπους. Για να γίνουν πιο αισθητοί αυτοί οι ιστότοποι, οι απατεώνες γοητεύουν άτομα με χαμηλές τιμές, γρήγορη παράδοση αγαθών ή άλλα οφέλη. Χρησιμοποιούνται διάφορες μηχανές αναζήτησης για να προσεγγίσετε στοχευμένο κοινό και να το κατευθύνετε σε τέτοιους ιστότοπους. Τα δεδομένα κλέβονται ενώ ένα στοχευμένο άτομο προσπαθεί να εγγραφεί ή να αγοράσει τα αγαθά σε αυτούς τους ιστότοπους. 

Οι απατεώνες ενδέχεται να εκμεταλλευτούν τους υπάρχοντες νόμιμους ιστότοπους αλλάζοντας μια διεύθυνση IP, έτσι ώστε να ανακατευθύνουν σε έναν ψεύτικο ιστότοπο και όχι στον ιστότοπο που προορίζεται να μεταβεί ένα άτομο.

Η αποστολή συνδέσμων ή άλλων αναφορών σε αρχεία που έχουν μολυνθεί από ορισμένους ιούς είναι επίσης μια πολύ δημοφιλής τεχνική. Τέτοια αρχεία μολύνουν υπολογιστές ή άλλες συσκευές και ενδέχεται να προγραμματιστούν για να ζητήσουν να πληκτρολογήσουν ξανά κωδικούς πρόσβασης ή άλλα διαπιστευτήρια
ενώ συνδέονται με διαδικτυακές τραπεζικές ή άλλες απομακρυσμένες υπηρεσίες μόνο με σκοπό τη μεταφορά τέτοιων πληροφοριών σε απατεώνες. 

Πρώτον, είναι σημαντικό να κατανοήσετε και να γνωρίζετε ότι οι κλοπές ηλεκτρονικού ψαρέματος (phishing) και δεδομένων ενδέχεται να πραγματοποιούνται οπουδήποτε, σε οποιαδήποτε μορφή και ανά πάσα στιγμή, επομένως πρέπει να είστε συνεχώς προσεκτικοί.

Δεύτερον, λάβετε προφυλάξεις για να διατηρήσετε τις συσκευές που χρησιμοποιείτε ασφαλείς:

  1. Χρησιμοποιήστε εργαλεία και λογισμικό που βοηθούν στη διατήρηση της ασφάλειας του υπολογιστή ή της άλλης συσκευής σας (προγράμματα προστασίας από ιούς κ.λπ.). Κατεβάστε τέτοια εργαλεία ή λογισμικό μόνο από επίσημες και αξιόπιστες πηγές. Ενημερώστε εγκαίρως αυτά τα εργαλεία και το λογισμικό.
  2. Αποφύγετε την επίσκεψη σε ασαφείς και αναξιόπιστες τοποθεσίες, εγγραφείτε ή κατεβάστε αρχεία από αυτούς τους ιστότοπους. Τέτοιοι ιστότοποι ενδέχεται να περιέχουν συνδέσμους ή αρχεία που ενδέχεται να μολύνουν τον υπολογιστή σας ή άλλη συσκευή από ιούς που συλλέγουν τα προσωπικά σας δεδομένα.
  3. Αφού χρησιμοποιήσετε τον προσωπικό σας λογαριασμό, αποσυνδεθείτε και κλείστε το παράθυρο του προγράμματος περιήγησης.
  4. Επιλέξτε ασφαλείς και ισχυρούς κωδικούς πρόσβασης που αποτελούνται από αριθμούς, γράμματα και άλλα σύμβολα. Μην χρησιμοποιείτε εύχρηστους κωδικούς πρόσβασης (π.χ. 12345, μόνο το όνομα ή το επώνυμο ή την ημερομηνία γέννησής σας). Σε περίπτωση που έχετε πολλούς διαφορετικούς λογαριασμούς, χρησιμοποιήστε πάντα διαφορετικούς κωδικούς πρόσβασης.
  5. Κατά τη δημιουργία λογαριασμών ή email, επιλέξτε παρόχους υπηρεσιών που χρησιμοποιούν συστήματα ελέγχου ταυτότητας δύο παραγόντων (π.χ. κωδικό πρόσβασης και αριθμό τηλεφώνου).
  6. Προσοχή στα κοινά διαδικτυακά ψεύτικα που μιμούνται:
    α) ιστότοποι ηλεκτρονικού ταχυδρομείου που παρέχουν υπηρεσίες αλληλογραφίας (gmail.com, yahoo.com, hotmail.com, κ.λπ.)·
    β) κοινωνικούς ιστότοπους (facebook.com, vk.com).
    γ) e-mail, το οποίο είναι εξαιρετικά δημοφιλές στο εξωτερικό. σύστημα πληρωμών Paypal (paypal.com);
    δ) άλλους δημοφιλείς ιστότοπους.
  7. Μην κάνετε κλικ σε ύποπτους ή ασαφείς συνδέσμους που λαμβάνονται σε e-mail ή βρίσκονται σε ιστοσελίδες με ύποπτο περιεχόμενο.
  8. Πριν εισαγάγετε τα προσωπικά σας στοιχεία σε διαδικτυακούς ιστότοπους, βεβαιωθείτε πάντα ότι ο ιστότοπος δεν είναι ψεύτικος. Είναι απαραίτητο να προσέχετε το όνομα τομέα και τις διευθύνσεις των συνδέσμων στη σελίδα. Τα συστήματα ηλεκτρονικής τραπεζικής χρησιμοποιούν πάντα ένα ασφαλές πρωτόκολλο σύνδεσης SSL, η διεύθυνση πρέπει να έχει HTTPS στην αρχή και το πιστοποιητικό του ιστότοπου μπορεί να ελεγχθεί. Η διεύθυνση των ψεύτικων ιστοσελίδων ξεκινά σχεδόν πάντα με HTTP (χωρίς s).

Τρίτον, σημειώστε ότι νόμιμα ιδρύματα και εταιρείες παροχής υπηρεσιών (π.χ. τράπεζες ή άλλοι πάροχοι χρηματοοικονομικών υπηρεσιών) δεν ζητούν από τους πελάτες τους να αποκαλύψουν τους κωδικούς πρόσβασής τους ή άλλα διαπιστευτήρια. Αυτές οι πληροφορίες είναι προσωπικές και επιτρέπεται να τις γνωρίζετε μόνο εσείς. Εάν αυτές οι πληροφορίες γίνουν γνωστές σε τρίτους, πρέπει να ενημερώσετε αμέσως αυτούς τους παρόχους υπηρεσιών για αυτές τις περιστάσεις και να αλλάξετε τους κωδικούς πρόσβασης ή άλλα διαπιστευτήρια.

Τέταρτον, εάν λάβετε αίτημα για ευαίσθητες πληροφορίες, προσέξτε αυτές τις περιστάσεις:

  1. Η διεύθυνση του αποστολέα. Ελέγξτε εάν τα στοιχεία του ιδρύματος/εταιρείας σε email ή άλλα μηνύματα ταιριάζουν με τα δεδομένα που δημοσιεύονται στους επίσημους ιστότοπούς τους ή σε άλλες δημόσιες πηγές. Τα ιδρύματα/εταιρείες συνήθως χρησιμοποιούν τα αποκλειστικά γραμματοκιβώτια τους αντί για δημόσια γενικά γραμματοκιβώτια (π.χ. @ gmail.com, @ yahoo.com, κ.λπ.).
  2. Ποιότητα και περιεχόμενο κειμένου. Τα παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου ή τα μηνύματα περιέχουν συχνά γραφικά ή στυλιστικά λάθη. Το κείμενο μπορεί να μεταφραστεί κυριολεκτικά χωρίς να ακολουθηθούν οι κανόνες αυτής της γλώσσας (χρησιμοποιώντας δημόσια διαθέσιμα προγράμματα μετάφρασης). Το κείμενο μπορεί επίσης να χρησιμοποιεί τη γλώσσα του νοικοκυριού, ανακριβείς ονομασίες ή νομικές μορφές ιδρυμάτων ή εταιρειών (π.χ. μια δημόσια αρχή μπορεί να αναφέρεται ως εταιρεία). Οι λόγοι ή άλλες περιστάσεις για την επικοινωνία σας μπορεί να
    περιγραφούν με τρόπο που θα μπορούσαν να προσαρμοστούν σε οποιαδήποτε κατάσταση (π.χ. φέρεται ότι η αστυνομική υπηρεσία σας ενημερώνει ότι τα στοιχεία σύνδεσής σας στις τραπεζικές υπηρεσίες έχουν κλαπεί και πρέπει να αλλάξετε αμέσως αυτά τα στοιχεία σύνδεσης, αλλά δεν ονομάζει καν την τράπεζα).
  3. Σύνδεσμοι που παρέχονται. Οι απατηλοί σύνδεσμοι συχνά περιέχουν μια σειρά αριθμών ή άγνωστων διευθύνσεων ιστού. Εάν δεν είστε σίγουροι ότι ένας σύνδεσμος είναι νόμιμος, μην κάνετε κλικ σε αυτόν
  4. Πιθανότητα να λάβετε το αίτημα ή την προσφορά. Θα πρέπει να αξιολογήσετε εάν θα μπορούσατε να περιμένατε ένα τέτοιο γράμμα και αν ανταποκρίνεται στα πραγματικά γεγονότα ή τη συνήθη πρακτική (π.χ. λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ότι έχετε κερδίσει τη λαχειοφόρο αγορά, παρόλο που δεν έχετε συμμετάσχει σε λαχειοφόρο αγορά · λαμβάνετε ένα μήνυμα υποτιθέμενο από την τράπεζά σας, παρόλο που δεν στέλνει ποτέ μηνύματα με αυτόν τον τρόπο).

Εάν έχετε αμφιβολίες σχετικά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα μήνυμα που λάβατε, επικοινωνήστε με το ίδρυμα/ εταιρεία (που φέρεται να σας έστειλε) με τα στοιχεία επικοινωνίας του
διαθέσιμα δημόσια στον επίσημο ιστότοπό της ή σε άλλη αξιόπιστη πηγή.