Τι είναι το phishing

Μέρα με τη μέρα, χρησιμοποιούμε ολοένα και περισσότερες online υπηρεσίες. Από το ηλεκτρονικό ταχυδρομείο (email), μέχρι τραπεζικές υπηρεσίες (e-banking) και ηλεκτρονικό εμπόριο (e-commerce).

Όλες αυτές οι υπηρεσίες και οι online συναλλαγές αποτελούν πια μέρος της ζωής μας και έχουν γίνει κάτι σαν συνήθεια. Ωστόσο, αυτό δημιουργεί μια τεράστια περιοχή για εγκληματική συμπεριφορά από άτομα που θέλουν να βγάλουν χρήματα χωρίς κόπο.



Οι άνθρωποι αυτοί είναι έτοιμοι να κάνουν ο,τιδήποτε προκειμένου να κερδίσουν χρήματα και να έχουν εφεύρει πολλές μεθόδους για να πραγματοποιήσουν τα παράνομα σχέδιά τους.

Μία από αυτές είναι και το λεγόμενο phishing.

Όπως το ίδιο το όνομά του υπονοεί -παραλλαγή του αγγλικού «fishing» (ψάρεμα), το phishing αναφέρεται στην προσπάθεια απόσπασης προσωπικών στοιχείων, οικονομικού συνήθως χαρακτήρα που αφορούν τραπεζικούς λογαριασμούς και πιστωτικές κάρτες, χρησιμοποιώντας ως δόλωμα κάποιο ψεύτικο πρόσχημα.

Πολύ απλά λοιπόν πρόκειται για μια μέθοδο "ψαρέματος" δηλαδή υποκλοπής ευαίσθητων πληροφοριών που μπορεί να φέρουν κέρδος σε αυτόν που τις κατέχει. Αυτές οι πληροφορίες μπορεί να είναι προσωπικά στοιχεία όπως ονόματα χρήστη και κωδικοί πρόσβασης για emails ή εφαρμογές web banking, αριθμοί πιστωτικών καρτών, αριθμοί PIN κλπ.

Υπολογίζεται ότι καθημερινά γίνονται σ’ όλον τον κόσμο περισσότερες από 7 εκατομμύρια απόπειρες αλίευσης στοιχείων, ενώ και στη χώρα μας το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος δέχεται κάθε χρόνο περισσότερες από 400.000 καταγγελίες για ύποπτα e-mails. Οι ΗΠΑ «φιλοξενούν» τους περισσότερους phishing servers παγκοσμίως (46%), από τους οποίους γίνονται οι επιθέσεις αυτές. Πάντως, οι phishing servers αλλάζουν συνέχεια γεωγραφική θέση για να μην γίνονται εύκολα αντιληπτοί.

Περίπου 2.500 Έλληνες πολίτες έχουν πέσει θύματα ηλεκτρονικής απάτης, χάνοντας 4 εκατομμύρια ευρώ τον χρόνο, κυρίως μέσω κλοπής των κωδικών των τραπεζικών και πιστωτικών καρτών τους. Τα αντίστοιχα ποσοστά απάτης στις φυσικές πληρωμές είναι σαφώς μεγαλύτερα.


Πώς λειτουργεί το phishing


Tο Phishing επιχειρείται συνήθως με τη αποστολή κάποιου spam email (*), το οποίο ισχυρίζεται -ψευδώς- ότι αποστέλλεται από κάποια υπαρκτή και νόμιμη εταιρεία (τράπεζα, ηλεκτρονικό κατάστημα, υπηρεσία ηλεκτρονικών πληρωμών κλπ.), σε μία προσπάθεια να παραπλανήσει τον παραλήπτη και να του αποσπάσει απόρρητα προσωπικά και οικονομικά δεδομένα. Στη συνέχεια, τα στοιχεία αυτά θα χρησιμοποιηθούν από τους εγκέφαλους της απάτης για την πραγματοποίηση μή εξουσιοδοτημένων/παράνομων οικονομικών συναλλαγών.



Τα email αυτά ισχυρίζονται ότι ο παραλήπτης απαιτείται να ενημερώσει ή να επαληθεύσει άμεσα κάποια προσωπικά στοιχεία του για λόγους ασφαλείας, και τον οδηγούν μέσω συνδέσμων σε πλαστά web sites, τα οποία μιμούνται πολύ πειστικά τους διαδικτυακούς τόπους υπαρκτών και αξιόπιστων οργανισμών. Σε κάποιες περιπτώσεις η αντιγραφή είναι τόσο καλή που και ο ίδιος ο internet browser «ξεγελιέται» και δείχνει στην γραμμή θέματος την αναμενόμενη διεύθυνση και όχι την πραγματική διεύθυνση της πλαστής διαδικτυακής τοποθεσίας.

Σε μία προσπάθεια να μειώσουν τον χρόνο αντίδρασης του ανυποψίαστου παραλήπτη, ορισμένα μηνύματα απειλούν ότι εάν δεν προβεί στις απαιτούμενες ενέργειες (ενημέρωση, επαλήθευση στοιχείων) εντός του υποδεικνυόμενου -σύντομου- χρονικού διαστήματος ο λογαριασμός του θα μπλοκαριστεί και δεν θα μπορεί να πραγματοποιήσει περαιτέρω συναλλαγές. Σκοπός τους είναι να εξαναγκάσουν τον παραλήπτη να αποκαλύψει τις πληροφορίες που του ζητείται χωρίς καν να προλάβει να εξετάσει την γνησιότητα του μηνύματος.

Στην πραγματικότητα τίποτε δεν έχει συμβεί και η απάτη είναι αυτό ακριβώς το μήνυμα. Αν τώρα το θύμα τσιμπήσει, η διαδικασία πάνω - κάτω είναι η ακόλουθη:

  • Προσπαθώντας να συνδεθείτε στην υποτιθέμενη σελίδα πχ του web banking της τράπεζας σας, η ψεύτικη ιστοσελίδα αποθηκεύει το όνομα χρήστη και τον κωδικό πρόσβασής σας.

  • Το όνομα χρήστη και ο κωδικός σας λαμβάνονται από τον απατεώνα ο οποίος μπορεί πλέον να έχει πρόσβαση στον λογαριασμό σας με ότι αυτό συνεπάγεται.

  • Όταν συνειδητοποιήσετε ότι έχετε εξαπατηθεί είναι συνήθως πολύ αργά.

Χρειάζεται ιδιαίτερη προσοχή ώστε ο παραλήπτης ενός τέτοιου μηνύματος να αποφύγει την εξαπάτηση μέσω Phishing. Τα email που αποστέλλονται μοιάζουν αρκετά επίσημα και οι πλαστές σελίδες είναι τις περισσότερες φορές πανομοιότυπες με τις πραγματικές, αφού δημιουργούνται με αντιγραφή του HTML κώδικά τους.

Πως μπορούμε να προστατευτούμε από το phishing


Θα πρέπει να έχετε στο μυαλό σας τις ακόλουθες συμβουλές.

1) Καμία τράπεζα και γενικά καμία σοβαρή εταιρία δεν θα σας ζητήσει ευαίσθητα στοιχεία όπως συνθηματικά ή αριθμούς τηλεφώνου μέσω email ή τηλεφώνου.

2) Αγνοείτε ηλεκτρονικά μηνύματα που λαμβάνετε από άγνωστες πηγές και αποφεύγετε να συμπληρώνετε ηλεκτρονικές φόρμες που παραλαμβάνετε μέσω ηλεκτρονικού ταχυδρομείου.

3) Αν λάβετε κάτι "περίεργο" (δες παρακάτω)  διαγράφετέ το αμέσως, ειδικά αν βρίσκεται στον φάκελο με την ανεπιθύμητη αλληλογραφία (spam).

4) Ακόμη κι αν φαίνεται ότι το email έχει έρθει όντως από την τράπεζα μας ή το paypal, αυτό δεν σημαίνει ότι είναι πράγματι έτσι.

5) Πολύ συχνά τα phishing emails, όπως ονομάζονται, είναι κακογραμμένα, γενικόλογα και με αρκετά ορθογραφικά λάθη.

6) Αν ανοίξετε ένα τέτοιο μήνυμα μην κάνετε ποτέ κλικ σε συνδέσμους. Είναι προτιμότερο να πληκτρολογήσετε μόνοι σας την διεύθυνση.

7) Κάθε φορά που χρησιμοποιείτε τέτοιου είδους υπηρεσίες να ελέγχετε στη γραμμή διευθύνσεων ότι είσαστε στην κατάλληλη τοποθεσία, ότι υπάρχει το κατάλληλο πιστοποιητικό ασφαλείας και ότι η σύνδεση είναι κρυπτογραφημένη (https).




8) Σε περίπτωση που διαπιστώσουμε ότι κάποιο μήνυμα δεν προέρχεται από τον νόμιμο αποστολέα το καταγγέλλουμε αμέσως έτσι ώστε προστατέψουμε τους υπόλοιπους χρήστες.

Ενδείξεις ότι ένα ηλεκτρονικό μήνυμα είναι πιθανόν πλαστό

  • Ως spam μηνύματα, χρησιμοποιούν συνήθως γενικές προσφωνήσεις, όπως "Αγαπητέ πελάτη", αντί για το πραγματικό όνομα του παραλήπτη.

  • Η πλειοψηφία των Phishing μηνυμάτων επικαλείται κάποιο δήθεν πρόβλημα ή κάποια "μοναδική ευκαιρία" και, χρησιμοποιώντας φρασεολογία που δημιουργεί την αίσθηση του επείγοντος, ζητά από τον ανυποψίαστο παραλήπτη να απαντήσει άμεσα, είτε για να αποκατασταθεί το πρόβλημα είτε για να επωφεληθεί της ευκαιρίας. 

  • Συνήθως ζητούν την παραχώρηση απορρήτων προσωπικών στοιχείων οικονομικού χαρακτήρα που αφορούν τραπεζικούς λογαριασμούς και πιστωτικές κάρτες, όπως το Όνομα Χρήστη (username) και τον Κωδικό Πρόσβαση (password).

  • Είναι κακογραμμένα, γενικόλογα και με αρκετά ορθογραφικά λάθη γιατί συνήθως έχουν προκύψει με αυτόματη μετάφραση στα ελληνικά.

Επιβεβαίωση σε δύο στάδια (2-step verification ή two-factor authentication)

Επιπλέον των παραπάνω αξίζει να αναφερθούμε σε μια νέα σύγχρονη μέθοδο αυθεντικοποίησης που μπορεί να σας προστατεύσει και απο το φαινόμενο του phishing. Μιλάμε φυσικά για την επιβεβαίωση σε δύο στάδια (2-step verification).

Τι είναι η επιβεβαίωση σε δύο στάδια (2-step verification ή two-factor authentication);

Όπως υποδηλώνει και ο τίτλος της μεθόδου για να συνδεθείτε στο λογαριασμό σας ή σε μία υπηρεσία θα πρέπει να επιβεβαιώσετε επιτυχώς την ταυτότητά σας δύο φορές, σε δύο στάδια.



Οι περισσότεροι από εσάς χρησιμοποιείτε συχνά τη μέθοδο two-step verification ωστόσο πολύ πιθανόν να μην το γνωρίζετε, όπως στην περίπτωση των ΑΤΜ στις τράπεζες. Αρχικά, εισάγετε την κάρτα στο ΑΤΜ (πρώτο στάδιο) και έπειτα πληκτρολογείτε το PIN (δεύτερο στάδιο) για να συνδεθείτε στον τραπεζικό σας λογαριασμό. Αν δε πραγματοποιηθούν τα δύο αυτά στάδια με επιτυχία δεν έχετε τη δυνατότητα να χρησιμοποιήσετε το λογαριασμό σας μέσω του ΑΤΜ.

Φυσικά, αυτός είναι μόνο ένας απλός τρόπος για να χρησιμοποιήσετε την επιβεβαίωση σε δύο στάδια. Ανάλογα με την περίπτωση υπάρχουν εναλλακτικές μέθοδοι επιβεβαίωσης όπως τα δακτυλικά αποτυπώματα, η γεωγραφική θέση, η αναγνώριση προσώπου, η χρήση εικόνας με gestures, κλπ. Ο συνδυασμός δύο μεθόδων συνθέτει τη διαδικασία two-step verification για ακόμη πιο ασφαλή σύνδεση.

Πώς λειτουργεί η επιβεβαίωση σε δύο στάδια (2-Step verification)


Στο πρώτο στάδιο θα χρειαστεί να εισάγετε το όνομα και τον κωδικό πρόσβασης, όπως ακριβώς κάνατε μέχρι τώρα. Έπειτα, στο δεύτερο στάδιο, θα χρειαστεί να εισάγετε ένα κωδικό που θα λάβετε στο κινητό σας τηλέφωνο μέσω SMS ή της αντίστοιχης εφαρμογής Authenticator αν χρησιμοποιείτε κάποιο smartphone. Αφού εισάγετε τον κωδικό, ο υπολογιστής, το tablet ή το smartphone σας θα επισημανθεί ως επιβεβαιωμένη συσκευή (trusted device) εφ’ όσον το επιλέξετε και έτσι πλέον θα μπορείτε να συνδεθείτε με τον κωδικό σας χωρίς να εισάγετε επιπλέον κωδικούς για περιορισμένο χρονικό διάστημα.

Τι θα συμβεί αν χάσω το κινητό μου τηλέφωνο;

Η αλήθεια είναι ότι αυτό αποτελεί πρόβλημα μιας και το κινητό τηλέφωνο / smartphone χρησιμοποιείται για το δεύτερο στάδιο επιβεβαίωσης. Ωστόσο υπάρχουν εναλλακτικές λύσεις. Σε περίπτωση απώλειας του τηλεφώνου μπορείτε να συνδεθείτε μέσω μίας διαφορετικής «επιβεβαιωμένης» συσκευής που μπορεί να είναι ο υπολογιστής σας ή να χρησιμοποιήσετε τους κωδικούς backup που έχουν δημιουργηθεί κατά την ενεργοποίηση της υπηρεσίας και ενδεχομένως να έχετε εκτυπώσει στο παρελθόν.


Ποια είναι τα authentication apps που μπορώ να χρησιμοποιήσω σε smartphones;

Τα Authenticator apps είναι διαθέσιμα για όλες τις πλατφόρμες Android, iOS και Windows στα αντίστοιχα app stores και φυσικά διατίθενται δωρεάν. Για Android και iOS συσκευές προτείνεται το Google Authenticator ενώ για τα Windows Phones το Authenticator app που έχει αναπτύξει η Microsoft.

Google Authenticator app για Android στο Google Play Store

Google Authenticator app για IOS στο App Store

Authenticator app για Windows Phone στο Windows Phone Store

Πώς ενεργοποιώ τη μέθοδο επιβεβαίωσης σε δύο στάδια;

Αυτό εξαρτάται από την εκάστοτε υπηρεσία που χρησιμοποιείτε. Αν η ασφάλεια του λογαριασμού σας είναι κάτι που σας απασχολεί και σας ενδιαφέρει, η μέθοδος επιβεβαίωσης σε δύο στάδια αποτελεί μία σημαντική δικλείδα για να αποτρέψετε την πρόσβαση σε τρίτους στις περισσότερες περιπτώσεις.


Video



Τελευταία τροποποίηση: Σάββατο, 30 Νοεμβρίου 2019, 11:09 PM