Ο Ρόμπερτ Μιούλερ, πρώην διευθυντής του FBI και ειδικός σύμβουλος της εποχής Τραμπ, είναι γνωστό ότι αρνήθηκε να κάνει τραπεζικές συναλλαγές μέσω διαδικτύου μετά από μια στενή επαφή με μια απάτη μέσω ψεύτικου ηλεκτρονικού ταχυδρομείου το 2009. Τι έκανε λοιπόν τον άνθρωπο που ήταν κάποτε επικεφαλής του πιο σεβαστού οργανισμού επιβολής του νόμου της χώρας να φοβάται για την οικονομική του ζωή; Με μια λέξη, phishing – ένας όρος που επινοήθηκε από τους απατεώνες του διαδικτύου για να περιγράψει τη διαδικασία “δελεασμού” των καταναλωτών με ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου, κειμένου, κοινωνικών μέσων, στιγμιαία ή ακόμη και φωνητικά μηνύματα που τους δελεάζουν να δώσουν τις προσωπικές τους πληροφορίες, όπως ακριβώς ένας ψαράς μπορεί να δελεάσει ένα ψάρι με ένα λαμπερό δόλωμα. “Τι είναι οι απάτες phishing – και πώς να τις αποφύγετε”.
Στην πραγματικότητα, το FBI κάποτε αποκάλεσε το phishing την “πιο καυτή και ανησυχητική νέα απάτη στο διαδίκτυο”. Παρόλο που δεν είναι πλέον καινούργιο, το phishing εξακολουθεί να είναι ο πιο αξιόπιστος τρόπος για τους απατεώνες και τους κατασκόπους να αποκτούν μυστικές πληροφορίες και να εισέρχονται σε δίκτυα υπολογιστών και διαδικτυακούς λογαριασμούς. Η κατανόηση του τι είναι το phishing και πώς να προστατευτείτε από αυτό είναι εξίσου σημαντική τώρα όσο ποτέ.
Τι θέλουν οι απάτες phishing
Τι ακριβώς είναι λοιπόν το phishing; Το phishing είναι ένα τέχνασμα εμπιστοσύνης. Οι ειδικοί σε θέματα ασφάλειας πληροφοριών θα το ονομάσουν “social engineering“, αλλά πρόκειται για μια απάτη που εξαπατά τους ανθρώπους ώστε να παραδώσουν ευαίσθητες προσωπικές πληροφορίες, συμπεριλαμβανομένων των διαπιστευτηρίων που χρησιμοποιούν για να ταυτοποιηθούν σε ηλεκτρονικά καταστήματα.
Μερικά καλά παραδείγματα αυτών των πολύτιμων διαπιστευτηρίων είναι τα ονόματα χρήστη, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι κωδικοί πρόσβασης που χρησιμοποιούνται για τη σύνδεση σε ιστότοπους που αποθηκεύουν τα στοιχεία της πιστωτικής κάρτας ή του τραπεζικού λογαριασμού ενός πελάτη για μελλοντική χρήση.
Οι κωδικοί πρόσβασης για λογαριασμούς κοινωνικών μέσων ή ηλεκτρονικού ταχυδρομείου μπορούν επίσης να υποκλαπούν, δεδομένου ότι αυτοί οι λογαριασμοί τείνουν επίσης να περιέχουν πολλές χρήσιμες πληροφορίες. Ορισμένες απάτες phishing δεν στοχεύουν σε κωδικούς πρόσβασης, αλλά σε στοιχεία όπως πληροφορίες πιστωτικών καρτών ή αριθμούς κοινωνικής ασφάλισης.
Οι νεότερες μορφές phishing δεν έχουν ως στόχο την άμεση κλοπή των διαπιστευτηρίων σας ή οποιουδήποτε άλλου είδους πληροφοριών, αλλά την εγκατάσταση κακόβουλου λογισμικού στη συσκευή που χρησιμοποιείτε για να διαβάσετε τα μηνύματα phishing.
Και όμως χρειάζεται ‘κλειδί’ για τη κατανόηση της απάτης
Το κλειδί για την κατανόηση των απάτης phishing είναι ότι μπορεί να λάβει πολλές μορφές, αλλά όλες έχουν ως στόχο την κλοπή χρημάτων, την κατάληψη λογαριασμών, τη διάπραξη κλοπής ταυτότητας ή την εγκατάσταση κακόβουλου λογισμικού.
Ένα καλό παράδειγμα ηλεκτρονικού μηνύματος phishing θα ήταν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι σας αποστέλλεται από την τράπεζά σας και σας ειδοποιεί για υπερανάληψη ή αρνητικό υπόλοιπο στο λογαριασμό σας. Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου phishing μπορεί να περιλαμβάνει κάτι που μοιάζει με σύνδεσμο προς τον ιστότοπο της τράπεζάς σας, όπου μπορείτε να συνδεθείτε με τα διαπιστευτήριά σας (το όνομα χρήστη και τον κωδικό πρόσβασής σας) για να επιλύσετε το ζήτημα.
Αλλά αντί να σας μεταφέρει στον πραγματικό ιστότοπο της τράπεζάς σας, ο σύνδεσμος σας οδηγεί σε έναν εικονικό ιστότοπο, ο οποίος διευθύνεται από εγκληματίες που θέλουν πρόσβαση στον λογαριασμό σας. Εάν αποκτήσουν τα διαπιστευτήριά σας και καταλάβουν τον έλεγχο του λογαριασμού σας, μπορεί να κλέψουν τα χρήματά σας άμεσα ή να χρησιμοποιήσουν τον λογαριασμό σας για να “ξεπλύνουν” τα παράνομα κέρδη τους.
Spear phishing
Οι περισσότερες επιθέσεις phishing είναι “ψεκάζω και προσεύχομαι (spray and pray)”, στέλνοντας τόνους πανομοιότυπων μηνυμάτων σε χιλιάδες πιθανά θύματα με την προσδοκία ότι μερικές δεκάδες θα πέσουν στην απάτη.
Πολύ πιο αποτελεσματικά είναι τα μηνύματα ηλεκτρονικού ταχυδρομείου “spear phishing” που απευθύνονται σε λίγους ανθρώπους ή ακόμη και σε ένα μόνο άτομο. Στο spear phishing, το δέλεαρ είναι ένα μήνυμα ειδικά προσαρμοσμένο στις προσδοκίες του θύματος.
Ένα μήνυμα spear-phishing μπορεί να σας απευθύνεται ονομαστικά, να αναφέρεται στο χώρο εργασίας σας ή να μοιάζει σαν να προέρχεται από το αφεντικό σας ή από κάποιον συνάδελφό σας. Θα σας καλεί να κάνετε κλικ σε έναν σύνδεσμο που οδηγεί στη σελίδα σύνδεσης μιας υπηρεσίας που χρησιμοποιεί η εταιρεία σας ή να κατεβάσετε και να ανοίξετε ένα συνημμένο email που αφορά επείγουσα επιχειρηματική δραστηριότητα της εταιρείας.
Phishing με SMS ή “smishing”
Οι επιθέσεις ηλεκτρονικού “ψαρέματος – phishing” δεν γίνονται πλέον μόνο μέσω ηλεκτρονικού ταχυδρομείου. Βλέπουμε όλο και περισσότερες επιθέσεις “smishing” που προέρχονται από μηνύματα SMS που αποστέλλονται σε χιλιάδες αριθμούς ταυτόχρονα.
Μερικές φορές τα μηνύματα σας λένε ότι έχετε ένα πακέτο, συνήθως ένα επιθυμητό ακριβό αντικείμενο, όπως ένα νέο iPhone, το οποίο πρέπει να παραλάβετε. Όταν κάνετε κλικ στον περιλαμβανόμενο διαδικτυακό σύνδεσμο για να μάθετε πώς, μπορεί να δείτε ότι το πακέτο προορίζεται για κάποιον άλλο – αλλά όπως και να έχει, πρέπει πρώτα να κατεβάσετε και να συμπληρώσετε μια φόρμα.
Αν είστε σε τηλέφωνο Android, η λήψη είναι κακόβουλο λογισμικό– αν είστε σε iPhone, θα σας στείλει σε μια σελίδα phishing που θέλει τα προσωπικά σας στοιχεία και τα στοιχεία της πιστωτικής σας κάρτας.
Υπάρχουν επίσης επιθέσεις spear-phishing που βασίζονται σε κείμενο. Ένα συνηθισμένο τέχνασμα περιλαμβάνει την αποστολή μηνύματος σε έναν υπάλληλο της εταιρείας με ένα μήνυμα που φαίνεται να προέρχεται από το αφεντικό, ο οποίος στη συνέχεια ζητά από τον υπάλληλο να αγοράσει δωροκάρτες ή να μεταφέρει χρήματα σε ξένους λογαριασμούς.
Το χειρότερο από όλα είναι οι επιθέσεις smishing για τραπεζική απάτη. Το θύμα λαμβάνει ένα μήνυμα που φαίνεται να προέρχεται από την τράπεζά του, το οποίο προειδοποιεί για “συναγερμό απάτης – (fraud alert)” και του ζητά να επιβεβαιώσει ή να αρνηθεί μια συναλλαγή που περιλαμβάνει αρκετά χρήματα.
Όταν το θύμα αρνείται τη συναλλαγή, δέχεται ένα τηλεφώνημα από κάποιον που προσποιείται ότι είναι “εκπρόσωπος” της τράπεζας και θα τον βοηθήσει να επιλύσει το θέμα – αλλά ο τεχνικός στην πραγματικότητα μεταφέρει χρήματα από το λογαριασμό σας.
Το θύμα βοήθησε άθελά του τον “εκπρόσωπο” να μετακινήσει τα χρήματα. Η πραγματική τράπεζα θεωρεί ότι πρόκειται για εγκεκριμένη μεταφορά. Και δεν έχει καμία νομική υποχρέωση να επιστρέψει τα χρήματα στο θύμα. Το οποίο μένει στο τέλος χωρίς χρήματα – μερικές φορές κατά αρκετές χιλιάδες Ευρώ.
Φωνητικό phishing ή “vishing”
Μπορεί να είστε ήδη εξοικειωμένοι με τις επιθέσεις “vishing“. Πρόκειται για αυτοματοποιημένες τηλεφωνικές κλήσεις που πραγματοποιούνται σε τυχαίους τηλεφωνικούς αριθμούς.
Όταν το σηκώνετε, ένα προηχογραφημένο μήνυμα σας λέει ότι ο αριθμός κοινωνικής ασφάλισής σας κινδυνεύει να κλαπεί. Ή ότι κάποιος αγόρασε κάτι ακριβό από τον λογαριασμό σας στο Amazon. Ή ότι η Αστυνομία ή η Εφορία σας κυνηγούν για απλήρωτους φόρους. ‘Η για προβολή πορνογραφικού υλικού στο διαδίκτυο ή για εκκρεμή εντάλματα.
Φυσικά, θα θορυβηθείτε όταν το μάθετε αυτό. Τα μηνύματα σας καλούν πάντα να κάνετε κλικ στο “1” για να συνδεθείτε με κάποιον που μπορεί να σας “βοηθήσει”. Αυτό το άτομο είναι μέρος της απάτης. Και μπορεί να σας ζητήσει τον αριθμό κοινωνικής ασφάλισης ή το όνομα χρήστη και τον κωδικό πρόσβασης του Amazon. Ή μπορεί να σας ζητήσει να πληρώσετε “πρόστιμα” ή “φόρους” επί τόπου χρησιμοποιώντας πιστωτικές κάρτες ή δωροκάρτες.
Πώς να προστατευτείτε από επιθέσεις phishing
Ο καλύτερος τρόπος για να προστατευτείτε από επιθέσεις ηλεκτρονικού “ψαρέματος” είναι να είστε σε εγρήγορση. Και να μην δίνετε ποτέ πληροφορίες στο διαδίκτυο. Εκτός αν είστε 110% σίγουροι ότι εισάγετε τα προσωπικά σας στοιχεία σε έναν νόμιμο ιστότοπο για νόμιμο σκοπό.
Σας παρασύρει ένα μήνυμα ηλεκτρονικού ταχυδρομείου, κειμένου, άμεσης επικοινωνίας ή μηνύματος στα μέσα κοινωνικής δικτύωσης. Σε μια σελίδα που φαίνεται να είναι η σελίδα σύνδεσης για έναν από τους διαδικτυακούς σας λογαριασμούς. Τότε ελέγξτε τη διεύθυνση URL – τη διαδικτυακή διεύθυνση – της σελίδας σύνδεσης στη γραμμή διευθύνσεων του προγράμματος περιήγησής σας.
Βεβαιωθείτε ότι το όνομα της εταιρείας είναι σωστά γραμμένο. Επίσης ότι το όνομα της εταιρείας βρίσκεται ακριβώς πριν από το “.com”, “.org” ή “co.uk” στη διεύθυνση URL. Και τέλος ότι η διεύθυνση URL αρχίζει με “https://” αντί για “http://”. Ελέγξτε πολύ προσεκτικά, διότι μερικές φορές μπορεί να αντικατασταθεί το “l” με ένα “1” ή το “o” με ένα “0”.
Αυτό μπορεί να είναι δύσκολο να γίνει σε ορισμένα προγράμματα περιήγησης (browsers) για κινητά τηλέφωνα. Επειδή δεν εμφανίζουν πάντα μια πλήρη διεύθυνση ιστού. Πατήστε στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Δείτε αν εμφανιστεί ένα μενού που περιλαμβάνει τις λέξεις “αντιγραφή“. Ή ένα σύμβολο δύο ορθογώνιων που βρίσκονται το ένα πάνω στο άλλο. Επιλέξτε το για να αντιγράψετε τη διεύθυνση URL. Στη συνέχεια, μεταβείτε σε μια εφαρμογή επεξεργασίας κειμένου ή ηλεκτρονικού ταχυδρομείου στην οποία μπορείτε να επικολλήσετε τη διεύθυνση URL.
Τί άλλα να ελέγξετε – η σημασία στις λεπτομέρειες
Ελέγξτε επίσης αν το αγγλόφωνο κείμενο της σελίδας δεν περιέχει ορθογραφικά λάθη, περίεργες λέξεις ή αδέξια γραμματική. Αν ναι, μπορεί να έχετε βρεθεί σε σελίδα ηλεκτρονικού “ψαρέματος – phishing“.
Η σελίδα φαίνεται νόμιμη, αλλά αυτό που υπόσχεται ακούγεται πολύ καλό (ή πολύ τρομακτικό) για να είναι αληθινό. Τότε επικοινωνήστε με την εμπλεκόμενη εταιρεία με άλλα μέσα. Στείλτε τους ένα μήνυμα ηλεκτρονικού ταχυδρομείου, τηλεφωνήστε τους ή ακόμη και επικοινωνήστε μαζί τους στο Twitter. Όλα αυτά για να επαληθεύσετε ότι αυτό που προσφέρει – ή για το οποίο προειδοποιεί – η σελίδα είναι πραγματικό.
Οι κίνδυνοι των επιθέσεων phishing
Να θυμάστε ότι η διαδικτυακή σας ταυτότητα και η ταυτότητα της πραγματικής σας ζωής είναι στενά συνυφασμένες. Οι προσωπικές πληροφορίες μπορεί να περιλαμβάνουν τα πάντα. Από τον αριθμό τηλεφώνου σας μέχρι τη διεύθυνσή σας. Καθώς ακόμη και αυτές οι φαινομενικά αθώες πληροφορίες μπορούν να χρησιμοποιηθούν για να σας “σκιαγραφήσουν”. Και τελικά να διευκολύνουν την πρόσβαση σε άλλες, πιο ασφαλείς πληροφορίες.
Ένας απατεώνας μπορεί να χρησιμοποιήσει βασικές πληροφορίες για να δημιουργήσει ψεύτικους λογαριασμούς πιστωτικών καρτών. Ή ακόμη και να διεκδικήσει κρατικές παροχές στο όνομά σας.
Η καλύτερη άμυνα είναι μια καλή επίθεση, οπότε μην διευκολύνετε τους απατεώνες να αποκτήσουν τις πληροφορίες σας.
Ποτέ μη χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για διαφορετικούς ιστότοπους. Καθώς η επαναχρησιμοποίηση του κωδικού πρόσβασης μπορεί να δώσει σε έναν χάκερ πρόσβαση σε άλλους λογαριασμούς σας. Προφανώς, μόλις αποκτήσει τον κωδικό πρόσβασης για έναν από αυτούς. Αν υποψιάζεστε ότι είστε στόχος απάτης ηλεκτρονικού “ψαρέματος”, αναφέρετε το αμέσως στο Κέντρο Καταγγελιών για Εγκλήματα Διαδικτύου.
Να έχετε πάντα εγκατεστημένη και σε λειτουργία μία από τις καλύτερες λύσεις λογισμικού προστασίας από ιούς. Επειδή πολλές σύγχρονες εκστρατείες phishing στοχεύουν στη μόλυνση των υπολογιστών και όχι στην κλοπή διαπιστευτηρίων. Τα καλά προγράμματα προστασίας από ιούς εμποδίζουν επίσης τη φόρτωση γνωστών ιστοσελίδων phishing στο πρόγραμμα περιήγησής σας.
Θέλετε να διατηρήσετε τους διαδικτυακούς σας λογαριασμούς όσο το δυνατόν πιο ασφαλείς. Χρησιμοποιήστε έναν από τους καλύτερους διαχειριστές κωδικών πρόσβασης (password managers). Τέλος, να μην επαναχρησιμοποιείτε ποτέ τους κωδικούς πρόσβασης από τον έναν λογαριασμό στον άλλο.
Διαβάστε επίσης και το σχετικό άρθρο μας: Πως να βελτιώσετε την ασφάλεια του υπολογιστή σας
Μπορείτε να κατεβάσετε επίσης δωρεάν, πολύ ενδιαφέροντα e-books που έφτιαξα σχετικά με τη δημιουργία websites αλλά και για γλώσσες προγραμματισμού, εδώ στα free downloads.
