Phishing: Το «ηλεκτρονικό ψάρεμα» βρίσκει συνεχώς θύματα

Phishing: Το «ηλεκτρονικό  ψάρεμα» βρίσκει συνεχώς θύματα

Εκστρατεία ενημέρωσης των πολιτών για τις ηλεκτρονικές απάτες ξεκίνησαν οι τράπεζες, μετά τα τελευταία απανωτά κρούσματα με θύματα πελάτες τους, ενώ ανακοίνωση εξέδωσε και η Ένωση Εργαζομένων Καταναλωτών Ελλάδας.

Το Phishing (ηλεκτρονικό ψάρεμα) αποτελεί μία μορφή ψηφιακής επίθεσης που εκτελείται κυρίως μέσω e-mail από υποτιθέμενες έμπιστες οντότητες. Απώτερος σκοπός των κυβερνοεγκληματιών είναι να παραπλανήσουν τα υποψήφια θύματα και να αποσπάσουν προσωπικά δεδομένα, λεπτομέρειες τραπεζικών λογαριασμών ή πιστωτικών/ χρεωστικών καρτών, κωδικούς πρόσβασης κ.ά.

Ο τράπεζες στις ενημερώσεις τους επισημαίνουν ότι κατά τη διάρκεια της πανδημίας του κορωνοϊού έχουν αυξηθεί σημαντικά οι προσπάθειες εξαπάτησης με σκοπό την απόσπαση προσωπικών και οικονομικών πληροφοριών ή κωδικών ασφαλείας από επιτήδειους απατεώνες. Σε πολλές περιπτώσεις, πίσω από ένα φαινομενικά ακίνδυνο e-mail, sms ή τηλεφώνημα, μπορεί να κρύβεται μία καλά οργανωμένη ψηφιακή επίθεση «ηλεκτρονικού ψαρέματος».

Τεχνικές phishing
Οι μέθοδοι που χρησιμοποιούν οι επιτήδειοι για να σας ξεγελάσουν είναι:

•SIM Swapping

Τεχνική κατά την οποία οι επιτήδειοι καταφέρνουν να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα του θύματος με διάφορους τρόπους, όπως μέσω κακόβουλων εφαρμογών, αναζητήσεων σε social media κ.λπ. Με τα δεδομένα αυτά εξαπατούν τους παρόχους κινητής τηλεφωνίας για να αποκτήσουν νέα κάρτα SIM προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος. Μόλις ενεργοποιήσουν τη νέα κάρτα, μπορούν πλέον να λαμβάνουν όλες τις κλήσεις και τα μηνύματα του νόμιμου κατόχου, ώστε να εκτελέσουν παράνομες δραστηριότητες.

• Smishing

Ψεύτικα μηνύματα σε μορφή γραπτών μηνυμάτων (SMS) αποστέλλονται στα κινητά τηλέφωνα των υποψήφιων θυμάτων.

• Vishing

Η προσπάθεια παραπλάνησης πραγματοποιείται μέσω τηλεφωνικής κλήσης. Πολύ διαδεδομένη είναι η προσπάθεια εξαπάτησης μέσω υποτιθέμενης επιδιόρθωσης της συσκευής (π.χ. ηλεκτρονικού υπολογιστή, smartphone) του υποψήφιου θύματος από γνωστή εταιρεία Πληροφορικής. Με τον τρόπο αυτό πείθουν τα θύματά τους ότι η συσκευή απαιτεί κάποιου είδους παρέμβαση (π.χ. επισκευή) και εγκαθιστούν εφαρμογές που τους δίνουν τον έλεγχο της συσκευής, για να υποκλέψουν τα προσωπικά δεδομένα των θυμάτων.

•Pharming (phishing without a lure)

Οι χάκερς ή κάποιο malware που έχει εγκατασταθεί στον ηλεκτρονικό υπολογιστή του υποψήφιου θύματος μέσω του browser, τον κατευθύνει σε κάποια εικονική ιστοσελίδα.
• Spear Phishing

Η τεχνική αυτή στοχεύει συγκεκριμένα άτομα. Οι χάκερς ερευνούν και εστιάζουν σε συγκεκριμένους στόχους στέλνοντας κατάλληλα προσαρμοσμένα ηλεκτρονικά μηνύματα.
• Whaling

Στοχευμένο ηλεκτρονικό ψάρεμα που απευθύνεται σε «μεγάλους στόχους», π.χ. διευθύνοντες συμβούλους ή πολιτικούς.

•Clone Phishing

Εξελιγμένη τεχνική παρεμβολής στην πραγματική αλληλογραφία. Ο εισβολέας κλωνοποιεί ένα νόμιμο ηλεκτρονικό μήνυμα από μια αξιόπιστη πηγή. Για το θύμα, το μήνυμα ηλεκτρονικού ταχυδρομείου που λαμβάνει φαίνεται να αποτελεί συνέχεια της συνομιλίας του, αλλά ενδέχεται να περιέχει κάποιο κακόβουλο σύνδεσμο.

Σημεία ένδειξης πιθανής επίθεσης είναι τα εξής:

-Το μήνυμα ηλεκτρονικού ταχυδρομείου δεν προέρχεται από το domain της Τράπεζας (για παράδειγμα της Εθνικής @nbg.gr), ενώ θέλει να υποδείξει ότι σχετίζεται ή προέρχεται από αυτό.

-Ύπαρξη επισυναπτόμενων αρχείων (πολύ συχνά αρχείων με κατάληξη .pdf, .zip)

-Φτωχή και λανθασμένη χρήση της γλώσσας ή γραμματικά λάθη

-Το περιεχόμενο του e-mail/ sms/ τηλεφωνήματος ζητά από το χρήστη κάποια ύποπτη δράση, π.χ. να μεταβεί σε ένα σύνδεσμο και να εισαγάγει συγκεκριμένες πληροφορίες.

-Οι σύνδεσμοί (links) περιέχουν αναγραμματισμούς που παραπέμπουν σε υπαρκτούς συνδέσμους παρεμφερείς με εκείνους της τράπεζας, χωρίς όμως να ανήκουν στο domain της.

Πώς γίνεται

Ανατομία μίας τυπικής επίθεσης Phishing:

•Ο επιτιθέμενος αποστέλλει ένα e-mail, το οποίο μπορεί να μοιάζει πάρα πολύ με τα μηνύματα που στέλνουν στους πελάτες τους οι τράπεζες. Κάνει χρήση ορολογίας που δίνει την αίσθηση του κατεπείγοντος. Αντιγράφει το λογότυπο, τα χαρακτηριστικά και το ύφος των πραγματικών μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μπορεί να περιέχει ένα συνημμένο έγγραφο που ζητά να το κατεβάσει ο παραλήπτης ή ένα σύνδεσμο που ζητά να πατήσει ο παραλήπτης, ώστε να μεταφερθεί στο «περιβάλλον της τράπεζας» για να ολοκληρώσει τις ενέργειες που έχουν ζητηθεί.

•Ο χρήστης λαμβάνει το Phishing e-mail που περιέχει «μολυσμένο» σύνδεσμο.

•Ο σύνδεσμος συνδέει το χρήστη με ιστοσελίδα η οποία έχει δημιουργηθεί από τον επιτιθέμενο.

•Ο χρήστης εισάγει προσωπικά/ εταιρικά στοιχεία στην ιστοσελίδα, επειδή του ζητήθηκε.

•Η ιστοσελίδα, η οποία έχει δημιουργηθεί από τον επιτιθέμενο, αποθηκεύει τα στοιχεία.

•Ο επιτιθέμενος αποκτά πρόσβαση στα δεδομένα που εισήγαγε ο χρήστης.

•Ο επιτιθέμενος χρησιμοποιεί και επεξεργάζεται τα δεδομένα του χρήστη προς όφελος του.

•Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς του χρήστη.

Θα πρέπει να δίνετε ιδιαίτερη προσοχή σε e-mail από άγνωστες/ μη έμπιστες πηγές και σε e-mail που απαιτούν κάποια μη συνηθισμένη ενέργεια, προερχόμενα ακόμη και από άτομα που ενδεχομένως γνωρίζουμε.

Ένα e-mail είναι «ύποπτο» όταν περιέχει αναγραμματισμούς ή ορθογραφικά λάθη στη διεύθυνση του αποστολέα, μη υπαρκτά ονόματα και διευθύνσεις. Πάντα είμαστε επιφυλακτικοί με e-mail που απαιτούν άμεση ενέργεια από την πλευρά μας ή απειλούν να απενεργοποιήσουν τους λογαριασμούς μας

Συμβουλές

Δείξτε ιδιαίτερη προσοχή:

1) Εάν κάποιος σας καλεί από άγνωστο αριθμό, ειδικά από το εξωτερικό και ισχυρίζεται ότι είναι από οποιαδήποτε εταιρεία πληροφορικής, χωρίς να έχετε δηλώσει κάποια βλάβη του υπολογιστή σας, να διακόπτετε την κλήση.

2) Μην προχωράτε ποτέ στην εγκατάσταση του προτεινόμενου από αγνώστους λογισμικού απομακρυσμένης διαχείρισης.

3) Μην αποκαλύπτετε για κανέναν λόγο σε τρίτους τους κωδικούς πρόσβασής σας στο Interrnet Banking, τους κωδικούς μίας χρήσης (ΟΤP) που λαμβάνετε μέσω Viber ή SMS, καθώς και τα προσωπικά και οικονομικά σας στοιχεία.

4) Αν το κινητό σας σταματήσει να λειτουργεί για ασυνήθιστους λόγους, επικοινωνήστε αμέσως με τον πάροχο κινητής τηλεφωνίας. Μερικές φορές μπορεί να χάσετε σήμα λόγω ευρύτερων προβλημάτων που επηρεάζουν την υπηρεσία κινητής τηλεφωνίας. Ωστόσο, εάν χάσετε την υπηρεσία σε μια θέση που συνήθως έχει καλή κάλυψη, είναι ασφαλέστερο να επικοινωνήσετε με τον πάροχο του δικτύου σας και να επιβεβαιώσετε ότι δεν έχει απενεργοποιηθεί η SIM σας.

5) Μην αποκαλύπτετε τον αριθμό του κινητού σας τηλεφώνου στα μέσα κοινωνικής δικτύωσης.

6) Εγγραφείτε στις υπηρεσίες των οργανισμών που παρέχουν ειδοποιήσεις SMS και ηλεκτρονικού ταχυδρομείου όταν εκτελούνται συναλλαγές σας.

7) Μην απαντάτε ποτέ σε άγνωστα μηνύματα ή κλήσεις που σας ζητούν τα στοιχεία λογαριασμών σας και τον καταχωρημένο αριθμό του κινητού σας τηλεφώνου.

8) Μην ακολουθείτε συνδέσμους (links) ιστοσελίδων και μην ανοίγετε συνημμένα αρχεία που μπορεί να λάβετε από άγνωστους αποστολείς ηλεκτρονικού ταχυδρομείου. Ελέγξτε προσεκτικά τον αποστολέα, καθώς οι δράστες συχνά προσποιούνται νόμιμες επιχειρήσεις και οργανισμούς.

9) Μην κοινοποιείτε σε κανέναν και μην εισάγετε σε άγνωστες ιστοσελίδες, τους κωδικούς σας στο Internet/Mobile Banking (username και password) ή τον αριθμό της κάρτας σας. Επιβεβαιώνετε ότι έχετε επισκεφθεί το επίσημο site της τράπεζάς σας και θυμηθείτε ότι οι τράπεζες ποτέ και με κανέναν τρόπο δε θα σας ζητήσουν να αποκαλύψετε τους κωδικούς σας.

10) Ο υπολογιστής και οι συσκευές σας (tablet, έξυπνα κινητά) να έχουν πάντα τις τελευταίες ενημερώσεις λειτουργικού και εφαρμογών. Εγκαταστήστε και έχετε πάντα ενημερωμένο ένα αξιόπιστο πρόγραμμα προστασίας από κακόβουλο λογισμικό.

11) Να ελέγχετε συχνά τις κινήσεις των λογαριασμών σας.

Αν πάλι υποψιάζεστε πως έχετε πέσει θύμα επίθεσης Phishing, είτε έχετε εντοπίσει ένα ύποπτο e- mail/ τηλεφώνημα/sms, είτε έχετε διαπιστώσει συναλλαγές οι οποίες δεν έχουν την έγκρισή σας, επικοινωνήστε άμεσα με την τράπεζά σας.
Β.Β.