Ενημερώσου για τις πρακτικές phishing, smishing και spoofing

H EEKT, στο πλαίσιο της εκστρατείας ενημέρωσης και ευαισθητοποίησης του κοινού για θέματα κυβερνοασφάλειας, θα ήθελε να ενημερώσει το κοινό σχετικά με κακόβουλες πρακτικές κλήσεων και μηνυμάτων (phishing, smishing και spoofing), καθώς και τους τρόπους προφύλαξης.

• Το ηλεκτρονικό ψάρεμα (phishing) ως παραλλαγή του αγγλικού όρου «fishing» (ψάρεμα), είναι η προσπάθεια που κάνουν κάποιοι επιτήδειοι να εξαπατήσουν το κοινό, στέλνοντας ένα e-mail το οποίο φαίνεται να προέρχεται από κάποια έγκυρη, γνωστή και αξιόπιστη εταιρεία, για παράδειγμα υπηρεσία ταχυμεταφορών, τράπεζα, εταιρεία τηλεφωνίας, e-shops κλπ. Το e-mail φαίνεται να είναι γνήσιο, φέρει τα επίσημα σήματα και τα χρώματα της εταιρείας, απευθύνεται στον παραλήπτη με γενική προσφώνηση (δηλαδή «αγαπητέ κύριε» ή «αγαπητέ πελάτη») και όχι με το ονοματεπώνυμο του χρήστη το οποίο είναι γνωστό στην εταιρεία και τον ενημερώνει, για δήθεν πρόβλημα με τον τραπεζικό του λογαριασμό ή την πιστωτική του κάρτα ή για δήθεν παραγγελία που δεν του έχει παραδοθεί. Στο κείμενο του email υπάρχει πάντοτε ένα URL (σύνδεσμος), το οποίο προτρέπει τον χρήστη να πατήσει, προκειμένου να καταχωρήσει το username και το password ώστε να συνδεθεί με την «φερόμενη ως επίσημη» εταιρεία και να «λύσει το πρόβλημα». Το URL προφανώς, δεν οδηγεί στην επίσημη ιστοσελίδα της εκάστοτε εταιρείας, αλλά σε μια εντελώς άσχετη ιστοσελίδα, η οποία όμως είναι οπτικά πανομοιότυπη με την επίσημη. Ενώ λοιπόν ο χρήστης νομίζει πως βρίσκεται στη ιστοσελίδα της επίσημης εταιρείας, συμπληρώνοντας στα αντίστοιχα πεδία το username και το password του για να συνδεθεί, αποκαλύπτει στους απατεώνες τα κλειδιά του λογαριασμού του. Συχνά μάλιστα, ο χρήστης καλείται να δώσει και επιπλέον στοιχεία, δήθεν για να κάνει reset το password ή για λόγους δήθεν επιπλέον ασφάλειας. Με τα στοιχεία αυτά, οι απατεώνες προσπαθούν να ξεγελάσουν ακόμα περισσότερο το θύμα, αποσκοπώντας συνήθως στο να του αφαιρέσουν χρηματικά ποσά. Εκτός των URLs, ένα phishing email μπορεί να περιλαμβάνει και συνημμένα αρχεία, το άνοιγμα των οποίων μπορεί να οδηγήσει σε μόλυνση του υπολογιστή του χρήστη με κακόβουλο λογισμικό, το οποίο δίνει στον απατεώνα πλήρη πρόσβαση στον υπολογιστή και τις εφαρμογές του χρήστη..
• Το smishing, είναι μια υποκατηγορία του phishing, και η προσπάθεια εξαπάτησης γίνεται μέσω κινητού με την αποστολή SMS μηνυμάτων. Από εκεί προέρχεται και ο όρος smishing, ενώνοντας το «SM» από το SMS και το «ishing» από το phishing. Ο τρόπος είναι απλός: λαμβάνετε ένα «φαινομενικά γνήσιο» SMS το οποίο περιέχει ένα URL. Αν το πατήσετε, θα σας οδηγήσει σε κάποια σελίδα η οποία θα προσπαθήσει να μολύνει άμεσα το κινητό σας εκμεταλλευόμενη κάποια αδυναμία στο λειτουργικό του σύστημα ή θα σας προτρέψει να κατεβάσετε κάποια εφαρμογή (app). Αυτό το app περιέχει κακόβουλο κώδικα, ο οποίος εκτελείται στο smartphone σας και δίνει πρόσβαση στους κακόβουλους σε όλα του τα περιεχόμενα της συσκευής. Το URL στο SMS μπορεί επίσης να σας ανακατευθύνει σε κάποια ιστοσελίδα, όπως και στο phishing, η οποία προσομοιάζει σε κάποια έγκυρη υπηρεσία, ώστε να καταχωρήσετε τους κωδικούς σας, ζητώντας σας παράλληλα στοιχεία πιστωτικών καρτών, ταυτότητας ή ΑΜΚΑ, ή ακόμη και να εκκινήσει την αυτοματοποιημένη προβολή κακόβουλων διαφημίσεων. Το βασικό πρόβλημα είναι πως, στην αρχική περίπτωση της μόλυνσης του κινητού σας από κακόβουλο λογισμικό/app, οι απατεώνες έχουν στα χέρια τους τα πάντα, από κωδικούς και λογαριασμούς σε apps, μέχρι και τις προσωπικές σας φωτογραφίες.
• Tο spoofing είναι μια μέθοδος μέσω της οποίας πλαστογραφούνται τα στοιχεία του γνήσιου αποστολέα ή του καλούντος (εάν πρόκειται για υποκλοπή στοιχείων μέσω τηλεφωνικής κλήσης) ή, ώστε η προσπάθεια για phishing/smishing να έχει μεγαλύτερες πιθανότητες επιτυχίας. Τεχνικές spoofing χρησιμοποιούνται τόσο σε e-mails, ώστε η διεύθυνση αποστολέα να μοιάζει έγκυρη, είτε και σε τηλεφωνικές κλήσεις/μηνύματα όπου ο καλών αριθμός που εμφανίζεται στο τηλέφωνο του καλούμενου μπορεί να είναι πλαστογραφημένος, να ανήκει για παράδειγμα σε γνωστή επαφή του καλούμενου ή σε ιδιωτική εταιρεία ή κρατική υπηρεσία. Παρά τα μέτρα ασφαλείας που λαμβάνουν οι πάροχοι διεθνώς, οι απόπειρες εξαπάτησης δεν μπορούν να προληφθούν πλήρως, συνεπώς απαιτείται εγρήγορση και ενημέρωση από όλους τους χρήστες.

Για να προστατεύσετε τον εαυτό σας ακολουθήστε αυτές τις απλές συμβουλές:

Να είστε σε επαγρύπνηση όταν λαμβάνετε emails ή μηνύματα από εφαρμογές μηνυμάτων (messaging applications) ή όταν απαντάτε σε κλήσεις από άγνωστους παραλήπτες ή αριθμούς.

Πριν κάνετε οποιοδήποτε ‘κλικ’ πάνω σε κάποιο URL, ξανασκεφτείτε το. Να είστε καχύποπτοι με μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυρίζονται ότι πρέπει άμεσα να κάνετε ‘κλικ’ σε σύνδεσμο (URL), να καλέσετε στο τηλέφωνο ή να ανοίξετε κάποιο συνημμένο αρχείο. Εάν πιεστείτε να δώσετε πληροφορίες άμεσα, να είστε προσεκτικοί. Δεν είστε υποχρεωμένοι να απαντήσετε σε κάθε επικοινωνία που λαμβάνετε.

Σε περίπτωση που λάβετε κάποιο email/sms από κάποιο άτομο για πρώτη φορά, το οποίο ξεκινά με γενικό μήνυμα «Αγαπητέ/ή κύριε/α», αφιερώστε λίγο χρόνο για να το εξετάσετε προσεκτικά, προτού συνεχίσετε ή κάνετε ‘κλικ’ σε οποιονδήποτε σύνδεσμο (URL).

Παρατηρήστε εάν το μήνυμα είναι προσωποποιημένο ή εάν έχει ορθογραφικά ή συντακτικά λάθη και ανακρίβειες. Τα ύποπτα μηνύματα αποστέλλονται συνήθως μαζικά και δεν αναγράφουν το όνομα του παραλήπτη που υποτίθεται ότι αντιμετωπίζει κάποιο ζήτημα προς επίλυση.

Αν κάποιο email ή μήνυμα σας φαίνεται ύποπτο , είτε επειδή δεν ήταν αναμενόμενο, είτε γιατί το ύφος γραφής δεν συνάδει με το σύνηθες ύφος του αποστολέα, ελέγξτε το επισταμένως και επιβεβαιώστε το τηλεφωνικά.

Μην δίνετε προσωπικά σας στοιχεία, για παράδειγμα για ταυτοποίηση της ταυτότητάς σας, όταν έχετε δεχτεί εισερχόμενη κλήση την οποία δεν περιμένετε, ακόμα και αν ο καλών αριθμός φαίνεται έγκυρος. Είναι προτιμότερο να κλείσετε το τηλέφωνο και να καλέσετε ξανά χρησιμοποιώντας τον επαληθευμένο αριθμό που αναφέρεται στον ασφαλή ιστότοπο της εκάστοτε εταιρείας. Αυτό είναι ιδιαίτερα σημαντικό, ειδικά στην περίπτωση που ο καλών σας ζητήσει να επαληθεύσετε τα προσωπικά σας στοιχεία, να πραγματοποιήσετε μια πληρωμή ή να εγκαταστήσετε κάποιο λογισμικό απομακρυσμένης πρόσβασης (π.χ TeamViewer) στον υπολογιστή σας.

Σε καμία περίπτωση μην αποκαλύπτετε τους προσωπικούς κωδικούς ασφάλειας (passwords, PIN, κτλ). Ορίστε τους δικούς σας κωδικούς πρόσβασης (password) και μην παραλείπετε να τους αλλάζετε τακτικά. Για την επιλογή ασφαλούς κωδικού πρόσβασης:

Να φροντίζετε ώστε ο κωδικός (password) να έχει μήκος τουλάχιστον έξι χαρακτήρων και να συνδυάζει πεζά-κεφαλαία, γράμματα, αριθμούς και ειδικούς χαρακτήρες ή σχηματιζουν προτάσεις με αριθμούς και σύμβολα. Παραδείγματα καλά επιλεγμένων κωδικών πρόσβασης είναι τα ακόλουθα: “Fm4+g3s$” ,   “veRt1c@L” ,  “eVp0+aW5?”  , E1naiK@lok@iri@2022

Όταν αλλάζετε κωδικό (password) να μην επιλέγετε νέο κωδικό με προβλεπόμενο τρόπο (π.χ. η χρήση του κωδικού "X34JAN" το μήνα Ιανουάριο ακολουθούμενη από τον κωδικό "X34FEB" για το μήνα Φεβρουάριο).

Σε περίπτωση που έχετε λογαριασμούς σε περισσότερες από μία εφαρμογές ή συστήματα, να επιλέγετε διαφορετικό κωδικό πρόσβασης (password) για κάθε λογαριασμό.

Μην επιλέγετε κωδικούς οι οποίοι είναι εύκολο για έναν τρίτο να μαντέψει. Αποφεύγετε πληροφορίες όπως ημερομηνίες γέννησης, προσωπικά στοιχεία, ονόματα προσώπων, κατοικιδίων, κύριες λέξεις, παράγωγα του λογαριασμού χρήστη, τοπωνύμια, ακρωνύμια και συνήθεις ακολουθίες χαρακτήρων. Παραδείγματα λάθος επιλεγμένων κωδικών είναι τα ακόλουθα: “giorgos”, “maria1978”, “XRHSTHS”,  “Athens”,   “123456”, “qwerty”. 

Μην καταγράφετε ή αποθηκεύετε τον κωδικό σε οποιασδήποτε μορφής ηλεκτρονικό αρχείο αν δεν υπάρχει επαρκής προστασία (π.χ. κρυπτογράφηση)

Αναβαθμίζετε τακτικά το λογισμικό των συσκευών σας και αποφεύγετε την παραβίασή του (με rooting ή jailbreaking) καθώς μπορεί να διαταραχθεί η ασφάλεια της συσκευής μέσω εγκατάστασης κακόβουλων εφαρμογών. Επίσης, είναι σημαντικό να εμπιστεύεστε εφαρμογές που είναι διαθέσιμες από τα επίσημα καταστήματα των κατασκευαστών (Appstore, Google Play/Windows Phone Market κλπ).