GlobalSign. Πως να διακρίνετε μία ιστοσελίδα phishing
To phishing δεν είναι άγνωστος όρος σε αυτά τα μέρη. Όπως είναι γνωστό, υπάρχουν πολλοί τρόποι που οι hackers χρησιμοποιούν μηνύματα ηλεκτρονικού ταχυδρομείου phishing για να ξεγελούν τους χρήστες ώστε να κατεβάζουν στους υπολογιστές τους κακόβουλα επισυναπτόμενα αρχεία ή να επισκέπτονται κακόβουλες ιστοσελίδες.
Μόνο το 2016, οι επιθέσεις phishing αυξήθηκαν κατά 400% και αυτή την χρονιά, υπολογίζεται ότι η συγκεκριμένη τάση δεν πρόκειται να παρουσιάσει σημάδια κόπωσης. Οπότε είναι απαραίτητο να συνεχιστεί η εκστρατεία ενάντια στο phishing αντιμετωπίζοντας έναν ακόμη τρόπο επίθεσης, που έχει τη μορφή ιστοσελίδων “ηλεκτρονικού ψαρέματος” (phishing). Η αποστολή κακόβουλων ηλεκτρονικών μηνυμάτων είναι μόνο ένα τμήμα της διαδικασίας phishing.
Ο επίδοξος phisher συνήθως κατασκευάζει μία ψεύτικη ιστοσελίδα με την πρόθεση να ξεγελάσει τα θύματα του ώστε να εισάγουν στα κατάλληλα πεδία τα διαπιστευτήρια σύνδεσης τους, τα τραπεζικά δεδομένα τους ή και τα δύο, ώστε να αποκτήσει πρόσβαση σε αυτά. Τα τελευταία χρόνια, τα θύματα του phishing είναι εκατομμύρια. Για να καταλάβετε πόσο αποτελεσματικό είναι, λάβετε υπόψη σας μία περίεργη υπόθεση από το 2013. Τρεις hackers συνελήφθησαν στο Ηνωμένο Βασίλειο επειδή επιχείρησαν να “ψαρέψουν” σχεδόν £60 εκατομμύρια από ανυποψίαστους πελάτες με τη κατασκευή πάνω από 2600 ψεύτικων τραπεζικών ιστοσελίδων.
Για να σας βοηθήσουμε να αποφύγετε να πέσετε θύματα τέτοιων επιθέσεων, η GlobalSign δημιούργησε μία λίστα με τα περισσότερο πιθανά σενάρια όπου μπορείτε να βρείτε μπροστά σας τέτοιες ιστοσελίδες phishing καθώς και μερικές ακόμη συμβουλές για το πώς να τις ξεχωρίζετε ώστε να μην παραχωρήσετε τα διαπιστευτήρια σας.
Πως καταλήγουν σε εσάς οι ιστοσελίδες phishing;
Σενάριο 1: Ανοίγοντας ένα email phishing
Ας ξεκινήσουμε με ένα σενάριο που γνωρίζετε. O Nick εργάστηκε περήφανα και σκληρά στη δουλειά του για αρκετά χρόνια και μάζεψε ένα εκατομμύριο δολάρια για την σύνταξη του. Λίγους μήνες όμως πριν το πάρτι συνταξιοδότησης, άρχισε να λαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου από την υποτιθέμενη τράπεζα του, που τον προέτρεπαν να ενημερώσει τα τραπεζικά δεδομένα του. Οπότε συνδέθηκε στην υποτιθέμενη ιστοσελίδα της τράπεζας του για να αλλάξει τα διαπιστευτήρια του (π.χ τον κωδικό πρόσβασης). Την επόμενη μέρα, ανακάλυψε ότι οι αποταμιεύσεις του είχαν κάνει φτερά, όπως συνέβη με μία γυναίκα από το Ηνωμένο Βασίλειο το 2012.
Σενάριο 2: Κάνοντας κλικ πάνω σε μία ύποπτη διαφήμιση
Οι διαφημίσεις είναι ένα ακόμα μέσο για να εξαπολύονται επιθέσεις phishing. Η Mary για παράδειγμα αναζητούσε μερικές απλές συνταγές online. Οπότε και πληκτρολόγησε “εύκολες συνταγές για κέικ” στο πεδίο αναζήτησης της Google και χωρίς να εξετάσει τον σύνδεσμο πάτησε πάνω σε μία διαφήμιση τύπου Google Ad που έλεγε “εύκολες συνταγές κέικ σήμερα”. Η συγκεκριμένη ιστοσελίδα την έστελνε σε μία ιστοσελίδα ζητώντας της λεπτομέρειες της πιστωτικής κάρτας της για να λάβει τις σχετικές συνταγές. Ευτυχώς, η Mary υποψιάστηκε το αίτημα πληρωμής οπότε και έκλεισε άμεσα την ιστοσελίδα. Η Mary απέφυγε σε εκείνο το σημείο μία ψεύτικη διαφήμιση, επειδή πολύ απλά, η Google Ad ήταν ψεύτικη. Το 2014 χρησιμοποιήθηκαν ψεύτικα Google Ads για να πραγματοποιηθούν επιθέσεις phishing.
Σενάριο 3: Σύνδεση σε μία ψεύτικη ιστοσελίδα
Οι phishers δεν θα σταματήσουν πουθενά για να κλέψουν πληροφορίες και δεδομένα. Πάρτε για παράδειγμα την περίπτωση της Sophia που κοίταζε να ενημερώσει το διαβατήριο της για παράδειγμα. Η Sophia πληκτρολογεί το όνομα της υπηρεσίας διαβατηρίων που αναζητάει στην μηχανή αναζήτησης και έκανε κλικ στον πρώτο σύνδεσμο που είδε. Όλα έδειχναν καλά από τη στιγμή που η σελίδα login δεν έδειχνε κάτι περίεργο. Πληκτρολόγησε τα διαπιστευτήρια login της καθώς και τα δεδομένα του διαβατηρίου της. Αφού τα πληκτρολόγησε, αναρωτήθηκε γιατί δεν έλαβε κάποια απάντηση από την υπηρεσία. Την επόμενη μέρα ανακάλυψε ότι ο λογαριασμός και τα στοιχεία της είχαν παραβιαστεί, όπως πολλοί πολίτες της Σιγκαπούρης ανακάλυψαν που έπεσαν θύματα επιθέσεων phishing σε κυβερνητικές σελίδες login.
Σενάριο 4: Συμμετοχή σε ιστοσελίδες κοινωνικής δικτύωσης
Ο Ron αντιμετώπισε κάποιο πρόβλημα με την τράπεζα που συνεργάζεται και σκέφτηκε ότι θα μπορούσε να λάβει μία ταχύτερη απάντηση μέσω του Twitter, οπότε και μέσω ενός tweet έκανε γνωστό το πρόβλημα του στον διαχειριστή του λογαριασμού της τράπεζας στο Twitter. Μέσα σε λίγες ώρες, ο υποτιθέμενος “εκπρόσωπος” της τράπεζας απάντησε στο ερώτημα του παρέχοντας έναν σύνδεσμο με την υποτιθέμενη ιστοσελίδα υποστήριξης της τράπεζας. Ο Ron όμως ήταν αρκετά έξυπνος ώστε να μην εμπιστευτεί τον εκπρόσωπο της τράπεζας, επειδή γνωρίζει ότι δεν πρέπει να εμπιστεύεται μη επαληθευμένους λογαριασμούς του Twitter. Ο Ron μόλις αντιμετώπισε, και ευτυχώς κατάφερε να αποφύγει, έναν από τους πλέον δημοφιλείς τύπους επιθέσεων phishing στα social media.
Συμβουλές για να ξεχωρίζετε μία ιστοσελίδα phishing
Σε περίπτωση που δεν το έχετε αντιληφθεί ακόμη, όλα τα παραπάνω σενάρια βασίζονται σε πραγματικές επιθέσεις και απάτες phishing. Ο Nick, η Mary, η Sophia και ο Ron μπορεί να είναι φανταστικοί χαρακτήρες, ωστόσο οι απειλές που αντιμετώπισαν ήταν πραγματικές. Παρακάτω, θα βρείτε μερικές χρήσιμες συμβουλές και tips για να αποφύγετε την περίπτωση να σας “ψαρέψουν” οι phishers χρησιμοποιώντας τέτοιες κακόβουλες ιστοσελίδες. Ας χωρίσουμε τις λύσεις σε δύο.
Πριν κάνετε κλικ
Πάντα να ελέγχετε και να μελετάτε τον σύνδεσμο πριν κάνετε κλικ πάνω του. Όποτε σας στέλνει κάποιος έναν σύνδεσμο μέσω ηλεκτρονικού ταχυδρομείου ή μέσω κάποιας ιστοσελίδας κοινωνικής δικτύωσης ή μέσω οποιασδήποτε πλατφόρμας κατά τέτοιο τρόπο, δώστε λίγο χρόνο στον εαυτό σας για να μελετήσει την διεύθυνση URL πριν κάνετε κλικ. Δεν είναι απαραίτητο να είστε ειδικός για να διακρίνετε κάποιον ύποπτο σύνδεσμο. Επίσης θα πρέπει οπωσδήποτε να μετακινήσετε τον κέρσορα του ποντικιού σας πάνω από κάποιο σύνδεσμο υπερκειμένου προτού κάνετε κλικ επίσης.
Προσδιορίστε την πηγή του συνδέσμου. Γνωρίζετε τον άνθρωπο που σας έστειλε τον σύνδεσμο; Αν έχετε και τη παραμικρή αμφιβολία, απλώς μην κάνετε κλικ στον σύνδεσμο.
Αφού κάνετε κλικ
Ελέγξτε και μελετήστε την διεύθυνση URL προτού δώσετε στοιχεία ή πληκτρολογήσετε τα διαπιστευτήρια σας σε κάποιο πεδίο. Ας υποθέσουμε ότι κατά λάθος κάνατε κλικ πάνω σε έναν σύνδεσμο phishing. Δεν θα πρέπει να πανικοβληθείτε, τουλάχιστον όχι ακόμη. Όπως αναφέραμε, μελετήστε τον σύνδεσμο της ιστοσελίδας, και ελέγξτε για τυχόν σημάδια που ενοχοποιούν και καθιστούν κακόβουλη την ιστοσελίδα.
Σαρώστε την ιστοσελίδα γυρεύοντας για κάποιο Trust Seal. Οι πλέον νόμιμες ιστοσελίδες εκμεταλλεύονται τις σφραγίδες εμπιστοσύνης ή ιδιωτικότητας, που είναι μικρά λογότυπα και σήματα, που παρέχουν τρίτες εταιρείες και δείχνουν πόσο ασφαλής είναι μία ιστοσελίδα (π.χ δείχνουν κάποια βαθμολογία εμπιστοσύνης, αν η ιστοσελίδα χρησιμοποιεί κρυπτογράφηση SSL/ TLS κ.ά), Οι ιστοσελίδες που συλλέγουν δεδομένα ή πληροφορίες πληρωμών ή logins θα πρέπει να διαθέτουν κάποια σφραγίδα εμπιστοσύνης και πιστοποίησης ή κάποια Secure Site Seal προκειμένου να διασφαλίσουν στους επισκέπτες ότι ο δικτυακός τόπος είναι νόμιμος.
Ελέγξτε τη γραμμή διευθύνσεων για λεπτομέρειες που αφορούν στον οργανισμό ή στην εταιρεία που επισκέπτεστε. Τα πιστοποιητικά SSL / TLS διαδραματίζουν σημαντικό ρόλο στην ασφάλεια ιστού, κρυπτογραφώντας τις χρονικές περιόδους που βρίσκεστε σε σύνδεση και προστατεύοντας τις πληροφορίες που στέλνονται μεταξύ των προγραμμάτων περιήγησης και των διακομιστών. Το SSL Extended Validation (EV), που αποτελεί το υψηλότερο επίπεδο κρυπτογράφησης SSL, προσθέτει ένα ακόμη σημαντικό χαρακτηριστικό ασφαλείας, με το να παρουσιάζει την επαληθευμένη ταυτότητα της εταιρείας στην οποία ανήκει η ιστοσελίδα, συνήθως σε ένα διαφορετικό πράσινο πεδίο διευθύνσεων.
Ελέγξτε ότι η διεύθυνση της ιστοσελίδας δεν είναι ομόγραφη. Μερικοί δημοφιλείς browsers δεν κατανοούν ξένες γλώσσες όπως το κυριλλικό αλφάβητο. Ένας χάκερ μπορεί να δηλώσει έναν τομέα όπως το xn--pple-43d.com, το οποίο είναι ισοδύναμο με το apple.com και να αγοράζει ένα πιστοποιητικό SSL για αυτό. Αυτό είναι επίσης γνωστό ως script spoofing.
Υπάρχει πάντως τρόπος να αποφύγετε αυτό το είδος επίθεσης. Αν υποψιάζεστε ότι ο σύνδεσμος είναι κακόβουλος, αντιγράψτε τον και επικολλήστε τον σε μία άλλη καρτέλα.
Τόσο απλά είναι τα πράγματα. Η πραγματική φύση του domain θα αποκαλυφθεί αμέσως οπότε και θα γνωρίζετε ότι η ιστοσελίδα δεν είναι αξιόπιστη ή νόμιμη. Μπορείτε επίσης να εντοπίσετε τέτοιους συνδέσμους, κάνοντας κλικ στα στοιχεία του πιστοποιητικού για να δείτε ποιο domain είναι αυτό που καλύπτεται από το πιστοποιητικό.
Στο παραπάνω παράδειγμα, είναι φανερό ότι το πιστοποιητικό εκδόθηκε πραγματικά στη διεύθυνση https://www.xn--80ak6aa92e.com/ και όχι στο apple.com.
Οι επιθέσεις ηλεκτρονικού “ψαρέματος” ενδέχεται να σημειώσουν αύξηση τα επόμενα χρόνια, αλλά εφόσον είστε εκπαιδευμένοι για να τα αποφεύγετε, τα θύματα από τέτοιες πραγματικά φτηνές μεθόδους κλοπής θα είναι όλο και λιγότερα στο μέλλον. Ο καλύτερος τρόπος άμυνας απέναντι στους hackers είναι η εκτεταμένη γνώση των βρώμικων τεχνικών που χρησιμοποιούν.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.