Sophos. Τι είναι το… phishing

Η λέξη phishing χρησιμοποιείται για να χαρακτηρίσουμε τη μέθοδο που χρησιμοποιούν οι κυβερνοεγκληματίες για να σας εξαπατήσουν ώστε να παραδώσετε αμαχητί ευαίσθητες και πολύτιμες πληροφορίες.  Η λέξη αποτελεί παράφραση της ομόηχης αγγλικής λέξης “fishing” που σημαίνει “ψάρεμα”, μόνο που στη συγκεκριμένη περίπτωση έχουμε να κάνουμε με “ηλεκτρονικό ψάρεμα”.

 Πρόκειται λοιπόν για μία μέθοδο “ψαρέματος”, μία μέθοδο εξαπάτησης για να αποσπάσουν ευαίσθητες πληροφορίες (π.χ κάποιο κωδικό πρόσβασης) που αργότερα οι κυβερνοεγκληματίες θα μετατρέψουν σε κέρδος με τον “α” ή με τον “β” τρόπο.  

Πιο συγκεκριμένα, οι κυβερνοεγκληματίες στέλνουν κάποιο είδος ηλεκτρονικού μηνύματος για να σας ξεγελάσει να κάνετε κάτι μη ασφαλές που ενδεχομένως θα στοιχίσει πολλά τόσο σε εσάς όσο και στην εταιρεία σας. Οι απατεώνες πίσω από το συγκεκριμένο είδος εγκλήματος που είναι γνωστοί ως phishers, συνήθως χρησιμοποιούν μηνύματα ηλεκτρονικού ταχυδρομείου, διότι είναι εκπληκτικά εύκολο να τα κάνουν να μοιάζουν ρεαλιστικά και αυθεντικά. Όμως οι επιθέσεις phishing μπορούν να φτάσουν στους χρήστες και μέσω μηνυμάτων σε ιστοσελίδες κοινωνικής δικτύωσης, μέσω SMS ή μέσω άλλων πλατφορμών άμεσης ανταλλαγής μηνυμάτων.

Παρακάτω θα βρείτε ορισμένα παραδείγματα εξαπάτησης από τους απατεώνες και κυβερνοεγκληματίες:

  • Λαμβάνετε ένα τιμολόγιο που αναφέρει μια σχετικά μικρή αγορά από μία γνωστή ιστοσελίδα, συμπληρωμένο με “κλεμμένα” λογότυπα και κείμενο αντιγραμμένο από ένα αυθεντικό τιμολόγιο. Στο κάτω μέρος υπάρχει ένας νόμιμος φαινομενικά σύνδεσμος ή κάποιο πλήκτρο που αναγράφει [Contest this charge] ή [Query this purchase]. Ξέρετε ότι δεν ήσασταν εσείς οι ίδιοι που πραγματοποιήσατε την αγορά, οπότε κλίνετε στο να κάνετε κλικ και να συνδεθείτε. Αλλά αν το κάνετε, καταλήγετε σε μια ψεύτικη σελίδα και ο κωδικός σας καταλήγει στα χέρια των απατεώνων.
  • Λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από κάποιον που υποβάλλει αίτηση για εργασία που διαφημίζεται αυτή τη στιγμή στον ιστότοπο της εταιρείας σας. Στο ηλεκτρονικό ταχυδρομείο επισυνάπτεται ένα αρχείο που μοιάζει με βιογραφικό σημείωμα (résumé). Η πρώτη σας σκέψη είναι να το ανοίξετε, αλλά αν το κάνετε, θα εκτελέσετε κατά λάθος ένα παγιδευμένο αρχείο το οποίο θα επιτρέψει στους απατεώνες να εμφυτεύσουν κακόβουλο λογισμικό στον υπολογιστή σας.
  • Λαμβάνετε ένα διαφημιστικό μήνυμα ηλεκτρονικού ταχυδρομείου που σας προσκαλεί να λάβετε μέρος σε μία έρευνα που μοιάζει ρεαλιστική με αντάλλαγμα τη δυνατότητα να κερδίσετε ένα κουπόνι αγορών ή ένα iPhone ή διακοπές. Κλίνετε στο να τη συμπληρώσετε τελικά, αλλά κατά τη διάρκεια της διαδικασίας σας ζητείται να δώσετε προσωπικά δεδομένα που κανονικά θα διατηρούσατε μόνο για τον εαυτό σας, όπως είναι η ημερομηνία γέννησης, η διεύθυνση κατοικίας σας ή τα στοιχεία της πιστωτικής σας κάρτας.

Τι να κάνετε;

Το ηλεκτρονικό ψάρεμα (phishing) μπορεί να είναι δύσκολο να εντοπιστεί, επειδή οι phishers [δεν κάνουν πάντοτε λάθη που λειτουργούν σαν προειδοποίηση] ή [λάθει στι γκραματικι].

Οι phishers μπορεί να γνωρίζουν το πραγματικό σας όνομα ή και τη διεύθυνση σας, και επομένως δεν ξεκινούν πάντα (το μήνυμα ή την επιστολή τους) με τα κλασικά [Αγαπητέ Κύριε/ Κυρία] ή κάποια αόριστη διεύθυνση όπως [Αθήνα].

Παρακάτω ακολουθούν ορισμένες συμβουλές για να μην σας πιάσουν κορόιδο:

  • Μην εισάγετε κωδικούς πρόσβασης σε σελίδες login που εμφανίζονται αφού πρώτα κάνετε κλικ σε ένα σύνδεσμο που υπήρχε σε κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου. Επισημάνετε και αποθηκεύστε στα bookmarks σας τις επίσημες διευθύνσεις των αγαπημένων σας ιστοσελίδων ή πληκτρολογήστε τις διευθύνσεις URL στον browser σας χρησιμοποιώντας τη μνήμη σας.
  • Αποφύγετε να ανοίγετε συνημμένα μηνυμάτων ηλεκτρονικού ταχυδρομείου από παραλήπτες που δεν γνωρίζετε, ακόμα κι αν εργάζεστε στον τομέα του ανθρώπινου δυναμικού ή ασχολείστε με λογαριασμούς και χρησιμοποιείτε συνημμένα στη δουλειά σας.
  • Ορίστε μια διεύθυνση ηλεκτρονικού ταχυδρομείου “ρωτήστε τους ειδικούς” στον οργανισμό σας, π.χ. [security@example.com]. Αυτό δίνει στους χρήστες σας έναν γρήγορο τρόπο να ζητήσουν τη συμβουλή κάποιου ειδικού –π.χ από την ομάδα διαχείρισης/ ασφάλειας IT στην εταιρεία σας) σχετικά με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου και ανεπιθύμητα συνημμένα.
  • Σε περίπτωση αμφιβολίας, μην αποκαλύψετε το παραμικρό προσωπικό δεδομένο! Τα προσωπικά σας δεδομένα απλώς δεν αξίζουν την απίθανα μικρή πιθανότητα να κερδίσετε ένα iPad από μία εταιρεία iPad που  τις απίθανες μικρές πιθανότητες να κερδίσετε ένα iPad από μια εταιρεία μάρκετινγκ που δεν έχετε ακούσει ποτέ.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.