ΑΠΑΤΕΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗ ΕΞΑΠΑΤΗΣΗ SCAMs AND PHISHING Τα τελευταία χρόνια έχω αρχίσει να συνειδητοποιώ πόσο εύκολο είναι πλέον να πέσει κάποιος θύμα απάτης (scam) ή ηλεκτρονικής εξαπάτησης (phishing...

Πλήρες Κείμενο:

ΑΠΑΤΕΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗ ΕΞΑΠΑΤΗΣΗ SCAMs AND PHISHING Τα τελευταία χρόνια έχω αρχίσει να συνειδητοποιώ πόσο εύκολο είναι πλέον να πέσει κάποιος θύμα απάτης (scam) ή ηλεκτρονικής εξαπάτησης (phishing). Το συγκεκριμένο φαινόμενο δεν περιορίζεται μόνο σε ανθρώπους που δεν γνωρίζουν από τεχνολογία, αλλά ακόμα και σε άτομα που χρησιμοποιούν καθημερινά υπολογιστές, online banking και κοινωνικά δίκτυα (social media) μπορούν να εξαπατηθούν μέσα σε λίγα λεπτά.

Οι επιτιθέμενοι έχουν εξελιχθεί πολύ και πλέον οι επιθέσεις τους είναι πιο πειστικές από ποτέ.

Αυτό που με προβληματίζει περισσότερο είναι ότι οι περισσότερες επιθέσεις ηλεκτρονικής εξαπάτησης (phishing ) δεν βασίζονται τόσο σε “hacking”, αλλά στην ανθρώπινη ψυχολογία.

Οι απατεώνες (scammers) προσπαθούν να εκμεταλλευτούν τον φόβο, την πίεση, τη βιασύνη ή ακόμα και την περιέργεια μας, θέλοντας να μας κάνουν να αντιδράσουμε συναισθηματικά πριν προλάβουμε να σκεφτούμε λογικά.

Ένα πολύ συνηθισμένο παράδειγμα, είναι τα ψεύτικα emails τραπεζών.

Το μήνυμα συνήθως αναφέρει ότι “ο λογαριασμός σας έχει κλειδωθεί” ή ότι “εντοπίστηκε ύποπτη δραστηριότητα”. Μέσα στο email υπάρχει ένας σύνδεσμος (link) που οδηγεί σε μια ιστοσελίδα σχεδόν πανομοιότυπη με την πραγματική τράπεζα.

Αν κάποιος βάλει εκεί τα στοιχεία του, στην πραγματικότητα τα παραδίδει απευθείας στους επιτιθέμενους.

Ένα άλλο παράδειγμα, είναι τα ηλεκτρονικά μηνύματα εξαπάτησης (SMS scams) σχετικά με παραδόσεις δεμάτων.

Ο χρήστης λαμβάνει μήνυμα ότι υπάρχει πρόβλημα με την αποστολή του και πρέπει να πληρώσει ένα μικρό ποσό για να ολοκληρωθεί η παράδοση.

Επειδή πολλοί περιμένουν όντως κάποιο πακέτο, πατούν τον σύνδεσμο (link) χωρίς δεύτερη σκέψη.

Έτσι οι απατεώνες (scammers) καταφέρνουν να υποκλέψουν τραπεζικά στοιχεία ή διαπιστευτήρια (credentials). Ιδιαίτερα επικίνδυνες θεωρώ και τις επιθέσεις μέσω κοινωνικών δικτύων (social media). Έχουν παρατηρηθεί ψεύτικούς (fake) λογαριασμούς που αντιγράφουν γνωστές εταιρείες, άτομα επιρροής (influencers) ή ακόμα και φίλους, στέλνοντας μηνύματα που υπόσχονται δώρα (giveaways), επενδυτικές ευκαιρίες ή “εύκολα χρήματα”. Πολλές φορές χρησιμοποιούν και ψεύτικα screenshots για να φαίνονται αξιόπιστοι.

Ένα από τα πιο γνωστά παραδείγματα κοινωνικής μηχανικής ήταν η επίθεση στο X (ex Twitter) το 2020, όπου επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα μέσω διαδικασιών κοινωνικής μηχανικής (social engineering) σε εργαζόμενους της εταιρείας και στη συνέχεια χρησιμοποίησαν μεγάλους λογαριασμούς για crypto scam αναρτήσεις.

Το περιστατικό αυτό έδειξε ξεκάθαρα ότι πολλές φορές ο άνθρωπος είναι ο πιο αδύναμος κρίκος στην ασφάλεια.

Ένα ακόμη περιστατικό που μου έχει μείνει είναι η επίθεση στην MGM Resorts International, όπου οι επιτιθέμενοι χρησιμοποίησαν κοινωνική μηχανική (social engineering) για να εξαπατήσουν το γραφείο βοήθειας (help desk) και να αποκτήσουν πρόσβαση στα συστήματα της εταιρείας.

Δεν χρειάστηκε απαραίτητα κάποιο πολύπλοκο κακόβουλο λογισμικό ή exploit, αλλά κυρίως σωστή χειραγώγηση ανθρώπων.

Αυτό που έχω μάθει προσωπικά είναι ότι πρέπει πάντα να ελέγχω πολύ προσεκτικά τον αποστολέα ενός email ή μηνύματος.

Πολλές διευθύνσεις ηλεκτρονικής εξαπάτησης μοιάζουν σχεδόν ίδιες με τις πραγματικές.

Μπορεί να αλλάζει μόνο ένα γράμμα ή να χρησιμοποιείται διαφορετική κατάληξη domain.

Αυτές οι μικρές λεπτομέρειες είναι συχνά το πρώτο προειδοποιητικό σημάδι.

Προσπαθώ επίσης να μην πατάω ποτέ απευθείας συνδέσμους (links) από email ή SMS όταν πρόκειται για τράπεζες ή σημαντικούς λογαριασμούς.

Προτιμώ να ανοίγω μόνος μου τον browser και να μπαίνω χειροκίνητα στο επίσημο site.

Αυτή η απλή συνήθεια μπορεί να αποτρέψει πάρα πολλές επιθέσεις ηλεκτρονικής εξαπάτησης (phishing). Κάτι που θεωρώ απαραίτητο σήμερα είναι η χρήση τεχνικών αυθεντικοποίησης πολλαπλών παραγόντων (multifactor authentication). Ακόμα κι αν κάποιος αποκτήσει τον κωδικό πρόσβασης μου, το δεύτερο επίπεδο επιβεβαίωσης δυσκολεύει σημαντικά την παραβίαση.

Ειδικά εφαρμογές αυθεντικοποίησης (authenticator) θεωρώ ότι είναι πολύ πιο ασφαλείς από απλά SMS verification codes.

Ένας άλλος σημαντικός τρόπος προστασίας είναι τα ισχυρά και διαφορετικά passwords σε κάθε υπηρεσία.

Πολλοί χρησιμοποιούν τον ίδιο κωδικό παντού, κάτι που είναι εξαιρετικά επικίνδυνο.

Αν ένας λογαριασμός παραβιαστεί, τότε οι επιτιθέμενοι δοκιμάζουν τα ίδια διαπιστευτήρια (credentials) και σε άλλες πλατφόρμες.

Για αυτό θεωρώ ότι ένα password manager είναι πλέον σχεδόν απαραίτητο εργαλείο.

Πιστεύω επίσης ότι πρέπει να εκπαιδεύουμε περισσότερο τους ανθρώπους γύρω μας.

Πολλές φορές οι μεγαλύτεροι σε ηλικία ή άτομα χωρίς τεχνικές γνώσεις είναι πιο ευάλωτα σε απάτες.

Ένα απλό τηλεφώνημα που υποτίθεται ότι προέρχεται από “τεχνική υποστήριξη” μπορεί να οδηγήσει κάποιον να δώσει απομακρυσμένη πρόσβαση στον υπολογιστή του χωρίς να καταλάβει τι συμβαίνει.

Κάτι που έχω παρατηρήσει είναι ότι οι scammers δημιουργούν πάντα αίσθηση επείγοντος.

Θέλουν να μας κάνουν να δράσουμε γρήγορα.

Αντίθετα, όταν αφιερώνω λίγα δευτερόλεπτα για να ελέγξω ένα μήνυμα, συνήθως μπορώ να εντοπίσω σημάδια που προδίδουν την απάτη. Κακά URLs, περίεργη σύνταξη, υπερβολικές υποσχέσεις ή ύποπτες απαιτήσεις πληρωμής είναι μερικά από αυτά.

Εξίσου σημαντικό θεωρώ να κρατάμε ενημερωμένες τις συσκευές και τις εφαρμογές μας.

Πολλές επιθέσεις εκμεταλλεύονται γνωστές τρωτότητες (vulnerabilities) σε παλιές εκδόσεις λογισμικού.

Τα updates μπορεί να φαίνονται ενοχλητικά, αλλά στην πραγματικότητα αποτελούν βασικό κομμάτι της ψηφιακής μας ασφάλειας.

Πέρα όμως από τα τεχνικά μέτρα, πιστεύω ότι η μεγαλύτερη άμυνα απέναντι στην ηλεκτρονική εξαπάτηση (phishing) είναι η σωστή νοοτροπία.

Να μην εμπιστευόμαστε εύκολα, να επιβεβαιώνουμε πληροφορίες και να σκεφτόμαστε πριν κάνουμε κλικ.

Οι επιτιθέμενοι ποντάρουν στην απροσεξία μας και στην πίεση της στιγμής.

Στο τέλος της ημέρας, το scam και το phishing δεν είναι απλώς “θέματα υπολογιστών”. Είναι θέματα καθημερινής ασφάλειας.

Αφορούν τα προσωπικά μας δεδομένα, τα χρήματα μας, την ιδιωτικότητα μας και πολλές φορές την επαγγελματική μας ζωή.

Για αυτό θεωρώ ότι η ενημέρωση και η συνεχής προσοχή είναι πιο σημαντικές από ποτέ στην ψηφιακή εποχή που ζούμε.

Η επιλογή των posts/links γίνεται με ένα στατιστικό μοντέλο και μπορεί να μην απεικονίζει επακριβώς τη σειρά δημοτικότητάς τους