Τι είναι το phishing και πως μπορούμε να να προστατευθούμε;
Το έχεις ακούσει, το έχεις διαβάσει ή είσαι ένα από τα θύματά του. Το phishing, το ηλεκτρονικό ψάρεμα ευαίσθητων προσωπικών στοιχείων, από το διαδίκτυο, προς κακόβουλη χρήση, είναι η απόλυτη απάτη και δε φαίνεται να φθίνει ακόμη κι αν οι περισσότεροι έχουμε ακούσει πλέον γι’ αυτό. Τι είναι όμως το phishing, πώς λειτουργεί και τι μπορούμε να κάνουμε για να προστατευθούμε;
H λέξη phishing προέρχεται από το ‘ανορθόγραφο’ fishing, δηλαδή το ψάρεμα. Ακριβώς λοιπόν όπως ένας ψαράς θαλάσσης, ο πονηρός διαδικτυακός ‘ψαράς’ χρησιμοποιεί ψηφιακά δολώματα για να τσακώσει τα ανυποψίαστα θύματά του. Το phishing είναι ένα μέσο κι όχι η επίθεση αυτή καθ’ αυτή. Ο ‘ψαράς’ σου ζητάει να κάνεις κάτι (call for action) και από την στιγμή της δράσης σου ξεκινάει το… κακό. Η διαδικασία έχει συνήθως ως εξής: λαμβάνουμε κάποιο -συχνά ανορθόγραφο ή με πολλά θαυμαστικά- mail που μας ζητάει να αλλάξουμε τον κωδικό μας, να καταβάλουμε κάποια έκτακτη ληξιπρόθεσμη οφειλή, να κατεβάσουμε κάποιο αρχείο, να ανοίξουμε ένα συνημμένο, κ.ά. Τελικός του στόχος είναι να αποσπάσει προσωπικές πληροφορίες (τραπεζικούς λογαριασμούς, passwords, κ.λπ) ώστε να τα χρησιμοποιήσει για να μπει σε προσωπικά ή εταιρικά δίκτυα και λογαριασμούς.
Στα δίχτυα του πρίγκιπα
Θυμάσαι το Νιγηριανό πρίγκιπα που σου έλεγε, σε ιδιαίτερα προσωπικό κι ευγενέστατο τόνο, ότι για κάποιο σκοτεινό λόγο θα χρειαστεί τη δική σου ανεκτίμητη βοήθεια για να ανακτήσει την βασιλική του περιουσία; Αν έδινες κι εσύ τον οβολό σου, δε θα σε ξέχναγε -ένα κομμάτι από τον αμύθητο θησαυρό του θα γινόταν δικό σου! Άλλες φορές, σου ζητούσε να μεταφέρει τα εκατομμύρια του στον τραπεζικό σου λογαριασμό ώστε να τα βγάλει από τη χώρα γιατί κινδύνευε. Μπορεί να σου φαίνεται αφελές αλλά η αλήθεια είναι ότι πολύς κόσμος έχει πέσει στην παγίδα του… άγνωστου πρίγκιπα. Πρόσφατα μάλιστα, η Interpol ανακοίνωσε ότι συνέλαβε έναν από τους μεγαλύτερους αντίστοιχους απατεώνες και που είχε μάλιστα καταφέρει, σε μια περίπτωση, να αποσπάσει 15 εκατομμύρια δολάρια από το θύμα του.
Γιατί λειτουργεί;
Κοινωνική μηχανική (Social Engineering) είναι ο (ομολογουμένως παράξενος) όρος που εξηγεί την επιτυχία του φαινομένου phishing. Πρόκειται για τις τεχνικές που χρησιμοποιεί κάποιος για να αποσπάσει πληροφορίες -τους κωδικούς πρόσβασης ας πούμε- από κάποιον άλλο, αντί να προσπαθήσει να τους ‘σπάσει’. Εκεί, παίζουν ρόλο πολλοί παράγοντες, όπως το ένστικτο, οι προσδοκίες μας, η ανθρώπινη φύση που συχνά είναι εύπιστη, κ.ά… Πολλοί θα εύχονταν κρυφά να εμφανιστεί ένας εξωτικός πρίγκιπας που θα τους δώσει πάρα πολλά λεφτά αρκεί να του κάνουν μια χάρη! Επιπλέον, είναι εύκολο να πειστείς να ανοίξεις ένα email όταν φαίνεται να προέρχεται από κάποιον συνάδελφο, από ένα φίλο που σου ζητάει βοήθεια επειγόντως. Ή ακόμη από ένα μεγάλο, αξιόπιστο φορέα και σου ζητάει έκτακτα να ανανεώσεις το password σου!
Το ‘πείραμα’
H Duo Security, μια μεγάλη εταιρεία ασφάλειας στο διαδίκτυο έχει βγάλει ένα δωρεάν εργαλείο, το Duo Insight με το οποίο μπορείς να στήσεις μια εικονική καμπάνια phishing ώστε να τσεκάρεις τα κενά ασφαλείας σου, από τρωτά δίκτυα και συστήματα στην επιχείρησή σου μέχρι εύπιστους χρήστες. Τον περασμένο Αύγουστο δημοσίευσε τα αποτελέσματα ενός ‘πειράματος’: έστειλε ένα στημένο phishing email σε 11.542 υπαλλήλους σε 400 εταιρείες. Το 31% κλίκαρε το link που είχε μέσα το email και το 17% έδωσε το username και τον κωδικό πρόσβασής του! Ακόμη όμως κι αν το ποσοστό ήταν μικρότερο, αυτό σημαίνει ότι η ασφάλεια είναι δεδομένη; Όχι, μιας και συχνά αρκεί ένας μόνο να δώσει πρόσβαση στο εταιρικό δίκτυο και μέχρι να το πάρει χαμπάρι ο υπεύθυνος ασφαλείας η πληροφορία έχει ψαρευτεί!
Προσοχή και στο… ψαροντούφεκο
Υπάρχει λοιπόν και το spear phishing, δηλαδή το ‘ψάρεμα’ πληροφοριών στοχευμένα και προσωπικά: το mail φαίνεται να έρχεται από ένα άτομο ή εταιρεία που γνωρίζεις και εμπιστεύεσαι -σε στοχεύει προσωπικά σαν ψαροντούφεκο! Κάπως έτσι έγινε στην περίπτωση του σκανδάλου διαρροής πληροφοριών της Sony το 2014! Όπως αποδείχθηκε αργότερα, όλο το κακό ξεκίνησε από κάποια spear phishing emails που είχαν σταλεί σε υπαλλήλους της Sony: έμοιαζαν να είναι από την Apple και ζητούσαν, προσωπικά από τον παραλήπτη, να επιβεβαιώσει το Apple ID του. Οι ‘ψαράδες’ φαίνεται να βρήκαν τα ονόματα και τα προσωπικά στοιχεία των στόχων τους από τα social media ή δίκτυα όπως το LinkedIn ώστε να βρουν άτομα σε κομβικές θέσεις και με πρόσβαση στο δίκτυο της εταιρείας. Έτσι τα phishing emails ήταν εντελώς προσωποποιημένα και εξατομικευμένα. Όλα φαίνονταν 100% επίσημα και φυσιολογικά αλλά με τους κωδικούς οι hackers κατάφεραν να τρυπώσουν στα άδυτα των αρχείων της Sony και να διαρρεύσουν εκατοντάδες αρχεία, mails, οικονομικά στοιχεία, κ.ά.
Ασφάλεια: τι μπορείς να κάνεις
- Να είσαι διπλά καχύποπτος. Στο διαδίκτυο η καχυποψία είναι προτέρημα! Να σκέφτεσαι πάντα δυο φορές πριν κλικάρεις κάποιο link, να υποψιάζεσαι αν το ύφος του mail που δέχεσαι είναι παράξενο, να προβληματίζεσαι εάν κάποιος -οποιοσδήποτε- σου ζητάει να του πεις κωδικούς, διευθύνσεις, λογαριασμούς.
- Ποτέ μην ανοίγεις συνημμένα από άγνωστο αποστολέα.
- Πολλά θαυμαστικά, πολλά ορθογραφικά λάθη; Χμμμ… Καλύτερα να είσαι υποψιασμένος.
- Mην κλικάρεις συντομευμένα links που συμπεριλαμβάνονται σε email ή σε social media. Πέρνα το ποντίκι από πάνω για να δεις πού θα σε στείλει το link.
- Να είσαι ιδιαίτερα προσεκτικός όταν δέχεσαι email με επείγοντα deadlines, ληξιπρόθεσμες οφειλές ή προειδοποιήσεις ότι πρόκειται να κλείσει κάποιος λογαριασμός σου εάν δεν κάνεις κάτι άμεσα.
- Ψάξε και βρες την πράσινη μπάρα και το HTTPS στην μπάρα δίπλα στο site που επισκέπτεσαι. Αυτό σημαίνει ότι η ιστοσελίδα είναι ασφαλής και κρυπτογραφημένη με κάποιο πιστοποιητικό SSL.
- Μην… ψαρώνεις με το παραμικρό!