Phishing είναι ένας πολύ δημοφιλής τρόπος κλοπής δεδομένων από χρήστες του Διαδικτύου, επειδή δεν απαιτεί μεγάλο οικονομικό κόστος και είναι ένα καθολικό εργαλείο - περισσότερο κοινωνικό παρά τεχνολογικό. Χάρη σε αυτό, ένας απατεώνας ή μια ομάδα παρόμοιων ατόμων μπορεί γρήγορα να προσαρμοστεί σε έναν νέο τρόπο εργασίας. Οι απατεώνες στις μέρες μας γνωρίζουν επίσης πολλά και βελτιώνουν συνεχώς τις δεξιότητές τους.
Είμαι σίγουρος ότι οι περισσότεροι από εσάς έχετε ακούσει και αντιμετωπίσει το phishing, αλλά σε πολλές περιπτώσεις περάσατε χωρίς να καταλάβετε τι είναι και πόσο επικίνδυνο είναι. Σήμερα θα προσπαθήσω να επεκτείνω τις γνώσεις σας και θα σας πω πόσο επικίνδυνο είναι το phishing, πώς να το αναγνωρίσετε και πώς να προστατευθείτε από αυτό.
Τι είναι το phishing;
Ο απλούστερος ορισμός του phishing είναι ότι πρόκειται για μια μέθοδο απάτης κατά την οποία οι εγκληματίες, προσποιούμενοι ότι είναι εκπρόσωποι αξιόπιστων ιδρυμάτων, απαιτούν εμπιστευτικά δεδομένα, τις περισσότερες φορές - κωδικούς πρόσβασης για την είσοδο σε υπηρεσίες ηλεκτρονικής τραπεζικής, εσωτερικά δίκτυα εταιρείας, καθώς και αριθμούς καρτών πληρωμής και email. διευθύνσεις, ταχυδρομείο
Για αυτό, οι εισβολείς χρησιμοποιούν κακόβουλα προγράμματα και προσπαθούν να χρησιμοποιήσουν την κοινωνική μηχανική για να αναγκάσουν τα θύματα να προβούν σε ορισμένες ενέργειες που θα τους βοηθήσουν να λάβουν το επιθυμητό αποτέλεσμα. Οι επιθέσεις που στοχεύουν απλούς χρήστες είναι σχετικά απλές, αλλά οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο πιο εξελιγμένες τεχνικές phishing που απαιτούν τη συλλογή πληροφοριών σχετικά με τα θύματα για να τα παρακινήσουν να παίξουν σύμφωνα με τους κανόνες τους.
Πώς λειτουργεί το phishing;
Το ηλεκτρονικό ψάρεμα, το οποίο συνήθως αντιμετωπίζουμε, συνίσταται στην αποστολή ειδικά διαμορφωμένων email ή SMS σε πιθανά θύματα. Περιέχουν συνδέσμους προς κακόβουλους ιστότοπους όπου απαιτείται από τους χρήστες του Διαδικτύου να παρέχουν ευαίσθητες πληροφορίες, οι οποίες είναι συνήθως στοιχεία σύνδεσης και κωδικός πρόσβασης για έναν ιστότοπο ηλεκτρονικής τραπεζικής. Με αυτόν τον τρόπο, επιτρέπετε στους απατεώνες να κλέψουν χρήματα από τους λογαριασμούς σας. Το να πείσετε το θύμα να το κάνει αυτό είναι η μεγαλύτερη πρόκληση, επομένως οι εγκληματίες του κυβερνοχώρου επινοούν συνεχώς νέα σχέδια για να πραγματοποιήσουν τα σχέδιά τους. Πρόσφατα, η πιο κοινή μέθοδος phishing είναι οι μικροπληρωμές.
Σε κακόβουλα μηνύματα, μπορείτε να "μάθετε" για ένα πακέτο υπηρεσιών που έχει ανασταλεί, μια αποκλεισμένη δημοπρασία στον ιστότοπο προσφοράς, μια ασυμφωνία στο ύψος του λογαριασμού, καθυστερήσεις με τη φορολογική επιθεώρηση ή με τον προμηθευτή ενέργειας, που θα έχουν δυσάρεστες συνέπειες για σενα. Τα ανεπαρκή χρήματα μπορούν να μεταφερθούν μέσω του ιστότοπου γρήγορης πληρωμής που συνδέεται στο μήνυμα. Ωστόσο, ανακατευθύνεται σε έναν ιστότοπο που μοιάζει παραπλανητικά με δημοφιλείς ιστότοπους όπως το PayPal ή το DotPay. Και τα δεδομένα που εισάγονται σε αυτό πηγαίνουν στους εγκληματίες, γεγονός που τους επιτρέπει να εισάγουν τον λογαριασμό του θύματος στην υπηρεσία συναλλαγών και να μεταφέρουν οικονομικά κεφάλαια στους δικούς τους λογαριασμούς.
Όπως καταλαβαίνετε, αυτός ο μηχανισμός είναι πολύ απλός, αλλά το μεγαλύτερο πρόβλημα του απατεώνα είναι να κάνει το θύμα να παρέχει δεδομένα, επομένως ασχολούμαστε συνεχώς με νέες καμπάνιες phishing. Οι εγκληματίες του κυβερνοχώρου δεν απειλούν πάντα με δυσάρεστες συνέπειες. Μια δημοφιλής μέθοδος είναι επίσης η διάδοση της ευαισθητοποίησης μέσω διαφημίσεων που τοποθετούνται σε ιστότοπους και κοινωνικά δίκτυα με ελκυστικά βραβεία, με τη δυνατότητα να κερδίσετε γρήγορα πολλά χρήματα ή ακόμα και να λάβετε κληρονομιά από κάποιον πλέον αποθανόντα Κενυάτη, Αμερικανό ή Σκωτσέζο (διαλέξτε τη χώρα σας) δισεκατομμυριούχο , ποιος είναι ο μακρινός συγγενής σου. Στην τελευταία περίπτωση, εικόνες διάσημων προσωπικοτήτων (φυσικά, χωρίς τη συγκατάθεσή τους) χρησιμοποιούνται συχνά για να πειστούν για την αυθεντικότητα της απάτης.
Ωστόσο, το phishing δεν είναι μόνο η κλοπή προσωπικών δεδομένων απλών χρηστών του Διαδικτύου. Με αυτόν τον τρόπο, οι απατεώνες προσπαθούν ολοένα και περισσότερο να πείσουν τους υπαλλήλους της εταιρείας να τους παρέχουν ένα login και έναν κωδικό πρόσβασης για το εσωτερικό δίκτυο της εταιρείας ή να εγκαταστήσουν κακόβουλο λογισμικό. Θα τους δώσει ανοιχτή πρόσβαση στη βάση δεδομένων της εταιρείας ή του οργανισμού και θα οδηγήσει σε κλοπή διαφόρων πληροφοριών.
Διαβάστε επίσης: 5 απλές συμβουλές: πώς να δημιουργείτε και να διαχειρίζεστε κωδικούς πρόσβασης
Το προαναφερθέν στοχευμένο ηλεκτρονικό ψάρεμα χρησιμοποιείται συχνότερα για συγκεκριμένους σκοπούς. Αυτή η μέθοδος συνίσταται στο γεγονός ότι οι εγκληματίες επιλέγουν ένα συγκεκριμένο άτομο από το προσωπικό της εταιρείας και εστιάζουν την προσοχή τους σε αυτό, αναγκάζοντάς το να παίξει στο γήπεδο του. Οι λογιστές, οι γραμματείς και οι υπάλληλοι που έχουν πρόσβαση στη βάση δεδομένων βρίσκονται σε ζώνη ειδικού κινδύνου. Οι εγκληματίες ξοδεύουν μήνες συλλέγοντας πληροφορίες για αυτό το άτομο και τις χρησιμοποιούν για να κάνουν την απάτη να φαίνεται όσο πιο πιστευτή γίνεται. Μερικές φορές οι απατεώνες προσποιούνται ακόμη και τους επόπτες ή το προσωπικό υποστήριξης, αναγκάζοντας τον χρήστη να εγκαταστήσει κακόβουλο λογισμικό στον υπολογιστή του. Αυτός ο τύπος phishing είναι πιο δύσκολο να αποκρυπτογραφηθεί επειδή είναι εξατομικευμένο, γεγονός που σίγουρα καθιστά πιο δύσκολο τον εντοπισμό των επιτιθέμενων.
Διαβάστε επίσης: Έντουαρντ Σνόουντεν: ποιος είναι και τι είναι γνωστό για αυτόν;
Όλο και περισσότεροι οργανισμοί αντιμετωπίζουν αυτό το πρόβλημα. Ο καλύτερος τρόπος για να ελαχιστοποιηθεί μια τέτοια απειλή εξακολουθεί να είναι η εκπαίδευση και η ενημέρωση των εργαζομένων ώστε να μην γίνονται θύματα εξελιγμένων εγκληματιών. Επί του παρόντος, αυτή είναι η καλύτερη μέθοδος προστασίας από το phishing, καθώς τα προγράμματα προστασίας από ιούς μπορούν μερικές φορές να εντοπίσουν ένα κακόβουλο συνημμένο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή να αποκλείσουν έναν ψεύτικο ιστότοπο, αλλά δεν το κάνουν σε όλες τις περιπτώσεις. Η κοινή λογική και η αρχή της περιορισμένης εμπιστοσύνης είναι τα καλύτερα όπλα για την καταπολέμηση της απάτης.
Πώς να αναγνωρίσετε μηνύματα ηλεκτρονικού ψαρέματος;
Δεν είναι πάντα εύκολο να προβλέψουμε τις ενέργειες των απατεώνων, αλλά αν δεν επιτρέψουμε στον εαυτό μας να βιαστεί και να πλησιάσει ήρεμα κάθε και ιδιαίτερα ύποπτο μήνυμα, ελέγξτε τα διάφορα στοιχεία του, τότε έχουμε πολλές πιθανότητες να μην γίνουμε θύμα phishing. Παρακάτω είναι μερικά παραδείγματα κακόβουλων μηνυμάτων. Θα απαριθμήσουν τα κύρια στοιχεία των επιθέσεων phishing που θα σας βοηθήσουν να τα αναγνωρίσετε.
Δώστε προσοχή στον αποστολέα του μηνύματος
Στις περισσότερες περιπτώσεις, οι απατεώνες δεν κάνουν καμία προσπάθεια να κρύψουν τη διεύθυνση από την οποία προέρχονται τα κακόβουλα μηνύματα ή να μιμηθούν αδέξια έναν αξιόπιστο πάροχο υπηρεσιών. Το συγκεκριμένο παράδειγμα δείχνει ξεκάθαρα ότι το πεδίο "Από" δεν περιέχει διεύθυνση από τον τομέα της τράπεζας, όπως ισχυρίζονται οι εγκληματίες του κυβερνοχώρου. Αντίθετα, μπορείτε να βρείτε τον τομέα *.com.ua ή *.org.ua αντί για *.ua, ο οποίος χρησιμοποιείται από χρηματοπιστωτικά ιδρύματα που δραστηριοποιούνται στην Ουκρανία. Μερικές φορές οι απατεώνες είναι πιο πονηροί και χρησιμοποιούν διευθύνσεις παρόμοιες με τις υπηρεσίες που υποδύονται, αλλά διαφέρουν από την αρχική σε μικρές λεπτομέρειες, όπως το περιεχόμενο της επιστολής ή τους σχολιασμούς τους.
Ελέγξτε τη διεύθυνση της συνδεδεμένης σελίδας
Ιδιαίτερη προσοχή πρέπει να δίνεται στα μηνύματα ηλεκτρονικού ταχυδρομείου στις διευθύνσεις των σελίδων στις οποίες αναφέρονται. Σε αντίθεση με ό,τι φαίνεται, δεν χρειάζεται να κάνετε κλικ πάνω τους για να δείτε πού σας πηγαίνουν. Απλώς τοποθετήστε το δείκτη του ποντικιού πάνω από τον σύνδεσμο και περιμένετε μέχρι το πρόγραμμα περιήγησής σας ή το πρόγραμμα ηλεκτρονικού ταχυδρομείου να εμφανίσει τη διεύθυνση URL που είναι κρυμμένη κάτω από το κείμενο. Ιδιαίτερη προσοχή πρέπει να δοθεί σε ιστότοπους που δεν σχετίζονται με την παρεχόμενη υπηρεσία.
Με την ησυχία σου
Η βιασύνη δεν είναι ποτέ καλός βοηθός. Το ίδιο ισχύει και για την ανάλυση των ληφθέντων μηνυμάτων που έρχονται στην αλληλογραφία μας. Οι εγκληματίες συχνά προσπαθούν να κάνουν τα πιθανά θύματα να βιαστούν και, φυσικά, για να προκαλέσουν κάποιο λάθος. Προσπαθούν να περιορίσουν το χρονικό πλαίσιο της προσφοράς ή της κλήρωσης όταν θα λάβετε το έπαθλο ή την ανταμοιβή σας σε μετρητά.
Σε ορισμένες περιπτώσεις, οι απατεώνες απειλούν ακόμη και να μπλοκάρουν τον λογαριασμό σε οποιαδήποτε υπηρεσία. Μην ξεγελιέστε από αυτό και ελέγχετε πάντα σχολαστικά τα ύποπτα μηνύματα. Να θυμάστε ότι δωρεάν τυρί μπορείτε να βρείτε μόνο στην ποντικοπαγίδα. Επιπλέον, οι διοργανωτές κληρώσεων και προωθητικών ενεργειών είναι απίθανο να αποκλείσουν τον λογαριασμό σας. Χρειάζονται συνδρομητές και θαυμαστές για άλλες προσφορές όπως αυτή.
Το να ζητάς εμπιστευτικά δεδομένα είναι πάντα απάτη
Βασική αρχή ασφάλειας στην ηλεκτρονική επικοινωνία των παρόχων υπηρεσιών και των πελατών τους είναι η μη αποστολή εμπιστευτικών δεδομένων στην αλληλογραφία. Εάν σας ζητηθεί να εισαγάγετε ένα login και έναν κωδικό πρόσβασης για μια υπηρεσία επειδή ο λογαριασμός σας είναι κλειδωμένος ή κάτι παρόμοιο, μπορείτε να είστε σίγουροι ότι το μήνυμα στάλθηκε από εγκληματίες. Ωστόσο, εάν έχετε οποιεσδήποτε αμφιβολίες, επικοινωνήστε με τον παροχέα σας, για παράδειγμα με τον πάροχο τηλεφωνικών υπηρεσιών, ο οποίος θα σας διευκρινίσει τυχόν αμφιβολίες που μπορεί να έχετε. Να θυμάστε ότι ούτε οι τράπεζες, ούτε οι πάροχοι κινητής τηλεφωνίας ή άλλες υπηρεσίες έχουν το δικαίωμα να σας αναγκάσουν να τους στείλετε προσωπικά δεδομένα.
Διαβάστε επίσης: Γιατί στις μέρες μας είναι καλύτερα να μην συνδέεστε στο διαδίκτυο χωρίς VPN
Μεταφραστικές δυσκολίες
Ένα σημαντικό μέρος των εκστρατειών phishing προετοιμάζεται από ξένους εγκληματίες που δεν έχουν ιδέα για τη γλώσσα μας. Χρησιμοποιούν διαδικτυακές υπηρεσίες για να μεταφράσουν το περιεχόμενο των e-mail στα ρωσικά ή στα ουκρανικά, κάτι που συχνά αποδεικνύεται αρκετά αστείο. Τέτοια μηνύματα δεν είναι χωρίς γραμματικά λάθη, στερούνται σημεία στίξης και πολλές λανθασμένα γραμμένες λέξεις. Αν παρατηρήσετε κάτι τέτοιο, μη διστάσετε να διαγράψετε το μήνυμα.
Προσοχή στα συνημμένα
Οι εγκληματίες χρησιμοποιούν επίσης κακόβουλο λογισμικό για να κλέψουν ευαίσθητα δεδομένα ή να χακάρουν υπολογιστές και ολόκληρα δίκτυα. Ο μηχανισμός δράσης είναι ο ίδιος και είναι μια προσπάθεια να πειστεί το θύμα να ανοίξει ένα κακόβουλο δεσμό. Τις περισσότερες φορές, είναι κρυμμένα σε αρχεία ZIP ή RAR και έχουν τη μορφή εκτελέσιμων αρχείων EXE ή BAT. Ωστόσο, κακόβουλος κώδικας μπορεί επίσης να κρυφτεί σε μακροεντολές εγγράφων προγράμματος Microsoft Office ή Google Docs, επομένως θα πρέπει να τα προσέχετε και να τα σαρώσετε με ένα πρόγραμμα προστασίας από ιούς πριν τα εκτελέσετε.
Εάν προσέξετε αυτά τα στοιχεία κατά την ανάλυση ύποπτων μηνυμάτων, πιθανότατα δεν θα εξαπατηθείτε από εγκληματίες.
Πώς να προστατευτείτε από το phishing;
Δυστυχώς, δεν υπάρχει τέτοιο εργαλείο που να εγγυάται υψηλό επίπεδο προστασίας έναντι αυτού του είδους απατεώνων. Για να αποφύγετε το phishing, πρέπει να χρησιμοποιήσετε πολλά στοιχεία. Τα πιο σημαντικά από αυτά είναι η κοινή λογική και η περιορισμένη εμπιστοσύνη σε κάθε μήνυμα. Θυμηθείτε, είμαστε στην πρώτη γραμμή του αγώνα κατά των εγκληματιών και εξαρτάται μόνο από εσάς πόσο αποτελεσματικά μπορείτε να τους αντισταθείτε.
Συνιστώνται επίσης προγράμματα προστασίας από ιούς, παρόλο που δεν θα μπορούν να καταλάβουν εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που προβάλλεται είναι ηλεκτρονικό ψάρεμα. Αλλά θα μπορούν να αποκλείσουν ορισμένες επικίνδυνες τοποθεσίες και συνημμένα. Είμαι βέβαιος ότι το λογισμικό προστασίας από ιούς θα σας βοηθήσει σίγουρα να προστατεύσετε τους υπολογιστές και τα προσωπικά δεδομένα.
Διαβάστε επίσης: 10 καλύτερα προγράμματα για την αποθήκευση κωδικών πρόσβασης
Είναι επίσης σημαντικό να χρησιμοποιείτε ενημερωμένο λογισμικό, ιδιαίτερα λειτουργικά συστήματα, επειδή ανακαλύπτονται συνεχώς νέα τρωτά σημεία και προβλήματα ασφάλειας από τους προγραμματιστές και εξουδετερώνονται. Να θυμάστε ότι μόνο η χρήση των πιο πρόσφατων εκδόσεων του λειτουργικού συστήματος εγγυάται έγκαιρες ενημερώσεις ασφαλείας.
Είναι επίσης καλή πρακτική η χρήση επαλήθευσης σε δύο βήματα της ταυτότητας του χρήστη σε υπηρεσίες web. Χρησιμοποιείται ευρέως στην ηλεκτρονική τραπεζική, αλλά είναι διαθέσιμο σε έναν αυξανόμενο αριθμό υπηρεσιών και ιστοσελίδων. Η επαλήθευση δύο βημάτων (ή δύο συστατικών) συνίσταται στην εισαγωγή ενός πρόσθετου κωδικού εκτός από τον παραδοσιακό κωδικό πρόσβασης και τη σύνδεση
Ο κωδικός σύνδεσης μπορεί να σας σταλεί μέσω email, SMS ή να δημιουργηθεί από μια εφαρμογή που παρέχεται από τον πάροχο υπηρεσιών σας. Υπάρχουν επίσης εφαρμογές τρίτων που σας επιτρέπουν να συνδέετε λογαριασμούς με πολλούς ιστότοπους και να δημιουργείτε κωδικούς σε ένα μέρος, για παράδειγμα, στο smartphone σας.
Ωστόσο, η πιο βολική μορφή επαλήθευσης σε δύο βήματα είναι τα φυσικά κλειδιά ασφαλείας U2F, τα οποία εξαλείφουν την ανάγκη εγγραφής κωδικών πρόσβασης και κωδικών σε ένα σημειωματάριο. Απλώς τοποθετήστε το κλειδί στη θύρα USB του υπολογιστή, επικοινωνώντας με τις υποστηριζόμενες υπηρεσίες για εξουσιοδότηση.
Το ηλεκτρονικό ψάρεμα (phishing) είναι μια τεράστια απειλή γιατί, σύμφωνα με ορισμένες μελέτες, δεν είναι μόνο ο λόγος για τον οποίο πολλοί χρήστες χάνουν χρήματα, αλλά και ο κύριος λόγος για τη διαρροή των εταιρικών δεδομένων. Ωστόσο, όπως δείξαμε σε αυτό το άρθρο, στις περισσότερες περιπτώσεις οι προθέσεις των κυβερνοεγκληματιών είναι εύκολο να αναγνωριστούν και να αποτραπούν.
Διαβάστε επίσης: Google Chrome για κινητά σε στεροειδή: ενεργοποιήστε 5 κρυφές λειτουργίες
