Phishing

CYBER ALERT - DEMO S.A.

ΤΙ ΕΙΝΑΙ ΤΟ PHISHING;

Αναλυτικό άρθρο για τη κατανόηση και τη προφύλαξη ενάντια στο Phishing.

ΚΑΤΑΝΟΗΣΗ

Το ηλεκτρονικό "ψάρεμα" (ή Phishing) είναι μια μορφή επίθεσης κοινωνικής μηχανικής, στην οποία ο εγκληματίας μιμείται μια αξιόπιστη οντότητα, ζητώντας από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες.

Έχετε ποτέ λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου, κείμενο ή άλλη μορφή ηλεκτρονικής επικοινωνίας που φαίνεται να προέρχεται από τράπεζα ή κάποια άλλη δημοφιλή ηλεκτρονική υπηρεσία που σας ζητά τα διαπιστευτήρια σας, έναν αριθμό πιστωτικής κάρτας ή άλλες ευαίσθητες πληροφορίες; Αν ναι, τότε γνωρίζετε πώς μοιάζουν οι επιθέσεις phishing.

Αυτή η τεχνική χρησιμοποιείται για την απόκτηση πληροφοριών οι οποίες κατόπιν θα πουληθούν ή θα αξιοποιηθούν από τους επιτιθέμενους για εκβιασμό, κλοπή χρημάτων, ή υποκλοπή ταυτότητας.

Η ιδέα του Phishing αναφέρθηκε για πρώτη φορά το 1987 από τους Jerry Felix και Chris Hauck στη δημοσίευσή τους "Security System: A Hacker's Perspective" (1987 Interex Proceedings 1: 6). Στην εργασία αυτή αναλύθηκε η τεχνική ενός εισβολέα που μιμείται μια αξιόπιστη οντότητα ή υπηρεσία. Η ίδια η λέξη είναι ένα ομόηχο της λέξης fishing που σημαίνει "αλιεία" καθώς χρησιμοποιείται η ίδια λογική του "δολώματος-αλίευσης". Το Ph στη λέξη, είναι μια αναφορά στους "phreaks", μια ομάδα hackers που πειραματίστηκαν και διερεύνησαν παράνομα τα όρια των τηλεπικοινωνιακών συστημάτων στη δεκαετία του 1990.

ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ ΤΟ ΗΛΕΚΤΡΟΝΙΚΟ "ΨΑΡΕΜΑ";

Το ηλεκτρονικό ψάρεμα έχει παρουσία πολλών ετών και οι κυβερνοεγκληματίες έχουν αναπτύξει μια μεγάλη γκάμα μεθόδων επίθεσης.

Η πιο κοινή τεχνική ηλεκτρονικού "ψαρέματος" είναι να μιμηθεί κάποιος μια τράπεζα ή ένα χρηματοπιστωτικό ίδρυμα μέσω ηλεκτρονικού ταχυδρομείου, SMS ή τηλεφωνικής κλήσης προκαλώντας το θύμα να συμπληρώσει τα στοιχεία του λογαριασμού του σε μια ψεύτικη φόρμα μέσα στο κείμενο του μηνύματος, σε ένα επισυναπτόμενο αρχείο, ή παραπέμποντάς τον σε μια ιστοσελίδα.

Στο παρελθόν τα λανθασμένα domain names χρησιμοποιούταν συχνά για τον σκοπό αυτό. Σήμερα, οι επιτιθέμενοι χρησιμοποιούν πιο εξελιγμένες μεθόδους κάνοντας τους συνδέσμους και τις ψεύτικες σελίδες να μοιάζουν πολύ με τους νόμιμους ομολόγους τους.

ΠΩς να αναγνωρΙσετε το phishing

Ένα email, ένα ηλεκτρονικό μήνυμα ή ένα SMS μπορεί να περιέχει επίσημα λογότυπα ή άλλες αναφορές ενός αξιόπιστου οργανισμού και παρόλα αυτά να εξακολουθεί να προέρχεται από phishers. Παρακάτω παραθέτουμε μερικές συμβουλές που μπορούν να σας βοηθήσουν να εντοπίσετε ένα μήνυμα ηλεκτρονικού "ψαρέματος".

Στοιχεία:

Χαιρετισμος

Εάν ένα μήνυμα περιέχει γενικούς ή ανεπίσημους χαιρετισμούς ή στερείτε εξατομίκευσης (π.χ. "Αγαπητέ πελάτη") και επισημότητας, τότε θα πρέπει να υποψιαστείτε ότι κάτι πάει στραβά. Το ίδιο ισχύει και για την ψευδό-εξατομίκευση χρησιμοποιώντας τυχαίους ή ψευδείς αριθμούς αναφοράς.

ενα αιτημα για καταχωρηση προσωπικων πληροφοριων

Μια συχνή μέθοδος των phishers, που συνήθως αποφεύγεται από τις τράπεζες, τα χρηματοπιστωτικά ιδρύματα και τις περισσότερες online υπηρεσίες.

Συνταξη & ορθογραφια

Τα ορθογραφικά, τα συντακτικά λάθη και οι ασυνήθιστες φράσεις συχνά υποδεικνύουν ένα ψεύτικο μήνυμα. Ωστόσο, η απουσία οποιουδήποτε από αυτά δεν αποτελεί απόδειξη νομιμότητας.

Απροσδοκητη αλληλογραφια

Η ανεπιθύμητη επικοινωνία από μια τράπεζα ή από έναν παροχέα υπηρεσιών είναι εξαιρετικά ασυνήθιστη και επομένως ύποπτη.

Αισθηση επειγουσας αναγκης

Τα μηνύματα ηλεκτρονικού "ψαρέματος" προσπαθούν συχνά να προκαλέσουν ταχείες ενέργειες.

ΠΟΛΥ ΚΑΛΟ ΓΙΑ ΝΑ ΕΙΝΑΙ ΑΛΗΘΙΝΟ

Μια προσφορά που δεν μπορείτε να αρνηθείτε; - Εάν το μήνυμα ακούγεται πολύ καλό για να είναι αλήθεια, είναι σχεδόν βέβαιο ότι δεν είναι.

υποπτη διευθυνση διακομιστη

Θα σας έστελνε ποτέ μια αμερικανική ή γερμανική τράπεζα ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα κινεζικό domain;

Πως να προστατευτειτε απο το ηλεκτρονικο ψαρεμα

Για να αποφύγετε το δόλωμα, πρέπει να γνωρίζετε τις παρακάτω ενδείξεις με τις οποίες τα μηνύματα ηλεκτρονικού "ψαρέματος" συχνά προδίδονται.

Βήματα:

Κατανοηστε τις νεες τεχνικες ηλεκτρονικου "ψαρεματος"

Παρακολουθήστε τα μέσα μαζικής ενημέρωσης για αναφορές επίθεσης phishing, καθώς οι επιτιθέμενοι ενδέχεται να ανακαλύψουν νέες τεχνικές για να προσελκύσουν τους χρήστες σε παγίδες.

Μην δινετε τα προσωπικα σας στοιχεια

Να είστε πάντοτε σε επαγρύπνηση εάν ένα ηλεκτρονικό μήνυμα από μια φαινομενικά αξιόπιστη πηγή ζητά τα διαπιστευτήριά σας ή άλλες ευαίσθητες λεπτομέρειες. Εάν είναι απαραίτητο, επαληθεύστε τα περιεχόμενα του μηνύματος με τον αποστολέα ή τον οργανισμό που φαινομενικά αντιπροσωπεύει (χρησιμοποιώντας στοιχεία επικοινωνίας που είναι γνωστά ως αυθεντικά αντί για λεπτομέρειες που δίνονται στο μήνυμα)

Σκεφτειτε το ξανα προτου κΑνετε κλικ

Εάν ένα ύποπτο μήνυμα περιέχει σύνδεσμο ή συνημμένο αρχείο, μην κάνετε κλικ ή πραγματοποιήσετε λήψη. Κάτι τέτοιο μπορεί να σας οδηγήσει σε έναν κακόβουλο ιστότοπο ή να μολύνει τη συσκευή σας με κακόβουλο λογισμικό

ΕλΕγχετε τακτικΑ τους λογαριασμοΥς σας στο διαδΙκτυο

Για καλό και για κακό, ακόμη και αν δεν υποψιάζεστε ότι κάποιος προσπαθεί να κλέψει τα διαπιστευτήριά σας, ελέγξτε τους τραπεζικούς και άλλους online λογαριασμούς σας για ύποπτη δραστηριότητα

ΣημαντικΑ παραδεΙγματα

Το 1995, ξεκίνησε το συστηματικό phishing στο δίκτυο America Online (AOL). Για να υποκλέψουν νόμιμα διαπιστευτήρια λογαριασμών, οι επιτιθέμενοι έρχονταν σε επαφή με τα θύματά τους μέσω του AOL Instant Messenger (AIM), συχνά προσποιούμενοι ότι ήταν υπάλληλοι της AOL που επαλήθευαν τους κωδικούς πρόσβασης των χρηστών. Ο όρος "phishing" εμφανίστηκε σε μια ομάδα συζήτησης του Usenet που επικεντρώθηκε σε ένα εργαλείο που ονομαζόταν AOHell, το οποίο αυτοματοποιούσε αυτή τη μέθοδο.

Από τη στιγμή που η AOL εισήγαγε αντίμετρα το 1997, οι επιτιθέμενοι συνειδητοποίησαν ότι θα μπορούσαν να χρησιμοποιήσουν την ίδια τεχνική αλλού στο internet - και να προχωρήσουν σε πλαστοπροσωπία χρηματοπιστωτικών ιδρυμάτων.

__________________________

Μια από τις πρώτες μεγάλες, αν και αποτυχημένες, προσπάθειες συνέβη το 2001, εκμεταλλευόμενη το χάος των τρομοκρατικών επιθέσεων της 9ης Σεπτεμβρίου. Στην περίπτωση εκείνη, οι phishers απέστειλαν μηνύματα ηλεκτρονικού ταχυδρομείου ζητώντας να διενεργήσουν έλεγχο ταυτότητας. Ο απώτερος σκοπός τους ήταν να αποσπάσουν προσωπικά δεδομένα και στη συνέχεια να τα χρησιμοποιήσουν για να υποκλέψουν οικονομικά στοιχεία από την υπηρεσία ηλεκτρονικών συναλλαγών e-gold.

Χρειάστηκαν άλλα τρία χρόνια για να αποκτήσει το phishing σταθερή θέση στον ηλεκτρονικό κόσμο και μέχρι το 2005 είχε ήδη κοστίσει τους χρήστες των ΗΠΑ πάνω από 900 εκατομμύρια δολάρια.

Σύμφωνα με την έρευνα APWG Global Phishing πάνω από 250.000 μοναδικές επιθέσεις phishing παρατηρήθηκαν το 2016, χρησιμοποιώντας τον αριθμό ρεκόρ 95.000 κακόβουλων καταχωρημένων domain names. Τα τελευταία χρόνια, οι phishers τείνουν να επικεντρώνονται στις τραπεζικές, οικονομικές και χρηματικές υπηρεσίες, στους πελάτες του ηλεκτρονικού εμπορίου και στα διαπιστευτήρια κοινωνικών δικτύων και ηλεκτρονικού ταχυδρομείου.