Ενημέρωση περί ηλεκτρονικού «ψαρέματος» (phishing)

Σκοπός αυτού του κειμένου είναι η σωστή ενημέρωση για αποφυγή διαδυκτιακής απάτης, η οποία χρησιμοποιεί την τεχνική του «ψαρέματος» (phishing). Πρόσφατα παρατηρήθηκε μεγάλος αριθμός προσπαθειών απάτης δια μέσου αυτής της οδού όπου κακόβουλοι hackers κατάφεραν να αποσπάσουν χρηματικά ποσά από χρήστες. Στο τέλος παραθέτουμε συμβουλής για αποφυγή αυτής της απάτης.

Η μέθοδος του phishing είναι ένα είδος διαδικτυακής απάτης η οποία έχει σκοπό την απόσπαση προσωπικών δεδομένων (π.χ passwords, αριθμούς πιστωτικών καρτών κτλ). Εκτελείται συνήθως είτε με τη χρήση μηνύματος μέσω ηλεκτρονικού ταχυδρομείου είτε μέσω κακόβουλης ιστοσελίδας. Σε όλες τις περιπτώσεις ο αποστολέας προσπαθεί να φαίνεται ότι αποτελεί αξιόπιστη πηγή και να παραπλανήσει το χρήστη. 

Η επιτυχία της συγκεκριμένης απάτης βασίζεται στον πιο αδύναμο κρίκο στα μέτρα ασφαλείας ενός συστήματος, ο οποίος είναι ο άνθρωπος. Η μέθοδος αυτή παρουσιάζει μεγάλα ποσοστά επιτυχίας λόγω της μη σωστής ενημέρωσης των κινδύνων του διαδικτύου και λόγω του ότι οι άνθρωποι εμπιστεύονται σχετικά εύκολα ότι φαίνεται να προέρχεται από μια «αξιόπιστη» πηγή. 

Για τους λόγους αυτούς ακριβώς οι «phishers» στα μηνύματα τους ή στο περιεχόμενο της ιστοσελίδας που παραπέμπουν το χρήση, χρησιμοποιούν λέξεις που εμπνέουν εμπιστοσύνη (π.χ security, verify, maintenance), καθώς και ονόματα γνωστών οργανισμών ή εταιρειών. 

Στο Σχήμα 1 βλέπουμε ένα e-mail στο οποίο υπάρχει περιεχόμενο σχετικό με την εταιρεία Google και ειδοποιεί το χρήστη ότι λόγω κάποιων προβλημάτων πρέπει να επαληθεύσει ξανά το λογαριασμό τους πατώντας στο link Verify your Account. Πατώντας σε αυτό το link ο χρήστης παραπέμπεται σε άλλη ιστοσελίδα (Σχήμα 2) η οποία του ζητάει να πληκτρολογήσει ξανά τους κωδικούς ασφαλείας. Εξετάζοντας το e-mail account του αποστολέα μπορούμε να δούμε ότι δεν προέρχεται από την συγκεκριμένη εταιρεία. 

   
Σχήμα 1: Google Account Phishing Scam

Στο Σχήμα 2 παρατηρούμε δύο πράγματα τα οποία μας βοηθούν να καταλάβουμε ότι η ιστοσελίδα δεν είναι αληθής. Πρώτα απ’ όλα, το όνομα της ιστοσελίδας είναι http://mail-go0gle.com/ αντί https://mail.google.com. Εκτός από το διαφορετικό όνομα πρέπει να παρατηρούμε αν το πρωτόκολλο ασφαλείας που χρησιμοποιεί η ιστοσελίδα είναι ασφαλές και αυτό γίνεται με το να παρατηρήσουμε αν υπάρχει s δίπλα από το https (SSL/TLS protocol – ασφαλής κρυπτογράφηση δεδομένων) και αν υπάρχει εικονίδιο με λουκέτο χρώματος πράσινου (Extended Validation - EV) δίπλα στο όνομα του URL. Το λουκέτο ασφαλείας επιβεβαιώνει πώς ο ιδιοκτήτης της ιστοσελίδας έχει περάσει τους προκαθορισμένους ελέγχους σύμφωνα με τα προκαθορισμένα πρότυπα ασφαλείας και έχει πιστοποιηθεί η ταυτότητα του. Αυτά τα χαρακτηριστικά πρέπει να υπάρχουν σε κάθε ιστοσελίδα η οποία ζητά την πληκτρολόγηση προσωπικών δεδομένων. 

 
Σχήμα 2: Fail Google G-mail page

‘Όταν ο χρήσης πέσει στην παγίδα και πληκτρολογήσει τους κωδικούς του σε αυτή την ιστοσελίδα, τότε σε αυτή την περίπτωση ο κακόβουλος hacker έχει ανακτήσει τον πλήρης έλεγχο του ηλεκτρονικού ταχυδρομείου του χρήστη. Κατά συνέπεια μπορεί να κλέψει κάθε συνομιλία η οποία μπορεί να περιέχει για παράδειγμα πληροφορίες για ηλεκτρονικές συναλλαγές.

Συμβουλές αποφυγής απάτης τύπου phishing:

1.    Να ελέγχεται πάντα το e-mail του αποστολέα και κυρίως το domain (αυτό που αναγράφεται μετά το @).
2.    Αποφεύγετε να ανοίγετε αρχεία τα οποία είναι αναρτημένα σε περίεργα e-mails.
3.    Να ελέγχετε προσεκτικά το όνομα του URL στο οποίο παραπέμπεστε.
4.    Εισάγετε προσωπικές πληροφορίες ΜΟΝΟ σε μια ασφαλή ιστοσελίδα. 

Μια ιστοσελίδα είναι ασφαλής αν η διεύθυνση URL αρχίζει με https:// και αν εμφανίζεται το εικονίδιο λουκέτου. Κάντε κλίκ στο λουκέτο για να ελέξετε το πιστοποιητικό ασφαλείας και αν οι αναγραφόμενες πληροφορίες συνάδουν με την ιστοσελίδα.

5.    Ποτέ μην ολοκληρώσετε μια αίτηση η οποία έρχεται ξαφνικά στο ηλεκτρονικό σας ταχυδρομείο και σας ζητεί προσωπικές πληροφορίες.

6.    Παρατηρήστε αναλυτικά την ιστοσελίδα που επισκέφθεστε αν υπάρχουν εμφανή λάθη, όπως ορθογραφικά ή φαίνεται διαφορετική απο τις προηγούμενες φορές.
7.    Μην κάνετε κλίκ σε συνδέσμους που ζητούν προσωπικά στοιχεία. Πληκτρολογήστε την αυθεντική ιστοσελίδα αντί του να κάνετε κλικ σε σύνδεσμο.
8.    Βεβαιωθείτε ότι ο browser σας έχει λάβει τα τελευταία updates.
9.    Χρησιμοποιείτε λογισμικό antivirus και να το κάνετε συχνά update για να λαμβάνει την τελευταία ενημέρωση σχετικά με νέα κακόβουλα λογισμικά.