ΑρχικήΤι είναιΤι είναι Phishing (ηλεκτρονικό ψάρεμα) και οι τύποι απάτης
Τι είναι

Τι είναι Phishing (ηλεκτρονικό ψάρεμα) και οι τύποι απάτης

Στέλιος Θεοδωρίδης
By Στέλιος Θεοδωρίδης
0
808
Τι είναι Phishing (ηλεκτρονικό ψάρεμα) και οι τύποι απάτης

Στο παρόν άρθρο θα σας εξηγήσουμε αναλυτικά τι είναι το Phishing και τους τύπους απάτης που είθισται να εφαρμόζονται για να υλοποιηθεί αυτός ο κακόβουλος σκοπός από τους απατεώνες.

Τι είναι Phishing

Το Phishing (ελληινικά ηλεκτρονικό ψάρεμα) είναι ένα όρος που χρησιμοποιείται για να περιγράψει ένα σύνολο τεχνικών που εφαρμόζονται για να εξαπατήσουν ένα θύμα κερδίζοντας την εμπιστοσύνη του, και πιο αναλυτικά, παριστάνοντας ένα αξιόπιστο άτομο, εταιρεία ή οργανισμό (χρησιμοποιώντας μεθόδους πλαστογραφίας) για να το χειραγωγήσουν και να το κάνουν να εκτελέσει ενέργειες που θα τον παγιδεύσουν (για παράδειγμα, να αποκαλύψει ευαίσθητες και εμπιστευτικές πληροφορίες με απώτερο σκοπό οι απατεώνες να τις χρησιμοποιήσουν προκειμένου να του κλέψουν χρήματα μέσω της πιστωτικής του κάρτας κ.λπ).

Για να πραγματοποιηθεί η εξαπάτηση, μεταξύ άλλων, χρησιμοποιείται συνήθως και η κοινωνική μηχανική, εκμεταλλευόμενη τις κοινωνικές ευαισθησίες των ανθρώπων, όπως η παροχή βοήθειας μέσω οικονομικής υποστήριξης.

Σημαντική σημείωση: Ένα άτομο που ασκεί την τεχνική του phishing ονομάζεται phisher.

Επίσης, μπορεί ο Phisher να εκμεταλλευτεί το θύμα, εκμεταλλευόμενος την εγγενή ματαιοδοξία του ή την ανάγκη του για αναγνώριση ή την αγωνία του για εύρεση εργασίας και αυτός ο σκοπός μπορεί να επιτευχθεί, για παράδειγμα με την χρήση ψεύτικων και παγιδευμένων email ή με την εμφάνιση διαφημίσεων στο θύμα που του λέει ότι κέρδισε ένα βραβείο και ότι πρέπει να ακολουθήσει έναν σύνδεσμο για να το λάβει, ή μπορεί να πρόκειται για ψευδείς υποσχέσεις (δόλωμα).

Αξίζει να σημειωθεί πως μερικές φορές οι Phishers εφαρμόζουν μεθόδους και διαδικασίες που χρησιμοποιούν οι χάκερ ώστε να αποσπάσουν τις πολυπόθητες ευαίσθητες πληροφορίες που χρειάζονται για να εξαπατήσουν το θύμα. Συνήθως ο στόχος είναι η κλοπή πληροφοριών, αλλά κάποιες φορές είναι και η εγκατάσταση κακόβουλου λογισμικού, η υπονόμευση υπολογιστικών συστημάτων ή η κλοπή χρημάτων μέσω απάτης.

Δεδομένου του αυξανόμενου αριθμού αναφερόμενων περιστατικών που σχετίζονται με το phishing, έχει ως αποτέλεσμα να αποτελεί πλέον μάστιγα στη σημερινή εποχή και σαφώς απαιτούνται πρόσθετες μεθόδους προστασίας, πέρα από κάποιο απλό antivirus. Μάλιστα σχεδόν οι περισσότερες χώρες του δυτικού πολιτισμού έχουν καταβάλει τεράστιες προσπάθειες ώστε να αποτρέψουν αυτό το φαινόμενο, δημιουργώντας καινούριους και αναθεωρημένους νόμους που τιμωρούν αυστηρά την πρακτική, όπως και εκστρατείες για την ενημέρωση των χρηστών ώστε να προστατευτούν από αυτού του είδους την απάτη.

Παράδειγμα Phishing

Παρακάτω θα σας περιγράψουμε μια συνήθης τακτική που χρησιμοποιούν οι απατεώνες προκειμένου να ξεγελάσουν το θύμα, και η κατάσταση έχει ως εξής:

  • Ένα άτομο λαμβάνει ένα email από την τράπεζα του (για παράδειγμα από την Money Bank).
  • Το email φαίνεται να αποστέλλεται όντως από την Money Bank), με το λογότυπο της ενσωματωμένο στο email.
  • Το μήνυμα ηλεκτρονικού ταχυδρομείου εξηγεί πώς υπάρχει ένα επείγον ζήτημα με τον λογαριασμό του ατόμου, δίνοντας του εντολή να κάνει κλικ σε έναν σύνδεσμο για να αντιμετωπίσει το θέμα αυτήν τη στιγμή.
  • Μόλις το άτομο κάνει κλικ στον σύνδεσμο, μεταφέρεται σε μια πλαστή ιστοσελίδα που μιμείται αυτήν της Money Bank.
  • Εν αγνοία του, το άτομο εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του για να εισέλθει στον ιστότοπο.

Σε αυτό το παράδειγμα, εφόσον το κόλπο έχει πραγματοποιηθεί με επιτυχία, ο απατεώνας έχει συλλέξει τα τραπεζικά διαπιστευτήρια του ατόμου. Επιπλέον, το θύμα με την επίσκεψη του στον πλαστό ιστότοπο της υποτιθέμενης Τράπεζας, ενδέχεται να έχει κατεβάσει εν αγνοία του κακόβουλο λογισμικό στον υπολογιστή του, το οποίο τον παρακολουθεί και συλλέγει άλλα δεδομένα, και έπειτα αυτά αποστέλλονται στον απατεώνα.

Τεχνικές και τύποι phishing

Οι επιθέσεις ηλεκτρονικού ψαρέματος μπορούν να ταξινομηθούν ανάλογα με τον στόχο κατά του οποίου στρέφεται ο επιτιθέμενος, όπως και με το σκοπό που αποσκοπεί η απάτη, τα μέσα που χρησιμοποιούνται ή ανάλογα με τον τρόπο λειτουργίας. Μια συγκεκριμένη τακτική ενδεχομένως μπορεί να ανήκει σε πολλούς τύπους ταυτόχρονα. Επί του παρόντος, έχουν καταμετρηθεί περισσότερες από 10.000 μορφές phishing. ​Οι πιο συχνοί τύποι επιθέσεων phishing είναι οι εξής:

Παραδοσιακό phishing

Το συναντάς συνήθως όταν διεξάγεται μαζική αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ή και σε ορισμένες περιπτώσεις μεμονωμένα προς τους ανυποψίαστους χρήστες. Αυτά τα email υποτίθεται ότι προέρχονται από αξιόπιστες επιχειρηματικές οντότητες (π.χ. τράπεζες) και επιδιώκουν να εξαπατήσουν τον χρήστη και να λάβουν πληροφορίες. Για παράδειγμα, στο μήνυμα περιλαμβάνονται σύνδεσμοι προς κακόβουλα domain names. Για να καμουφλάρουν αυτούς τους συνδέσμους, συνήθως το κείμενο του συνδέσμου είναι κανονικό, αλλά το URL διαφορετικό από αυτό που ισχυρίζεται ότι είναι, έτσι ο ίδιος ο σύνδεσμος οδηγεί τελικά προς τον κακόβουλο ιστότοπο.

Vishing

Είναι παρόμοιο με το παραδοσιακό phishing, αλλά η εξαπάτηση συμβαίνει μέσω τηλεφωνικής κλήσης. Ο όρος προέρχεται από την ένωση δύο αγγλικών λέξεων: ”voice” και ”phishing”. Ένα τυπικό παράδειγμα χρήσης αυτής της τεχνικής είναι όταν ένας κυβερνοεγκληματίας έχει ήδη κλέψει εμπιστευτικές πληροφορίες μέσω μιας επίθεσης phishing, αλλά χρειάζεται τον κωδικό που αποστέλλεται μέσω SMS ή το ψηφιακό διακριτικό για να πραγματοποιήσει και να επικυρώσει την συναλλαγή. Τότε είναι που ο κυβερνοεγκληματίας καλεί τον πελάτη τηλεφωνικά, προσδιορίζοντας τον εαυτό του ως τραπεζικό υπάλληλο και, με ιδιαίτερα ανησυχητικά λόγια, προσπαθεί να πείσει τον πελάτη να αποκαλύψει τον κωδικό που υπάρχει μέσα στο SMS ή του ψηφιακού διακριτικού του, που είναι απαραίτητα για την εξουσιοδότηση της συναλλαγής.

Qrishing

Επί της ουσίας πρόκειται για phishing μέσω κωδικών QR που το συναντάς όταν ο Phisher επιδιώκει να αποκτήσει το QR Code μέσω της χειραγώγησης και της εξαπάτησης των θυμάτων, χρησιμοποιώντας την κοινή τακτική της πλαστογραφίας μιας ιστοσελίδας ή της εφαρμογής ώστε να μπορέσει να σαρώσει τον πολυπόθητο κώδικα που θα του επιτρέψει να πραγματοποιήσει την συναλλαγή. Με λίγα λόγια κατευθύνει τον χρήστη σε μέσω ενός δόλιου συνδέσμου σε μία ψεύτικη σελίδα και εκεί του ζητάει με διάφορους τρόπους να φανερώσει τον κώδικα.

Smishing (SMS phishing)

Είναι παρόμοιο με το παραδοσιακό phishing, αλλά η εξαπάτηση συμβαίνει μέσω μηνυμάτων κειμένου από έξυπνο κινητό τηλέφωνο, με τη χρήση είτε SMS, είτε μέσω άμεσων μηνυμάτων (όπως μέσα από το WhatsApp, το Viber κ.λπ) . Χαρακτηριστικό παράδειγμα αυτής της τεχνικής είναι όταν ο πελάτης λαμβάνει ένα γραπτό μήνυμα από κάποια υποτιθέμενη υπηρεσία, όπου ο αποστολέας προσποιείται ότι είναι εκπρόσωπος της εταιρείας (για παράδειγμα από το τάδε χρηματοπιστωτικό Ίδρυμα) και ενημερώνεται ότι έχει γίνει μια ύποπτη αγορά με την πιστωτική του κάρτα και πρέπει να πατήσεις στο link που υπάρχει στο μήνυμα προκειμένου να μπει στο λογαριασμό του, αλλά τελικά οδηγείται σε ψεύτικη σελίδα και τα διαπιστευτήρια που εισάγει τελικά βρίσκονται στην κατοχή των απατεώνων.

URL Phishing

Εδώ ο Phisher προσπαθεί να ξεγελάσει τον χρήστη χρησιμοποιώντας τη διεύθυνση URL ενός κακόβουλου ιστότοπου που μοιάζει με αξιόπιστη τοποθεσία. Μερικές φορές γίνεται ακόμη και με ακούσια πρόσβαση σε αυτές τις διαδικτυακές τοποθεσίες, πληκτρολογώντας λάθος το εκάστοτε domain name που οπτικά είναι πολύ κοντά στον νόμιμο ή ακολουθώντας έναν κακόβουλο σύνδεσμο που φαίνεται να μοιάζει ότι είναι το κανονικό ή με δόλιο τρόπο, χρησιμοποιώντας δύσκολα ανιχνεύσιμους χαρακτήρες unicode που διακρίνονται πολύ δύσκολα, ειδικά σε κινητά συσκευές με χαμηλή ανάλυση οθόνης.

Για παράδειγμα μέσα στους λατινικούς χαρακτήρες ενός domain name, υπάρχει παύλα ή το ελληνικό γράμμα Όμικρον, «ο», αντί για το λατινικό και έτσι οπτικά είναι πολύ εύκολο να μπερδευτεί ο οποιοσδήποτε άνθρωπος που δεν έχει τις απαιτούμενες τεχνικές γνώσεις.

Whaling

Η συγκεκριμένη πρακτική διαφέρει από τους υπόλοιπους τύπους ηλεκτρονικού ψαρέματος, με το σκεπτικό ότι στοχεύει σε σημαντικά άτομα που κατέχουν θέσεις κλειδιά σε μία επιχειρηματική οντότητα, όπως υψηλόβαθμα στελέχη σε μία πολυεθνική εταιρεία. Τα αιτήματα για την απόσπαση πληροφοριών που περιέχονται σε τούτη την επίθεση είναι ειδικά προσαρμοσμένα για το συγκεκριμένο άτομο. Για παράδειγμα, το αίτημα που υποβάλλεται στο υποψήφιο θύμα μπορεί να περιλαμβάνει πρόσκληση για να μπει σε μία διαδικτυακή τοποθεσία, παράπονα πελατών, αιτήματα τραπεζικού εμβάσματος ή άλλα αιτήματα που σχετίζονται με συγκεκριμένες οικονομικές συναλλαγές. Το ανυποψίαστο άτομο-στόχος μπορεί να παρασυρθεί και να αποκαλύψει ευαίσθητες πληροφορίες ή άλλα πολύτιμα δεδομένα στα οποία μόνο λίγα άτομα έχουν πρόσβαση.

Business Email Compromise (BEC)

Αυτή η μέθοδος διεξάγεται με τη χρήση email για την ανάπτυξη τακτικών κοινωνικής μηχανικής και την εξαπάτηση ανυποψίαστων υπαλλήλων. Οι πιο κοινές και συγκεκριμένες μορφές αυτού του τύπου επίθεσης είναι:

CEO Fraud

Το συναντάς όταν Phisher υποδύεται το διευθύνοντα σύμβουλο ή άλλο υψηλόβαθμο στέλεχος που επικοινωνεί με έναν υφιστάμενο υπάλληλο που βρίσκεται χαμηλά στην ιεραρχία της εταιρείας για να τον πείσει να εκτελέσει ορισμένες ενέργειες. Για να πραγματοποιηθεί αυτό το είδος επίθεσης, μπορεί προηγουμένως ο απατεώνας να έχει συλλέξει σχετικές πληροφορίες, έτσι ώστε το αίτημα να φαίνεται όσο το δυνατόν πιο νόμιμο. Επομένως, ο εισβολέας μπορεί να συνδυάσει τις διάφορες τεχνικές του phishing και της κοινωνικής μηχανικής.

Παραβίαση λογαριασμού

Ο λογαριασμός email ενός στελέχους ή ενός υπαλλήλου παραβιάζεται και χρησιμοποιείται για να ζητήσει πληρωμές από προμηθευτές που αναφέρονται στις επαφές ηλεκτρονικού ταχυδρομείου τους. Οι πληρωμές αποστέλλονται σε δόλιους τραπεζικούς λογαριασμούς.

Πλαστοπροσωπία δικηγόρων

Ο δράστης προσποιείται ότι είναι δικηγόρος ή κάποιος από το δικηγορικό γραφείο που υποτίθεται ότι είναι υπεύθυνος για κρίσιμα και εμπιστευτικά θέματα της εταιρείας. Συνήθως, τέτοια πλαστά αιτήματα υποβάλλονται μέσω email ή τηλεφώνου και πάντα στο τέλος της εργάσιμης ημέρας.

Bogus Invoice Scheme

Ο εισβολέας προσποιείται ότι είναι πωλητής που ζητά μεταφορά κεφαλαίων για πληρωμές σε έναν λογαριασμό που ελέγχει ο εισβολέας. Πρόκειται για μία πάγια τακτική για εταιρείες που συνεργάζονται με προμηθευτές από ξένες χώρες.

Κλοπή δεδομένων

Στοχεύει σε χαμηλόβαθμους υπαλλήλους που συνήθως βρίσκονται σε κρίσιμα τμήματα, όπως το λογιστήριο της εταιρείας, για την κλοπή ευαίσθητων δεδομένων από συναδέλφους και στελέχη που εργάζονται στην ίδια επιχειρηματική οντότητα. Τέτοια δεδομένα μπορούν να χρησιμοποιηθούν για μελλοντικές επιθέσεις.

Spear Phishing

Ο στόχος που ο επιτιθέμενος θέλει να εξαπατήσει είναι ένα συγκεκριμένο άτομο ή υπάλληλος μιας συγκεκριμένης εταιρείας. Για να γίνει αυτό, οι εγκληματίες του κυβερνοχώρου συλλέγουν σχολαστικά πληροφορίες για το θύμα για να κερδίσουν την εμπιστοσύνη τους. Ένα καλοφτιαγμένο κακόβουλο spear email phishing (συνήθως περιέχει έναν σύνδεσμο προς έναν κακόβουλο ιστότοπο ή ένα κακόβουλο συνημμένο) είναι πολύ δύσκολο να διακριθεί από ένα κανονικό και νόμιμο, επομένως είναι πιο εύκολο να πιαστεί το θήραμα στην παγίδα.

Το Spear phishing είναι ένα χρήσιμο εργαλείο για τους επιτιθέμενους που χρησιμοποιείται σε επιθέσεις προς εταιρείες, τράπεζες ή άτομα με επιρροή και είναι η πιο χρησιμοποιούμενη μέθοδος μόλυνσης σε εκστρατείες APT. Οι στόχοι αυτού του τύπου επίθεσης είναι τόσο τα ανώτερα στελέχη με πρόσβαση σε πιθανές απόρρητες πληροφορίες, όσο και τα τμήματα των οποίων η δουλειά είναι να ανοίγουν πολλά έγγραφα από άλλες πηγές.

Filter evasion

Εδώ χρησιμοποιούνται τεχνικές προκειμένου να δυσκολέψουν (ακόμη και να αχρηστεύσουν) τα συστήματα «Anti-phishing» και «Anti-malware» για τον εντοπισμό επιθέσεων. Για παράδειγμα:

  • Είθισται αυτά τα συστήματα να γνωρίζουν τις λέξεις-κλειδιά που πρέπει να αναζητήσουν στο γραπτό κείμενο των email για να ανιχνεύσουν επιθέσεις phishing. Συνεπώς οι απατεώνες για να παραπλανήσουν αυτά τα φίλτρα, χρησιμοποιούν τεχνικές αποφυγής φίλτρων. Για να αποφευχθεί αυτό, γίνεται χρήση εικόνων που περιέχουν ενσωματωμένο κείμενο phishing που δεν δύναται να κατανοήσουν αυτά τα φίλτρα, οπότε καθίστανται αναποτελεσματικά κατά του ηλεκτρονικού ψαρέματος.
  • Επίσης τα συστήματα εντοπισμού ηλεκτρονικού ψαρέματος αναλύουν τα συνημμένα αρχεία για να ανιχνεύσουν επιθέσεις. Για να αποφευχθεί αυτό, μπορούν να προστεθούν συνημμένα που προστατεύονται με κωδικό πρόσβασης. Αυτή η τεχνική, αποφεύγει την ανάλυση ανίχνευσης, και παράλληλα δημιουργεί μια ψευδή αίσθηση ασφάλειας.

Nigerian phishing

Είναι η κλασσική διαδικτυακή απάτη που χρησιμοποιεί ως δόλωμα υποτιθέμενους πλούσιους κληρονόμους ή τις χήρες τους ή κάποιον γραμματέα τους ή δικηγόρους αποθανόντων εκατομμυριούχων ή δικτάτορων που είναι σε εξορία κ.λπ., που χρειάζονται ένα μικρό χρηματικό ποσό (π.χ. 600 ευρώ) για να διεξαχθεί μια επείγουσα ανάγκη που θα ανταμείψει γενναιόδωρα το θύμα με ένα τεράστιο χρηματικό ποσό.

Φυσικά αυτές οι ιστορίες με το πέρασμα των καιρών έχουν προσαρμοστεί για να ταιριάζουν στη σημερινή εποχή, ενώ οι απατεώνες επεκτείνουν τον στόχο τους, ακόμα και σε εταιρείες. Αυτή η μεθοδολογία γνωρίζει τεραστία επιτυχία χάρη στην απληστία και την ευπιστία των θυμάτων τους.

Παρόλο που μπορεί να θεωρηθεί ότι είναι εύκολο να καταλάβεις αυτές τις τεχνικές παραπλάνησης, ακόμα και ένας αδαής άνθρωπος, προφανώς γιατί πρόκειται για μια κραυγαλέα περίπτωση απάτης, ωστόσο το FBI εκτιμά ότι από τον Οκτώβριο του 2013 έως τον Μάιο του 2016 οι απατεώνες κέρδισαν συνολικά περισσότερα από 3 δισεκατομμύρια δολάρια.

Pharming ή DNS-Based Phishing

Η εξαπάτηση συνίσταται στην ανακατεύθυνση του χρήστη σε έναν ψεύτικο ιστότοπο, εκμεταλλευόμενοι τα τρωτά σημεία στη διαδικασία μετατροπής της αλληλουχίας των γραμμάτων που συνθέτουν μια διεύθυνση URL σε μια διεύθυνση IP. Η επίθεση μπορεί να πραγματοποιηθεί μετατρέποντας το host file του υπολογιστή του χρήστη ή να εκμεταλλευτεί μια ευπάθεια στον διακομιστή DNS. Ο όρος “pharming” είναι μια σύνθετη λέξη των όρων “phishing” και “farming”.

Addline Phishing

Είναι μία περίπτωση που χρησιμοποιεί δόλιους τρόπους για να αποκτήσει πρόσβαση στη συσκευή του θύματος με σκοπό την κλοπή πληροφοριών από προσωπικούς λογαριασμούς (email, PayPal, Amazon, Bitcoin, τραπεζικούς λογαριασμούς,…), συνήθως χρησιμοποιώντας κακόβουλες δωρεάν υπηρεσίες Wi-Fi.

Αυτοί οι λογαριασμοί που έχουν παραβιαστεί πλέον βρίσκονται στην κυριότητα των επιτιθέμενων και μπορούν να τους χρησιμοποιήσουν κανονικά σαν να είναι ο πραγματικός κάτοχος του λογαριασμού. Με αυτόν τον τρόπο είναι δύσκολος ο εντοπισμός του δράστη. Τα χρηματικά ποσά που λαμβάνονται από το Addline Phishing είναι συνήθως χαμηλά (λιγότερα από 50.000 ευρώ), επομένως οι τράπεζες αφιερώνουν λίγη προσοχή και υποστήριξη στο θύμα. Σύμφωνα με μια μελέτη του Πανεπιστημίου της Νέας Υόρκης, το 74% των θυμάτων του Addline Phishing είναι τουρίστες συνδεδεμένοι σε δίκτυα Wi-Fi ξενοδοχείων.

Ηλεκτρονικό ψάρεμα που βασίζεται σε κακόβουλο λογισμικό

Αναφέρεται σε εκείνες τις επιθέσεις phishing που περιλαμβάνουν την εκτέλεση κακόβουλου λογισμικού στους υπολογιστές του θύματος. Για παράδειγμα, σε περίπτωση που το θύμα ανοίξει το μήνυμα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι προέρχεται από κάποια γνωστή επιχείρηση, τότε αυτόματα τίθεται σε λειτουργία αυτό το malware, και τρέχει στο παρασκήνιο χωρίς να γίνεται αντιληπτό από τον εκάστοτε χρήστη, με αρνητικό πρόσημο όσο βρίσκεται εκεί να συλλέγει πληροφορίες και να της στέλνει μετέπειτα στον κυβερνοεγκληματία.

Content-Injection phishing

Σε αυτόν τον τύπο επίθεσης, οι εισβολείς αντικαθιστούν μέρος του περιεχομένου ενός νόμιμου ιστότοπου με κακόβουλο περιεχόμενο που έχει σχεδιαστεί να κλέβει ευαίσθητες πληροφορίες από τον χρήστη.

Man-in-the-Middle Phishing

Ο εισβολέας τοποθετείται μεταξύ του υπολογιστή του χρήστη και του διακομιστή, καταγράφοντας έτσι τις πληροφορίες που μεταδίδονται μεταξύ αυτών των δύο σημείων.

Watering Hole Phishing

Ο εισβολέας μολύνει ιστότοπους τρίτων που χρησιμοποιούνται ευρέως από χρήστες της εταιρείας με κακόβουλο λογισμικό. Με αυτόν τον τρόπο, όταν οι χρήστες της εταιρείας αποκτούν πρόσβαση σε αυτήν τη διαδικτυακή τοποθεσία, τότε μολύνονται. Η επίθεση είναι εξαιρετικά αποτελεσματική, καθώς μολύνοντας έναν ιστότοπο, τότε προσβάλλονται εκατοντάδες άτομα που μπήκαν σε αυτό το site.

Η επιτυχία αυξάνεται αν χρησιμοποιηθεί η λεγόμενη ευπαθεια Zero-day, που δεν είναι ακόμη αντιμετωπίσιμη, ακόμη και από γνωστές εταιρίες υλικολογισμικού όπως η Microsoft που έχει τα Windows. Το όνομα του προέρχεται από τον τρόπο με τον οποίο ορισμένα αρπακτικά του ζωικού βασιλείου περιμένουν την ευκαιρία τους να επιτεθούν στο θήραμα.

Social Network Phishing

Είναι επιθέσεις phishing στις οποίες χρησιμοποιούνται τα μέσα κοινωνικής δικτύωσης. Για παράδειγμα, ο λογαριασμός Facebook ενός θύματος που εγκατέστησε μια μη εξουσιοδοτημένη εφαρμογή στο Facebook στέλνει αυτόματα μηνύματα σε όλους τους φίλους και από την στιγμή που θα ανοίξουν να διαβάσουν το μήνυμα, τότε μολύνονται οι συσκευές τους, και αρχίζουν να κλέβουν ευαίσθητες πληροφορίες.

Τέτοιου είδους επιθέσεις ηλεκτρονικού ψαρέματος είναι εξαιρετικά αποτελεσματικές, γιατί συνήθως αυτά τα μηνύματα στέλνονται από οικεία πρόσωπα και φίλους, και είναι σχεδόν σίγουρο ότι θα ανοίξεις για να διαβάσεις το μήνυμα, ίσως γιατί μπορεί να πρόκειται για κάποια έκτακτη ανάγκη.

Tabnabbing

Αυτός ο τύπος ψαρέματος βασίζεται στο γεγονός ότι πολλοί άνθρωποι τείνουν να έχουν ανοιχτές πολλές καρτέλες στο πρόγραμμα περιήγησης, όταν σερφάρουν στο διαδίκτυο. Η επίθεση βασίζεται στο γεγονός ότι ενώ το θύμα έχει ανοίξει για παράδειγμα 8 καρτέλες, προστίθεται μία ακόμα πλαστή στις ήδη υπάρχουσες ή μετατρέπεται μία νόμιμη σε κακόβουλη σελίδα.

Επομένως, ο κακόβουλος ιστότοπος μπορεί να προσποιηθεί ότι η σύνδεση με τον ιστότοπο ηλεκτρονικού ταχυδρομείου έχει χαθεί και να ζητήσει από το θύμα να εισάγει ξανά τα διαπιστευτήρια του. Όταν τα εισάγετε, σας ανακατευθύνει στην αρχική σελίδα όπου είχατε συνδεθεί προηγουμένως και σας κάνει να πιστεύετε ότι η εισαγωγή των δεδομένων σας ήταν επιτυχής.

Εάν δεν συνειδητοποιείτε ότι αυτός ο νέος ιστότοπος δεν είναι αυτός που ανοίξατε εσείς, τότε υπάρχει σοβαρό ενδεχόμενο να έχετε πέσει θύμα αυτού του κόλπου. Όμως αυτά τα περιστατικά είναι σχετικά σπάνια και δεν συμβαίνουν κάθε μέρα στον καθένα.

Man in the Browser (MITB)

Συνδυάζει τη χρήση τεχνικών phishing για την εγκατάσταση ενός Trojan στο πρόγραμμα περιήγησης του χρήστη, για τη λήψη πληροφοριών, την τροποποίηση του περιεχομένου ή και την εισαγωγή πρόσθετων στοιχείων στις σελίδες χωρίς να το γνωρίζει το θύμα.

Μια κοινή τεχνική για την πραγματοποίηση αυτού του τύπου επίθεσης είναι η εγκατάσταση μιας κακόβουλης επέκτασης στο πρόγραμμα περιήγησης. Η εγκατάσταση αυτής της κακόβουλης επέκτασης μπορεί να γίνει από κακόβουλο λογισμικό ή από το ίδιο το θύμα νομίζοντας ότι είναι νόμιμη επέκταση. Το κακόβουλο λογισμικό που είναι εγκατεστημένο στο πρόγραμμα περιήγησης θα αναλύσει την κατάσταση και όταν μια σελίδα φορτωθεί, τότε θα εκτελέσει τις ενέργειες για τις οποίες έχει προγραμματιστεί να πράξει.

Phishing-as-a-Service

Το Phishing-as-a-Service ή PHaaS επί της ουσίας είναι προσφορά υπηρεσιών ηλεκτρονικού ψαρέματος, επί πληρωμή, δηλαδή μια πλατφόρμα παρέχει διάφορες υπηρεσίες στο ευρύ κοινό προκειμένου να βλάψει το άτομο για το οποίο που έχει πληρωθεί. Με αυτόν τον τρόπο λειτουργεί μία ολόκληρη παραοικονομία στο διαδίκτυο πουλώντας τέτοιες αμφιλεγόμενες υπηρεσίες.

Τέτοιου είδους πλατφόρμες προσφέρουν μεταξύ άλλων μία σειρά από παράνομες υπηρεσίες προς τον πελάτη, όπως για τα κοινωνικά δίκτυα, γισ τραπεζικές συναλλαγές, για την παγίδευση ηλεκτρονικών καταστημάτων λιανικής πώλησης, τις τηλεπικοινωνίες, τις δημόσιες υπηρεσίες, τα τυχερά παιχνίδια που σχετίζονται με τον τζόγο, πλατφόρμες γνωριμιών,…) έτσι ώστε ο χρήστης να μπορεί να επιλέξει αυτό που ταιριάζει καλύτερα στις προτιμήσεις του ή και να τη διαμορφώσει σύμφωνα με τις εξατομικευμένες ανάγκες του.

Επιπλέον, το σύστημα παρέχει έναν πίνακα εργαλείων που επιτρέπει στον χρήστη να παρακολουθεί τις λεπτομέρειες της εκστρατείας phishing και να του παραδίδονται τα κλεμμένα διαπιστευτήρια για τα οποία πλήρωσε. Από εδώ και πέρα, ο χρήστης μπορεί να εκμεταλλευτεί αυτά τα διαπιστευτήρια προς όφελος του ή να τα πουλήσει σε ενδιαφερόμενους αγοραστές στην μαύρη αγορά του Dark web.

Συμβουλές για προστασία από ηλεκτρονικό ψάρεμα

Ακολουθούν 7 χρήσιμες συμβουλές για να εντοπίσετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, ώστε οι επιθέσεις να σταματήσουν πριν προκληθεί ζημιά.

Ας υποθέσουμε ότι κάθε email είναι μια πιθανή απόπειρα ηλεκτρονικού ψαρέματος

Αν και αυτό μπορεί να ακούγεται ακραίο, είναι σημαντικό για τους χρήστες να εξετάσουν προσεκτικά ένα email για να προσδιορίσουν τη γνησιότητα του. Οι χρήστες δεν πρέπει να εμπιστεύονται αποκλειστικά τα φίλτρα ανεπιθύμητης αλληλογραφίας τους, καθώς αυτά τα παραδοσιακά εργαλεία ασφαλείας των email δεν παρέχουν την ισχυρότερη άμυνα έναντι ορισμένων τύπων επιθέσεων.

Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα

Ο στόχος ενός απατεώνα είναι τα θύματα να κάνουν κλικ σε συνδέσμους ή να κάνουν λήψη συνημμένων. Κάτι τέτοιο έχει ως αποτέλεσμα την αυτόματη λήψη κακόβουλου λογισμικού που μολύνει τον υπολογιστή του θύματος. Για να προσδιορίσετε την εγκυρότητα ενός συνδέσμου, οι χρήστες θα πρέπει να τοποθετήσουν το δείκτη του ποντικιού πάνω του. Εάν ο σύνδεσμος, που εμφανίζεται (συνήθως) στην κάτω αριστερή γωνία της οθόνης, αποκαλύπτει μια μεγάλη διεύθυνση URL με ένα άγνωστο domain name, τότε δεν θα πρέπει επ’ ουδενί να κάνετε κλικ σε τούτο το σύνδεσμο.

Ομοίως, ένα συνημμένο, με μία φαινομενικά κανονική ονομασία που δεν προδιαθέτει σε παγίδα, όπως “Μηνιαία αναφορά” από την τράπεζά σας με γνωστή επέκταση αρχείου όπως το PDF, θα μπορούσε να είναι κακόβουλο λογισμικό και δεν πρέπει να γίνει διπλό κλικ ή λήψη του. Εκτός και αν είστε σίγουροι πως προέρχεται από τον αληθινό αποστολέα που αναγράφεται στη διεύθυνση μηνύματος.

Ελέγξτε και επαληθεύστε τη διεύθυνση

Ένας από τους καλύτερους τρόπους για να αποτρέψετε το phishing είναι απλώς να ελέγξετε και να επαληθεύσετε τη διεύθυνση που αναγράφεται στο μήνυμα ηλεκτρονικού ταχυδρομείου, δηλαδή ποιος είναι ο πραγματικός αποστολέας. Αυτό θα πρέπει να γίνεται κάθε φορά που φθάνει απροσδόκητα ένα μήνυμα ηλεκτρονικού ταχυδρομείου από τράπεζα, υπηρεσία πληρωμών, από κάποιο ηλεκτρονικό κατάστημα λιανικής πώλησης ή ακόμα και από δημόσια υπηρεσία, ειδικά σε email εργασίας που το χρησιμοποιείτε για τη δουλειά σας.

Διαβάστε το email και κρίνετε αν είναι αληθινό

Ανοίξτε το email και διαβάστε το. Οι χρήστες θα πρέπει να είναι σε θέση να προσδιορίσουν εάν ορισμένοι παράγοντες φαίνονται περίεργοι. Κάντε μερικές κρίσιμες ερωτήσεις στον εαυτό σας, όπως:

  • Αυτό το email απευθύνεται σε σας με την μορφή κατεπείγοντος; Τότε τα μάτια σας δεκατέσσερα, γιατί μπορεί να κρύβεται κάτι ύποπτο από πίσω.
  • Σας προσφέρει το email κάτι που είναι «πολύ καλό για να είναι αληθινό»; Τότε διαγράψτε το και μη δίνετε σημασία.

Ελέγξτε την ορθογραφία και τη γραμματική στο μήνυμα

Συχνά η γραμματική, η ορθογραφία, ακόμη και η μορφοποίηση σε ένα μήνυμα μπορεί να είναι εμφανώς λάθος, κάτι που ομολογουμένως μας οδηγεί στο συμπέρασμα πως συμβαίνει κάτι ύποπτο. Η επίσημη επικοινωνία με κάποια τράπεζα, εταιρεία πιστωτικών καρτών, υπηρεσία πληρωμών δεν περιέχουν ποτέ ορθογραφικά λάθη και γράφουν πάντα σωστά το περιεχόμενο, με επαγγελματικό τρόπο στα ελληνικά, εφόσον προέρχεται για ελληνική εταιρεία, και σωστά αγγλικά, εφόσον προέρχεται για κάποια διεθνή εταιρεία.

Αναζητήστε το Όνομα σας στο μήνυμα

Πέρα από τη γραμματική και την ορθογραφία, αναζητήστε άλλα στοιχεία που σχετίζονται με το όνομα σας και τον τρόπο με τον οποίο σας απευθύνονται σε εσάς. Οι νόμιμες εταιρείες, ειδικά αυτές με τις οποίες έχετε τους οικονομικούς συναλλαγές, δεν απευθύνονται σε εσάς χρησιμοποιώντας λάθος πληροφορίες που σχετίζονται με το άτομό σας.

Ένας γενικός χαιρετισμός (π.χ. “Αγαπητή κυρία και όχι με το όνομά σας”) μπορεί να είναι ένδειξη απάτης.

Ελέγξτε για τυχόν περίεργα αιτήματα

Κατά τον έλεγχο του email, ελέγξτε για οποιοδήποτε συγκεκριμένο, περίεργο αίτημα. Τα περισσότερα δόλια email ζητούν από τον παραλήπτη να απαντήσει στο email ή να κάνει κλικ σε έναν σύνδεσμο στο email. Οτιδήποτε περίεργο ή επείγον είναι πιθανότατα απόπειρα παγίδευσης μέσω ηλεκτρονικού ψαρέματος.

Προηγούμενο άρθρο
Όταν η βλακεία συναντά την παράνοια…
Επόμενο άρθρο
Μικρόβια, φοβία ή πραγματικότητα;
Στέλιος Θεοδωρίδης
Στέλιος Θεοδωρίδης
Ο ήρωας μου είναι ο γάτος μου ο Τσάρλι και ακροάζομαι μόνο Psychedelic Trance
RELATED ARTICLES

Πρόσφατα άρθρα

Φόρτωση περισσοτέρων

Tηλέφωνα έκτακτης ανάγκης

Δίωξη Ηλεκτρονικού Εγκλήματος: 11188
Ελληνική Αστυνομία: 100
Χαμόγελο του Παιδιού: 210 3306140
Πυροσβεστική Υπηρεσία: 199
ΕΚΑΒ 166