Τι είναι το ηλεκτρονικό "ψάρεμα" και πώς μπορεί να σας κλέψει χρήματα και μυστικά
Συμβουλές Της τεχνολογίας / / December 28, 2020
Τι είναι το ηλεκτρονικό ψάρεμα και πόσο επικίνδυνο είναι
Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας κοινός τύπος απάτης στον κυβερνοχώρο που στοχεύει σε παραβίαση λογαριασμού αρχεία και υποκλοπή ελέγχου επί αυτών, κλοπή δεδομένων πιστωτικής κάρτας ή οποιοδήποτε άλλο εμπιστευτικό πληροφορίες.
Τις περισσότερες φορές, οι εγκληματίες στον κυβερνοχώρο χρησιμοποιούν e-mail: για παράδειγμα, στέλνουν επιστολές για λογαριασμό μιας γνωστής εταιρείας, παρασύροντας τους χρήστες στον πλαστό ιστότοπό της με το πρόσχημα μιας κερδοφόρας προώθησης. Το θύμα δεν αναγνωρίζει το ψεύτικο, εισάγει το όνομα χρήστη και τον κωδικό πρόσβασης από τον λογαριασμό του, και έτσι ο ίδιος ο χρήστης μεταφέρει τα δεδομένα στους απατεώνες.
Ο καθένας μπορεί να υποφέρει. Τα αυτοματοποιημένα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" στοχεύουν συχνότερα σε ένα ευρύ κοινό (εκατοντάδες χιλιάδες ή ακόμη και εκατομμύρια διευθύνσεις), αλλά υπάρχουν και επιθέσεις που στοχεύουν σε έναν συγκεκριμένο στόχο. Τις περισσότερες φορές, αυτοί οι στόχοι είναι κορυφαίοι διευθυντές ή άλλοι υπάλληλοι που έχουν προνομιακή πρόσβαση σε εταιρικά δεδομένα. Αυτή η εξατομικευμένη στρατηγική ηλεκτρονικού ψαρέματος ονομάζεται vailing (eng. φαλαινοθηρία), που μεταφράζεται ως "αλίευση φαλαινών."
Οι συνέπειες των επιθέσεων ηλεκτρονικού ψαρέματος μπορεί να είναι καταστροφικές. Οι απατεώνες μπορούν να διαβάσουν την προσωπική σας αλληλογραφία, να στείλουν μηνύματα ηλεκτρονικού "ψαρέματος" στον κύκλο επαφών σας, να αποσύρουν χρήματα από τραπεζικούς λογαριασμούς και γενικά να ενεργούν εκ μέρους σας με την ευρεία έννοια. Εάν διευθύνετε μια επιχείρηση, ο κίνδυνος είναι ακόμη μεγαλύτερος. Οι phishers είναι σε θέση να κλέβουν εταιρικά μυστικά, να καταστρέφουν ευαίσθητα αρχεία ή να διαρρέουν τα δεδομένα των πελατών σας, καταστρέφοντας τη φήμη της εταιρείας.
Σύμφωνα με την έκθεσηΑναφορά τάσεων δραστηριότητας ηλεκτρονικού ψαρέματος Η Ομάδα Εργασίας Anti-Phishing, μόνο το τελευταίο τρίμηνο του 2019, ειδικοί στον κυβερνοχώρο ανακάλυψαν περισσότερους από 162 χιλιάδες δόλιους ιστότοπους και 132 χιλιάδες καμπάνιες μέσω email. Κατά τη διάρκεια αυτής της περιόδου, περίπου χίλιες εταιρείες από όλο τον κόσμο έχουν πέσει θύματα ηλεκτρονικού ψαρέματος. Απομένει να δούμε πόσες επιθέσεις δεν εντοπίστηκαν.
Ιβάν Μποντιλίν
Αρχιτέκτονας του Microsoft Technology Center στη Ρωσία.
Είναι σημαντικό να είστε ξεκάθαροι για τον εαυτό σας και να κοινοποιείτε μερικά πράγματα στους συναδέλφους, τους φίλους και την οικογένειά σας. Πρώτον, η βιομηχανία είναι εναντίον μας. Οι εγκληματίες στον κυβερνοχώρο δεν είναι πλέον ενθουσιώδεις αστείοι, είναι έμπειροι επαγγελματίες που, με τον έναν ή τον άλλο τρόπο, θέλουν να βγάλουν λεφτά από εσάς. Δεύτερον, κάθε πληροφορία έχει αξία, ακόμα κι αν δεν φαίνεται σημαντική. Και η δραστηριότητά σας στα κοινωνικά δίκτυα και το όνομα του αγαπημένου σας γατούλα - όλα μπορούν να χρησιμοποιηθούν είτε για άμεση δημιουργία εσόδων ή ως στάδιο επίθεσης για να αποκτήσετε πρόσβαση σε πιο «ακριβό» δεδομένα. Τρίτον, η χρήση ελέγχου ταυτότητας πολλών παραγόντων και χωρίς κωδικούς πρόσβασης μεταβαίνει σταδιακά από την κατηγορία ισχυρών συστάσεων στην κατηγορία των σκληρών απαιτήσεων μιας αλλαγμένης πραγματικότητας.
Εξέλιξη και τύποι ηλεκτρονικού ψαρέματος
Ο όρος «ηλεκτρονικό ψάρεμα» προέρχεται από την αγγλική λέξη «ψάρεμα». Αυτός ο τύπος απάτης μοιάζει πραγματικά με το ψάρεμα: ο εισβολέας ρίχνει το δόλωμα με τη μορφή ψεύτικου μηνύματος ή συνδέσμου και περιμένει να δαγκώσουν οι χρήστες.
Αλλά στα αγγλικά το "phishing" γράφεται λίγο διαφορετικά: το phishing. Το digraph ph χρησιμοποιείται αντί για το γράμμα f. Σύμφωνα με μια εκδοχή, αυτή είναι μια αναφορά στη λέξη ψεύτικη ("απατεώνας", "απατεώνας"). Από την άλλη - στην υποκουλτούρα των πρώτων χάκερ που ονομάστηκαν phreakers ("phreakers").
Πιστεύεται ότι ο όρος phishing χρησιμοποιήθηκε για πρώτη φορά δημόσια στα μέσα της δεκαετίας του 1990 σε ομάδες συζήτησης Usenet. Εκείνη την εποχή, οι απατεώνες ξεκίνησαν τις πρώτες επιθέσεις ηλεκτρονικού ψαρέματος (phishing) που στοχεύουν πελάτες της αμερικανικής εταιρείας παροχής Internet AOL. Οι εισβολείς έστειλαν μηνύματα ζητώντας να επιβεβαιώσουν τα διαπιστευτήριά τους, πλαστοπροσωπώντας τους υπαλλήλους της εταιρείας.
Με την ανάπτυξη του Διαδικτύου, εμφανίστηκαν νέοι τύποι επιθέσεων ηλεκτρονικού ψαρέματος (phishing). Οι απατεώνες άρχισαν να πλαστογραφούν ολόκληρους ιστότοπους και κατέκτησαν διάφορα κανάλια και υπηρεσίες επικοινωνίας. Αυτοί οι τύποι ηλεκτρονικού ψαρέματος μπορούν να διακριθούν σήμερα.
- Ηλεκτρονικό ψάρεμα ηλεκτρονικού ταχυδρομείου. Οι απατεώνες καταγράφουν μια διεύθυνση αλληλογραφίας παρόμοια με τη διεύθυνση μιας γνωστής εταιρείας ή γνωστού του επιλεγμένου θύματος και στέλνουν επιστολές από αυτήν. Ταυτόχρονα, με το όνομα του αποστολέα, το σχέδιο και το περιεχόμενο, ένα ψεύτικο γράμμα μπορεί να είναι σχεδόν πανομοιότυπο με το πρωτότυπο. Μόνο μέσα υπάρχει σύνδεσμος προς ψεύτικο ιστότοπο, μολυσμένα συνημμένα ή άμεσο αίτημα για αποστολή εμπιστευτικών δεδομένων.
- SMS ηλεκτρονικού ψαρέματος (smishing). Αυτό το σχήμα είναι παρόμοιο με το προηγούμενο, αλλά το SMS χρησιμοποιείται αντί του email. Ο συνδρομητής λαμβάνει ένα μήνυμα από έναν άγνωστο (συνήθως σύντομο) αριθμό με ένα αίτημα για εμπιστευτικά δεδομένα ή με έναν σύνδεσμο προς έναν ψεύτικο ιστότοπο. Για παράδειγμα, ένας εισβολέας μπορεί να εισαχθεί ως τράπεζα και να ζητήσει τον κωδικό επαλήθευσης που λάβατε νωρίτερα. Στην πραγματικότητα, οι απατεώνες χρειάζονται τον κωδικό για να εισέλθουν στον τραπεζικό λογαριασμό σας.
- Ηλεκτρονικό ψάρεμα στα μέσα κοινωνικής δικτύωσης. Με τον πολλαπλασιασμό των άμεσων αγγελιοφόρων και των κοινωνικών μέσων μαζικής ενημέρωσης, οι επιθέσεις ηλεκτρονικού ψαρέματος έχουν πλημμυρίσει και αυτά τα κανάλια. Οι εισβολείς μπορούν να επικοινωνήσουν μαζί σας μέσω ψεύτικων ή παραβιασμένων λογαριασμών γνωστών οργανισμών ή φίλων σας. Η υπόλοιπη αρχή της επίθεσης δεν διαφέρει από την προηγούμενη.
- Τηλέφωνο ηλεκτρονικό ψάρεμα (ηλεκτρονικό ψάρεμα). Οι απατεώνες δεν περιορίζονται σε μηνύματα κειμένου και μπορούν να σας καλέσουν. Τις περισσότερες φορές, η τηλεφωνία μέσω Διαδικτύου (VoIP) χρησιμοποιείται για το σκοπό αυτό. Ο καλούντος μπορεί να πλαστοπροσωπεί, για παράδειγμα, έναν υπάλληλο της υπηρεσίας υποστήριξης του συστήματος πληρωμών σας και να ζητήσει δεδομένα για πρόσβαση στο πορτοφόλι - υποτίθεται για επαλήθευση.
- Αναζήτηση ηλεκτρονικού ψαρέματος. Μπορείτε να συναντήσετε το ηλεκτρονικό ψάρεμα (phishing) απευθείας στα αποτελέσματα αναζήτησης. Αρκεί να κάνετε κλικ στον σύνδεσμο που οδηγεί σε έναν ψεύτικο ιστότοπο και να αφήσετε προσωπικά δεδομένα σε αυτόν.
- Αναδυόμενο ηλεκτρονικό ψάρεμα. Οι εισβολείς χρησιμοποιούν συχνά αναδυόμενα παράθυρα. Επισκεφτείτε έναν αμφίβολο πόρο, ενδέχεται να δείτε ένα banner που υπόσχεται κάποιο όφελος - για παράδειγμα, εκπτώσεις ή δωρεάν αγαθά - για λογαριασμό μιας γνωστής εταιρείας. Κάνοντας κλικ σε αυτόν τον σύνδεσμο, θα μεταφερθείτε σε έναν ιστότοπο που ελέγχεται από εγκληματίες στον κυβερνοχώρο.
- Καλλιέργεια. Δεν σχετίζεται άμεσα με το ηλεκτρονικό ψάρεμα, αλλά η εκτροφή είναι επίσης μια πολύ κοινή επίθεση. Σε αυτήν την περίπτωση, ο εισβολέας πλαστογραφεί τα δεδομένα DNS, ανακατευθύνει αυτόματα τον χρήστη αντί των αρχικών ιστότοπων στους ψεύτικους. Το θύμα δεν βλέπει ύποπτα μηνύματα ή πανό, γεγονός που αυξάνει την αποτελεσματικότητα της επίθεσης.
Το ηλεκτρονικό ψάρεμα συνεχίζει να εξελίσσεται. Η Microsoft αποκάλυψε νέες τεχνικές που ανακάλυψε η υπηρεσία anti-phishing του Office 365 Advanced Threat Protection το 2019. Για παράδειγμα, οι απατεώνες έχουν μάθει να αποκρύπτουν καλύτερα κακόβουλο περιεχόμενο στα αποτελέσματα αναζήτησης: στην κορυφή εμφανίζουν νόμιμους συνδέσμους που οδηγούν τον χρήστη σε ιστότοπους ηλεκτρονικού ψαρέματος χρησιμοποιώντας πολλαπλά ανακατευθύνσεις.
Επιπλέον, οι εγκληματίες στον κυβερνοχώρο άρχισαν να δημιουργούν αυτόματα συνδέσμους ηλεκτρονικού ψαρέματος (phishing) και ακριβή αντίγραφα ηλεκτρονικών γράμματα σε ένα ποιοτικά νέο επίπεδο, το οποίο σας επιτρέπει να εξαπατήσετε αποτελεσματικότερα τους χρήστες και να παρακάμψετε χρήματα ΠΡΟΣΤΑΣΙΑ.
Γνωρίστε το Office 365
Πώς να προστατευτείτε από το ηλεκτρονικό ψάρεμα
Βελτιώστε την τεχνική σας γνώση. Όπως λέει η παροιμία, αυτός που προειδοποιεί είναι οπλισμένος. Μελετήστε την ασφάλεια πληροφοριών μόνοι σας ή συμβουλευτείτε ειδικούς για συμβουλές. Ακόμη και μια απλή γνώση των βασικών στοιχείων της ψηφιακής υγιεινής μπορεί να σας σώσει πολλά προβλήματα.
Πρόσεχε. Μην ακολουθείτε τους συνδέσμους και μην ανοίγετε συνημμένα σε γράμματα από άγνωστους συνομιλητές. Ελέγξτε προσεκτικά τα στοιχεία επικοινωνίας των αποστολέων και τις διευθύνσεις των ιστότοπων που επισκέπτεστε. Μην απαντάτε σε αιτήματα για προσωπικές πληροφορίες, ακόμη και όταν το μήνυμα φαίνεται αξιόπιστο. Εάν ένας εκπρόσωπος της εταιρείας ζητήσει πληροφορίες, είναι καλύτερα να καλέσετε το τηλεφωνικό κέντρο και να αναφέρετε την κατάσταση. Μην κάνετε κλικ σε αναδυόμενα παράθυρα.
Χρησιμοποιήστε τους κωδικούς πρόσβασης με σύνεση. Χρησιμοποιήστε έναν μοναδικό και ισχυρό κωδικό πρόσβασης για κάθε λογαριασμό. Εγγραφείτε σε υπηρεσίες που προειδοποιούν τους χρήστες εάν εμφανίζονται κωδικοί πρόσβασης για τους λογαριασμούς τους στον Ιστό και αλλάξτε αμέσως τον κωδικό πρόσβασης εάν αποδειχθεί ότι έχει παραβιαστεί.
Ρύθμιση ελέγχου ταυτότητας πολλών παραγόντων. Αυτή η δυνατότητα προστατεύει επιπλέον τον λογαριασμό, για παράδειγμα, χρησιμοποιώντας κωδικούς πρόσβασης μίας χρήσης. Σε αυτήν την περίπτωση, κάθε φορά που συνδέεστε στο λογαριασμό σας από μια νέα συσκευή, εκτός από τον κωδικό πρόσβασης, θα πρέπει εισαγάγετε έναν κωδικό τεσσάρων ή έξι χαρακτήρων που σας έχει αποσταλεί μέσω SMS ή δημιουργείται σε ειδικό εφαρμογή. Μπορεί να μην φαίνεται πολύ βολικό, αλλά αυτή η προσέγγιση θα σας προστατεύσει από το 99% των κοινών επιθέσεων. Σε τελική ανάλυση, εάν οι απατεώνες κλέψουν τον κωδικό πρόσβασης, δεν θα μπορούν ακόμα να εισέλθουν χωρίς κωδικό επαλήθευσης.
Χρησιμοποιήστε εγκαταστάσεις σύνδεσης χωρίς κωδικό πρόσβασης. Σε αυτές τις υπηρεσίες, όπου είναι δυνατόν, θα πρέπει να εγκαταλείψετε εντελώς τη χρήση κωδικών πρόσβασης, να τους αντικαταστήσετε με κλειδιά ασφαλείας υλικού ή έλεγχο ταυτότητας μέσω μιας εφαρμογής σε smartphone.
Χρησιμοποιήστε λογισμικό προστασίας από ιούς. Ένα έγκαιρο ενημερωμένο antivirus θα βοηθήσει στην προστασία του υπολογιστή σας από κακόβουλα προγράμματα που ανακατευθύνουν σε ιστότοπους ηλεκτρονικού ψαρέματος ή κλέβουν συνδέσεις και κωδικούς πρόσβασης. Αλλά θυμηθείτε ότι η κύρια προστασία σας εξακολουθεί να είναι η συμμόρφωση με τους κανόνες ψηφιακής υγιεινής και την τήρηση των συστάσεων για την ασφάλεια στον κυβερνοχώρο.
Εάν διευθύνετε μια επιχείρηση
Οι παρακάτω συμβουλές θα είναι επίσης χρήσιμες για ιδιοκτήτες επιχειρήσεων και διευθύνοντες συμβούλους.
Εκπαιδεύστε τους υπαλλήλους σας. Εξηγήστε στους υφισταμένους ποια μηνύματα πρέπει να αποφύγετε και ποιες πληροφορίες δεν πρέπει να αποστέλλονται μέσω email ή άλλων καναλιών επικοινωνίας. Απαγορεύεται στους υπαλλήλους να χρησιμοποιούν εταιρική αλληλογραφία για προσωπικούς σκοπούς. Διδάξτε τους πώς να εργάζονται με κωδικούς πρόσβασης. Αξίζει επίσης να εξετάσετε μια πολιτική διατήρησης μηνυμάτων: για παράδειγμα, για λόγους ασφαλείας, μπορείτε να διαγράψετε μηνύματα παλαιότερα από μια συγκεκριμένη περίοδο.
Πραγματοποιήστε εκπαιδευτικές επιθέσεις ηλεκτρονικού ψαρέματος. Εάν θέλετε να δοκιμάσετε την αντίδραση των υπαλλήλων στο ηλεκτρονικό ψάρεμα (phishing), δοκιμάστε να πλαστογραφήσετε μια επίθεση. Για παράδειγμα, καταχωρίστε μια ταχυδρομική διεύθυνση παρόμοια με τη δική σας και στείλτε επιστολές από αυτήν σε υφισταμένους, ζητώντας τους να σας παράσχουν εμπιστευτικά δεδομένα.
Επιλέξτε μια αξιόπιστη ταχυδρομική υπηρεσία. Οι δωρεάν πάροχοι email είναι πολύ ευάλωτοι στις επιχειρηματικές επικοινωνίες. Οι εταιρείες θα πρέπει να επιλέγουν μόνο ασφαλείς εταιρικές υπηρεσίες. Για παράδειγμα, οι χρήστες της υπηρεσίας αλληλογραφίας του Microsoft Exchange που περιλαμβάνονται στη σουίτα του Office 365 έχουν πλήρη προστασία έναντι του ηλεκτρονικού ψαρέματος (phishing) και άλλων απειλών. Για να αντιμετωπίσει τους απατεώνες, η Microsoft αναλύει εκατοντάδες δισεκατομμύρια email κάθε μήνα.
Προσλάβετε έναν ειδικό στον τομέα της ασφάλειας στον κυβερνοχώρο. Εάν το επιτρέπει ο προϋπολογισμός σας, βρείτε έναν εξειδικευμένο επαγγελματία που θα παρέχει συνεχή προστασία έναντι του ηλεκτρονικού ψαρέματος και άλλων απειλών στον κυβερνοχώρο.
Τι να κάνετε αν είστε θύμα ηλεκτρονικού ψαρέματος (phishing)
Εάν υπάρχει λόγος να πιστεύετε ότι τα δεδομένα σας έχουν πέσει σε λάθος χέρια, ενεργήστε αμέσως. Ελέγξτε τις συσκευές σας για ιούς και αλλάξτε κωδικούς πρόσβασης λογαριασμού. Ενημερώστε το προσωπικό της τράπεζας ότι τα στοιχεία πληρωμής σας ενδέχεται να έχουν κλαπεί. Εάν είναι απαραίτητο, ενημερώστε τους πελάτες για την πιθανή διαρροή.
Για να αποτρέψετε την επανάληψη τέτοιων καταστάσεων, επιλέξτε αξιόπιστες και σύγχρονες υπηρεσίες συνεργασίας. Τα προϊόντα με ενσωματωμένους μηχανισμούς προστασίας ταιριάζουν καλύτερα: θα λειτουργήσει όσο το δυνατόν πιο βολικά και δεν χρειάζεται να διακινδυνεύσει την ψηφιακή ασφάλεια.
Επιπλέον, η υπηρεσία παρέχει δυναμικό έλεγχο πρόσβασης με εκτίμηση κινδύνου και λαμβάνοντας υπόψη ένα ευρύ φάσμα συνθηκών. Το Office 365 περιέχει επίσης ενσωματωμένο αυτοματισμό και αναλυτικά δεδομένα και σας επιτρέπει επίσης να ελέγχετε συσκευές και να προστατεύετε πληροφορίες από διαρροές.
Δοκιμάστε το Microsoft Office 365