Οι απάτες phishing είναι από τις πιο διαδεδομένες και σχετικά εύκολες μορφές απατών στον κυβερνοχώρο.
Παρ’ όλο που οι απάτες phishing είναι ευρέως διαδεδομένες παγκοσμίως και επιχειρούνται καθημερινά από εκατοντάδες κακόβουλους χρήστες, είναι εφικτό να καταπολεμηθούν σε μεγάλο βαθμό.
Ένας πολύ καλός τρόπος για την προστασία από απάτες phishing είναι η εγκατάσταση κάποιου αξιόπιστου λογισμικού ασφαλείας, αλλά η καλύτερη προστασίας είναι η εκπαίδευση των χρηστών στο τι είναι το phishing και πως να το διακρίνουν.
Τι είναι το phishing;
Το Phishing είναι μια ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο κακόβουλος χρήστης υποδύεται μία αξιόπιστη οντότητα βασιζόμενος στην άγνοια του χρήστη (θύματος), με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως κωδικούς λογαριασμών, αριθμούς πιστωτικών καρτών κ.α..
Στα ελληνικά το phishing μπορεί να αποδοθεί ως “Ηλεκτρονικό Ψάρεμα”.
Πού στηρίζεται η επιτυχία του Phishing;
Μία επιτυχημένη απάτη phishing στηρίζεται σε τρεις βασικούς παράγοντες:
●► Την έλλειψη γνώσεων του θύματος
●► Την έλλειψη προσοχής του θύματος
●► Την οπτική εξαπάτηση
Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί.
Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι η παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.
Ακόμα και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις για να ανιχνεύσει τα κακόβουλα στοιχεία, πολλές φορές δεν θα προσέξει τα σημάδια, αφού μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο.
Άλλωστε η σωστή τεχνική phishing κρύβει τα περισσότερα από τα σημάδια και εκεί κρίνεται ο πιο σημαντικός παράγοντας για μία επιτυχημένη επίθεση phishing: Η οπτική εξαπάτηση.
Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία της ψεύτικης ιστοσελίδας.
Αυτό το επιτυγχάνει με:
●► Παραπλανητικό κείμενο. Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κ.λπ.
●► Παραπλανητικές εικόνες. Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της Google, αλλά όταν ο χρήστης πατήσει σε αυτές να τον οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες (ακόμα και κινούμενες) που μιμούνται το λειτουργικό σύστημα του υπολογιστή.
●► Παραπλανητικό design. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, οι “επιθέσεις” μέσω αυτού είναι επιτυχημένες σε ποσοστό 90%.
Πως να προστατευτείτε από τις επιθέσεις phishing;
●► Μεγάλη προσοχή θα πρέπει να δείχνετε στα μηνύματα ηλεκτρονικού ταχυδρομείου (email), ιδιαιτέρως όταν αυτά αναγράφουν πληροφορίες οικονομικής φύσεως ή σας προτρέπουν να πατήσετε σε κάποιο σύνδεσμο και εν συνεχεία να πρέπει να δώσετε ευαίσθητα προσωπικά δεδομένα (π.χ. κωδικό πρόσβασης, όνομα χρήστη κ.λπ.).
●► Μην δίνετε ευαίσθητα προσωπικά δεδομένα ιδίως όταν βλέπετε ότι χρησιμοποιούνται τεχνικές εκφοβισμού προκειμένου να τα παρέχετε (π.χ. χρονικές προθεσμίες). Επιπροσθέτως, προτού δώσετε ευαίσθητα προσωπικά δεδομένα σε κάποια φόρμα που σας υποδεικνύεται από κάποιο email, επικοινωνήστε πρώτα με τον αποστολέα του μηνύματος (π.χ. τράπεζα) για την επαλήθευση του.
●► Να έχετε ως αρχή ότι δεν συνδεόμαστε με μια ιστοσελίδα πατώντας σε κάποιον σύνδεσμο που υποδεικνύεται μέσα στο email, αλλά πληκτρολογούμε πάντοτε τη διεύθυνση (url) της ιστοσελίδας απ΄ευθείας στη γραμμή διεύθυνσης.
●► Να δείχνετε μεγάλη προσοχή στα email που περιέχουν ορθογραφικά λάθη ή σας δίνεται η εντύπωση ότι αποτελούν μια αυτοματοποιημένη μετάφραση (π.χ. από το Google translate) ή σας πληροφορούν για λογαριασμούς ή υπηρεσίες που εσείς δεν έχετε.
●► Όταν εισάγετε προσωπικά σας δεδομένα σε φόρμα κάποιας ιστοσελίδας, να προσέχετε στη γραμμή διευθύνσεως του browser σας να εμφανίζεται πάντοτε το πράσινο https αντί του http.
●► Να έχετε εγκατεστημένα και ενημερωμένα σε καθημερινή βάση στον υπολογιστή σας firewall, anti-spyware και anti-virus λογισμικά.
Μείνετε συντονισμένοι στο CyberSecurity για περισσότερες συμβουλές ασφαλείας!
cybersecurity.gr
Το Phishing είναι μια ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο κακόβουλος χρήστης υποδύεται μία αξιόπιστη οντότητα βασιζόμενος στην άγνοια του χρήστη (θύματος), με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως κωδικούς λογαριασμών, αριθμούς πιστωτικών καρτών κ.α..
Στα ελληνικά το phishing μπορεί να αποδοθεί ως “Ηλεκτρονικό Ψάρεμα”.
Πού στηρίζεται η επιτυχία του Phishing;
Μία επιτυχημένη απάτη phishing στηρίζεται σε τρεις βασικούς παράγοντες:
●► Την έλλειψη γνώσεων του θύματος
●► Την έλλειψη προσοχής του θύματος
●► Την οπτική εξαπάτηση
Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί.
Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι η παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.
Ακόμα και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις για να ανιχνεύσει τα κακόβουλα στοιχεία, πολλές φορές δεν θα προσέξει τα σημάδια, αφού μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο.
Άλλωστε η σωστή τεχνική phishing κρύβει τα περισσότερα από τα σημάδια και εκεί κρίνεται ο πιο σημαντικός παράγοντας για μία επιτυχημένη επίθεση phishing: Η οπτική εξαπάτηση.
Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία της ψεύτικης ιστοσελίδας.
Αυτό το επιτυγχάνει με:
●► Παραπλανητικό κείμενο. Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κ.λπ.
●► Παραπλανητικές εικόνες. Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της Google, αλλά όταν ο χρήστης πατήσει σε αυτές να τον οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες (ακόμα και κινούμενες) που μιμούνται το λειτουργικό σύστημα του υπολογιστή.
●► Παραπλανητικό design. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, οι “επιθέσεις” μέσω αυτού είναι επιτυχημένες σε ποσοστό 90%.
Πως να προστατευτείτε από τις επιθέσεις phishing;
●► Μεγάλη προσοχή θα πρέπει να δείχνετε στα μηνύματα ηλεκτρονικού ταχυδρομείου (email), ιδιαιτέρως όταν αυτά αναγράφουν πληροφορίες οικονομικής φύσεως ή σας προτρέπουν να πατήσετε σε κάποιο σύνδεσμο και εν συνεχεία να πρέπει να δώσετε ευαίσθητα προσωπικά δεδομένα (π.χ. κωδικό πρόσβασης, όνομα χρήστη κ.λπ.).
●► Μην δίνετε ευαίσθητα προσωπικά δεδομένα ιδίως όταν βλέπετε ότι χρησιμοποιούνται τεχνικές εκφοβισμού προκειμένου να τα παρέχετε (π.χ. χρονικές προθεσμίες). Επιπροσθέτως, προτού δώσετε ευαίσθητα προσωπικά δεδομένα σε κάποια φόρμα που σας υποδεικνύεται από κάποιο email, επικοινωνήστε πρώτα με τον αποστολέα του μηνύματος (π.χ. τράπεζα) για την επαλήθευση του.
●► Να έχετε ως αρχή ότι δεν συνδεόμαστε με μια ιστοσελίδα πατώντας σε κάποιον σύνδεσμο που υποδεικνύεται μέσα στο email, αλλά πληκτρολογούμε πάντοτε τη διεύθυνση (url) της ιστοσελίδας απ΄ευθείας στη γραμμή διεύθυνσης.
●► Να δείχνετε μεγάλη προσοχή στα email που περιέχουν ορθογραφικά λάθη ή σας δίνεται η εντύπωση ότι αποτελούν μια αυτοματοποιημένη μετάφραση (π.χ. από το Google translate) ή σας πληροφορούν για λογαριασμούς ή υπηρεσίες που εσείς δεν έχετε.
●► Όταν εισάγετε προσωπικά σας δεδομένα σε φόρμα κάποιας ιστοσελίδας, να προσέχετε στη γραμμή διευθύνσεως του browser σας να εμφανίζεται πάντοτε το πράσινο https αντί του http.
●► Να έχετε εγκατεστημένα και ενημερωμένα σε καθημερινή βάση στον υπολογιστή σας firewall, anti-spyware και anti-virus λογισμικά.
Μείνετε συντονισμένοι στο CyberSecurity για περισσότερες συμβουλές ασφαλείας!
cybersecurity.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου