Μαρ62022
Phishing και κωδικοί πρόσβασης | D3 Solutions - Digital Agency

Phishing: Το ψάρεμα στο διαδίκτυο

 

Οι περισσότεροι άνθρωποι που έχουν το ψάρεμα σαν χόμπι, ψαρεύουν για τη δική τους ευχαρίστηση και την αγαλλίαση της ψυχής τους, σεβόμενοι το περιβάλλον και φυσικά τα ψαράκια γλυκού ή αλμυρού νερού. Δυστυχώς, στο διαδίκτυο το phishing δεν είναι τόσο αγνό, όσο ακούγεται την πρώτη φορά.

Με το ηλεκτρονικό ψάρεμα ασχολούνται κυρίως κυβερνο – εγκληματίες που έχουν αναπτύξει διάφορες μεθόδους επιθέσεων σε ανυποψίαστους χρήστες του διαδικτύου. Μοναδικό στόχο έχουν για να αποκτήσουν πληροφορίες και προσωπικά δεδομένα.

Αν έχεις λάβει ποτέ email, sms ή οποιαδήποτε άλλη μορφή ηλεκτρονικής επικοινωνίας που νομίζεις ότι προέρχεται από κάποιο χρηματοπιστωτικό ίδρυμα (συνήθως τράπεζα) και σου ζητάει κωδικούς, αριθμούς πιστωτικής κάρτας ή άλλη ευαίσθητη πληροφορία, τότε ξέρεις από πρώτο χέρι τι είναι το phishing.

 

Τι είναι το Phishing και από που ήρθε;

Πρώτη φορά ο όρος phishing αναφέρθηκε το 1987. Οι Chris Hauck και Jerry Felix έγραψαν μια εργασία σχετικά με τους hackers που μιμούνται μια αξιόπιστη υπηρεσία ή οντότητα για να αποκτήσουν προσωπικές πληροφορίες. Το phishing προέρχεται από τη λέξη “fishing”, που σημαίνει ψάρεμα. Τα δύο πρώτα γράμματα (Ph) τα πήρε από μια πολύ γνωστή κατηγορία hackers της εποχής, τους phreaks. Κάτι σαν τους Anonymous που έχουμε σήμερα, αλλά οι phreaks ήταν πασίγνωστοι τις δεκαετίες του 80′ και 90′.

Η πιο γνωστή τεχνική phishing είναι μέσω email που αποστέλλονται στο θύμα. Το μήνυμα μοιάζει πάρα πολύ με αυτό της τράπεζας και ζητάει προσωπικά στοιχεία (συνήθως κωδικούς). Τα στοιχεία τα συμπληρώνεις σε μια ψεύτικη φόρμα που υπάρχει στο email ή σε παραπέμπει σε μια ιστοσελίδα για να το κάνεις εκεί.

Στο παρελθόν μπορούσες να καταλάβεις τα phishing messages από το domain name, όμως σήμερα οι επιτιθέμενοι το έχουν εξελίξει πάρα πολύ και τα ψεύτικα μηνύματα είναι σχεδόν πανομοιότυπα με τα αυθεντικά μιας τράπεζας.

Οι πληροφορίες που ζητούν χρησιμοποιούνται για άδειασμα των τραπεζικών λογαριασμών. Αν δεν μπορούν οι επιτιθέμενοι να το κάνουν, τότε πουλάνε τις πληροφορίες στη μαύρη αγορά του διαδικτύου και αναλαμβάνουν οι ειδικοί που ξέρουν από αυτά τα κόλπα.

Στον γενικό όρο του phishing πραγματοποιούνται επιθέσεις μέσω sms γνωστές ως smishing και μέσω τηλεφωνικών κλήσεων γνωστές ως vishing. Σήμερα η πιο προηγμένη μέθοδος είναι το spear phishing. Οι δημιουργοί αυτών των emails κάνουν μια μεγάλη έρευνα σε οργανισμούς, ομάδες και μεμονωμένα άτομα, στέλνοντας το μήνυμα μαζικά στους στόχους τους, κάνοντας ακόμα πιο δύσκολο τον εντοπισμό του περιεχομένου, ως προς το αν είναι αυθεντικό ή όχι.

 

Πώς μπορείς να καταλάβεις το Phishing;

Σίγουρα όχι από το λογότυπο της τράπεζας και από την πρώτη εικόνα του email. Μερικές συμβουλές για να καταλάβεις το phishing είναι οι εξής:

  • Το αίτημα καταχώρησης πληροφοριών είναι η πιο συχνή μέθοδος. Οι τράπεζες και γενικά όλες οι online υπηρεσίες αποφεύγουν και δεν ζητάνε προσωπικές πληροφορίες μέσω email.
  • Τα συντακτικά και ορθογραφικά λάθη κάνουν το ψεύτικο μήνυμα να φαίνεται από μακριά. Αν διαβάσεις email με ασυνήθιστες εκφράσεις που μοιάζουν σαν τις μεταφράσεις στα Ελληνικά από το Google Translate, τότε είναι σίγουρα phishing message.
  • Η αίσθηση της επείγουσας ανάγκης για μια ενέργεια είναι κάτι που δε συνηθίζει να κάνει κανένα χρηματοπιστωτικό ίδρυμα, οπότε λαμβάνεται αμέσως σαν ύποπτο. Προσφορές που δεν μπορείς να αρνηθείς και οτιδήποτε ακούγεται πολύ καλό για να είναι αληθινό, επίσης λαμβάνεται σαν ύποπτο.
  • Τέλος, τα domain names θα σε βοηθήσουν να καταλάβεις από που προέρχεται το email. Για παράδειγμα, δεν μπορεί μια ελληνική τράπεζα να σου στέλνει μήνυμα από ένα κινέζικο domain.

 

Πώς να προστατέψεις τον εαυτό σου από το Phishing;

Για να αποφύγεις το δόλωμα θα δώσουμε μερικές ακόμα συμβουλές.

Αρχικά, μη δίνεις πουθενά και σε κανέναν τα προσωπικά σου στοιχεία. Ειδικά, αυτά που αφορούν κωδικούς e-banking. Αν έχεις νιώσει την ανάγκη ότι πρέπει να σε βοηθήσει κάποιος και χρειάζεται να δώσεις προσωπικές πληροφορίες, τότε επικοινώνησε τηλεφωνικά με την αντίστοιχη τράπεζα ή καλύτερα πήγαινε από κοντά για να λυθεί το πρόβλημα άμεσα.

Τα μέσα μαζικής ενημέρωσης κάνουν συχνά αναφορές από επιθέσεις phishing. Αυτό συμβαίνει διότι οι επιτιθέμενοι ανακαλύπτουν συνέχεια νέες τεχνικές για να προσελκύσουν τα ανυποψίαστα θύματά τους. Μείνε ενήμερος, παρακολουθώντας όλες τις εξελίξεις.

Πριν κάνεις click σε οποιοδήποτε ηλεκτρονικό μήνυμα σκέψου το δύο φορές (για να μην πούμε 100…). Εκτός από τις φόρμες συμπλήρωσης προσωπικών στοιχείων, υπάρχει η πιθανότητα να πραγματοποιήσεις κάποια ανεπιθύμητη λήψη που θα μολύνει τη συσκευή ή τον υπολογιστή με κακόβουλο λογισμικό.

Επίσης, για παν ενδεχόμενο να κάνεις συχνά έλεγχο στους τραπεζικούς σου λογαριασμούς. Ακόμα και αν δεν υποψιάζεσαι ότι κάποιος θέλει να κλέψει τις προσωπικές σου πληροφορίες, ένας έλεγχος ανά τακτά χρονικά διαστήματα δεν κάνει κακό.

 

Η Google για τα θέματα ασφάλειας

Η Google αντιμετωπίζει με σοβαρότητα όλα τα ζητήματα ασφάλειας στο διαδίκτυο. Για την προστασία των λογαριασμών της, έχει δημιουργήσει ένα link που το ονομάζει security & checkup και κάνει όλους τους ελέγχους ασφαλείας.

Εκτός από αυτό, ζητάει από τους χρήστες της να ενημερώνουν τακτικά το πρόγραμμα περιήγησης (Chrome), το λειτουργικό σύστημα και τις εφαρμογές που χρησιμοποιούν. Διατηρώντας τα πάντα ενημερωμένα, συμβάλλεις στην προστασία του λογαριασμού σου.

Οτιδήποτε δε χρησιμοποιείς, όπως επεκτάσεις του προγράμματος περιήγησης και εφαρμογές ξεχασμένες στο “βάθος της μνήμης” καλό είναι να καταργούνται. Επίσης, μην κάνεις εγκατάσταση προγραμμάτων από άγνωστες πηγές.

Ακόμα, η χρήση μοναδικών και ισχυρών κωδικών πρόσβασης είναι must. Στο blog μας έχουμε κάνει αναφορά για τους κωδικούς πρόσβασης σε άρθρο που αφορούσε τα θέματα ασφάλειας ιστοσελίδων. Όμως, νομίζουμε ότι είναι η κατάλληλη στιγμή να πούμε δύο λόγια για την ισχύ των κωδικών πρόσβασης.

 

Αχ αυτά τα Passwords…

Ένα από τα μεγαλύτερα ζητήματα ασφάλειας στο διαδίκτυο είναι οι κωδικοί πρόσβασης. Κάποιοι από αυτούς είναι τόσο εύκολοι, που οι κυβερνο – εγκληματίες δεν χρειάζεται να τους σπάσουν και μπορούν απλά να τους μαντέψουν.

Τα εργαλεία πειρατείας που υπάρχουν στο ίντερνετ έχουν γίνει αρκετά περίπλοκα, κάνοντας passwords έξι χαρακτήρων να μοιάζουν με αστείο. Ένας καλός και δυνατός κωδικός πρόσβασης πρέπει να συνδυάζει ψηφία, ειδικούς χαρακτήρες, πεζά και κεφαλαία γράμματα.

Θα έρθεις όμως και θα μας πεις: “Που να θυμάμαι τόσους κωδικούς πρόσβασης;”. Δεν έχεις άδικο. Με τόσους λογαριασμούς που χρησιμοποιούμε στα πάντα πλέον (τράπεζες, taxiset, emails κλπ) πρέπει να είσαι ο Αϊνστάιν για να τους θυμάσαι όλους. Που, μεταξύ μας, ούτε αυτός δε θα τους θυμόταν.

Γι’ αυτό τον λόγο κυκλοφορούν εφαρμογές που ονομάζονται διαχειριστές κωδικών πρόσβασης. Υπάρχουν δεκάδες στην αγορά. Κάποιοι είναι δωρεάν, ενώ άλλοι θέλουν ένα μικρό αντίτιμο. Εμείς κάναμε μια μικρή έρευνα και συγκεντρώσαμε τους τρεις καλύτερους κατά τη γνώμη μας που θα σε βοηθήσουν να ξεκινήσεις και να τους δοκιμάσεις.

Όλοι τους είναι πολύ εύκολοι στη χρήση. Δημιουργούν, αποθηκεύουν και φυσικά συμπληρώνουν μόνοι τους, τους κωδικούς πρόσβασης. Ενώ υπάρχουν πραγματικά κακά προγράμματα στην αγορά (περίπλοκα και ακριβά), εμείς κάναμε την έρευνα σύμφωνα πάντα με την αξία τους, τα χαρακτηριστικά τους, την ευκολία στη χρήση και την ασφάλεια.

LastPass

To LastPass είναι η καλύτερη δωρεάν εφαρμογή διαχείρισης κωδικών πρόσβασης στο διαδίκτυο. Ότι πρέπει για να κάνεις τα πρώτα σου βήματα. Η free έκδοση έχει απίστευτες επιλογές όπου κανένας άλλος από τους ανταγωνιστές του δεν τις παρέχει δωρεάν.

Μπορείς να αλλάξεις τα passwords σου, σε σχεδόν 100 ιστοσελίδες με ένα μόνο click. Εκτός από την αυτόματη αλλαγή κωδικών, μπορείς να ανακτήσεις εύκολα τους λογαριασμούς σου, σου παρέχει αρκετές επιλογές για έλεγχο ταυτότητας, κάνει ελέγχους για το πόσο ισχυρά είναι τα passwords σου και έχει ασφαλή αποθήκευση για τις σημειώσεις σου.

Όσον αφορά στην premium έκδοση, αυτή κοστίζει 2.90€ το μήνα για έναν λογαριασμό και το οικογενειακό πακέτο (μέχρι 6 λογαριασμούς) ανέρχεται στα 3.90€.

1Password

Το 1Password ξεχωρίζει για την απλότητά του καθώς είναι εξαιρετικά φιλικό προς τον χρήστη. Το περιβάλλον λειτουργίας του είναι πανέξυπνο και το κάνει ιδανικό για αρχάριους. Τα χαρακτηριστικά ασφαλείας του είναι μοναδικά και σου διασφαλίζουν τους κωδικούς πρόσβασης στο 100%.

Κάποια από αυτά είναι:

  • 2FA: Συγχρονίζει τις εφαρμογές κωδικών μίας χρήσης για iOS, Android και Windows.
  • Travel Mode: Κρύβει όλους τους κωδικούς στο μυστικό αρχείο για να μην αποκαλυφθούν από τους εξονυχιστικούς συνοριακούς ελέγχους.
  • Watchtower: Ένα από τα καλύτερά του. Σαρώνει το διαδίκτυο εντοπίζοντας παραβιάσεις οικονομικού ενδιαφέροντος, κάνοντας παράλληλα ελέγχους ασφαλείας στο μυστικό αρχείο και δημιουργώντας υψηλής ισχύος κωδικούς πρόσβασης.

Το κόστος του 1Password έρχεται στα 2.99€ τον μήνα για ένα λογαριασμό. Όμως, παρέχει ένα πολύ καλό οικογενειακό πακέτο σύμφωνα πάντα με αυτά που προσφέρει και την αξία του. Με μία συνδρομή που περιλαμβάνει 5 μέλη, το κόστος έρχεται στα 4.99€.

Dashlane

Συνήθως όταν γράφουμε μια λίστα με κατάταξη των καλύτερων προϊόντων, η δεύτερη και τρίτη θέση για κάποιους μπορεί να είναι η πρώτη. Αυτό ισχύει και σε αυτή την περίπτωση. Το Dashlane είναι κάτι σαν τις ΗΠΑ στο μπάσκετ. Όλοι ξέρουμε ότι είναι οι καλύτεροι και ψάχνουμε τους άλλους.

Το Dashlane θεωρείται μακράν το καλύτερο πρόγραμμα, όχι μόνο για το 2022. Και τις προηγούμενες χρονιές πάλι το καλύτερο ήταν. Περιλαμβάνει μια τεράστια γκάμα επιπρόσθετων χαρακτηριστικών, είναι εύχρηστο και φυσικά απίστευτα ασφαλές.

Σε δοκιμές που έχουν γίνει, έχει εξαιρετική απόδοση σε όλους τους τομείς. Οι εφαρμογές του για τις συσκευές, για τον υπολογιστή και οι επεκτάσεις στα προγράμματα περιήγησης όπως το Chrome και το Firefox είναι τα πιο αξιόπιστα και πιο εύχρηστα από οποιονδήποτε άλλον ανταγωνιστή του.

Κάποιες από τις ιδιότητες που προσφέρει στους πελάτες του είναι:

  • Ασφαλής αποθήκευση αρχείων μέχρι 1 GB
  • Συνεχείς ελέγχους σχετικά με την ισχύ των passwords
  • Παρακολούθηση dark web
  • VPN
  • Αυτόματη αλλαγή passwords

Η τιμή του ξεκινάει στα 3.99€ για έναν λογαριασμό, ενώ το οικογενειακό πακέτο (6 λογαριασμών) ανέρχεται στα 5.99€.

 

Καταλήγοντας

Το phishing δυστυχώς υπάρχει στο διαδίκτυο. Δεν είναι όλα αγγελικά πλασμένα. Εμείς το μόνο που μπορούμε να κάνουμε είναι να είμαστε ενήμεροι και να μη δίνουμε σε κανέναν τα προσωπικά μας στοιχεία. Όπως έχουν πει κατ’ επανάληψη οι τράπεζες προς τους καταναλωτές, από πλευράς τραπεζών δε θα ζητηθούν ποτέ οι κωδικοί πρόσβασης ή στοιχεία καρτών και δε θα προβούν ποτέ σε καμία διαδικασία επαλήθευσης προσωπικών στοιχείων από email ή sms.

Με τόσους λογαριασμούς και τόσους κωδικούς πρόσβασης, πάντα υπάρχουν λύσεις για να τους έχεις εξαιρετικά ισχυρούς και ασφαλείς. Ίσως, μία δοκιμή με έναν διαχειριστή κωδικών πρόσβασης να σου λύσει το πρόβλημα και να έχεις το κεφάλι σου ήσυχο.