Σε μια εποχή που οι ηλεκτρονικές αγορές, οι ηλεκτρονικές πληρωμές και η γενικότερη πραγματοποίηση συναλλαγών και ευαίσθητων διαδικασιών μέσω του διαδικτύου παρουσιάζει άνοδο λόγω της πανδημίας, μια λέξη, μια κακόβουλη πρακτική, προκαλεί ανησυχία στους χρήστες του διαδικτύου: το phisihing.
Επί της ουσίας, το phishing είναι «ψάρεμα», αποτελώντας μια προσπάθεια παραπλάνησης ανυποψίαστων χρηστών. Το phishing συνήθως πραγματοποιείται με την αποστολή μαζικών μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα οποία φτάνουν σε πολλαπλούς παραλήπτες και, εκ πρώτης όψεως, δείχνουν να προέρχονται από κάποια γνωστή και καθόλα νόμιμη επιχείρηση (τράπεζες, υπηρεσίες ηλεκτρονικών πληρωμών, ηλεκτρονικά καταστήματα κτλ).
Επί της ουσίας, το μήνυμα ηλεκτρονικού ταχυδρομείου προσποιείται ότι προέρχεται από τον αποστολέα που αναφέρει και χρησιμοποιεί. Στην πραγματικότητα, δεν έχει καμία σχέση με αυτόν και αποτελεί μια κακόβουλη προσπάθεια για παραπλάνηση του παραλήπτη και υποκλοπή προσωπικών στοιχείων του, όπως κωδικών πρόσβασης, usernames και άλλων ευαίσθητων δεδομένων, προκαλώντας σοβαρές ζημιές.
Το «ηλεκτρονικό ψάρεμα», όπως θα μπορούσαμε να το μεταφράσουμε στα ελληνικά, συνήθως χρησιμοποιεί ενεργούς υπερσυνδέσμους στο κείμενο του μηνύματος για να στείλει τον παραλήπτη του phishing σε κάποια ιστοσελίδα στην οποία καλείται να εισάγει τα στοιχεία του. Φυσικά, τα στοιχεία αυτά στη συνέχεια υποκλέπτονται, με όποιες συνέπειες μπορεί να έχει αυτό (μη εξουσιοδοτημένη πρόσβαση σε τραπεζικούς λογαριασμούς, πραγματοποίηση συναλλαγών και αγορών κτλ).
Οι πρώτες καταγεγραμμένες ενέργειες αυτού του τύπου έπληξαν την αμερικανική AOL, το 1995, σε μια περίοδο που εξυπηρετούσε 3,5 εκατομμύρια λογαριασμούς. Οι επιτιθέμενοι, δημιουργώντας ψεύτικους λογαριασμούς, επικοινωνούσαν με πελάτες της υποδυόμενοι υπαλλήλους της ίδιας της εταιρείας, ζητώντας προσωπικούς κωδικούς και αριθμούς τραπεζικών λογαριασμών, συνήθως με την πρόφαση κάποιου προβλήματος στον λογαριασμό τους.
Από τότε μέχρι σήμερα κύλησε πολύ νερό στο αυλάκι και οι phishing επιθέσεις έγινε μαζικότερες, «εξυπνότερες» και καλύτερα σχεδιασμένες, στοχεύοντας χρήστες και στην Ελλάδα. Πιο πρόσφατο παράδειγμα η επίθεση που φαίνεται πως χρησιμοποίησε το όνομα της Eurobank. Σύμφωνα με τα όσα έχουν γίνει γνωστά, οι χρήστες του ebanking της τράπεζας οδηγούνταν από ένα κακόβουλο mail σε μια ιστοσελίδα, που έμοιαζε με εκείνη του ebanking, στην οποία καλούνταν να εισάγουν τα προσωπικά τους στοιχεία.
Σε ανακοίνωση που έδωσε στη δημοσιότητα η Eurobank, μετά από σχετικά δημοσιεύματα, ανέφερε πως ζητά «την προσοχή των πελατών της να μην ανοίγουν emails από άγνωστες πηγές και να είναι ιδιαίτερα προσεχτικοί σε ποιες σελίδες περιηγούνται στο διαδίκτυο, καθώς υπάρχει ο κίνδυνος να γίνουν θύματα υποκλοπής στοιχείων μέσα από τη διαδικασία "ψαρέματος" στοιχείων χρηστών. Η Τράπεζα ουδέποτε έχει ζητήσει, δεν ζητά και δεν θα ζητήσει ποτέ τα στοιχεία των πελατών κατ΄ αυτόν τον τρόπο».
Αν και μέχρι την ώρα που γράφονταν αυτές οι γραμμές δεν είχε γίνει γνωστό το μέγεθος της επίθεσης και εάν υπήρξε πραγματικά υποκλοπή δεδομένων και μη εξουσιοδοτημένη πρόσβαση σε τραπεζικούς λογαριασμούς και στοιχεία, η ανακοίνωση της Eurobank, μέσα σε λίγες γραμμές, κατάφερε να περιγράψει τι θα πρέπει να προσέχουν οι χρήστες (ποιες σελίδες επισκέπτονται) και τι δεν θα κάνει ποτέ η ίδια (να τους ζητήσει στοιχεία κατ' αυτόν τον τρόπο).
Αν και τα phishing mail μπορεί να δείχνουν πως πραγματικά προέρχονται από αυτόν που «υποδύονται», στην πραγματικότητα ποτέ δεν είναι. Τις περισσότερες φορές κάνουν χρήση πραγματικών ονομάτων, λογότυπων και χρωμάτων - όλου του branding δηλαδή - της εκάστοτε εταιρείας, ενώ ακόμη και οι διευθύνσεις email και τα υπόλοιπα links που εμφανίζουν ενδέχεται να δείχνουν πραγματικά.
Πώς θα ξεχωρίσει, λοιπόν, κάποιος ένα phishing mail; Αρχικά, τις περισσότερες φορές, αυτά «πέφτουν» στα φίλτρα του εκάστοτε παρόχου (Outlook, Gmail κτλ). Οπότε, εάν ένα μήνυμα βρεθεί στον φάκελο Spam του Gmail και δείχνει πως προέρχεται από μια τράπεζα, μάλλον βρίσκεται εκεί για κάποιον συγκεκριμένο λόγο. Δεν είναι λίγες οι φορές όμως που τα φίλτρα αυτά δεν λειτουργούν αποτελεσματικά.
Και κάπως έτσι, ένα phishing mail μπορεί να βρεθεί στο inbox. Ο πρώτος τρόπος για να καταλάβει κάποιος ότι πρόκειται για κάτι τέτοιο, είναι ο αποστολέας. Ακόμη και αν στο όνομα φαίνεται μια πραγματική επιχείρηση ή αν χρησιμοποιείται σε αυτό το πεδίο μια σχεδόν αληθινή διεύθυνση, αν κάποιος ψάξει τον πραγματικό αποστολέα του μηνύματος, αυτός συνήθως θα είναι κάποια μεγάλη και μη αναγνωρίσιμη διεύθυνση email.
Ένας δεύτερος τρόπος είναι τα links εντός του κειμένου (τα οποία ο χρήστης δεν θα πρέπει ποτέ να πατάει, ακόμη και αν δεν εισάγει στη συνέχεια κανένα δεδομένο). Με μια εξέταση τους, γίνεται εμφανές ότι δεν ανακατευθύνουν εκεί που λένε, αλλά κάπου εντελώς διαφορετικά. Ή, στην «καλύτερη», στέλνουν σε μια εντελώς κατασκευασμένη διεύθυνση που «μοιάζει» με εκείνη την πραγματικής επιχείρησης.
Τρίτος τρόπος είναι το ίδιο το κείμενο του μηνύματος. Πέρα από το ότι ο χρήστης μπορεί να μην έχει καν λογαριασμό στην υπηρεσία που αναφέρεται, αυτό σχεδόν πάντα κάνει λόγο για κάποιο πρόβλημα που έχει προκύψει και σε κάποια ενέργεια που θα πρέπει να γίνει άμεσα για την επίλυση του, συνήθως ζητώντας προσωπικά δεδομένα.
Είναι σημαντικό να αναφερθεί σε αυτό το σημείο πως καμία τράπεζα δεν θα επικοινωνήσει με τους πελάτες της για να τους ζητήσει τα PIN τους και καμία υπηρεσία δεν θα ζητήσει να της αποσταλούν οι κωδικοί πρόσβασης. Οι επιχειρήσεις και τα μεγάλα brands πραγματοποιούν τις επικοινωνίες τους μέσα από ασφαλή περιβάλλοντα, ακόμη και αν αυτό που απαιτείται είναι η αλλαγή κάποιου κωδικού πρόσβασης.
Σε κάθε περίπτωση, ναι μεν η προστασία μπορεί να βασιστεί σε σχετικά λογισμικά και στην χρήση ασφαλών εφαρμογών και μεθόδων (όπως το two-factor authentication), στο τέλος της ημέρας, όμως, η αποφυγή των συνεπειών αυτών των mail βασίζεται στον ίδιο τον χρήστη. Οι phishing mail επιθέσεις θα γίνονται ολοένα και πιο έξυπνες και σοβαρές. Ο καλύτερος τρόπος αποφυγής τους είναι η σωστή ενημέρωση και η υιοθέτηση αποτελεσματικών πρακτικών, πόσο μάλλον όταν ο παραλήπτης είναι μια επιχείρηση.
Έτσι, απαιτείται μεγάλη προσοχή σε mails που προέρχονται από εταιρείες και υπηρεσίες και μας ζητούν να κάνουμε κάτι άμεσα, να πατήσουμε σε κάποιο link για να διορθώσουμε ένα πρόβλημα ή να στείλουμε κάποιο προσωπικό στοιχείο μας. Σε κάθε περίπτωση, στην περίπτωση που ο χρήστης λάβει ένα mail και δεν μπορεί να επιβεβαιώσει εάν προέρχεται πραγματικά από την ίδια την επιχείρηση που αναφέρει, είναι πάντα καλύτερο να επικοινωνεί με την ίδια, στο πραγματικό email της ή τηλεφωνικά, ώστε να επιβεβαιώνει την αυθεντικότητα του μηνύματος ή - εάν αυτό αποδειχθεί phishing - να το αναφέρει/καταγγέλλει.
Σχόλια