Business & Finance Τετάρτη 19/05/2021, 13:28
BUSINESS & FINANCE

Ηλεκτρονικό ψάρεμα: Τι είναι και πώς μπορούμε να προστευτούμε

Αναλυτικές οδηγίες από την Εθνική Τράπεζα

Ηλεκτρονικό ψάρεμα: Τι είναι και πώς μπορούμε να προστευτούμε

Το phishing (ηλεκτρονικό ψάρεμα) αποτελεί μία μορφή ψηφιακής επίθεσης, η οποία εκτελείται κυρίως μέσω e-mail από υποτιθέμενες έμπιστες οντότητες.

Απώτερος σκοπός των κυβερνο-εγκληματιών είναι να παραπλανήσουν τα υποψήφια θύματα και να αποσπάσουν προσωπικά δεδομένα, λεπτομέρειες τραπεζικών λογαριασμών ή πιστωτικών/ χρεωστικών καρτών, κωδικούς πρόσβασης κ.ά.

Κατά τη διάρκεια της πανδημίας του κορωνοϊού, έχει καταγραφή σημαντική αύξηση των προσπαθειών εξαπάτησης με σκοπό την απόσπαση προσωπικών και οικονομικών πληροφοριών ή κωδικών ασφαλείας από επιτήδειους απατεώνες.

Έτσι, σε πολλές περιπτώσεις, πίσω από ένα φαινομενικά ακίνδυνο e-mail, sms ή τηλεφώνημα μπορεί να κρύβεται μία καλά οργανωμένη ψηφιακή επίθεση «ηλεκτρονικού ψαρέματος».

Ας δούμε με τη βοήθεια της Εθνικής Τράπεζας, ορισμένα χρήσιμα στοιχεία για το «ψάρεμα» και το πώς μπορούμε να προστατευτούμε.

Τεχνικές phishing

  • SIM Swapping

Τεχνική κατά την οποία οι επιτήδειοι καταφέρνουν να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα του θύματος με διάφορους τρόπους, όπως μέσω κακόβουλων εφαρμογών, αναζητήσεων σε social media κ.λπ. Με τα δεδομένα αυτά, εξαπατούν τους παρόχους κινητής τηλεφωνίας για να αποκτήσουν νέα κάρτα SIM προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος. Μόλις ενεργοποιήσουν τη νέα κάρτα, μπορούν πλέον να λαμβάνουν όλες τις κλήσεις και τα μηνύματα του νόμιμου κατόχου, ώστε να εκτελέσουν παράνομες δραστηριότητες. 

  • Smishing

Ψεύτικα μηνύματα σε μορφή γραπτών μηνυμάτων (SMS) αποστέλλονται στα κινητά τηλέφωνα των υποψήφιων θυμάτων.

  • Vishing

Η προσπάθεια παραπλάνησης πραγματοποιείται μέσω τηλεφωνικής κλήσης. Πολύ διαδεδομένη είναι η προσπάθεια εξαπάτησης μέσω υποτιθέμενης επιδιόρθωσης της συσκευής (π.χ. ηλεκτρονικού υπολογιστή, smartphone) του υποψήφιου θύματος από γνωστή εταιρεία Πληροφορικής. Με τον τρόπο αυτό, πείθουν τα θύματά τους ότι η συσκευή απαιτεί κάποιου είδους παρέμβαση (π.χ. επισκευή) και εγκαθιστούν εφαρμογές που τους δίνουν τον έλεγχο της συσκευής, ώστε να υποκλέψουν τα προσωπικά δεδομένα των θυμάτων. 

  • Pharming (phishing without a lure)

Οι χάκερς ή κάποιο malware που έχει εγκατασταθεί στον ηλεκτρονικό υπολογιστή του υποψήφιου θύματος μέσω του browser, τον κατευθύνει σε κάποια εικονική ιστοσελίδα.

  • Spear Phishing

Η τεχνική αυτή στοχεύει συγκεκριμένα άτομα. Οι χάκερς ερευνούν και εστιάζουν σε συγκεκριμένους στόχους στέλνοντας κατάλληλα προσαρμοσμένα ηλεκτρονικά μηνύματα. 

  • Whaling

Στοχευμένο ηλεκτρονικό ψάρεμα που απευθύνεται σε «μεγάλους στόχους», π.χ. Διευθύνοντες συμβούλους ή πολιτικούς.

  • Clone Phishing

Εξελιγμένη τεχνική παρεμβολής στην πραγματική αλληλογραφία. Ο εισβολέας κλωνοποιεί ένα νόμιμο ηλεκτρονικό μήνυμα από μια αξιόπιστη πηγή. Για το θύμα, το μήνυμα ηλεκτρονικού ταχυδρομείου που λαμβάνει φαίνεται να αποτελεί συνέχεια της συνομιλίας του, αλλά ενδέχεται να περιέχει κάποιο κακόβουλο σύνδεσμο.

Σημεία ένδειξης πιθανής επίθεσης

  • Το μήνυμα ηλεκτρονικού ταχυδρομείου δεν προέρχεται από το domain(@nbg.gr) της Εθνικής Τράπεζας, ενώ θέλει να υποδείξει ότι σχετίζεται ή προέρχεται από αυτό.
  • Ύπαρξη επισυναπτόμενων αρχείων (πολύ συχνά αρχείων με κατάληξη .pdf, .zip).
  • Φτωχή & λανθασμένη χρήση της γλώσσας ή γραμματικά λάθη.
  • Το περιεχόμενο του e-mail/ sms/ τηλεφωνήματος ζητά από τον χρήστη κάποια ύποπτη δράση, πχ να μεταβεί σε ένα σύνδεσμο και να εισαγάγει συγκεκριμένες πληροφορίες.
  • Οι σύνδεσμοί (links) περιέχουν αναγραμματισμούς που παραπέμπουν σε υπαρκτούς συνδέσμους παρεμφερείς με εκείνους της Εθνικής, χωρίς όμως να ανήκουν στο domain της.

Δίνουμε ιδιαίτερη προσοχή σε:

  • E-mail από άγνωστες/ μη έμπιστες πηγές
  • E-mail που απαιτούν κάποια μη συνηθισμένη ενέργεια, προερχόμενα ακόμη και από άτομα που ενδεχομένως γνωρίζουμε

Χαρακτηρίζουμε ως «ύποπτο» ένα e-mail με:

  • Αναγραμματισμούς ή ορθογραφικά λάθη στη διεύθυνση του αποστολέα
  • Μη υπαρκτά ονόματα και διευθύνσεις (π.χ. [email protected], [email protected])
  • Είμαστε επιφυλακτικοί με e-mail που απαιτούν άμεση ενέργεια από την πλευρά μας ή απειλούν να απενεργοποιήσουν τους λογαριασμούς μας
  • Είμαστε σε εγρήγορση για e-mail που δεν μας απευθύνονται ονομαστικά ή έχουν ορθογραφικά λάθη

Χρήσιμες Συμβουλές

  • Εάν κάποιος σας καλεί από άγνωστο αριθμό, ειδικά από το εξωτερικό και ισχυρίζεται ότι είναι από οποιαδήποτε εταιρεία πληροφορικής, χωρίς να έχετε δηλώσει κάποια βλάβη του υπολογιστή σας, να διακόπτετε την κλήση.
  • Mην προχωράτε ποτέ στην εγκατάσταση του προτεινόμενου από αγνώστους λογισμικού απομακρυσμένης διαχείρισης.
  • Μην αποκαλύπτετε για κανέναν λόγο σε τρίτους τους κωδικούς πρόσβασής σας στο Interrnet Banking, τους κωδικούς μίας χρήσης (ΟΤP) που λαμβάνετε μέσω Viber ή SMS, καθώς και τα προσωπικά και οικονομικά σας στοιχεία.
  • Αν το κινητό σας σταματήσει να λειτουργεί για ασυνήθιστους λόγους, επικοινωνήστε αμέσως με τον πάροχο κινητής τηλεφωνίας. Μερικές φορές μπορεί να χάσετε σήμα λόγω ευρύτερων προβλημάτων που επηρεάζουν την υπηρεσία κινητής τηλεφωνίας. Ωστόσο, εάν χάσετε την υπηρεσία σε μια θέση που συνήθως έχει καλή κάλυψη, είναι ασφαλέστερο να επικοινωνήσετε με τον πάροχο του δικτύου σας και να επιβεβαιώσετε ότι δεν έχει απενεργοποιηθεί η SIM σας.
  • Μην αποκαλύπτετε τον αριθμό του κινητού σας τηλεφώνου στα μέσα κοινωνικής δικτύωσης.
  • Εγγραφείτε στις υπηρεσίες των οργανισμών που παρέχουν ειδοποιήσεις SMS και ηλεκτρονικού ταχυδρομείου όταν εκτελούνται συναλλαγές σας. Αν είστε χρήστης του NBG Mobile Banking, μπορείτε να λαμβάνετε άμεσες ειδοποιήσεις στο κινητό σας (push notifications) για κάθε εισερχόμενη ή εξερχόμενη συναλλαγή από τους λογαριασμούς και τις κάρτες σας.
  • Μην απαντάτε ποτέ σε άγνωστα μηνύματα ή κλήσεις που σας ζητούν τα στοιχεία λογαριασμών σας και τον καταχωρημένο αριθμό του κινητού σας τηλεφώνου.
  • Μην ακολουθείτε συνδέσμους (links) ιστοσελίδων και μην ανοίγετε συνημμένα αρχεία που μπορεί να λάβετε από άγνωστους αποστολείς ηλεκτρονικού ταχυδρομείου. Ελέγξτε προσεκτικά τον αποστολέα, καθώς οι δράστες συχνά προσποιούνται νόμιμες επιχειρήσεις και οργανισμούς.
  • Μην κοινοποιείτε σε κανέναν και μην εισάγετε σε άγνωστες ιστοσελίδες, τους κωδικούς σας στο Internet/Mobile Banking (username και password) ή τον αριθμό της κάρτας σας. Επιβεβαιώνετε ότι έχετε επισκεφθεί το επίσημο site της Τράπεζάς σας και θυμηθείτε ότι οι τράπεζες ποτέ και με κανένα τρόπο δεν θα σας ζητήσουν να αποκαλύψετε τους κωδικούς σας.
  • Ο υπολογιστής και οι συσκευές σας (tablet, έξυπνα κινητά) να έχουν πάντα τις τελευταίες ενημερώσεις λειτουργικού και εφαρμογών. Εγκαταστήστε και έχετε πάντα ενημερωμένο ένα αξιόπιστο πρόγραμμα προστασίας από κακόβουλο λογισμικό.
  • Να ελέγχετε συχνά τις κινήσεις των λογαριασμών σας.

moneyreview.gr

Ακολουθήστε το Money Review στο Google News