Το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου phishing σε χρήστες ηλεκτρονικού ταχυδρομείου.
Ειδικότερα, αποστέλλονται ψευδή μηνύματα σε πολίτες, τα οποία προσομοιώνουν αίτημα από την Ενιαία Ψηφιακή Πύλη του Δημοσίου, το gov.gr, που καλούν τους πολίτες να δουν έγγραφο που έχει αναρτηθεί στην προσωπική τους θυρίδα.
H Εθνική Αρχή Κυβερνοασφάλειας του υπουργείου Ψηφιακής Διακυβέρνησης υπενθυμίζει χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας των πολιτών.
Το phishing συνιστά ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο που καλεί τον αποδέκτη του μηνύματος να ακολουθήσει τις οδηγίες που του δίνονται. Αυτές οι οδηγίες μπορεί να ζητούν από τον αποδέκτη να ακολουθήσει κάποιον ηλεκτρονικό σύνδεσμο (link) ή και να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.
Περαιτέρω τις τελευταίες ημέρες παρατηρείται αυξημένος αριθμός μηνυμάτων σχετικά με επιστροφές φόρου ή χορήγηση επιδομάτων.
Καλούνται οι πολίτες να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής φαίνεται ο αποστολέας ή και τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων που δρουν με αυτόν τον τρόπο. Ακολουθούν κάποιες πρακτικές συμβουλές για την προστασία από τις επιθέσεις αυτού του τύπου (phishing attacks):
– Δεν θα πρέπει ποτέ να δίνετε τα προσωπικά στοιχεία (π.χ. κωδικούς e-Βanking, αριθμούς/PIN καρτών, κωδικούς πρόσβασης, όνομα χρήστη) σε υποτιθέμενους διαμεσολαβητές, νομικά γραφεία, λογιστές, ή άλλους επιτήδειους για δήθεν εξυπηρέτηση (π.χ. σε θέματα κρατικής επιδότησης, Power/Fuel/Τουρισμός για όλους ή άλλες περιπτώσεις όπως ενοικίαση δωματίων κ.λπ.).
– Θα πρέπει να πραγματοποιείτε πρόσβαση μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας ή μέσω της εφαρμογής στο κινητό σας (app) και όχι μέσω συνδέσμων από κάποιο μήνυμα ή email που λάβατε, μηχανές αναζήτησης ή άλλες ιστοσελίδες.
– Αν λάβατε κάποιο ύποπτο email, προτού ενεργήσετε θα πρέπει να επικοινωνήσετε με τους συνεργάτες σας ή με τον υποτιθέμενο αποστολέα για να ελέγξετε την αυθεντικότητα του.
– Θα πρέπει να ελέγχετε προσεκτικά τη διεύθυνση του αποστολέα. Τα μηνύματα τύπου phishing έχουν συχνά διευθύνσεις αποστολέα που δεν έχουν σχέση με αυτόν που υποτίθεται ότι τα στέλνει.
– Θα πρέπει να εξετάζετε το είδος των πληροφοριών που σας ζητούνται. Ακόμα και αν το μήνυμα που λάβατε φαίνεται αυθεντικό, είναι απίθανο κάποιος φορέας, τράπεζα ή εταιρία να επικοινωνήσει μέσω ηλεκτρονικού ταχυδρομείου για να σας ζητήσει προσωπικά στοιχεία, στοιχεία τραπεζικής ή πιστωτικής κάρτας, ή άλλα προσωπικά ή ευαίσθητα δεδομένα.
– Θα πρέπει να είστε επιφυλακτικοί εάν το μήνυμα δημιουργεί μια αίσθηση επείγοντος. Οι επιτιθέμενοι προσπαθούν συχνά να ασκήσουν πίεση χρησιμοποιώντας αυτήν την τακτική.
– Θα πρέπει επίσης να είστε επιφυλακτικοί με μηνύματα επιστροφής φόρου ή χορήγησης επιδομάτων.
– Είναι αποτελεσματικός ένας ενδελεχής έλεγχος γραμματικής και ορθογραφίας καθώς τα τυπογραφικά λάθη και η κακή γραμματική είναι συχνά χαρακτηριστικά των μηνυμάτων τύπου phishing.
– Υπάρχουν αρκετές λύσεις ασφάλειας και αντιμετώπισης κακόβουλου λογισμικού (antispamming) που περιλαμβάνουν λειτουργίες αναγνώρισης και απόρριψης κακόβουλων μηνυμάτων
Σύμφωνα με τα στοιχεία του Ελληνικού Κέντρου Ασφαλούς Διαδικτύου, που έχει την πλήρη εικόνα για τις διαδικτυακές απειλές στην Ελλάδα, οι οικονομικές απάτες αποτελούν το 28% των καταγγελιών που δέχτηκε κατά το 2021 η ανοιχτή γραμμή καταγγελιών.
Όσον αφορά στους εφήβους, σύμφωνα με τα αποτελέσματα έρευνας που διενήργησε το κέντρο υπό την έγκριση του Υπουργείου Παιδείας και Θρησκευμάτων το 2021-2022 σε ένα δείγμα 5000 μαθητών ηλικίας από 12-18 ετών, θύμα διαδικτυακής απάτης έχει πέσει το 10% των παιδιών που χρησιμοποιούν το Διαδίκτυο.
Σημαντικό ποσοστό καταγγελιών αφορούσε τα κοινωνικά δίκτυα. Το 40% των καταγγελιών αφορούσε κάτι που συνέβη στο Instagram και το 39% κάποια ενέργεια στο Facebook.
κάθε φορά που οι χρήστες συνδέονται online, είναι πιθανό να εκθέτουν τις πληροφορίες που είναι αποθηκευμένες στον υπολογιστή τους σε ιούς και άλλα κακόβουλα προγράμματα. Αυτά μπορούν να διεισδύσουν στον υπολογιστή ενώ ο χρήστης κατεβάζει δωρεάν λογισμικό ή περιηγείται σε ιστότοπους που έχουν παραβιαστεί από εγκληματίες ή ορισμένα network worms. Τα τελευταία μπορούν να διεισδύσουν στον υπολογιστή μόλις αυτός συνδεθεί στο Διαδίκτυο, ακόμη και προτού ο χρήστης ανοίξει μια ιστοσελίδα ή κατεβάσει ένα αρχείο.
Με τον τρόπο αυτό, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διαφορετικές μεθόδους για να διεισδύσουν σε συστήματα. Μία από τις πιο συνηθισμένες εξ αυτών είναι η εκμετάλλευση ευπαθειών σε προγράμματα περιήγησης και τα plugin τους (drive-by download). Η «μόλυνση» σε αυτήν τη μορφή επίθεσης λαμβάνει χώρα κατά την επίσκεψη σε «μολυσμένο» ιστότοπο, χωρίς καμία παρέμβαση από τον χρήστη και εν αγνοία του.
Μία άλλη συχνή μέθοδος είναι η κοινωνική μηχανική. Αυτές οι επιθέσεις απαιτούν τη συμμετοχή του χρήστη. Ο χρήστης, δηλαδή, πρέπει να κατεβάσει ένα κακόβουλο αρχείο στον υπολογιστή του. Αυτό συμβαίνει όταν οι απατεώνες κάνουν το θύμα να πιστέψει ότι κατεβάζει ένα νόμιμο πρόγραμμα.
Το Ελληνικό κέντρο Ασφαλούς Διαδικτύου σε συνεργασία με την Αρχή κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης έχει καταγράψει τους συνηθέστερους τρόπους διαδικτυακής εξαπάτησης των πολιτών.