Πώς να προστατέψετε χρήματα και προσωπικά δεδομένα στο Διαδίκτυο

2024 Συγγραφέας: Malcolm Clapton | [email protected]. Τελευταία τροποποίηση: 2023-12-17 03:52

Όσο καλύτερα ενημερωμένοι είστε, τόσο πιο δύσκολο είναι να σας εξαπατήσουν. Εδώ είναι όλα όσα πρέπει να γνωρίζετε για το ηλεκτρονικό ψάρεμα με τη Microsoft.

Βρείτε ακόμα περισσότερες συμβουλές για το πώς να προστατευτείτε από ψηφιακές απειλές.

Τι είναι το phishing και πόσο επικίνδυνο είναι

Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας συνηθισμένος τύπος απάτης στον κυβερνοχώρο, σκοπός του οποίου είναι η παραβίαση και η πειρατεία λογαριασμών, η κλοπή στοιχείων πιστωτικής κάρτας ή οποιασδήποτε άλλης εμπιστευτικής πληροφορίας.

Τις περισσότερες φορές, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ηλεκτρονικό ταχυδρομείο: για παράδειγμα, στέλνουν επιστολές για λογαριασμό μιας γνωστής εταιρείας, παρασύροντας τους χρήστες στην ψεύτικη ιστοσελίδα της με το πρόσχημα μιας κερδοφόρας προώθησης. Το θύμα δεν αναγνωρίζει το ψεύτικο, εισάγει το login και τον κωδικό πρόσβασης από τον λογαριασμό του και έτσι ο ίδιος ο χρήστης μεταφέρει τα δεδομένα στους απατεώνες.

Ο καθένας μπορεί να υποφέρει. Τα αυτοματοποιημένα μηνύματα ηλεκτρονικού ψαρέματος στοχεύουν συχνότερα σε ένα ευρύ κοινό (εκατοντάδες χιλιάδες ή και εκατομμύρια διευθύνσεις), αλλά υπάρχουν και επιθέσεις που στοχεύουν σε έναν συγκεκριμένο στόχο. Τις περισσότερες φορές, αυτοί οι στόχοι είναι ανώτατα στελέχη ή άλλοι υπάλληλοι που έχουν προνομιακή πρόσβαση σε εταιρικά δεδομένα. Αυτή η εξατομικευμένη στρατηγική phishing ονομάζεται φαλαινοθηρία, που μεταφράζεται ως «πιάσιμο φαλαινών».

Οι συνέπειες των επιθέσεων phishing μπορεί να είναι καταστροφικές. Οι απατεώνες μπορούν να διαβάζουν την προσωπική σας αλληλογραφία, να στέλνουν μηνύματα ηλεκτρονικού ψαρέματος στον κύκλο επαφών σας, να κάνουν ανάληψη χρημάτων από τραπεζικούς λογαριασμούς και γενικά να ενεργούν για λογαριασμό σας με ευρεία έννοια. Εάν έχετε μια επιχείρηση, ο κίνδυνος είναι ακόμη μεγαλύτερος. Οι phishers είναι σε θέση να κλέψουν εταιρικά μυστικά, να καταστρέψουν ευαίσθητα αρχεία ή να διαρρεύσουν τα δεδομένα των πελατών σας, βλάπτοντας τη φήμη της εταιρείας.

Σύμφωνα με την Έκθεση Τάσεων Δραστηριότητας Phishing της Ομάδας Εργασίας Anti-Phishing, μόνο το τελευταίο τρίμηνο του 2019, ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν περισσότερους από 162.000 δόλιες ιστοσελίδες και 132.000 καμπάνιες ηλεκτρονικού ταχυδρομείου. Κατά τη διάρκεια αυτής της περιόδου, περίπου χίλιες εταιρείες από όλο τον κόσμο έχουν πέσει θύματα phishing. Μένει να δούμε πόσες επιθέσεις δεν εντοπίστηκαν.

Εξέλιξη και είδη phishing

Ο όρος "phishing" προέρχεται από την αγγλική λέξη "fishing". Αυτό το είδος απάτης μοιάζει πραγματικά με το ψάρεμα: ο εισβολέας ρίχνει το δόλωμα με τη μορφή πλαστού μηνύματος ή συνδέσμου και περιμένει να δαγκώσουν οι χρήστες.

Αλλά στα αγγλικά το phishing γράφεται λίγο διαφορετικά: phishing. Το δίγραφο ph χρησιμοποιείται αντί του γράμματος f. Σύμφωνα με μια εκδοχή, πρόκειται για αναφορά στη λέξη ψεύτικος («απατεώνας», «απατεώνας»). Από την άλλη - στην υποκουλτούρα των πρώιμων χάκερ, που ονομάζονταν phreakers ("phreakers").

Πιστεύεται ότι ο όρος phishing χρησιμοποιήθηκε για πρώτη φορά δημόσια στα μέσα της δεκαετίας του 1990 σε ομάδες συζήτησης του Usenet. Εκείνη την εποχή, οι απατεώνες εξαπέλυσαν τις πρώτες επιθέσεις phishing με στόχο πελάτες του αμερικανικού παρόχου Διαδικτύου AOL. Οι δράστες έστειλαν μηνύματα ζητώντας να επιβεβαιώσουν τα διαπιστευτήριά τους, παριστάνοντας τους υπαλλήλους της εταιρείας.

Με την ανάπτυξη του Διαδικτύου, εμφανίστηκαν νέοι τύποι επιθέσεων phishing. Οι απατεώνες άρχισαν να πλαστογραφούν ολόκληρες ιστοσελίδες και κατέκτησαν διαφορετικά κανάλια και υπηρεσίες επικοινωνίας. Σήμερα, μπορούν να διακριθούν τέτοιοι τύποι phishing.

• Ηλεκτρονικό ψάρεμα. Οι απατεώνες καταχωρούν μια ταχυδρομική διεύθυνση παρόμοια με τη διεύθυνση μιας γνωστής εταιρείας ή ενός γνωστού του επιλεγμένου θύματος και στέλνουν επιστολές από αυτήν. Ταυτόχρονα, με το όνομα του αποστολέα, το σχέδιο και το περιεχόμενο, ένα ψεύτικο γράμμα μπορεί να είναι σχεδόν πανομοιότυπο με το πρωτότυπο. Μόνο στο εσωτερικό υπάρχει σύνδεσμος προς ψεύτικο ιστότοπο, μολυσμένα συνημμένα ή άμεσο αίτημα αποστολής εμπιστευτικών δεδομένων.
• SMS phishing (smishing). Αυτό το σχήμα είναι παρόμοιο με το προηγούμενο, αλλά χρησιμοποιείται SMS αντί για email. Ο συνδρομητής λαμβάνει ένα μήνυμα από έναν άγνωστο (συνήθως σύντομο) αριθμό με αίτημα για εμπιστευτικά δεδομένα ή με σύνδεσμο προς έναν ψεύτικο ιστότοπο. Για παράδειγμα, ένας εισβολέας μπορεί να συστηθεί ως τράπεζα και να ζητήσει τον κωδικό επαλήθευσης που λάβατε νωρίτερα. Στην πραγματικότητα, οι απατεώνες χρειάζονται τον κωδικό για να παραβιάσουν τον τραπεζικό σας λογαριασμό.
• Ψάρεμα μέσων κοινωνικής δικτύωσης. Με τον πολλαπλασιασμό των instant messengers και των μέσων κοινωνικής δικτύωσης, οι επιθέσεις phishing έχουν κατακλύσει και αυτά τα κανάλια. Οι εισβολείς μπορούν να επικοινωνήσουν μαζί σας μέσω ψεύτικων ή παραβιασμένων λογαριασμών γνωστών οργανισμών ή φίλων σας. Διαφορετικά, η αρχή της επίθεσης δεν διαφέρει από τις προηγούμενες.
• Phishing τηλεφώνου (vishing). Οι απατεώνες δεν περιορίζονται στα γραπτά μηνύματα και μπορούν να σας καλέσουν. Τις περισσότερες φορές, για το σκοπό αυτό χρησιμοποιείται η τηλεφωνία Διαδικτύου (VoIP). Ο καλών μπορεί να μιμηθεί, για παράδειγμα, έναν υπάλληλο της υπηρεσίας υποστήριξης του συστήματος πληρωμών σας και να ζητήσει δεδομένα για πρόσβαση στο πορτοφόλι - υποτίθεται για επαλήθευση.
• Αναζήτηση ψαρέματος. Μπορείτε να συναντήσετε ηλεκτρονικό ψάρεμα απευθείας στα αποτελέσματα αναζήτησης. Αρκεί να κάνετε κλικ στον σύνδεσμο που οδηγεί στον ψεύτικο ιστότοπο και να αφήσετε προσωπικά δεδομένα σε αυτόν.
• Αναδυόμενο phishing. Οι εισβολείς χρησιμοποιούν συχνά αναδυόμενα παράθυρα. Επισκεπτόμενοι έναν αμφίβολο πόρο, μπορεί να δείτε ένα banner που υπόσχεται κάποιο όφελος - για παράδειγμα, εκπτώσεις ή δωρεάν προϊόντα - για λογαριασμό μιας γνωστής εταιρείας. Κάνοντας κλικ σε αυτόν τον σύνδεσμο, θα μεταφερθείτε σε έναν ιστότοπο που ελέγχεται από εγκληματίες του κυβερνοχώρου.
• Καλλιέργεια. Δεν σχετίζεται άμεσα με το phishing, αλλά η γεωργία είναι επίσης μια πολύ συνηθισμένη επίθεση. Σε αυτήν την περίπτωση, ο εισβολέας πλαστογραφεί τα δεδομένα DNS ανακατευθύνοντας αυτόματα τον χρήστη αντί για τους αρχικούς ιστότοπους στους ψεύτικους. Το θύμα δεν βλέπει ύποπτα μηνύματα και πανό, γεγονός που αυξάνει την αποτελεσματικότητα της επίθεσης.

Το phishing συνεχίζει να εξελίσσεται. Η Microsoft μίλησε για νέες τεχνικές που ανακάλυψε το 2019 η υπηρεσία Microsoft 365 Advanced Threat Protection κατά του phishing. Για παράδειγμα, οι απατεώνες έχουν μάθει να συγκαλύπτουν καλύτερα κακόβουλο υλικό στα αποτελέσματα αναζήτησης: στην κορυφή εμφανίζονται νόμιμοι σύνδεσμοι, οι οποίοι οδηγούν τον χρήστη σε ιστότοπους ηλεκτρονικού ψαρέματος μέσω πολλαπλών ανακατευθύνσεων.

Επιπλέον, οι εγκληματίες του κυβερνοχώρου άρχισαν να δημιουργούν αυτόματα συνδέσμους phishing και ακριβή αντίγραφα email σε ένα ποιοτικά νέο επίπεδο, το οποίο τους επιτρέπει να εξαπατούν αποτελεσματικότερα τους χρήστες και να παρακάμπτουν τα μέτρα ασφαλείας.

Με τη σειρά της, η Microsoft έμαθε να εντοπίζει και να αποκλείει νέες απειλές. Η εταιρεία χρησιμοποίησε όλες τις γνώσεις της σχετικά με την ασφάλεια στον κυβερνοχώρο για να δημιουργήσει το πακέτο Microsoft 365. Παρέχει τις λύσεις που χρειάζεστε για την επιχείρησή σας, διασφαλίζοντας παράλληλα ότι οι πληροφορίες σας προστατεύονται αποτελεσματικά, συμπεριλαμβανομένου του phishing. Το Microsoft 365 Advanced Threat Protection αποκλείει κακόβουλα συνημμένα και δυνητικά επιβλαβείς συνδέσμους στα email, εντοπίζει ransomware και άλλες απειλές.

Πώς να προστατευτείτε από το phishing

Βελτιώστε τον τεχνικό σας γραμματισμό. Όπως λέει και η παροιμία, αυτός που έχει προειδοποιηθεί είναι οπλισμένος. Μελετήστε μόνοι σας την ασφάλεια των πληροφοριών ή συμβουλευτείτε ειδικούς για συμβουλές. Ακόμη και η απλή γνώση των βασικών αρχών της ψηφιακής υγιεινής μπορεί να σας γλιτώσει από πολλά προβλήματα.

Πρόσεχε. Μην ακολουθείτε συνδέσμους ή μην ανοίγετε συνημμένα σε επιστολές από άγνωστους συνομιλητές. Ελέγξτε προσεκτικά τα στοιχεία επικοινωνίας των αποστολέων και τις διευθύνσεις των τοποθεσιών που επισκέπτεστε. Μην απαντάτε σε αιτήματα για προσωπικές πληροφορίες, ακόμη και όταν το μήνυμα φαίνεται πιστευτό. Εάν κάποιος εκπρόσωπος της εταιρείας σας ζητήσει πληροφορίες, καλύτερα να τηλεφωνήσετε στο τηλεφωνικό κέντρο τους και να αναφέρετε την κατάσταση. Μην κάνετε κλικ σε αναδυόμενα παράθυρα.

Χρησιμοποιήστε τους κωδικούς πρόσβασης με σύνεση. Χρησιμοποιήστε έναν μοναδικό και ισχυρό κωδικό πρόσβασης για κάθε λογαριασμό. Εγγραφείτε σε υπηρεσίες που προειδοποιούν τους χρήστες εάν εμφανίζονται κωδικοί πρόσβασης για τους λογαριασμούς τους στον Ιστό και αλλάξτε αμέσως τον κωδικό πρόσβασης εάν αποδειχθεί ότι έχει παραβιαστεί.

Ρύθμιση ελέγχου ταυτότητας πολλαπλών παραγόντων. Αυτή η λειτουργία προστατεύει επιπλέον τον λογαριασμό, για παράδειγμα, χρησιμοποιώντας κωδικούς πρόσβασης μίας χρήσης. Σε αυτήν την περίπτωση, κάθε φορά που συνδέεστε στον λογαριασμό σας από μια νέα συσκευή, εκτός από τον κωδικό πρόσβασης, θα πρέπει να εισάγετε έναν κωδικό τεσσάρων ή έξι χαρακτήρων που σας αποστέλλεται μέσω SMS ή δημιουργείται σε ειδική εφαρμογή. Μπορεί να μην φαίνεται πολύ βολικό, αλλά αυτή η προσέγγιση θα σας προστατεύσει από το 99% των κοινών επιθέσεων. Εξάλλου, αν οι απατεώνες κλέψουν τον κωδικό πρόσβασης, δεν θα μπορούν να εισέλθουν χωρίς κωδικό επαλήθευσης.

Χρησιμοποιήστε δυνατότητες σύνδεσης χωρίς κωδικό πρόσβασης. Σε αυτές τις υπηρεσίες, όπου είναι δυνατόν, θα πρέπει να εγκαταλείψετε εντελώς τη χρήση κωδικών πρόσβασης, αντικαθιστώντας τους με κλειδιά ασφαλείας υλικού ή έλεγχο ταυτότητας μέσω μιας εφαρμογής σε smartphone.

Χρησιμοποιήστε λογισμικό προστασίας από ιούς. Το ενημερωμένο antivirus θα βοηθήσει εν μέρει στην προστασία του υπολογιστή σας από κακόβουλο λογισμικό που ανακατευθύνει σε ιστότοπους ηλεκτρονικού ψαρέματος ή κλέβει στοιχεία σύνδεσης και κωδικούς πρόσβασης. Αλλά να θυμάστε ότι η κύρια προστασία σας εξακολουθεί να είναι η τήρηση των κανόνων ψηφιακής υγιεινής και η τήρηση των συστάσεων για την ασφάλεια στον κυβερνοχώρο.

Εάν έχετε μια επιχείρηση

Οι παρακάτω συμβουλές θα είναι επίσης χρήσιμες για ιδιοκτήτες επιχειρήσεων και στελέχη εταιρειών.

Εκπαίδευση υπαλλήλων. Εξηγήστε στους υφισταμένους ποια μηνύματα πρέπει να αποφεύγουν και ποιες πληροφορίες δεν πρέπει να αποστέλλονται μέσω email και άλλων καναλιών επικοινωνίας. Απαγόρευση στους υπαλλήλους να χρησιμοποιούν εταιρική αλληλογραφία για προσωπικούς σκοπούς. Καθοδηγήστε τους πώς να εργάζονται με κωδικούς πρόσβασης. Αξίζει επίσης να εξετάσετε μια πολιτική διατήρησης μηνυμάτων: για παράδειγμα, για λόγους ασφαλείας, μπορείτε να διαγράψετε μηνύματα παλαιότερα από μια συγκεκριμένη περίοδο.

Διεξαγωγή εκπαιδευτικών επιθέσεων phishing. Εάν θέλετε να δοκιμάσετε την αντίδραση των εργαζομένων σας στο phishing, δοκιμάστε να προσποιηθείτε μια επίθεση. Για παράδειγμα, καταχωρίστε μια ταχυδρομική διεύθυνση παρόμοια με τη δική σας και στείλτε επιστολές από αυτήν σε υφισταμένους ζητώντας τους να σας παράσχουν εμπιστευτικά δεδομένα.

Επιλέξτε μια αξιόπιστη ταχυδρομική υπηρεσία. Οι πάροχοι δωρεάν email είναι πολύ ευάλωτοι στις επιχειρηματικές επικοινωνίες. Οι εταιρείες θα πρέπει να επιλέγουν μόνο ασφαλείς εταιρικές υπηρεσίες. Για παράδειγμα, οι χρήστες της υπηρεσίας αλληλογραφίας του Microsoft Exchange, η οποία αποτελεί μέρος της σουίτας Microsoft 365, έχουν ολοκληρωμένη προστασία από ηλεκτρονικό ψάρεμα και άλλες απειλές. Για να αντιμετωπίσει τους απατεώνες, η Microsoft αναλύει εκατοντάδες δισεκατομμύρια email κάθε μήνα.

Προσλάβετε έναν ειδικό στον κυβερνοχώρο. Εάν το επιτρέπει ο προϋπολογισμός σας, βρείτε έναν εξειδικευμένο επαγγελματία που θα παρέχει συνεχή προστασία από το ηλεκτρονικό ψάρεμα και άλλες απειλές στον κυβερνοχώρο.

Τι να κάνετε εάν πέσετε θύμα phishing

Εάν υπάρχει λόγος να πιστεύετε ότι τα δεδομένα σας έχουν περιέλθει σε λάθος χέρια, ενεργήστε αμέσως. Ελέγξτε τις συσκευές σας για ιούς και αλλάξτε τους κωδικούς πρόσβασης λογαριασμού. Ενημερώστε το προσωπικό της τράπεζας ότι ενδέχεται να έχουν κλαπεί τα στοιχεία πληρωμής σας. Εάν είναι απαραίτητο, ενημερώστε τους πελάτες για πιθανή διαρροή.

Για να αποφύγετε την επανάληψη τέτοιων καταστάσεων, επιλέξτε αξιόπιστες και σύγχρονες υπηρεσίες συνεργασίας. Τα προϊόντα με ενσωματωμένους μηχανισμούς προστασίας ταιριάζουν καλύτερα: θα λειτουργούν όσο το δυνατόν πιο άνετα και δεν θα χρειαστεί να διακινδυνεύσετε την ψηφιακή ασφάλεια.

Για παράδειγμα, το Microsoft 365 περιλαμβάνει μια σειρά από έξυπνες δυνατότητες ασφαλείας, συμπεριλαμβανομένης της προστασίας λογαριασμών και συνδέσεων από συμβιβασμό με ένα ενσωματωμένο μοντέλο αξιολόγησης κινδύνου, έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης ή πολλαπλών παραγόντων που δεν απαιτεί πρόσθετες άδειες.

Επιπλέον, η υπηρεσία παρέχει δυναμικό έλεγχο πρόσβασης με αξιολόγηση κινδύνου και λαμβάνοντας υπόψη ένα ευρύ φάσμα συνθηκών. Επίσης, το Microsoft 365 περιέχει ενσωματωμένο αυτοματισμό και αναλύσεις δεδομένων και σας επιτρέπει επίσης να ελέγχετε συσκευές και να προστατεύετε πληροφορίες από διαρροή.