«Παρατηρήσαμε ύποπτες κινήσεις από τον τραπεζικό σας λογαριασμό και για τον λόγο αυτό έχει προσωρινά απενεργοποιηθεί. Για να αποκτήσετε και πάλι πρόσβαση, ανοίξτε το link που επισυνάπτεται και ακολουθήστε τα ακόλουθα απλά βήματα».
Αυτή τη μορφή, περίπου, μπορεί να έχει ένα από τα «τυπικά» μηνύματα που αναδύεται με τη μορφή email ή sms στις οθόνες έξυπνων συσκευών ή υπολογιστών και προτρέπει τους χρήστες να αναλάβουν άμεσα δράση προκειμένου να αποκτήσουν και πάλι τον έλεγχο των χρημάτων τους. Στην πραγματικότητα, όμως, τα λίγα κλικ που ακολουθούν είναι η αρχή μιας μεγάλης περιπέτειας αφού πρόκειται για κλασική μορφή απάτης «ηλεκτρονικού ψαρέματος», του λεγόμενου phishing.
«Στις περισσότερες περιπτώσεις οι επιτήδειοι πίσω από αυτές τις απάτες χρησιμοποιούν ως “δόλωμα” αντιγραφές interface γνωστών εταιρικών φορέων, για παράδειγμα μιας τράπεζας», αναφέρει στο Liberal o Κωνσταντίνος Πατσάκης, Αναπληρωτής Καθηγητής στο Τμήμα Πληροφορικής του Πανεπιστημίου Πειραιώς. Αλλά δεν περιορίζονται εκεί. Ως «δόλωμα» μπορεί να χρησιμοποιηθούν δημόσιοι φορείς, δήθεν μηνύματα από την αστυνομία, ακόμα και social media εξηγεί ο Κ. Πατσάκης.
To υποψήφιο θύμα εξαπατάται από μια εικόνα που μοιάζει με τα λογότυπα, τη γραμματοσειρά και τη διεύθυνση του φορέα. Έχοντας συνηθίσει να κάνει κλικ σε συνδέσμους αυτού του είδους, συνεχίζει τη διαδικασία και θεωρεί λογικό να δώσει τους κωδικούς που του ζητούνται. Ουσιαστικά, οι δράστες προσποιούνται μια πραγματική οντότητα, όσο μεγαλύτερου κύρους τόσο πιο εύκολη γίνεται η δουλειά τους, ώστε να παραχωρήσουμε οικειοθελώς τα προσωπικά μας στοιχεία εισόδου στον εκάστοτε λογαριασμό και στη συνέχεια να αποκτήσουν πλήρη πρόσβαση σε αυτόν. Μάλιστα, στις περισσότερες περιπτώσεις τα fake μηνύματα, επικαλούνται επείγοντα ζητήματα ασφάλειας, ώστε να ασκήσουν «ψυχολογική» πίεση στα θύματα.
Με την παραπάνω μέθοδο αποκτούν πρόσβαση στους τραπεζικούς λογαριασμούς πολιτών και αφαιρούν αμέσως χρηματικά ποσά.
«Μαύρη τρύπα» για τις επιχειρήσεις
Και αν για έναν ιδιώτη, το να πέσει θύμα μιας απάτης ηλεκτρονικού «ψαρέματος» μπορεί να σημαίνει από απώλεια ελέγχου στον λογαριασμό του email έως απώλεια χρημάτων, στην περίπτωση που το phishing έχει ως στόχο εταιρικά δεδομένα, η ζημιά καθίσταται πολύ μεγαλύτερη.
Σύμφωνα με τον Κ. Πατσάκη η πανδημία έδωσε νέες διαστάσεις στο phishing, λόγω της τηλεργασίας, καθώς οι εργαζόμενοι που πέφτουν θύματα επιθέσεων αυτού του είδους στην πραγματικότητα δίνουν στους απατεώνες τα credentials των εταιρειών για τις οποίες δουλεύουν.
Είναι ενδεικτικό, ότι σύμφωνα με επίσημα στοιχεία του FBI το ηλεκτρονικό «ψάρεμα» σε όλες του τις μορφές ήταν το πιο συνηθισμένο είδος εγκλήματος στον κυβερνοχώρο το 2020, με τα περιστατικά να διπλασιάζονται, σχεδόν, σε συχνότητα: από 114.702 το 2019, σε 241.342 το 2020.
Σύμφωνα με πρόσφατη μελέτη του Ινστιτούτου Ponemon για λογαριασμό της Proofpoint, ο οικονομικός αντίκτυπος των επιθέσεων ηλεκτρονικού ψαρέματος τετραπλασιάστηκε τα τελευταία έξι χρόνια, με το μέσο κόστος για τις επιχειρήσεις των ΗΠΑ να ανέρχεται στα 14,8 εκατομμύρια δολάρια ετησίως το 2021, σε σύγκριση με 3,8 εκατομμύρια δολάρια το 2015. Η μελέτη βασίστηκε σε στοιχεία από 591 επαγγελματίες πληροφορικής.
Οι δύο βασικές ερωτήσεις και η κρίσιμη κίνηση
Υπάρχει, όμως, τρόπος να εντοπίσουμε την απάτη πριν ανοίξουμε τον οποιονδήποτε σύνδεσμο; Σύμφωνα με τον Αναπληρωτή Καθηγητή στο Τμήμα Πληροφορικής του Πανεπιστημίου Πειραιώς ναι. Οι δύο κρίσιμες ερωτήσεις που πρέπει να κάνει κάθε χρήστης που έρχεται «αντιμέτωπος» με ένα τέτοιο μήνυμα είναι οι εξής:
- Έχει νόημα ένας οργανισμός να μου στείλει ένα τέτοιο μήνυμα; Έχω συνηθίσει να λαμβάνω τέτοια μηνύματα από τράπεζες, για παράδειγμα;
- Όταν βλέπω τη διαδικτυακή διεύθυνση από την οποία προέρχεται το μήνυμα, είτε σε επίπεδο γραμμάτων, είτε σε επίπεδο διατύπωσης, είναι αυτό που έχω συνηθίσει να βλέπω;
Εξίσου κρίσιμο είναι το να μην δίνουμε τα credentials, τους κωδικούς, που ανοίγουν την «πόρτα» σε έναν οποιονδήποτε λογαριασμό. Με άλλα λόγια το πρώτο κλικ δεν σηματοδοτεί, πάντα, το τέλος της υπόθεσης. Η αποκάλυψη των κωδικών είναι η κίνηση που περιμένουν οι απατεώνες για να ολοκληρώσουν την επίθεση. Επιπλέον, η διεύθυνση των επίσημων φορέων, βρίσκεται στο τέλος ενός συνδέσμου, όχι στην αρχή. «Στα κινητά για παράδειγμα, δεν μπορούμε να δούμε ολόκληρη τη διεύθυνση ενός συνδέσμου. Έτσι επιτήδειοι βάζουν τους βασικούς χαρακτήρες των φορέων στην αρχή ενός συνδέσμου, ώστε το υποψήφιο θύμα να διαβάσει κάτι που γνωρίζει, αλλά στο τέλος υπάρχει κάτι άσχετο», επισημαίνει ο Κ. Πατσάκης.
Σε κάθε περίπτωση το phishing δεν είναι απλά μια ενόχληση, αλλά μια πληγή για το Ίντερνετ που κοστίζει τρομακτικά ποσά. Ποσά που στην πραγματικότητα μπορεί να είναι ακόμα μεγαλύτερα, σύμφωνα με τον Αναπληρωτή Καθηγητή στο Τμήμα Πληροφορικής του Πανεπιστημίου Πειραιώς, καθώς σε αρκετές περιπτώσεις επιτυχών επιθέσεων σε εταιρείες οργανισμούς αυτές δεν δηλώνονται, αφού η γνωστοποίηση απώλειας προσωπικών δεδομένων συνεπάγεται μεγάλα πρόστιμα ή να έχει σοβαρό αντίκτυπο στην δημόσια εικόνα του θύματος.