Το phishing αποτελεί μία μορφή ψηφιακής επίθεσης που εκτελείται κυρίως μέσω e-mail ή sms ή τηλεφωνήματος.
Απώτερος σκοπός των κυβερνοεγκληματιών είναι να παραπλανήσουν τα υποψήφια θύματα και να αποσπάσουν προσωπικά δεδομένα, λεπτομέρειες τραπεζικών λογαριασμών ή πιστωτικών/ χρεωστικών καρτών, κωδικούς πρόσβασης κ.ά. Σύμφωνα με τους ειδικούς κατά τη διάρκεια της πανδημίας του κορωνοϊού (COVID-19) αυξήθηκαν σημαντικά οι προσπάθειες εξαπάτησης με σκοπό την απόσπαση προσωπικών και οικονομικών πληροφοριών ή κωδικών ασφαλείας από επιτήδειους απατεώνες.
Τεχνικές phishing
• SIM Swapping
Τεχνική κατά την οποία οι επιτήδειοι καταφέρνουν να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα του θύματος με διάφορους τρόπους, όπως μέσω κακόβουλων εφαρμογών, αναζητήσεων σε social media κ.λπ. Με τα δεδομένα αυτά, εξαπατούν τους παρόχους κινητής τηλεφωνίας για να αποκτήσουν νέα κάρτα SIM προς αντικατάσταση αυτής που έχει ο νόμιμος κάτοχος. Μόλις ενεργοποιήσουν τη νέα κάρτα, μπορούν πλέον να λαμβάνουν όλες τις κλήσεις και τα μηνύματα του νόμιμου κατόχου, ώστε να εκτελέσουν παράνομες δραστηριότητες.
• Smishing
Ψεύτικα μηνύματα σε μορφή γραπτών μηνυμάτων (SMS) αποστέλλονται στα κινητά τηλέφωνα των υποψήφιων θυμάτων.
• Vishing
Η προσπάθεια παραπλάνησης πραγματοποιείται μέσω τηλεφωνικής κλήσης. Πολύ διαδεδομένη είναι η προσπάθεια εξαπάτησης μέσω υποτιθέμενης επιδιόρθωσης της συσκευής (π.χ. ηλεκτρονικού υπολογιστή, smartphone) του υποψήφιου θύματος από γνωστή εταιρεία Πληροφορικής. Με τον τρόπο αυτό, πείθουν τα θύματά τους ότι η συσκευή απαιτεί κάποιου είδους παρέμβαση (π.χ. επισκευή) και εγκαθιστούν εφαρμογές που τους δίνουν τον έλεγχο της συσκευής, ώστε να υποκλέψουν τα προσωπικά δεδομένα των θυμάτων.
• Pharming (phishing without a lure)
Οι χάκερς ή κάποιο malware που έχει εγκατασταθεί στον ηλεκτρονικό υπολογιστή του υποψήφιου θύματος μέσω του browser, τον κατευθύνει σε κάποια εικονική ιστοσελίδα.
• Spear Phishing
Η τεχνική αυτή στοχεύει συγκεκριμένα άτομα. Οι χάκερς ερευνούν και εστιάζουν σε συγκεκριμένους στόχους στέλνοντας κατάλληλα προσαρμοσμένα ηλεκτρονικά μηνύματα.
• Whaling
Στοχευμένο ηλεκτρονικό ψάρεμα που απευθύνεται σε «μεγάλους στόχους», π.χ. Διευθύνοντες συμβούλους ή πολιτικούς.
• Clone Phishing
Εξελιγμένη τεχνική παρεμβολής στην πραγματική αλληλογραφία. Ο εισβολέας κλωνοποιεί ένα νόμιμο ηλεκτρονικό μήνυμα από μια αξιόπιστη πηγή. Για το θύμα, το μήνυμα ηλεκτρονικού ταχυδρομείου που λαμβάνει φαίνεται να αποτελεί συνέχεια της συνομιλίας του, αλλά ενδέχεται να περιέχει κάποιο κακόβουλο σύνδεσμο.
ΕΕΚΕ: Πώς αντιμετωπίζουμε τέτοιου είδους κυβερνοεπιθέσεις
Ελέγχουμε πάντοτε το όνομα του αποστολέα και συγκεκριμένα την κατάληξη του domain (πχ @eeke.com) και εφόσον η κατάληξη δεν μας είναι γνωστή, ή δεν υπάρχει σε μια μηχανή αναζήτησης, τότε πρόκειται για απάτη
Παρατηρούμε και δεν παραπλανούμαστε από το θέμα του μηνύματος, αφού οι επιτήδειοι χρησιμοποιούν βαρύγδουπους τίτλους, όπως π.χ. περί δήθεν οφειλής μας, περί ύπαρξης ιού στο λογισμικό του υπολογιστή, ότι είμαστε κληρονόμοι ενός τεράστιου ποσού από το εξωτερικό, ότι κάποιος θέλει να μας αποστείλει χρήματα κλπ.
Δεν ανοίγουμε ποτέ, πριν σιγουρευτούμε για την ασφάλειά τους, τους συνδέσμους που επισυνάπτονται στο mail. Κι αυτό γιατί μπορεί να οδηγηθούμε σε έναν κακόβουλο ιστότοπο ή να μολυνθεί ο υπολογιστής, τάμπλετ, κινητό μας κλπ. με κακόβουλο λογισμικό.
Ελέγχουμε τον τρόπο γραφής του mail καθώς και την ορθογραφία του, είμαστε δε πάντα υποψιασμένοι όταν δεν αναφέρει συγκεκριμένα το όνομά μας εντός του κειμένου.
Καμία τράπεζα δεν ζητάει προσωπικά στοιχεία μέσω mail, γι’αυτό δεν δίνουμε ποτέ τέτοιου είδους πληροφορίες ηλεκτρονικά.
Ελέγχουμε τακτικά τους λογαριασμούς μας στο διαδίκτυο (τραπεζικούς, on line λογαριασμούς κλπ.) προκειμένου να έχουμε ανά πάσα στιγμή πλήρη εικόνα για αυτούς.