Εν συντομία για (ηλεκτρονικό) ψάρεμα (phishing) και πως να το αποφύγετε
Τι είναι το (ηλεκτρονικό) ψάρεμα
Το ηλεκτρονικό ψάρεμα (phishing) είναι μια δόλια προσπάθεια απόκτησης κάθε είδους ευαίσθητων πληροφοριών ή δεδομένων που μπορούν να χρησιμοποιηθούν για την επίθεση ανυποψίαστων χρηστών. Ο δράστης προσπαθεί να μεταμφιεστεί σε αξιόπιστη οντότητα συνήθως μέσω email, SMS ή άμεσων μηνυμάτων και με κάποιο τρόπο να εκμαιεύσει προσωπικές πληροφορίες από τα θύματα ζητώντας τους να συμπληρώσουν μια φόρμα ή να επισκεφθούν έναν (κακόβουλο) ιστότοπο.
Τύποι
- Spear phishing: απευθύνεται σε συγκεκριμένα άτομα ή εταιρείες (υπαλλήλους και στελέχη)
- Φαλαινοθηρία: ειδικά sprear phishing στελεχών μιας εταιρίας
- Catphishing: διαδικτυακή εξαπάτηση που περιλαμβάνει την προσωπική γνωριμία με το «θύμα»
- Κλωνοποίηση ηλεκτρονικού ψαρέματος: δημιουργία ψευδούς επικοινωνίας που βασίζεται σε πρωτότυπο με αντικατάσταση νόμιμων συνδέσμων ή αρχείων με κακόβουλους
- Φωνητικό ηλεκτρονικό ψάρεμα (phishing): εξαπατώντας τους χρήστες να καλέσουν μια υπηρεσία «τράπεζας» προκειμένου να εκτελέσουν κάποια εργασία ή να ενημερώσουν κάποιες πληροφορίες
- SMS ηλεκτρονικού ψαρέματος (ή smishing): ο “στόχος” (υποψήφιο θύμα) λαμβάνει ένα SMS με έναν σύνδεσμο ή του ζητείται να καλέσει έναν αριθμό τηλεφώνου ή να στείλει ένα email ή ένα SMS.
Τεχνικές που χρησιμοποιούνται
- Χειρισμός συνδέσμου: κάνοντας έναν σύνδεσμο να πάει κάπου ή να κάνει κάτι που μπορεί να θέσει σε κίνδυνο ή να εξαγάγει ευαίσθητες πληροφορίες
- Διαφυγή φίλτρου: χειρισμός περιεχομένου e-mail ώστε να αποφεύγονται τα φίλτρα που τοποθετούνται σε διακομιστές e-mail
- Πλαστογραφία ιστοτόπου: χρήση τεχνικών προγραμματισμού ιστού για να εξαπατήσει τους χρήστες να πιστεύουν ότι επισκέπτονται έναν νόμιμο ιστότοπο, ενώ στην πραγματικότητα δεν είναι.
- Κρυφή ανακατεύθυνση: οι εισβολείς χειρίζονται συνδέσμους για να φαίνονται νόμιμοι, αλλά μεταφέρουν τον χρήστη σε κακόβουλους ιστότοπους.
- Social engineering οι χρήστες ενθαρρύνονται να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα
Πως να αποφύγετε το (ηλεκτρονικό) ψάρεμα
- Σε μεγάλη κλίμακα
- Οι μεγάλοι πάροχοι υπηρεσιών αλληλογραφίας περιλαμβάνουν φίλτρα anti-spam και anti-phishing για να σταματήσουν τα μηνύματα πριν φτάσουν ακόμη και στους διακομιστές
- Οι διαχειριστές συστήματος μπορούν να εξοπλίσουν τον διακομιστή αλληλογραφίας με φίλτρα anti-phishing
- Υπάρχουν αρκετοί ιστότοποι που αναφέρουν τις λεπτομέρειες των προσπαθειών ηλεκτρονικού ψαρέματος. Ένα παράδειγμα είναι: FraudWatch International
- Οι μεγαλύτερες εταιρείες τείνουν να εκπαιδεύουν τους υπαλλήλους να αναγνωρίζουν δημοφιλείς απόπειρες ηλεκτρονικού ψαρέματος
- Σε επίπεδο χρήστη:
- ΠΆΝΤΑ ΝΑ ΕΊΣΤΕ ΠΡΟΣΕΚΤΙΚΟΙ
- Μην ανοίγετε ποτέ μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που δεν γνωρίζετε
- Εάν ανοίξετε το email, διαβάστε το προσεκτικά και δώστε προσοχή σε λεπτομέρειες όπως, νομιμότητα της διεύθυνσης αποστολέα, σωστή χρήση της γλώσσας, ύπαρξη ασαφών (και όχι συγκεκριμένων) πληροφοριών.
- Περισσότερα στο PDF στο σύνδεσμο στο τέλος της σελίδας
Βίντεο (στο YouTube) για τον προσδιορισμό του ηλεκτρονικού ψαρέματος:
- Google’s: Stay Safe from Phishing and Scams
- Atomic Shrimp: How to recognize a phishing scan message
Κατεβάστε το brief-on phishing and how to avoid it αρχείο το οποίο περιλαμβάνει το παραπάνω κείμενο και περισσότερες πληροφορίες (Σημείωση: το pdf αρχείο περιλαμβάνει Αγγλικό και Ελληνικό κείμενο).