Εν συντομία για (ηλεκτρονικό) ψάρεμα (phishing)

Εν συντομία για (ηλεκτρονικό) ψάρεμα (phishing) και πως να το αποφύγετε

Τι είναι το (ηλεκτρονικό) ψάρεμα

Το ηλεκτρονικό ψάρεμα (phishing) είναι μια δόλια προσπάθεια απόκτησης κάθε είδους ευαίσθητων πληροφοριών ή δεδομένων που μπορούν να χρησιμοποιηθούν για την επίθεση ανυποψίαστων χρηστών. Ο δράστης προσπαθεί να μεταμφιεστεί σε αξιόπιστη οντότητα συνήθως μέσω email, SMS ή άμεσων μηνυμάτων και με κάποιο τρόπο να εκμαιεύσει προσωπικές πληροφορίες από τα θύματα ζητώντας τους να συμπληρώσουν μια φόρμα ή να επισκεφθούν έναν (κακόβουλο) ιστότοπο.

Τύποι

  • Spear phishing: απευθύνεται σε συγκεκριμένα άτομα ή εταιρείες (υπαλλήλους και στελέχη)
  • Φαλαινοθηρία: ειδικά sprear phishing στελεχών μιας εταιρίας
  • Catphishing: διαδικτυακή εξαπάτηση που περιλαμβάνει την προσωπική γνωριμία με το «θύμα»
  • Κλωνοποίηση ηλεκτρονικού ψαρέματος: δημιουργία ψευδούς επικοινωνίας που βασίζεται σε πρωτότυπο με αντικατάσταση νόμιμων συνδέσμων ή αρχείων με κακόβουλους
  • Φωνητικό ηλεκτρονικό ψάρεμα (phishing): εξαπατώντας τους χρήστες να καλέσουν μια υπηρεσία «τράπεζας» προκειμένου να εκτελέσουν κάποια εργασία ή να ενημερώσουν κάποιες πληροφορίες
  • SMS ηλεκτρονικού ψαρέματος (ή smishing): ο “στόχος” (υποψήφιο θύμα) λαμβάνει ένα SMS με έναν σύνδεσμο ή του ζητείται να καλέσει έναν αριθμό τηλεφώνου ή να στείλει ένα email ή ένα SMS.

Τεχνικές που χρησιμοποιούνται

  • Χειρισμός συνδέσμου: κάνοντας έναν σύνδεσμο να πάει κάπου ή να κάνει κάτι που μπορεί να θέσει σε κίνδυνο ή να εξαγάγει ευαίσθητες πληροφορίες
  • Διαφυγή φίλτρου: χειρισμός περιεχομένου e-mail ώστε να αποφεύγονται τα φίλτρα που τοποθετούνται σε διακομιστές e-mail
  • Πλαστογραφία ιστοτόπου: χρήση τεχνικών προγραμματισμού ιστού για να εξαπατήσει τους χρήστες να πιστεύουν ότι επισκέπτονται έναν νόμιμο ιστότοπο, ενώ στην πραγματικότητα δεν είναι.
  • Κρυφή ανακατεύθυνση: οι εισβολείς χειρίζονται συνδέσμους για να φαίνονται νόμιμοι, αλλά μεταφέρουν τον χρήστη σε κακόβουλους ιστότοπους.
  • Social engineering οι χρήστες ενθαρρύνονται να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα

Πως να αποφύγετε το (ηλεκτρονικό) ψάρεμα

  • Σε μεγάλη κλίμακα
    • Οι μεγάλοι πάροχοι υπηρεσιών αλληλογραφίας περιλαμβάνουν φίλτρα anti-spam και anti-phishing για να σταματήσουν τα μηνύματα πριν φτάσουν ακόμη και στους διακομιστές
    • Οι διαχειριστές συστήματος μπορούν να εξοπλίσουν τον διακομιστή αλληλογραφίας με φίλτρα anti-phishing
    • Υπάρχουν αρκετοί ιστότοποι που αναφέρουν τις λεπτομέρειες των προσπαθειών ηλεκτρονικού ψαρέματος. Ένα παράδειγμα είναι: FraudWatch International
    • Οι μεγαλύτερες εταιρείες τείνουν να εκπαιδεύουν τους υπαλλήλους να αναγνωρίζουν δημοφιλείς απόπειρες ηλεκτρονικού ψαρέματος
  • Σε επίπεδο χρήστη:
    • ΠΆΝΤΑ ΝΑ ΕΊΣΤΕ ΠΡΟΣΕΚΤΙΚΟΙ
    • Μην ανοίγετε ποτέ μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που δεν γνωρίζετε
    • Εάν ανοίξετε το email, διαβάστε το προσεκτικά και δώστε προσοχή σε λεπτομέρειες όπως, νομιμότητα της διεύθυνσης αποστολέα, σωστή χρήση της γλώσσας, ύπαρξη ασαφών (και όχι συγκεκριμένων) πληροφοριών.
    • Περισσότερα στο PDF στο σύνδεσμο στο τέλος της σελίδας

Βίντεο (στο YouTube) για τον προσδιορισμό του ηλεκτρονικού ψαρέματος:

Κατεβάστε το brief-on phishing and how to avoid it αρχείο το οποίο περιλαμβάνει το παραπάνω κείμενο και περισσότερες πληροφορίες (Σημείωση: το pdf αρχείο περιλαμβάνει Αγγλικό και Ελληνικό κείμενο).