Οι phishing επιθέσεις είναι μια από τις μεγαλύτερες και πιο διαδεδομένες απειλές στον κυβερνοχώρο. Στις περισσότερες περιπτώσεις, καταφέρνουν να παρακάμψουν τις μεθόδους ανίχνευσης και οι πιθανότητες εντοπισμού και σύλληψης των δραστών είναι περιορισμένες. Το Phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο 'θύτης' υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-'θύματος', με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Ο όρος “ηλεκτρονικό ψάρεμα” ή phishing εντοπίζεται ήδη από το 1987. O κίνδυνος να πέσει κάποιος θύμα μιας phishing επίθεσης άρχισε να αυξάνεται σταδιακά, λόγω της ευρύτερης χρήσης του διαδικτύου και της συγκέντρωσης προσωπικών πληροφοριών που διατίθενται κυρίως μέσω των κοινωνικών μέσων.Το phishing αναφέρεται ουσιαστικά στη δόλια χρήση ηλεκτρονικών επικοινωνιών με στόχο την εξαπάτηση χρηστών. Αποτελεί μια μορφή social engineering επίθεσης, που βασίζεται συνήθως στην αποστολή emails, με στόχο την κλοπή δεδομένων ή την εγκατάσταση malware.Συνήθως, οι δράστες προσπαθούν να αποκτήσουν εμπιστευτικές πληροφορίες όπως ονόματα χρήστη, κωδικούς πρόσβασης, πληροφορίες πιστωτικών καρτών κλπ.Οι εγκληματίες προσπαθούν να κάνουν αυτά τα emails να φαίνονται νόμιμα, ώστε να αυξήσουν τις πιθανότητες εξαπάτησης των χρηστών.Αν ήταν εφικτό να αποδώσουμε τον όρο στα Ελληνικά, θα μπορούσαμε κάλλιστα να το αποκαλέσουμε 'Ηλεκτρονικό Ψάρεμα', κι αυτό γιατί αγγλικός όρος δεν απέχει πολύ από αυτό. Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον χάκερ Khan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό 'fishing' (ψάρεμα) , καθώς η διαδικασία με την οποία ο θύτης παρουσιάζεται ως η αξιόπιστη οντότητα ώστε να προσελκύσει τους χρήστες, θυμίζει την διαδικασία του δολώματος στο ψάρεμα. Μία άλλη εξήγηση σε αυτό είναι πως οι πρώτοι phishers, χρησιμοποιούσαν στα chat rooms τον html κωδικό <>< που παραπέμπει σε ψάρι, διότι αυτός ο κωδικός δεν ήταν εύκολο να ανιχνευθεί ή να φιλτραριστεί αφού είναι ο πιο βασικός στην HTML. Η αλλαγή του γράμματος f σε ph, πιθανότατα να είναι τυχαία ή να χρησιμοποιήθηκε από τους hackers για την απόκρυψη των ιχνών τους, αλλά σύμφωνα με κάποιους, έχει να κάνει με τον παλαιότερο όρο 'phreaking' ή 'phone freaking[Το phreaking είναι η ενέργεια μη εξουσιοδοτημένου χειρισμού τηλεφωνικών δικτύων.
H πρώτη περιγραφή της τεχνικής Phishing έγινε το 1987 σε μία παρουσίαση στο διεθνές συνέδριο χρηστών της Hewlett-Packard, από την Interex. Στην πράξη όμως, οι πρώτες καταγεγραμμένες ενέργειες Phishing ήρθαν πολύ αργότερα, για να πλήξουν την τότε μεγαλύτερη διαδικτυακή υπηρεσία επικοινωνίας AOL, το 1995, που την περίοδο εκείνη εξυπηρετούσε 3.5 εκατομμύρια λογαριασμούς. Οι phishers, δημιουργώντας ψεύτικους λογαριασμούς, επικοινωνούσαν με τους χρήστες της υπηρεσίας υποδυόμενοι υπαλλήλους της ίδιας της εταιρίας, ζητώντας απροκάλυπτα από τους χρήστες τους προσωπικούς τους κωδικούς και τους αριθμούς τραπεζικών λογαριασμών, συνήθως με την πρόφαση πως υπάρχει κάποιο πρόβλημα με τον λογαριασμό τους
To Phishing έγινε πλέον εύκολο ακόμα και για άπειρους χρήστες, με την είσοδο του προγράμματος AOHell, το οποίο εξαπατούσε τους χρήστες με αυτοματοποιημένο τρόπο, μετατρέποντας το Phishing από ένα απλό αστείο σε μία από τις μεγαλύτερες διαδικτυακές απειλές. Όπως ήταν φυσικό, η εταιρία αναγκάστηκε να προβεί στην ενίσχυση των εργαλείων ασφάλειας της υπηρεσίας, τοποθέτησε προειδοποιητικά μηνύματα σε διάφορα σημεία του εργαλείου, ενώ ταυτόχρονα ανακοίνωσε και επίσημη προειδοποίηση προς τους χρήστες της πως θα πρέπει να πάρουν και οι ίδιοι μέτρα, αποφεύγοντας ύποπτους χρήστες και αλλάζοντας συχνά τον κωδικό τους. Η AOL ανέπτυξε ένα σύστημα απενεργοποίησης λογαριασμών που σχετίζονταν με phishing, πριν ανταποκριθούν οι χρήστες. Το κλείσιμο της σκηνής warez στους σέρβερ της AOL εξανάγκασε τους phisher να εγκαταλείψουν την διαδικτυακή της επικράτεια.
Με την πάροδο του χρόνου και τις συνεχείς τεχνολογικές εξελίξεις το Phishing πήρε άλλη έκταση αφού χρησιμοποιήθηκε κατά κόρον, για μαζικές επιθέσεις σε τραπεζικούς λογαριασμούς αλλά φημολογήθηκαν ακόμα και στοχευμένες επιθέσεις προς κυβερνήσεις.
To Phishing έγινε πλέον εύκολο ακόμα και για άπειρους χρήστες, με την είσοδο του προγράμματος AOHell, το οποίο εξαπατούσε τους χρήστες με αυτοματοποιημένο τρόπο, μετατρέποντας το Phishing από ένα απλό αστείο σε μία από τις μεγαλύτερες διαδικτυακές απειλές. Όπως ήταν φυσικό, η εταιρία αναγκάστηκε να προβεί στην ενίσχυση των εργαλείων ασφάλειας της υπηρεσίας, τοποθέτησε προειδοποιητικά μηνύματα σε διάφορα σημεία του εργαλείου, ενώ ταυτόχρονα ανακοίνωσε και επίσημη προειδοποίηση προς τους χρήστες της πως θα πρέπει να πάρουν και οι ίδιοι μέτρα, αποφεύγοντας ύποπτους χρήστες και αλλάζοντας συχνά τον κωδικό τους. Η AOL ανέπτυξε ένα σύστημα απενεργοποίησης λογαριασμών που σχετίζονταν με phishing, πριν ανταποκριθούν οι χρήστες. Το κλείσιμο της σκηνής warez στους σέρβερ της AOL εξανάγκασε τους phisher να εγκαταλείψουν την διαδικτυακή της επικράτεια.
Με την πάροδο του χρόνου και τις συνεχείς τεχνολογικές εξελίξεις το Phishing πήρε άλλη έκταση αφού χρησιμοποιήθηκε κατά κόρον, για μαζικές επιθέσεις σε τραπεζικούς λογαριασμούς αλλά φημολογήθηκαν ακόμα και στοχευμένες επιθέσεις προς κυβερνήσεις.
Επιθέσεις phishing σε εταιρίες-κολοσσούς
Η Google Inc., η οποία εξυπηρετεί σήμερα πολλούς περισσότερους από 200 εκατομμύρια χρήστες με την υπηρεσία g-mail, το 2010 κατηγόρησε την Κίνα για εσκεμμένη επίθεση στη βάση δεδομένων της που είχε ξεκινήσει ήδη από το 2009. Η εταιρία βασίστηκε σε μία διαδικτυακή μελέτη, στην οποία οι ίδιοι οι χρήστες αποδείκνυαν με τις καταγραφές τους πως είχαν πέσει θύματα Spear-Phishing. Το 2011 η εταιρία εξαπέλυσε για άλλη μία φορά κατηγορίες προς την Κίνα, στρεφόμενη προς την ίδια την κυβέρνηση. Σύμφωνα με την επίσημη θέση της εταιρίας 'Hackers με βάση τo Jinan της Κίνας, επιχείρησαν να πραγματοποιήσουν επίθεση Phishing προς χρήστες της υπηρεσίας, συμπεριλαμβανομένου αμερικανικού κυβερνητικού και στρατιωτικού προσωπικού, ακτιβιστών και άλλων ισχυρών προσώπων, εξαπατώντας τους και αποσπώντας τους προσωπικούς τους κωδικούς'. H δημόσια ανακοίνωση του Ομοσπονδιακού Γραφείου Ερευνών (FBI) σε σχέση με την ασφάλεια των ευαίσθητων κρατικών μυστικών, ήταν πως τα στοιχεία δεν είναι επαρκή για περισσότερη δράση πάνω σε αυτό, αφού δεν εντοπίστηκαν επιτυχημένες επιθέσεις προς συγκεκριμένους κυβερνητικούς και στρατιωτικούς αντιπροσώπους. Η Κινεζική κυβέρνηση αρνήθηκε τις κατηγορίες, αν και αργότερα αποκαλύφθηκαν σε ένα τηλεοπτικό ντοκιμαντέρ στοιχεία που ενοχοποιούν τον Κινεζικό Κομμουνιστικό Στρατό. Στη συνέχεια η εταιρία, ανακοίνωσε προς απάντηση πως έχει λάβει τα απαραίτητα μέτρα για την προστασία των χρηστών και έχει ενημέρωσει τις σχετικές αρχές. Πολλές μεγάλες εταιρίες και οργανισμοί, όπως η Lockheed Martin, η Microsoft και η Yahoo, έχουν αναφερθεί στο βάρος που δίνεται στην ασφάλεια και προστασία των προσωπικών δεδομένων των χρηστών τους, αλλά λίγες σε επιθέσεις phishing που επιχειρούνται εις βάρος τους. Σύμφωνα με την Google, οι περισσότερες από αυτές τις εταιρίες, ενώ πλήττονται συχνά από επιθέσεις phishing, επιλέγουν την στρατηγική να μην το δημοσιοποιούν.
Πώς λειτουργεί το phishing;
Συνήθως, στα κακόβουλα emails υπάρχουν σύνδεσμοι ή συνημμένα αρχεία. Οι σύνδεσμοι μπορούν να οδηγήσουν τους χρήστες σε φαινομενικά νόμιμες σελίδες, οι οποίες τους ζητούν να δώσουν προσωπικά στοιχεία και κωδικούς πρόσβασης.Από την άλλη, τα συνημμένα που μπορεί να έχουν διάφορες μορφές, όπως Word, Excel, PDF, που κατεβάζουν κακόβουλο λογισμικό στα συστήματα των θυμάτων.Καθημερινά, πραγματοποιούνται χιλιάδες phishing επιθέσεις σε όλο τον κόσμο.Αν και ο τελικός στόχος των απατεώνων είναι πάντα ο ίδιος, υπάρχουν διαφορετικοί τρόποι διεξαγωγής των επιθέσεων.Μερικοί από τους πιο συνηθισμένους τύπους phishing επιθέσεων είναι: τo spear phishing, το whaling, το smishing, το vishing, το clone phishing και το angler phishing.
Το phishing όπως προαναφέρθηκε ξεκινάει λίγο παλαιότερα, με το phone phreaking, όταν ακόμα οι hackers έκαναν επιθέσεις στα τηλεφωνικά δίκτυα, επεμβαίνοντας στις γραμμές και αποσπώντας κρίσιμες πληροφορίες από προσωπικές συζητήσεις. Στην διαδικτυακή του μορφή πρωτοεμφανίστηκε το 1995 μέσω της υπηρεσίας e-mail, και στη συνέχεια με άμεσο μήνυμα (instant messaging). O hacker στέλνει ένα e-mail ή άμεσο μήνυμα στο 'θύμα', στο οποίο συστήνεται ως αξιόπιστο πρόσωπο που ανήκει σε κάποια εταιρία ή οργανισμό, πολλές φορές και την ίδια την υπηρεσία του e-mail, και ζητά από το θύμα κάποια προσωπικά στοιχεία. Βασικό εργαλείο του phishing είναι οι παραπλανητικοί σύνδεσμοι (link manipulation). O χρήστης βρίσκεται σε μία ιστοσελίδα, e-mail ή άμεσο μήνυμα, που τον παραπέμπουν σε έναν σύνδεσμο επιφανειακά αξιόπιστο, αλλά είναι φτιαγμένος έτσι ώστε να τον οδηγεί σε διαφορετική ιστοσελίδα από αυτή που προβλέπεται. Αυτό είναι κάτι πολύ κρίσιμο αλλά ταυτόχρονα και πολύ εύκολο στη δημιουργία του, αφού σε έναν απλό html κώδικα δίνεται η δυνατότητα να μετατρέψει κανείς τον τίτλο του συνδέσμου όπως θέλει. Κάπως έτσι λειτουργούν και οι ψεύτικες ιστοσελίδες (fake websites), που μέσω παραπλανητικών συνδέσμων, οδηγούν τους χρήστες σε σελίδες οπτικά πανομοιότυπες με τις αυθεντικές ιστοσελίδες, ανήκουν όμως στον server του hacker.
To Phishing μπορεί να γίνει ακόμα πιο επίφοβο, όταν χρησιμοποιούνται μέθοδοι ακόμα πιο δύσκολοι στην ανίχνευση τους. Το λεγόμενο IDN spoofing, μέσω του οποίου με κακό χειρισμό των International Domain Names (IDN), πανομοιότυπα URL μπορούν να οδηγούν σε διαφορετικές ιστοσελίδες, δεν λύνεται ούτε με τα υπάρχοντα πιστοποιητικά αφού είναι πλέον πολύ εύκολο ακόμα και για τους hackers να αποκτήσουν πιστοποιητικό αυθεντικότητας. Πολλές φορές οι phishers εξαπατούν ακόμα και τα anti-phishing προγράμματα ή καλύπτουν τα ίχνη τους με χρήση φίλτρων, όπως εικόνες ή flashplayer αντί για κείμενο ή την αξιοποίηση JavaScript για την κάλυψη του URL με κάποιο άλλο. Στη δεύτερη περίπτωση είτε τοποθετείται μία εικόνα πάνω στο πραγματικό URL, η οποία δείχνει το πλαστό, είτε το πραγματικό URL κρύβεται πλήρως και στη θέση του μπαίνει το ψεύτικο. Ο θύτης μπορεί επίσης να εκμεταλλευτεί προβλήματα στον κώδικα της αυθεντικής ιστοσελίδας και προκαλέσει την επίθεση μέσω αυτής.Άλλες τεχνικές Phishing χρησιμοποιούν αναδυόμενα παράθυρα (pop-up windows), πολλαπλές καρτέλες (tab-nabbing) ή ακόμα και τη δημιουργία ψεύτικων δημοσίων δικτύων σε αεροδρόμια, ξενοδοχεία και καφετέριες.
Πού στηρίζεται η επιτυχία του Phishing
Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες: την έλλειψη γνώσεων του θύματος, την έλλειψη προσοχής του θύματος και την οπτική εξαπάτηση. Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.
Ακόμα και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις για να ανιχνεύσει τα κακόβουλα στοιχεία, πολλές φορές δεν θα προσέξει τα σημάδια, αφού μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο. Σύμφωνα με μία αναφορά της εταιρίας Symantec το 2006, οι επιθέσεις Phishing αυξήθηκαν κατά 30% σε σημαντικές μέρες όπως ήταν τα Χριστούγεννα, η Πρωτοχρονιά και το Κύπελλο του Ποδοσφαίρου. Έτσι ο χρήστης μπορεί είτε να μην δίνει αρκετή σημασία στις υπάρχουσες προειδοποιήσεις ασφάλειας ή στην έλλειψη αυτών.
Άλλωστε η σωστή τεχνική phishing κρύβει τα περισσότερα από τα σημάδια. Πώς; Και εκεί κρίνεται ο πιο σημαντικός παράγοντας για μία επιτυχημένη επίθεση phishing: Η οπτική εξαπάτηση. Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία του. Αυτό το επιτυγχάνει με:
Παραπλανητικό κείμενο. Το κείμενο αυτό, που συνήθως είναι οι παραπλανητικοί σύνδεσμοι, μπορεί να χρησιμοποιεί λάθος σύνταξη ή ορθογραφία (π.χ. www.fasebook.com ), αναγραμματισμούς (π.χ. www.yutoube.com ) ή να αντικαθιστά παρόμοια γράμματα όπως το αγγλικό μικρό l (L) με το κεφαλαίο Ι (i), κλπ. Παραπλανητικές εικόνες. Οι εικόνες αυτές, μπορεί να είναι οι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo της google, αλλά όταν πατάς σε αυτές να σε οδηγούν αλλού. Μία εξίσου κοινή μέθοδος είναι εικόνες που μιμούνται το λειτουργικό σύστημα του υπολογιστή.Παραπλανητικό design. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με το ίδιο ακριβώς design που έχει η αυθεντική.Το μήνυμα συνήθως εμπεριέχει κάποια απειλή ή κάποιο πρόβλημα το οποίο ο χρήστης καλείται να αντιμετωπίσει . Π,χ «αν δεν ακολουθήσετε τον σύνδεσμο, ο λογαριασμός σας θα κλειδωθεί», ή «μόλις έγινε συναλλαγή €280 από τον λογαριασμό σας, για να την ακυρώσετε πατήστε εδώ» Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, στις περισσότερες περιπτώσεις έχει κατά 90% επιτυχημένες επιθέσεις.
Ποιοι είναι οι στόχοι των Phishers και οι κίνδυνοι
Οι hackers έχουν συνήθως οικονομικούς σκοπούς, για αυτό το λόγο στοχεύουν στις περισσότερες περιπτώσεις σε τραπεζικούς λογαριασμούς, ή λογαριασμούς στους οποίους οι χρήστες εμπιστεύονται τα προσωπικά τους δεδομένα για να κάνουν συναλλαγές. Σε άλλες περιπτώσεις, το phishing γίνεται εργαλείο για spamming, προώθηση κακόβουλου λογισμικού, διαφημιστικά.
Spear phishing
Τα spear phishing emails είναι συνήθως πιο στοχευμένα από τα απλά phishing και επικεντρώνονται κυρίως σε υπαλλήλους επιχειρήσεων. Οι εισβολείς συχνά συλλέγουν πληροφορίες σχετικά με τους στόχους τους, ώστε τα μηνύματά τους να φαίνονται πιο πειστικά.Και σε αυτή την περίπτωση ο στόχος είναι το άνοιγμα ενός κακόβουλου συνδέσμου ή συνημμένου.Μια από τις πιο συχνές τεχνικές που χρησιμοποιούν οι hackers για την πραγματοποίηση μιας spear phishing επίθεσης είναι η φιλοξενία κακόβουλων εγγράφων σε υπηρεσίες cloud. Πολλοί εγκληματίες φιλοξενούν τα κακόβουλα έγγραφά τους σε υπηρεσίες όπως το Dropbox, το Box και το Google Drive, καθώς στις περισσότερες περιπτώσεις, τα IT συστήματα δεν αποκλείουν αυτές τις υπηρεσίες.Επομένως, είναι εύκολο να παρακάμψουν τις λύσεις ασφαλείας των οργανισμών, αφού τα φίλτρα email δεν θα τα επισημάνουν ως μολυσμένα έγγραφα.
Τα spear phishing emails είναι συνήθως πιο στοχευμένα από τα απλά phishing και επικεντρώνονται κυρίως σε υπαλλήλους επιχειρήσεων. Οι εισβολείς συχνά συλλέγουν πληροφορίες σχετικά με τους στόχους τους, ώστε τα μηνύματά τους να φαίνονται πιο πειστικά.Και σε αυτή την περίπτωση ο στόχος είναι το άνοιγμα ενός κακόβουλου συνδέσμου ή συνημμένου.Μια από τις πιο συχνές τεχνικές που χρησιμοποιούν οι hackers για την πραγματοποίηση μιας spear phishing επίθεσης είναι η φιλοξενία κακόβουλων εγγράφων σε υπηρεσίες cloud. Πολλοί εγκληματίες φιλοξενούν τα κακόβουλα έγγραφά τους σε υπηρεσίες όπως το Dropbox, το Box και το Google Drive, καθώς στις περισσότερες περιπτώσεις, τα IT συστήματα δεν αποκλείουν αυτές τις υπηρεσίες.Επομένως, είναι εύκολο να παρακάμψουν τις λύσεις ασφαλείας των οργανισμών, αφού τα φίλτρα email δεν θα τα επισημάνουν ως μολυσμένα έγγραφα.
Clone phishing
Όσον αφορά στο clone phishing, οι επιτιθέμενοι μπορούν να δουν προηγούμενες συνομιλίες των θυμάτων και να τις κλωνοποιήσουν, να δημιουργήσουν δηλαδή ένα σχεδόν πανομοιότυπο αντίγραφο και μετά να αλλάξουν ένα συνημμένο ή να το συνδέσουν με κάτι κακόβουλο.Με αυτόν τον τρόπο, ο παραλήπτης δεν θα αντιληφθεί ότι πρόκειται για κάτι ύποπτο.
Whaling επιθέσεις
Ένας άλλο τύπος phishing επίθεσης είναι oι whaling επιθέσεις, που είναι ακόμα πιο στοχευμένες. Aπευθύνονται σε ανώτερα στελέχη ή χρήστες με αυξημένα προνόμια σε μια επιχείρηση. Αυτές οι επιθέσεις απαιτούν περισσότερη προσπάθεια, αλλά οι ανταμοιβές είναι πιθανώς μεγαλύτερες.
Οι στόχοι είναι συνήθως διευθύνοντες σύμβουλοι και άλλα στελέχη που έχουν στην κατοχή τους πολύτιμες πληροφορίες και περισσότερες προσβάσεις σε συστήματα.Ερευνητές έχουν παρατηρήσει ότι τα whaling emails συνδυάζονται συχνά και με μια φωνητική κλήση, που επιβεβαιώνει το αίτημα του email.Οι whaling επιθέσεις μπορούν να συνδυαστούν και με άλλες απάτες. Ένας παραβιασμένος λογαριασμός ενός ανώτερου στελέχους μπορεί να χρησιμοποιηθεί για τη διεξαγωγή Business email compromise (BEC) επιθέσεων. Συνηθισμένο παράδειγμα BEC επίθεσης είναι η αποστολή ενός email σε έναν υπάλληλο, το οποίο υποτίθεται ότι προέρχεται από τον Διευθύνοντα Σύμβουλο. Οι υπάλληλοι είναι πιθανό να ξεγελαστούν και να ανταποκριθούν στο αίτημα του ανώτερου στελέχους, που είναι συνήθως η μεταφορά χρηματικού ποσού.
Smishing και Vishing
Όσον αφορά στο smishing και το vishing, πρόκειται για δύο phishing τεχνικές, όπου αντί για emails χρησιμοποιούνται τηλέφωνα.Στο vishing, οι απατεώνες πραγματοποιούν τηλεφωνικές κλήσεις. Σε μια συνηθισμένη vishing επίθεση, ο εγκληματίας καλεί το θύμα και παριστάνει έναν υπεύθυνο τράπεζας, που ενημερώνει το θύμα ότι ο λογαριασμός του έχει παραβιαστεί.Στη συνέχεια, ζητά κάποια τραπεζικά στοιχεία για να επαληθεύσει την ταυτότητα του θύματος ή να μεταφέρει χρήματα σε έναν υποτιθέμενο “ασφαλή” λογαριασμό, ο οποίος φυσικά ανήκει στον απατεώνα.Μια συνηθισμένη τακτική στις vishing επιθέσεις είναι το ID spoofing. Με αυτήν την τακτική, οι εγκληματίες καλύπτουν τον αριθμό τηλεφώνου τους, ώστε να φαίνεται ότι η κλήση προέρχεται από έναν νόμιμο αριθμό τηλεφώνου με τον κωδικό περιοχής του στόχου.
Angler phishing
Τέλος, το angler phishing είναι ένας σχετικά νέος τύπος επίθεσης. Οι hackers αξιοποιούν τα social media για να λάβουν πληροφορίες και να εξαπατήσουν τους χρήστες. Ψεύτικες διευθύνσεις URL, κλωνοποιημένες ιστοσελίδες, δημοσιεύσεις, tweets ακόμα και άμεσα μηνύματα μπορούν να χρησιμοποιηθούν για να ξεγελάσουν τους χρήστες. Επίσης, οι εγκληματίες μπορούν να χρησιμοποιήσουν δεδομένα που οι ίδιοι οι χρήστες δημοσιεύουν στα μέσα κοινωνικής δικτύωσης.
Αυτοί ήταν μερικοί από τους πιο συνηθισμένους τύπους phishing επιθέσεων. Οι περισσότεροι είναι εξαιρετικά αποτελεσματικοί. Οι χρήστες πρέπει να είναι πολύ προσεκτικοί, καθώς οι εγκληματίες εκμεταλλεύονται κάθε ευκαιρία για να επιτεθούν. Συχνά, χρησιμοποιούν θέματα της επικαιρότητας για να τραβήξουν την προσοχή των θυμάτων. Για παράδειγμα, τον τελευταίο χρόνο, οι hackers πραγματοποίησαν πολλές phishing επιθέσεις που είχαν ως δόλωμα τον COVID-19. Επιπλέον, οι νέες συνθήκες που έχει δημιουργήσει η πανδημία, χρησιμοποιούνται επίσης από τους εγκληματίες.
Οι hackers εκμεταλλεύονται την απομακρυσμένη εργασία, καθώς οι υπάλληλοι δεν έχουν την ίδια ασφάλεια, χρησιμοποιώντας τα οικιακά δίκτυα και τις προσωπικές τους συσκευές.
Επίσης, εκμεταλλεύονται το γεγονός ότι πολλοί εργαζόμενοι δεν μπορούν να αναγνωρίσουν τα phishing emails.
To Phishing Σήμερα - Στατιστικά Στοιχεία
Υπάρχουν διάφοροι οργανισμοί που πραγματοποιούν εντατικές μελέτες σχετικά με το πρόβλημα του Phishing και παρουσιάζουν τις στατιστικές που προκύπτουν στους ιστότοπους τους. Τα Στατιστικα στοιχεία που προκύπτουν από τις έρευνες της APWG, δείχνουν τον μέσο όρο επίθεσης κάθε μήνα για τα τελευταία 7 χρόνια (μέχρι το 2013). Σύμφωνα με τις αναφορές της APWG, οι αναφορές επιθέσεων αυξήθηκαν ιδιαίτερα το 2009, ενώ το 2010 σημείωσαν πτώση, και από τότε σταδιακά αυξάνονται. Ο αριθμός ιστοσελίδων που παρουσιάστηκε τέτοιου είδους δραστηριότητα παρουσιάζει σχεδόν κάθε χρόνο αύξηση, με μία μικρή πτώση το 2011. Ο αριθμός των εταιριών που έπεσαν θύμα ενεργειών phishing κατά μέσο όρο, αυξάνεται και αυτός κάθε χρόνο.
Σύμφωνα με την παγκόσμια Έρευνα Global Corporate IT Security Risks 2013, που πραγματοποιήθηκε από τη B2B International σε συνεργασία με την Kaspersky Lab, στην οποία έλαβαν μέρος και στελέχη του ΙΤ από την Ελλάδα, το 69% των Ελλήνων στελεχών που συμμετείχε, ανέφερε ότι οι εταιρείες τους δέχτηκαν επιθέσεις με διάφορα είδη κακόβουλων επιθέσεων (ο παγκόσμιος μέσος όρος ανέρχεται σε 66% για το 2013, έχοντας σημειώσει αύξηση σε σχέση με το 58% του 2012). Οι επιθέσεις phishing στοχοποίησαν το 46% των επιχειρήσεων (36% σε παγκόσμιο επίπεδο), με το phishing να παραμένει στην κορυφαία τριάδα των πιο διαδεδομένων απειλών που χρησιμοποιούνται σε εξωτερικές επιθέσεις ενάντια σε εταιρείες. Οι κακόβουλες επιθέσεις είναι στην πραγματικότητα ο Νο 1 λόγος πίσω από τις σοβαρές διαρροές εμπιστευτικών δεδομένων — το 22% των εταιρειών παγκοσμίως και το 21% των εταιρειών στην Ελλάδα ανέφεραν ότι έχουν υποστεί διαρροές δεδομένων έπειτα από τέτοιου είδους επιθέσεις. Τις περισσότερες φορές, αυτά τα περιστατικά σημειώνονται σε μικρού και μεσαίου μεγέθους επιχειρήσεις (23%), ενώ οι μεγάλες εταιρείες γίνονται στόχος των κακόβουλων επιθέσεων λιγότερο συχνά (17%). Οι διαρροές δεδομένων είναι αποτέλεσμα επιθέσεων phishing πιο περιστασιακά, με το 5% των επιχειρήσεων σε παγκόσμιο επίπεδο να αντιμετωπίζουν παρόμοια περιστατικά. Στην Ελλάδα, αυτό το ποσοστό είναι μόλις 3%. Ωστόσο, το ποσοστό των μεγάλων εταιρειών που έχασαν δεδομένα λόγω επιθέσεων phishing είναι λίγο υψηλότερο (6%) από το αντίστοιχο ποσοστό για τις μικρομεσαίες επιχειρήσεις (5%).
Resourse
Υπάρχουν διάφοροι οργανισμοί που πραγματοποιούν εντατικές μελέτες σχετικά με το πρόβλημα του Phishing και παρουσιάζουν τις στατιστικές που προκύπτουν στους ιστότοπους τους. Τα Στατιστικα στοιχεία που προκύπτουν από τις έρευνες της APWG, δείχνουν τον μέσο όρο επίθεσης κάθε μήνα για τα τελευταία 7 χρόνια (μέχρι το 2013). Σύμφωνα με τις αναφορές της APWG, οι αναφορές επιθέσεων αυξήθηκαν ιδιαίτερα το 2009, ενώ το 2010 σημείωσαν πτώση, και από τότε σταδιακά αυξάνονται. Ο αριθμός ιστοσελίδων που παρουσιάστηκε τέτοιου είδους δραστηριότητα παρουσιάζει σχεδόν κάθε χρόνο αύξηση, με μία μικρή πτώση το 2011. Ο αριθμός των εταιριών που έπεσαν θύμα ενεργειών phishing κατά μέσο όρο, αυξάνεται και αυτός κάθε χρόνο.
Σύμφωνα με την παγκόσμια Έρευνα Global Corporate IT Security Risks 2013, που πραγματοποιήθηκε από τη B2B International σε συνεργασία με την Kaspersky Lab, στην οποία έλαβαν μέρος και στελέχη του ΙΤ από την Ελλάδα, το 69% των Ελλήνων στελεχών που συμμετείχε, ανέφερε ότι οι εταιρείες τους δέχτηκαν επιθέσεις με διάφορα είδη κακόβουλων επιθέσεων (ο παγκόσμιος μέσος όρος ανέρχεται σε 66% για το 2013, έχοντας σημειώσει αύξηση σε σχέση με το 58% του 2012). Οι επιθέσεις phishing στοχοποίησαν το 46% των επιχειρήσεων (36% σε παγκόσμιο επίπεδο), με το phishing να παραμένει στην κορυφαία τριάδα των πιο διαδεδομένων απειλών που χρησιμοποιούνται σε εξωτερικές επιθέσεις ενάντια σε εταιρείες. Οι κακόβουλες επιθέσεις είναι στην πραγματικότητα ο Νο 1 λόγος πίσω από τις σοβαρές διαρροές εμπιστευτικών δεδομένων — το 22% των εταιρειών παγκοσμίως και το 21% των εταιρειών στην Ελλάδα ανέφεραν ότι έχουν υποστεί διαρροές δεδομένων έπειτα από τέτοιου είδους επιθέσεις. Τις περισσότερες φορές, αυτά τα περιστατικά σημειώνονται σε μικρού και μεσαίου μεγέθους επιχειρήσεις (23%), ενώ οι μεγάλες εταιρείες γίνονται στόχος των κακόβουλων επιθέσεων λιγότερο συχνά (17%). Οι διαρροές δεδομένων είναι αποτέλεσμα επιθέσεων phishing πιο περιστασιακά, με το 5% των επιχειρήσεων σε παγκόσμιο επίπεδο να αντιμετωπίζουν παρόμοια περιστατικά. Στην Ελλάδα, αυτό το ποσοστό είναι μόλις 3%. Ωστόσο, το ποσοστό των μεγάλων εταιρειών που έχασαν δεδομένα λόγω επιθέσεων phishing είναι λίγο υψηλότερο (6%) από το αντίστοιχο ποσοστό για τις μικρομεσαίες επιχειρήσεις (5%).
Resourse
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου