Πρόληψη Περιστατικών

Εκπαίδευση Ανθρώπινου Δυναμικού

Παρακολουθήστε το σχετικό βίντεο κάνοντας κλίκ στην εικόνα και δειτε πως μπορείτε να περιορίσετε τον κίνδυνο απώλειας δεδομένων στην εταιρία σας εκπαιδεύοντας το ανθρώπινο δυναμικό της, το οποίο αποτελεί σύμφωνα με έρευνες καθοριστικό παράγοντα σε περιπτώσεις απώλειας δεδομένων.

"CEO fraud" BEC Scams - Το social engineering στο απόγειό του! του Κωνσταντίνου Βαβούση

Οι κακόβουλοι διαδικτυακοί χρήστες οι οποίοι δραστηριοποιούνται με απώτερο σκοπό την απόκτηση χρημάτων, λειτουργούν ουσιαστικά όπως κάθε επιχειρηματίας και επιχείρηση. Επιθυμούν τη μεγιστοποίηση του κέρδους τους με την παράλληλη ελαχιστοποίηση των εξόδων τους. Μια σχετικά πρόσφατη μόδα έχει αναδειχτεί στις τάξεις των hackers με σκοπό το παράνομο κέρδος, βασισμένη στην ανωτέρω λογική η οποία φέρει την ονομασία Business Email Compromise (BEC), επίσης γνωστή και ως απάτη του CEO ή "CEO fraud".

Μακρινός ξάδελφος της οικογένειας των ransomware κατά μια έννοια, οι επιθέσεις τύπου BEC, λειτουργούν ως αποστολή spoof email εναντίον μεσαίων και μεγάλων επιχειρήσεων. Η εν λόγω μορφή διαδικτυακής απάτης έχει αποδειχτεί αρκετά επικερδής διότι αφενός χρειάζεται ελάχιστες τεχνικές γνώσεις, αφετέρου έχει αποδειχτεί αρκετά προσοδοφόρα για τους διαδικτυακούς απατεώνες. Το τελευταίο διάστημα έχουμε γίνει μάρτυρες αρκετών υποθέσεων BEC σε ολόκληρο τον κόσμο, με ειδικούς και αρχές να κρούουν τον κώδωνα του κινδύνου σε μια μέθοδο απάτης που έχει τις ρίζες της στις απαρχές του διαδικτύου.

Βασική Μεθοδολογία

Αντί να ξοδεύουν ατελείωτες ώρες αποστέλλοντας phishing emails σε πολλούς τυχαίους παραλήπτες, πράξη που τους στοχοποιεί ευκολότερα και φυσικά έχει αποδειχθεί λιγότερο αποτελεσματική για τους επιχειρηματίες του κυβερνοεγκλήματος, πλέον ξεκινούν με μια αρχική έρευνα πριν πραγματοποιήσουν την επίθεσή τους. Αρχικά επιλέγουν την επιχείρηση που θα στοχοποιήσουν, συλλέγοντας πληροφορίες κυρίως υψηλόβαθμων στελεχών της εταιρείας όπως CEO και CFO αλλά και άλλων ανθρώπων-κλειδιά, οι οποίοι αποφασίζουν ή συμμετέχουν σε σημαντικές τραπεζικές συναλλαγές της εταιρείας. Στη συνέχεια και αφού έχουν συλλέξει αναλυτικές πληροφορίες τόσο για τα ονόματα των υποψήφιων στόχων όσο και περαιτέρω στοιχεία, αποφασίζουν για το ποιος πρόκειται να είναι ο στόχος τους. Μας θυμίζει αρκετά έναν γνώριμο τύπο επίθεσης phishing, τις SpearPhishingAttacks, μέσω των οποίων ενορχηστρώνεται ένα μοναδικό σενάριο αρκετά στοχευμένο και σίγουρα χωρίς να αποσκοπεί σε μαζική αποστολή.

Αφού έχει επιλεγεί ο βασικός χαρακτήρας του σεναρίου, έπειτα επιλέγεται ένας επιπλέον άνθρωπος-κλειδί, κατά κύριο λόγο από το οικονομικό τμήμα ή κάποιος βασικός προμηθευτής της εταιρείας. Στη συνέχεια, αποστέλλεται ένα email το οποίο υπογράφει ο CEO ή ο CFO της εταιρείας-στόχου, στην προσπάθεια να πείσει εντέχνως τον υπάλληλο που διαχειρίζεται τις συναλλαγές, να προχωρήσει σε κατάθεση ή σειρά καταθέσεων, σε κάποιον λογαριασμό των κακόβουλων χρηστών ή αν είναι ακόμη πιο έμπειροι σε λογαριασμό "mule", κάποιου δηλαδή ο οποίος έχει προσληφθεί από τους κακόβουλους χρήστες μόνο και μόνο για να μεταφερθούν τα χρήματα σε δικό του λογαριασμό και στη συνέχεια να τα παραδώσει στους δράστες. Αν η εταιρεία-θύμα το αντιληφθεί άμεσα, τότε υπάρχει ενδεχόμενο να μπλοκάρει την διαδικασία. Στη συντριπτική πλειοψηφία βέβαια των υποθέσεων BEC, όταν η πράξη γίνει αντιληπτή από την εταιρεία, είναι πλέον αργά ή στην καλύτερη περίπτωση έχει γίνει σύλληψη του τελευταίου τροχού της αμάξης, δηλαδή του μεσάζοντα.

Για να ενορχηστρώσουν ακόμη καλύτερα την επίθεση τους, οι κακόβουλοι χρήστες πέρα από τις ανοιχτές πηγές που διαθέτουν για την αρχική συλλογή των πληροφοριών για την εταιρεία στόχο, προσπαθούν να αποκτήσουν απομακρυσμένη πρόσβαση στον λογαριασμό email του εκάστοτε θύματος. Αν αυτό καταστεί επιτυχές, τότε μπορούν να έχουν πρόσβαση στο σύνολο της επικοινωνίας και να γνωρίζουν επακριβώς πως απευθύνεται ο CEO ή ο CFO στον υπάλληλο-θύμα, πως υπογράφει, ακόμη και αν χρησιμοποιεί υποκοριστικά. Με τη μέθοδο αυτή οι πιθανότητες επιτυχούς BEC επίθεσης είναι αρκετά υψηλές, οδηγώντας την εταιρεία σε σημαντικές χρηματικές απώλειες. Όταν κάνουμε λόγο για απώλειες, εννοούμε ότι σε ένα διάστημα διετίας 22 χιλιάδες επιχειρήσεις από ολόκληρο τον κόσμο έχουν χάσει περίπου 3 δισεκατομμύρια ευρώ.

Γιατί είναι τόσο επιτυχείς οι επιθέσεις BEC;

Στην περίπτωση των επιθέσεων BEC, οι κακόβουλοι χρήστες χρησιμοποιούν ορισμένες απλές, αλλά καθόλα αποτελεσματικές τεχνικές με σκοπό να μην εγείρουν υποψίες στα υποψήφια θύματα και φυσικά να σιγουρευτούν ότι τα εκάστοτε θύματα θα ενεργήσουν τάχιστα, χωρίς δεύτερες σκέψεις για περαιτέρω επιβεβαιώσεις.

Η πιο γνωστή τεχνική για την αποστολή της ηλεκτρονικής τους αλληλογραφίας στα υποψήφια θύματα, είναι να κάνουν spoof το email του εξουσιοδοτημένου χρήστη που χρησιμοποιούν την ταυτότητα του. Στην ίδια λογική κινούνται και τα παρεμφερή domains τα οποία είναι καθόλα legitimate απλά διαφοροποιούνται ελάχιστα στους χαρακτήρες του domain. Για παράδειγμα αν το domain της εταιρεία στόχου είναι @it-solutions.com μπορεί εύκολα ο κακόβουλος χρήστης να αγοράσει το domain @it-solutlons.com για να ενορχηστρώσει την επίθεσή του. Η διαφορά είναι φανερή για ένα έμπειρο μάτι αλλά πάνω στο καθημερινό τρέξιμο της δουλειάς το να ξεχωρίσουμε το "l" με το "I" δεν είναι εύκολο.

Για να επιταχύνουν τη διαδικασία της κατάθεσης και λόγο της θέσης του ατόμου που κάνει το request, CEO ή CFO υπενθυμίζουμε, ενημερώνουν ότι πρόκειται για κατεπείγουσα κατάθεση η οποία πρέπει να πραγματοποιηθεί άμεσα. Επίσης, πολλές φορές επικαλούνται ότι βρίσκονται ήδη σε συνάντηση με τον προμηθευτή στον οποίο πρέπει να γίνει η κατάθεση με σκοπό να μην τους απασχολήσουν με περαιτέρω τηλέφωνα ή email. Ένα επιπλέον στοιχείο που έχουμε παρατηρήσει ότι είναι αποτελεσματικό σε τέτοιου είδους επιθέσεις, είναι η επικόλληση στο τέλος του email της φράσης "Sent from my iPhone" ή "Sent from my iPad". Το συγκεκριμένο κόλπο έχει αποδειχθεί αρκετά αποτελεσματικό καθώς το γεγονός ότι κάποιος στέλνει από φορητή συσκευή δικαιολογεί τυχόν ορθογραφικά λάθη ή έλλειψη κανονικής υπογραφής. Επίσης αν δεν επρόκειτο για κατεπείγουσα ενέργεια, κατά πάσα πιθανότητα ο CEO ή ο CFO θα περίμενε να επιστρέψει στο γραφείο του για να αποστείλει το email.

Η μεγάλη επιτυχία των ανωτέρω μεθόδων μας δείχνει ότι οι επιτιθέμενοι βασίζονται αρκετά στον λεγόμενο "φόβο του αφεντικού". Όλοι οι υπάλληλοι θέλουν να φανούν αποτελεσματικοί στα μάτια του ανωτέρου τους ειδικά αν πρόκειται για τον CEO ή τον CFO. Επίσης η αίσθηση του κατεπείγοντος αποτελεί παράγοντα ζωτικής σημασίας για την επιτυχία των επιθέσεων BEC.

Πως να προφυλαχτείτε από επιθέσεις BEC

Επειδή δεν πρόκειται για μια μέθοδο επίθεσης η οποία μπορεί να αποφευχθεί με την εγκατάσταση ενός απλού συστήματος ασφάλειας, ως πρώτη επιλογή για την προστασία από τις εν λόγω επιθέσεις είναι η εκπαίδευση των υπαλλήλων των εταιρειών, ειδικότερα εκείνων που διαχειρίζονται τραπεζικές συναλλαγές. Επίσης σε κάθε περίπτωση τραπεζικής συναλλαγής, θα πρέπει να υπάρχει δικλίδα ασφαλείας μεταξύ του υπαλλήλου που πραγματοποιεί τη συναλλαγή και του εντολέα, όσο κατεπείγουσα και αν παρουσιάζεται. Είναι καλό, ειδικότερα για τις συναλλαγές που παρουσιάζονται ως κατεπείγουσες, να υπάρχει μεγαλύτερη ευαισθητοποίηση και να μην προσπερνιούνται τα βήματα της διαδικασίας πληρωμής. Τέλος κρίνεται απαραίτητο να υπάρχει διαδικασία αυθεντικοποίησης πολλών παραγόντων για κάθε τραπεζική συναλλαγή για μεγαλύτερη διασφάλιση της διαδικασίας.

Πηγή https://www.itsecuritypro.gr/contents_article.php?id=439&catid=2

Ransomware ή αλλιώς... «λυτρισμικό»!

Όπως σε όλο τον υπόλοιπο κόσμο, έτσι και στη Χώρα μας, τα τελευταία χρόνια το φαινόμενο του κακόβουλου λογισμικού τύπου ransomware («λυτρισμικό» όπως έχει καθιερωθεί να αναφέρεται στα ελληνικά) βρίσκεται σε έξαρση. Με τον όρο λυτρισμικό αναφερόμαστε στο κακόβουλο λογισμικό που είναι σχεδιασμένο να εγκαθίσταται σε υπολογιστικά συστήματα, να απενεργοποιεί λειτουργίες του συστήματος ή να κρυπτογραφεί δεδομένα και ακολούθως να απαιτεί, με τη μορφή εκβίασης, την πληρωμή λύτρων στους δημιουργούς του προκειμένου το σύστημα να επανέλθει στην προηγούμενη κατάστασή του ή ο χρήστης - θύμα να λάβει το κλειδί αποκρυπτογράφησης των δεδομένων του και να τα επαναφέρει. Γεγονός είναι ότι το πεδίο των υποψήφιων θυμάτων των κυβερνοεγκληματιών - δημιουργών λυτρισμικού - έχει διευρυνθεί σε μεγάλο βαθμό, λόγω της ολοένα μεγαλύτερης εξάρτησης όλων μας, φυσικών προσώπων, επιχειρήσεων και οργανισμών, από τα σύγχρονα υπολογιστικά συστήματα και τα δίκτυα επικοινωνιών.

Λυτρισμικό: άμεσο κέρδος για τους κυβερνοεγκληματίες!

Το λυτρισμικό παρέχει στους κυβερνοεγκληματίες μια μοναδική ευκαιρία, που μέχρι σήμερα δεν είχαν: άμεσο οικονομικό όφελος. Τα λύτρα, με τη μορφή ψηφιακών νομισμάτων (bitcoins κ.λπ.), που καλούνται να καταβάλουν τα θύματα για να πάρουν πίσω τον έλεγχο των συσκευών τους ή να ανακτήσουν τα κρυπτογραφημένα τους δεδομένα, κατευθύνονται απευθείας στα ψηφιακά πορτοφόλια των δραστών, χωρίς τη μεσολάβηση κανενός άλλου ενδιάμεσου συνεργού.

Χαρακτηριστικά του κυβερνοχώρου

Εξάλλου, στον κυβερνοχώρο δεν υπάρχουν φυσικά σύνορα. Τα εγκλήματα μπορούν να διαπραχθούν ταχύτατα και από απόσταση, αλλά και υπό καθεστώς «ανωνυμίας», αφού υπάρχει πάντα η επιλογή για ένα χρήστη να κρύψει επιμελώς τα ψηφιακά του ίχνη. Τα προαναφερθέντα από τη μια ευνοούν τις δραστηριότητες των εγκληματιών και από την άλλη δυσχεραίνουν το έργο των Αρχών Επιβολής του Νόμου ανά την υφήλιο.

Η νομοθεσία στην Ελλάδα

Προσφάτως επικαιροποιήθηκε το νομικό πλαίσιο στη Χώρα μας αναφορικά με τις σύγχρονες απειλές στον κυβερνοχώρο, με την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το έγκλημα στον Κυβερνοχώρο (Σύμβαση της Βουδαπέστης) καθώς και τη μεταφορά στο ελληνικό δίκαιο της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης - πλαισίου 2005/222/ΔΕΥ του Συμβουλίου. Έτσι, στον Ποινικό Κώδικα ενσωματώθηκαν συγκεκριμένοι ορισμοί για το «πληροφοριακό σύστημα» και τα «ψηφιακά δεδομένα» και παράλληλα προστέθηκαν νέα άρθρα για την ποινικοποίηση, μεταξύ άλλων:

  • της παρακώλυσης λειτουργίας πληροφοριακών συστημάτων,
  • της φθοράς ηλεκτρονικών δεδομένων, και
  • της παραγωγής, πώλησης, προμήθειας για χρήση, εισαγωγής, κατοχής, διανομής ή με άλλο τρόπο διακίνησης:
  • συσκευών ή κακόβουλου λογισμικού σχεδιασμένων ή προσαρμοσμένων για το σκοπό της διάπραξης των παραπάνω εγκλημάτων και
  • συνθηματικών ή κωδικών πρόσβασης ή άλλα παρόμοιων δεδομένων με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος.

Το λυτρισμικό μπορεί να ενταχθεί στις παραπάνω περιπτώσεις και έτσι είναι εφικτή η εκκίνηση ερευνών σε ποινικό επίπεδο, από την Ελληνική Αστυνομία και τις εισαγγελικές και δικαστικές Αρχές, για την τιμωρία των κυβερνοεγκληματιών. Η διεθνής αστυνομική συνεργασία στις εν λόγω περιπτώσεις είναι, σχεδόν πάντα, επιβεβλημένη.

Μέτρα πρόληψης και προστασίας

Οι χρήστες του διαδικτύου και ειδικά οι διαχειριστές εταιρικών δικτύων οφείλουν να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας για την αποφυγή προσβολής των εταιρικών δεδομένων από λυτρισμικό. Η προστασία αυτή θα πρέπει να αφορά κάθε συσκευή η οποία χρησιμοποιείται για προσπέλαση σε εταιρικά δίκτυα και δεδομένα, δηλ. σταθερούς υπολογιστές, laptops, έξυπνα κινητά τηλέφωνα, tablets, ακόμα και έξυπνα ρολόγια!

Συγκεκριμένα, είναι επιβεβλημένη η χρήση γνήσιου λογισμικού (λειτουργικά συστήματα, εφαρμογές και λοιπές πλατφόρμες), τα οποίο θα πρέπει να ενημερώνεται τακτικά και σε κάθε περίπτωση αμέσως μόλις δημοσιοποιούνται κρίσιμες ενημερώσεις και επιδιορθώσεις ασφαλείας (patches). Ακόμα, μια αξιόπιστη λύση ψηφιακής ασφάλειας (λογισμικό antivirus, λογισμικό anti-spyware και προστασία firewall), που είναι διαρκώς ενημερωμένη, μπορεί να προσφέρει ένα ικανοποιητικό επίπεδο προστασίας από λυτρισμικό. Καθόσον η επαναφορά δεδομένων μέσω τηρούμενων αντιγράφων ασφαλείας (back up) είναι η μόνη σίγουρη λύση σε περίπτωση μόλυνσης από λυτρισμικό, η τήρηση αντιγράφων ασφαλείας (σε μια εξωτερική τοποθεσία και ταυτόχρονα στο cloud) είναι μονόδρομος.

Ειδικότερα μέτρα που μπορούν να ληφθούν έχουν να κάνουν με την εκπαίδευση του προσωπικού, ώστε τα μέλη της εταιρείας ή του οργανισμού που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, να μην ανοίγουν τους συνδέσμους (links) και να μην κατεβάζουν τα συνημμένα αρχεία, που περιέχονται σε αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου.

Μολυνθήκαμε! Και τώρα;

Η γενική συμβουλή είναι να μην πληρώσετε τα λύτρα που ζητούν οι κυβερνοεγκληματίες. Στέλνοντας χρήματα στους δημιουργούς του λυτρισμικού επιβεβαιώνετε ότι αυτό λειτουργεί και τους ενθαρρύνετε να συνεχίσουν το «επιχειρηματικό» τους μοντέλο. Ακόμα, δεν υπάρχει καμιά εγγύηση ότι θα λάβετε σε αντάλλαγμα το κλειδί αποκρυπτογράφησης ή ότι αυτό που θα λάβετε θα λειτουργήσει σωστά.

Σημειώνεται ότι για περιστατικά μολύνσεων από λυτρισμικό, η Europol και το Ευρωπαϊκό Κέντρο για Εγκλήματα στον Κυβερνοχώρο [European Cybercrime Centre (EC3)], έχουν θέσει σε λειτουργία τον ιστότοπο https://www.nomoreransom.org, όπου οι χρήστες του Διαδικτύου μπορούν να βρουν κλειδιά και εργαλεία αποκρυπτογράφησης για ορισμένες μορφές λυτρισμικού, αλλά και ορισμένες επιπλέον συμβουλές προστασίας. Το «No More Ransom» είναι μια διεθνής πρωτοβουλία που δείχνει και παράλληλα αναδεικνύει την αξία της συνεργασίας δημόσιου - ιδιωτικού τομέα κατά τη λήψη μέτρων ενάντια σε σοβαρά εγκλήματα στον κυβερνοχώρο. Η συνεργασία αυτή ξεπερνά τα γεωγραφικά σύνορα. Η Ελληνική Αστυνομία, μέσω της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος, είναι Supporting Partner του «No More Ransom». Στις επόμενες εβδομάδες ολόκληρο το περιεχόμενο του ιστοτόπου θα είναι διαθέσιμο και στην ελληνική γλώσσα.

Τέλος, μην ξεχνάτε ότι, εφόσον έχετε μολυνθεί από λυτρισμικό, έχει διαπραχθεί ένα έγκλημα σε βάρος σας, οπότε θα πρέπει να το καταγγείλετε στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος ή στην πλησιέστερη αστυνομική ή δικαστική Αρχή.

Οι πολίτες μπορούν να επικοινωνούν, ανώνυμα ή επώνυμα, με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος προκειμένου να παρέχουν πληροφορίες ή να καταγγέλλουν παράνομες ή επίμεμπτες πράξεις ή δραστηριότητες που τελούνται μέσω Διαδικτύου, στα ακόλουθα στοιχεία επικοινωνίας:

Τηλεφωνικά: 11188 - Στέλνοντας e-mail στο: ccu@cybercrimeunit.gov.gr - Μέσω της εφαρμογών για smartphones & tablets: CYBERΚΙD & FEELSAFE - Μέσω twitter: @CyberAlertGR - Μέσω της διαδικτυακής πύλης https://portal.astynomia.gr

Αναστάσιος Παπαθανασίου

Αστυνόμος Α΄, Υπ. Διδάκτωρ Πληροφορικής, Πτυχιούχος Πληροφορικής, Μ.Δ.Ε. «Πληροφορικής», «Ποινικές Επιστήμες» & «Εγκληματολογία». E-mail: a.papathanasiou@cybercrimeunit.gr

Γεώργιος Γερμανός

Αστυνόμος Β΄, Πτυχιούχος Πληροφορικής, Μ.Δ.Ε. «Διεθνείς & Ευρωπαϊκές Σπουδές», Μ.Δ.Ε. «Τεχνολογίες & Διοίκηση Πληροφοριακών & Επικοινωνιακών Συστημάτων». E-mail: g.germanos@cybercrimeunit.gr 

Τέσσερις απλοί τρόποι για να αναγνωρίσεις ένα κακόβουλο phishing email

Τα κακόβουλα email εξακολουθούν να είναι ο πιο δημοφιλής τρόπος ηλεκτρονικής εξαπάτησης, παρά το γεγονός ότι οι σύγχρονες υπηρεσίες email (κυρίως το Gmail) καταφέρνουν να τα μπλοκάρουν.

Ακόμη κι αν δεν έχεις ανοίξει ποτέ ένα phishing email, θα έχεις σίγουρα ακούσει και διαβάσει τις προειδοποιήσεις των τραπεζών και της αστυνομικής διεύθυνσης ηλεκτρονικού εγκλήματος.

Ωστόσο, εκτός από τα συστήματα εντοπισμού των κακόβουλων email και οι ίδιοι οι εγκληματίες εξελίσσονται κάνοντας τα email τους πιο πειστικά. Π.χ. ένα phishing email που υποτίθεται ότι έρχεται από την Apple θα έχει πλέον τα χρώματα, την γραμματοσειρά και την αισθητική ενός αυθεντικού email της Apple! Πώς λοιπόν μπορείς να ξεχωρίσεις ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου από έναασφαλές;

1. Παρατήρησε τη διεύθυνση email του αποστολέα

Οι περισσότερες υπηρεσίες παροχής email και οι σύγχρονοι email clients εμφανίζουν την ηλεκτρονική διεύθυνση από την οποία εστάλη το email. Αν αυτή η διεύθυνση έχει domain (το κομμάτι μετά το @) διαφορετικό από αυτό ενός πραγματικού αποστολέα, τότε σχεδόν σίγουρα έχει κακές προθέσεις. Π.χ. ένας εγκληματίας θα στείλει email από μια διεύθυνση "@appleqirjkio.com", αντί για "apple.com" που είναι το αυθεντικό domain. Αν το domain είναι τύπου Yahoo, Gmailκ.ά. ενώ ο αποστολέας ισχυρίζεται ότι πρόκειται για email εταιρίας, υπηρεσίας κ.τ.λ. τότε σίγουρα πρόκειται για περίπτωση phishing!

2. Έλεγξε που οδηγούν τα links του email

Τις περισσότερες φορές οι εγκληματίες προσπαθούν να πείσουν τα θύματά τους να κάνουν κλικ σε κάποιον σύνδεσμο. Χωρίς να κάνεις κλικ, τοποθέτησε τον κέρσορα του ποντικού επάνω στο link. Στο κάτω δεξιάμέρος της οθόνης θα εμφανιστεί η σελίδα στην οποία οδηγεί αυτός ο σύνδεσμος. Αν αυτή η σελίδα μοιάζει κάπως έτσι: "apple.major-offers.qirjkio.com/free" τότε ΣΙΓΟΥΡΑ το email είναι κακόβουλο. Ο εγκληματίας ποντάρει στο γεγονός ότι το θύμα θα διαβάσει μια γνωστή λέξη, στην περίπτωσή μας "Apple" και θα νομίζει ότι πρόκειται για κάποιο site που ανήκει στην Apple.

Για να μην πέσεις θύμα, ξεκίνησε να διαβάζεις τη διεύθυνση από το τέλος. Αυτό που βρίσκεται αριστερά από το κάθετο σύμβολο "/" (back slash) είναι η πραγματικήδιεύθυνση που θα μεταφερθείς αν κάνεις κλικ (στην περίπτωσή μας το τυχαίο qirjkio.com).

3. Πρόσεξε αν υπάρχουν συνημμένα!

Αυτό είναι το πιο σοβαρό! Κάποιοι εγκληματίες προσπαθούν να πείσουν τα θύματά τους να κατεβάσουν κάποιο αρχείο (π.χ. μια φόρμα της τράπεζας την οποία πρέπει να κατεβάσεις και να συμπληρώσεις).

Αυτά τα αρχεία περιέχουν ιούς που μπορούν να βλάψουν τον υπολογιστή σου και να κλέψουν προσωπικά δεδομένα, όπως αριθμούς πιστωτικών καρτών.

ΜΗΝ κατεβάζεις ΠΟΤΕ στον υπολογιστή σου attachments τα οποία δεν περιμένεις, ακόμη κι αν έρχονται από άτομα τα οποία γνωρίζεις. Αν κάποιος γνωστός σου στείλει email που περιέχει συνημμένο αρχείο, τηλεφώνησέ του και ρώτα τον αν το έχει κάνει. Αν μια τράπεζα (ή η Apple ή οποιαδήποτε εταιρία) εμφανίζεται να σου έχει στείλει email με attachment, στείλε email στην ΕΠΙΣΗΜΗ διεύθυνση της εταιρίας (αυτήν που υπάρχει στο site τους, όχι με reply στον αποστολέα!) και ρώτησέ τους αν πράγματι σου έχουν στείλει ένα τέτοιο attachment.

4. Διάβασε την προσφώνηση στην αρχή του κειμένου

Οι περισσότερες εταιρίες στις οποίες έχεις δηλώσει τα στοιχεία σου χρησιμοποιούν μία λειτουργία που ονομάζεται "mail merge" για να απευθυνθούν σε εσένα προσωπικά. Έτσι, στις περισσότερες περιπτώσεις το μήνυμά τους ξεκινάει με "Αγαπητέ κύριε Παπαδόπουλε" ή "Αγαπητή Μαρία" κ.τ.λ.

Το mail merge είναι ένα μια λειτουργία στην οποία δεν έχουν πρόσβαση οι εγκληματίες. Συνεπώς θα πρέπει να σε υποψιάζει αν ένα μήνυμα ηλεκτρονικού ταχυδρομείου ξεκινάει με τις λέξεις "Αγαπητέ πελάτη", "Αγαπητή φίλη" ή "Αγαπητέ mitsaras85" (είτε στα ελληνικά, είτε σε άλλη γλώσσα)!

Αυτό βέβαια ΔΕ σημαίνει ότι ΠΑΝΤΑ τα επικίνδυνα emails ξεκινούν με αυτόν τον τρόπο, ούτε ότι ΠΑΝΤΑ τα email που έχουν το όνομά σου είναι ασφαλή! 

Δείτε το παρακάτω βίντεο για να μπορείτε να αναγνωρίζετε περιστατικά Phishing

8 Συμβουλές για την προστασία του ηλεκτρονικού ταχυδρομείου της εταιρείας σας

1. Το πρώτο πράγμα που πρέπει να σκεφτόμαστε ως ιδιοκτήτες μιας εταιρείας είναι η εκπαίδευση του προσωπικού στον τομέα της ασφάλειας πληροφορικής και στην ορθολογιστική χρήση του εταιρικού email.

2. Χρήση εταιρικου e-mail για ευαισθητες πληροφοριες. Οι εργαζόμενοι πρεπει να χρησιμοποιουν τον εταιρικο λογαριασμο για θεματα που αφορουν την εταιρεια κα να αποφευγουν την χρηση προσωπικων λογαριασμων ή webmail που μπορουν ευκολα να πεσουν θυματα κυβερνο επιθεσης (hacking).

3. Όταν δημιουργείτε έναν κωδικό πρόσβασης, βεβαιωθείτε ότι είναι πολύπλοκος και ότι κανείς δεν μπορει να τον μαντέψει. Επίσης, βεβαιωθείτε ότι μπορείτε εύκολα να τον θυμάστε. 

4. Θα πρέπει επίσης να είστε προσεκτικοί όταν αποστέλλετε εταιρικά email από δημόσιους υπολογιστές σε βιβλιοθήκες, καφετεριες , Internet καφέ κτλ. Βεβαιωθείτε ότι έχετε αποσυνδεθεί απο τον λογαριασμό σας πριν από την αναχώρησή σας, αν και ακόμη και τότε μπορείτε να αφήσετε ίχνη των δραστηριοτήτων σας που ανιχνεύονται εύκολα από κυβερνο-εγκληματίες (hackers). Καλύτερα η πρόσβαση στο ηλεκτρονικό ταχυδρομείο της εταιρείας σας να γινετε μονο σε αξιόπιστα δίκτυα.

5. Μην δίνετε τη διεύθυνση του εταιρικου ηλεκτρονικού ταχυδρομείου σας σε όλους και μην τη δημοσιεύσετε σε ιστοσελίδες κοινωνικής δικτύωσης, να θυμάστε ότι οι απατεώνες είναι πάντα στην επιφυλακή για νέα θύματα.

6. Να είσαστε παντα προσεκτικοι με πλαστά/κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που προσπαθούν να σας ξεγελάσουν για επαναφορά των κωδικων πρόσβασης ως μέρος ενος υποτιθέμενου ελέγχου ασφαλείας. Αυτά είναι συνήθως απάτες που έχουν σχεδιαστεί για να κλέβουν τους κωδικούς πρόσβασης σας και να αποκτήσουν πρόσβαση στο λογαριασμό email σας. Αν πρέπει πραγματικά πρέπει να αλλάξετε τον κωδικό σας, πηγαίνετε στην ιστοσελίδα του παροχέα email σας και κάντε τις αλλαγές από εκεί.

7. Κατ' επεκταση καλό θα ηταν να μην ανοίγονται μηνύματα που στέλνονται από άγνωστες πηγές.

8. Μην ξεχνάτε ότι το ηλεκτρονικό ταχυδρομείο της εταιρείας είναι ένα εργαλείο εργασίας και δεν είναι για την ανταλλαγή μηνυμάτων με τους φίλους και την οικογένειάς σας. 

Social Engineering: Ανθρώπινη φύση εναντίον Ασφάλειας

Αγοράσατε το ακριβότερο firewall της αγοράς, εγκαταστήσατε το καλύτερο λογισμικό anti-virus και το τελειότερο IDS, αλλά στο σχεδιασμό της ασφάλειας υπάρχει ένας 'Αδύναμος Κρίκος' τον οποίο έχετε παραβλέψει: Η ανθρώπινη φύση!

Αν κάποιος παραπλανήσει τους νόμιμους χρήστες των πληροφοριακών συστημάτων και τους αποσπάσει κωδικούς ασφαλείας ή την άδεια χρήσης των υπολογιστών τους, τότε τα πολύπλοκα και εξειδικευμένα συστήματα προστασίας από παράνομη πρόσβαση έχουν αποτύχει. Κάθε κλέφτης γνωρίζει καλά ότι ο απλούστερος τρόπος να παραβιάσει ένα σπίτι είναι να ξεκλειδώσει την πόρτα με το κλειδί, παρά να διαρρήξει την κλειδαριά ή να σπάσει το παράθυρο.

Στη γλώσσα της ασφάλειας πληροφορικής, η διαδικασία απόκτησης αυτού του κλειδιού ονομάζεται Social Engineering. Για λόγους οικονομίας αποδίδω τον όρο στα ελληνικά, με τη λέξη απάτη - χρησιμοποίηση δόλου ή ψεύδους προς παραπλάνησιν (Αντιλεξικόν - Θεολ. Βοσταντζόγλου). Οι απατεώνες, χωρίς να έχουν εξειδικευμένες τεχνικές γνώσεις, αλλά χρησιμοποιώντας την εξυπνάδα τους, τη γνώση της ανθρώπινης φύσης, κάποιες φαινομενικά επουσιώδεις πληροφορίες για την επιχείρηση, ακόμα και μεθόδους εκφοβισμού, παραπλανούν τους χρήστες και τους πείθουν να τους αποκαλύψουν εμπιστευτικές πληροφορίες που αφορούν στην ασφάλεια των συστημάτων. Έτσι έχουν στα χέρια τους τα 'κλειδιά' που θα τους επιτρέψουν να παραβιάσουν τα συστήματα και σε πολλές περιπτώσεις χωρίς το 'θύμα' να έχει καταλάβει τίποτε.

Η μέθοδος της απάτης
Τα μέσα εξαπάτησης είναι συνήθως απρόσωπα, το e-mail, το τηλέφωνο ή το διαδίκτυο. Οι απατεώνες προσποιούνται ένα συνάδελφο, ένα ανώτερο στέλεχος ή έναν έμπιστο εξωτερικό συνεργάτη - δικηγόρο ή επιθεωρητή. Ο απατεώνας δεν είναι μόνο καλός ηθοποιός, αλλά ταυτόχρονα μπορεί και 'διαβάζει' τους ανθρώπους και αντιλαμβάνεται ποια είναι η προσφορότερη τακτική προσέγγισης.

Οι περισσότερο δημοφιλείς τρόποι είναι:

  • Τηλεφωνεί ή στέλνει e-mail σε κάποιον, προσποιούμενος υπάλληλο του τμήματος Πληροφορικής, ο οποίος χρειάζεται το userid και το password του χρήστη, για να επιλύσει κάποιο πρόβλημα που αφορά στο δίκτυο ή στον ίδιο το χρήστη.
  • Αντίθετα, επικοινωνεί με το IT, παριστάνοντας ανώτατο στέλεχος της εταιρείας που ξέχασε το password και χρειάζεται αυτή την πληροφορία επειγόντως.
  • Πιάνει ψιλή κουβέντα με κάποιον υπάλληλο και δημιουργεί μια 'σχέση εμπιστοσύνης'. Δεν χτυπάει κατευθείαν στο στόχο του, αλλά ξεκινά από τη γραμματέα, τον παρκαδόρο ή το φρουρό της εισόδου. Μαθαίνει την αργκό της εταιρείας, ονόματα στελεχών ή ακρωνύμια και εκμαιεύει πληροφορίες χρήσιμες για την παραβίαση της ασφάλειας.
    Αν χρησιμοποιεί το τηλέφωνο, μαγνητοφωνεί και το σήμα τηλεφωνικής αναμονής που έχει η εταιρεία, ώστε να πείσει τον υπάλληλο ότι είναι συνάδελφος ή παραποιεί τον τηλεφωνικό του αριθμό, στην περίπτωση που ο άλλος έχει αναγνώριση κλήσεων.
  • Μαζεύει οποιαδήποτε πληροφορία που αφορά στην επιχείρηση και μπορεί να του χρησιμεύσει. Ψάχνει στο διαδίκτυο, στις εφημερίδες, ακόμα και στα σκουπίδια. Αν ο στόχος είναι καλός, δεν διστάζει να φτιάξει ένα πρόχειρο συνεργείο καθαριότητας ή να προσληφθεί ο ίδιος ως επιστάτης, ώστε να έχει τις πληροφορίες από πρώτο χέρι. Η υπομονή είναι το μεγαλύτερο προσόν του απατεώνα και οποιαδήποτε πληροφορία, όσο ασήμαντη και να είναι μπορεί να χρησιμεύσει.
  • Καταχράται την εμπιστοσύνη των κοινωνικών δικτυακών τόπων. Το Facebook, το Myspace και το Linked In είναι εξαιρετικά δημοφιλείς κοινωνικοί δικτυακοί τόποι, τους οποίους οι χρήστες εμπιστεύονται. Ένα πλαστό e-mail προερχόμενο δήθεν από το Facebook μπορεί να είναι: «Η ιστοσελίδα μας, βρίσκεται υπό συντήρηση. Πατήστε εδώ για να ενημερώσετε τα στοιχεία σας». Φυσικά, αν πατήσετε το link, θα μεταφερθείτε στη σελίδα του απατεώνα και θα αποκαλύψετε τα προσωπικά σας στοιχεία.
  • Η επινοητικότητα των απατεώνων δεν έχει τέλος. Φθάνουν στο σημείο να δημιουργήσουν οι ίδιοι πρόβλημα στο δίκτυο, ώστε να εμφανιστούν ως σωτήρες. Έτσι αποκτούν την εμπιστοσύνη των χρηστών και όταν στη συνέχεια στείλουν e-mail με επισυναπτόμενο αρχείο που περιέχει παράνομο λογισμικό, ο χρήστης το ανοίγει χωρίς δεύτερη σκέψη.

Οι τρόποι προστασίας

Η προστασία των συστημάτων πληροφορικής από το Social Engineering πρέπει να είναι μέρος του συνολικού σχεδίου ασφάλειας, αν και πολλές φορές παραβλέπεται. Μη θεωρείτε αυτονόητο ότι οι χρήστες ξέρουν να προστατεύσουν τον εαυτό τους. Αν δεν ενημερωθεί ρητά, ο μέσος χρήστης δεν έχει λόγο να αμφισβητήσει κάποιον που εμφανίζεται ως απολύτως δικαιολογημένος να ζητά πληροφορίες. Ακόμα και οι άνθρωποι της Πληροφορικής που έχουν μεγαλύτερη ευαισθησία σε θέματα ασφάλειας, διστάζουν να ζητήσουν στοιχεία ταυτότητας από έναν εξοργισμένο άνθρωπο που ισχυρίζεται ότι ανήκει στην ανώτερη διοίκηση.

Το πρώτο και καλύτερο μέτρο για την προστασία από το Social Engineering είναι οι πολιτικές ασφάλειας που καθορίζουν τις διαδικασίες με τις οποίες διευθετούνται αιτήματα, τα οποία αφορούν ευαίσθητα δεδομένα. Για να είναι όμως οι πολιτικές αυτές αποτελεσματικές, πρέπει:

  • Όλα τα μέλη της διοίκησης να αποδεχθούν τις πολιτικές και να αντιληφθούν την αναγκαιότητα της ταυτοποίησης των στοιχείων τους, όταν ζητούν passwords εκτός της κανονικής διαδικασίας.
  • Οι πολιτικές να επικοινωνούνται σε όλους τους χρήστες του δικτύου, παράλληλα με ενημέρωση για την αναγκαιότητα της συμμόρφωσής τους και με κατάλληλη εκπαίδευση.
  • Να υπάρχουν συγκεκριμένες ποινές για τυχόν παραβίαση των πολιτικών, οι οποίες να είναι γνωστές στους χρήστες.

Οι πολιτικές πρέπει να είναι σαφείς και να διευθετούν ζητήματα, όπως:

  • Διαχείριση password: ελάχιστο μήκος κωδικού, πολυπλοκότητα, αλλαγή σε τακτά χρονικά διαστήματα, απαγόρευση ευκολομνημόνευτων λέξεων (γενέθλια, ονόματα κ.λπ.), απαγόρευση αναγραφής του.
  • Απαγόρευση αποκάλυψης εμπιστευτικών κωδικών σε οποιονδήποτε, εξαιρέσεις (αν υπάρχουν) και υπό ποιες συνθήκες. Ποιες διαδικασίες πρέπει να ακολουθηθούν αν κάποιος το ζητήσει.
  • Υποχρεωτική αποσύνδεση (log-off) ή χρήση screensavers με προστασία κωδικού ή αν ο χρήστης λείψει από τη θέση του. Προληπτικά μέτρα κατά την πληκτρολόγηση του password.
  • Μέτρα για τη φυσική ασφάλεια, που θα απαγορεύουν στους επισκέπτες ή προμηθευτές την ελεύθερη πρόσβαση στο computer room (π.χ. για να εγκαταστήσουν ένα key logger).
  • Διαδικασίες ταυτοποίησης των χρηστών από και προς το IT (π.χ. μυστικά PINs, τηλεφωνική επιβεβαίωση).
  • Διαδικασίες καταστροφής εγγράφων, δίσκων ή άλλων μέσων αποθήκευσης χρήσιμων πληροφοριών.

Μια καλή πρακτική για την προστασία από το Social Engineering είναι η δημιουργία κεντρικής βάσης δεδομένων, όπου καταγράφονται όλα τα περιστατικά εξαπάτησης. Για παράδειγμα, αν μία γραμματέας δεχθεί τηλεφώνημα ή e-mail από κάποιον που ισχυρίζεται ότι είναι ο υπεύθυνος ασφάλειας του IT και της ζητά να του αποκαλύψει τον κωδικό πρόσβασής της στο σύστημα, να μπορεί να αναφέρει το περιστατικό σε κάποιον αρμόδιο υπάλληλο ή υπηρεσία και αυτό να καταγραφεί.
Έτσι, οι υπεύθυνοι ασφαλείας θα είναι σε θέση να αντιλαμβάνονται ότι κάποιοι προσπαθούν να παρεισφρήσουν στο δίκτυο της επιχείρησης και να τεθούν σε επιφυλακή.

Όλα είναι θέμα εκπαίδευσης

Η τεχνική του Social Engineering είναι ο ευκολότερος και ο πιο διαδεδομένος τρόπος για έναν απατεώνα να παραβιάσει τα συστήματα ασφαλείας και να αποκτήσει πρόσβαση στα πληροφοριακά συστήματα της επιχείρησης. Εντούτοις, οι εταιρείες αν και ξοδεύουν τεράστια ποσά για τη θωράκιση των συστημάτων τους από επιθέσεις τεχνικής φύσεως, δεν δίνουν την απαραίτητη προσοχή στην αποφυγή εκμετάλλευσης του 'ανθρώπινου παράγοντα'.
Η θέσπιση πολιτικών είναι το πρώτο βήμα για την προστασία της επιχείρησης από Social Engineering, αλλά ίσως το σημαντικότερο είναι η εκπαίδευση των εργαζομένων και η ενημέρωσή τους για τους κινδύνους που απορρέουν από τέτοιου είδους απάτες. Οι άνθρωποι που πέφτουν στην παγίδα του Social Engineering - είτε πρόκειται για κομπίνα κάποιου που προσποιείται το διευθυντή που θέλει αλλαγή password είτε για e-mail ενός ξένου - τάχα - πλούσιου Νιγηριανού με λεφτά για πέταμα - είναι αυτοί που δεν έχουν ακούσει ποτέ τίποτα για παρόμοιες απάτες. Η ενημέρωση για την ασφάλεια και η συνειδητοποίηση των κινδύνων πρέπει να είναι μέρος της εκπαίδευσης κάθε εργαζόμενου που χρησιμοποιεί το δίκτυο και τα συστήματα πληροφορικής και για να είναι αποτελεσματική πρέπει να είναι συνεχής.

Ο εκπαιδευμένος και ενημερωμένος χρήστης είναι και προστατευμένος, γεγονός που αποδεικνύεται περίτρανα στην περίπτωση του Social Engineering.

Της Ελένης Σωτηρίου
CISA, CISM

Πηγή www.itsecuritypro.gr