Σύνταξη άρθρου: Αγάθη Πατσιούδη

Επιμέλεια άρθρου: Κωνσταντίνος Ουρανός

*Το παρόν άρθρο απευθύνεται κυρίως σε εφήβους και ενήλικες.

 

Αγαπητά παιδιά, γονείς και εκπαιδευτικοί,

Το άρθρο αυτό έχει διαφορετική δομή από όσα έχουμε αναρτήσει στη σελίδα μας ως τώρα. Αφορά σε ένα φαινόμενο μεγάλης επικινδυνότητας για τους χρήστες του Διαδικτύου. Ένα σημαντικό πρόβλημα που μαστίζει τον κυβερνοχώρο, για το οποίο όμως ελάχιστα γνωρίζουν οι περισσότεροι διαδικτυακοί πολίτες. Και το όνομα αυτού…ηλεκτρονική αλίευση στοιχείων.

Τι είναι η ηλεκτρονική αλίευση στοιχείων;

Η ηλεκτρονική αλίευση στοιχείων ή phishing (όπως είναι ο διεθνής όρος) αποτελεί ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία οι «θύτες» εκμεταλλεύονται την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία και μέσα, αλλά και την άγνοια των χρηστών-«θυμάτων» τους. Υποδυόμενοι μια αξιόπιστη διαδικτυακή οντότητα, καρπώνονται προσωπικά δεδομένα των χρηστών, όπως ευαίσθητα ιδιωτικά στοιχεία ή/και κωδικούς.

Γιατί ονομάστηκε «αλίευση»;

Ο όρος «ηλεκτρονική αλίευση», που χρησιμοποιούμε στο άρθρο αυτό, είναι απόδοση στην ελληνική του διεθνούς όρου «phishing». Τον όρο αυτόν επινόησε ο χάκερ Καν Σμιθ (Khan C. Smith). Αποτελεί παραλλαγή του αγγλικού όρου «fishing» (=ψάρεμα), καθώς ο θύτης, για να προσελκύσει τους ανυποψίαστους χρήστες, ακολουθεί διαδικασία παρόμοια με αυτήν που ακολουθεί ο ψαράς για να προσελκύσει τα ψάρια. Βέβαια, δόλωμα σε αυτήν την περίπτωση αποτελεί η παρουσίαση του θύτη ως αξιόπιστη οντότητα του διαδικτύου. Μια άλλη εξήγηση, λιγότερο δημοφιλής αλλά εξίσου ενδιαφέρουσα, είναι ότι οι πρώτοι ηλεκτρονικοί αλιείς (phishers) χρησιμοποιούσαν στα δωμάτια επικοινωνίας (chat room) τον html κωδικό <>< που θυμίζει ψάρι. Ο κωδικός αυτός είναι πολύ βασικός και δεν είναι εύκολο να ανιχνευθεί ή να φιλτραριστεί και, συνεπώς, να ελεγχθεί.

Ποιος είναι ο σκοπός της ηλεκτρονικής αλίευσης στοιχείων;

Η ηλεκτρονική αλίευση στοιχείων έχει συνήθως οικονομικό κίνητρο. Στόχος στις περισσότερες περιπτώσεις είναι τραπεζικοί λογαριασμοί ή λογαριασμοί στους οποίους οι χρήστες εμπιστεύονται τα προσωπικά τους δεδομένα για να κάνουν συναλλαγές. Αρκετά συχνά, επίσης, μέσα από την ηλεκτρονική αλίευση προωθείται κακόβουλο λογισμικό ή/και διαφημιστικά μηνύματα (spamming).

Πώς λειτουργεί η ηλεκτρονική αλίευση στοιχείων;

Όλα ξεκινούν με ένα e-mail ή ένα άμεσο μήνυμα (instant message) στο «θύμα», στο οποίο ο χάκερ συστήνεται ως αξιόπιστο πρόσωπο που ανήκει σε κάποια εταιρία ή οργανισμό. Πολλές φορές, μάλιστα, ισχυρίζεται ότι ανήκει και στην εταιρεία-πάροχο της υπηρεσίας που χρησιμοποιεί για να στείλει το e-mail ή το άμεσο μήνυμα (π.χ. Google, Yahoo, Microsoft, Facebook κ. ά.). Στη συνέχεια ζητά από τον χρήστη-«θύμα» κάποια προσωπικά στοιχεία.

Το βασικότερο εργαλείο της ηλεκτρονικής αλίευσης στοιχείων αποτελούν οι παραπλανητικοί σύνδεσμοι (διεθνώς link manipulation). Το e-mail ή το άμεσο μήνυμα που λαμβάνει ο χρήστης τον παραπέμπει σε έναν επιφανειακά αξιόπιστο σύνδεσμο, φτιαγμένο ώστε να οδηγεί σε διαφορετική ιστοσελίδα από αυτήν που προβλέπεται. Με παρόμοιο τρόπο λειτουργούν και οι ψεύτικες ιστοσελίδες, οι οποίες, μέσω παραπλανητικών συνδέσμων, οδηγούν τους χρήστες σε ιστοσελίδες οπτικά όμοιες με τις αυθεντικές, που ανήκουν όμως στον server του χάκερ. Άλλες τεχνικές αλίευσης (phising) χρησιμοποιούν αναδυόμενα παράθυρα (pop-up windows), πολλαπλές καρτέλες (tab-nabbing) ή ακόμα και τη δημιουργία ψεύτικων δημοσίων δικτύων σε αεροδρόμια, ξενοδοχεία και καφετέριες.

Μια επιτυχημένη επίθεση ηλεκτρονικής αλίευσης στηρίζεται σε τρεις βασικές παραμέτρους:

  1. την έλλειψη γνώσεων του θύματος,
  2. την έλλειψη προσοχής του θύματος,
  3. την οπτική εξαπάτηση.

Ο μέσος χρήστης γνωρίζει τις βασικές λειτουργίες του υπολογιστή και ξέρει να χειρίζεται το διαδίκτυο, χωρίς όμως να γνωρίζει τη διαδικασία λειτουργίας του. Δεν μπορεί, λοιπόν, να αναγνωρίσει τα ίχνη της ηλεκτρονικής αλίευσης ή/και, λόγω της άγνοιας κινδύνου, αμελεί τη χρήση προγραμμάτων προστασίας (anti-phising). Ακόμα και σε περιπτώσεις που ο χρήστης είναι ενημερωμένος ή διαθέτει γνώσεις, πολλές φορές δεν προσέχει τα σημάδια, επειδή μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο. Άλλωστε, η σωστή τεχνική αλίευσης κρύβει τα περισσότερα από τα σημάδια της μέσω της οπτικής εξαπάτησης. Ο χάκερ, για να πείσει το θύμα του για την αυθεντικότητα και την αξιοπιστία του προσωπείου του, χρησιμοποιεί:

  1. Παραπλανητικό κείμενο: Το κείμενο αυτό, που συνήθως αποτελείται από παραπλανητικούς συνδέσμους, μπορεί να περιλαμβάνει α) ορθογραφικά ή συντακτικά λάθη (π.χ. www.facebook.com), β) αναγραμματισμούς (π.χ. www. yutoube.com), γ) αντικατάσταση παρόμοιων οπτικά γραμμάτων, όπως το αγγλικό μικρό l (L) με το κεφαλαίο I (i) και δ) απειλές.
  2. Παραπλανητικές εικόνες: Οι εικόνες αυτές μπορεί οπτικά να είναι ίδιες με εικόνες που χρησιμοποιούνται από μεγάλους οργανισμούς και γνωστές ιστοσελίδες, όπως π.χ. το λογότυπο της Google. Όταν, ωστόσο, πατάς σε αυτές, ο σύνδεσμος σε οδηγεί στη σελίδα που επιθυμεί ο χάκερ.
  3. Παραπλανητικό σχεδιασμό: Χρησιμοποιώντας το παραπλανητικό κείμενο και τις εικόνες που προαναφέραμε και με επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο χάκερ έχει τη δυνατότητα να δημιουργήσει μια ολόκληρη ιστοσελίδα με τον ίδιο ακριβώς σχεδιασμό που έχει η αυθεντική.

Η μορφή ενός παραπλανητικού e-mail που στοχεύει στην ηλεκτρονική αλίευση στοιχείων μπορεί να είναι:

Μορφή e-mail που στοχεύει στην ηλεκτρονική αλίευση στοιχείων

Η ηλεκτρονική αλίευση στοιχείων μπορεί να ανιχνευθεί και να μελετηθεί;

Το πρόβλημα που δημιουργεί η ηλεκτρονική αλίευση σε εταιρείες, σε οργανισμούς και, φυσικά, στους χρήστες του διαδικτύου και των υπηρεσιών, που λειτουργούν μέσω αυτού, είναι πολύ σοβαρό. Υπάρχουν, ως εκ τούτου, οργανισμοί που μελετούν εντατικά τις επιθέσεις ηλεκτρονικής αλίευσης και παρουσιάζουν τα στατιστικά στοιχεία που προκύπτουν στους ιστοτόπους τους. Ένας τέτοιος οργανισμός είναι η APWG (Anti-Phishing Working Group), η οποία καταγράφει και παρουσιάζει τον μέσο όρο επιθέσεων ηλεκτρονικής αλίευσης κάθε μήνα για τα τελευταία 12 χρόνια. Επί παραδείγματι, στις 23 Φεβρουαρίου 2017 δημοσιεύτηκε αναφορά, η οποία κάνει λόγο για 1.220.523 επιθέσεις phishing μέσα στο 2016, αριθμό αυξημένο κατά 65% από το 2015. Ενδεικτικό είναι ότι κατά το τελευταίο τέταρτο του 2004 η APWG ανίχνευσε 1.609 τέτοιες επιθέσεις ανά μήνα. Το τελευταίο τέταρτο του 2016 είχαμε έναν μέσο όρο 92.564 επιθέσεων. Μιλάμε, δηλαδή, για αύξηση της τάξης του 5.753% σε διάστημα 12 χρόνων (APWG, 2017). Στα της χώρας μας, τώρα, η παγκόσμια έρευνα Global Corporate IT Security Risks 2013, που πραγματοποιήθηκε από την B2B International (Business to Business International) σε συνεργασία με την Kaspersky Lab, το 21% των εταιριών στην Ελλάδα ανέφεραν ότι έχουν υποστεί διαρροές δεδομένων έπειτα από επιθέσεις ηλεκτρονικής αλίευσης (Kaspersky Lab, 2013).

Μπορούμε να αντιμετωπίσουμε αποτελεσματικά την ηλεκτρονική αλίευση στοιχείων;

Τα παραπάνω ερευνητικά δεδομένα δείχνουν ότι η αντιμετώπιση του προβλήματος της ηλεκτρονικής αλίευσης δεν είναι απλή υπόθεση. Το phishing αποτελεί έναν κίνδυνο που συνεχώς καραδοκεί και τώρα και στο μέλλον. Αυτό, όμως, δε σημαίνει πως δεν μπορεί και δεν πρέπει να αντιμετωπιστεί. Πώς;

  • Μέσω της ισχύουσας νομοθεσίας: Το Διαδίκτυο θεωρείται μη ελεγχόμενο, με την έννοια ότι δεν υπάρχει κάποια παγκόσμια ενιαία αρχή, η οποία ελέγχει τα περιεχόμενα σε αυτό πριν τη δημοσίευσή τους. Ωστόσο, οι κρατικές υπηρεσίες και οι αστυνομικές αρχές κάθε χώρας, αλλά και οι αντίστοιχες νομοθετικές ρυθμίσεις, μεριμνούν για την αναστολή αξιόποινων πράξεων που διαπράττονται μέσω του Διαδικτύου. Στην ελληνική νομοθεσία δηλώνεται ρητά ότι το «phising» συνιστά απάτη, εφόσον οι δράστες έχουν γνώση και θέληση σχετικά με την παράνομη δραστηριότητά τους. Έτσι, σύμφωνα με το άρθρο 386 του Ποινικού Κώδικα, τιμωρούνται, ανάλογα με το μέγεθος της ζημιάς που έχουν προκαλέσει, με ποινή από τρεις μήνες έως δύο έτη τουλάχιστον.

 

  • Μέσω της ενημέρωσης: Η ενημέρωση των χρηστών του Διαδικτύου είναι σημαντικότατη, καθώς ο αποτελεσματικότερος τρόπος να αντιμετωπίσουμε ένα πρόβλημα είναι η πρόληψή του. Δύο πολύ χρήσιμες ιστοσελίδες για την ενημέρωση του κοινού είναι η APWG και η Fraudwatch International (και οι δύο στην αγγλική γλώσσα). Παρέχουν πολύ σημαντικές πληροφορίες, στατιστικά στοιχεία και λίστες με αναφορές επιθέσεων, αλλά και εφαρμογές προστασίας κατά των ιών (antivirus) και κατά της αλίευσης (anti-phishing). Χρήσιμες πληροφορίες μπορούμε να βρούμε και στην ιστοσελίδα της Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας.

 

  • Μέσω της τεχνικής αντιμετώπισης: Στην αντιμετώπιση της ηλεκτρονικής αλίευσης μπορούν να συμβάλουν και τεχνικά μέσα. Ως χρήστες, λοιπόν, μπορούμε:
  1. Να λάβουμε προγράμματα περιήγησης που αναγνωρίζουν τους ιστοτόπους στους οποίους παραπέμπουν τα παραπλανητικά μηνύματα των χάκερ.
  2. Να χρησιμοποιούμε λογισμικό προστασίας κατά των ιών (antivirus) και κατά των προγραμμάτων κατασκοπείας (anti-spyware).
  3. Να λάβουμε προγράμματα ενάντια στο κακόβουλο λογισμικό (anti-spam) για την προστασία του ηλεκτρονικού μας ταχυδρομείου (e-mail).
  4. Να λάβουμε πρόσθετα (ad-ons) για τον εντοπισμό σεναρίων αλίευσης (phishing scripts) στις ιστοσελίδες.
  5. Να λάβουμε λογισμικό προστασίας από ιούς (antivirus) που διαθέτει συμβουλευτικό σύστημα ασφαλούς περιήγησης (safe browsing advisor), με αξιολογήσεις για κάθε σελίδα που αναζητάμε.

Όλοι εμείς οι χρήστες του Διαδικτύου, παιδιά, γονείς και εκπαιδευτικοί, είναι σημαντικότατο να γνωρίζουμε για την ηλεκτρονική αλίευση στοιχείων. Πρόκειται πραγματικά για μια πληγή του Διαδικτύου και πρέπει να λάβουμε μέτρα για να την αντιμετωπίσουμε. Με το άρθρο αυτό προσπαθήσαμε να δώσουμε μια πλήρη εικόνα του φαινομένου αυτού. Επιχειρήσαμε, επίσης, να κάνουμε μια πρώτη νύξη για τους τρόπους που μπορούμε εμείς οι χρήστες του Διαδικτύου να μάθουμε για το πρόβλημα, να το προλάβουμε και να το αντιμετωπίσουμε. Δεν πρέπει, όμως, να σταματήσουμε σε αυτές τις πληροφορίες και σ’ αυτές τις συμβουλές. Διαβάζουμε συνεχώς, λοιπόν, ανατρέχουμε στις παραπάνω ενημερωτικές ιστοσελίδες και προστατεύουμε όσο το δυνατόν καλύτερα την οντότητά μας ως πολίτες του διαδικτυακού κόσμου!

 

Μέχρι την επόμενη φορά,

Καλή και ασφαλή διαδικτυακή περιήγηση!

 

Πηγές

APWG

Fraudwatch International

Kaspersky Lab

Δίωξη Ηλεκτρονικού Εγκλήματος

 

Ηλ. Ταχ.: [email protected]

Αγάθη Πατσιούδη

Δασκάλα – Ειδική δασκάλα επί των Διαταραχών Λόγου

 

Ελευθερία Κρασσά

Φοιτήτρια στο Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας, Ο.Π.Α.