Πρόσφατη διαδικτυακή έρευνα που διεξήχθη από εκπροσώπους του Ελληνικού Κέντρου Ασφαλούς Διαδικτύου saferinternet.gr έδειξε ότι ένα μεγάλο ποσοστό Ελλήνων αγνοεί βασικούς κανόνες ασφάλειας. Παρότι οι συστάσεις και οι ενημερώσεις από τη “Δίωξη Ηλεκτρονικού Εγκλήματος” έχουν αυξηθεί, η νοοτροπία “ασφάλεια στο διαδίκτυο” δεν έχει μπει ακόμα στη ζωή των Ελλήνων.
Σε αυτό το άρθρο θα αναφερθούμε σε μια τεχνική “ψαρέματος” πληροφοριών αρκετά διαδεδομένη η οποία ονομάζεται “phishing”. Το “phishing” είναι μια μορφή παραπλάνησης όπου ο χρήστης καλείται να δώσει προσωπικές του πληροφορίες σε μια φόρμα επικοινωνίας. Πληροφορίες όπως το ονοματεπώνυμό του, τηλέφωνο, διεύθυνση, email κλπ.
Πόσο επικίνδυνο μπορεί να είναι το “phishing”;
Εξαρτάται από τα προσωπικά στοιχεία που ο καθένας έδωσε άθελά του ή λόγο υπερβολικής αμέλειας!
Οι ιστοσελίδες που χρησιμοποιούν τις “ψεύτικες φόρμες” συλλογής των στοιχείων σας με πρόφαση κάποιο λόγο, όπως ενημέρωση για προσφορές ή για εγγραφή σε κάποια υπηρεσία, θα χρησιμοποιήσουν τα στοιχεία που συσσωρεύουν για ποικίλους κακόπιστους σκοπούς.
- Κλοπή ταυτότητας (όσα περισσότερα προσωπικά στοιχεία γνωρίζουν τόσο πιο εύκολη γίνεται μια πιθανή “κλοπή ταυτότητας” που θα αναλύσουμε σε επόμενο άρθρο μας)
- Πώληση των προσωπικών δεδομένων σας σε τρίτους για διαφημιστικούς σκοπούς. (αποτέλεσμα να λαμβάνετε ξαφνικά στο mail σας μηνύματα από αγνώστους με διαφημιστικό περιεχόμενο ή άγνωστο περιεχόμενο, το λεγόμενο “spam mail”)
- Οικονομικό όφελος Κλοπή προσωπικών στοιχείων, πιστωτικών καρτών και κωδικών που αφορούν τις τραπεζικές σας συναλλαγές.
Πού στηρίζεται η “επιτυχία” του phishing;
Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες: την έλλειψη γνώσεων του θύματος, την έλλειψη προσοχής του θύματος και την οπτική εξαπάτηση. Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι μια παραλλαγμένη διεύθυνση email, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing. Ακόμα και σε περιπτώσεις που ο χρήστης έχει τις κατάλληλες γνώσεις για να ανιχνεύσει τα κακόβουλα στοιχεία, πολλές φορές δεν θα προσέξει τα σημάδια, αφού μπορεί να είναι αφηρημένος ή απασχολημένος με κάτι άλλο.
Η ενημέρωση του κοινού είναι ο καλύτερος τρόπος αντιμετώπισης καθώς η αποτελεσματικότερη αντιμετώπιση του προβλήματος είναι η ίδια η πρόληψη του. Επίσης υπάρχουν και οι τεχνικοί τρόποι αντιμετώπισης όπως
- Λήψη προγραμμάτων περιήγησης που αναγνωρίζουν τους ιστοτόπους στους οποίους παραπέμπουν τα παραπλανητικά μηνύματα μέσω διαφορετικού URL
- Χρήση λογισμικού προστασίας ενάντια σε ιούς και προγράμματα κατασκοπείας (Anti-spyware)
- Λήψη προγραμμάτων anti-spam για προστασία email
- Λήψη πρόσθετων (add-ons) για τον εντοπισμό phishing script στις ιστοσελίδες
Στην Ελλάδα το «phishing» συνιστά απάτη, κατά το άρθρο 386 του Ποινικού Κώδικα.
Πάνος Μούστρης
Προγραμματιστής και Εκπαιδευτής διαδικτυακών τεχνολογιών
www.analyze-web.gr