Δεν είναι υπερβολή να πούμε ότι σήμερα ζούμε την εποχή μιας επανάστασης στη ζωή μας. Μιας επανάστασης που έφερε το διαδίκτυο τα τελευταία χρόνια, με την ανάπτυξη των φορητών συσκευών και των ασύρματων δικτύων, στην καθημερινότητα όλων μας.
Δεν είναι υπερβολή, επίσης, ότι σήμερα ο κυβερνοχώρος για τους περισσότερους από μας είναι η επικοινωνία μας, η δουλειά μας, η τράπεζά μας, η κοινωνική μας επαφή, η μόρφωσή μας, η επαφή μας με τις κρατικές υπηρεσίες, η αναψυχή μας και ό,τι άλλο συμπληρώνει την καθημερινότητά μας.
Η ψηφιακή αυτή επανάσταση επιταχύνθηκε από τις συνθήκες που δημιούργησε η πανδημία και η καραντίνα, αφήνοντάς μας σε πολλές περιπτώσεις απροετοίμαστους απέναντι στις προκλήσεις του διαδικτύου.
Εξάλλου, κάθε επανάσταση χαρακτηρίζεται από μια περίοδο “αταξίας” που δημιουργούν οι γρήγορες αλλαγές των συνθηκών και αυτό το περιβάλλον είναι “πεδίον δόξης λαμπρόν” για κάθε κακόβουλο επιτήδειο, προκειμένου να διαπράξει την “τέλεια” απάτη με πολλά πιθανά οφέλη και μόνο “όπλο” το πληκτρολόγιο του υπολογιστή του. Υποψήφια θύματα σε κάθε περίπτωση είμαστε όλοι μας. Όλοι οι χρήστες του διαδικτύου σε ολόκληρο τον κόσμο.
Οι μορφές της απάτης είναι πολλές και αρκετά περιστατικά απασχολούν σχεδόν καθημερινά την ειδησεογραφία. Η τελευταία μορφή απάτης μάς έρχεται από την άλλη πλευρά του Ατλαντικού, αλλά είναι σίγουρο πως δε θα αργήσει να “προσγειωθεί” και στη χώρα μας, αφού το διαδίκτυο δεν αναγνωρίζει εθνικά σύνορα.
Η πλαστογράφηση αναγνώρισης κλήσης τείνει να γίνει μια από τις πιο διαδεδομένες μορφές ψηφιακής απάτης, που θα μας απασχολήσει το αμέσως επόμενο χρονικό διάστημα
Τον τελευταίο καιρό, στις ΗΠΑ έχουν καταγραφεί αρκετές καταγγελίες από πολίτες που λαμβάνουν τηλεφωνήματα από φαινομενικά αξιόπιστους αριθμούς - τράπεζες, δημόσιες υπηρεσίες ή ακόμα και την αστυνομία. Στην πραγματικότητα, οι κλήσεις αυτές καταλήγουν πάντα σε απόπειρες εξαπάτησης, με το υποψήφιο θύμα να καλείται να πληρώσει χρήματα ή να αποκαλύψει προσωπικά δεδομένα.
Αυτή η μορφή εξαπάτησης είναι γνωστή διεθνώς ως spoofing. Η λέξη “spoofing” προέρχεται από το αγγλικό ρήμα “spoof”, που σημαίνει “εξαπατώ, παραπλανώ ή πλαστογραφώ”. Στη γλώσσα της κυβερνοασφάλειας, το spoofing αναφέρεται στην παραποίηση δεδομένων με σκοπό την εξαπάτηση.
Το spoofing είναι μια τεχνική εξαπάτησης, όπου οι απατεώνες πλαστογραφούν ή αλλοιώνουν πληροφορίες, ώστε να φαίνονται ότι προέρχονται από αξιόπιστες πηγές. Στόχος τους είναι να παραπλανήσουν τα θύματα και να αποσπάσουν προσωπικά ή οικονομικά δεδομένα.
Το spoofing εμφανίζεται κυρίως στο διαδίκτυο, είναι γνωστό εδώ και αρκετά χρόνια με διάφορες μορφές και εισχωρεί σε διάφορες μορφές επικοινωνίας. Το νέο όμως είναι η εφαρμογή του σε τηλεφωνικές κλήσεις και δίκτυα υπολογιστών. Στην πράξη, οι απάτες μέσω spoofing μπορούν να κοστίσουν χρόνο, χρήματα και να προκαλέσουν σημαντικά προβλήματα ασφαλείας.
Οι πιο κοινές μορφές είναι:
Πλαστογράφηση αναγνώρισης κλήσης (τηλεφωνικό spoofing). Οι επιτήδειοι μπορούν να πλαστογραφήσουν την αναγνώριση κλήσης, κάνοντας μια τηλεφωνική κλήση να φαίνεται ότι προέρχεται από έναν αξιόπιστο αριθμό (π.χ. τράπεζα, δημόσια υπηρεσία, ακόμη και φίλους ή οικογένεια).
Παράδειγμα: Δέχεστε μια κλήση από την “τράπεζά σας” που σας ενημερώνει ότι ο λογαριασμός σας έχει παραβιαστεί και ζητά τα προσωπικά σας στοιχεία.
Αυτή είναι η πιο πρόσφατη και “επικίνδυνη” μορφή spoofing που εμφανίστηκε εδώ και λίγο καιρό στις ΗΠΑ.
Πλαστογράφηση διεύθυνσης email (email spoofing). Είναι η πρακτική αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου με παραποιημένη διεύθυνση αποστολέα.
Παράδειγμα: Λαμβάνετε ένα email από μια διεύθυνση συνήθως του τύπου “[email protected]”, που σας ζητά να αλλάξετε τον κωδικό πρόσβασής σας μέσω ενός συνδέσμου. Στην πραγματικότητα, το email προέρχεται από απατεώνα.
Είναι μια γνωστή πρακτική, της οποίας αποδέκτες έχουμε γίνει όλοι όσοι διαθέτουμε λογαριασμούς ηλεκτρονικού ταχυδρομείου.
Δημιουργία ψεύτικων ιστοσελίδων (website Spoofing). Χρησιμοποιείται για να οδηγήσει τους χρήστες σε ψεύτικες ιστοσελίδες.
Παράδειγμα: Πληκτρολογείτε “www.yourbank.com”, αλλά λόγω παραποίησης του DNS, μεταφέρεστε σε μια ιστοσελίδα που μοιάζει ακριβώς ίδια, όμως ανήκει σε απατεώνες.
Εισαγωγή ψεύτικων σημάτων GPS (GPS spoofing). Με τη μέθοδο αυτή, οι απατεώνες μπορούν να αλλάξουν τη θέση που εμφανίζεται σε GPS εφαρμογές.
Παράδειγμα: Χρήστες μπορούν να χρησιμοποιήσουν GPS spoofing για να παρακάμψουν περιορισμούς γεωγραφικής τοποθεσίας σε εφαρμογές ή υπηρεσίες streaming.
Και αυτή η πρακτική δεν είναι νέα, είναι αρκετά διαδεδομένη και μετρά αρκετά θύματα και στην Ελλάδα.
Πλαστογράφηση διευθύνσεων δικτύου (ΙΡ & ARP spoofing). Αυτού του είδους οι επιθέσεις γίνονται σε επίπεδο δικτύου, στοχεύουν τα πρωτόκολλα επικοινωνίας του διαδικτύου (IP) και πρωτόκολλα επικοινωνίας τοπικών δικτύων (ARP), επιτρέποντας στους χάκερ να παρεμβαίνουν σε επικοινωνίες και να υποκλέπτουν δεδομένα ή και να ανακατευθύνουν σε ιστοσελίδες υποκλοπής στοιχείων.
Παράδειγμα: Ένας χάκερ σε δημόσιο Wi-Fi μπορεί να παρακολουθεί την κυκλοφορία δεδομένων και να κλέψει στοιχεία σύνδεσης. Αν δηλαδή προσπαθείτε να συνδεθείτε μέσω δημόσιου Wi-Fi στην τράπεζά σας, οι κωδικοί σας είναι δυνατόν να υποκλαπούν από απατεώνες.
Φυσικά όλοι εμείς, οι χρήστες του διαδικτύου, δεν μπορούμε να γίνουμε ειδικοί στην κυβερνοασφάλεια. Αλλά ακόμη και αν μπορούσαμε, δε θα ήταν δυνατόν να αντιμετωπίσουμε τις νέες μορφές απάτης που “φυτρώνουν” καθημερινά στο... περιβόλι του διαδικτύου, καθώς εξελίσσεται συνεχώς ένας αγώνας δρόμου ανάμεσα στους απατεώνες και σε εκείνους που εργάζονται για την ασφάλεια, με τους πρώτους να βρίσκονται πάντα ένα βήμα μπροστά.
Μπορούμε όμως να τηρούμε κάποιους απλούς κανόνες για να προστατευτούμε από το spoofing, όπως:
Ποτέ δεν παρέχουμε προσωπικές πληροφορίες μέσω τηλεφώνου. Αν έχουμε αμφιβολία, για όποιον μας καλεί, τότε καλούμε εμείς τον φορέα που υποτίθεται εκπροσωπεί χρησιμοποιώντας τον επίσημο αριθμό τηλεφώνου του. Σε κάθε περίπτωση, η μοναδική επιβεβαίωση όσων ακούμε είναι η δική μας κλήση σε συγγενείς, δημόσια υπηρεσία ή δημόσια Αρχή.
Εφαρμόζουμε διπλό έλεγχο στοιχείων: Δεν εμπιστευόμαστε αμέσως την ταυτότητα του αποστολέα ή καλούντος. Εάν λαμβάνουμε ένα περίεργο email ή τηλεφώνημα, επικοινωνούμε με τον φορέα που υποτίθεται μας καλεί μέσω των επίσημων καναλιών.
Κάνουμε χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων: Οι περισσότεροι χρηματοοικονομικοί οργανισμοί και υπηρεσίες υποστηρίζουν αυτόν τον τρόπο προστασίας.
Ενημερώνουμε το λογισμικό στις συσκευές μας: Ενημερώνουμε τακτικά το λειτουργικό σύστημα και τις εφαρμογές ασφαλείας των συσκευών μας.
Χρησιμοποιούμε εφαρμογές με αυστηρό έλεγχο ταυτότητας και τεχνολογίες εντοπισμού spoofing, που μπορούν να μειώσουν τον κίνδυνο.
Επιδιώκουμε τη χρήση ασφαλών συνδέσεων: Προτιμούμε ιστοσελίδες με το χαρακτηριστικό HTTPS και όχι ΗΤΤΡ και αποφεύγουμε τη χρήση δημόσιων Wi-Fi εφόσον δεν έχουμε την τεχνογνωσία ή τη δυνατότητα της χρήσης εικονικού δικτύου VPN.
Αγνοούμε ύποπτους συνδέσμους (links): Ένας απλός έλεγχος είναι πριν κάνουμε κλικ σε έναν σύνδεσμο, να περάσουμε τον κέρσορα από πάνω του για να δούμε αν αντιστοιχεί στον προορισμό που ισχυρίζεται.
Η πλαστογράφηση αναγνώρισης κλήσης τείνει να γίνει μια από τις πιο διαδεδομένες μορφές ψηφιακής απάτης, που θα μας απασχολήσει το αμέσως επόμενο χρονικό διάστημα, είναι γεγονός όμως ότι το spoofing μπορεί να πάρει πολλές μορφές, από τηλεφωνικές κλήσεις και emails έως δικτυακές επιθέσεις. Ωστόσο, με την κατάλληλη ενημέρωση και προληπτικά μέτρα μπορούμε να προστατευτούμε και να μειώσουμε τους κινδύνους που παραμονεύουν στον κυβερνοχώρο.
Η ψηφιακή εγρήγορση είναι το “κλειδί” για να μην πέσουμε θύμα απάτης. Θα πρέπει να θυμόμαστε πάντα ότι εμφανίζεται στην οθόνη μας πιθανά να μην είναι αληθινό και συνεπώς δεν μπορούμε να εμπιστευόμαστε τυφλά πληροφορίες που εμφανίζονται σε αυτήν.
Η αλληλεπίδρασή μας με τον ψηφιακό κόσμο προϋποθέτει δύο βασικές αρχές: έλεγχο και επιβεβαίωση. Μόνο έτσι μπορούμε να παραμείνουμε ασφαλείς.
