Tο mail phishing στην εποχή μας.

Πώς με e-mails αδειάζουν τραπεζικούς λογαριασμούς.

Στα πλαίσια ενημέρωσης σε θέματα κυβερνοασφάλειας του ένστολου προσωπικού αλλά και των πολιτών, το Σ.Ε.Φ.Ε.Α.Α πρωτοστατεί και σε αυτόν τον τομέα και παρουσιάζει ένα άρθρο – οδηγό πάνω σε αυτό το τόσο σημαντικό κομμάτι της ενημέρωσης αλλά και της εκπαίδευσης των πολιτών στο να μαθαίνουν να αναγνωρίζουν και να αποφεύγουν τις ηλεκτρονικές απάτες που μαστίζουν την εποχή μας.

Οι κυριότερες μορφές απάτης στον «κυβερνοχώρο» (cyber scams).

• απάτες υποτιθέμενης τεχνικής υποστήριξης (technical support scam)
• ηλεκτρονικές απάτες μέσω τηλεφωνικής επικοινωνίας (Vishing)
• κλοπές στοιχείων ταυτότητας (Identity theft)
• απάτες μέσω αλλαγής κάρτας SIM (SIM swapping).
• απάτεςτύπου phishing (e-mail phishing)
• απάτες μέσω κοινωνικών δικτυών (social media scams)
• απάτη μέσω σεξουαλικής εκβίασης (sextortion)

Στο σημερινό μας άρθρο θα ασχοληθούμε με την συνηθέστερη μορφή απάτης των τελευταίων μηνών που είναι το e-mail phishing.

Τι είναι το Phishing

H πρακτική του Phishing (ηλεκτρονικό ψάρεμα στοιχείων) χρησιμοποιεί τα e-mails ως μέσο για την υποκλοπή των προσωπικών δεδομένων του ατόμου. Τα μηνύματα αυτά περιέχουν παραπλανητικό περιεχόμενο και οι αποστολείς τους υποδύονται ένα νόμιμο οργανισμό – τράπεζα.

Στόχο έχουν να αποσπάσουν κωδικούς πρόσβασης (username & password) για την πραγματοποίηση μη εξουσιοδοτημένων οικονομικών συναλλαγών με αποτέλεσμα την πρόκληση οικονομικής ζημίας στο θύμα.

Η πλειοψηφία των Phishing μηνυμάτων επικαλείται είτε κάποιο πρόβλημα στον λογαριασμό σας και απαιτεί την επιβεβαίωσή σας για εκτέλεση συναλλαγής, είτε την επιβεβαίωση προσωπικών δεδομένων.

Η πρακτική που χρησιμοποιούν.

Σας έρχεται ένα e-mail δήθεν από την τράπεζα που συνεργάζεστε και σας ζητά να επισκεφθείτε την ιστοσελίδα της επιλέγοντας έναν σύνδεσμο (link) που περιλαμβάνεται στο κείμενο γιατί η χρεωστική – πιστωτική σας κάρτα έχει μπλοκαριστεί.

Πατώντας πάνω στον σύνδεσμο μεταφέρεστε στην σελίδα της τράπεζας σας όπου σας ζητά τους κωδικούς σας για να συνδεθείτε. Αφού βάλετε τους κωδικούς σας, σας ζητά να βάλετε και το (otp) που σας έχουν στείλει στο τηλέφωνό σας.

Αφού λοιπόν βάλετε και το (otp) συγχαρητήρια μόλις παραδώσατε τον λογαριασμό σας στον scammer (απατεώνα).

Πώς θα προστατευτούμε.

Κανόνας Νο1

H Τράπεζα δε θα σας ζητήσει ποτέ τους κωδικούς σας μέσω e-mail.

Μην απαντάτε σε e-mail που σας ζητούν προσωπικά στοιχεία και μην ακολουθείτε τα link που σας ζητάνε να εισάγετε προσωπικούς κωδικούς.

Κανόνας Νο2

Πάντα να κοιτάτε τη διεύθυνση αποστολής του e-mail ή τη διεύθυνση (url) της σελίδας που επισκέπτεστε.

πχ.  https://ibank.nbg.gr/    (κανονικό σωστό url της Εθνικής Τράπεζας)

        http://nbg.dolciagrumi.it/   (fake url που δεν είναι το αυθεντικό της τράπεζας και παραπέμπει σε άλλο site που μοιάζει ακριβώς)

Στο παραπάνω παράδειγμα βλέπουμε πως ο scammer έχει κάνει μια αριστοτεχνική δουλειά γιατί έχει χρησιμοποιήσει:

• Πιστοποιητικό ασφάλειας ssl (https αντί για http) ώστε να νομίζουμε πως ο σύνδεσμος είναι ασφαλής. (https)
• Το domain στην αρχή ξεκινάει με το nbg που είναι το ίδιο με το αυθεντικό, αλλά η διαφορά είναι πως συνεχίζει με το dolciagrumi.it που δεν ανήκει στην Εθνική Τράπεζα αλλά παραπέμπει σε κάτι άλλο που δεν είναι καν στην Ελλάδα.

Κανόνας Νο3

Κανείς δεν χαρίζει λεφτά. Δεν έχει να κάνει ακριβώς με το e-mail phishing αλλά να το έχετε σαν αρχή ότι κανένας ποτέ δεν θα σας χαρίσει χρήματα. Να είστε πάντα καχύποπτοι, επιφυλακτικοί και παρατηρητικοί σε ότι σας έρχεται μέσω e-mail ώστε να εντοπίζετε άμεσα τις παγίδες.

Είναι ενδεικτικό ότι μέσα σε εννέα μήνες το 2021 τα περιστατικά απάτης μέσω e-banking αυξήθηκαν κατακόρυφα, με τη συνολική λεία να ανέρχεται σε 40 εκατ. ευρώ. Δηλαδή κατά μέσο όρο κάθε ημέρα το διάστημα Ιανουαρίου – Νοεμβρίου έκαναν φτερά καταθέσεις της τάξης των 190.000 ευρώ. Σε σχέση δε με την αντίστοιχη περίοδο του 2020 η ετήσια αύξηση ξεπερνά το 600%.

Όλο αυτό συμβαίνει γιατί πάρα πολλοί χρήστες του διαδικτύου είναι (ας μου συγχωρεθεί η έκφραση)

Διαδικτυακά αναλφάβητοι.

Όλοι είναι στο internet αλλά ελάχιστοι γνωρίζουν να το χρησιμοποιούν σωστά.

Θα πρέπει ο μέσος χρήστης να γνωρίζει τα βασικά τουλάχιστον για να μπορεί να πλοηγηθεί με ασφάλεια στο διαδίκτυο.

Έχουμε να αντιμετωπίσουμε πλέον και την ψηφιακή παρανομία που είναι χειρότερη πολλές φορές από την πραγματική παρανομία που συναντάμε κάθε μέρα έξω στον δρόμο.

Ο Ιπποκράτης είχε πει χαρακτηριστικά.

 “Ασφάλεια εστί το προνοείν και προλαμβάνειν, το δε προνοείν και προλαμβάνειν κρείττον εστί του θεραπεύειν”.

Όπου στη νέα ελληνική θα πει.

‘’Ασφάλεια σημαίνει να προνοείς και να προλαμβάνεις. Το να προλαμβάνεις είναι καλύτερο του να θεραπεύεις.

Πρέπει λοιπόν να εκπαιδεύσουμε τους εαυτούς μας αλλά και τους οικείους μας, (φίλους, συγγενείς, παιδιά) στη νέα αυτή πραγματικότητα και να μάθουμε όσα περισσότερα μπορούμε ώστε να ελαχιστοποιήσουμε τις πιθανότητες να μας συμβεί κάτι κακό από την ενασχόληση μας στον κόσμο του internet.

Για το Σ.Ε.Φ.Ε.Α.Α  &  Π.Ο.Α.Ε.Φ

Υπαρχ/κας (Μ.Π.Σ) Πολλάτος Γεράσιμος

{προερχόμενος εξ ειδικών φρουρών}

IT Manager Specialist of Sefeaa