Το 2014, μια παραβίαση δεδομένων εξέθεσε στοιχεία τριών δισεκατομμυρίων χρηστών της Yahoo. Το 2016, οι εργαζόμενοι της Sony Pictures είδαν ευαίσθητες προσωπικές τους πληροφορίες να διαρρέουν μαζί με χιλιάδες έγγραφα της εταιρείας. Τι κοινό έχουν αυτές οι δύο επιθέσεις; Και οι δύο ξεκίνησαν με ένα μήνυμα ηλεκτρονικού “ψαρέματος” (phishing).
“Οι απειλές μέσω ηλεκτρονικού ταχυδρομείου εξακολουθούν να αποτελούν έναν από τους πιο συνηθισμένους τρόπους που έχουν οι κυβερνοεγκληματίες για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες ή να εγκαταστήσουν κακόβουλο λογισμικό” προειδοποιεί ο Roman Cuprik από την ομάδα της παγκόσμιας εταιρείας ψηφιακής ασφάλειας ESET. Οι περισσότερες γνωστές περιπτώσεις phishing έχουν στόχο ανώνυμους χρήστες, όμως δεν είναι ασυνήθιστο οι επιθέσεις να κατευθυνθούν σε πολύ συγκεκριμένα άτομα που διαχειρίζονται ευαίσθητες πληροφορίες. Και, όπως επισημαίνουν οι ερευνητές της ESET, το 2022, αυτού του είδους οι απειλές σημείωσαν ετήσια αύξηση σχεδόν 30%.
Καθώς τα γλωσσικά μοντέλα τεχνητής νοημοσύνης διευκολύνουν τη σύνταξη μηνυμάτων ηλεκτρονικού ταχυδρομείου, οι πιθανότητες είναι ότι αυτοί οι αριθμοί θα αυξηθούν!
Οι επιθέσεις phishing είναι μια μορφή κοινωνικής μηχανικής που μας ωθεί στο να αντιδρούμε με μια αίσθηση επείγοντος και περιέργειας. Ενώ όλοι μπορούμε να πέσουμε θύματα αυτού του τύπου επίθεσης, μπορούμε επίσης να μάθουμε να την αποφεύγουμε. Ας ρίξουμε μια ματιά σε μερικά παραδείγματα των πιο συνηθισμένων επιθέσεων phishing που χρησιμοποιούνται για να μας ξεγελάσουν.
- “Η συνεδρία σας έληξε. Κάντε κλικ εδώ για να συνδεθείτε ξανά.”
Σε μια από τις πιο συνηθισμένες τακτικές phishing, οι απατεώνες απλώς σας ενημερώνουν ότι έχετε αποσυνδεθεί από ένα λογαριασμό και σας καλούν να συμπληρώσετε τα διαπιστευτήριά σας. Κάνοντας κλικ στο σύνδεσμο θα μεταφερθείτε σε μια ιστοσελίδα που μοιάζει πολύ με την πραγματική. Η διαφορά, ωστόσο, είναι ότι αφού βάλετε τα διαπιστευτήριά σας αυτά θα σταλούν αμέσως στους κυβερνοεγκληματίες, οι οποίοι στη συνέχεια θα τα χρησιμοποιήσουν για να αποκτήσουν πρόσβαση στις πληροφορίες σας. Σε ορισμένες περιπτώσεις, μπορεί ακόμη και να συνδεθούν στο λογαριασμό σας και να αλλάξουν τον κωδικό πρόσβασης.
Η τεχνική αυτή βασίζεται στη συνήθεια των χρηστών να ανταποκρίνονται αυτόματα σε τέτοια μηνύματα χωρίς να σκέφτονται το περιεχόμενο ή χωρίς να ελέγχουν για τα τυπικά σημάδια ενός μηνύματος phishing.
Για παράδειγμα, πέρυσι, η GitHub Security προειδοποίησε για μηνύματα ηλεκτρονικού ταχυδρομείου που παρίσταναν ότι προέρχονταν από τη δημοφιλή πλατφόρμα ανάπτυξης λογισμικού CI/CD CircleCI. Οι απατεώνες έστελναν μια ειδοποίηση με την ένδειξη “η συνεδρία έληξε” και ζητούσαν νέα είσοδό σας χρησιμοποιώντας τα διαπιστευτήρια του GitHub. “Παρατηρήσαμε κάποια ασυνήθιστη δραστηριότητα στο λογαριασμό σας. Παρακαλούμε επαληθεύστε”.
Με αυτό το τέχνασμα, οι κυβερνοεγκληματίες προσπαθούν να δημιουργήσουν μια αίσθηση επείγοντος. Ποιος δε θα ήθελε να αποφύγει την ξαφνική απώλεια ενός λογαριασμού; Συνήθως, αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αντιγράφουν μηνύματα από νόμιμες υπηρεσίες όπως η Amazon, η PayPal κ.λπ.
Για παράδειγμα, στα τέλη του 2018, η Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών (FTC) εξέδωσε προειδοποίηση σχετικά με μηνύματα phishing που φαίνονταν ότι είχαν σταλεί από το Netflix. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονταν ότι ένας λογαριασμός τέθηκε σε αναμονή λόγω κάποιου σφάλματος με τα στοιχεία πληρωμής, ζητώντας από τους χρήστες να ενημερώσουν τα στοιχεία χρέωσης χρησιμοποιώντας έναν ενσωματωμένο σύνδεσμο, ο οποίος ήταν φυσικά κακόβουλος και χρησιμοποιήθηκε για την απόκτηση διαπιστευτηρίων σύνδεσης.
Παρομοίως, οι πελάτες της Apple έγιναν στόχος το 2016, όταν απατεώνες προσπάθησαν να κλέψουν τις προσωπικές τους πληροφορίες με μηνύματα ηλεκτρονικού “ψαρέματος” που ισχυρίζονταν ότι οι χρήστες έπρεπε να επιβεβαιώσουν εκ νέου τα στοιχεία του λογαριασμού τους επειδή “ένας ιός” είχε δήθεν βρεθεί στη βάση δεδομένων του iTunes της Apple.
- “Πρέπει να κάνετε άμεσα πληρωμή”
Η μίμηση εταιρικών λογαριασμών ηλεκτρονικού ταχυδρομείου είναι εδώ και πολύ καιρό ο πρωταθλητής μεταξύ των εκστρατειών spearphishing που στοχεύουν ένα συγκεκριμένο άτομο ή μια ομάδα εργαζομένων σε μια επιλεγμένη εταιρεία.
Πριν από την αποστολή αυτών των πλαστών μηνυμάτων ηλεκτρονικού ταχυδρομείου, οι απατεώνες μαθαίνουν όσο το δυνατόν περισσότερα για τις εταιρικές δομές, τα στοιχεία, την ορολογία κ.λπ. μιας επιχείρησης, ώστε το phishing email να μην ξεχωρίζει από ένα γνήσιο.
Ορισμένα από αυτά τα email απευθύνονται ειδικά σε υπαλλήλους που είναι υπεύθυνοι για τη διαχείριση μετρητών και οικονομικών θεμάτων. Οι κυβερνοεγκληματίες προσποιούνται ότι είναι ο Διευθύνων Σύμβουλος ή κάποιος άλλος ανώτερος που είναι εξουσιοδοτημένος να δώσει εντολή για τη μεταφορά χρημάτων και ζητούν από το θύμα να στείλει χρήματα σε έναν συγκεκριμένο λογαριασμό, υποτίθεται του Διευθύνοντος Συμβούλου ή της εταιρείας.
Το 2018, η πλαστοπροσωπία του CEO χρησιμοποιήθηκε για την κλοπή πάνω από 100.000 δολαρίων Καναδά από την πόλη της Οτάβα. O ταμίας της πόλης έλαβε ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου από κάποιον που προσποιούνταν τον διευθυντή της δημοτικής αρχής, με αίτημα για μεταφορά του χρηματικού ποσού που κατέληξε στις τσέπες των απατεώνων.
Οι άπληστοι απατεώνες προσπάθησαν μάλιστα να εξαπατήσουν τον ταμία για δεύτερη φορά, αλλά όταν έστειλαν ένα δεύτερο μήνυμα ηλεκτρονικού ταχυδρομείου η απάτη αποκαλύφθηκε και πιάστηκαν στα πράσα.
- “Αγαπητέ υποψήφιε…”
Αυτά τα phishing email βασίζονται σε ψεύτικες προσφορές εργασίας. Μπορεί να εξαπατήσουν τα πιθανά θύματα ώστε να κάνουν κλικ σε έναν σύνδεσμο ή να ανοίξουν κακόβουλα αρχεία που αποστέλλονται μαζί με ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ζητώντας από το θύμα, για παράδειγμα, να δημιουργήσει ένα λογαριασμό και να περάσει τα προσωπικά του στοιχεία για να υποβάλει αίτηση για μια θέση εργασίας.
Για παράδειγμα, η ομάδα απειλών Lazarus έχει πραγματοποιήσει πολλές τέτοιες εκστρατείες, όπως η Operation DreamJob, που αποκαλύφθηκε από τους ερευνητές της ESET μόλις πρόσφατα, η οποία δελέαζε τα θύματά της με ψεύτικες προσφορές εργασίας.
Τέτοιες απάτες υπάρχουν και σε δημοφιλείς πίνακες ανακοινώσεων για θέσεις εργασίας, γι’ αυτό προσπαθείτε πάντα να επαληθεύετε αν ο προϊστάμενος που επικοινώνησε μαζί σας ή η προσφορά εργασίας που βλέπετε είναι νόμιμη.
Η εκστρατεία είχε στόχο χρήστες Linux με ένα αρχείο ZIP που παραδίδει μια ψεύτικη προσφορά εργασίας της HSBC ως δόλωμα
- “Λόγω της τρέχουσας κατάστασης…“
Το phishing αυξάνεται επίσης σε περιόδους σημαντικών γεγονότων – είτε πρόκειται για αθλητικά γεγονότα είτε για ανθρωπιστική κρίση. Για παράδειγμα, στις αρχές του 2023, η ομάδα απειλών Fancy Bear οργάνωσε μια εκστρατεία email που σχετιζόταν με τον πόλεμο στην Ουκρανία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου μετέφεραν ένα κακόβουλο αρχείο RTF με τίτλο “Nuclear Terrorism A Very Real Threat” (Πυρηνική τρομοκρατία μια πολύ πραγματική απειλή). Μόλις κάποιος άνοιγε το αρχείο θα έθετε σε κίνδυνο τον υπολογιστή.
- “Καλά Χριστούγεννα!”
Οι απάτες κατά τη διάρκεια των εορτών συχνά κάνουν κατάχρηση της αγοραστικής περιόδου. Τα email περιέχουν προσφορές “πολύ καλές για να είναι αληθινές” ή δημιουργούν την ψευδή αίσθηση του επείγοντος για να προλάβετε μια ευκαιρία της τελευταίας στιγμής!
Μια άλλη προσέγγιση για τους απατεώνες είναι να στέλνουν email με κακόβουλα αρχεία που σχετίζονται με τις διακοπές, όπως χριστουγεννιάτικες κάρτες, δωροεπιταγές κ.λπ.
- “Δε μπορούμε να επεξεργαστούμε τη φορολογική σας δήλωση”
Μόνο λίγα πράγματα σε αυτόν τον κόσμο είναι σίγουρα – ο θάνατος, οι φόροι και τα μηνύματα phishing κατά τη διάρκεια της περιόδου κατάθεσης των φορολογικών δηλώσεων. Επειδή οι άνθρωποι υποβάλλουν τις φορολογικές τους δηλώσεις, δεν αποτελεί έκπληξη το γεγονός ότι θα λάβουν κάποιο email από την εφορία.
Οι απατεώνες κάνουν κατάχρηση αυτής της κατάστασης στέλνοντας email με ψεύτικα μηνύματα της εφορίας. Συνήθως, ισχυρίζονται ότι λείπουν κάποιες πληροφορίες και ζητούν πρόσθετα προσωπικά ή οικονομικά στοιχεία.
Άλλα email προσφέρουν επιστροφή χρημάτων, ενώ ζητούν στοιχεία πιστωτικής κάρτας.
- Δεν απαιτείται απάντηση
Ορισμένα μηνύματα phishing έχουν ελάχιστο έως καθόλου περιεχόμενο, παρασύροντάς σας να ανοίξετε ένα συνημμένο αρχείο για να μάθετε περισσότερα σχετικά με το θέμα.
Για παράδειγμα, η ESET Research αποκάλυψε το 2021 μια κακόβουλη εκστρατεία που έβαλε στο στόχαστρο εταιρικά δίκτυα σε ισπανόφωνες χώρες χρησιμοποιώντας σύντομα μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία PDF.
Το θέμα του email μπορεί να είναι τόσο απλό όσο σε αυτή την περίπτωση: “Δήλωση υπηρεσιών Δουβλίνου”- δεν υπήρχε κανένα μήνυμα εκτός από μια υπογραφή και μια επαφή κινητού τηλεφώνου στη Βενεζουέλα.
Εν τω μεταξύ, το συνημμένο αρχείο είναι ένα απλό αρχείο PDF χωρίς σημαντικό περιεχόμενο, αλλά περιείχε έναν σύνδεσμο που ανακατευθύνει τα θύματα σε υπηρεσίες αποθήκευσης cloud, από τις οποίες μπορεί να γίνει λήψη του κακόβουλου λογισμικού.
Πώς να προστατευτείτε από τα μηνύματα phishing
Σύμφωνα με τον Cuprik από την ESET αυτά είναι τα 8 βασικά βήματα που μπορείτε να κάνετε για να κρατήσετε μακριά σας τις επιθέσεις ηλεκτρονικού ψαρέματος:
- Διαβάστε προσεκτικά το μήνυμα ηλεκτρονικού ταχυδρομείου. Μην κάνετε κλικ σε αυτόματα.
- Ελέγξτε αν η διεύθυνση ηλεκτρονικού ταχυδρομείου ταιριάζει με το πραγματικό domain.
- Να είστε προσεκτικοί με απροσδόκητα ξαφνικά μηνύματα ηλεκτρονικού ταχυδρομείου από μια τράπεζα, έναν προμηθευτή ή οποιονδήποτε άλλο οργανισμό.
- Ελέγξτε για «κόκκινες σημαίες», όπως επείγοντα ή απειλητικά μηνύματα ηλεκτρονικού ταχυδρομείου που απαιτούν άμεση απάντηση ή αιτήματα για διαπιστευτήρια, προσωπικές και οικονομικές πληροφορίες. Τα γραμματικά λάθη, ορθογραφικά λάθη και τυπογραφικά λάθη αποτελούν επίσης ενδείξεις.
- Συγκρίνετε τη συνημμένη διεύθυνση URL με τον αντίστοιχο domain μιας νόμιμης εταιρείας ή ενός νόμιμου οργανισμού. Αν εντοπίσετε κάτι ύποπτο, μην κάνετε κλικ σε αυτό.
- Προσέξτε τις προσφορές που είναι πολύ καλές για να είναι αληθινές και τα απροσδόκητα δώρα.
- Μην στέλνετε χρήματα βιαστικά. Εάν ο ανώτερος σας ζητήσει ξαφνικά μια τέτοια μεταφορά, επικοινωνήστε μαζί του άμεσα.
- Εγκαταστήστε ένα προϊόν κυβερνοασφάλειας με ενσωματωμένα εργαλεία κατά του phishing.
Τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος αποτελούν μια διαδεδομένη απειλή και ακόμη και οι επαγγελματίες της πληροφορικής μπορεί να πέσουν θύματα αυτής της απάτης. Ευτυχώς, τα περισσότερα από αυτά τα email είναι αρκετά εύκολο να εντοπιστούν, αν ελέγξετε την παρόρμηση να κάνετε κλικ σε συνδέσμους ή να ανοίξετε συνημμένα αρχεία πριν επιβεβαιώσετε ποιος είναι ο αποστολέας.