ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ Α ΚΛΑΔΟΣ/Α8. ΟΔΗΓΟΣ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟ ΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΕΞΑΠΑΤΗΣΗ (Phishing Guide)

Σχετικά έγγραφα
ΜΑΘΗΤΕΣ:ΑΝΤΩΝΙΟΥ ΕΥΑΓΓΕΛΙΑ,ΔΑΡΑΜΑΡΑ ΑΓΓΕΛΙΚΗ,ΖΑΡΚΑΔΟΥΛΑ ΔΕΣΠΟΙΝΑ,ΚΑΠΟΥΛΑΣ ΑΠΟΣΤΟΛΟΣ,ΚΟΛΟΒΟΣ ΠΑΝΑΓΙΩΤΗΣ ΚΑΘΗΓΗΤΡΙΑ:ΧΑΛΙΜΟΥΡΔΑ ΑΓΓΕΛΙΚΗ ΕΡΕΥΝΗΤΙΚΗ

Ασφαλείς online αγορές

Διαδικτυακά εργαλεία και υπηρεσίες στην καθημερινή ζωή

Κάποια ransomware μπορεί να είναι μεταμφιεσμένα. Να σας εμφανίζονται για παράδειγμα ως προειδοποιητικά μηνύματα του τύπου "Ο υπολογιστής σας έχει

Phishing, Ιοί και Πειρατεία Λογισμικού Ηλεκτρονικών υπολογιστών

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΣΦΑΛΕΙΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ. 5 η ομάδα Ηλέκτρα Βασηλίου Μυρτώ Κύρκου Ερμιόνη Κωστοπούλου Ευανθία Κόντου

Κεφάλαιο 16 Ασφάλεια και Προστασία στο Διαδίκτυο. Εφαρμογές Πληροφορικής Κεφ. 16 Καραμαούνας Πολύκαρπος

Κορυφαίες συμβουλές πρόληψης

Εγκλήματα στον Κυβερνοχώρο

Ενότητα 3: Ψηφιακή Ασφάλεια

Ηλεκτρονικό εμπόριο. HE 8 Εξατομίκευση

ΈΦΗ ΑΠΟΣΤΟΛΑΚΟΥ ΤΜΗΜΑ: Α1

Μην πιστεύετε ότι διαβάζετε στο Internet!

ΕΝΗΜΕΡΩΤΙΚO - ΑΝΑΚΟΙΝΩΣΗ

ΔΙΑΔΥΚΤΙΟ ΤΟ ΔΙΑΔΥΚΤΙΟ ΚΑΙ Η ΕΠΙΚΟΙΝΩΝΙΑ

Αντιμετώπιση ανεπιθύμητης αλληλογραφίας (spam)

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Οδηγός εκκαθάρισης spam

Το ηλεκτρονικό επιχειρείν στο στόχαστρο των κυβερνοεγκληματιών: επίκαιρα τεχνάσματα & επιβεβλημένα αντίμετρα στο ψηφιακό εταιρικό περιβάλλον

Το διαδίκτυο. 5 ο Δημοτικό Κιλκίς ΑΣΦΑΛΕΙΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΚΑΤΕΡΙΝΑ ΜΩΥΣΙΔΟΥ ΜΕΝΙΑ ΚΑΡΑΓΕΩΡΓΙΟΥ ΚΩΣΤΑΣ ΝΙΚΟΛΑΕΒ ΙΩΑΚΕΙΜ ΚΑΤΣΑΚΗΣ

Ηλεκτρονική Δήλωση περί Προστασίας Προσωπικών Δεδομένων

Όροι Χρήσης Ιστοσελίδας

Internet Τοπικό δίκτυο LAN Δίκτυο Ευρείας Περιοχής WAN Διαδίκτυο Πρόγραμμα Πλοήγησης φυλλομετρητής Πάροχοι Υπηρεσιών Internet URL HTML links

F.A.Q. (ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ)

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Εισαγωγή 6. Tα πολλά πρόσωπα των απειλών για το PC 8. Οι βασικές ρυθμίσεις ασφαλείας στα Windows 18. Προστασία από το Malware με το Avast Antivirus 34

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) INTERMEDIATE Υπηρεσίες Διαδικτύου ΕΚΔΟΣΗ 1.0. Διεύθυνση: Ασκληπιού 18 Τηλέφωνο:

ECDL Module 7 Πλοήγηση στον Ιστό και Επικοινωνία Εξεταστέα Ύλη, έκδοση 5.0 (Syllabus Version 5.0)

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ ΤΗΣ ΠΛΑΤΦΟΡΜΑΣ CORPMAIL

Τ.Π.Ε. στον Τουρισμό. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) INTERMEDIATE

Φόρμα Επικοινωνίας ΠΡΟΟΙΜΙΟ

των πελατών για το κλείσιμο ραντεβού για έλεγχο όρασης στα καταστήματά μας. Αποδέκτης των προσωπικών μη ευαίσθητων δεδομένων είναι μόνο η Εταιρεία

ΟΛΟΚΛΗΡΩΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ ΕΝΙΣΧΥΣΗΣ ΨΗΦΙΑΚΗΣ ΕΜΠΙΣΤΟΣΥΝΗΣ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΗΣ CATAWIKI

F-Secure Anti-Virus for Mac 2015

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

λογισμικό το οποίο εκ προθέσεως διαθέτει τις απαιτούμενες εντολές για να βλάψει ένα υπολογιστικό σύστημα.

Πολιτική Απορρήτου (07/2016)

Ref.: SLWS 1 5Copyright 2005 The European Computer Driving Licence Foundation Ltd Σελίδα 1 από 7

Εξεταστέα Ύλη (Syllabus) Έκδοση 5.0

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

Εισαγωγή στην πληροφορική

«Εξαιρετική δουλειά, ευχαριστώ»: Μπορεί να μην μάθετε ποτέ τα περιστατικά ψηφιακής ασφάλειας που έχουν προκληθεί από τους υπαλλήλους σας

Πολιτική Απορρήτου 1. ΕΙΣΑΓΩΓΗ

CyberEdge από την AIG

Υπεύθυνος επεξεργασίας δεδομένων είναι η BIC ΒΙΟΛΕΞ, η οποία εδρεύει στη διεύθυνση Αγίου Αθανασίου 58, Άνοιξη, Αττικής

Υπηρεσία Ενεργοποίησης Ηλεκτρονικού Λογαριασμού- URegister

Κεφάλαιο 1: Έναρξη...3

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΑΠΟΡΡΗΤΟΥ

International Diploma in IT Skills Proficiency Level

1. Για πρόσβαση στην υπηρεσία χρησιμοποιείτε έναν Φυλλομετρητή (Internet Explorer, Firefox, Chrome κ.λ.π) και

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

ΒΙΩΜΑΤΙΚΕΣ ΔΡΑΣΕΙΣ: ΑΣΦΑΛΕΙΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΠΑΤΗ ΤΟΥ CEO / ΑΠΑΤΗ ΜΕ ΤΟ ΕΤΑΙΡΙΚΟ ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ; ΠΟΙΕΣ ΕΙΝΑΙ ΟΙ ΕΝΔΕΙΞΕΙΣ; ΤΙ ΜΠΟΡΕΙΤΕ ΝΑ ΚΑΝΕΤΕ;

α. Προσωπικά δεδομένα που δύνανται να ζητηθούν από την σελίδα.

Οι ιοί των υπολογιστών αποτελούν πλέον ένα διαδεδομένο, καθημερινό φαινόμενο. Η γρήγορη εξάπλωση των ιών τα τελευταία χρόνια οφείλονται στο διαδίκτυο

Αναβάθμιση ασφάλειας πρωτοκόλλου κρυπτογράφησης διακινούμενων δεδομένων αποκλειστικά σε TLS 1.2 στις διαδικτυακές υπηρεσίες της ΗΔΙΚΑ

ΕΛΛΗΝΙΚΗ ΕΝΩΣΗ ΤΡΑΠΕΖΩΝ

Fraud Prevention Forum 2013

Ηλεκτρονικό εμπόριο. HE5 Ηλεκτρονικό κατάστημα Σχεδιασμός και λειτουργίες

Ασφαλής Πλοήγηση στο Διαδίκτυο

ΛΑΦΤΣΗΣ ΚΩΝΣΤΑΝΤΙΝΟΣ

Υπηρεσία Ενεργοποίησης Ηλεκτρονικού Λογαριασμού- URegister

Ποια cookies χρησιμοποιούμε στον ιστότοπό μας;

Οι προβλέψεις της Symantec για την ασφάλεια το 2017

ΥΠΗΡΕΣΙΑ ALPHA SECUREWEB ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ

Πρακτικά όλα τα προβλήματα ασφαλείας οφείλονται σε λάθη στον κώδικα

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΠΑΓΚΥΠΡΙΟΥ ΣΥΝΔΕΣΜΟΥ ΠΟΛΛΑΠΛΗΣ ΣΚΛΗΡΥΝΣΗΣ

ΟΡΟΙ ΧΡΗΣΗΣ 1. ΠΕΡΙΟΡΙΣΜΟΣ ΕΥΘΥΝΗΣ ΔΗΛΩΣΗ ΑΠΟΠΟΙΗΣΗΣ

ΜΑΘΗΜΑ: Εργαλεία Ανάπτυξης εφαρμογών internet.

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

1 ΠΛΗΡΟΦΟΡΙΕΣ ΣΧΕΤΙΚΑ ΜΕ ΕΜΑΣ

Εγχειρίδιο Λειτουργίας Τράπεζας Χρόνου

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

Πολιτική Απορρήτου της Fon

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Πολιτική Απορρήτου. Παρακαλούμε, διαβάστε την παρούσα Πολιτική Απορρήτου προσεκτικά.

Hotel Perrakis Όροι χρήσης

διάρκεια του ψυχρού πολέµου. Θέλοντας

Πολιτική για τα cookies

Πως μπορούν τα μέρη του υλικού ενός υπολογιστή να επικοινωνούν και να συνεργάζονται μεταξύ τους; Επειδή ακολουθούν συγκεκριμένες οδηγίες (εντολές).

Πολιτική Απορρήτου - Οροι χρήσης

Οδηγός εκκαθάρισης ιστορικού cookies περιηγητή

Εισαγωγή στις ΤΠΕ ΙΙ Γιάννης Βρέλλης ΠΤΔΕ-Πανεπιστήμιο Ιωαννίνων. World Wide Web. Παγκόσμιος Ιστός

ΜΑΘΗΜΑ 8 ΝΟΜΟΘΕΣΙΑ (LAW)

«ΖΕΥΣ» Εγχειρίδιο Συμμετοχής σε Ψηφοφορία

Ορισμός Νέου Κωδικού URegister

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Online Essentials ΔΙΑΧΕΙΡΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΕΣ ECDL. Περιεχόμενα. Απόκτησε τώρα το δίπλωμα. για να θεωρείσαι Επαγγελματίας!

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Γενικά Μέτρα Προστασίας. Πληροφοριακών Συστημάτων. από Ηλεκτρονικές Επιθέσεις

Οδηγίες και συμβουλές

Transcript:

ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ Α ΚΛΑΔΟΣ/Α8 ΟΔΗΓΟΣ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟ ΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΕΞΑΠΑΤΗΣΗ (Phishing Guide) Μάϊος 2019

- 2 - Περιεχόμενα Σελίδα Εισαγωγή 1 ΚΕΦΑΛΑΙΟ 1 ο Γενικές Έννοιες 3 1. Επιθέσεις Ηλεκτρονικής Εξαπάτησης (Phishing Attacks) 3 2. Αποτελεσματικότητα των Επιθέσεων Ηλεκτρονικής Εξαπάτησης(Phishing Attacks) 4 3. Γνωστοί Μέθοδοι Ηλεκτρονικής Εξαπάτησης 4 ΚΕΦΑΛΑΙΟ 2 ο Τρόποι Αντιμετώπισης 9 1. Τρόποι Αναγνώρισης - Αντιμετώπισης της Ηλεκτρονικής Εξαπάτησης 9 2. Μέτρα Προστασίας σε Επίπεδο Απλού Χρήστη 13 3. Επίλογος 16

- 3 - Οδηγός Προστασίας από την Ηλεκτρονική Εξαπάτηση (Phishing Guide) Εισαγωγή α. Η σύγχρονη εποχή χαρακτηρίζεται από την αλματώδη τεχνολογική εξέλιξη και απαιτεί από τον άνθρωπο τη δικτύωση του στον παγκόσμιο ιστό για να μπορέσει να ανταπεξέλθει στο δυναμικό και συνεχώς εναλλασσόμενο πληροφοριακό περιβάλλον. β. Ο σύγχρονος άνθρωπος, προσπαθώντας να προσαρμόσει τη καθημερινότητα του, και να συμβαδίσει με την τεχνολογική ανάπτυξη, τη γρήγορη ροή γεγονότων και δεδομένων αλλά και το ραγδαίο ρυθμό ανάπτυξης των νέων τεχνολογιών, έχει υιοθετήσει τις τεχνολογίες του διαδικτύου οι οποίες του προσφέρουν ένα σύνολο υπηρεσιών σε παγκόσμια κλίμακα. γ. Η τεχνολογική εξάρτηση της κοινωνίας παράλληλα με τα οφέλη, δημιουργεί και κινδύνους για την ασφάλεια των υποδομών, των δεδομένων και των ατόμων που τη χρησιμοποιούν. Μια από τις πιο συνήθεις απειλές τέτοιας μορφής, αποτελεί και η «διαρροή» ευαίσθητων πληροφοριών, η οποία μπορεί να επιτευχθεί με διάφορους τρόπους, ένας εκ των οποίων είναι η ηλεκτρονική εξαπάτηση. δ. Η ηλεκτρονική εξαπάτηση αποτελεί μια σημαντική απειλή για όλους τους χρήστες του διαδικτύου, καθώς είναι δύσκολο να εντοπιστεί ή να αντιμετωπιστεί, δεδομένου ότι δεν παρουσιάζεται με προφανή κακόβουλο χαρακτήρα. Στη σημερινή εποχή, και λόγω της ευρείας χρήσης του διαδικτύου, η ασφάλεια των προσωπικών δεδομένων και στοιχείων, βρίσκονται σε μόνιμο κίνδυνο. ε. Ο όρος «phishing» είναι μια παράφραση της ομόηχης αγγλικής λέξης «fishing», που σημαίνει «αλίευση». Σε απλό λόγο λοιπόν, πρόκειται για μια μέθοδο «αλίευσης», δηλαδή υποκλοπής ευαίσθητων πληροφοριών που ενδέχεται να φέρει κέρδος σε αυτόν που τις κατέχει. Η πρώτη περιγραφή της τεχνικής ηλεκτρονικής εξαπάτησης, έγινε το 1987, ενώ οι πρώτες καταγεγραμμένες επιθέσεις μεγάλης κλίμακας πραγματοποιήθηκαν το 1995, εναντίoν της μεγαλύτερης διαδικτυακής υπηρεσίας επικοινωνίας έως τότε, την AOL. στ. Ο συγκεκριμένος οδηγός περιέχει οδηγίες-συμβουλές για την προστασία των απλών χρηστών από επιθέσεις ηλεκτρονικής εξαπάτησης (Phishing Attacks), οι οποίες χρησιμοποιούν τεχνικές κοινωνικής μηχανικής (social engineering), που αφορούν στην

- 4 - εξαπάτηση ατόμων, για την απόσπαση πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Επιπλέον περιγράφει μια προσέγγιση πολλαπλών επιπέδων (multilayered approach), η οποία βελτιώνει την ανθεκτικότητα του χρήστη έναντι των επιθέσεων ηλεκτρονικής εξαπάτησης, ελαχιστοποιώντας τη διατάραξη της παραγωγικότητας. Τα προτεινόμενα μέτρα ασφαλείας, μπορούν να αποδειχθούν χρήσιμα και σε άλλους τύπους επιθέσεων στον κυβερνοχώρο, συμβάλλοντας στην ασφάλεια δεδομένων, στοιχείων, σε προσωπικό αλλά και σε εργασιακό επίπεδο.

- 5 - ΚΕΦΑΛΑΙΟ 1 ο Γενικές Έννοιες 1. Επιθέσεις Ηλεκτρονικής Εξαπάτησης (Phishing Attacks) α. Οι Επιθέσεις Ηλεκτρονικής Εξαπάτησης ή όπως είναι ευρύτερα γνωστές επιθέσεις «Ηλεκτρονικής Αλίευσης» περιγράφουν έναν τύπο επίθεσης κοινωνικής μηχανικής (social engineering), στην οποία οι επιτιθέμενοι προσπαθούν να επηρεάσουν τους χρήστες, ώστε να προβούν σε μια «λανθασμένη» ή «επισφαλής» ενέργεια, όπως: δεδομένων. (1) Την αποκάλυψη ευαίσθητων πληροφοριών και (2) Την ενεργοποίηση (άνοιγμα) ενός συνδέσμου, ο οποίος οδηγεί σε ιστότοπο διανομής κακόβουλου λογισμικού. (3) To «άνοιγμα» ενός συνημμένου αρχείου (attachment), το οποίο περιέχει κακόβουλο λογισμικό. β. Αν και οι επιθέσεις ηλεκτρονικής εξαπάτησης μπορούν να πραγματοποιηθούν και μέσω μηνυμάτων, κοινωνικών δικτύων ή τηλεφώνων (σταθερών κινητών), ο όρος ουσιαστικά περιγράφει τις επιθέσεις που πραγματοποιούνται μέσω ηλεκτρονικού ταχυδρομείου (ηλεκτρονικό μήνυμα). γ. Το ηλεκτρονικό ταχυδρομείο αποτελεί ιδανική μέθοδο για επιθέσεις ηλεκτρονικής εξαπάτησης, καθώς μπορεί να προσεγγίσει άμεσα τους χρήστες, βρισκόμενο καλυμμένο ανάμεσα στον τεράστιο αριθμό «καλοπροαίρετων» ηλεκτρονικών μηνυμάτων που λαμβάνουν καθημερινά. Οι περισσότερες επιθέσεις τέτοιου τύπου πραγματοποιούνται με τη μαζική απoστολή ηλεκτρονικών μηνυμάτων με ποικίλο θεματολόγιο (σημαντικά έγγραφα, προσφορές κλπ). Τα ηλεκτρονικά μηνύματα εξαπάτησης μπορεί να προσβάλουν όχι μόνο το χρήστη σε προσωπικό επίπεδο αλλά και οργανισμούς οποιουδήποτε μεγέθους. δ. Εκτός από την υποκλοπή ευαίσθητων πληροφοριών και δεδομένων, τέτοιου είδους επιθέσεις μπορούν να εγκαταστήσουν κακόβουλο λογισμικό (malware), όπως για παράδειγμα λυτρισμικό (ransomware), να υπονομεύσουν τα χρησιμοποιούμενα συστήματα ή να καταχραστούν χρήματα μέσω απάτης. Ένας χρήστης μπορεί να παγιδευτεί σε μια μαζική εκστρατεία εξαπάτησης (όπου ο επιτιθέμενος

- 6 - απλά προσπαθεί να συλλέξει μερικούς νέους κωδικούς πρόσβασης ή να αποκτήσει εύκολα κάποια μικρά οικονομικά οφέλη), ή θα μπορούσε (ο χρήστης) να αποτελεί το πρώτο βήμα σε μια στοχευμένη επίθεση εναντίον ενός οργανισμού, με στόχο κάτι πιο συγκεκριμένο, όπως την κλοπή ευαίσθητων δεδομένων. ε. Σε μια στοχευμένη εκστρατεία εξαπάτησης ο εισβολέας μπορεί να χρησιμοποιήσει πληροφορίες σχετικά με τους υπάλληλούς ή τον οργανισμό, ώστε να δημιουργήσει ακόμη πιο πειστικά και ρεαλιστικά μηνύματα. Τέτοιου είδους επίθεση είναι γνωστή ως στοχευμένη επίθεση εξαπάτησης (spear phishing attack) ή στοχευμένη ηλεκτρονική «αλίευση». 2. Αποτελεσματικότητα των Επιθέσεων Ηλεκτρονικής Εξαπάτησης (Phishing Attacks) α. Έχει διαπιστωθεί ότι οι επιθέσεις εξαπάτησης (phishing attacks) είναι ιδιαίτερα αποτελεσματικές. β. Οι τρόποι αντιμετώπισης που περιλαμβάνονται σε αυτόν τον οδηγό, απαιτούν συνδυασμό τεχνολογικών, διαδικαστικών και ανθρωποκεντρικών προσεγγίσεων, οι οποίες θα πρέπει να εφαρμόζονται παράλληλα ως μέρος μια ολιστικής προσέγγισης του θέματος, ώστε να είναι πραγματικά αποτελεσματικές. Για παράδειγμα, αν η στρατηγική ενός οργανισμού είναι η ενθάρρυνση της αναφοράς υπόπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου από τους χρήστες, τότε ο οργανισμός θα πρέπει να το υποστηρίξει με τεχνικά μέσα και μια διαδικασία η οποία θα παρέχει έγκαιρη ανατροφοδότηση. 3. Γνωστοί Μέθοδοι Ηλεκτρονικής Εξαπάτησης Οι συνηθέστερες μέθοδοι επιθέσεις Ηλεκτρονικής εξαπάτησης (Phishing) εκτελούνται: α. Μέσω της χρήσης ηλεκτρονικού ταχυδρομείου (ηλεκτρονικό μήνυμα), όπως στα παρακάτω παραδείγματα: (1) Αποστολή ηλεκτρονικής αλληλογραφίας η οποία να προσομοιάζει ότι έχει αποσταλεί από έγκυρη πηγή (Εικόνα 1).

- 7 - Εικόνα 1: Ηλεκτρονικό Μήνυμα από χρήστη φερόμενο ως Πιστωτικό Ίδρυμα (2) Χρήση αντιγράφων ή HTML ηλεκτρονικής αλληλογραφίας όπου έχει γίνει παραποίηση σε διαδικτυακές διευθύνσεις (URLs) και συνδέσμους (Links)(Εικόνα 2). Εικόνα 2: Παραποίηση Γνωστού Διαδικτυακού Ιστότοπου Αγορών

- 8 - (3) Χρήση κακόβουλου λογισμικού (ιών-viruses, σκουληκιών-worms) ως συνημμένου σε ηλεκτρονική αλληλογραφία (Εικόνα 3). Εικόνα 3: Ηλεκτρονικό Μήνυμα για Εγκατάσταση Κρυμμένου Κακόβουλου Λογισμικού (4) Χρήση εξατομικευμένης ή τροποποιημένης (απόκρυψη του αποστολέα με τη χρήση ενδιάμεσων διακομιστών - Open Mail Relays) ηλεκτρονικής αλληλογραφίας (Εικόνα 4). Εικόνα 4: Εξατομικευμένο Ηλεκτρονικό Μήνυμα β. Με τη χρήση παραποιημένων ή πλαστών διαδικτυακών τόπων (sites).

- 9 - (1) Εισαγωγή ψεύτικων -παραπλανητικών υπερσυνδέσμων (hyperlinks) σε δημοφιλείς διαδικτυακούς τόπους (sites) (Εικόνα 5). Εικόνα 5: Υπερσύνδεση (hyperlink) σε Γνωστό Ιστότοπο (2) Χρήση παραπλανητικών διαφημιστικών ηλεκτρονικών πινακίδων (banners, κλπ) σε διαδικτυακούς τόπους, με σκοπό να δελεάσουν τους επισκέπτες του να τις ακολουθήσουν (Εικόνα 6) Εικόνα 6: Αναδυόμενο διαφημιστικό παράθυρο (banner) σε ιστοσελίδα

- 10 - (3) Χρήση αναδυόμενων παραθύρων (pop-ups) με στόχο την απόκρυψη-μεταμφίεση της πραγματικής προέλευσης του μηνύματος ηλεκτρονικής Εξαπάτησης (Εικόνα 7) Εικόνα 7: Αναδυόμενο Παράθυρο (pop-up) (4) Χρήση κατάλληλου λογισμικού παρακολούθησης - ιχνηλάτησης επισκεψιμότητας, συμπεριφοράς χρήστη - καταναλωτή. (5) Ενσωμάτωση κακόβουλου λογισμικού εκμετάλλευσης τρωτότητας περιηγητή (browser) εντός ιστοσελίδας, με σκοπό την εγκατάσταση κακόβουλου λογισμικού διείσδυσης, παρακολούθησης (Key-loggers, Screen-grabbers, Back-doors, Spyware, κλπ).

- 11 - ΚΕΦΑΛΑΙΟ 2 ο Τρόποι Αντιμετώπισης 1. Τρόποι Αναγνώρισης - Αντιμετώπισης της Ηλεκτρονικής Εξαπάτησης Ένα μήνυμα ηλεκτρονικού ταχυδρομείου (ηλεκτρονικό μήνυμα) ή ένα μήνυμα με κάποιο άλλο μέσο (π.χ. sms) ενδέχεται να προσομοιάζει μήνυμα ενός αξιόπιστου οργανισμού (επίσημα λογότυπα ή άλλες αναφορές) προερχόμενο από κακόβουλους χρήστες (phishers). Παρακάτω παραθέτουμε μερικά παραδείγματα εντοπισμού ενός μηνύματος ηλεκτρονικής εξαπάτησης (phishing): α. Αίτημα για καταχώρηση προσωπικών-ευαίσθητων πληροφοριών όπως (Εικόνες 8 και 9): (1) Στοιχεία Πρόσβασης (Όνομα χρήστη, κωδικός πρόσβασης). (2) Προσωπικά στοιχεία (Ονοματεπώνυμο, Οικογενειακή κατάσταση, στοιχεία διαμονής, κλπ). (3) Οικονομικά στοιχεία (Τραπεζικοί Λογαριασμοί, αριθμοί πιστωτικών καρτών, κλπ) αποτελεί μια συχνή μέθοδο των αποστολέων μηνυμάτων ηλεκτρονικής εξαπάτησης (phishers), που συνήθως αποφεύγεται από αξιόπιστους οργανισμούς (τράπεζες, χρηματοπιστωτικά ιδρύματα, online υπηρεσίες, κλπ). Εικόνες 8 και 9: Αίτημα Καταχώρησης Προσωπικών Στοιχείων

- 12 - β. Μη Αναμενόμενη-Απροσδόκητη αλληλογραφία Η μη αναμενόμενη επικοινωνία από έναν οργανισμό (χρηματοπιστωτικά ιδρύματα, ασφαλιστικοί οργανισμοί, οργανισμοί κοινωνικής ωφελείας, πάροχοι υπηρεσιών, κλπ) είναι εξαιρετικά ασυνήθιστη και επομένως ύποπτη, ιδιαίτερα σε περίπτωση μη ύπαρξης αντίστοιχης επικοινωνίας κατά το παρελθόν. Επίσης, ύποπτη είναι και η αποστολή ηλεκτρονικού μηνύματος από ηλεκτρονική Διεύθυνση και πεδίο (domain) το οποίο δεν έχει λογική εξήγηση. Για παράδειγμα, κάποιος οργανισμός που βρίσκεται στη χώρα μας («οργανισμός.gr» δεν θα σας έστελνε κάποιο ηλεκτρονικό μήνυμα από κάποιο πεδίο (domain) το οποίο ανήκει σε άλλη χώρα (οργανισμός.de) (Εικόνα 10) Εικόνα 10: Παραποιημένο Domain που Οδηγεί σε Λήψη Κακόβουλου Λογισμικού γ. Γλωσσικά - Γραμματικά Λάθη Γλωσσικά ή γραμματικά λάθη (Συντακτικά, ορθογραφικά κλπ) αλλά και ασυνήθιστες φράσεις συχνά υποδεικνύουν ένα μήνυμα ηλεκτρονικής εξαπάτησης, χωρίς ωστόσο η απουσία οποιουδήποτε από αυτά να αποτελεί απόδειξη νομιμότητας και εγκυρότητας του μηνύματος (Εικόνα 11).

- 13 - Εικόνα 11: Γλωσσικά Συντακτικά λάθη σε ηλεκτρονικό μήνυμα δ. Ύποπτο Περιεχόμενο Το περιεχόμενο του μηνύματος είναι ύποπτο και γενικά ασυνήθιστο, όπως ενδεικτικά παρακάτω: (1) Μήνυμα το οποίο περιέχει γενικούς ή ανεπίσημους χαιρετισμούς ή στερείται εξατομίκευσης (π.χ. "Αγαπητέ πελάτη", "Χαίρεται"). Το ίδιο ισχύει και για την ψευδο - εξατομίκευση με τη χρήση τυχαίων ή ψευδών αναφορών (π.χ. Κώστα) (Εικόνα 12). Εικόνα 12: Ενδεικτικό Μήνυμα με Ύποπτο Περιεχόμενο

- 14 - (2) Μια εξαιρετικά ενδιαφέρουσα προσφορά ή αίτημα συνεργασίας. Εάν το μήνυμα φαίνεται πολύ καλό για να είναι αλήθεια, είναι σχεδόν βέβαιο ότι δεν είναι (Εικόνα 13). Εικόνα 13: Ενδεικτικό Μήνυμα Ύποπτης Προσφοράς (3) Μήνυμα επείγουσας ανάγκης, το οποίο απαιτεί από εσάς ταχείες ενέργειες (Εικόνα 14). Εικόνα 14: Ύποπτο Μήνυμα Επείγουσας Ανάγκης

- 15-2. Μέτρα Προστασίας σε Επίπεδο Απλού Χρήστη Η προστασία εναντίον των απειλών οι οποίες προκύπτουν από τις επιθέσεις ηλεκτρονικής εξαπάτησης, προϋποθέτει, κατανόηση του κινδύνου και των επιπλοκών οι οποίες μπορεί να προκύψουν αλλά και την εφαρμογή μιας σειράς αμυντικών μέτρων και διαδικασιών οι οποίες θα θωρακίσουν τον απλό χρήστη ενάντια σε τέτοιου είδους επιθέσεις. Ενδεικτικά αναφέρονται οι παρακάτω: α. Ενημέρωση για τις Ενδείξεις Ενημερωθείτε για τις μορφές-ενδείξεις με τις οποίες εμφανίζονται συχνά τα μηνύματα ηλεκτρονικής εξαπάτησης. β. Κατανόηση της Απειλής και των Κινδύνων Κατανοήστε τις νέες τεχνικές ηλεκτρονικής εξαπάτησης, παρακολουθώντας τα μέσα μαζικής ενημέρωσης για αναφορές επιθέσεων, καθώς οι επιτιθέμενοι ενδέχεται να ανακαλύψουν νέες τεχνικές για να παγιδεύσουν τους χρήστες. γ. Μην Αποδεσμεύετε με Ευκολία Προσωπικά - Ευαίσθητα Δεδομένα (1) Να είστε πάντοτε καχύποπτοι και σε επαγρύπνηση στην περίπτωση κατά την οποία ένα ηλεκτρονικό μήνυμα από μια φαινομενικά αξιόπιστη πηγή ζητά αξιοποιήσιμα προσωπικά στοιχεία, οικονομικού ή μη χαρακτήρα. Οι αξιόπιστες εταιρείες δε συνηθίζουν να ζητούν από τους πελάτες τους να ενημερώσουν ή να επαληθεύσουν τέτοια απόρρητα στοιχεία με ένα απλό ηλεκτρονικό μήνυμα. (2) Εάν είναι απαραίτητο, επαληθεύστε τα περιεχόμενα του μηνύματος με τον αποστολέα ή τον οργανισμό που φαινομενικά αντιπροσωπεύει, χρησιμοποιώντας στοιχεία επικοινωνίας τα οποία είναι γνωστά ως αυθεντικά αντί για λεπτομέρειες που δίνονται στο μήνυμα και πάντοτε χρησιμοποιώντας ασφαλή διαδικτυακή σύνδεση (http secure-https://) με το νόμιμο αποστολέα ή οργανισμό (ειδικά αν πρόκειται για συναλλαγή ευαίσθητων δεδομένων). δ. Μην ακολουθείτε (click) συνδέσμους (links) και μην πραγματοποιείτε λήψη (download) συνημμένων (attachments) με ευκολία. (1) Ελέγχουμε πάντα τη διεύθυνση του συνδέσμου και την ταυτότητα του αποστολέα (email), πριν τη διάδραση με αυτά.

- 16 - (2) Μια τέτοια πράξη μπορεί να οδηγήσει σε έναν κακόβουλο ιστότοπο ή να μολύνει τη συσκευή σας με κακόβουλο λογισμικό. Πολλά μηνύματα ηλεκτρονικής εξαπάτησης οδηγούν σε διαδικτυακές τοποθεσίες που εγκαθιστούν στον υπολογιστή σας spywares, τα οποία συνεχίζουν να καταγράφουν κάθε πληροφορία που εισάγετε - πιθανότατα και αριθμούς λογαριασμών και πιστωτικών καρτών και κωδικούς πρόσβασης- για πολύ καιρό μετά την αποχώρηση σας από το συγκεκριμένο διαδικτυακό τόπο, ενώ μπορεί να περιέχει ακόμη και κάποιον ιό. ε. Περιοδικός Έλεγχος των Διαδικτυακών Λογαριασμών. Να ελέγχετε τακτικά τους διαδικτυακούς σας λογαριασμούς (τραπεζικούς και άλλους λογαριασμούς) για ύποπτη δραστηριότητα, εξετάζοντας προσεκτικά τόσο τη συνολική κίνησή τους, όσο και κάθε συναλλαγή-ενέργεια ξεχωριστά, ώστε να είστε βέβαιοι ότι όλες οι συναλλαγές-ενέργειες είχαν την έγκριση σας. Σε περίπτωση αδυναμίας σύνδεσης λόγω λανθασμένων διαπιστευτηρίων, πάντα κάνουμε επαναφορά κωδικών. στ. Χρησιμοποιείστε Λογισμικό Ασφάλειας-Προστασίας, όπως παρακάτω: (1) Λογισμικό προστασίας από ιούς (antivirus) Αν και τα λογισμικά προστασίας από ιούς δεν σας αποτρέπουν από το να ανοίξετε ένα πλαστό ηλεκτρονικό μήνυμα, μπορούν εντούτοις να σας προστατεύσουν από ιούς ή λογισμικά υποκλοπής (spyware) που θα προέλθουν από τέτοιες ενέργειες. Η εγκατάσταση και η διαχείριση τέτοιου είδους λογισμικού δεν απαιτεί ιδιαίτερες γνώσεις καθώς στο μεγαλύτερο μέρος της λειτουργίας του είναι αυτοματοποιημένο. (2) Λογισμικό ασφαλείας-προστασίας αποτροπής ανίχνευσης διείσδυσης: (α) Προσωπικό τοίχος προστασίας (firewall). (β) Σύστημα αναγνώρισης διείσδυσης (Intrusion Detection System). Το παραπάνω λογισμικό είναι ικανό να εντοπίσει και να παρεμποδίσει πιθανή διείσδυση η οποία θα προκληθεί από μια

- 17 - επίθεση ηλεκτρονικής εξαπάτησης. Η εγκατάσταση και η διαχείριση τέτοιου είδους λογισμικού απαιτεί ιδιαίτερες γνώσεις και καλό θα είναι να απευθυνθείτε σε κάποιο ειδικό. (3) Λογισμικό προστασίας για τη διαδικτυακή δραστηριότητα: (α) Λογισμικό προστασίας από την απρόσκλητη εμπορική επικοινωνία (antispam software). (β) Λογισμικό προστασίας από κακόβουλα λογισμικά (anti malware, anti spyware software, κλπ). Το παραπάνω λογισμικό είναι ικανό να εντοπίσει και να παρεμποδίσει και έτερα κακόβουλα λογισμικά. Η εγκατάσταση και η διαχείριση τέτοιου είδους λογισμικού δεν απαιτεί ιδιαίτερες γνώσεις καθώς στο μεγαλύτερο μέρος της λειτουργίας του είναι αυτοματοποιημένο. σας: ζ. Ενημέρωση του προγράμματος περιήγησης (browser) (1) Κρατείστε ενημερωμένο (updated) το πρόγραμμα διαδικτυακής περιήγησης σας (Browser). (2) Χρησιμοποιείστε πρόσθετα (addons) του για τη βελτιστοποίηση της προστασία ενάντια στις επιθέσεις ηλεκτρονικής εξαπάτησης (AntiPhishing Toolbar, κλπ). (3) Απενεργοποιείστε τις παρακάτω παραμέτρους του λογισμικού προγράμματος φυλλομέτρησης (browser) ιστοσελίδων (Firefox-Chrome-Internet Explorer-Opera,κλπ): (α) Λειτουργία window popup. (β) Υποστήριξη Java runtime. (γ) Υποστήριξη ActiveX λειτουργίας. (δ) Αυτοματοποιημένη εκτέλεση πολυμεσικών εφαρμογών (multimedia auto-play και auto-execute extensions). cookies. (ε) Αποθήκευση μη ασφαλών (non-secure)

- 18 - η. Χρησιμοποίηση ψηφιακής υπογραφής (digital signature) και πιστοποίηση ηλεκτρονικής αλληλογραφίας. Η διαχείριση τέτοιου είδους τεχνολογίας απαιτεί ιδιαίτερες γνώσεις και καλό θα είναι να απευθυνθείτε σε κάποιο ειδικό. 3. Επίλογος α. Σήμερα, οι επιθέσεις ηλεκτρονικής εξαπάτησης (phishing attacks) συγκαταλέγονται στις αποδοτικότερες μεθόδους απόσπασης προσωπικών δεδομένων και μόλυνσης πληροφοριακών συστημάτων και Η/Υ χρηστών, διότι ουσιαστικά στοχεύουν στο ψυχολογικό προφίλ του χρήστη και όχι στις τεχνολογικές του γνώσεις. β. Μοναδική άμυνα, απέναντι σε τέτοιου είδους επιθέσεις, εκτός από τη χρήση λογισμικού προστασίας και την ορθή ρύθμιση των πληροφοριακών συστημάτων, είναι η γνώση του χρήστη για τον τρόπο εκδήλωσης και τις τεχνικές των επιθέσεων, ώστε να είναι ικανός να τις αναγνωρίσει πριν αυτές επηρεάσουν το σύστημα του. γ. Ο χρήστης σε κάθε περίπτωση είναι αυτός που πρέπει (πριν την κοινοποίηση κωδικών ή άλλων στοιχείων του), να επιβεβαιώσει ότι ο ιστότοπος που θα τα διακινήσει είναι νόμιμος.

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια