Phishing

.H πρώτη περιγραφή της τεχνικής Phishing έγινε το 1987 σε μία παρουσίαση στο διεθνές συνέδριο χρηστών της Hewlett-Packard, από την Interex. Στην πράξη όμως, οι πρώτες καταγεγραμμένες ενέργειες Phishing ήρθαν πολύ αργότερα, για να πλήξουν την τότε μεγαλύτερη διαδικτυακή υπηρεσία επικοινωνίας AOL, το 1995, που την περίοδο εκείνη εξυπηρετούσε…

H πρώτη περιγραφή της τεχνικής Phishing έγινε το 1987 σε μία παρουσίαση στο διεθνές συνέδριο χρηστών της Hewlett-Packard, από την Interex. Στην πράξη όμως, οι πρώτες καταγεγραμμένες ενέργειες Phishing ήρθαν πολύ αργότερα, για να πλήξουν την τότε μεγαλύτερη διαδικτυακή υπηρεσία επικοινωνίας AOL, το 1995, που την περίοδο εκείνη εξυπηρετούσε 3.5 εκατομμύρια λογαριασμούς. Οι phishers, δημιουργώντας ψεύτικους λογαριασμούς, επικοινωνούσαν με τους χρήστες της υπηρεσίας υποδυόμενοι υπαλλήλους της ίδιας της εταιρίας, ζητώντας απροκάλυπτα από τους χρήστες τους προσωπικούς τους κωδικούς και τους αριθμούς τραπεζικών λογαριασμών, συνήθως με την πρόφαση πως υπάρχει κάποιο πρόβλημα με τον λογαριασμό τους. Αυτή στην πραγματικότητα είναι και η φύση της εν λόγω ηλεκτρονικής απάτης.

Ας πάρουμε τα πράγματα από την αρχή όμως. Το phishing ή όπως το αποδίδουμε εμείς, το ηλεκτρονικό ψάρεμα, είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο ‘θύτης’ υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-‘θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Ο hacker στέλνει ένα e-mail ή άμεσο μήνυμα στο “θύμα”, στο οποίο συστήνεται ως αξιόπιστο πρόσωπο που ανήκει σε κάποια εταιρία ή οργανισμό, πολλές φορές και την ίδια την υπηρεσία του e-mail, και ζητά από το θύμα κάποια προσωπικά στοιχεία. Βασικό εργαλείο του phishing είναι οι παραπλανητικοί σύνδεσμοι (link manipulation). Ο χρήστης βρίσκεται σε μία ιστοσελίδα, e-mail ή άμεσο μήνυμα, που τον παραπέμπουν σε έναν σύνδεσμο επιφανειακά αξιόπιστο, αλλά είναι φτιαγμένος έτσι, ώστε να τον οδηγεί σε διαφορετική ιστοσελίδα από αυτή που προβλέπεται. Αυτό είναι κάτι πολύ κρίσιμο, αλλά ταυτόχρονα και πολύ εύκολο στη δημιουργία του, αφού σε έναν απλό html κώδικα δίνεται η δυνατότητα να μετατρέψει κανείς τον τίτλο του συνδέσμου όπως θέλει. Κάπως έτσι λειτουργούν και οι ψεύτικες ιστοσελίδες (fake websites), που μέσω παραπλανητικών συνδέσμων, οδηγούν τους χρήστες σε σελίδες οπτικά πανομοιότυπες με τις αυθεντικές ιστοσελίδες, ανήκουν όμως στον server του hacker. Γιατί όμως το φαινόμενο αυτό έχει λάβει τεράστιες διαστάσεις;

Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες. Την έλλειψη γνώσεων του θύματος, την έλλειψη προ- σοχής του θύματος και την οπτική εξαπάτηση. Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing.

Ένας από τους κρισιμότερους παράγοντες των επιτυχημένων επιθέσεων phishing είναι η οπτική εξαπάτηση. Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία του, κάτι που επιτυγχάνεται με ένα παραπλανητικό κείμενο και εικόνες, οι οποίες συνήθως είναι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo μίας τράπεζας. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με τον ίδιο ακριβώς σχεδιασμό που έχει η αυθεντική. Το μήνυμα συνήθως εμπεριέχει κάποια απειλή ή κάποιο πρόβλημα το οποίο ο χρήστης καλείται να αντιμετωπίσει όπως: ο λογαριασμός σας θα κλειδωθεί», ή «μόλις έγινε μία συναλλαγή ενός «Χ» ποσού από τον λογαριασμό σας, για να την ακυρώσετε πατήστε εδώ» και πολλά ακόμα… Αν ο χρήστης κάνει το λάθος και πατήσει πάνω στον σύνδεσμο και εισάγει τα προσωπικά του στοιχεία, τότε ο hacker θα μπορέσει να αποσπάσει τους προσωπικούς κωδικούς του και πιθανότατα όποιο ποσό υπάρχει μέσα στον τραπεζικό λογαριασμό.

Το φαινόμενο στη χώρα μας και οι δράσεις για την αντιμετώπισή του

Τα περιστατικά του ηλεκτρονικού ψαρέματος έχουν αυξηθεί και στη χώρα μας το τελευταίο διάστημα και δυστυχώς χιλιάδες ανυποψίαστοι πολίτες έχουν χάσει σημαντικά ποσά από το λογαριασμό τους. Η ομάδα εργασίας του Υπουργείου Προστασίας του Πολίτη συνεδρίασε την Πέμπτη 3/2/2022 για την αντιμετώπιση του φαι- νομένου της ηλεκτρονικής απάτης με τη μέθοδο “ηλεκτρονικού ψαρέματος. Ειδικότερα, όπως αναφέρει το Δελτίο Τύπου του υπουργείου, η τρίτη σύσκεψη της Ομάδας Εργασίας για την αντι- μετώπιση του φαινομένου της ηλεκτρονικής απάτης με τη μέθοδο “ηλεκτρονικού ψαρέματος – phishing” πραγματοποιήθηκε στο Υπουργείο Προστασίας του Πολίτη, υπό τον συντονισμό του Υφυπουργού, κ. Ελευθέριου Οικονόμου. Στη σύσκεψη συμμετείχαν επίσης, ο Γενικός Γραμματέας Δημόσιας Τάξης του Υπουργείου Προστασίας του Πολίτη, κ. Τσουβάλας Κωνσταντίνος, ο κ. Πάσχας Γεώργιος, Γενικός Διευθυντής της Τράπεζας της Ελλάδος, ο Ταξίαρχος κ. Σταγάκης Μαρίνος, Διευθυντής Δημόσιας Ασφάλειας του Αρχηγείου της Ελληνικής Αστυνομίας, ο Αστυνομικός Διευ- θυντής κ. Παπακώστας Βασίλειος, Διευθυντής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος του Αρχηγείου της Ελληνικής Αστυνομίας, ο Αντιεισαγγελέας Αρείου Πάγου κος Βουρλιώτης Χαράλαμπος, Πρόεδρος της Αρχής Καταπολέμησης Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες, ο κ. Ιωάννου Σταύρος, Πρόεδρος Εκτελεστικής Επιτροπής Ελληνικής Ένωσης Τραπεζών, η κ. Απαλαγάκη Χαρίκλεια, Γενική Γραμματέας της Ελληνικής Ένωσης Τραπεζών και ο κ. Γραμματικός Ιωάννης, Γενικός Διευθυντής Λιανικής Τραπεζικής Τραπέζης Πειραιώς.

Η ημερήσια διάταξη αφορούσε στην αξιολόγηση των μέτρων που ελήφθησαν κατά το πρόσφατο χρονικό διάστημα για την ευαισθητοποίηση του συναλλακτικού κοινού αναφορικά με τις ηλεκτρονικές απάτες εν γένει, και ειδικότερα με τις απάτες τύπου phishing, αλλά και στο σχεδιασμό και στο χρονοδιάγραμμα υλοποίησης των επόμενων δράσεων της Ομάδας Εργασίας. Όσον αφορά το πρώτο, αξιολογήθηκε ως επιτυχής η πρώτη κοινή διαφημιστική καμπάνια, για την προληπτική ενημέρωση του καταναλωτικού κοινού, με μήνυμα “Μια Παύση Αρκεί για να Αποφύγουμε την Ηλεκτρονική Απάτη”. Το μήνυμα επικοινωνήθηκε σε αυξημένη κάλυψη και συχνότητα, με αποτέλεσμα την επιβρά- δυνση του ρυθμού αύξησης των συμβάντων και την ενίσχυση – ενθάρρυνση της επικοινωνίας των πελατών, που έλαβαν ύποπτα μηνύματα, με τις τράπεζες τους για περαιτέρω διευκρινίσεις. Παράλληλα, αξιολογήθηκε θετικά η 24ωρη δυνατότητα που παρέχουν τα CallCenters των Τραπεζών στους πελάτες τους, οι οποίοι καταγγέλλουν περιστατικά ηλεκτρονικής απάτης και εξυπηρετούνται με προτεραιότητα.

Όσον αφορά τα επόμενα βήματα, αποφασίστηκε:

Η συνέχιση ενημέρωσης του κοινού τους επομένους μήνες, με ακόμη πιο εμφατικό τρόπο, με νέο τηλεοπτικό και ραδιοφωνικό ενημερωτικό υλικό, καθώς η ανάγκη διαρκούς ενημέρωσης κρίνεται επιτακτική, καθώς και η θέσπιση σειράς θεσμικών – νομοθετικών μέτρων, ώστε οι τράπεζες να έχουν τον αναγκαίο χρόνο απόκρισης, αλλά και τα πρόσφορα μέσα, προκειμένου να παρέχουν ουσιαστική αρωγή σε πελάτες – θύματα απάτης. Επίσης αποφασίστηκε και η εντατικοποίηση της συνεργασίας Χρηματοπιστωτικών Ιδρυμάτων και Αρχών Επιβολής του Νόμου στον τομέα της καταστολής, με αφορμή τις πρόσφατες επιτυχίες της Ελληνικής Αστυνομίας στην εξάρθρωση διεθνών εγκληματικών οργανώσεων στον τομέα των απατών σε συνέργεια με Ευρωπαϊκές Αστυνομικές και Δικαστικές Αρχές.

{gallery}11426{/gallery}