SECURITY REPORT T.125

90 | SECURITY REPORT Απρίλιος 2022 Phishing Επιμέλεια Αποστολόπουλος Παναγιώτης IT SECURITY Α ς πάρουμε τα πράγματα από την αρχή όμως. Το phishing ή όπως το αποδίδουμε εμείς, το ηλεκτρονικό ψάρεμα, είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο 'θύτης' υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρή- στη-'θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δε- δομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Ο hacker στέλνει ένα e-mail ή άμεσο μήνυμα στο “θύμα”, στο οποίο συστήνεται ως αξιόπιστο πρόσωπο που ανήκει σε κάποια εταιρία ή οργανισμό, πολλές φορές και την ίδια την υπηρεσία του e-mail, και ζητά από το θύμα κάποια προσωπικά στοιχεία. Βασικό εργαλείο του phishing είναι οι παραπλανητικοί σύνδεσμοι (linkmanipulation). Ο χρήστης βρίσκεται σε μία ιστοσελίδα, e-mail ή άμεσο μήνυμα, που τον παραπέμπουν σε έναν σύνδεσμο επιφανειακά αξιόπιστο, αλλά είναι φτιαγμένος έτσι, ώστε να τον οδηγεί σε διαφορετική ιστοσελίδα από αυτή που προβλέπεται. Αυτό είναι κάτι πολύ κρίσιμο, αλλά ταυτόχρονα και πολύ εύκολο στη δημιουργία του, αφού σε έναν απλό html κώδικα δίνεται η δυνατότητα να μετατρέψει κανείς τον τίτλο του συνδέσμου όπως θέλει. Κάπως έτσι λειτουργούν και οι ψεύτικες ιστοσελίδες (fake websites), που μέσω παραπλανητικών συνδέσμων, οδηγούν τους χρήστες σε σελίδες οπτικά πανομοιότυπες με τις αυθεντικές ιστοσελίδες, ανήκουν όμως στον server του hacker. Γιατί όμως το φαινόμενο αυτό έχει λάβει τεράστιες διαστάσεις; Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες. Την έλλειψη γνώσεων του θύματος, την έλλειψη προ- σοχής του θύματος και την οπτική εξαπάτηση. Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου χωρίς να γνωρίζει την διαδικασία με την οποία αυτό λειτουργεί. Έτσι δεν μπορεί να αναγνωρίσει τα ίχνη του phishing, όπως είναι παραλλαγμένη διεύθυνση e-mail, ή το διαφορετικό URL. Ταυτόχρονα, λόγω της άγνοιας του κινδύνου, αμελεί τη χρήση προγραμμάτων anti-phishing. Ένας από τους κρισιμότερους παράγοντες των επιτυχημένων επι- θέσεων phishing είναι η οπτική εξαπάτηση. Στόχος του hacker είναι να πείσει το θύμα για την αυθεντικότητα και την αξιοπιστία του, κάτι που επιτυγχάνεται με ένα παραπλανητικό κείμενο και ει- κόνες, οι οποίες συνήθως είναι ίδιες οπτικά με τις εικόνες που χρησιμοποιεί κάποια ιστοσελίδα, για παράδειγμα το logo μίας τράπεζας. Με τη βοήθεια του παραπλανητικού κειμένου και εικόνων, αλλά και την επεξεργασία του κώδικα της αυθεντικής ιστοσελίδας, ο hacker μπορεί να φτιάξει μία ολόκληρη ιστοσελίδα με τον ίδιο ακριβώς σχεδιασμό που έχει η αυθεντική. Το μήνυμα συνήθως εμπεριέχει κάποια απειλή ή κάποιο πρόβλημα το οποίο ο χρήστης καλείται να αντιμετωπίσει όπως: ο λογαριασμός σας θα κλειδωθεί», ή «μόλις έγινε μία συναλλαγή ενός «Χ» ποσού από τον λογαριασμό σας, για να την ακυρώσετε πατήστε εδώ» και πολλά ακόμα… Αν ο χρήστης κάνει το λάθος και πατήσει πάνω στον σύνδεσμο και εισάγει τα προσωπικά του στοιχεία, τότε ο hacker Phishing H πρώτη περιγραφή της τεχνικής Phishing έγινε το 1987 σε μία παρουσίαση στο διεθνές συνέδριο χρηστών της Hewlett-Packard, από την Interex. Στην πράξη όμως, οι πρώτες καταγεγραμμένες ενέργειες Phishing ήρθαν πολύ αργότερα, για να πλήξουν την τότε μεγαλύτερη διαδικτυακή υπηρεσία επικοινωνίας AOL, το 1995, που την περίοδο εκείνη εξυπηρετούσε 3.5 εκατομμύρια λογαριασμούς. Οι phishers, δημιουργώντας ψεύτικους λογαριασμούς, επικοινωνούσαν με τους χρήστες της υπηρεσίας υποδυόμενοι υπαλλήλους της ίδιας της εταιρίας, ζητώντας απροκάλυπτα από τους χρήστες τους προσωπικούς τους κωδικούς και τους αριθμούς τραπεζικών λογαριασμών, συνήθως με την πρόφαση πως υπάρχει κάποιο πρόβλημα με τον λο- γαριασμό τους. Αυτή στην πραγματικότητα είναι και η φύση της εν λόγω ηλεκτρονικής απάτης. Τα επόμενα βήματα για την αντιμετώπιση του «ηλεκτρονικού ψαρέματος» στη χώρα μας