E-mail Phishing

Σκεφτείτε πριν κάνετε κλικ

Σχεδόν πέντε δισεκατομμύρια άνθρωποι χρησιμοποιούν καθημερινά το ηλεκτρονικό ταχυδρομείο για τη διαχείριση των καθημερινών τους υποθέσεων, επειδή είναι ένα αποτελεσματικό και βολικό μέσο επικοινωνίας. Ενώ το ηλεκτρονικό ταχυδρομείο είναι ένα πολύτιμο εργαλείο επικοινωνίας, ενέχει επίσης μια σειρά από απειλές και κινδύνους. Οι εγκληματίες χρησιμοποιούν το ηλεκτρονικό ταχυδρομείο για διάφορες επιθέσεις phishing για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως αριθμούς πιστωτικών καρτών ή στοιχεία προσωπικής ταυτότητας, ή για να παρακινήσουν τα θύματα να εκτελέσουν μια ενέργεια που θέτει σε κίνδυνο την ασφάλειά τους.

Κατανόηση των email phishing

Ο ορισμός του phishing email είναι ένα email που αποστέλλεται σε έναν παραλήπτη με σκοπό να τον κάνει να εκτελέσει μια συγκεκριμένη εργασία. Ο επιτιθέμενος μπορεί να χρησιμοποιήσει τεχνικές κοινωνικής μηχανικής για να κάνει το μήνυμα ηλεκτρονικού ταχυδρομείου να φαίνεται γνήσιο και μπορεί να περιλαμβάνει αίτημα για κλικ σε σύνδεσμο, άνοιγμα συνημμένου αρχείου ή παροχή άλλων ευαίσθητων πληροφοριών, όπως στοιχεία σύνδεσης.

Τα ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” που έχουν σχεδιαστεί με κοινωνικό τρόπο είναι επικίνδυνα. Είναι δομημένα ώστε να είναι σχετικά και συχνά φαίνονται γνήσια στους στόχους τους. Ο παραλήπτης εμπιστεύεται περισσότερο το μήνυμα ηλεκτρονικού ταχυδρομείου και εκτελεί την εργασία που ζητείται στο μήνυμα ηλεκτρονικού ταχυδρομείου. Τα αποτελέσματα μπορεί να είναι καταστροφικά. Εάν ο παραλήπτης κάνει κλικ σε έναν σύνδεσμο προς έναν μολυσμένο από κακόβουλο λογισμικό ιστότοπο, ανοίξει ένα συνημμένο με κακόβουλο ωφέλιμο φορτίο ή αποκαλύψει τα στοιχεία σύνδεσής του, ένας εισβολέας μπορεί να αποκτήσει απαρατήρητη πρόσβαση στο δίκτυο. Είναι πραγματικά αρκετά τρομακτικό το πόσα μπορείτε να μάθετε για ένα άτομο στο διαδίκτυο χωρίς να χρειάζεται να παραβιάσετε βάσεις δεδομένων ή να εξαπατήσετε κάποιον ώστε να αποκαλύψει εμπιστευτικές πληροφορίες.

Ο ρόλος των μέσων κοινωνικής δικτύωσης στο phishing

Οι εγκληματίες μπορούν να συλλέγουν γρήγορα προσωπικές πληροφορίες από ιστότοπους κοινωνικής δικτύωσης, επαγγελματικά προφίλ και άλλες διαδικτυακές δημοσιεύσεις για να εντοπίζουν πιθανά ερεθίσματα στα οποία οι άνθρωποι ανταποκρίνονται. Δεν θα ήταν πολύ δύσκολο να βρουν πληροφορίες σχετικά με τα παιδιά ενός υπαλλήλου, το σχολείο τους και μια εκδήλωση στο σχολείο για να στείλουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου στους γονείς ζητώντας τους να κάνουν κλικ σε έναν σύνδεσμο ή να ανοίξουν ένα συνημμένο αρχείο ώστε το παιδί τους να παρακολουθήσει την εκδήλωση. Η μηχανική μάθηση και η τεχνητή νοημοσύνη θα επιτρέψουν στους απατεώνες να συλλέγουν αυτές τις πληροφορίες πολύ πιο γρήγορα στο μέλλον.

Πώς να αναγνωρίζετε τα μηνύματα ηλεκτρονικού ταχυδρομείου phishing

Σύμφωνα με στατιστικά στοιχεία του Πανεπιστημίου της Βρετανικής Κολομβίας, κάθε μέρα αποστέλλονται περίπου 150 εκατομμύρια μηνύματα ηλεκτρονικού “ψαρέματος” και περίπου 80.000 άνθρωποι πέφτουν θύμα απάτης κάθε μέρα. Αυτό μπορεί να οδηγήσει, για παράδειγμα, σε κλεμμένες ταυτότητες, οικονομικές απώλειες και απάτες με πιστωτικές κάρτες. Πώς μπορούμε λοιπόν να αναγνωρίσουμε τα μηνύματα ηλεκτρονικού ψαρέματος και να αποφύγουμε να πέσουμε στην παγίδα τους;

Τα μηνύματα ηλεκτρονικού ταχυδρομείου που απειλούν με αρνητικές συνέπειες ή χαμένες ευκαιρίες εάν δεν αναληφθεί επείγουσα δράση είναι συνήθως μηνύματα ηλεκτρονικού ψαρέματος. Οι επιτιθέμενοι χρησιμοποιούν συχνά αυτή την προσέγγιση για να βιάσουν τους παραλήπτες να αναλάβουν δράση πριν προλάβουν να εξετάσουν το μήνυμα ηλεκτρονικού ταχυδρομείου για πιθανά λάθη ή ασυνέπειες. Ένας άλλος τρόπος για να εντοπίσετε τα μηνύματα ηλεκτρονικού ταχυδρομείου phishing είναι μέσω της κακής γραμματικής και των ορθογραφικών λαθών. Πολλές εταιρείες χρησιμοποιούν εργαλεία ορθογραφικού ελέγχου από προεπιλογή στα εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου για να διασφαλίσουν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι γραμματικά σωστά. Όσοι χρησιμοποιούν προγράμματα ηλεκτρονικού ταχυδρομείου που βασίζονται σε προγράμματα περιήγησης χρησιμοποιούν λειτουργίες αυτόματης διόρθωσης ή επισήμανσης στα προγράμματα περιήγησής τους.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου μεταξύ συναδέλφων περιέχουν συνήθως έναν ανεπίσημο χαιρετισμό. Εκείνα που αρχίζουν με “Αγαπητέ” ή περιέχουν φράσεις που δεν χρησιμοποιούνται συνήθως σε ανεπίσημες συζητήσεις, προέρχονται από πηγές που δεν είναι εξοικειωμένες με το στυλ αλληλεπίδρασης στο γραφείο της εταιρείας σας, θα πρέπει να εγείρουν υποψίες. Ένας άλλος τρόπος για να εντοπίσετε το phishing είναι να αναζητήσετε ασυνέπειες στις διευθύνσεις ηλεκτρονικού ταχυδρομείου, στους συνδέσμους και στα ονόματα τομέων. Μήπως το μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από έναν οργανισμό με τον οποίο ανταλλάσσετε συχνά αλληλογραφία; Αν ναι, ελέγξτε τη διεύθυνση του αποστολέα και συγκρίνετε την με προηγούμενα μηνύματα ηλεκτρονικού ταχυδρομείου από τον ίδιο οργανισμό. Ελέγξτε αν ο σύνδεσμος είναι νόμιμος, περνώντας το ποντίκι σας πάνω από τον σύνδεσμο και βλέποντας τι εμφανίζει. Εάν το μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίζεται ότι προέρχεται από την Google, για παράδειγμα, αλλά το όνομα τομέα είναι κάτι άλλο, το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να είναι μια επίθεση ηλεκτρονικού “ψαρέματος”.

Ύποπτα συνημμένα αρχεία και αιτήματα, πολύ καλά για να είναι αληθινά

Η μεγαλύτερη ανταλλαγή αρχείων που σχετίζονται με την εργασία γίνεται σήμερα μέσω γνωστών και ευρέως χρησιμοποιούμενων εργαλείων συνεργασίας. Ως εκ τούτου, τα εσωτερικά μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία θα πρέπει πάντα να αντιμετωπίζονται με καχυποψία – ειδικά αν περιέχουν άγνωστη επέκταση αρχείου ή μια επέκταση που συνήθως συνδέεται με κακόβουλο λογισμικό (.zip, .exe, .scr κ.λπ.). Τα μηνύματα ηλεκτρονικού ταχυδρομείου από απροσδόκητο ή άγνωστο αποστολέα που ζητούν στοιχεία σύνδεσης, στοιχεία πληρωμής ή άλλες ευαίσθητες πληροφορίες θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι spear phishers μπορούν να παραποιήσουν σελίδες σύνδεσης για να μοιάζουν με τις πραγματικές και να στείλουν ένα email που περιέχει έναν σύνδεσμο που κατευθύνει τον παραλήπτη στην παραποιημένη σελίδα. Όταν ο παραλήπτης ανακατευθύνεται στη σελίδα σύνδεσης ή του λέγεται ότι απαιτείται πληρωμή, δεν θα πρέπει να εισάγει καμία πληροφορία εκτός αν είναι 100% σίγουρος ότι το μήνυμα ηλεκτρονικού ταχυδρομείου είναι νόμιμο.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου που ενθαρρύνουν τον παραλήπτη να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα συνημμένο αρχείο, ισχυριζόμενα ότι θα λάβει κάποιου είδους ανταμοιβή, είναι πολύ καλά για να είναι αληθινά.