Είναι γεγονός ότι οι κακόβουλες επιθέσεις αυξήθηκαν λόγω του covid-19. Επίσης είναι γεγονός , ότι δεν έχουν όλες οι εταιρίες τη δυνατότητα να εξοπλίσουν τους εργαζομένους που δουλεύουν απομακρυσμένα με εταιρικούς φορητούς υπολογιστές ή να εφαρμόσουν BYOD πολιτικές, μειώνοντας έτσι το επίπεδο ασφάλειας των εταιρικών δεδομένων που διακινούνται μέσω ηλεκτρονικής αλληλογραφίας.
Κωνσταντίνος Καρβέλας
Managing & Technical Director
Mline IT Consulting & Services – www.mline.gr
Post COVID-19
Πολλοί οργανισμοί και εταιρίες βιώνουν πρόσφατα αλλαγές στις συνθήκες εργασίας τους λόγω της πανδημίας COVID-19. Αυτή η αλλαγή ενίσχυσε την τηλεργασία για αρκετούς εργαζόμενους. Η τηλεργασία εκτός των άλλων ενισχύει την ανάγκη χρήσης ηλεκτρονικού ταχυδρομείου για λόγους επικοινωνίας, από χώρους που δεν προστατεύονται από τα σύνηθη μέσα που έχει ένα εταιρικό δίκτυο.Αυτό έχει σαν αποτέλεσμα να δημιουργούνται έτσι τέλειες συνθήκες για επιθέσεις μέσω email. Οι Cyber Criminals εκμεταλλεύονται την πανδημία προκειμένου να εξαπατήσουν τους χρήστες έτσι ώστε να υποκλέψουν προσωπικά ή εταιρικά δεδομένα. Τα email αυτά περιλαμβάνουν Urls, attachments, malwares κλπ.. Επίσης μπορούν ακόμη να αντιγράψουν κυβερνητικούς συνδέσμους και τον σχεδιασμό ιστοσελίδας ενός κυβερνητικού οργανισμού, κυρίως φορείς υγείας, προκειμένου να φαίνονται ως αξιόπιστες πηγές. Τα μηνύματα ηλεκτρονικού ταχυδρομείου φαίνονται αυθεντικά και μπορεί να περιλαμβάνουν λογότυπα ή επωνυμία των συγκεκριμένων οργανισμών.
Fact σχετικά με COVID-19 & PHISHING : Οι επιθέσεις ηλεκτρονικού “ψαρέματος” έχουν αυξηθεί πάνω από 600%* από τα τέλη Φεβρουαρίου 2020 λόγω πανδημίας Coronavirus.(*περιοδικό infosecurity)
Πώς λειτουργούν οι απατεώνες
Κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που ενδέχεται να σας ζητήσουν να ανοίξετε ένα συνημμένο που υποτίθεται ότι περιέχει σχετικές πληροφορίες σχετικά με τον Covid-19 είναι πιθανό να κατεβάσουν κακόβουλο λογισμικό στη συσκευή σας μόλις κάνετε κλικ σε συνημμένο ή ενσωματωμένο σύνδεσμο. Αυτό το λογισμικό θα μπορούσε να επιτρέψει στους κυβερνοεγκληματίες να πάρουν τον έλεγχο του υπολογιστή σας, να καταγράψουν τα πλήκτρα σας ή να αποκτήσουν πρόσβαση στα προσωπικά σας στοιχεία, τα οικονομικά σας δεδομένα, εταιρικά δεδομένα και διαβαθμισμένα emais, τα οποία θα μπορούσαν να οδηγήσουν σε κλοπή ταυτότητας, αλλοίωση φήμης του οργανισμού ή ακόμα και σε περαιτέρω επιθέσεις.
Πώς να αναγνωρίσετε το ηλεκτρονικό ψάρεμα
Τα email που αποστέλλονται συνήθως:
- Μοιάζουν με μηνύματα από αξιόπιστο οργανισμό (όπως ιατρικό τραπεζικό η ακόμη κυβερνητικό ίδρυμα),
- Ακούγεται επείγον ή σας προτρέπει να εξαπλώσετε το φόβο ή κάποια επείγουσα πληροφορία, έτσι ώστε να το προωθήσετε σε προσωπικές ή εταιρικές λίστες emails
- Ισχυρίζεται ότι επισυνάπτει σημαντικές πληροφορίες ή έκτακτες ειδήσεις
- Σας ζητάει να κατεβάσετε ή/και να κάνετε κλικ σε συνημμένα και συνδέσμους.
- Σας ζητάει να επιβεβαιώσετε προσωπικά στοιχεία όπως κωδικούς πρόσβασης, password.
Πώς να προστατευτείτε από επιθέσεις ηλεκτρονικού ψαρέματος
Υπάρχουν απλά βήματα που μπορείτε να κάνετε για να αποφύγετε το δόλωμα:
- Αφιερώστε χρόνο για να σκεφτείτε ένα αίτημα για τα προσωπικά σας στοιχεία και εάν το αίτημα είναι κατάλληλο . Μην ανοίγετε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που δεν τα γνωρίζετε ή μην κάνετε κλικ σε ύποπτα συνημμένα, τα οποία δεν περιμένατε.
- Μην παρέχετε ποτέ προσωπικά ή οικονομικά στοιχεία και κωδικούς πρόσβασης σε κανέναν μέσω email.
- Αποφύγετε μηνύματα ηλεκτρονικού ταχυδρομείου που επιμένουν ότι πρέπει να ενεργήσετε αμεσα. Τα ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” προσπαθούν συχνά να δημιουργήσουν μια επείγουσα αίσθηση ή απαιτούν άμεση δράση.
- Ψάξτε για διατύπωση και ορολογία. Εκτός από το ηλεκτρονικό ψάρεμα, οι εγκληματίες στον κυβερνοχώρο θα μπορούσαν επίσης να παγιδεύσουν ένα συγκεκριμένο άτομο μέσω ηλεκτρονικού ψαρέματος χρησιμοποιώντας το πλήρες όνομα του δέκτη.
- Ελέγξτε τη διεύθυνση email. Ελέγξτε το όνομα, τη διεύθυνση email του αποστολέα και αν ο τομέας του email αντιστοιχεί στον οργανισμό από τον οποίο ο αποστολέας ισχυρίζεται ότι είναι. Εάν όχι, είναι πιθανώς μια απόπειρα ηλεκτρονικού ψαρέματος.
- Ελέγξτε τον σύνδεσμο πριν κάνετε κλικ . Δείτε τα email σας σε απλό κείμενο για να ελέγξετε τη διεύθυνση και να δείτε το πραγματικό hyperlink. Εάν δεν είναι το ίδιο με αυτό που εμφανίζεται στο email, είναι πιθανώς μια απόπειρα ηλεκτρονικού ψαρέματος.
- Προσέξτε για ορθογραφία και γραμματικά λάθη. Εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει ορθογραφικά λάθη, σημεία στίξης ή/και μη σωστή γραμματική και σύνταξη, θα μπορούσε να είναι ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing).
- Να είστε προσεκτικοί με πηγές τρίτων που διαδίδουν πληροφορίες σχετικά με τον COVID-19. Ανατρέξτε στους επίσημους ιστότοπους για ενημερώσεις σχετικά με τον COVID-19. Τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου μοιάζουν να προέρχονται από έναν πραγματικό οργανισμό, αλλά στην πραγματικότητα νόμιμες κυβερνητικές υπηρεσίες δεν θα σας καλέσουν ούτε θα σας στείλουν απευθείας μέσω ηλεκτρονικού ταχυδρομείου αυτές τις πληροφορίες.
- Προστατέψτε τις συσκευές σας. Εγκαταστήστε λογισμικό anti-spam, anti-spyware και anti-virus και βεβαιωθείτε ότι είναι πάντα ενημερωμένο. Για τις εταιρίες εφαρμόστε BYOD πολιτικές και ελέγχετε τις ενημερώσεις των εφαρμογών και λειτουργικών συστημάτων
- Επισκεφθείτε ιστότοπους πληκτρολογώντας μόνοι σας το όνομα τομέα. Οι περισσότερες επιχειρήσεις χρησιμοποιούν κρυπτογράφηση και Secure Socket Layer (SSL) / Transport Layer Security (TLS). Εάν λάβετε σφάλμα πιστοποιητικού κατά την περιήγηση, θεωρήστε το ως προειδοποιητικό σημάδι ότι κάτι δεν πάει καλά με τον ιστότοπο.
Τι θα συμβεί αν γίνω θύμα ηλεκτρονικού ψαρέματος;
Εάν έχετε κάνει κλικ σε έναν σύνδεσμο ή έχετε ανοίξει ένα συνημμένο που έχει κατεβάσει επιβλαβές λογισμικό, ενημερώστε το λογισμικό ασφαλείας του υπολογιστή σας και εκτελέστε σάρωση. Εάν εισαγάγατε διαπιστευτήρια σύνδεσης για πρόσβαση σε πληροφορίες, αλλάξτε τα αμέσως.Εάν έχετε παράσχει τα στοιχεία της τράπεζάς σας, επικοινωνήστε με την τράπεζά σας ή την εταιρεία πιστωτικών καρτών.
Λάβετε μέτρα
Ο COVID-19 επηρέασε εκατομμύρια ανθρώπους σε όλο τον κόσμο, ενώ η μακροπρόθεσμη επίδρασή του δεν έχει ακόμη φανεί. Ωστόσο, η προστασία του εαυτού μας από απάτες είναι ένα εφικτό και ουσιαστικό βήμα. Αν έχετε λάβει ένα phishing email, μερικά απο τα μέτρα και ενέργειες που μπορείτε να λάβετε είναι:
- Αναφέρετέ το στο τμήμα πληροφορικής σας προωθώντας το ως συνημμένο.
- Διαγράψτε το.
- Ειδοποιήστε τον οργανισμό που πλαστογραφείται, προκειμένου να αποφευχθούν θύματα άλλων ατόμων.
- Χρησιμοποιήστε ασφαλείς Servers για ανταλλαγή αρχείων ειδικά διαβαθμισμένων. Προτείνεται και χρήση complex password για κλείδωμα του αρχείου.
- Οι υπεύθυνοι ασφάλειας δεδομένων να ενημερώνουν τους χρήστες σχετικά .