Phishing: Τι είναι και πώς να προστατέψεις την επιχείρησή σου

19 Ιουλίου 2023, από

phishing τι είναι

Στον σημερινό διασυνδεδεμένο και συνεχώς εξελισσόμενο ψηφιακά κόσμο, οι διαδικτυακές απειλές αποτελούν ένα όλο και πιο συχνό φαινόμενο, θέτοντας σε κίνδυνο τα δεδομένα της επιχείρησής σου. 

Γι’ αυτό, σε αυτό το άρθρο θα επιχειρήσουμε να σε ενημερώσουμε για ένα ζήτημα που απασχολεί πολύ κόσμο. 

Πιο συγκεκριμένα, θα μιλήσουμε για το ηλεκτρονικό ψάρεμα ή phishing: τι είναι, πώς λειτουργεί, πώς μπορείς να προστατέψεις την επιχείρησή σου κ.α. 

Πάμε, λοιπόν, να ξεκινήσουμε! 

Τι είναι το phishing 

Πρώτα απ’ όλα, χρειάζεται να πούμε τι είναι και τι σημαίνει το phishing. 

Το phishing είναι ομόηχο της αγγλικής λέξης fishing, που σημαίνει ψάρεμα. Γι’ αυτό και είναι αρκετά γνωστό ως «ηλεκτρονικό ψάρεμα». Άλλώστε, στις επιθέσεις phishing (phishing attacks) χρησιμοποιείται η λογική του δολώματος. Το ph- στη λέξη παραπέμπει στους “phreaks”, μια ομάδα hackers που είχε επιτεθεί στην εταιρεία τηλεπικοινωνιών AOL τη δεκαετία του ‘90. 

Το phishing, λοιπόν, είναι ένα είδος ηλεκτρονικού εγκλήματος, κατά το οποίο κάποιο κακόβουλο άτομο (scammer) ή μια ομάδα ατόμων προσπαθεί να εξαπατήσει και να χειραγωγήσει ανυποψίαστα θύματα με σκοπό να αποσπάσει ευαίσθητες πληροφορίες, όπως κωδικούς πιστωτικών καρτών, αριθμούς ασφάλισης κ.α. 

Οι θύτες τέτοιων επιθέσεων προσποιούνται συνήθως κάποια αξιόπιστη οντότητα ή εταιρεία, όπως κάποια τράπεζα, προκειμένου να πείσουν το θύμα να μοιραστεί μαζί τους τα προσωπικά του δεδομένα. 

Πώς λειτουργεί το phishing 

Όμως, πώς ακριβώς λειτουργεί το phishing; 

Πάμε να δούμε τη διαδικασία: 

1. Αρχικά, ο θύτης της επίθεσης στήνει έναν ιστότοπο phishing. Όμως, τι είναι ο ιστότοπος phishing;  Πρόκειται για μια ψεύτικη ιστοσελίδα που μιμείται έναν άλλο νόμιμο και αξιόπιστο ιστότοπο, προκειμένου να παραπλανήσει και να εξαπατήσει το θύμα.

2. Ο phisher, στη συνέχεια, στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου (email) ή μήνυμα στα social media ή SMS στο κινητό κ.λπ., το οποίο φαίνεται ιδιαίτερα επείγον και προσποιείται ότι προέρχεται από κάποιον αξιόπιστο και νόμιμο φορέα. 

3. Ο θύτης μέσω του μηνύματος ζητάει από το θύμα να ανοίξει ένα link ή ένα συνημμένο αρχείο που υπάρχει στο μήνυμα, με την πρόφαση ότι κάτι δεν πάει καλά με τον λογαριασμό ή την υπηρεσία του και ότι ίσως έχει εξαπατηθεί.

4. Το ύποπτο link στέλνει το θύμα σε μια ψεύτικη ιστοσελίδα-κλώνο, η οποία αποσπά τα ευαίσθητα προσωπικά δεδομένα του χρήστη.

5. Ο θύτης έχει πλέον πρόσβαση στον λογαριασμό του θύματος. Επομένως, έχει και τη δυνατότητα να τον χρησιμοποιήσει όπως επιθυμεί (π.χ. να αποσπάσει χρήματα).

Τύποι επιθέσεων phishing 

Οι επιθέσεις ηλεκτρονικού ψαρέματος μπορούν να λάβουν διάφορες μορφές, με τις βασικότερες από αυτές να είναι: 

Email phishing 

Είναι η πιο διαδεδομένη μορφή phishing. Όπως είπαμε και παραπάνω, οι επιτιθέμενοι αποστέλλουν ένα παραπλανητικό μήνυμα ηλεκτρονικού ταχυδρομείου (phishing email) προσποιούμενοι αξιόπιστους οργανισμούς ή άτομα.  

Αυτά τα emails περιέχουν παραπλανητικούς συνδέσμους, συνημμένα αρχεία ή αιτήματα για αποκάλυψη ευαίσθητων πληροφοριών. Είναι τα γνωστά σε όλους μας ανεπιθύμητα emails (spam emails), που είναι, παρεμπιπτόντως, και ένας από τους γνωστότερους τύπους επιθέσεων botnets. 

Για περισσότερα σχετικά με το τι είναι το botnet, ρίξε μια ματιά στο σχετικό άρθρο μας. 

Spear phishing 

Μια ακόμα διαδεδομένη μορφή επίθεσης phishing είναι το spear phishing. Τι είναι, όμως, το spear phishing; 

Πρόκειται για μια στοχευμένη μορφή phishing που επικεντρώνεται σε συγκεκριμένα άτομα ή οργανισμούς 

Οι επιτιθέμενοι κάνουν από πριν καλή έρευνα και συγκεντρώνουν λεπτομερείς πληροφορίες σχετικά με τους στόχους τους, όπως ονόματα, τίτλους εργασίας κ.λπ., προκειμένου να εξατομικεύσουν τα ηλεκτρονικά μηνύματα phishing και να αυξήσουν την πιθανότητα επιτυχίας. 

Whaling 

Το whaling είναι μια εξειδικευμένη μορφή spear phishing που στοχεύει ειδικά σε υψηλόβαθμα στελέχη, όπως διευθύνοντες συμβούλους επιχειρήσεων.  

Οι επιτιθέμενοι στοχεύουν να εξαπατήσουν αυτά τα άτομα ώστε να αποκαλύψουν ευαίσθητες εταιρικές πληροφορίες ή να ξεκινήσουν οικονομικές συναλλαγές. 

Smishing 

Το smishing, συντομογραφία του SMS phishing, περιλαμβάνει την αποστολή παραπλανητικών μηνυμάτων στα κινητά τηλέφωνα των θυμάτων 

Συχνά, τα μηνύματα αυτά ισχυρίζονται ότι προέρχονται από αξιόπιστες πηγές και περιλαμβάνουν συνδέσμους ή προτροπές για την αποκάλυψη προσωπικών πληροφοριών ή την εγκατάσταση κακόβουλων εφαρμογών. 

Όπως αντιλαμβάνεσαι, ο συγκεκριμένος τύπος επίθεσης δεν αποτελεί internet phishing, δε συνιστά, δηλαδή, ηλεκτρονικό ψάρεμα, καθώς δε γίνεται μέσω Διαδικτύου. 

Vishing 

Μια ακόμα μέθοδος επίθεσης phishing εκτός Διαδικτύου είναι το vishing ή, αλλιώς, voice phishing (φωνητικό phishing) 

Σε περίπτωση που δεν γνωρίζεις τι είναι το voice phishing, να σου πούμε πως είναι ουσιαστικά «ψάρεμα» μέσω τηλεφώνου. 

Το vishing συμβαίνει όταν οι επιτιθέμενοι πραγματοποιούν τηλεφωνικές κλήσεις σε άτομα, προσποιούμενοι ότι είναι εκπρόσωποι τραπεζών, κυβερνητικών υπηρεσιών ή άλλων αξιόπιστων οργανισμών. Με τον τρόπο αυτό, επιχειρούν να αποσπάσουν τις πληροφορίες που θέλουν μέσω τηλεφώνου. 

Malware-based phishing 

Σε αυτόν τον τύπο phishing, οι επιτιθέμενοι χρησιμοποιούν μηνύματα ηλεκτρονικού ταχυδρομείου, συνημμένα αρχεία ή κακόβουλους συνδέσμους, με στόχο να υποχρεώσουν τα θύματά τους να εγκαταστήσουν άθελά τους κάποιο κακόβουλο λογισμικό (malware) στις συσκευές τους.  

Μόλις μολυνθεί, το κακόβουλο λογισμικό μπορεί να υποκλέψει ευαίσθητες πληροφορίες, να καταγράψει πληκτρολογήσεις ή να χορηγήσει μη εξουσιοδοτημένη πρόσβαση στον επιτιθέμενο. 

Αν θέλεις να μάθεις περισσότερα σχετικά με το τι είναι το malware, διάβασε το σχετικό άρθρο μας. 

Πώς να προστατέψεις την επιχείρησή σου από επιθέσεις phishing 

προστασία από επιθέσεις phishing

Όπως καταλαβαίνεις, μια επίθεση phishing μπορεί να γίνει πολύ επικίνδυνη για την επιχείρησή σου. Ενώ, υπάρχει μεγάλη πιθανότητα να υποστεί σοβαρή οικονομική ζημιά, να πληγεί η φήμη και το κύρος της κ.α. 

Αυτό σημαίνει ότι είναι αναγκαία η προστασία από επιθέσεις phishing, κάτι που μπορεί να γίνει με τους εξής τρόπους: 

Χρησιμοποίησε λογισμικό προστασίας 

Ένας από τους σημαντικότερους τρόπους να προστατευτείς από μια επίθεση phishing είναι να εγκαταστήσεις στις εταιρικές συσκευές ένα αξιόπιστο λογισμικό προστασίας που θα ανιχνεύει και θα αποκλείει ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, πριν αυτά φτάσουν στα εισερχόμενα. 

Μάλιστα, η εγκατάσταση σχετικών λογισμικών αποτελεί μια από τις καλύτερες μεθόδους Information Security, δηλαδή ασφάλειας και προστασίας πληροφοριών. 

Ανακάλυψε περισσότερα για το τι είναι Information Security και πόσο σημαντική είναι για την επιχείρησή σου στο σχετικό άρθρο μας. 

Ενεργοποίησε τον έλεγχο ταυτότητας πολλαπλών παραγόντων 

Εφάρμοσε τον έλεγχο ταυτότητας πολλαπλών παραγόντων για όλα τα σχετικά συστήματα και εφαρμογές της εταιρείας.  

Αυτό προσθέτει ένα επιπλέον επίπεδο ασφάλειας, απαιτώντας από τους χρήστες να παρέχουν πολλαπλές μορφές ταυτοποίησης, όπως έναν κωδικό πρόσβασης και έναν μοναδικό κωδικό που αποστέλλεται στην κινητή συσκευή τους, για την πρόσβαση σε ευαίσθητες πληροφορίες. 

Καθιέρωσε ισχυρές πολιτικές κωδικών πρόσβασης 

Μια ακόμα αποτελεσματική μέθοδος προστασίας της επιχείρησής σου είναι η καθιέρωση μιας στιβαρής πολιτικής κωδικών πρόσβασης. 

Φρόντισε ώστε οι υπάλληλοι της εταιρείας να χρησιμοποιούν σύνθετους, ισχυρούς κωδικούς πρόσβασης, μοναδικούς για κάθε ξεχωριστή υπηρεσία ή λογαριασμό, τους οποίους και θα αλλάζουν τακτικά για τη μέγιστη δυνατή ασφάλεια. 

Ενθάρρυνε, επίσης, τη χρήση εξειδικευμένων εργαλείων διαχείρισης κωδικών πρόσβασης. 

Οργάνωσε ενημερώσεις κι εκπαιδεύσεις των εργαζομένων 

Ακόμα, πολύ μεγάλη αξία θα έχει και το να οργανώνεις τακτικά ενημερώσεις και εκπαιδεύσεις των εργαζομένων πάνω σε θέματα διαχείρισης και προστασίας από επιθέσεις ηλεκτρονικού ψαρέματος και, γενικότερα, απειλές κυβερνοασφάλειας (cybersecurity threats). 

Οργάνωσε ενημερώσεις για τις διάφορες τεχνικές phishing που υπάρχουν, για το πώς να αναγνωρίζουν τα διάφορα προειδοποιητικά σημάδια, πώς να αντιμετωπίζουν μια τέτοια επίθεση αφού έχει ήδη συμβεί κ.λπ. 

Δημιούργησε τακτικά αντίγραφα ασφαλείας   

Φρόντισε να δημιουργείς τακτικά αντίγραφα ασφαλείας των δεδομένων της επιχείρησης, ώστε να διασφαλιστεί η ασφαλής αποθήκευση και διατήρησή τους, ακόμα και σε περίπτωση που συμβεί κάποιο απρόοπτο. 

Έτσι, θα έχεις ήσυχο το κεφάλι σου, ακόμα και αν μια επίθεση phishing είναι επιτυχημένη. 

Πώς να αναγνωρίσεις μια επίθεση phishing 

Η αναγνώριση των σημαδιών μιας επίθεσης phishing είναι ζωτικής σημασίας για την προστασία της επιχείρησής σου. Γι’ αυτό, παρακάτω θα σου παρουσιάσουμε τα πιο συνηθισμένα σημάδια που κατά πάσα πιθανότητα θα συναντήσεις σε τέτοιου είδους μηνύματα.

Πάμε να τα δούμε: 

  • Ύποπτες ή περίεργες διευθύνσεις URL: συχνά οι παραπλανητικοί σύνδεσμοι έχουν ορθογραφικά, πρόσθετους χαρακτήρες και είναι ελαφρώς παραλλαγμένοι από τη διεύθυνση του ιστοτόπου που μιμούνται. 
  • Γραμματικά ή εκφραστικά λανθασμένο περιεχόμενο: τα μηνύματα phishing συνήθως περιέχουν ορισμένα γραμματικά, ορθογραφικά, συντακτικά ή εκφραστικά λάθη, ελλιπή σημεία στίξης, γενικότερα κακή ποιότητα γλώσσας. 
  • Γλώσσα που προκαλεί άγχος ή φόβο: τα phishing emails ή μηνύματα χαρακτηρίζονται από εκφράσεις που προκαλούν φόβο ή την αίσθηση του επείγοντος (π.χ. ότι ο λογαριασμός του θύματος έχει παραβιαστεί), προκειμένου να παρακινήσουν σε άμεση δράση. 
  • Αιτήματα για αποκάλυψη ευαίσθητων πληροφοριών: σε τέτοιες επιθέσεις, είναι σύνηθες να ζητείται η άμεση αποκάλυψη προσωπικών ή ευαίσθητων πληροφοριών (π.χ. κωδικοί πιστωτικών καρτών, αριθμοί ασφάλισης κ.α.). 
  • Κακή ποιότητα γραφικών: συνήθως τέτοια μηνύματα περιέχουν κακής ποιότητας εικόνες, λογότυπα και, γενικά, «φτωχά» γραφικά. 

Τι είναι το phishing και πώς να προστατευτείς – Συμπερασματικά 

Αφού έφτασες μέχρι το τέλος του άρθρου μας, γνωρίζεις πλέον όσα πρέπει να ξέρεις σχετικά με το phishing: τι είναι, πώς λειτουργεί, ποιοι τύποι επιθέσεων υπάρχουν, πώς να προστατέψεις την επιχείρησή σου. 

Το συγκεκριμένο είδος ηλεκτρονικής απειλής μπορεί να αποδειχθεί ιδιαίτερα επικίνδυνο για την επιχείρησή σου, οπότε είναι εξαιρετικά σημαντικό και χρήσιμο να γνωρίζεις τι είναι αλλά και πώς να προστατέψεις αποτελεσματικά τα πολύτιμα εταιρικά σου δεδομένα, με τους τρόπους που είδαμε παραπάνω.  

Φρόντισε, λοιπόν, να εφαρμόσεις όσα μοιραστήκαμε μαζί σου. Aν έχεις οποιαδήποτε σχετική απορία, μη διστάσεις να αφήσεις το σχόλιο σου παρακάτω! 

Σου άρεσε αυτό το blog post;

Τότε σίγουρα θα λατρέψεις τα επόμενα! Συμπλήρωσε το email σου για να μη χάσεις ούτε ένα.;

Κάνε δωρεάν την εγγραφή σου και στο εξής θα λαμβάνεις ενημερώσεις για τα νέα post του Τοp.Host Blog. Οποιαδήποτε στιγμή θελήσεις μπορείς να αφαιρέσεις το email σου από τη λίστα παραληπτών. Μάθε περισσότερα στην Πολιτική Απορρήτου.

Μπες στη συζήτηση

Πες μας τη γνώμη σου!