Υπάρχουν κίνδυνοι που πρέπει να γνωρίζουμε ότι πιθανώς θα αντιμετωπίσουμε πατώντας «unsubscribe» σε ένα email και οι ειδικοί συστήνουν να το σκεφτόμαστε διπλά πριν το «κλικ».
Υπάρχουν στιγμές που τα εισερχόμενα μοιάζουν να βρίσκονται υπό πολιορκία, με δεκάδες μηνύματα καθημερινά να καταφθάνουν, προσφέροντας τα πάντα: από προσφορές για ταξίδια της τελευταίας στιγμής έως αμφισβητήσιμες συμβουλές για κρυπτονομίσματα. Σχεδόν κάθε email καταλήγει με την ίδια πρόταση: κάντε κλικ εδώ για να διαγραφείτε - το γνωστό unsubscribe.
Πριν το κάνουμε, όμως, καλό είναι να το σκεφτούμε: αν και εδώ και χρόνια είναι κοινός τόπος ότι η «διαγραφή» είναι ένας απλός και ασφαλής τρόπος για να βγούμε από λίστες στις οποίες δεν εγγραφήκαμε ποτέ ή δεν μας ενδιαφέρουν πλέον, αυτό δεν είναι πάντα ακριβές. Στην πραγματικότητα, ειδικοί στην κυβερνοασφάλεια προειδοποιούν ότι το κλικ σε αυτόν τον σύνδεσμο μπορεί, σε πολλές περιπτώσεις, να προκαλέσει περισσότερα προβλήματα απ’ ό,τι λύνει.
«Η εμπιστοσύνη είναι σχετική. Εμπιστεύομαι τον πελάτη μου, αλλά δεν εμπιστεύομαι αυτό που υπάρχει μέσα στο email», λέει ο TK Keanini, επικεφαλής τεχνολογίας στην DNSFilter, εταιρεία λογισμικού κυβερνοασφάλειας. Όταν κάνουμε κλικ στον σύνδεσμο διαγραφής ενός αποστολέα, ο Keanini προειδοποιεί: «Έχετε εγκαταλείψει το ασφαλές, δομημένο περιβάλλον του προγράμματος-πελάτη email σας και έχετε εισέλθει στον ανοιχτό ιστό», όπου περιμένουν νέες και διαφορετικές απειλές.
Οι κίνδυνοι του unsubscribe
Σύμφωνα με την DNSFilter, ένα στα 644 κλικ σε συνδέσμους τύπου «κάντε κλικ εδώ για διαγραφή» οδηγεί τους χρήστες σε εν δυνάμει κακόβουλους ιστότοπους.
Ο μικρότερος κίνδυνος είναι ότι οι κυβερνοεγκληματίες που έχουν ήδη τη διεύθυνση email mας, δοκιμάζουν να δουν αν αυτή είναι ενεργή. Κάνοντας κλικ στον σύνδεσμο διαγραφής, «λέτε στους εισβολείς ότι είστε ένα πραγματικό άτομο που αλληλεπιδρά με ανεπιθύμητα μηνύματα», εξηγεί ο Michael Bargury, επικεφαλής τεχνολογίας και συνιδρυτής της εταιρείας ασφάλειας τεχνητής νοημοσύνης Zenity. Ίσως να μη συμβεί κάτι άμεσα, αλλά «μπορεί να σας κάνει μεγαλύτερο στόχο στο μέλλον».
Όταν οι επιτιθέμενοι γνωρίζουν πως πίσω από μία διεύθυνση email υπάρχει ενεργός χρήστης, μπορούν να αρχίσουν να δημιουργούν ένα προφίλ με στόχο την εξαπάτηση ή την αποκόμιση οικονομικού οφέλους μέσω κοινωνικής μηχανικής ή άλλης απάτης, τονίζει ο Charles Henderson, εκτελεστικός αντιπρόεδρος υπηρεσιών κυβερνοασφάλειας στην εταιρεία Coalfire.
Ένας ακόμη κίνδυνος είναι ότι ο σύνδεσμος «διαγραφής» μπορεί να οδηγήσει σε καλοστημένες αλλά ψεύτικες ιστοσελίδες, στις οποίες οι επιτήδειοι προσπαθούν είτε να αποσπάσουν τους κωδικούς μας είτε να εγκαταστήσουν κακόβουλο λογισμικό στη συσκευή μας.
«Εάν ο ανακατευθυνόμενος ιστότοπος σας ζητήσει τον κωδικό πρόσβασής σας για να διαγραφείτε, αυτό είναι ένα προειδοποιητικό σημάδι», προειδοποιεί ο Bargury. «Μην το κάνετε». Αντί γι’ αυτό, συστήνει να ανοίξετε ένα νέο παράθυρο, να επισκεφτείτε απευθείας τον επίσημο ιστότοπο του αποστολέα και να αλλάξετε τις ρυθμίσεις επικοινωνίας χειροκίνητα, χωρίς να κάνετε κλικ σε οποιονδήποτε σύνδεσμο εντός του email.
Κάποιες νόμιμες επιχειρήσεις πράγματι οδηγούν τους χρήστες σε σελίδες όπου ζητούν να εισαχθεί εκ νέου η διεύθυνση email για την ολοκλήρωση της διαγραφής από λίστα. Συνήθως αυτό συμβαίνει «επειδή η αρχιτεκτονική του συστήματος διαγραφής μέσω email αξιοποιεί έναν μόνο σύνδεσμο διαγραφής για όλους τους παραλήπτες», και όχι έναν εξατομικευμένο σύνδεσμο ανά διεύθυνση, εξηγεί ο Henderson. Ωστόσο, δηλώνει ότι δεν κάνει ποτέ κλικ σε συνδέσμους ενσωματωμένους στο σώμα του email, εφόσον δεν έχει προηγηθεί αλληλεπίδραση με τον αποστολέα.
«Αν δεν εμπιστεύεστε την πηγή, γιατί να εμπιστευτείτε τον σύνδεσμο διαγραφής του;» διερωτάται ο Henderson.
Το ενδεχόμενο να εκτεθεί η συσκευή μας σε κακόβουλο λογισμικό απλώς με το πάτημα ενός συνδέσμου διαγραφής υπάρχει, αλλά δεν αποτελεί την πλέον διαδεδομένη τακτική επίθεσης, σημειώνει ο ίδιος. Για να επιτύχει ένα τέτοιο σενάριο, θα πρέπει να συντρέχουν τρεις προϋποθέσεις: να χρησιμοποιούμε πρόγραμμα περιήγησης με άγνωστη ευπάθεια, οι επιτιθέμενοι να στοχεύουν ακριβώς αυτή την ευπάθεια και, φυσικά, να έχουμε κάνει κλικ στον ψεύτικο σύνδεσμο.
Τι μπορούμε να κάνουμε για την πολυπόθητη διαγραφή του unsubscribe
Και οι τρεις ειδικοί συμφωνούν ότι αισθάνονται άνετα να χρησιμοποιούν τις λεγόμενες «κεφαλίδες διαγραφής λίστας» (list-unsubscribe headers) - τα ενσωματωμένα κουμπιά απεγγραφής που προσφέρουν πολλοί πάροχοι email και εμφανίζονται στο επάνω μέρος των μηνυμάτων. Αυτές οι επιλογές θεωρούνται γενικά ασφαλέστερες από τους συνδέσμους στο σώμα του email, καθώς δεν σας μεταφέρουν στον ιστό.
Αν η επιλογή αυτή δεν εμφανίζεται ή ο αποστολέας σας φαίνεται ύποπτος, η καλύτερη λύση είναι να επισημάνουμε το μήνυμα ως ανεπιθύμητο (spam) και να το αγνοήσουμε.
Αν η ενόχληση από τα επαναλαμβανόμενα μηνύματα παραμένει, μπορούμε να δημιουργήσουμε ένα φίλτρο ώστε τα email από συγκεκριμένους αποστολείς να καταλήγουν αυτόματα στον φάκελο ανεπιθύμητης αλληλογραφίας.
Επιπλέον, κατά την εγγραφή μας σε υπηρεσίες, λίστες ή διαγωνισμούς, καλό είναι να επιλέγουμε τη χρήση ξεχωριστής, αναλώσιμης ηλεκτρονικής διεύθυνσης. «Μπορείτε να δημιουργήσετε μια διεύθυνση όπως [email protected] μόνο για τους αγαπημένους σας ιστότοπους ένδυσης», προτείνει ο Henderson. «Αν αρχίσει να κατακλύζεται από spam, την απενεργοποιείτε. Το πρόβλημα λύθηκε».
Η λειτουργία «Απόκρυψη email» της Apple επιτρέπει στους χρήστες να δημιουργούν μοναδικές, τυχαίες διευθύνσεις email, οι οποίες προωθούν αυτόματα τα μηνύματα στα κανονικά εισερχόμενά τους. Έτσι, οι χρήστες μπορούν να εγγράφονται σε υπηρεσίες, να πραγματοποιούν αγορές ή να λαμβάνουν προσφορές χωρίς να αποκαλύπτουν την πραγματική τους διεύθυνση. Παρόμοιες δυνατότητες υπάρχουν και για τους χρήστες των Chrome και Firefox, μέσω σχετικών επεκτάσεων απορρήτου.
Με πληροφορίες από The Wall Street Journal
