— Τι θα λέγαμε ότι είναι το phishing; Και τι συμβαίνει με τις διαδικτυακές απάτες;
Το phishing είναι μια τεχνική που χρησιμοποιεί μεθόδους εξαπάτησης με σκοπό να ξεγελάσει τον χρήστη ώστε να αποκαλύψει προσωπικά ή ευαίσθητα δεδομένα του, όπως οι κωδικοί πρόσβασης, τα στοιχεία των τραπεζικών του λογαριασμών και οι αριθμοί καρτών. Συνήθως, αυτό γίνεται με τη μορφή πλαστών emails, SMS ή ιστοσελίδων που μιμούνται αξιόπιστες υπηρεσίες. Ο επιτιθέμενος προσπαθεί πολλές φορές να μιμηθεί έναν πραγματικό ιστότοπο και στη συνέχεια να ζητήσει από τον ανυποψίαστο χρήστη να επιβεβαιώσει το όνομα του λογαριασμού του και τον κωδικό πρόσβασής του. Η τεχνική αυτή χρησιμοποιείται πλέον ευρέως για τη λήψη ευαίσθητων πληροφοριών και προσαρμόζεται σε οποιεσδήποτε νέες κοινωνικές συνθήκες, στοχοποιώντας εντατικά απλούς χρήστες και επιχειρήσεις όλων των μεγεθών.
«Η σωστή αντίδραση στο phishing είναι καθοριστική για τον περιορισμό της ζημιάς. Σε κάθε περίπτωση, το πιο σημαντικό είναι να μην αλληλοεπιδράσουμε με το μήνυμα. Δηλαδή, δεν απαντάμε στο μήνυμα, δεν κάνουμε κλικ σε συνδέσμους και δεν κατεβάζουμε συνημμένα».
— Ποιες είναι οι πιο συνηθισμένες μορφές phishing; Τα παραπλανητικά μηνύματα έχουν αυξηθεί πάρα πολύ.
Ναι, πλέον τα παραπλανητικά μηνύματα έχουν αυξηθεί θεαματικά, ιδίως τα τελευταία χρόνια. Μία από τις πιο συνηθισμένες μορφές phishing είναι το email phishing, δηλαδή ψεύτικα emails που φαίνονται να προέρχονται από τράπεζες, δημόσιες υπηρεσίες, ταχυδρομικές εταιρείες, ή δημοφιλείς πλατφόρμες. Συνήθως περιέχουν συνδέσμους που οδηγούν σε πλαστές σελίδες, ζητώντας από τον χρήστη να εισαγάγει προσωπικά στοιχεία ή κωδικούς. Μία ακόμα είναι το SMS phishing (Smishing), μηνύματα που λαμβάνεις στο κινητό και περιλαμβάνουν κακόβουλους συνδέσμους ή πληροφορίες που παραπέμπουν σε υποτιθέμενα επείγουσες καταστάσεις, όπως καθυστερημένες παραδόσεις, τραπεζικά προβλήματα ή πακέτα που δεν παραλήφθηκαν, και οδηγούν σε πλαστά sites.
καθηγητής Κυβερνοασφάλειας στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς και επικεφαλής της Εθνικής Ομάδας Κυβερνοασφάλειας
Το voice phishing (vishing) αφορά τηλεφωνικές κλήσεις από άγνωστους αριθμούς, κατά τις οποίες οι απατεώνες προσποιούνται ότι είναι υπάλληλοι τραπεζών, τεχνικής υποστήριξης ή κρατικών φορέων και στόχο έχουν να αποσπάσουν προσωπικά ή τραπεζικά στοιχεία. Μια πολύ διαδεδομένη μορφή vishing είναι οι κλήσεις από άτομα που ισχυρίζονται ότι κάποιος συγγενής του χρήστη είχε ατύχημα ή βρίσκεται σε σοβαρό κίνδυνο, και ζητούν άμεσα χρήματα για «νοσηλεία», «δικηγόρο» ή «εγγύηση». Η πίεση και το συναισθηματικό σοκ χρησιμοποιούνται για να παρακαμφθεί η κρίση του θύματος και να το οδηγήσουν σε άμεση δράση. Το social media phishing είναι μηνύματα ή σχόλια σε πλατφόρμες κοινωνικής δικτύωσης (όπως Facebook, Instagram, LinkedIn) που περιέχουν ύποπτους συνδέσμους ή ψευδείς διαγωνισμούς.
Συχνά, πρόκειται για άτομα που προσποιούνται ότι είναι φίλοι ή επαφές του χρήστη για να αποκτήσουν αξιοπιστία και να τον πείσουν να αλληλεπιδράσει. Τέλος, οι επιθέσεις τύπου copywriting είναι μηνύματα που έχουν γραφτεί με τέτοιο τρόπο ώστε να φαίνονται απολύτως πειστικά, συχνά υποδυόμενα νομικές υπηρεσίες ή αρχές. Απειλούν για νομικές συνέπειες ή χρέη και χρησιμοποιούν πραγματικά στοιχεία του χρήστη (όνομα, email κ.λπ.) που έχουν διαρρεύσει από προηγούμενες παραβιάσεις ή από μέσα κοινωνικής δικτύωσης. Ο στόχος είναι να δημιουργήσουν πανικό και να παρακινήσουν τον χρήστη να πατήσει συνδέσμους ή να δώσει επιπλέον προσωπικά δεδομένα. Οι επιθέσεις είναι μάλιστα τόσο στοχευμένες και «πειστικές» που ακόμη και οι πιο προσεκτικοί χρήστες μπορούν να πέσουν θύματα.
— Πώς μπορεί να προστατευτεί κάποιος από αυτά;
Η προστασία ξεκινά πάντα από την ενημέρωση. Ορισμένα απλά βήματα που μπορούν να εφαρμόσουν όλοι για να προστατευτούν όσο το δυνατό περισσότερο είναι τα εξής: να είναι επιφυλακτικοί με μηνύματα που ζητούν προσωπικά στοιχεία, ακόμη και αν φαίνονται επίσημα· να ελέγχουν πάντα τη διεύθυνση του αποστολέα και τη διεύθυνση URL· να μην κάνουν κλικ σε συνδέσμους που φαίνονται ύποπτοι, ειδικά σε μηνύματα που πιέζουν για άμεση δράση· να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων, όπου είναι δυνατόν· να έχουν ενημερωμένο antivirus και λογισμικό ασφαλείας.
— Τι πρέπει να κάνουμε αν λάβουμε ένα ύποπτο email ή μήνυμα phishing;
Η σωστή αντίδραση είναι καθοριστική για τον περιορισμό της ζημιάς. Σε κάθε περίπτωση, το πιο σημαντικό είναι να μην αλληλοεπιδράσουμε με το μήνυμα. Δηλαδή, δεν απαντάμε στο μήνυμα, δεν κάνουμε κλικ σε συνδέσμους και δεν κατεβάζουμε συνημμένα. Αν έχουμε ήδη δώσει προσωπικά στοιχεία, προχωράμε άμεσα σε αλλαγή κωδικών και επικοινωνούμε με τον εκάστοτε φορέα (π.χ. την τράπεζά μας). Αναφέρουμε το περιστατικό στην υπηρεσία από την οποία φαίνεται να προέρχεται το μήνυμα μέσα από τους επίσημους διαύλους επικοινωνίας και όχι απαντώντας στο ίδιο email. Αν επιθυμούμε, το καταγγέλλουμε στις εκάστοτε αρμόδιες αρχές, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή η Δίωξη Ηλεκτρονικού Εγκλήματος. Η έγκαιρη αναφορά δεν προστατεύει μόνο τον ίδιο τον χρήστη αλλά μπορεί να βοηθήσει και στην αποτροπή περαιτέρω περιστατικών εξαπάτησης.
— Πόσο μπορεί να κινδυνεύουμε ως χώρα από μια επίθεση κυβερνοασφάλειας;
Ο κυβερνοχώρος έχει εξελιχθεί σε ένα από τα βασικά πεδία γεωπολιτικής σύγκρουσης. Οι λεγόμενες επιθέσεις σε κρίσιμες υποδομές, όπως το ενεργειακό δίκτυο, οι μεταφορές, τα νοσοκομεία, τα πληροφοριακά συστήματα του κράτους και οι τηλεπικοινωνίες, βρίσκονται σταθερά στο στόχαστρο, καθώς η διατάραξη της λειτουργίας τους μπορεί να προκαλέσει κοινωνικό πανικό, οικονομικές ζημιές ή και πολιτική κρίση. Στην Ελλάδα τα τελευταία χρόνια παρατηρούμε έναν έντονο ψηφιακό μετασχηματισμό των δημόσιων υπηρεσιών. Αυτή η εξέλιξη, όσο αναγκαία και θετική και αν είναι, συνεπάγεται ταυτόχρονα αυξημένες απαιτήσεις για την ασφάλεια των ψηφιακών συστημάτων. Η «επιφάνεια επίθεσης» διευρύνεται, με τους πιθανούς στόχους να αυξάνονται και με κάθε καινοτομία να μπορεί να καταστεί δυνητικά ευάλωτη αν δεν συνοδεύεται από την ανάλογη προστασία.
Για να διασφαλιστεί η κυβερνοανθεκτικότητα είναι κρίσιμο η χώρα να επενδύει συστηματικά σε τρεις κατευθύνσεις: την τεχνολογική προστασία των συστημάτων με σύγχρονα εργαλεία εντοπισμού και αποτροπής απειλών, την εκπαίδευση και διατήρηση εξειδικευμένου προσωπικού που μπορεί να ανταποκριθεί σε κρίσεις και τη διεθνή συνεργασία με ευρωπαϊκούς και διακρατικούς μηχανισμούς ανταλλαγής πληροφοριών και συντονισμού. Μια σοβαρή κυβερνοεπίθεση δεν είναι σενάριο επιστημονικής φαντασίας αλλά μια απολύτως ρεαλιστική απειλή για την εθνική ασφάλεια. Τα τελευταία χρόνια, κρατικές και ημικρατικές υποδομές στην Ελλάδα έχουν βρεθεί ήδη στο στόχαστρο επιθέσεων που διέκοψαν κρίσιμες λειτουργίες και κατέστρεψαν την εύρυθμη καθημερινή τους λειτουργία.
Χαρακτηριστικό παράδειγμα αποτελεί η επίθεση στα ΕΛΤΑ, η οποία ανέδειξε με δραματικό τρόπο τις συνέπειες της ανεπαρκούς προστασίας φορέων παροχής βασικών υπηρεσιών. Παράλληλα, καινούργιοι κανονισμοί, όπως η ευρωπαϊκη οδηγία NIS2, έρχονται για να ενισχύσουν θεσμικά την ανάγκη για αυξημένα μέτρα ασφάλειας και διακυβέρνησης, θέτοντας συγκεκριμένες υποχρεώσεις για κρίσιμους οργανισμούς του δημόσιου και του ιδιωτικού τομέα. Η συμμόρφωση με τέτοιους κανονισμούς δεν είναι πλέον επιλογή αλλά αναγκαία συνθήκη για την ενίσχυση της ανθεκτικότητας και την προστασία της κοινωνίας από κυβερνοαπειλές. Ένα είναι πλέον ξεκάθαρο: σε έναν κόσμο που γίνεται όλο και πιο ψηφιακός, η κυβερνοασφάλεια δεν είναι πολυτέλεια. Είναι θεμέλιο της εύρυθμης λειτουργίας μιας σύγχρονης, δημοκρατικής και ανθεκτικής κοινωνίας.
— Πόσο ασφαλείς είναι υπηρεσίες όπως το ChatGPT;
Υπηρεσίες τεχνητής νοημοσύνης όπως το ChatGPT, όταν χρησιμοποιούνται σωστά, είναι σχεδιασμένες με έμφαση στην ασφάλεια και την ιδιωτικότητα. Δεν έχουν πρόσβαση σε προσωπικά δεδομένα, αν αυτά δεν τους παρασχεθούν οικειοθελώς κατά τη διάρκεια της χρήσης. Παράλληλα, δεν «θυμούνται» τι ειπώθηκε σε προηγούμενες συνομιλίες, εκτός αν κάποιος χρήστης το επιλέξει ρητά. Ωστόσο, όπως συμβαίνει με κάθε διαδικτυακή υπηρεσία, η ευθύνη χρήσης είναι και στα χέρια του τελικού χρήστη. Δεν πρέπει ποτέ να κοινοποιούνται ευαίσθητα δεδομένα ή εμπιστευτικές πληροφορίες μέσω τέτοιων εργαλείων. Αξίζει επίσης να είμαστε προσεκτικοί με «κλωνοποιημένες» εκδόσεις αυτών των πλατφορμών που επιχειρούν να εκμεταλλευτούν την αναγνωρισιμότητα τέτοιων εργαλείων για κακόβουλους σκοπούς. Η επίγνωση και η υπεύθυνη χρήση είναι το κλειδί για την ασφάλεια και σε αυτό το πεδίο.
Η παρούσα εργασία υποστηρίζεται από την Ευρωπαϊκή Ένωση στο πλαίσιο του προγράμματος Horizon Europe, και από το έργο RESCALE (Grant Agreement No. 101120962).
Το άρθρο δημοσιεύθηκε στην έντυπη LiFO.
