Ακούσαμε διάφορα περιστατικά όπου χάκερς κατάφεραν να υποκλέψουν κωδικούς και λεφτά ή ακόμη να διαρρεύσουν εμπιστευτικές πληροφορίες στο διαδίκτυο. Δεν πρέπει να αγνοούμε την απειλή αυτή, είναι θέμα χρόνου να πέσει και η δική σας επιχείρηση παρόμοιας επίθεσης.
Το hacking αυξάνεται λόγω της έλλειψης ενημέρωσης για τα θέματα ασφαλείας και μηδαμινής εκπαίδευσης του προσωπικού για τη σωστή χρήση της τεχνολογίας.
Όταν μιλάμε για χάκερ, σύμφωνα με τον ειδικό σε θέματα ασφάλειας διαδικτύου Ντίνο Παστό, πρέπει πρώτα να δούμε ποιος είναι ο πραγματικός τους στόχος και ποιες τακτικές ακολουθούν για την επίτευξη του στόχου τους.
Όπως εξηγεί, οι χάκερς επιζητούν:
• Πρόσβαση στους υπολογιστές και δικτύου μιας εταιρείας.
• Απόσπαση δεδομένων και κωδικών πρόσβασης του προσωπικού και των πελατών της εταιρείας.
• Απόσπαση χρημάτων και άλλων πόρων.
• Παρακολούθηση τύπου "Big Brother" του προσωπικού για μελλοντικές επιθέσεις.
Θεωρητικά, όλες οι συνδεδεμένες συσκευές μπορούν να επικοινωνούν διαδικτυακά και έτσι υπάρχει το ρίσκο να χακαριστούν εξ’ αποστάσεως. Δεν αρκούν τα λογισμικά για προστασία. Ένα antivirus ή internet security λογισμικό δεν μπορεί να αποτρέψει όλες τις επιθέσεις.
"Οι χάκερς" όπως εξηγεί ο Ντίνος Παστός "συνήθως διαλέγουν τον πιο αδύναμο κρίκο, τον ανθρώπινο παράγοντα, έναν παράγοντα που είναι επιρρεπής σε χειραγώγηση. Είναι πιο εύκολο για ένα χάκερ να ξεγελάσει ένα πρόσωπο και να του δώσει τους κωδικούς πρόσβασης παρά αυτός να τους σπάσει. Αυτή η μέθοδος ονομάζεται κοινωνική μηχανική".
Κοινωνική μηχανική (Social Engineering)
"Εάν ένας χάκερ θέλει να αποκτήσει πρόσβαση στα αρχεία ή μηνύματα ηλεκτρονικού ταχυδρομείου μιας εταιρείας, το μόνο που έχει να κάνει είναι να υποκλέψει τους κωδικούς από έναν υπάλληλο που έχει πρόσβαση. Στις περισσότερες περιπτώσεις, σχεδόν όλοι σε μια εταιρεία έχουν πρόσβαση σε ηλεκτρονικό ταχυδρομείο και στο διαδίκτυο. Είναι ευκολότερο για έναν χάκερ να χακάρει ένα άτομο και σιγά-σιγά να καταφέρει να διεισδύσει στο δίκτυο" αναφέρει ο ειδικός.
Πώς το κάνουν;
Ο χάκερ θα δημιουργήσει ένα ψεύτικο e-mail για να πείσει το θύμα του ότι είναι κάποιος άλλος. Στις περισσότερες περιπτώσεις, ο χάκερ θα υποδυθεί ένα μέλος του προσωπικού ή κάποιο συνεργάτη. Θυμηθείτε ότι είναι πολύ δύσκολο για ένα άτομο να ξέρει εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι ψεύτικο, ειδικά αν δεν το υποψιάζονται.
Αυτό μπορεί να συμβεί με διάφορους τρόπους αλλά ας δούμε ένα απλό παράδειγμα social engineering email:
- - - - - -
From: Giannis.a@gmail.comTo: maria.g@yourcompany.com.cySubject: Αποτελέσματα για κ. Ανδρέου
Γεια σου Μαρία,
Εδώ είναι τα αποτελέσματα που ζήτησε ο κ. Ανδρέου
Παρακαλώ όπως του τα διαβιβάσετε.
Με εκτίμηση
Γιάννης
ABC Ltd
- - - - - - -
Tο e-mail είτε θα έχει ένα συνημμένο αρχείο ή ένα σύνδεσμο σε ένα αρχείο που φιλοξενείται σε μια ιστοσελίδα στο διαδίκτυο.
Σύμφωνα με τον κ. Παστό: "Οι πιθανότητες είναι ότι η Μαρία θα πατήσει τον σύνδεσμο ή θα ανοίξει το συνημμένο γιατί ως άνθρωπος είναι περίεργη, αλλά και ανυποψίαστη για τις προθέσεις του πραγματικού αποστολέα. Όταν γίνει αυτό, τότε ο χάκερ:
1. έχει πρόσβαση στον υπολογιστή της Μαρίας
2. έχει πρόσβαση στο εταιρικό δίκτυο
3. θα βρει τρωτά σημεία εντός του δικτύου (άλλους υπολογιστές, servers, τηλεφωνικά συστήματα, βάσεις δεδομένων κ.λπ)
4. θα κατεβάσει όλα όσα που θεωρεί ενδιαφέρουσα και πολύτιμα για τον σκοπό του".
Τα δεδομένα που μπορεί να τεθούν σε κίνδυνο δεν είναι μόνο το ηλεκτρονικό ταχυδρομείο, αρχεία και κωδικοί πρόσβασης. Οι χάκερς πλέον μπαίνουν βαθύτερα στην υποδομή και έχουν τη δυνατότητα παρακολούθησης τηλεφωνικών συνομιλιών (SIP Telephony), αλλά και μέσα από κάμερες και μικρόφωνα από φορητούς υπολογιστές και κάμερες ασφαλείας και άλλες υπηρεσίες υποδομής, όπως το αρχείο από τα φωτοτυπικά μηχανήματα που βρίσκονται στο δίκτυο.
Ας ανακεφαλαιώσουμε
Η Μαρία άνοιξε μόνο ένα e-mail που την οδήγησε στο συμπέρασμα ότι ο αποστολέας ήταν κάποιος άλλος που ήξερε.
Η επίθεση αυτή απαιτεί μόνο τον χάκερ να επινοήσει ένα e-mail!
Το πρόβλημα δεν είναι το ότι ένα email μπορεί να πλαστογραφηθεί, το πρόβλημα είναι ότι οι άνθρωποι είναι πολύ εύκολο να πειστούν ότι όλα είναι εντάξει. Έχουμε σχεδόν όλοι δει ψεύτικα email και SMS κατά καιρούς, ορισμένα από αυτά παριστάνουν εταιρείες όπως Google ή Facebook, αλλά ακόμη και τραπεζικούς οργανισμούς. Πατώντας πάνω στον σύνδεσμο θα οδηγηθούμε σε μια καλοστημένη παγίδα απόσπασης των κωδικών της εν λόγω υπηρεσίας.
Ransomware
Πρόσφατες οργανωμένες εγκληματικές ομάδες χάκερ έχουν αναπτύξει ένα νέο είδος λογισμικού που ονομάζεται Ransomware. Αυτή η επίθεση είναι πολύ απλή. Όλα τα αρχεία σας κλειδώνονται και κρυπτογραφούνται με ένα πολύ μεγάλο κλειδί που κατέχεται μόνο από τους χάκερς. Στη συνέχεια, το θύμα είναι αναγκασμένο να πληρώνει λύτρα ύψους €500-€5.000 (ανάλογα με την ποσότητα των ηλεκτρονικών υπολογιστών) σε bitcoin για να εξασφαλίσει τα αρχεία του πίσω. Η επίθεση αυτή είναι μια επίθεση εκβιασμού και με βάση την αξία των δεδομένων σας. Χρειάζεται μόνο ένα κλικ για να χάσετε όλα τα δεδομένα σας, και εάν δεν έχετε αντίγραφα η μόνη σωτηρία είναι να πληρωθούν τα λύτρα.
Πειρατεία: Η πηγή όλων των trojans
Με την οικονομική κρίση, ιδιώτες, τεχνικοί υπολογιστών, μικρές επιχειρήσεις ακόμη και ο δημόσιος τομέας έχει πειρατικό λογισμικό εγκατεστημένο στα συστήματά τους. Πειρατικό λογισμικό σημαίνει ότι τα τέλη αδείας δεν είχαν καταβληθεί ώστε να χρησιμοποιήσουν το λογισμικό. Τα πειρατικά λογισμικά προέρχονται από ομάδες ανθρώπων που αλλοιώνουν την κανονική λειτουργία του λογισμικού για να αποφεύγουν να πληρώσουν τον κατασκευαστή. Μπορεί να πάρουμε το πειρατικό λογισμικό δωρεάν, αλλά συνήθως περιλαμβάνει και ένα trojan το οποίο δίνει πλήρη πρόσβαση στον δημιουργό του. Οι χάκερς βλέπουν την ανάγκη για την πειρατεία, ειδικά σε χώρες που δεν σέβονται τα πνευματικά δικαιώματα και έτσι φυτεύουν "πίσω πόρτες" (backdoor trojans) στο σπασμένο πειρατικό λογισμικό.
Τρέχοντας πειρατικό λογισμικό στα μηχανήματά σας τα μετατρέπει σε περιουσιακά στοιχεία για τους χάκερς, χρησιμοποιώντας τους πόρους σας σε διάφορα άλλα διαδικτυακά εγκλήματα. Ένας χάκερ μπορεί να πωλήσει ή να κάνει κατάχρηση των πόρων του δικτύου του υπολογιστή σας (CPU power, το εύρος ζώνης του δικτύου, διευθύνσεις IP, κ.λπ) ελέγχοντας τα πάντα από απόσταση. Αυτό τους βοηθά να κρύβουν τα ίχνη τους.
Η εποχή του "Αποδέχομαι την πρόσβαση" (Allow Access)
Έχετε παρατηρήσει ότι το έξυπνο τηλέφωνό σας, κάθε τόσο ζητά να του επιτραπεί πρόσβαση στις επαφές, μηνύματα, φωτογραφίες, τοποθεσία, μικρόφωνο ή κάμερα, κ.λπ; Αυτό γίνεται για να βεβαιωθείτε ότι οι εφαρμογές που εγκαθίστανται από το AppStore ή GooglePlay δεν κάνουν κατάχρηση των δεδομένων σας.
Παράδειγμα Truecaller:
Το Truecaller χρησιμοποιείται ως παράδειγμα διαρροή δεδομένων σε δωρεάν υπηρεσίες που χρησιμοποιούνται από εκατομμύρια ανθρώπους. Αν έχετε ακούσει για Truecaller τότε αυτό το παράδειγμα θα σας επιτρέψει να δείτε τη σημασία του περιορισμού της πρόσβασης στις συσκευές σας. Η εφαρμογή σάς επιτρέπει να αναζητήσετε σε μια μεγάλη βάση δεδομένων ένα αριθμό τηλεφώνου για ένα να βρείτε το όνομα του ιδιοκτήτη.
Ο τρόπος που ουσιαστικά λειτουργεί είναι:
Το Truecaller ζητά πρόσβαση στις επαφές σας, για να γίνει ανταλλαγή της δωρεάν υπηρεσίας των χάκερ με τα δεδομένα σας! Στην περίπτωση αυτή, οι επαφές σας θα αντιγραφούν και θα ανέβουν στο Truecaller, όπου είναι μόνιμα αποθηκευμένα στη βάση δεδομένων τους. Αν προσθέσετε ή επεξεργαστείτε μια επαφή στο τηλέφωνό σας, στη συνέχεια, το Truecaller θα ενημερωθεί με την επαφή από το τηλέφωνό σας.
Ένα απλό πάτημα "Να επιτρέπεται η πρόσβαση" ή "Αποδοχή και Εγκατάσταση" είναι αρκετό για να χορηγήσει μόνιμη πρόσβαση σε μια εφαρμογή που βρίσκεται στη συσκευή σας.
Open WiFi η αθώα αόρατη απειλή
Οι περισσότεροι χρησιμοποιούν το διαδίκτυο με ασύρματες συσκευές, φορητούς υπολογιστές και ταμπλέτες. Αυτές οι συσκευές χρησιμοποιούν τη δημοφιλή τεχνολογία WiFi για να συνδεθούν στο διαδίκτυο. Από τον καιρό όμως, που εφευρέθηκε το WiFi οι ανησυχίες για την ασφάλεια είναι μεγάλες, ειδικά για την ασύρματη παρακολούθηση προσωπικών δεδομένων μέσω του αέρα.
Το WiFi είναι ασφαλή μόνο όταν το χρησιμοποιούμε σωστά
Αν κάποιος γνωρίζει τον κωδικό του WiFi σας, τότε η κρυπτογράφηση είναι άχρηστη καθώς είναι σε θέση να αποκωδικοποιήσει τα δεδομένα με τον κωδικό πρόσβασης.
Το ανοιχτό WiFi είναι παντού, αεροδρόμια, καφετέριες, εμπορικά κέντρα, κ.λπ. Αυτό που μπορεί να μην ξέρετε είναι ότι το ανοικτό WiFi δεν προστατεύει τη διαβίβαση των δεδομένων σας και ό,τι στέλνετε ή λαμβάνετε στο δίκτυο μπορεί να παραβιαστεί από άλλους στο ίδιο δίκτυο. Επίσης τα ανοιχτά δίκτυα επιτρέπουν σε ένα χάκερ να χειραγωγήσει τις ιστοσελίδες που επισκέπτεστε, με αποτέλεσμα να επιτρέπει στον εισβολέα να αλλάξει το περιεχόμενο στην οθόνη σας και να ξεγελάσει τον χρήστη ώστε να κατεβάσετε και να εγκαταστήσετε trojans κ.λπ.
Αποφύγετε τη χρήση ανοικτών δικτύων WiFi
Οι χάκερς πάνε σε δημοφιλή τοποθεσίες και εγκαθιστούν hotspots ανοιχτού WiFi. Έχετε δει ποτέ δίκτυα σε αεροδρόμια που ονομάζεται "free internet” ή παρόμοιο; Κατά πάσα πιθανότητα είναι ψεύτικο. Οι χάκερς σε δημόσιους χώρους αναμένουν από τα μελλοντικά θύματα να χρησιμοποιούν το δίκτυό τους.
ΒΟΧ
Επιχειρήσεις που κινδυνεύουν περισσότερο
Λιανικό εμπόριο
Οι επιχειρήσεις λιανικής πώλησης διαθέτουν πολλές πληροφορίες πελατών, συμπεριλαμβανομένων των στοιχείων πιστωτικών και χρεωστικών καρτών, ενώ οι online λιανικές πωλήσεις βρίσκονται σε άνοδο σε παγκόσμιο επίπεδο. Θεωρούνται ευάλωτες σε "πάγωμα" από τους χάκερς, με αντίκτυπο στα έσοδα από τις online πωλήσεις. Παράλληλα, τα αυξανόμενα περιστατικά υποκλοπής πιστωτικών καρτών έχουν αντίκτυπο στις επιχειρήσεις που χρησιμοποιούν τερματικά για συναλλαγές με κάρτες (POS).
Πανεπιστήμια
Τα πανεπιστήμια και τα κολέγια συγκεντρώνουν πολλά εμπιστευτικά δεδομένα. Η απομακρυσμένη πρόσβαση στα εταιρικά δίκτυα, τα μέσα κοινωνικής δικτύωσης και το λογισμικό διαχείρισης ακαδημαϊκών συναλλαγών επιβαρύνουν την έκθεση στον κίνδυνο, ενώ κάποια από τα εκπαιδευτικά αυτά ιδρύματα ενδέχεται να μην έχουν τα υψηλότερα επίπεδα ασφάλειας.
Ξενοδοχειακές, ταξιδιωτικές και επιχειρήσεις αναψυχής
Οι εταιρείες που δραστηριοποιούνται σε αυτούς τους τομείς είναι εκτεθειμένες, μεταξύ άλλων, σε υψηλούς κινδύνους σχετικά με τα προσωπικά δεδομένα καθώς αποτελούν μέρος μιας παγκόσμιας βάσης δεδομένων με online συναλλαγές, Dos επιθέσεις και απάτες πιστωτικών καρτών. Ο τομέας αυτός έχει κτυπηθεί από πολλές ζημιές "υψηλού προφίλ" μετά από χακάρισμα σε συστήματα πληρωμών. Επίσης, εταιρείες που δουλεύουν με δικαιοπάροχους (franchisees) πρέπει να εξασφαλίζουν ότι οι τελευταίοι τηρούν τα προβλεπόμενα πρότυπα ασφαλείας δεδομένων για την προστασία της επωνυμίας από οποιαδήποτε δυσφήμιση σχετίζεται με την παραβίαση της ασφάλειας των δεδομένων ή της ιδιωτικής ζωής.
Χρηματοπιστωτικά ιδρύματα
Τα χρηματοπιστωτικά ιδρύματα αποτελούν μία από τις πιο στοχευμένες βιομηχανίες από τους χάκερς και η πλειονότητα των παραβιασμένων αρχείων προέρχεται από τον συγκεκριμένο τομέα. Τα χρηματοπιστωτικά ιδρύματα κατέχουν σημαντικές προσωπικές πληροφορίες όπως οι εξής: πλήρης ονόματα, αριθμοί τηλεφώνων, διευθύνσεις, στοιχεία πιστωτικών καρτών, ιστορικά πιστώσεων. Οι τραπεζικές συναλλαγές μέσω διαδικτύου ή κινητού τηλεφώνου έχουν υποβάλει τον κλάδο σε νέες απειλές εισβολής. Ο ακτιβισμός των χάκερ έχει επίσης ως αποτέλεσμα την αύξηση των επιθέσεων άρνησης υπηρεσίας κατά των υπηρεσιών επεξεργασίας πληρωμών και άλλων χρηματοοικονομικών υπηρεσιών.