Η πανδημία της νόσου του κορωνοϊού - COVID 19 επηρεάζει άμεσα την καθημερινότητά μας. Δυστυχώς, όπως και στην περίπτωση
άλλων φυσικών καταστροφών , ο κορωνοϊός
έχει και μία ακόμα πολύ επικίνδυνη συνέπεια: δημιουργεί πρόσφορο έδαφος και «ευκαιρίες» για απάτες
Σε διεθνές επίπεδο έχουν ήδη καταγραφεί πολυάριθμα σχήματα και πρακτικές απάτης που εκμεταλλεύ-
ονται τον φόβο και την ανασφάλεια των ανθρώπων για τον κορωνοϊό.
Η παρουσίαση αποσκοπεί στην ευαισθητοποίηση και την ενημέρωση των πολιτών σχετικά με τις
συνηθέστερες πρακτικές εξαπάτησης και στην παροχή συμβουλών για την προστασία τους από
τους επιτήδειους.
Λογισμικό το οποίο έχει σχεδιαστεί ειδικά για να προκαλέσει ζημιά ή να αποκτήσει μη
εξουσιοδοτημένη πρόσβαση σε ένα σύστημα υπολογιστή.
αναφέρονται σε κρυφές εντολές προγραμμάτων ή δεδομένα τα οποία εκτελούνται χωρίς προειδοποίηση από διάφορες διαδικασίες (διάβασμα ενός e-mail).
Πρόγραμμα τα οποίο πολλαπλασιάζει τον εαυτό του εισβάλλει σε όσο το δυνατόν περισσότερα συστήματα υπολογιστών
Η επικινδυνότητα των worms έγκειται στο ότι επιτρέπουν μια ποικιλία επιθέσεων μέσω του Internet.
Πρόγραμμα το οποίο παραμένει ανενεργό μέχρι κάποια ενέργεια του χρήστη να το ενεργοποιήσει. Τότε το Trojan horse εκτελεί τις επιβλαβείς λειτουργίες του.
Μπορεί π.χ. να δημιουργεί ένα backdoor (σημείο πρόσβασης) με ανοιχτά δικαιώματα χρήσης
Πρόκειται για απειλές που στοχεύουν απευθείας στο χρήστη μέσω εκμετάλλευσης
αδυναμιών στους φυλλομετρητές (browsers), καθώς και στα συστήματα διαχείρισης
περιεχομένου (content management systems). Κυριότερα είδη επιθέσεων αυτής της
κατηγορίας αποτελούν τα browser exploits, drive-by downolads, watering hole attacks κ.α.
Προσέξτε τα παραπλανητικά emails (phishing emails). Σε εισερχόμενο email που φαίνεται ύποπτο (π.χ. το όνομα του αποστολέα είναι άγνωστο, το περιεχόμενο εμφανίζει μία αίσθηση «επείγοντος», το email του αποστολέα δεν δείχνει νόμιμο) μην ανοίξετε το επισυναπτόμενο αρχείο και μην επισκεφθείτε το σύνδεσμο (link) που εμφανίζεται στο κείμενο του email, καθώς αποτελούν τους συνηθέστερους τρόπους να μολυνθεί ο υπολογιστής σας με κακόβουλο λογισμικό.
Κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ή τηλεφωνικές συνδιαλλαγές, οι
οποίες αποσκοπούν στο να παραπλανήσουν τους χρήστες και να αποκαλύψουν
εμπιστευτικές πληροφορίες.
Αναφερόμενες και ως SPAM, αυτές οι επιθέσεις περιλαμβάνουν την αποστολή
ανεπιθύμητης αλληλογραφίας σε χρήστες. Η εν λόγω αλληλογραφία χαρακτηρίζεται από
το πολύ μικρό κόστος αποστολής των μηνυμάτων, την ενόχληση που προκαλεί στους
χρήστες, αλλά και την εν δυνάμει μετεξέλιξη των μηνυμάτων σε απειλή phishing.
Σπαμ (spam) ονομάζεται η μαζική αποστολή ηλεκτρονικών μηνυμάτων, σε μια προσπάθεια προώθησης προϊόντων ή ιδεών. Λόγω του χαμηλού κόστους αποστολής, η αποστολή γίνεται σε μεγάλο αριθμό αποδεκτών. Πρόκειται για παγκόσμιο και πολύ εκτεταμένο φαινόμενο. Το spam περιλαμβάνει επίσης μηνύματα που αποστέλλονται μέσω κινητού τηλεφώνου (SMS, MMS), υπηρεσίες instant messaging, blogs, κ.α.
Επιθέσεις άρνησης υπηρεσίας (Denial of Service – DoS attacks)
Επιθέσεις κατά τις οποίες μεγάλος όγκος διαδικτυακής κίνησης στοχεύει σε μια υπηρεσία,
με σκοπό να καταστεί αδύνατο από τα συστήματα να εξυπηρετήσουν νόμιμα αιτήματα.
Ουσιαστικά, εκμεταλλεύονται την πεπερασμένη χωρητικότητα συστημάτων και δικτύων,
ώστε να καταστήσουν αδύνατη την παροχή υπηρεσιών (απώλεια διαθεσιμότητας).
Επιθέσεις άρνησης εξυπηρέτησης (Df-service attack, DoS attack) ονομάζονται γενικά οι επιθέσεις εναντίον ενός υπολογιστή, ή μιας υπηρεσίας που παρέχεται, οι οποίες έχουν ως σκοπό να καταστήσουν τον υπολογιστή ή την υπηρεσία ανίκανη να δεχτεί άλλες συνδέσεις και έτσι να μην μπορεί να εξυπηρετήσει άλλους πιθανούς πελάτες.
Κλοπή ταυτότητας χρήστη (identity theft)
Ο επιτιθέμενος αποκτά δεδομένα προσωπικού χαρακτήρα του χρήστη (passwords, afm social
security numbers κ.α.), με αποτέλεσμα την ιδιοποίηση της ταυτότητας του χρήστη
(impersonation) και με σκοπό το οικονομικό όφελος (αγορές προϊόντων μέσω πιστωτικών
καρτών, παράνομη επιστροφή φόρου κ.λπ.) εις βάρος του.
Παραβιάσεις προσωπικών δεδομένων
Επιθέσεις οι οποίες αποσκοπούν στη διαρροή, αλλοίωση ή μη διαθεσιμότητα προσωπικών
δεδομένων. Σύμφωνα με τον Κανονισμό της Ε.Ε. 2016/679, τέτοιου είδους επιθέσεις
νοούνται ως παραβιάσεις δεδομένων προσωπικού χαρακτήρα οι οποίες χρήζουν άμεσης
αντιμετώπισης. Eik;ona diarro;ew
Απειλές που προέρχονται από στελέχη Φορέων που εργάζονται ή εργάζονταν σε έναν
Οργανισμό, καθώς και εξωτερικών συνεργατών, οι οποίοι κατέχουν εσωτερική
πληροφόρηση σχετικά με τις πρακτικές ασφάλειας, τα υπολογιστικά συστήματα και τα
δεδομένα του Οργανισμού.
Οι εν λόγω απειλές μπορούν να οδηγήσουν σε πλήθος
επιθέσεων που περιγράφονται στην παρούσα ενότητα, συνήθως με πολύ μεγάλο
αντίκτυπο για τον Φορέα και είναι εξαιρετικά δύσκολο να διαγνωσθούν ή/και
αντιμετωπισθούν.
Botnet ορίζεται ένα δίκτυο υπολογιστών, το οποίο ελέγχεται εξ αποστάσεως από τον λεγόμενο botmaster χωρίς τη γνώση ή την έγκριση των κατόχων των μεμονωμένων υπολογιστών. Οι υπολογιστές που είναι μέλη του δικτύου αυτού ονομάζονται ζόμπι. Ο botmaster μπορεί να χρησιμοποιεί αυτούς τους υπολογιστές-ζόμπι για διάφορους παράνομους σκοπούς
Δίκτυα τα οποία αποτελούνται από υπολογιστικές συσκευές ανυποψίαστων χρηστών που
έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται κεντρικά από κάποιον
επιτιθέμενο, προκειμένου να χρησιμοποιηθούν ομαδικά στην αποστολή μηνυμάτων
ανεπιθύμητης αλληλογραφίας, σε επιθέσεις άρνησης υπηρεσίας, σε cryptojacking, κλπ.
Λογισμικό λύτρων (ransomware)
Το Ransomware είναι ένα είδος κακόβουλου λογισμικού εκβίασης, το οποίο κρυπτογραφεί τα δεδομένα του πληροφοριακού
συστήματος, με αντάλλαγμα την καταβολή λύτρων
Στην ανακοίνωση της ΕΛΑΣ αναφέρεται ότι τις τελευταίες ημέρες παρατηρείται αύξηση της διεθνώς γνωστής απάτης μέσω σεξουαλικής εκβίασης «sextortion scam», που εκδηλώνεται με μαζική αποστολή μηνυμάτων σε διάφορους αποδέκτες ανεξαρτήτου φύλου και ηλικίας, με σκοπό την εξαπάτησή τους.
Συγκεκριμένα, άγνωστοι δράστες στέλνουν μαζικά μηνύματα σε αποδέκτες και τους τους γνωστοποιούν ότι έχει εγκατασταθεί κακόβουλο λογισμικό, μετά από την επίσκεψή τους σε κάποιον ιστότοπο, το οποίο έχει ενεργοποιήσει την κάμερα και τους έχει καταγράψει σε προσωπικές στιγμές.
Στη συνέχεια αναφέρεται ότι το κακόβουλο λογισμικό έχει συλλέξει όλες τις επαφές των χρηστών από τα μέσα κοινωνικής δικτύωσης και οι δράστες απειλούν με την αποστολή του επίμαχου υλικού στις επαφές τους, σε περίπτωση που δεν λάβουν bitcoins.
Cryptojacking
Τεχνικές που χρησιμοποιούν την υπολογιστική ισχύ του υπολογιστή του χρήστη με σκοπό
την άντληση (mining) κρυπτονομισμάτων (bitcoins).
Το Industrial Internet of Things αναφέρεται σε τεχνολογίες όπως είναι οι
διασυνδεδεμένοι αισθητήρες (connected sensors) και άλλες συσκευές, οι οποίες
δικτυώνονται με τα υπάρχοντα βιομηχανικά συστήματα και εισάγουν νέα κανάλια
ανταλλαγής πληροφορίας μεταξύ διασυνδεδεμένων σταθμών και του Cloud, με συνέπεια
την αύξηση της επιφάνειας επίθεσης (attack surface) και τη συνακόλουθη ανάγκη
εφαρμογής εξειδικευμένων μέτρων ασφάλειας.
Στα πλαίσια του ΙοΤ, κάθε «έξυπνο» αντικείμενο έχει τη δυνατότητα να συνδέεται στο Διαδίκτυο και να επικοινωνεί με άλλα «έξυπνα» αντικείμενα, γεγονός που γεννά νέου είδους ζητήματα ασφάλειας και ιδιωτικότητας. Υπό αυτές τις συνθήκες, όσο πιο αυτόνομο γίνεται ένα αντικείμενο και ικανό να αναλαμβάνει πρωτοβουλίες, όλο και περισσότερα ζητήματα ασφάλειας αναδύονται.
Η διαρροή των πιο προσωπικών δεδομένων σε τρίτους, μπορεί να γίνει με τον πιο απρόσμενο τρόπο: Ο προσωπικός ψηφιακός βοηθός Amazon Alexa, κατέγραψε μια συνομιλία που έκανε ένα ζευγάρι μέσα στο σπίτι του και μετά έστειλε το ψηφιακό ηχητικό αρχείο σε τρίτο, το όνομα του οποίου περιλαμβανόταν στις «επαφές» του ζευγαριού.
https://left.gr/news/exypno-alla-adiakrito-iheio-amazon-alexa-apesteile-idiotiki-synomilia-zeygarioy-se-trito
To eavesdropping είναι η υποκλοπή που εστιάζει στη λήψη μικρών πακέτων από το δίκτυο τα οποία μεταδίδονται από άλλους υπολογιστές και στην ανάγνωση του περιεχομένου των δεδομένων τους σε αναζήτηση οποιουδήποτε τύπου πληροφοριών. Αυτός ο τύπος επίθεσης δικτύου είναι γενικά ένας από τους πιο αποτελεσματικούς όταν υπάρχει έλλειψη υπηρεσιών κρυπτογράφησης.
Ο όρος IP spoofing στην επιστήμη των υπολογιστών αναφέρεται στην δημιουργία πακέτων IP με ψεύτικη διεύθυνση προέλευσης ούτως ώστε να συγκαλυφθεί η ταυτότητα του αποστολέα του πακέτου και ο παραλήπτης να νομίζει ότι προήλθε από άλλον υπολογιστή.
Packet sniffer ή απλώς sniffer, επίσης αποκαλούμενο network monitor ή network analyzer, είναι λογισμικό με δυνατότητα παρακολούθησης των πακέτων ενός δικτύου. Όταν γίνει αντιληπτό κάποιο πακέτο το οποίο ικανοποιεί συγκεκριμένα κριτήρια, καταγράφεται σε ένα αρχείο.
to password attack είναι μια προσπάθεια απόκρυψης ή αποκρυπτογράφησης του κωδικού πρόσβασης ενός χρήστη για παράνομη χρήση. Οι χάκερ μπορούν να χρησιμοποιήσουν διάφορες προγραμματιστικές τεχνικές για να κλεψουν τους κωδικούς. Η καλύτερη άμυνα κατά των password attacks είναι μια πολιτική για κωδικούς πρόσβασης που περιλαμβάνει μεγάλο μήκος κωδικών, μη αναγνωρίσιμες λέξεις, σημεία στίξης και συχνές αλλαγές.
Ένας βασικός κανόνας ασφαλούς πλοήγησης στο διαδίκτυο είναι να μην κατεβάζουμε μουσική και παιχνίδια από site τα οποία δεν εμπιστευόμαστε γιατί είναι πολύ πιθανό να κολλήσουμε κάποιον ιό. Επίσης όταν κατεβάζουμε peer-to-peer αρχεία είναι επίσης πιθανό, χωρίς να το αντιληφθούμε, να αποθηκεύσουμε στον υπολογιστή μας ακατάλληλο και επικίνδυνοπεριεχόμενο.
Εγκαταστήστε στον υπολογιστή σας λογισμικό antivirus και προστασία firewall και διατηρείτε τα ενημερωμένα.
Στην επιστήμη των υπολογιστών ο όρος firewall ή τείχος προστασίας χρησιμοποιείται για να δηλώσει κάποια συσκευή ή πρόγραμμα που είναι ρυθμισμένο ώστε να επιτρέπει ή να απορρίπτει πακέτα δεδομένων που περνούν από ένα δίκτυο υπολογιστών σε ένα άλλο.
Αποφύγετε τη χρήση αμφιλεγόμενων εφαρμογών. Χρησιμοποιείτε μόνο αυθεντικό λογισμικό και μην κάνετε λήψη εφαρμογών από άγνωστες πηγές. Δεν είναι καλή πρακτική να εγκαθιστούμε δοκιμαστικά λογισμικά, καθώς επιβαρύνουμε το μητρώο του υπολογιστή μας.
Χρησιμοποιείτε σύνθετους κωδικούς πρόσβασης. Χρησιμοποιείτε έναν κωδικό πρόσβασης που είναι δύσκολο να μαντέψετε και να περιέχει συνδυασμό αριθμών, κεφαλαίων και πεζών γραμμάτων και συμβόλων. Το ιδανικό μήκος των κωδικών πρόσβασής σας πρέπει να είναι περίπου 10-12 χαρακτήρες. Αποφύγετε τη χρήση προσωπικών δεδομένων, κοινών λέξεων που γράφονται προς τα πίσω και ακολουθιών χαρακτήρων και αριθμών ως κωδικό πρόσβασης.
Η χρήση του ίδιου κωδικού πρόσβασης για σημαντικούς λογαριασμούς ενέχει κινδύνους. Εάν κάποιος αποκτήσει τον κωδικό πρόσβασης για έναν από τους λογαριασμούς σας, μπορεί να αποκτήσει πρόσβαση στο ηλεκτρονικό ταχυδρομείο, τη διεύθυνσή σας καθώς και στα χρήματά σας.
Στίχους από ένα τραγούδι ή ένα ποίημα
Μια σημαντική φράση από μια ταινία ή ομιλία
Ένα απόσπασμα από ένα βιβλίο
Μια σειρά από λέξεις που έχουν σημασία για εσάς
Μια συντομογραφία: Δημιουργήστε έναν κωδικό πρόσβασης από το πρώτο γράμμα κάθε λέξης σε μια πρόταση
Χρησιμοποιείτε αυθεντικοποίηση 2 παραγόντων (2-factor authentication), όπου υποστηρίζεται. Η μέθοδος αυτή παρέχει δύο επίπεδα μέτρων ασφαλείας, οπότε εάν ένας εισβολέας μπορεί να μαντέψει με ακρίβεια τον κωδικό πρόσβασής σας, υπάρχει ακόμη ένα επιπλέον μέτρο ασφαλείας για να διασφαλιστεί ότι δεν θα παραβιαστεί ο λογαριασμός σας.
Εστω ότι προσπαθείτε να αποκτήσετε πρόσβαση σε έναν από τους τραπεζικούς λογαριασμούς σας που χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων. Αυτό σημαίνει ότι στην αρχή αποκτάτε πρόσβαση στον λογαριασμό σας εισάγοντας το όνομα χρήστη και τον κωδικό πρόσβασής σας. Στη συνέχεια, η τράπεζά σας στέλνει έναν κωδικό πρόσβασης στο κινητό σας για να ολοκληρώσετε τη διαδικασία σύνδεσης.
Τι γίνεται όμως αν οι απατεώνες μπορούν να αλλάξουν την κάρτα SIM που είναι συνδεδεμένη στον αριθμό του κινητού σας; Αυτό θα τους έδινε τον έλεγχο αυτού του αριθμού – και αυτόματα αποκτούν τον κωδικό πρόσβασης για τον λογαριασμό σας.
Οι απατεώνες καλούν τον πάροχο κινητής τηλεφωνίας σας, και ισχυρίζονται ότι έχουν χάσει ή καταστρέψει την κάρτα SIM. Στη συνέχεια, ζητούν από τον αντιπρόσωπο εξυπηρέτησης πελατών να ενεργοποιήσει μια νέα κάρτα SIM που βρίσκεται στην κατοχή του απατεώνα. Αυτό μεταφέρει τον αριθμό τηλεφώνου σας στη συσκευή του που περιέχει διαφορετική κάρτα SIM.
Αν δεν μπορείτε να πραγματοποιήσετε κλήσεις ή να στείλετε μηνύματα αυτό πιθανότατα σημαίνει ότι οι απατεώνες απενεργοποίησαν την κάρτα SIM και χρησιμοποιούν τον αριθμό τηλεφώνου σας.
Η εμφάνιση του εικονιδίου με το κίτρινο λουκέτο σε μια διαδικτυακή
τοποθεσία είναι σημάδι ασφαλούς ιστοσελίδας, επειδή το κλειστό
λουκέτο υποδεικνύει πως η ιστοσελίδα χρησιμοποιεί κρυπτογράφηση
για την προστασία των ευαίσθητων προσωπικών πληροφοριών που
εισάγετε (αριθμός της πιστωτικής σας κάρτας ή άλλη πληροφορία
ταυτοποίησης). Όμως, το εικονίδιο με το κίτρινο λουκέτο μπορεί να είναι
ψεύτικο. Για να διασφαλίσετε τη γνησιότητά του κάντε διπλό κλικ για να
διαπιστώσετε το πιστοποιητικό ασφαλείας της τοποθεσίας. Το όνομα
που ακολουθεί το “Issued to” (Εκδόθηκε για), θα πρέπει να αντιστοιχεί
με το όνομα της διαδικτυακής τοποθεσίας. Εάν το όνομα διαφέρει,
πιθανόν να βρίσκεστε σε μια ψεύτικη τοποθεσία, γνωστή και ως
“spoofed” (πλαστή) τοποθεσία. Εάν δεν είστε σίγουροι εάν
το πιστοποιητικό είναι νόμιμο, μην εισάγετε προσωπικά δεδομένα.
Λαμβάνετε τακτικά αντίγραφα ασφαλείας των δεδομένων σας σε εξωτερικούς σκληρούς δίσκους ή στο Cloud για να διατηρήσετε τα δεδομένα σας αποθηκευμένα με ασφάλεια.
Πλοηγηθείτε στο Internet με ασφάλεια. Αποφύγετε ιστοσελίδες που είναι περισσότερο πιθανό να είναι μολυσμένες. Στον browser που χρησιμοποιείτε προσέξτε τα παρακάτω:να έχετε εγκατεστημένη πάντα την τελευταία έκδοση,
να ρυθμίσετε ώστε να λαμβάνει ενημερώσεις αυτόματα,
να μην επιλέγετε την αποθήκευση των κωδικών πρόσβασης στον browser,
να ενισχύσετε τις ρυθμίσεις ιδιωτικότητας (privacy settings).
Πλοηγηθείτε με ιδιαίτερη προσοχή όταν συνδέεστε σε δημόσια Wi-Fi hotspots. Σε αυτά οι προσωπικές σας πληροφορίες συχνά μπορούν πιο εύκολα να υποκλαπούν.
Βεβαιωθείτε ότι κάθε ιστοσελίδα μέσω της οποίας αποστέλλετε προσωπικές πληροφορίες (κωδικοί πρόσβασης, αριθμό πιστωτικής κάρτας κ.α.) λειτουργεί με το πρωτόκολλο https. Αυτό σημαίνει ότι:η διεύθυνση αρχίζει με “https://” και
αριστερά του “https://” υπάρχει ένα μικρό λουκέτο, που δηλώνει ότι η σύνδεση είναι ασφαλής και ότι η ιστοσελίδα διαθέτει ισχύον πιστοποιητικό (valid certificate).
Τέλος, δώστε ιδιαίτερη προσοχή στο είδος των πληροφοριών της προσωπικής και επαγγελματικής σας ζωής που αναρτάτε στα κοινωνικά δίκτυα.