Το ηλεκτρονικό ψάρεμα (phishing) είναι μια απάτη κατά την οποία ένας κυβερνοεγκληματίας προσπαθεί να σας εξαπατήσει ώστε να παραχωρήσετε ευαίσθητα δεδομένα (π.χ. διαπιστευτήρια σύνδεσης, στοιχεία πιστωτικής κάρτας, κωδικοί κ.λπ.) ή να εγκαταστήσετε κακόβουλο λογισμικό στον υπολογιστή σας.
Ο κυβερνοεγκληματίας σας δελεάζει με δόλωμα και ελπίζει ότι θα «τσιμπήσετε», χωρίς να συνειδητοποιήσετε ότι έχετε πάρει το δόλωμα έως ότου το αγκίστρι είναι ήδη μέσα σας.
Υπάρχουν διάφοροι τύποι απάτης phishing—τα δέλεαρ, τα άγκιστρα, οι στόχοι μπορεί να διαφέρουν από απάτη σε απάτη.
Οι 9 πιο συχνές απάτες phishing που πρέπει να προσέχετε το 2024:
- Email phishing
- Spear phishing
- Whaling
- Smishing
- Calendar phishing
- Quishing
- Vishing
- Deepfake phishing
- Angler phishing
Email phishing
Κάποιος σας στέλνει ένα ψεύτικο email που μοιάζει πολύ με ένα επίσημο email θέλοντας να σας κάνει να πατήσετε κλικ σε έναν σύνδεσμο ή ένα κουμπί. Αυτά τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου τείνουν να μιμούνται δημοφιλείς εταιρείες με προϊόντα ή υπηρεσίες που πιθανότατα χρησιμοποιείτε, όπως το Amazon, το Google, το LinkedIn ή το PayPal, Instagram, TikTok, Yahoo etc. Η πιο συχνά πλαστογραφημένη εταιρεία, όμως είναι η Microsoft.
Προσπαθεί να σας πείσει με μεθόδους πειθούς και επικλήσεις στο συναίσθημα, είτε ότι έχετε χρεωθεί αστρονομικά ποσά, είτε ότι έχετε χρεωθεί μικρά ποσά, είτε ότι ο λογαριασμός σας έχει κλειδωθεί, καθώς και πολλά άλλα.
Spear phishing
Το Spear phishing είναι ένα συγκεκριμένο είδος ηλεκτρονικού ψαρέματος που στοχεύει ένα συγκεκριμένο άτομο και ενσωματώνει προσωπικές πληροφορίες στην επίθεση, προκειμένου ο στόχος να πιστεύει ότι είναι νόμιμος.
Ενσωματώνοντας γνωστές λεπτομέρειες στο email (π.χ. το αφεντικό σας ή έναν πελάτη με τον οποίο συνεργαζόσασταν προηγουμένως), η ελπίδα είναι ότι θα μειώσετε την επιφυλακή σας και θα αντιμετωπίσετε ολόκληρο το μήνυμα ως αξιόπιστο.
Το spear phishing, είναι σημαντικό να καταλαβαίνουμε ότι στοχεύει σε ένα συγκεκριμένο άτομο. Οι επιθέσεις αυτές θα μπορούσαν επίσης να στοχεύσουν σε πολλαπλές πλατφόρμες μηνυμάτων.
Whaling
Η «φαλαινοθηρία» είναι ένας ειδικός τύπος ψαρέματος, απευθύνεται επίσης σε ένα άτομο ή έναν οργανισμό. Ωστόσο, είναι συνήθως κάποιος που έχει πολλά να χάσει, όπως διευθυντές, προσωπικότητες, πολιτικά πρόσωπα ή πλούσιες οικογένειες. Αφορά σε μεγάλους δυνητικούς πελάτες.
Τα κοινά θύματα περιλαμβάνουν ανώτερα στελέχη, Οικονομικούς Διευθυντές και Διευθύνοντες Συμβούλους διότι συνήθως εκείνοι έχουν την άμεση πρόσβαση σε προνομιακά δεδομένα ή και σε μεγάλα χρηματικά ποσά.
Τέτοιες επιθέσεις δύνανται να προκαλέσουν οικονομικές απώλειες εκατομμυρίων ή ακόμα και πρόσβαση σε ασφαλή συστήματα και δίκτυα.
Smishing
Το smishing, συντομογραφία του SMS phishing, αφορά την αποστολή παραπλανητικών μηνυμάτων στα κινητά τηλέφωνα των θυμάτων.
Συχνά, τα μηνύματα αυτά ισχυρίζονται ότι προέρχονται από αξιόπιστες πηγές, γνωστές εταιρείες και οργανισμούς και περιλαμβάνουν συνδέσμους ή προτροπές για την αποκάλυψη προσωπικών πληροφοριών ή την εγκατάσταση κακόβουλων εφαρμογών.
Όπως αντιλαμβάνεσαι, ο συγκεκριμένος τύπος επίθεσης δεν αποτελεί internet phishing, δε συνιστά, δηλαδή, ηλεκτρονικό ψάρεμα, καθώς δε γίνεται μέσω Διαδικτύου. Χαρακτηριστικό μπορεί να είναι κάποιο sms ότι έχετε παραγγείλει κάτι και δεν μπόρεσε η εταιρεία courier να το παραδώσει. Αυτό συνήθως έχει και ένα link μέσα. Γενικότερα αποκλεισμό και αναφορά σε τέτοια μηνύματα και αριθμούς.
Calendar phishing
Έχετε λάβει ποτέ μια αυτόκλητη πρόσκληση εκδήλωσης του Ημερολογίου Google ή του Outlook; Αν ναι, έχετε πληγεί από ηλεκτρονικό ψάρεμα ημερολογίου (Calendar phishing).
Το phishing ημερολογίου είναι μια τεχνική που χρησιμοποιεί διαδικτυακές προσκλήσεις ημερολογίου για να σας εξαπατήσει ώστε να κάνετε κλικ σε κακόβουλους συνδέσμους που είναι ενσωματωμένοι σε αυτές τις προσκλήσεις. Είναι λιγότερο συχνό από το ηλεκτρονικό ψάρεμα, αλλά πιο επικίνδυνο επειδή είναι λιγότερο πιθανό να είστε ύποπτοι για τις προσκλήσεις στο ημερολόγιο.
Είναι ιδιαίτερα επικίνδυνο εάν χρησιμοποιείτε μια εφαρμογή ημερολογίου που προσθέτει αυτόματα προσκλήσεις στο ημερολόγιό σας. Ποτέ μην κάνετε κλικ σε συνδέσμους μέσα σε αυτόκλητες προσκλήσεις ημερολογίου και φροντίστε να απενεργοποιήσετε τυχόν λειτουργίες αυτόματης προσθήκης.
Quishing (ή phishing κωδικού QR)
Το Quishing (γνωστό και ως phishing κωδικού QR) δεδομένου ότι έχει τη σάρωση ενός κωδικού QR είναι βασικά το ίδιο με το να κάνετε κλικ σε έναν σύνδεσμο, οι κίνδυνοι είναι οι ίδιοι—και αυτοί οι ψεύτικοι κωδικοί QR μπορούν να εμφανιστούν οπουδήποτε.
Για παράδειγμα, ο κωδικός QR σε ένα εστιατόριο θα μπορούσε να αντικατασταθεί με έναν ψεύτικο που σας οδηγεί σε έναν ιστότοπο απάτης όπου παραπλανηθείτε για να εισαγάγετε στοιχεία πληρωμής. Ή μπορεί να λάβετε ένα φυλλάδιο στο ταχυδρομείο που θα διαφημίζει κάτι προϊόντα και θα χρησιμοποιεί έναν κωδικό QR που οδηγεί σε έναν ιό.
Οι κωδικοί QR μπορούν επίσης να εμφανίστούν σε κανονικά μηνύματα ηλεκτρονικού ψαρέματος στη θέση των συνδέσμων, εκτός από το ότι δεν μπορείτε να «τοποθετήσετε το δείκτη του ποντικιού πάνω» για να δείτε πού οδηγούν. Αυτός είναι ο λόγος που το quishing γίνεται πιο δημοφιλές μεταξύ των χάκερ.
Vishing (ή φωνητικό ψάρεμα)
Οι απατεώνες μπορεί επίσης να προσπαθήσουν να ψαρέψουν τα θύματα χρησιμοποιώντας αυτοματοποιημένες τηλεφωνικές κλήσεις, γι’ αυτό και αυτή η τεχνική ονομάζεται vishing ((ή φωνητικό ψάρεμα).
Σε μια προσπάθεια vishing, μπορεί να σας καλέσουν από έναν άσχετο αριθμό που μιμείται τον αριθμό ενός πραγματικού προσώπου—που προσπαθεί να σας τρομάξει με νομικές ενέργειες ή οικονομικά προβλήματα. Ορισμένες απόπειρες vishing θα σας αφήσουν ακόμη και φωνητικά μηνύματα. Μπορεί ενδεχομένως να μιμηθούν ακόμη και συγγενικό σας άτομο.
Μια δημοφιλής τακτική vishing επί του παρόντος ισχυρίζεται ότι προέρχεται από μια δικηγορική εταιρεία με ανοιχτή υπόθεση εναντίον σας, απειλώντας ότι αυτή η υποτιθέμενη υπόθεση θα προχωρήσει εάν δεν τους καλέσετε πίσω το συντομότερο δυνατό.
Θα προσπαθήσουν να σας τρομάξουν να πληρώσετε εκατοντάδες ή χιλιάδες ευρώ, ενώ άλλες μπορεί να προσπαθούν να θέλησουν να κλεψουν τα προσωπικά στοιχεία από εσάς.
Deepfake phishing
Το Deepfake phishing χρησιμοποιεί AI τεχνολογία με σκοπό να μιμηθεί φωνές ή εμφανίσεις σε απάτες. Συχνά, οι επιτιθέμενοι υποδύονται πρόσωπα εξουσίας ή αγαπημένα πρόσωπα, ξεγελώντας τα θύματα να αποκαλύψουν προσωπικά δεδομένα ή να στείλουν χρήματα.
Καθώς αυτές οι επιθέσεις γίνονται πιο εξελιγμένες, είναι σημαντικό να παραμείνετε ενημερωμένοι και προσεκτικοί. Η κατανόηση και η καταπολέμηση του deepfake phishing είναι σημαντική για την ασφάλεια στο διαδίκτυο. Μέσω του AI πλέον είναι πολύ πιθανόν ένα βίντεο ή μια ομιλία να φαίνονται πλήρως ρεαλιστικά, αλλά και να σας θυμίζουν ένα δικό σας άτομο.
Μερικοί χάκερ μπορούν ακόμη και να κάνουν deepfakes σε πραγματικό χρόνο και να σας ξεγελάσουν μέσω βιντεοκλήσεων Zoom, ενώ άλλοι μπορεί να κλωνοποιήσουν τη φωνή κάποιου που γνωρίζετε (π.χ. συγγενή σας) και να προσπαθήσουν να σας εξαπατήσουν μέσω τηλεφωνικής κλήσης.
Angler phishing
Αφορά τα μέσα κοινωνικής δικτύωσης και όταν κάποιος υποδύεται έναν επίσημο λογαριασμό μέσων κοινωνικής δικτύωσης και προσπαθεί να σας κάνει να κάνετε κλικ σε έναν σύνδεσμο ή να αποκαλύψετε ευαίσθητες πληροφορίες.
Για παράδειγμα, εάν παραπονεθείτε για το Instagram, ένας εισβολέας μπορεί να υποδυθεί την Υποστήριξη του Instagram και να επικοινωνήσει μαζί σας ιδιωτικά για την επίλυση του προβλήματος — αλλά αυτό που πραγματικά θέλουν είναι να παραδώσετε τα προσωπικά σας στοιχεία.
