Δεν υπάρχει τίποτα που να χαροποιεί περισσότερο έναν κυβερνοεγκληματία από τα πολυδιαφημισμένα γεγονότα, τον ξαφνικό φόβο και την αίσθηση του κατεπείγοντος. Έτσι, οι τίτλοι της περασμένης εβδομάδας ότι «διέρρευσαν 16 δισεκατομμύρια κωδικοί πρόσβασης στη μεγαλύτερη διαρροή δεδομένων όλων των εποχών» ήταν ακριβώς αυτό που περίμεναν. Το γεγονός ότι αυτή η διαρροή «άνοιξε την πρόσβαση» σε λογαριασμούς Apple και Google, τους πιο περιζήτητους απ’ όλους, έκανε την κατάσταση ακόμα πιο γλυκιά για τους επιτιθέμενους.
Το ότι δεν υπάρχει καμία νέα διαρροή δεδομένων που να επηρεάζει άμεσα την Google, την Apple, τη Microsoft ή το Facebook είναι άσχετο. Πρόκειται για ένα συνονθύλευμα από παλαιότερες παραβιάσεις, που συλλέγει δεδομένα από πολλές πηγές, περιλαμβανομένων εργαλείων κατασκοπείας πληροφοριών (infostealers) σε υπολογιστές. Όμως οι χρήστες που διαβάζουν τους τίτλους δεν το καταλαβαίνουν αυτό και δικαιολογημένα πανικοβάλλονται.
Μήνυμα scam: Ο κίνδυνος δεν είναι η διαρροή αλλά η απάτη
Αυτό αναδεικνύει την αδυναμία του να χρησιμοποιούμε κωδικούς πρόσβασης για την ασφάλεια των λογαριασμών. Παρά όσα διαβάζεις, η λύση δεν είναι να αλλάξεις όλους τους κωδικούς σου. Είναι να ενεργοποιήσεις έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους βασικούς σου λογαριασμούς – ειδικά σε Apple, Google, Microsoft, Facebook και Amazon. Ακόμα καλύτερα, όπου είναι δυνατό, μετάβασε σε passkeys.
Αλλά πλέον πολλοί καθημερινοί χρήστες κινδυνεύουν από επιθέσεις, είτε οι συνδυασμοί ονομάτων χρήστη και κωδικών τους βρίσκονται στα διερρευσμένα δεδομένα είτε όχι. Οι επιτιθέμενοι θα στείλουν email προσποιούμενοι ότι είναι η Apple, η Google ή κάποια άλλη εταιρεία, προειδοποιώντας για τη διαρροή και παραπέμποντας στους δημόσιους τίτλους ειδήσεων και σε συμβουλές για επαναφορά κωδικών. Και αυτά τα emails ή SMS θα περιλαμβάνουν «βοηθητικά» έναν σύνδεσμο για επαναφορά κωδικού ή έναν αριθμό τηλεφώνου υποστήριξης – αυτό είναι η επίθεση.
Ο πραγματικός στόχος: να σου κλέψουν τον λογαριασμό
Οι σύνδεσμοι ή τα τηλέφωνα θα προσπαθήσουν να σου κλέψουν τον κωδικό πρόσβασης, για να αποκτήσουν πρόσβαση στον λογαριασμό σου και σε οτιδήποτε περιέχει. Έχουν ήδη καταγραφεί πολλαπλές επιθέσεις σε χρήστες της Apple και της Google, με ψεύτικα emails υποστήριξης ή κλήσεις ή μηνύματα που προειδοποιούν ότι οι λογαριασμοί έχουν παραβιαστεί και ότι απαιτείται επαναφορά κωδικού. Οι πρόσφατοι τίτλοι ειδήσεων είναι ένα ανέλπιστο δώρο για αυτούς τους επιτήδειους.
Καμία μεγάλη τεχνολογική εταιρεία δεν θα σε καλέσει
Άρα, μία έγκαιρη υπενθύμιση: καμία μεγάλη τεχνολογική εταιρεία – ούτε η Google, ούτε η Apple, ούτε η Microsoft, ούτε το Facebook – δεν θα επικοινωνήσει ποτέ μαζί σου για πρόβλημα ασφάλειας λογαριασμού ή για να επαναφέρεις κάποιον κωδικό. Αν λάβεις τέτοιο μήνυμα ή κλήση, είναι επίθεση. Τέλος.
Η Google μου έχει ζητήσει στο παρελθόν να «υπενθυμίσω στους αναγνώστες σας ότι η Google δεν επικοινωνεί για επαναφορά κωδικών ή επίλυση προβλημάτων λογαριασμού». Το ίδιο ισχύει και για όλες τις υπόλοιπες. Δεν συμβαίνει ποτέ. Όπως λέει και το FBI, «νόμιμες εταιρείες εξυπηρέτησης πελατών, ασφάλειας ή τεχνικής υποστήριξης δεν ξεκινούν ανεπιθύμητη επικοινωνία με ιδιώτες».
Ακόμη και αν ένα μήνυμα φαίνεται τόσο πειστικό που να μην μπορείς να το αγνοήσεις, πρέπει να το διαγράψεις και να μπεις στον λογαριασμό σου με τον κανονικό τρόπο. Μέσω web ή της εφαρμογής. Αν υπάρχει κάποιο πρόβλημα με τον κωδικό σου, θα δεις επιλογή για επαναφορά – που συνήθως δεν υπάρχει. Παρόμοια, αν λάβεις κλήση ή μήνυμα για να καλέσεις πίσω, μην απαντήσεις. Μπες στον λογαριασμό σου κανονικά.
Τα στοιχεία Google και Apple είναι ο μεγαλύτερος στόχος
Τα στοιχεία των λογαριασμών Google και Apple είναι τα πιο πολύτιμα, καθώς προσφέρουν πρόσβαση σε πολλές εφαρμογές και υπηρεσίες και στα κινητά τηλέφωνα που ελέγχουν τις ζωές μας. Αλλά να αντιμετωπίζεις οποιοδήποτε μήνυμα από τη Microsoft, το Facebook ή οποιαδήποτε άλλη εταιρεία μετά από αυτή τη «διαρροή», με τον ίδιο τρόπο.
Η βασική συμβουλή: ενεργοποίησε 2FA ή passkeys, και θα είσαι προστατευμένος ακόμη και σε μια νέα παραβίαση. Τελική σύσταση: απόφυγε το SMS για 2FA – χρησιμοποίησε άλλη μέθοδο αν μπορείς.
