Web Analytics Made Easy - StatCounter
FoulsCode

Εμφάνιση αναρτήσεων με ετικέτα Phishing. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Phishing. Εμφάνιση όλων των αναρτήσεων

18 Νοεμβρίου 2017

To 90% των κυβερνο-επιθέσεων πραγματοποιείται μέσω phishing



Ολοένα και πιο περίπλοκο γίνεται το διεθνές τοπίο των ψηφιακών απειλών, θέτοντας επιχειρήσεις, δημόσιους οργανισμούς και...
πολίτες σε κατάσταση υψηλού συναγερμού. Παρά το γεγονός ότι οι μέθοδοι που χρησιμοποιεί το ψηφιακό έγκλημα δεν έχουν αλλάξει ιδιαίτερα, οι κυβερνοεπιθέσεις έχουν γίνει πιο μαζικές, έχουν περάσει από ένα τοπικό σε ένα διεθνές επίπεδο και είναι πλέον, σε μεγαλύτερο ποσοστό, αρκετά περίπλοκες.

Σύμφωνα με τα στοιχεία που παρουσίασε η Microsoft Hellas, σήμερα το 90% των ψηφιακών επιθέσεων πραγματοποιείται με τη μέθοδο του phishing (ηλεκτρονικού “ψαρέματος”). Όπως εξήγησε η ειδική σε θέματα cybersecurity, Sr Director Marketing, Enterprise Cybersecurity Group της Microsoft Corporation, κυρία Johnnie Konstantas, οι κυβερνοεπιθέσεις αποτελούν πλέον καθημερινότητα για τις επιχειρήσεις και τους δημόσιους οργανισμούς.

Είτε πρόκειται για ένα phishing e-mail, είτε για μια μαζική επίθεση, που επηρεάζει συνολικά τη λειτουργία ενός οργανισμού τοπικά ή και σε διεθνές επίπεδο, οι κυβερνοεπιθέσεις αποτελούν, σήμερα, μια από τις βασικές ανησυχίες όχι μόνο των υπεύθυνων ΙΤ, αλλά και των διοικήσεων των εταιριών, καθώς μπορούν να οδηγήσουν σε απώλειες τόσο σε οικονομικό, όσο και σε επίπεδο αξιοπιστίας προς τους πελάτες και συνεργάτες.

Η ειδική σε θέματα κυβερνοασφάλειας Johnnie Konstantas, βρέθηκε στην Αθήνα και μίλησε για τους τρόπους με τους οποίους οι επιχειρήσεις μπορούν να προφυλαχθούν από τις κυβερνοεπιθέσεις στο σύγχρονο ψηφιακό περιβάλλον

Στο πλαίσιο της παρουσίασης της σε εκδήλωση με θέμα την κυβερνοασφάλεια, την ανθεκτικότητα των εταιρειών και τα διαθέσιμα εργαλεία προστασίας, η κυρία Konstantas μίλησε για το διεθνές περιβάλλον κυβερνοεπιθέσεων, τις τελευταίες τάσεις και μεθόδους που χρησιμοποιούνται κι εστίασε στους τρόπους με τους οποίους οι εταιρίες μπορούν να προστατευθούν με τη βοήθεια της τεχνολογίας.

Συνεχής εγρήγορση
Από την πλευρά τους οι εταιρίες, θα πρέπει να είναι σε συνεχή εγρήγορση και να αξιοποιούν τις δυνατότητες της τεχνολογίας προκειμένου να παρακολουθούν, να καταγράφουν και να εντοπίζουν οποιαδήποτε ύποπτη κίνηση σε όλο το εύρος των δραστηριοτήτων τους. Αντικείμενο συνεχούς παρακολούθησης, σύμφωνα με τους ειδικούς, πρέπει να είναι το σύνολο των εταιρικών δραστηριοτήτων, από τους απλούς αισθητήρες μέχρι τα data centers. Φυσικά οι επιχειρήσεις πρέπει να είναι έτοιμες να αντιδράσουν άμεσα, μειώνοντας τον χρόνο μεταξύ εντοπισμού της επίθεσης και δράσης.

Όπως ανέφερε η κυρία Konstantas, απαραίτητη προϋπόθεση για την κυβερνοασφάλεια είναι η συνεργασία.

“Οι υπηρεσίες cloud της Microsoft έχουν δημιουργηθεί βάσει υψηλών προδιαγραφών ασφάλειας. Η Microsoft διενεργεί ελέγχους και παρέχει δυνατότητες, που βοηθούν τις εταιρίες να προστατεύσουν τα δεδομένα και τις εφαρμογές τους. Δεν θα πρέπει, όμως, να ξεχνάμε ότι η ασφάλεια είναι αποτέλεσμα συνεργασίας. Τα δεδομένα ανήκουν στις εταιρίες/οργανισμούς κι έχουν οι ίδιες την ευθύνη να τα προστατεύουν και να αξιοποιούν σωστά τα εργαλεία που είναι διαθέσιμα”.



Πηγή
Διαβάστε Περισσότερα »

31 Οκτωβρίου 2017

Προσοχή στο… ψάρεμα!



Το έχεις ακούσει, το έχεις διαβάσει ή είσαι ένα από τα θύματά του. Το phishing, το ηλεκτρονικό ψάρεμα ευαίσθητων προσωπικών στοιχείων, από το διαδίκτυο, προς κακόβουλη χρήση, είναι η απόλυτη απάτη και δε φαίνεται να φθίνει ακόμη κι αν οι περισσότεροι έχουμε ακούσει πλέον γι’ αυτό. Τι είναι όμως το phishing, πώς λειτουργεί και τι μπορούμε να κάνουμε για να προστατευθούμε;

H λέξη phishing προέρχεται από το ‘ανορθόγραφο’ fishing, δηλαδή το ψάρεμα. Ακριβώς λοιπόν όπως ένας ψαράς θαλάσσης, ο πονηρός διαδικτυακός ‘ψαράς’ χρησιμοποιεί ψηφιακά δολώματα για να τσακώσει τα ανυποψίαστα θύματά του. Το phishing είναι ένα μέσο κι όχι η επίθεση αυτή καθ’ αυτή. Ο ‘ψαράς’ σου ζητάει να κάνεις κάτι (call for action) και από την στιγμή της δράσης σου ξεκινάει το… κακό. Η διαδικασία έχει συνήθως ως εξής: λαμβάνουμε κάποιο -συχνά ανορθόγραφο ή με πολλά θαυμαστικά- mail που μας ζητάει να αλλάξουμε τον κωδικό μας, να καταβάλουμε κάποια έκτακτη ληξιπρόθεσμη οφειλή, να κατεβάσουμε κάποιο αρχείο, να ανοίξουμε ένα συνημμένο, κ.ά. Τελικός του στόχος είναι να αποσπάσει προσωπικές πληροφορίες (τραπεζικούς λογαριασμούς, passwords, κ.λπ) ώστε να τα χρησιμοποιήσει για να μπει σε προσωπικά ή εταιρικά δίκτυα και λογαριασμούς.

Στα δίχτυα του πρίγκιπα

Θυμάσαι το Νιγηριανό πρίγκιπα που σου έλεγε, σε ιδιαίτερα προσωπικό κι ευγενέστατο τόνο, ότι για κάποιο σκοτεινό λόγο θα χρειαστεί τη δική σου ανεκτίμητη βοήθεια για να ανακτήσει την βασιλική του περιουσία; Αν έδινες κι εσύ τον οβολό σου, δε θα σε ξέχναγε -ένα κομμάτι από τον αμύθητο θησαυρό του θα γινόταν δικό σου! Άλλες φορές, σου ζητούσε να μεταφέρει τα εκατομμύρια του στον τραπεζικό σου λογαριασμό ώστε να τα βγάλει από τη χώρα γιατί κινδύνευε. Μπορεί να σου φαίνεται αφελές αλλά η αλήθεια είναι ότι πολύς κόσμος έχει πέσει στην παγίδα του… άγνωστου πρίγκιπα. Πρόσφατα μάλιστα, η Interpol ανακοίνωσε ότι συνέλαβε έναν από τους μεγαλύτερους αντίστοιχους απατεώνες και που είχε μάλιστα καταφέρει, σε μια περίπτωση, να αποσπάσει 15 εκατομμύρια δολάρια από το θύμα του.

Γιατί λειτουργεί;

Κοινωνική μηχανική (Social Engineering) είναι ο (ομολογουμένως παράξενος) όρος που εξηγεί την επιτυχία του φαινομένου phishing. Πρόκειται για τις τεχνικές που χρησιμοποιεί κάποιος για να αποσπάσει πληροφορίες -τους κωδικούς πρόσβασης ας πούμε- από κάποιον άλλο, αντί να προσπαθήσει να τους ‘σπάσει’. Εκεί, παίζουν ρόλο πολλοί παράγοντες, όπως το ένστικτο, οι προσδοκίες μας, η ανθρώπινη φύση που συχνά είναι εύπιστη, κ.ά… Πολλοί θα εύχονταν κρυφά να εμφανιστεί ένας εξωτικός πρίγκιπας που θα τους δώσει πάρα πολλά λεφτά αρκεί να του κάνουν μια χάρη! Επιπλέον, είναι εύκολο να πειστείς να ανοίξεις ένα email όταν φαίνεται να προέρχεται από κάποιον συνάδελφο, από ένα φίλο που σου ζητάει βοήθεια επειγόντως. Ή ακόμη από ένα μεγάλο, αξιόπιστο φορέα και σου ζητάει έκτακτα να ανανεώσεις το password σου!

Το ‘πείραμα’

H Duo Security, μια μεγάλη εταιρεία ασφάλειας στο διαδίκτυο έχει βγάλει ένα δωρεάν εργαλείο, το Duo Insight με το οποίο μπορείς να στήσεις μια εικονική καμπάνια phishing ώστε να τσεκάρεις τα κενά ασφαλείας σου, από τρωτά δίκτυα και συστήματα στην επιχείρησή σου μέχρι εύπιστους χρήστες. Τον περασμένο Αύγουστο δημοσίευσε τα αποτελέσματα ενός ‘πειράματος’: έστειλε ένα στημένο phishing email σε 11.542 υπαλλήλους σε 400 εταιρείες. Το 31% κλίκαρε το link που είχε μέσα το email και το 17% έδωσε το username και τον κωδικό πρόσβασής του! Ακόμη όμως κι αν το ποσοστό ήταν μικρότερο, αυτό σημαίνει ότι η ασφάλεια είναι δεδομένη; Όχι, μιας και συχνά αρκεί ένας μόνο να δώσει πρόσβαση στο εταιρικό δίκτυο και μέχρι να το πάρει χαμπάρι ο υπεύθυνος ασφαλείας η πληροφορία έχει ψαρευτεί!

Προσοχή και στο… ψαροντούφεκο

Υπάρχει λοιπόν και το spear phishing, δηλαδή το ‘ψάρεμα’ πληροφοριών στοχευμένα και προσωπικά: το mail φαίνεται να έρχεται από ένα άτομο ή εταιρεία που γνωρίζεις και εμπιστεύεσαι -σε στοχεύει προσωπικά σαν ψαροντούφεκο! Κάπως έτσι έγινε στην περίπτωση του σκανδάλου διαρροής πληροφοριών της Sony το 2014! Όπως αποδείχθηκε αργότερα, όλο το κακό ξεκίνησε από κάποια spear phishing emails που είχαν σταλεί σε υπαλλήλους της Sony: έμοιαζαν να είναι από την Apple και ζητούσαν, προσωπικά από τον παραλήπτη, να επιβεβαιώσει το Apple ID του. Οι ‘ψαράδες’ φαίνεται να βρήκαν τα ονόματα και τα προσωπικά στοιχεία των στόχων τους από τα social media ή δίκτυα όπως το LinkedIn ώστε να βρουν άτομα σε κομβικές θέσεις και με πρόσβαση στο δίκτυο της εταιρείας. Έτσι τα phishing emails ήταν εντελώς προσωποποιημένα και εξατομικευμένα. Όλα φαίνονταν 100% επίσημα και φυσιολογικά αλλά με τους κωδικούς οι hackers κατάφεραν να τρυπώσουν στα άδυτα των αρχείων της Sony και να διαρρεύσουν εκατοντάδες αρχεία, mails, οικονομικά στοιχεία, κ.ά.

Ασφάλεια: τι μπορείς να κάνεις

Να είσαι διπλά καχύποπτος. Στο διαδίκτυο η καχυποψία είναι προτέρημα! Να σκέφτεσαι πάντα δυο φορές πριν κλικάρεις κάποιο link, να υποψιάζεσαι αν το ύφος του mail που δέχεσαι είναι παράξενο, να προβληματίζεσαι εάν κάποιος -οποιοσδήποτε- σου ζητάει να του πεις κωδικούς, διευθύνσεις, λογαριασμούς.
Ποτέ μην ανοίγεις συνημμένα από άγνωστο αποστολέα.
Πολλά θαυμαστικά, πολλά ορθογραφικά λάθη; Χμμμ… Καλύτερα να είσαι υποψιασμένος.
Mην κλικάρεις συντομευμένα links που συμπεριλαμβάνονται σε email ή σε social media. Πέρνα το ποντίκι από πάνω για να δεις πού θα σε στείλει το link.
Να είσαι ιδιαίτερα προσεκτικός όταν δέχεσαι email με επείγοντα deadlines, ληξιπρόθεσμες οφειλές ή προειδοποιήσεις ότι πρόκειται να κλείσει κάποιος λογαριασμός σου εάν δεν κάνεις κάτι άμεσα.
Ψάξε και βρες την πράσινη μπάρα και το HTTPS στην μπάρα δίπλα στο site που επισκέπτεσαι. Αυτό σημαίνει ότι η ιστοσελίδα είναι ασφαλής και κρυπτογραφημένη με κάποιο πιστοποιητικό SSL.
Μην… ψαρώνεις με το παραμικρό!


Site: papaki.gr
Διαβάστε Περισσότερα »

1 Νοεμβρίου 2016

Τι είναι το Phishing


Phishing, η μεγαλύτερη απάτη ever!
Το Phishing, είναι ένα έγκλημα που κοστίζει, σε επιχειρήσεις και ιδιώτες, χιλιάδες αν όχι εκατομμύρια δολάρια ετησίως.

Τι είναι, τέλος πάντων, αυτό το phishing;
Λοιπόν, το phishing είναι ένας τύπος απάτης που παγιδεύει τους ανθρώπους και τους αναγκάζει να αποκαλύψουν πολύ προσωπικές πληροφορίες, όπως στοιχεία πιστωτικών καρτών, ονόματα χρηστών και κωδικούς πρόσβασης, αριθμούς λογαριασμών και άλλα παρεμφερή προσωπικά δεδομένα. Ο πιο συνηθισμένος τρόπος phishing είναι μέσω email. Τα θύματα λαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα άτομο που ισχυρίζεται ότι είναι μια εταιρεία ή κάποιος οργανισμός με τον οποίον το επικείμενο θύμα έχει πάρε δώσε˙ για παράδειγμα, μία τράπεζα, κάποια εταιρεία κινητής τηλεφωνίας ή ακόμα και ένα κοινωνικό δίκτυο (socials).



via: www.osarena.net


Διαβάστε Περισσότερα »
Related Posts Plugin for WordPress, Blogger...