Αν έχετε λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την υπηρεσία εσωτερικού εισοδήματος ή την Ομοσπονδιακή Ασφαλιστική Εταιρεία Ασφαλίσεων Καταθέσεων, πιθανότατα πρόκειται για απόπειρα ηλεκτρονικού "ψαρέματος" (phishing). Εάν λάβατε e-mail από την τράπεζά σας, το PayPal ή το Facebook σας προτρέπουν να επαληθεύσετε αμέσως τις πληροφορίες ή να διακινδυνεύσετε την αναστολή του λογαριασμού σας, ήταν αναμφίβολα phishing.

Οι επιθέσεις ηλεκτρονικού "ψαρέματος" έχουν φτάσει στο φετινό έτος, σύμφωνα με πρόσφατες εκθέσεις. Η Ομάδα Εργασίας Αντι-Ψαρέματος αναφέρει ότι υπήρξαν πάνω από 55.600 επιθέσεις ηλεκτρονικού ψαρέματος μόνο το πρώτο εξάμηνο του 2009. Το ηλεκτρονικό "ψάρεμα" είναι ιδιαίτερα επικίνδυνο επειδή μόλις οι εγκληματίες αποκτήσουν τον κωδικό του θύματος για μια τοποθεσία Web, μπορούν συχνά να το χρησιμοποιήσουν για να μπουν σε άλλους λογαριασμούς όπου οι άνθρωποι έχουν ξανά χρησιμοποιήσει τον κωδικό πρόσβασης.

Και ο καθένας μπορεί να είναι σε κίνδυνο. Η σύζυγος του διευθυντή του FBI Robert Mueller τον απαγόρευσε να πραγματοποιεί online τραπεζικές συναλλαγές, αφού πλησίασε για πτώση για απόπειρα ηλεκτρονικού "ψαρέματος".

Εδώ είναι μερικές βασικές πληροφορίες που μπορούν να βοηθήσουν τους ανθρώπους να αποφύγουν να εξαπατηθούν από επιθέσεις phishing.

Τι είναι το phishing;

Το ηλεκτρονικό "ψαρέματος" (Phishing) είναι μια προσπάθεια, συνήθως μέσω ηλεκτρονικού ταχυδρομείου, για να εξαπατήσουμε τους ανθρώπους να αποκαλύπτουν ευαίσθητες πληροφορίες όπως ονόματα χρήστη, κωδικούς πρόσβασης και δεδομένα πιστωτικών καρτών, υποτιμώντας ότι είναι μια τράπεζα ή κάποια άλλη νόμιμη οντότητα. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν συνήθως μια σύνδεση με μια τοποθεσία Web που φαίνεται να είναι νόμιμη και η οποία ζητεί από τους χρήστες να παρέχουν πληροφορίες. Μερικές φορές, το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" (phishing) θα περιλαμβάνει μια φόρμα σε ένα συνημμένο για συμπλήρωση. Μια κοινή τακτική χρήση phishers είναι να προσποιούμαστε ότι είμαστε από το τμήμα απάτης ενός χρηματοπιστωτικού ιδρύματος ή σε απευθείας σύνδεση λιανοπωλητή όπως το PayPal και να ζητήσουμε πληροφορίες που πρέπει να παρέχονται για την πρόληψη της απάτης ταυτότητας. Σε μια περίπτωση, ένα ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" που φέρεται να προέρχεται από μια κρατική επιτροπή λαχειοφόρων αγορών, ζήτησε από τους παραλήπτες των τραπεζικών τους πληροφοριών, ώστε τα "κέρδη" τους να κατατεθούν στους λογαριασμούς τους.

Οι Phishers αξιοποιούν όλο και περισσότερο το ενδιαφέρον για ειδήσεις και άλλα δημοφιλή θέματα για να εξαπατήσουν τους ανθρώπους να κάνουν κλικ σε συνδέσμους. Ένα μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με τη γρίπη των χοίρων ζήτησε από τους ανθρώπους να δώσουν το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου τους και άλλες πληροφορίες στο πλαίσιο μιας έρευνας σχετικά με την ασθένεια. Και οι χρήστες των κοινωνικών δικτύων γίνονται δημοφιλείς στόχοι. Οι χρήστες Twitter έχουν κατευθυνθεί σε ψεύτικες σελίδες σύνδεσης.

Οι επιτιθέμενοι στρέφονται επίσης στην ανταλλαγή άμεσων μηνυμάτων για να προσελκύσουν τους ανθρώπους στις παγίδες τους. Σε μια πρόσφατη απάτη, ξεκίνησε ένα ζωντανό παράθυρο συνομιλίας μέσω του προγράμματος περιήγησης. Ο απατεώνας επικοινωνούσε με τα θύματα μέσω του παραθύρου συνομιλίας, προσποιούμενος ότι ήταν από μια τράπεζα και ζητούσε πρόσθετες πληροφορίες.

Ποια είναι τα πρόσφατα παραδείγματα επιθέσεων ηλεκτρονικού "ψαρέματος";

• Μια πρόσφατη απάτη μέσω ηλεκτρονικού ταχυδρομείου ζητά από τους πελάτες του PayPal να παρέχουν πρόσθετες πληροφορίες ή να διακινδυνεύσουν να διαγραφούν οι λογαριασμοί τους εξαιτίας αλλαγών στη συμφωνία παροχής υπηρεσιών. Οι παραλήπτες καλούνται να κάνουν κλικ σε έναν υπερσύνδεσμο που λέει "Αποκτήστε επαλήθευση!"

• Τα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν με αυτά που προέρχονται από το FDIC περιλαμβάνουν μια γραμμή θέματος που λέει "ελέγξτε την κάλυψη ασφάλισης τραπεζικών καταθέσεων" ή "η FDIC έχει ονομάσει επίσημα την τράπεζά σας μια αποτυχημένη τράπεζα". Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν έναν σύνδεσμο προς μια πλαστή τοποθεσία FDIC όπου οι επισκέπτες καλούνται να ανοίξουν φόρμες για να τις συμπληρώσουν. Κάνοντας κλικ στους συνδέσμους φόρμας κατεβάζει τον ιό Zeus, ο οποίος έχει σχεδιαστεί για να κλέβει τραπεζικούς κωδικούς πρόσβασης και άλλες πληροφορίες.

• Τα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν με αυτά που προέρχονται από το IRS λένε στους αποδέκτες ότι είναι επιλέξιμα για να λάβουν επιστροφή φόρου και ότι τα χρήματα θα μπορούσαν να απαιτηθούν κάνοντας κλικ σε ένα σύνδεσμο στο e-mail. Ο σύνδεσμος κατευθύνει τους επισκέπτες σε έναν ψεύτικο ιστότοπο IRS που ζητά προσωπικές και οικονομικές πληροφορίες.

• Ένα έγκυρο e-mail στο Facebook ζητά από τους ανθρώπους να παρέχουν πληροφορίες για να βοηθήσουν το κοινωνικό δίκτυο να ενημερώσει το σύστημα σύνδεσης του. Κάνοντας κλικ στο κουμπί "ενημέρωση" στο μήνυμα ηλεκτρονικού ταχυδρομείου οδηγεί τους χρήστες σε μια ψεύτικη οθόνη εισόδου στο Facebook όπου συμπληρώνεται το όνομα χρήστη και οι επισκέπτες καλούνται να δώσουν τον κωδικό πρόσβασής τους. Όταν πληκτρολογείται ο κωδικός πρόσβασης, οι χρήστες καταλήγουν σε μια σελίδα που προσφέρει ένα "Εργαλείο ενημέρωσης", αλλά στην πραγματικότητα είναι ο Trojan bank Zeus.

Ποιες είναι οι ενδεικτικές ενδείξεις μιας προσπάθειας ηλεκτρονικού "ψαρέματος" (phishing);

Πολλές απόπειρες ηλεκτρονικού "ψαρέματος" προέρχονται από χώρες εκτός των ΗΠΑ, ώστε συχνά να έχουν ορθογραφικά λάθη και γραμματικά λάθη. Ορισμένοι έχουν επείγοντα τόνο και αναζητούν ευαίσθητες πληροφορίες, τις οποίες οι νόμιμες εταιρείες συνήθως δεν ζητούν μέσω ηλεκτρονικού ταχυδρομείου.

Τι πρέπει να ψάξω σε ένα e-mail;

Ελέγξτε τις πληροφορίες του αποστολέα για να δείτε αν φαίνεται νόμιμη. Οι εγκληματίες θα επιλέξουν διευθύνσεις παρόμοιες με εκείνες που αντιπαρατίθενται. Για παράδειγμα, οι phishers χρησιμοποίησαν το "[email protected]". Ωστόσο, τα νόμιμα μηνύματα PayPal στις ΗΠΑ προέρχονται από το [email protected] "και περιλαμβάνουν ένα εικονίδιο κλειδιού. Τα περισσότερα ηλεκτρονικά μηνύματα ηλεκτρονικού" ψαρέματος "προέρχονται εκτός των ΗΠΑ, ώστε μια διεύθυνση που τελειώνει με" .uk "ή κάτι άλλο από το" .com " υποδείξτε ότι πρόκειται για απόπειρα ηλεκτρονικού "ψαρέματος".

Η διεύθυνση ηλεκτρονικού ταχυδρομείου μπορεί επίσης να είναι σκοτεινή. Το πάτημα της απάντησης "όλα" μπορεί να αποκαλύψει την πραγματική διεύθυνση ηλεκτρονικού ταχυδρομείου. Μπορείτε επίσης να ορίσετε τις προτιμήσεις ηλεκτρονικού ταχυδρομείου για να εμφανίσετε "πλήρης κεφαλίδα" για να δείτε την πλήρη διεύθυνση ηλεκτρονικού ταχυδρομείου και άλλες πληροφορίες. Εάν δεν είστε σίγουροι αν το ηλεκτρονικό ταχυδρομείο είναι νόμιμο, μεταβείτε στην τοποθεσία Web της εταιρείας για να δείτε τη διεύθυνση που αναγράφεται.

Οι νόμιμες εταιρείες τείνουν να χρησιμοποιούν ονόματα πελατών ή ονόματα χρηστών στο ηλεκτρονικό ταχυδρομείο και οι τράπεζες συχνά θα περιλαμβάνουν μέρος ενός αριθμού λογαριασμού. Τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" συνήθως προσφέρουν γενικούς χαιρετισμούς, όπως "Αγαπητέ πελάτη του PayPal".

Επιθεωρήστε τους υπερσυνδέσμους μέσα στο σώμα του μηνύματος ηλεκτρονικού ταχυδρομείου. Οι Φιλανδοί συνήθως χρησιμοποιούν υποτομείς ή γράμματα ή αριθμούς πριν από το όνομα της εταιρείας και μερικές φορές οι λέξεις στις συνδέσεις έχουν ορθογραφικά λάθη. Για παράδειγμα, το www.BankA.security.com θα συνδεθεί με την ενότητα 'BankA' της τοποθεσίας Web Security. Συχνά, είναι δύσκολο να πει κανείς αν ο σύνδεσμος είναι νόμιμος μόνο αν το εξετάσουμε. Τοποθετώντας πάνω από το σύνδεσμο μπορείτε να δείτε την πραγματική διεύθυνση στο κάτω μέρος των περισσότερων φυλλομετρητών Ιστού.

Επιπλέον, το PayPal, το Amazon, οι τράπεζες και πολλές άλλες επιχειρήσεις χρησιμοποιούν το πρωτόκολλο SSL (Secure Sockets Layer), το οποίο έχει σχεδιαστεί για να διασφαλίζει ότι οι πελάτες επισκέπτονται τον πραγματικό ιστότοπο. Αυτό σημαίνει ότι // θα εμφανιστεί στη γραμμή διεύθυνσης URL αντί για μόνο // και συνήθως θα υπάρξει κάποια άλλη αλλαγή στη γραμμή διευθύνσεων. Για παράδειγμα, το PayPal εμφανίζει ένα "P" και το όνομά του επισημαίνεται με πράσινο χρώμα στο μπροστινό μέρος της διεύθυνσης URL. Τα μεγάλα προγράμματα περιήγησης έχουν μέτρα κατά της απάτης τα οποία έχουν σχεδιαστεί για τον εντοπισμό κακόβουλων τοποθεσιών. Ορισμένοι phishers επίσης προσπαθούν να κρύψουν την πραγματική διεύθυνση στο Διαδίκτυο στην οποία στέλνουν τα θύματα, χρησιμοποιώντας υπηρεσίες συντόμευσης URL.

Εάν το ηλεκτρονικό ταχυδρομείο έχει ένα συνημμένο, να είστε επιφυλακτικοί με τα αρχεία .exe. Οι απατεώνες θέλουν να κρύβουν ιούς και άλλα κακόβουλα προγράμματα, ώστε να εκτελούνται όταν ανοίγουν.

Μην ξεγελιέστε από την εμφάνιση του ιστότοπου στον οποίο μπορείτε να απευθυνθείτε. Η τοποθεσία Web μπορεί να μοιάζει ακριβώς με μια πραγματική σελίδα τράπεζας ή PayPal, συμπεριλαμβανομένης της χρήσης των πραγματικών λογοτύπων και επωνυμίας. Θα μπορούσε να είναι μια καλή ψεύτικη σελίδα ή θα μπορούσε να είναι μια νόμιμη σελίδα με ένα pop-up παράθυρο ηλεκτρονικού "ψαρέματος" στην κορυφή.

Πώς μπορούν να αποφευχθούν οι επιθέσεις ηλεκτρονικού "ψαρέματος";

• Προσπαθήστε να αποφύγετε τις λίστες spam. Μην δημοσιεύετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας σε δημόσιους ιστότοπους. Δημιουργήστε μια διεύθυνση ηλεκτρονικού ταχυδρομείου που είναι λιγότερο πιθανό να συμπεριληφθεί στις λίστες ανεπιθύμητων μηνυμάτων. Για παράδειγμα, αντί για [email protected], χρησιμοποιήστε το [email protected].

• Αν ένα e-mail φαίνεται εύλογο, επικοινωνήστε άμεσα με την εταιρεία εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που σας ζητά να επαληθεύσετε τις πληροφορίες. Πληκτρολογήστε τη διεύθυνση της εταιρείας στη γραμμή διευθύνσεων απευθείας αντί να κάνετε κλικ σε ένα σύνδεσμο. Ή καλέστε τους, αλλά μην χρησιμοποιείτε κανένα αριθμό τηλεφώνου που παρέχεται στο e-mail.

• Μην δίνετε προσωπικές πληροφορίες που ζητούνται μέσω ηλεκτρονικού ταχυδρομείου. Οι νόμιμες εταιρείες και οι οργανισμοί θα χρησιμοποιούν τακτική αλληλογραφία για σημαντικές επικοινωνίες και ποτέ δεν θα ζητούν από τους πελάτες να επιβεβαιώσουν τη σύνδεση ή τους κωδικούς πρόσβασης κάνοντας κλικ σε συνδέσμους στο ηλεκτρονικό ταχυδρομείο.

• Κοιτάξτε προσεκτικά τη διεύθυνση Web στην οποία κατευθύνεται ένας σύνδεσμος και πληκτρολογήστε διευθύνσεις στο πρόγραμμα περιήγησης για επιχειρήσεις εάν δεν είστε βέβαιοι.

• Μην ανοίγετε συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου που δεν αναμένετε να λάβετε. Μην ανοίξετε τις συνδέσεις λήψης στο IM. Και μην εισάγετε προσωπικά στοιχεία σε αναδυόμενο παράθυρο ή ηλεκτρονικό ταχυδρομείο.

• Βεβαιωθείτε ότι χρησιμοποιείτε έναν ασφαλή ιστότοπο κατά την υποβολή οικονομικών και ευαίσθητων πληροφοριών.

• Αλλαγή κωδικών πρόσβασης συχνά. Μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους.

• Συνδεθείτε τακτικά στους λογαριασμούς στο διαδίκτυο για να παρακολουθήσετε τη δραστηριότητα και να ελέγξετε τις δηλώσεις.

• Χρησιμοποιήστε λογισμικό προστασίας από ιούς, λογισμικό αντιμετώπισης spam και λογισμικό τείχους προστασίας και ενημερώστε το λειτουργικό σας σύστημα και τις εφαρμογές σας.

(Ο συνάδελφός μου Larry Magid έχει περισσότερες συμβουλές και μια συνέντευξη podcast με τη Symantec σχετικά με την αποφυγή επιθέσεων ηλεκτρονικού "ψαρέματος").

Τι μπορώ να κάνω αν νομίζω ότι έχω πέσει θύμα υποκλοπής μέσω ηλεκτρονικού "ψαρέματος";

Η ομάδα εργασίας για την καταπολέμηση του ηλεκτρονικού "ψαρέματος" έχει έναν ολοκληρωμένο ιστότοπο που εξηγεί ακριβώς ποια μέτρα πρέπει να λάβουν οι πολίτες βάσει του είδους των πληροφοριών που έχουν δώσει.

Πού μπορώ να αναφέρω τις απόπειρες ηλεκτρονικού ψαρέματος;

Μπορείτε να προωθήσετε υποψίες ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" στο [email protected] και [email protected]. Οι εταιρείες συνήθως έχουν διεύθυνση για την προώθηση παραδειγμάτων phishing, όπως "[email protected]". Να συμπεριλαμβάνετε πάντα ολόκληρο το ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" (phishing). Οι καταγγελίες μπορούν να κατατεθούν στο Κέντρο Καταγγελίας για το Internet Crime στο FBI.

Εδώ είναι πρόσθετοι πόροι.

//apwg.org/consumer_recs.html

//www.irs.gov/newsroom/article/0,, id=154848, 00.html

//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx