Αόρατες Απειλές και Ψηφιακές Επιθέσεις που βάλλουν την Ψηφιακή σας επιχείρηση!
Οι διαδικτυακές επιθέσεις των hackers έχουν συχνά ως στόχο την παράνομη συλλογή πληροφοριών ή/και την κλοπή χρημάτων στις ψηφιακές οικονομικές συναλλαγές των χρηστών. Οι επιθέσεις αυτές στοχεύουν είτε σε μεμονωμένους χρήστες, σε ομάδες χρηστών ενός συγκεκριμένου δικτύου ή σε επαγγελματικές ιστοσελίδες με μεγάλη κινητικότητα και οικονομικό ενδιαφέρον, όπως e-shops κ.ά.
Οι επιθέσεις που αφορούν σε ιστοσελίδες διακρίνονται στις εξής κατηγορίες:
– Επιθέσεις αλλοίωσης περιεχομένου
Σε αυτήν την περίπτωση ο hacker εισβάλλει σε μία ιστοσελίδα με σκοπό να αλλοιώσει το περιεχόμενο της αρχικής σελίδας της ιστοσελίδας και πολλές φορές να την αντικαταστήσει με άλλη (deface), προκαλώντας σύγχυση τους χρήστες.
Το τελικό αποτέλεσμα της επίθεσης είναι αναστρέψιμο, ωστόσο θα χρειαστεί ενδεχομένως αρκετός χρόνος για την διαχείριση και αποκατάστασή της, με την πιθανότητα ο δικτυακός τόπος να παραμείνει εκτός δικτύου, για μεγάλο χρονικό διάστημα. Οι επιπτώσεις μιας τέτοιας κίνησης μπορούν να αποβούν κρίσιμες για την συνολική εικόνα μιας επιχείρησης, καθώς αποτελεί ένα σημαντικό κομμάτι της ψηφιακής της παρουσίας προς τους εξωτερικούς συνεργάτες και τους υποψήφιους πελάτες της.
– Επιθέσεις άρνησης υπηρεσίας (DDOS attacks)
Αυτές επιθέσεις πραγματοποιούνται εναντίον ενός υπολογιστή, ή μιας υπηρεσίας που παρέχεται κι έχουν ως σκοπό να καταστήσουν τον υπολογιστή ή την υπηρεσία ανίκανη να δεχτεί άλλες συνδέσεις, υπερφοστώνοντάς την με πολλαπλά δεδομένα. Ως εκ τούτου η ιστοσελίδα αδυνατεί να εξυπηρετήσει άλλους πιθανούς πελάτες και καταρέει.
– Απάτες
Στόχος μίας απάτης είναι να πείσει το θύμα – χρήστη για την ασφάλεια των διαδικτυακών συναλλαγών στη συγκεκριμένη ιστοσελίδα, αποσπώντας στη συνέχεια μεγάλα χρηματικά ποσά.
Αυτό μπορεί να συμβεί με τους εξής τρόπους:
- Απάτες με πιστωτικές κάρτες
Η χρήση πιστωτικών καρτών στο Διαδίκτυο, κατά την πραγματοποίηση οικονομικών συναλλαγών αποτελεί μια καλή αφορμή υποκλοπής δεδομένων, όταν τα εμπλεκόμενα μέρη – αγοραστής και πωλητής – δεν γνωρίζονται ή δεν έχουν εξασφαλίσει μία ασφαλή πλατφόρμα συναλλαγών. Σε αυτή την περίπτωση, πραγματοποιείται αλίευση (phising) των ευαίσθητων προσωπικών δεδομένων και κυρίως στοιχείων τραπεζικών λογαριασμών, με στόχο την μεταφορά χρημάτων σε λογαριασμούς τρίτων.
Προσέχουμε:
Αποφεύγουμε να δίνουμε φυσική πρόσβαση του Η/Υ μας, σε τρίτους. Η υποκλοπή των δεδομένων μας μπορεί να γίνει τόσο με φυσική παρουσία όσο και απομακρυσμένα. Υπάρχει επίσης η περίπτωση εγκατάστασης προγραμμάτων που μπορούν να λειτουργήσουν κακόβουλα, ετεροχρονισμένα, σε μελλοντικό χρόνο από αυτό της εγκατάστασής τους.
Ρυθμίζουμε τις επιλογές του browser, ώστε να αποφεύγεται η αυτοσυμπλήρωση των στοιχείων μας, όσων αφορά κωδικούς πρόσβασης σε λογαριασμούς, τραπεζικές κάρτες και αριθμούς τραπεζικών λογαριασμών.
Σε πλασματικές ιστοσελίδες ή ιστοσελίδες που δεν γνωρίζουμε, δεν χορηγούμε ευαίσθητα προσωπικά δεδομένα και αριθμούς ή κωδικούς τραπεζικών λογαριασμών. Εάν κάποιος χρήστης αποκτήσει φυσική πρόσβαση στα στοιχεία πιστωτικών καρτών μας, μπορεί να προχωρήσει σε διαδικτυακές αγορές όπου η φυσική κατοχή της πιστωτικής κάρτας δεν είναι απαραίτητη.
Δίνουμε ιδιαίτερη προσοχή σε μηνύματα τραπεζών, ταχυδρομείων ή άλλων φορέων για την πιστοποίησή τους, καθώς κακόβουλοι χρήστες καλύπτουν τα ίχνη τους χρησιμοποιώντας επώνυμους φορείς. Οι χρήστες οδηγούνται μέσω υπερσυνδέσμου, σε πλασματικές ιστοσελίδες του φορέα, ζητώντας τους να χορηγήσουν τα απαραίτητα στοιχεία.
Ελέγχουμε πάντα ένα αρχείο ή το url κατεύθυνσης που λαμβάνουμε από άγνωστα email, πριν από οποιαδήποτε ενέργεια στο https://www.virustotal.com/gui/ .
Αποφεύγουμε την εγκατάσταση “σπασμένων” προγραμμάτων, καθώς υπάρχει ο κίνδυνος να κρύβονται υπό-προγράμματα που λειτουργούν ως ιοί.
- Spamming- Scamming
Η λέξη «Spam» περιγράφει τη μαζική αποστολή ηλεκτρονικών μηνυμάτων (e-mails), τα οποία έχουν συνήθως απρόκλητο και εμπορικό χαρακτήρα. Όταν ο στόχος του αποστολέα είναι να εξαπατήσει τον αποδέκτη και να υποκλέψει τα δεδομένα του, η διαδικασία ονομάζεται «Scamming» και αποτελεί τον πλέον διαδεδομένο τρόπο δράσης σε πολλά είδη ηλεκτρονικών οικονομικών εγκλημάτων.
- Phishing προσωπικών στοιχείων
Το «phishing» πραγματοποιείται συνήθως μέσω του “spamming”, με τη μαζική αποστολή ηλεκτρονικών μηνυμάτων τα οποία υποτίθεται ότι προέρχονται από κάποια υπαρκτή και νόμιμη εταιρεία (τράπεζα, ηλεκτρονικό κατάστημα, υπηρεσία ηλεκτρονικών πληρωμών κ.λπ.).
Στόχος της διαδικασίας είναι να παραπλανήσει τον παραλήπτη και να του αποσπάσει απόρρητα προσωπικά και οικονομικά δεδομένα, μέσω κάποιας διαδικασίας ενημέρωσης ή επαλήθευσης αυτών για λόγους ασφαλείας. Οι χρήστες οδηγούνται μέσω συνδέσμων σε πλασματικές ιστοσελίδες, όπου καλούνται να χορηγήσουν τα δεδομένα τους απευθείας προς τρίτα μέρη.
- Pharming
Η διαδικασία «pharming» αποτελεί μια παραλλαγή του «phishing» και αφορά στην παρέμβαση τρίτων στον DNS εξυπηρετητή (DNS server) μιας ιστοσελίδας. Τα τρίτα μέρη ανακατευθύνουν την πορεία των χρηστών μέσω του προγράμματος περιήγησης σε άλλες ψεύτικες ιστοσελίδες. Το pharming μπορεί να αλλοιώσει το «host» file ενός Η/Υ (Αποτέλεσμα είναι η ανακατεύθυνση ενός ονόματος χώρου σε ψευδή προορισμό), το «router» ενός δικτύου LAN (Αποτέλεσμα είναι η ανακατεύθυνση ενός ονόματος χώρου για όλους τους Η/Υ του δικτύου) ή τον DNS server όπου επηρεάζεται η κίνηση όλων των χρηστών του διαδικτύου που εξυπηρετούνται από αυτόν.
Ως εκ τούτου είναι σημαντικό για τις επιχειρήσεις να ενημερώνουν τακτικά το κοινό τους για τις σύγχρονες προσεγγίσεις στις διαδικτυακές επιθέσεις, λαμβάνοντας παράλληλα όλα τα απαραίτητα μέτρα για τη διασφάλισης των συναλλαγών ή/και την προστασία των εταιρικών τους σελίδων.