Το Phishing, το Quishing και πώς μας «ψαρεύουν» οι κυβερνοαπάτες

Πέμπτη, 26 Δεκεμβρίου 2024 21:31

Το Phishing, το Quishing και πώς μας «ψαρεύουν» οι κυβερνοαπάτες – Όλα όσα πρέπει να ξέρεις

Αν βρίσκετε το άρθρο ενδιαφέρον κοινοποιήστε το

«Προσοχή. Επισυνάπτεται δικαστική απόφαση κατά του διακομιστή IP του Διαδικτύου σας. Έχετε 24 ώρες για να απαντήσετε σε αυτές τις κατηγορίες. Σας διαβεβαιώνουμε ότι θα ληφθούν σοβαρά νομικά μέτρα εναντίον σας εάν…»- Οκ, το πιο πιθανό είναι να έχεις ήδη στείλει στον κάδο τον λογαριασμό που σου έστειλε αυτό το μήνυμα.

Αλήθεια τώρα, τι σκέφτονται; Ότι θα τσιμπήσεις με ένα ανεπίσημο mail της «αστυνομίας» που μπορείς να διασταυρώσεις με ένα Google search; Από την άλλη όμως, αν μία τέτοια κυβερνοαπάτη δεν απηχεί σε εσένα ή εμένα, το ότι υπάρχει σημαίνει κάτι διαφορετικό. Ότι πάντα υπάρχουν και υποψήφια θύματα.

Στη γιαγιά, θα πουν ότι ο εγγονός της χτύπησε κάποιον σε τροχαίο και πρέπει τώρα να τον «ξελασπώσει», με μία επείγουσα, «incognito» φυσικά κατάθεση σε τρίτο τραπεζικό λογαριασμό.

Μπορεί να λάβεις μήνυμα ηλεκτρονικού ταχυδρομείου, σχετικά με τα «επεισόδια» της προηγούμενης εβδομάδας. Και αν έχεις δικαστικό προηγούμενο; Αν πράγματι ήσουν στην πορεία;

Μπορεί ο Δημήτρης Κουτσούμπας, και να ορκίζεσαι ότι ήταν αυτός, να σου είπε μέσα από το γυαλί ότι οι συναλλαγές σε κρυπτονομίσματα είναι το επόμενο διαλεκτικό βήμα στην κοινωνικοποίηση της αγοράς και εσύ να ψάχνεις για τον αντάπτορα του Matrix στον σβέρκο σου.

Η επαφή με την τεχνολογία μας κάνει πιο ανθεκτικούς σε πιο πρωτόγονους τύπους απάτης, αλλά κουβαλά και μία τρομακτική αφύπνιση: Κανείς δεν έχει ανοσία στην προπαγάνδα.

Ο Παναγιώτης Κοτζανικολάου, καθηγητής του Τμήματος Πληροφορικής στο Πανεπιστήμιο Πειραιά, και Διευθυντής του ΠΜΣ «Κυβερνοασφάλεια και Επιστήμη Δεδομένων», μίλησε στο Reader για τα ολοένα εξελισσόμενα εργαλεία στην υπηρεσία των «καρχαριών» της ψηφιακής εποχής:

Ξεκινώντας από τον περιεκτικότερο όρο του Phishing -κατά παράφραση του παραδοσιακού fishing (ψάρεμα)-, ο κ. Κοτζανικολάου εξηγεί πως χρησιμοποιείται για να περιγράψει «επιθέσεις οι οποίες στοχεύουν στην παραπλάνηση χρηστών διάφορων μέσων επικοινωνίας και δικτύωσης, εκμεταλλευόμενες τις αδυναμίες του ανθρώπινου παράγοντα.

Η γενική κατηγορία αυτών των επιθέσεων είναι γνωστή ως “επιθέσεις κοινωνικής μηχανικής” (social engineering attacks). Oι πιο γνωστές και διαδεδομένες είναι οι επιθέσεις “ψαρέματος” (Phishing).

Με αυτό τον όρο χαρακτηρίζουμε όλες τις επιθέσεις που στοχεύουν στην εξαπάτηση ενός χρήση, ώστε να ξεγελαστεί και να κάνει κάποια ενέργεια, όπως ενδεικτικά, να πατήσει έναν παραπλανητικό ηλεκτρονικό σύνδεσμο, να επισκεφτεί άθελά του μία μολυσμένη με κακόβουλο λογισμικό ιστοσελίδα, να αποδεχθεί τη λήψη ενός αρχείου κτλ.

Όλες οι παραπάνω ενέργειες θα οδηγήσουν τελικά τον χρήστη στο να υποστεί κάποια ζημιά, είτε άμεση οικονομική, είτε έμμεση, όπως η εγκατάσταση κακόβουλου λογισμικού στη συσκευή του, η χρήση της από κάποιον τρίτο για την πραγματοποίηση επιθέσεων σε άλλες συσκευές, ώστε οι παράνομες ενέργειες του θύτη να οδηγούν στις συσκευές και IP διευθύνσεις των θυμάτων».

Κ. Κοτζανικολάου, τον τελευταίο καιρό ακούμε για έναν νέο τύπο ψηφιακής απάτης, που ακούει στον όρο Quishing. Σε τι συνίσταται και πώς επιτυγχάνεται; Τι σχέση έχει με το Phishing;

«Το Quishing είναι ένας σχετικά νέος τύπος ψηφιακής απάτης, μία από τις νεότερες παραλλαγές της κατηγορίας επιθέσεων εξαπάτησης γνωστές ως Phishing. Ο όρος προέρχεται από τη σύνθεση των λέξεων QR code και Phishing.

Πρόκειται για επιθέσεις στις οποίες ένας κακόβουλος χρήστης (ή ομάδα κακόβουλων χρηστών) εκμεταλλεύονται την αίσθηση ασφάλειας και αξιοπιστίας που έχουμε στη χρήση κωδικών QR.

Για όσους δεν γνωρίζουν την ορολογία, οι κώδικες QR (Quick Response) είναι τετραγωνικοί γραμμωτοί κώδικες, οι οποίοι αποθηκεύουν πληροφορίες και μπορούν να σαρωθούν από κινητά τηλέφωνα ή άλλες συσκευές, για γρήγορη πρόσβαση σε ιστοσελίδες, σύνδεση σε WiFi, λήψη αρχείων ή άλλων πληροφοριών, χωρίς την ανάγκη πληκτρολόγησης.

Είναι πολύ εύκολο είναι για έναν κακόβουλο χρήστη να κολλήσει έναν ψεύτικο κωδικό QR στο τραπέζι ή πάνω στον κατάλογο ενός εστιατορίου, ή σε ένα συνεδριακό χώρο αναφέροντας ότι πρόκειται για το σύνδεσμο προς το δωρεάν WiFi. Ή ακόμα να αποστείλει μαζικά παραπλανητικό e-mail με ένα κώδικα QR ο οποίος φαίνεται ότι οδηγεί σε κάποια προσφορά για ένα προϊόν».

Οι ειδικοί στην κυβερνοασφάλεια χρησιμοποιούν κάποια κατηγοριοποίηση για διάφορους τύπους απάτης; (διαδικτυακές, τηλεφωνικές κλπ); Αν ναι, ποιοι είναι αυτοί;

«Πέραν των επιθέσεων Quishing που συζητήσαμε προηγουμένως, υπάρχουν διάφορες παραλλαγές επιθέσεων phishing όπως:

Email Phishing: Η πιο γνωστή ίσως μορφή, όπου επιτιθέμενοι στέλνουν παραπλανητικά e-mail που εκ πρώτης όψης φαίνεται να προέρχονται από κάποια υπηρεσία, εταιρεία ή άλλο πρόσωπο, ζητώντας από τα θύματα να αποστείλουν ευαίσθητες πληροφορίες (κωδικούς, τραπεζικά στοιχεία) ή να “πατήσουν” κάποιο σύνδεσμο URL.
Spear Phishing: Επιθέσεις που στοχεύουν κατάλληλα επιλεγμένα άτομα ή οργανισμούς, χρησιμοποιώντας προσωπικές πληροφορίες για να αυξήσουν την αξιοπιστία του μηνύματος.

Συχνά χρησιμοποιείται εναντίον επιχειρήσεων, με σκοπό την απόκτηση εμπιστευτικών πληροφοριών, ή εναντίον κρατικών οργανισμών, ως μέρος γενικότερης επίθεσης από εγκληματικές οργανώσεις ή ακόμα και εχθρικά κράτη.

Smishing (SMS Phishing): Σε αυτή την παραλλαγή οι επιτιθέμενοι στέλνουν SMS που περιέχουν κακόβουλους συνδέσμους ή ζητούν από τους χρήστες να αποστείλουν ευαίσθητες πληροφορίες.

Vishing (Voice Phishing): Σε αυτή την παραλλαγή οι χρήστες δέχονται τηλεφωνικές κλήσεις όπου οι επιτιθέμενοι προσποιούνται ότι εκπροσωπούν κάποια δημόσια αρχή ή εταιρεία, με την οποία το υποψήφιο θύμα έχει κάποια συναλλαγή. Πολλές φορές οι επιθέσεις αυτές γίνονται αυτοματοποιημένα χωρίς κάποιο άτομο στην άλλη άκρη του ακουστικού, με αυτοματοποιημένο σύστημα συνομιλίας (voice chatbot), κατάλληλα “εκπαιδευμένο” στη χρήση τεχνητής νοημοσύνης και βαθιάς μάθησης (deep learning).

Whaling: Στοχεύει σε χρήστες οργανισμών οι οποίοι έχουν συνήθως υψηλά δικαιώματα πρόσβασης σε συστήματα ή/και λαμβάνουν αποφάσεις σε υψηλό επίπεδο, είναι δηλαδή τα “μεγάλα ψάρια”. Συνήθως σε διευθυντικά στελέχη οργανισμών ή ακόμα και σε διαχειριστές εταιρικών πληροφοριακών συστημάτων, ώστε να αποσπάσουν οι δράστες κρίσιμες πληροφορίες ή να διαπράξουν οικονομικές απάτες.

Μία γνωστή επίθεση whaling τον Αύγουστο του 2024, οδήγησε το θύμα σε απώλεια κρυπτονομισμάτων αξίας περίπου 55 εκ. δολαρίων. Όλες οι παραπάνω επιθέσεις δεν αποτελούν μόνο θεωρία, αλλά συμβαίνουν καθημερινά με ολοένα και αυξανόμενη συχνότητα».

Ποιοι τύποι απάτης θεωρούνται οι πλέον επικίνδυνοι/αποτελεσματικοί;

«Παρόλο που η συχνότητα των επιθέσεων αυξάνεται καθημερινά, και θα περίμενε κανείς οι χρήστες να είναι περισσότερο εξοικειωμένοι και προετοιμασμένοι ώστε να εντοπίσουν έγκαιρα τέτοιες επιθέσεις, δυστυχώς οι επιθέσεις αυτές εξελίσσονται διαρκώς και γίνονται περισσότερο αποτελεσματικές, καθώς οι κυβερνο-εγκληματίες (cyber-criminals) εκμεταλλεύονται ταχύτατα τις τεχνολογικές εξελίξεις και τις κοινωνικές τάσεις.

Σε όλες τις παραπάνω επιθέσεις, ο επιτιθέμενος μπορεί να προετοιμαστεί λαμβάνοντας πρώτα πληροφορίες από δημόσιες πηγές όπως τα social media, για να αναλύσει το κοινωνικό προφίλ, την προσωπική ζωή και τα ειδικά χαρακτηριστικά του θύματος, ώστε η επίθεση να είναι καλύτερα στοχευμένη.

Στη συνέχεια, μπορεί να χρησιμοποιήσει τεχνολογίες τεχνητής νοημοσύνης και βαθιάς μηχανικής μάθησης, ώστε να κάνει την επίθεση να φαίνεται πολύ ρεαλιστική».

Περισσότερο από τα QR codes, η παραγωγική τεχνητή νοημοσύνη, είναι μία ανερχόμενη τεχνολογία, που βλέπουμε να χρησιμοποιείται για προπαγάνδα, αθέμιτη διαφήμιση, ακόμα και απάτες, παρουσιάζοντας τεχνητά «μοντέλα» υπαρκτών προσώπων (deepfakes) για να προσδώσουν σε αυτές εγκυρότητα.

Έχουμε δει διάσημους από τον Τζο Ρόγκαν μέχρι και τον Δημήτρη Κουτσούμπα, ή τουλάχιστον, τα χαρακτηριστικά τους, να επιδίδονται σε τέτοιες απάτες.

Με απλά λόγια, τι είναι το deepfake και πώς επιτυγχάνει αυτό το, τρομακτικά αληθοφανές κάποιες φορές, αποτέλεσμα;

«Γενικά ο όρος deepfake αναφέρεται στη χρήση τεχνητής νοημοσύνης και ειδικότερα των αλγορίθμων βαθιάς μηχανικής μάθησης (deep learning), για τη δημιουργία ψευδούς (fake) αλλά πολύ ρεαλιστικού περιεχομένου όπως βίντεο, εικόνων ή ήχου με τρόπο που φαίνεται εξαιρετικά αληθοφανής.

Τέτοιες επιθέσεις έχουν χρησιμοποιηθεί με σκοπό τη διασπορά ψευδών ειδήσεων (fake news) – οι οποίες διαδίδονται ταχύτατα μέσα από τα κοινωνικά δίκτυα των χρηστών οι οποίοι τις κοινοποιούν χωρίς να τις διασταυρώσουν.

Πολλές φορές η διάδοση της ψευδούς είδησης από τα socials των χρηστών δεν γίνεται με κακή πρόθεση, αλλά λόγω της ρεαλιστικότητας και του εντυπωσιασμού που προκαλεί, οι χρήστες τείνουν να τη δεχθούν ως αληθινή.

Άλλες φορές η διάδοση των deepfakes γίνεται εσκεμμένα και οργανωμένα από οργανώσεις με πολιτικά, οικονομικά ή άλλα κίνητρα.

Όσον αφορά το συνδυασμό των επιθέσεων deepfake με επιθέσεις phishing, οδηγούν σε πολύ πειστική εξαπάτηση. Σε κάποιες το θύμα μπορεί να έχει λάβει μέσω e-mail, sms ή άλλης εφαρμογής κάποιο deepfake βίντεο, στο οποίο να παρουσιάζεται γνωστό του πρόσωπο το οποίο να του ζητά να κάνει κάποια ενέργεια.

Για παράδειγμα κάποιος οικείος (σύζυγος, παιδί, γονέας) που ζητά την αποστολή των κωδικών web-banking γιατί δεν τους θυμάται και πρέπει να κάνει μία επείγουσα συναλλαγή.

Ένα τέτοιο βίντεο μπορεί πολύ εύκολα να δημιουργηθεί με τεχνολογίες deepfake με πολύ κόστος της τάξεως των 5-10 ευρώ ανά βίντεο, εάν ο επιτιθέμενος έχει στη διάθεσή του κάποια δείγματα της εικόνας και της φωνής του προσώπου που αναπαριστά».

Έχουν αυτές οι απάτες περισσότερη «πέραση» ή επιτυχία στις νεότερες γενιές, αν λάβουμε υπ’ όψιν τον αυξημένο ψηφιακό και μιντιακό τους «αλφαβητισμό»;

«Πράγματι οι νέες γενιές είναι περισσότερο εξοικειωμένες με τις νέες τεχνολογίες. Η ποσότητα πληροφορίας που έχει λάβει και επεξεργαστεί ένας έφηβος σήμερα είναι πολλαπλάσια από την πληροφορία που είχε λάβει και επεξεργαστεί ένας ηλικιωμένος σε όλη του τη ζωή μόλις μερικές δεκαετίες πριν.

Αυτό καθιστά τους νέους σαφώς πιο ενημερωμένους και θεωρητικά τουλάχιστον έτοιμους ώστε να αναγνωρίσουν έγκαιρα και να αντιμετωπίσουν επιτυχώς τέτοιες επιθέσεις. Κατανοούν για παράδειγμα καλύτερα τις νέες τεχνολογίες, είναι πιο πιθανό να επαληθεύσουν πηγές και να διασταυρώσουν εάν κάποιο περιεχόμενο είναι αληθές, πιθανώς με εργαλεία λογισμικού και τεχνικές εντοπισμού deepfake βίντεο και ήχου.

Από την άλλη πλευρά όμως, παρά τον αυξημένο ψηφιακό αλφαβητισμό των νέων, που αποτελεί το ισχυρό σημείο τους, υπάρχουν και άλλα χαρακτηριστικά που τους καθιστούν πιο ευάλωτους σε ψηφιακές επιθέσεις, σε σχέση με τις μεγαλύτερες γενιές.

Ενδεικτικά οι νέοι είναι πιο ευάλωτοι σε κοινωνική και συναισθηματική χειραγώγηση, π.χ. “προσφορές” που λήγουν άμεσα, εάν δεν πατήσουν το σύνδεσμο εντός κάποιου σύντομου χρονικού ορίου.

Επίσης τείνουν να είναι γρήγοροι “καταναλωτές” ψηφιακού περιεχομένου, ιδιαίτερα αυτού που έχει στοιχεία εντυπωσιασμού, χωρίς πάντοτε να το αναλύσουν».

Ποιες ομάδες πληθυσμού είναι πιο ευάλωτες σε αντίστοιχες ψηφιακές και τηλεφωνικές απάτες;

«Θα έλεγα ότι όλοι είμαστε ευάλωτοι σε ψηφιακές και τηλεφωνικές απάτες. Οι μεγαλύτερες γενιές, και ιδιαίτερα οι ηλικιωμένοι είναι σαφώς πιο ευάλωτοι σε τηλεφωνικές απάτες, διότι ενώ είναι εξοικειωμένοι με τη χρήση τηλεπικοινωνιών, δυσκολεύονται να κατανοήσουν τις σύνθετες τεχνικές εξαπάτησης (vishing, smishing).

Όσον αφορά τις άλλες ψηφιακές απάτες, οι μεγαλύτερες γενιές επίσης υστερούν σε θέματα εξοικείωσης. Επειδή όμως ταυτόχρονα δεν χρησιμοποιούν σε μεγάλο βαθμό τις αντίστοιχες ψηφιακές τεχνολογίες, είναι και λιγότερο πιθανοί στόχοι τέτοιων επιθέσεων (π.χ. qusihing, e-mail phising).

Γενικά οι κυβερνο-εγκληματίες (cyber-criminals) εστιάζουν τις επιθέσεις ανάλογα με τα χαρακτηριστικά της ομάδας στην οποία στοχεύουν, λαμβάνοντας υπόψη το επίπεδο ενημέρωσης αλλά και τις κοινωνικές και ψυχολογικές παραμέτρους των ομάδων-στόχων κάθε επίθεσης.

Πέραν του ηλικιακού κριτηρίου και του ψηφιακού αλφαβητισμού, άλλα χαρακτηριστικά που εκμεταλλεύονται οι επιτιθέμενοι περιλαμβάνουν:

το οικονομικό και κοινωνικό προφίλ (π.χ. για επιθέσεις whaling)

την έλλειψη, από την πλευρά των θυμάτων, επαρκούς κατανόησης του τοπικού περιβάλλοντος (π.χ. επιθέσεις

στοχευμένες σε τουρίστες ή μετανάστες)

άλλες συναισθηματικές ή κοινωνικές πιέσεις

Όσοι διαπράττουν τέτοιες απάτες δρουν περισσότερο κατά μόνας ή ως μέλη ομάδων/οργανώσεων;

«Οι δράστες ψηφιακών επιθέσεων είναι συνήθως μέλη ομάδων κυβερνο-εγκλήματος (cyber-criminal groups). Αυτές οι ομάδες συχνά στρατολογούν ειδικούς με υψηλά προσόντα, και δουν οργανωμένα έχοντας οικονομική υποστήριξη είτε από εγκληματικές ομάδες, όταν το κίνητρο είναι το οικονομικό όφελος, είτε και από εχθρικά κράτη, σε περίπτωση που το κίνητρο είναι πολιτικό ή κοινωνικό. Βεβαίως υπάρχουν και μεμονωμένοι δράστες που εστιάζουν συνήθως σε απλούστερες μορφές απάτης».

Πώς διαφεύγουν τέτοιοι κυβερνο-εγκληματίες, για όσο διαφεύγουν;

«Στην περίπτωση οργανωμένων επιθέσεων, αρχικά οι δράστες προετοιμάζονται προσεκτικά και αρκετό καιρό πριν, ώστε να είναι δύσκολος, αν όχι αδύνατος, ο εντοπισμός τους.

Χρησιμοποιούν τεχνικές ανώνυμης επικοινωνίας ώστε να είναι δύσκολος ο εντοπισμός των διευθύνσεων διαδικτύου τους (IP addresses).

Δημιουργούν ψεύτικα e-mail, αριθμούς τηλεφώνου που έχουν εκδοθεί σε ψευδές όνομα, συχνά χρησιμοποιώντας στοιχεία ατόμων που είναι δύσκολο να εντοπιστούν (μεταναστών, αστέγων, τουριστών).

Επιπλέον, πολλές φορές υλοποιούν τις προπαρασκευαστικές ενέργειες των επιθέσεων σε χώρες με χαλαρή νομοθεσία για τον κυβερνοχώρο και το κυβερνοέγκλημα.

Για να μην εντοπιστούν από τα χρήματα που αποσπούν, οι τραπεζικοί λογαριασμοί ακολουθούν συνήθως μια πολυδαίδαλη διαδρομή ενδιάμεσων λογαριασμών ώστε να είναι δύσκολος ο εντοπισμός.

Φυσικά σε πολλές επιθέσεις, τα χρήματα ζητούνται αποκλειστικά σε κρυπτονομίσματα που παρέχουν πλήρη ανωνυμία. Για παράδειγμα σε επιθέσεις τύπου ransomware, οι δράστες καταφέρνουν να κρυπτογραφήσουν σημαντικά δεδομένα του θύματος.

Στη συνέχεια ζητούν λύτρα σε κρυπτονόμισμα, προκειμένου να δώσουν το κλειδί αποκρυπτογράφησης, για να ανακτήσει το θύμα τα δεδομένα του. Τέτοιες επιθέσεις είναι πολύ διαδεδομένες και στοχεύουν μεταξύ άλλων, νοσοκομεία, δημόσιους οργανισμούς, εταιρείες και πανεπιστήμια».

Στην Ελλάδα, ποια είναι η προέλευση τέτοιων μηνυμάτων/κλήσεων/ιών; Προέρχονται δηλαδή κυρίως από εγχώριους δράστες ή από το εξωτερικό;

«Στην Ελλάδα, η προέλευση των κακόβουλων μηνυμάτων, κλήσεων, ιών και άλλου κακόβουλου λογισμικού είναι συχνά από το εξωτερικό, κυρίως από χώρες όπου δραστηριοποιούνται οργανωμένες εγκληματικές ομάδες ή χώρες με τις οποίες έχουμε τεταμένες σχέσεις. Πολλές φορές χρησιμοποιούν αυτοματοποιημένα συστήματα μαζικής αποστολής μηνυμάτων ή κλήσεων με υποβοήθηση τεχνητής νοημοσύνης.

Βεβαίως, υπάρχει και εγχώρια δράση, ειδικά σε τηλεφωνικές απάτες ή άλλες επιθέσεις phishing, όπου οι εγχώριοι δράστες εκμεταλλεύονται καλύτερα τη γνώση τους για τις τοπικές ιδιαιτερότητες ή τη γλώσσα».

Κατά πόσο συνδράμει η Δίωξη Ηλεκτρονικού Εγκλήματος στα «μέτωπα» που θίχτηκαν; Λειτουργεί αποτελεσματικά;

Η Δίωξη Ηλεκτρονικού Εγκλήματος στην Ελλάδα συνδράμει καθημερινά στην αντιμετώπιση ψηφιακών εγκλημάτων, με εξειδικευμένο προσωπικό και σύγχρονα εργαλεία ανίχνευσης και παρακολούθησης.

Συχνά ακούμε στις ειδήσεις για σημαντικές επιτυχίες και εξιχνιάσεις κυβερνοεγκλημάτων, ιδίως σε υποθέσεις παιδικής πορνογραφίας, phishing, και ransomware. Ταυτόχρονα υπάρχει και ένα πλήθος επιτυχιών που δεν γίνονται ειδήσεις, όπως για παράδειγμα πολλές επιθέσεις που προλαμβάνονται πριν εξελιχθούν.

Ωστόσο, είναι προφανές ότι αντιμετωπίζει σημαντικές προκλήσεις, όπως ο αυξημένος όγκος κυβερνο-εγκλημάτων και κυβερνο-επιθέσεων, η διεθνοποίηση του κυβερνο-εγκλήματος και η έλλειψη των αναγκαίων πόρων.

Υπάρχουν ιδιωτικές εταιρείες κυβερνοασφάλειας που προσφέρουν υπολογίσιμο έργο;

«Ο χώρος της κυβερνοασφάλειας είναι ραγδαία εξελισσόμενος και στην Ελλάδα έχουμε ήδη επιδείξει πολύ σημαντική πρόοδο. Αρκετές από αυτές τις εταιρείες προσφέρουν υπηρεσίες κυβερνοασφάλειας στη διεθνή αγορά και όχι μόνο στην Ελληνική, και μάλιστα ιδιαίτερα υψηλού και ανταγωνιστικού επιπέδου.

Επίσης, λόγω της ραγδαίας αύξησης του κυβερνο-εγκλήματος και των κυβερνο-επιθέσεων, η ζήτηση για ειδικούς στο χώρο της κυβερνοασφάλειας είναι και θα παραμείνει ιδιαίτερα υψηλή στην Ελλάδα και διεθνώς.

Ενδεικτικά, η ζήτηση στην αγορά εργασίας για ειδικούς κυβερνοασφάλειας είναι υπερδιπλάσια των αποφοίτων προγραμμάτων κυβερνοασφάλειας. Η ανεργία στον χώρο είναι μηδενική και οι αμοιβές των ειδικών σημαντικά υψηλότερες από άλλους κλάδους της τεχνολογίας».

Τι θα προτείνατε, σε συστημικό αλλά και προσωπικό επίπεδο, ως αποτελεσματική γραμμή άμυνας ενάντια σε όλες αυτές τις απάτες;

«Σε συστημικό επίπεδο, να αναφέρω ότι ήδη έχει ξεκινήσει μία σημαντική προσπάθεια για την κυβερνοασφάλεια σε Ευρωπαϊκό επίπεδο, από την οδηγία NIS2 η οποία αφορά την ασφάλεια των δικτύων και των συστημάτων, μέσα από την εφαρμογή ενός δομημένου τεχνικού, οργανωτικού και διοικητικού πλαισίου, η οποία μάλιστα τίθεται σε εφαρμογή σε εθνικό επίπεδο.

Η εφαρμογή της οδηγίας θα ενισχύσει τη συνεργασία μεταξύ διαφορετικών κρατών-μελών για την πιο αποτελεσματική αντιμετώπιση οργανωμένων και διεθνών δικτύων κυβερνο-εγκλήματος. Βεβαίως η πλήρης εφαρμογή της νομοθεσίας στην πράξη αντιμετωπίζει πολύ σημαντικές προκλήσεις και απαιτεί τόσο υλικούς, όσο και ανθρώπινους πόρους για την αποτελεσματική εφαρμογή της.

Προς αυτή την κατεύθυνση θεωρώ αναγκαία τη συνεργασία μεταξύ του δημόσιου τομέα, των επιχειρήσεων αλλά και των ακαδημαϊκών ιδρυμάτων ώστε να ενισχυθεί το επίπεδο προετοιμασίας όλων των φορέων, και να ενισχυθεί η προσφορά εξειδικευμένων στελεχών κυβερνοασφάλειας που θα μπορέσουν να καλύψουν τις διογκούμενες ανάγκες.

Σε προσωπικό επίπεδο, θα πρέπει όλοι μας ως χρήστες ηλεκτρονικών υπηρεσιών να αποκτήσουμε εξοικείωση με τις τεχνικές των επιθέσεων και να είμαστε προσεκτικοί ώστε να εντοπίζουμε έγκαιρα επιθέσεις εξαπάτησης (phising, quishing, vishing, smishing κτλ).

Νομίζω ότι μια πρακτική συμβουλή για όλες αυτές τις επιθέσεις είναι πάντοτε να επαληθεύουμε πριν πράξουμε.

Για παράδειγμα, εάν δεχθούμε ένα τηλέφωνο, sms, μήνυμα μέσω socials, ηχητικό μήνυμα ή βίντεο από κάποιο οικείο πρόσωπο που μας ζητά να κάνουμε κάποια ενέργεια, να δώσουμε κάποια εμπιστευτικά δεδομένα ή να πατήσουμε κάποιο σύνδεσμο, πάντοτε να επαληθεύουμε ότι είναι αληθές, καλώντας εμείς ή επικοινωνώντας με άλλο μέσο, με το πρόσωπο αυτό.

Επίσης ποτέ δεν δίνουμε κωδικούς ή άλλα εμπιστευτικά δεδομένα μέσω τηλεφωνικών ή άλλων ηλεκτρονικών επικοινωνιών. Ποτέ δεν πρόκειται να μας ζητήσει μία τράπεζα ή άλλη εταιρεία να τους στείλουμε τον κωδικό μας, τον αριθμό λογαριασμού μας, τον αριθμό ταυτότητας ή άλλη εμπιστευτική πληροφορία.

Τέλος για την περίπτωση των επιθέσεων deepfake, καλό είναι να είμαστε ιδιαίτερα προσεκτικοί όταν κάποιο οπτικο-ακουστικό μέσο που λάβαμε δείχνει ασυνέπειες (π.χ. στο πρόσωπο, στα χέρια, δάκτυλα ή στις κινήσεις του στόματος), θολά σημεία, ακανόνιστες σκιές ή κακό συγχρονισμό φωνής και εικόνας.

Βέβαια να έχουμε υπόψη ότι οι επιθέσεις deepfake διαρκώς εξελίσσονται και βελτιώνονται, οπότε η επαλήθευση της πηγής θα πρέπει πάντα να εφαρμόζεται».

Ιωάννης Γιαννούλας Κοκκώνης – reader.gr

Διαβάστηκε 89 φορές

Ακολουθείστε το AitoloakarnaniaBest.gr στο Google News

ΚΑΤΗΓΟΡΙΑ: Γενικά και Αόριστα

Συντακτική Ομάδα του AitoloakarnaniaBest.gr

Καθημερινή ενημέρωση με οτι καλύτερο συμβαίνει και ότι είναι χρήσιμο για τον κόσμο στην Αιτωλοακαρνανία. Σε πρώτο πλάνο η ανάδειξη του νομού, ως φυσική ομορφιά, πολιτισμικές δράσεις, ιστορικά θέματα, ενδιαφέροντα πρόσωπα και ομάδες και οτι άλλο αξίζει να αναδειχθεί.

επιστροφή στην κορυφή