Ο αναπληρωτής καθηγητής του Τμήματος Οικονομικών Επιστημών Πανεπιστημίου Θεσσαλίας κ. Βασίλης Βλάχος αναφέρεται στις κατηγορίες κυβερνοαπατών που τα έχουν αυξηθεί τα τελευταία χρόνια. Παρουσιάζει τα «δολώματα» που χρησιμοποιούν για να αλιεύσουν πληροφορίες και χρηματικά ποσά, αναλύει τα τεχνάσματα που κρύβουν απειλές για επιχειρήσεις, φορείς και απλούς χρήστες, ενώ παρέχει πολύτιμες συμβουλές για προστασία από τα «χτυπήματα» των απατεώνων και τους εκβιασμούς τους
Πόσο και σε ποια κατεύθυνση έχουν αυξηθεί οι διαδικτυακές πρακτικές εξαπάτησης πολιτών, αλλά και η συχνότητα των «χτυπημάτων» σε επιχειρήσεις και φορείς;
Υπάρχουν δύο βασικές κατηγορίες κυβερνοαπατών, στις οποίες διαπιστώνουμε πολύ μεγάλη αύξηση τα τελευταία χρόνια. Η πιο σοβαρή απειλή ονομάζεται ransomware. Οι επιθέσεις αυτές είναι ιδιαίτερα σύνθετες, πολύπλοκες και απαιτούν σοβαρή προεργασία και προετοιμασία. Στοχοποιούν κυρίως επιχειρήσεις που μπορούν να καταβάλουν σημαντικά χρηματικά ποσά ως λύτρα. Οι επιθέσεις ransomware ουσιαστικά κρυπτογραφούν τα πολύτιμα αρχεία της επιχείρησης και τα καθιστούν απροσπέλαστα. Όπως αντιλαμβάνεστε, όταν μια επιχείρηση δεν έχει πρόσβαση στα δεδομένα που χρειάζεται για να λειτουργήσει, πρακτικά σημαίνει ότι αναστέλλει το σύνολο των δραστηριοτήτων της. Τα λύτρα για την αποκρυπτογράφηση των συγκεκριμένων αρχείων από τους κυβερνοεγκληματίες είναι δυσθεώρητα, και μπορεί να φτάσουν τα εκατομμύρια ευρώ σε περιπτώσεις πολύ μεγάλων εταιρειών. Οι κυβερνοαπατεώνες δεν έχουν διστάσει να χτυπήσουν και νοσοκομεία, σχολεία και πανεπιστήμια. Μάλιστα είχαμε και διάφορα περιστατικά στην Ελλάδα το τελευταίο διάστημα, τόσο σε ιδιωτικές επιχειρήσεις, όσο και σε μεγάλους οργανισμούς του ευρύτερου δημόσιου τομέα. Θα ήθελα να επισημάνω σε όλους τους αναγνώστες που θεωρούν ότι οι υπολογιστές και τα δεδομένα τους είναι απαραίτητα για τη λειτουργία της επιχείρησης τους, να λάβουν άμεσα μέτρα.
Τι μπορούν να κάνουν οι επιχειρήσεις για να προστατευτούν;
Πρώτα απ’ όλα να κατανοήσουν το μέγεθος της απειλής. Το γεγονός ότι δεν ακούγονται τόσα πολλά περιστατικά, οφείλεται πρωτίστως στο ότι οι περισσότεροι επιχειρηματίες αποφεύγουν, για διάφορους προφανείς λόγους, να παραδεχθούν ότι έχουν πέσει θύματα τέτοιων επιθέσεων. Ακόμα χειρότερο είναι το γεγονός ότι οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτές τις επιθέσεις, δεν διστάζουν να απειλούν και να εκβιάζουν τους επιχειρηματίες ότι θα δημοσιοποιήσουν τα αρχεία, τα οποία έχουν υποκλέψει. Αντιλαμβάνεστε το μέγεθος της ζημιάς που θα προκύψει για το κύρος μιας εταιρίας αν για παράδειγμα όλα τα εσωτερικά και εμπιστευτικά email της ή τα προσωπικά δεδομένα των πελατών της, εμφανιστούν δημόσια στο internet. Αυτός ο εκβιασμός λειτουργεί πολύ αποτελεσματικά. Αυτό που πρέπει να κάνουν οι εταιρείες είναι να τηρούν ευλαβικά τα μέτρα ασφάλειας, χρησιμοποιώντας τις απαραίτητες σχετικές εφαρμογές όπως τα αντιικά προγράμματα. Εξίσου σημαντικό είναι το λογισμικό που χρησιμοποιούμε να είναι διαρκώς επικαιροποιημένο με τις τελευταίες ενημερώσεις (updates). Το βασικότερο όλων, είναι η λήψη τακτικών αντιγράφων ασφαλείας (backups), τα οποία, όμως, δεν πρέπει να είναι διαρκώς συνδεδεμένα στο Διαδίκτυο, γιατί ενέχει ο κίνδυνος το ransomware να κρυπτογραφήσει και τα αντίγραφα ασφαλείας. Τέλος, χρειάζεται πάντα η ενημέρωση και η εκπαίδευση των χρηστών στο να είναι ιδιαίτερα προσεκτικοί στα ποια αρχεία ανοίγουν, ποιους υπερσυνδέσμους (links) ακολουθούν στα emails και σε όλα τα μηνύματα που λαμβάνουν.
Οι απλοί χρήστες κινδυνεύουν και πόσο;
Φυσικά, αλλά όχι τόσο από το ransomware, όσο από τις κλασικές τραπεζικές απάτες. Συνήθως, οι απατές αυτές γίνονται με αφορμή κάποια αγγελία που έχει δημοσιεύσει κάποιος πολίτης ή επικοινωνούν μαζί του μέσω μηνυμάτων σε κοινωνικά δίκτυα για κάποιες δήθεν προσφορές. Η απάτη εξελίσσεται περίπου με τα παρακάτω βήματα. Οι απατεώνες ζητούν από τα θύματά τους με κάποιο πρόσχημα να αλλάξουν το email τους σε κάποια υπηρεσία πληρωμών βάζοντας το email της «προσφοράς». Αυτό που δεν αντιλαμβάνονται οι χρήστες είναι ότι το email που δηλώνουμε σε κάθε υπηρεσία δεν χρησιμοποιείται μόνο για την αποστολή ενημερωτικών μηνυμάτων, αλλά και για την ανάκτηση και την αλλαγή του κωδικού μας και αυτό είναι πολύ σημαντικό. Όπως καταλαβαίνετε, αν το email αλλαγής κωδικού φτάσει αντί για τον νόμιμο κάτοχο του λογαριασμού σε κάποιον απατεώνα, τότε αυτός μπορεί εύκολα να ορίσει έναν δικό του κωδικό και να αποκτήσει πρόσβαση στον λογαριασμό μας. Για τον λόγο αυτό, ποτέ δεν ακολουθούμε παραινέσεις να αλλάξουμε οποιοδήποτε email επικοινωνίας κάποιου λογαριασμού μας, σε κάποια άγνωστη σε εμάς διεύθυνση. Ένα άλλο βασικό στοιχείο που πρέπει να κρατήσουμε κρυφό, είναι οι κωδικοί επιβεβαίωσης που μας στέλνει η τράπεζα σε κάθε συναλλαγή που επιχειρούμε να ολοκληρώσουμε. Οι κωδικοί αυτοί είναι μιας χρήσης και έχουν περιορισμένη χρονική διάρκεια. Ουσιαστικά έχουν τον ρόλο της διπλής αυθεντικοποίησης (2FA). Με απλά λόγια, ο κωδικός αυτός χρησιμοποιείται ως ένα επιπρόσθετο επίπεδο ασφαλείας. Εκτός από το κανονικό συνθηματικό, που λογικά μόνο εμείς γνωρίζουμε, λαμβάνουμε και αυτόν τον έξτρα κωδικό σε κάτι που μόνο εμείς διαθέτουμε π.χ. το κινητό τηλέφωνο μας. Αν για κάποιο λόγο κάποιος απατεώνας κλέψει τον κωδικό μας, δεν θα μπορέσει να εκτελέσει κάποια συναλλαγή αν δεν έχει και αυτόν τον έξτρα κωδικό που θα σταλεί αποκλειστικά στη συσκευή μας. Για τον λόγο αυτό, όταν κάποιος μας ζητάει «να του στείλουμε τον κωδικό που μόλις λάβαμε για να μας βάλει τα λεφτά», πρέπει να είμαστε πάρα πολύ επιφυλακτικοί και καχύποπτοι. Ποτέ δεν πρέπει να στείλουμε αυτόν τον κωδικό σε κάποιον άλλο. Καλό είναι μάλιστα να προχωρήσουμε και στην αλλαγή του συνθηματικού (password) μας. Γενικότερα, αν και είναι κουραστικό να διατηρούμε πολλά συνθηματικά, υπάρχουν προγράμματα που αναλαμβάνουν να φυλάξουν τους κωδικούς αυτούς για εμάς.
Υπάρχουν τρόποι προστασίας, όταν παίζουν με την ψυχολογία των θυμάτων και καταφέρνουν να αλιεύσουν σημαντικά χρηματικά ποσά από τραπεζικούς κωδικούς;
Έχετε δίκιο, υπάρχει μάλιστα ολόκληρος κλάδος που ασχολείται με την εκμετάλλευση της ψυχολογίας των θυμάτων που ονομάζεται Κοινωνική Μηχανική (Social Engineering). Θα παρατηρήσετε ότι σχεδόν σε όλες τις απάτες, το σενάριο εξελίσσεται σε ασφυκτικά χρονικά περιθώρια που στερούν από το θύμα τη δυνατότητα καθαρής σκέψης. Είτε πρόκειται για κάποιο «επίδομα» που πρέπει να μπει στην τράπεζα πριν «κλείσει η εφορία» είτε για κάποια «αγορά» που πρέπει να ολοκληρωθεί άμεσα είτε κάποια «προσφορά που λήγει σε λίγο», κοινό μοτίβο είναι ότι πρέπει το θύμα να προβεί άμεσα στις «απαιτούμενες ενέργειες», διαφορετικά θα χάσει «τα χρήματά του». Ένα άλλο σταθερό τέχνασμα που χρησιμοποιείται ευρέως, είναι η υπόσχεση για μεγάλα δώρα ή ανταμοιβές έναντι ενός «ευτελούς» αντίτιμου που πρέπει να καταβάλλει το θύμα ως έξοδα διεκπεραίωσης. Η συνέχεια είναι εξίσου ζημιογόνα, όσο περισσότερα «μικροέξοδα» πληρώνει ο χρήστης τόσο περισσότερο θα θελήσει να κερδίσει το δώρο για να αποσβέσει τη δαπάνη του και άρα είναι πιο πιθανό να πειστεί να καλύψει και άλλα «μικροέξοδα» που διαρκώς θα επινοούν οι απατεώνες.
Υπάρχει άγνοια των πολιτών για τον βαθμό επικινδυνότητας των online επιθέσεων;
Εξαρτάται. Υπάρχουν χρήστες που είναι βαθύτατοι γνώστες των θεμάτων αυτών. Από την άλλη υπάρχουν και πολίτες, κυρίως μεγαλύτερης ηλικίας που δυσκολεύονται πάρα πολύ. Να είστε σίγουρος ότι οι διάφοροι επιτήδειοι, στην αρχή κάθε απόπειρας απάτης, θα επιχειρήσουν να «ακτινογραφήσουν» το επίπεδο γνώσεων των υποψηφίων θυμάτων τους. Σε περίπτωση που βρεθούν αντιμέτωποι με ανθρώπους που κατέχουν τους σωστούς τρόπους διεξαγωγής ψηφιακών συναλλαγών, άμεσα εγκαταλείπουν την προσπάθεια, γιατί αυξάνονται οι πιθανότητες να γίνουν αντιληπτοί, να ειδοποιηθεί η αστυνομία και να συλληφθούν.
Το επίπεδο μόρφωσης παίζει ρόλο ή ο καθένας μπορεί να βρεθεί σε δύσκολη θέση;
Συνήθως όσο μεγαλύτερη εξοικείωση έχει κάποιος με την πληροφορική και το Διαδίκτυο, τόσο πιο υποψιασμένος είναι. Άρα, δεν είναι θέμα τυπικών προσόντων, αλλά ουσιαστικών γνώσεων και τριβής με το αντικείμενο. Σε κάθε περίπτωση, όμως, δεν πρέπει να παραγνωρίζεται το γεγονός ότι οι διάφοροι απατεώνες είναι πολύ καλοί στο να εκμεταλλεύονται ανθρώπινες αδυναμίες κάνοντας χρήση των τεχνικών κοινωνικής μηχανικής που συζητήσαμε νωρίτερα. Στην κυβερνοασφάλεια, δυστυχώς, πάντα, ο πιο αδύναμος κρίκος θα είναι ο ανθρώπινος παράγοντας. Όσο μάλιστα εξελίσσονται οι διάφορες τεχνολογίες και γίνονται πιο ασφαλείς, τόσο θα εντείνεται το φαινόμενο αυτό, καθότι τα ανθρώπινα σφάλματα θα είναι η βασική πύλη εισόδου των κυβερνοεγκληματιών στα συστήματά μας.
Δημοσιεύοντας στα μέσα κοινωνικής δικτύωσης σειρά προσωπικών δεδομένων δίνονται στους επιτήδειους περισσότερες δυνατότητες να βρεθούν τρόποι για να ενορχηστρώσουν καλύτερα τις επιθέσεις τους;
Σίγουρα τα μέσα κοινωνικής δικτύωσης αποτελούν βασική πηγή αλίευσης πληροφοριών από διάφορους επιτήδειους. Η επίδειξη πλούτου, η ανακοίνωση παρατεταμένης απουσίας από την κατοικία μας, αλλά και άλλες προσωπικές πληροφορίες, μπορούν να αποτελέσουν σημαντικό όπλο στα χέρια των απατεώνων. Φυσικά, είναι εξαιρετικά δύσκολο να προτείνουμε στους πολίτες να μη χρησιμοποιούν τα κοινωνικά δίκτυα γιατί αυτό θα οδηγούσε σε μια μορφή αυτοαποκλεισμού τους. Τα κοινωνικά δίκτυα αποτελούν τις βασικές πλατφόρμες επικοινωνίας, ενημέρωσης και ψυχαγωγίας της εποχής μας. Οφείλουμε να προσεγγίσουμε αυτά τα θέματα με ρεαλισμό. Τα μέσα κοινωνικής δικτύωσης θα συνεχίσουν να αποτελούν σημαντικό κομμάτι της καθημερινότητας μας, ας τα χρησιμοποιήσουμε όμως με σύνεση, περιορίζοντας όσο είναι δυνατόν το ψηφιακό μας αποτύπωμα, δηλαδή τις προσωπικές πληροφορίες που μοιραζόμαστε εκούσια ή ακούσια στο internet.
Απάτες και με κρυπτονομίσματα. Πού χρειάζεται προσοχή;
Τα κρυπτονομίσματα αποτελούν εδώ και χρόνια για κάποιους ένα εναλλακτικό επενδυτικό εργαλείο και για άλλους έναν παράλληλο μηχανισμό συναλλαγών. Προφανώς, πολλοί έχουν τις ενστάσεις και τις επιφυλάξεις τους απέναντι στα κρυπτονομίσματα γενικότερα και αυτό είναι απόλυτα σεβαστό. Από την άλλη, αυτό που πρέπει να διαχωρίσουμε οπωσδήποτε, είναι τα κρυπτονομίσματα που τυγχάνουν ευρύτερης αποδοχής και έχουν κεφαλοποίηση δισεκατομμυρίων ευρώ, όπως το Bitcoin, με αυτά που δημιουργούνται με συνοπτικές και αδιαφανείς διαδικασίες από επιτηδείους, οι οποίοι προσπαθούν να κερδοσκοπήσουν σε βάρος των αφελών εκμεταλλευόμενοι την απληστία τους. Οι απάτες αυτές λειτουργούν ως εξής: Οι απατεώνες δημιουργούν ένα «νέο» κρυπτονόμισμα αποκλειστικά με σκοπό να το διαφημίσουν και να προσελκύσουν το ενδιαφέρον, αλλά και τα χρήματα όσων ευελπιστούν να γίνουν άμεσα εκατομμυριούχοι. Μόλις ξεκινήσουν τις προωθητικές ενέργειες, διάφοροι αφελείς σπεύδουν να επενδύσουν μαζικά στο «νέο κρυπτονόμισμα» και να ανεβάσουν την τιμή του, ενώ οι επιτήδειοι φροντίζουν να ρευστοποιήσουν τα δικά τους νομίσματα, να πάρουν τα κέρδη και να εξαφανιστούν. Προφανώς, μετά από λίγο ακολουθεί η κατάρρευση της τιμής του κρυπτονομίσματος και όσοι επένδυσαν σε αυτό έχουν χάσει τα χρήματά τους. Οι απάτες αυτές είναι γνωστές ως «Pump ‘n’ Dump». Τα κρυπτονομίσματα συνδυάζουν σύνθετες τεχνολογίες πληροφορικής και χρηματοοικονομικών και η κατανόησή τους σε βάθος απαιτεί σοβαρή, χρονοβόρα και επίμονη προσπάθεια, καθώς και το απαραίτητο τεχνολογικό, οικονομικό, θεωρητικό και εμπειρικό υπόβαθρο. Σίγουρα, σε κάποια μορφή τους, θα αποτελέσουν το μέλλον των χρηματοοικονομικών συναλλαγών, ωστόσο, για την ώρα, απαιτείται σύνεση στον τρόπο με τον οποίο επενδύουμε. Λογικό ρίσκο, αξιόπιστες επιλογές και υπομονή. Σχεδόν πάντα ισχύει πως ό,τι μοιάζει να είναι «πολύ καλό για να είναι πραγματικό» σπανίως είναι αληθινό.