Από την στιγμή που άρχισε να χρησιμοποιείται ευρέως, το διαδίκτυο δημιούργησε, εκτός από όλα τα άλλα, πρόσφορο έδαφος για κάθε είδους επιτήδειους που προσπαθούν να εκμεταλλευτούν την αφέλεια των χρηστών για να τους εξαπατήσουν. Καθώς όμως οι ίδιοι οι χρήστες μαθαίνουν, σιγά-σιγά, να προφυλάσσονται από τις «κλασικές» μεθόδους εξαπάτησης, οι ηλεκτρονικοί απατεώνες φροντίζουν, με τη σειρά τους, να ανανεώνουν το ρεπερτόριό τους.
Έτσι, αν το κόλπο του Νιγηριανού πρίγκιπα δεν μπορεί πλέον να ξεγελάσει σχεδόν κανένα, υπάρχουν μια σειρά από νέες τεχνικές, πιο στοχευμένες και αδίστακτες που μπορούν να εξαπατήσουν ακόμη και μεγάλες εταιρείες ή κυβερνητικά προγράμματα. Σε ένα πολύ ενδιαφέρον άρθρο του, το The Next Web παρουσιάζει 4 από αυτές τις νέες, τρομακτικές μεθόδους:
Spear-phising
Τα τελευταία χρόνια το λεγόμενο “spear-phising” έχει εξελιχθεί σε μία από τις πιο δημοφιλείς μεθόδους online εξαπάτησης. Όπως δηλώνει και το όνομά του, η βάση του βρίσκεται στο γνωστό “phishing”, όπου ο απατεώνας προσπαθεί μέσω παραπλανητικών e-mail να εκμαιεύσει προσωπικές πληροφορίες ή τον τραπεζικό λογαριασμό ενός χρήστη.
Η διαφορά του spear-phishing, όμως, είναι ότι εδώ δεν έχουμε μια απλή «αρπαχτή». Αντίθετα, ο χάκερ παραβιάζει τον λογαριασμό e-mail του ανυποψίαστου θύματος και αντί να πάρει ό,τι προλαβαίνει, τον παρακολουθεί «σιωπηλά» προσπαθώντας να μάθει όσο γίνεται περισσότερα για αυτόν.
Στη συνέχεια επικοινωνεί με το θύμα μέσω ενός e-mail που φαίνεται πως προέρχεται από κάποια αξιόπιστη εταιρεία ή οργανισμό, ενημερώνοντάς τον ότι ο λογαριασμός του έχει παραβιαστεί. Για να γίνει πιο πειστικός, περιλαμβάνει στο μήνυμά του ως αποδείξεις προσωπικά στοιχεία του θύματος που ένας απατεώνας δεν θα μπορούσε να τα γνωρίζει. Στο κλείσιμο του μηνύματος τον συμβουλεύει να αλλάξει το όνομα και τον κωδικό του κάνοντας κλικ σε ένα συγκεκριμένο link. Το link αυτό συνήθως οδηγεί στην σελίδα λήψης κάποιας κακόβουλης εφαρμογής, μέσω της οποίας ο απατεώνας παίρνει, τελικά, αυτό που θέλει (δηλαδή λεφτά).
Χαρακτηριστικό παράδειγμα αυτής της τεχνικής διηγείται εκπρόσωπος της εταιρείας ασφαλείας ESET. Στο συγκεκριμένο περιστατικό, χάκερ εισέβαλαν στο Gmail του θύματος και διαβάζοντας τα e-mail του είδαν ότι συνήθιζε να συχνάζει σε ιστοχώρους online ραντεβού. Έχοντας όλη την πληροφορία που χρειαζόταν, δημιούργησαν το ψεύτικο προφίλ μιας όμορφης γυναίκας με την οποία το θύμα δημιούργησε μια μακροχρόνια εικονική σχέση. Στο τέλος, όταν η «γυναίκα» κατάφερε να κερδίσει την εμπιστοσύνη του, τον ικέτεψε να της στείλει χρήματα λόγω κάποιου έκτακτου περιστατικού. Το θύμα, φυσικά, δέχτηκε και ο απατεώνας έγινε καπνός.
«Έχετε πρόβλημα στον υπολογιστή σας»
Μια από τις πιο συνηθισμένες απάτες της περασμένης δεκαετίας αφορούσε τον εκφοβισμό των χρηστών σχετικά με ιούς που είχαν τάχα προσβάλει τον υπολογιστή τους και παρέπεμπαν σε εφαρμογές που υποτίθεται πως θα τον καθάριζαν. Χαρακτηριστική είναιη περίπτωση του Sam Jain και του Daniel Sundin, που εκμεταλλευόμενοι αυτή ακριβώς την ευπιστία των ανθρώπων, κατάφεραν να χτίσουν από το τίποτα μια εταιρεία εκατομμυρίων.
Η σύγχρονη παραλλαγή αυτής της μεθόδου δεν χρειάζεται καν την «εμπλοκή» του υπολογιστή, αφού το μόνο που απαιτεί είναι ένα τηλεφώνημα. Πιο συγκεκριμένα, ο απατεώνας τηλεφωνεί στο θύμα του προσποιούμενος υπάλληλο του τμήματος τεχνικής υποστήριξης της Microsoft ή της Apple και τον ενημερώνει ότι ο υπολογιστής του αντιμετωπίζει προβλήματα.
Για να γίνει πιο πειστικός, του ζητά να κάνει μια σειρά από ελέγχους που δεν θα ψάρωναν έναν έμπειρο χρήστη αλλά θα έπειθαν άνετα τον αρχάριο. Με την πρόφαση του επείγοντος προβλήματος, ο απατεώνας μπορεί έτσι να τσιμπήσει ποσά της τάξης των 50 ευρώ ή παραπάνω.
Το καλό, τουλάχιστον για εμάς, είναι ότι η συγκεκριμένη μέθοδος είναι διαδεδομένη μόνο στον αγγλόφωνο κόσμο. Πρόκειται, ωστόσο, για τόσο διαδεδομένη τακτική που ο εκπρόσωπος της ESET εξηγεί ότι όλοι όσοι έχουν Windows το έχουν συναντήσει και είναι πάρα πολλοί αυτοί που την πατάνε.
Η μαριονέτα
Εδώ ο απατεώνας παρουσιάζεται στο θύμα ως φίλος, συγγενής ή γνωστός κάποιου φίλου του. Με αυτό τον τρόπο γίνεται πολύ πιο πειστικός και το θύμα είναι πολύ εύκολο να ξεγελαστεί. Σε αυτή την περίπτωση οι ευκολότεροι στόχοι είναι οι φίλοι ενός προηγούμενου θύματος, αφού η εξαπάτηση του τελευταίου ανοίγει τον δρόμο στον απατεώνα για νέες ευκαιρίες.
Σύμφωνα με το The Next Web, η άντληση των πληροφοριών σχετικά με τους φίλους του θύματος γίνεται μέσω εφαρμογών key-logger (που καταγράφουν τί πληκτρολογείτε) ή άλλου κακόβουλου λογισμικού. Υποθέτω, ωστόσο, πως αρκετά πρόσφορο έδαφος δίνεται και μέσα από τις ίδιες τις υπηρεσίες κοινωνικής δικτύωσης – και κυρίως το Facebook.
Το δόλωμα
Μία από τις πιο διαχρονικές και επιτυχημένες μεθόδους εξαπάτησης αφορούν την διεξαγωγή online δημοσκοπήσεων και ερωτηματολόγιων από εταιρείες αμφιβόλου αξιοπιστίας. Σε αντάλλαγμα για την συμπλήρωση, οι εταιρείες υπόσχονται κάποιο έπαθλο (iPad, ταξίδια κ.α.). Οι χρήστες θεωρούν πως αξίζει τον κόπο να δοκιμάσουν, ενώ δεν τους πηγαίνει στο μυαλό ότι πρόκειται για απάτη, αφού πιστεύουν πως ο κόπος τους να συμπληρώσουν το ερωτηματολόγιο δικαιολογεί το έπαθλο. Θεωρούν, δηλαδή, ότι κατά κάποιο τρόπο κάνουν μια δουλειά η οποία αξίζει την επιβράβευση που τους υπόσχεται.
Από τη στιγμή που ο απατεώνας συλλέξει μαζικά τις ηλεκτρονικές διευθύνσεις των συμμετεχόντων, τους προσεγγίζει στη συνέχεια μέσω e-mail ζητώντας τους να κατεβάσουν κάποιο κακόβουλο λογισμικό μασκαρεμένο ως PDF ή κάποιον άλλο τύπο αρχείου.
Σε ένα χαρακτηριστικό παράδειγμα τέτοιας απάτης, χάκερ αγόρασαν στη μαύρη αγορά τις διευθύνσεις χιλιάδων Οικονομικών Διευθυντών (CFO), τους οποίους στη συνέχεια έπεισαν να κατεβάσουν το κακόβουλο λογισμικό. Χρησιμοποιώντας τα αγορασμένα ονόματα, τους έστειλαν e-mail ενημερώνοντάς τους ότι οι κωδικοί φορολογίας της συγκεκριμένης χρονιάς είχαν αλλάξει και προσφέροντας ένα «πρακτικό» PDF που εμφάνιζε μαζεμένες τις αλλαγές.
Καθώς τα στελέχη κατέβασαν το PDF, μια εφαρμογή key-logger ενεργοποιήθηκε, καταγράφοντας ό,τι πληκτρολογούσαν. Από εκεί, τα πράγματα ήταν εύκολα: οι χάκερ μπήκαν στο σύστημα πληρωμών της εταιρείας και πρόσθεσαν μερικούς επιπλέον «υπαλλήλους» χωρίς να προσελκύσουν υποψίες. Ηθελημένα, μάλιστα, επέλεξαν Οικονομικούς Διευθυντές εταιρειών με χιλιάδες υπαλλήλους, ώστε να περάσει η απάτη τους απαρατήρητη.
Πώς μπορεί κανείς, όμως, να προφυλαχτεί από όλα τα παραπάνω; Μαγική συνταγή δεν υπάρχει, αλλά υπάρχουν ορισμένες συμβουλές που μπορούν, σίγουρα, να βοηθήσουν:
- Αποφύγετε να δημοσιεύετε ευαίσθητα προσωπικά σας στοιχεία στα κοινωνικά δίκτυα
- Προσπαθήστε να είσαστε επιφυλακτικοί σε ό,τι διαβάζετε. Εάν έχετε την παραμικρή αμφιβολία για την αξιοπιστία ενός e-mail, είναι καλύτερο να ρωτήσετε παρά να το ρισκάρετε.
- Μην χρησιμοποιείτε τον ίδιο κωδικό μεταξύ διαφορετικών υπηρεσιών.
- Χρησιμοποιήστε την λειτουργία διπλής επαλήθευσης στοιχείων, όπου αυτή υποστηρίζεται (π.χ. στο Gmail).