Phishing: Τα «έξυπνα» μηνύματα που αδειάζουν λογαριασμούς - Τι πρέπει να προσέχουν οι πολίτες
Το phishing δεν αποτελεί πλέον μια μεμονωμένη απάτη του διαδικτύου
Η εικόνα αυτή είναι πλέον γνώριμη σε χιλιάδες πολίτες στην Ελλάδα: ένα μήνυμα στο κινητό που μοιάζει να έχει σταλεί από τράπεζα, μια προειδοποίηση για «ύποπτη δραστηριότητα», ένας σύνδεσμος που υπόσχεται άμεση λύση ή ακόμη κι ένα τηλεφώνημα από «εκπρόσωπο» που ζητά επιβεβαίωση στοιχείων. Σε αρκετές περιπτώσεις, ο υποτιθέμενος αποστολέας εμφανίζεται ως εκπρόσωπος του λογιστικού γραφείου με το οποίο συνεργάζεται ο πολίτης. Μέσα σε λίγα μόλις λεπτά, αν δεν υπάρξει προσοχή, το αποτέλεσμα μπορεί να είναι άδειοι λογαριασμοί.
Το phishing δεν αποτελεί πλέον μια μεμονωμένη απάτη του διαδικτύου. Στην ελληνική πραγματικότητα έχει εξελιχθεί σε ένα μόνιμο και διαρκώς μεταβαλλόμενο φαινόμενο, που συνοδεύει την ψηφιακή καθημερινότητα των πολιτών. SMS, Viber, emails και τηλεφωνικές κλήσεις συνθέτουν ένα πλέγμα επιθέσεων που βασίζεται λιγότερο στην τεχνολογία και περισσότερο στην ψυχολογία. Εκμεταλλεύεται τη βιασύνη, την ανασφάλεια και την τάση εμπιστοσύνης σε ό,τι μοιάζει θεσμικό, αξιοποιώντας την πίεση της στιγμής και την αβεβαιότητα. Στο τέλος, ο χρήστης συνειδητοποιεί ότι έχει κινηθεί μέσα στον πανικό του.
Ο υπουργός Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης, Δημήτρης Παπαστεργίου, αναγνωρίζει ότι το πρόβλημα είναι σύνθετο και εξελίσσεται συνεχώς. Όπως αναφέρει, βρίσκεται σε εξέλιξη συστηματική συνεργασία με τους παρόχους κινητής τηλεφωνίας και ήδη έχει περιοριστεί σε έναν βαθμό το spoofing, δηλαδή η πρακτική κατά την οποία οι απατεώνες εμφανίζονται με ψεύτικο, αλλά φαινομενικά αξιόπιστο αριθμό, συχνά μιμούμενοι τραπεζικές γραμμές. Παρά ταύτα, νέα εργαλεία και νέα «κέντρα» αποστολής τέτοιων μηνυμάτων κάνουν συνεχώς την εμφάνισή τους, μετατρέποντας την αντιμετώπιση σε έναν διαρκή αγώνα.
Στην πράξη, οι επιθέσεις έχουν γίνει πιο στοχευμένες και πιο προσεγμένες. Τα μηνύματα δεν περιέχουν πια προφανή λάθη, χρησιμοποιούν σωστή γλώσσα και συχνά ενσωματώνουν στοιχεία που μοιάζουν απολύτως αληθοφανή. Οι ψεύτικες ιστοσελίδες τραπεζών είναι σχεδόν πανομοιότυπες με τις αυθεντικές, ενώ τα σενάρια που χρησιμοποιούνται, όπως μπλοκαρισμένοι λογαριασμοί ή επιστροφές φόρων, βασίζονται σε καθημερινές ανάγκες και φόβους των πολιτών.
Ιδιαίτερη ανησυχία προκαλεί στις αρχές το γεγονός ότι τα θύματα δεν ανήκουν πλέον μόνο σε ευάλωτες ομάδες. Όπως επισημαίνεται, ακόμη και νεότεροι ή μορφωμένοι χρήστες πέφτουν θύματα, ακριβώς επειδή οι επιθέσεις έχουν γίνει πιο πειστικές και πολύ λιγότερο πρόχειρες σε σχέση με το παρελθόν.
Παρά τις προσπάθειες για τεχνικό περιορισμό του φαινομένου, όπως ο αποκλεισμός μη πιστοποιημένων κέντρων αποστολής μηνυμάτων, η πραγματικότητα είναι ότι δεν υπάρχει οριστική λύση. Το phishing προσαρμόζεται διαρκώς, ακολουθεί την τεχνολογική εξέλιξη και εκμεταλλεύεται κάθε νέο κανάλι επικοινωνίας.
Στο ίδιο πλαίσιο, η Εθνική Αρχή Κυβερνοασφάλειας έχει επανειλημμένα τονίσει ότι οι επιθέσεις phishing και spoofing στηρίζονται κυρίως στην πλαστοπροσωπία αξιόπιστων φορέων και στην παραπλάνηση του χρήστη μέσω φαινομενικά «έγκυρων» μηνυμάτων. Σύμφωνα με την Αρχή, οι πολίτες πρέπει να είναι ιδιαίτερα προσεκτικοί σε μηνύματα που περιέχουν συνδέσμους ή ζητούν άμεση ενέργεια, καθώς συχνά οδηγούν σε ψεύτικες ιστοσελίδες ή αποσκοπούν στην εγκατάσταση κακόβουλου λογισμικού.
Παράλληλα, η Αρχή υπογραμμίζει ότι κανένας οργανισμός δεν ζητά ευαίσθητα προσωπικά ή τραπεζικά δεδομένα μέσω SMS, email ή τηλεφωνικών κλήσεων. Εφιστά επίσης την προσοχή στο ότι ακόμη και η εμφάνιση «έγκυρου» αποστολέα ή αριθμού δεν συνιστά εγγύηση αξιοπιστίας.
Για τον λόγο αυτό, συστήνει τη διασταύρωση κάθε ύποπτης επικοινωνίας μέσω επίσημων καναλιών, την αποφυγή ανοίγματος συνδέσμων από άγνωστες πηγές και τη γενικότερη καλλιέργεια ψηφιακής εγρήγορσης ως βασική άμυνα απέναντι σε τέτοιες επιθέσεις.
Τι μπορούν να κάνουν οι πολίτες
Μέσα σε αυτό το ψηφιακό περιβάλλον, η προστασία δεν εξαρτάται μόνο από τα συστήματα, αλλά και από τα αντανακλαστικά των ίδιων των χρηστών. Υπάρχουν ορισμένοι βασικοί κανόνες που, αν τηρούνται, μπορούν να μειώσουν σημαντικά τον κίνδυνο:
Να αντιμετωπίζουν με καχυποψία κάθε μήνυμα που ζητά άμεση ενέργεια ή δημιουργεί αίσθηση πίεσης, καθώς η βιασύνη είναι το βασικό εργαλείο των απατεώνων.
Να μην ανοίγουν συνδέσμους από SMS, Viber ή email, αν δεν είναι απολύτως βέβαιοι για τον αποστολέα.
Να μην καταχωρούν ποτέ προσωπικούς κωδικούς ή στοιχεία τραπεζικών καρτών μετά από τέτοιου είδους ειδοποιήσεις, αφού καμία τράπεζα δεν ζητά αυτά τα δεδομένα με αυτόν τον τρόπο.
Να ελέγχουν προσεκτικά τη διεύθυνση της ιστοσελίδας, καθώς συχνά η διαφορά από την αυθεντική είναι μικρή αλλά κρίσιμη.
Να διακόπτουν τηλεφωνικές κλήσεις που ζητούν ευαίσθητα στοιχεία και να καλούν οι ίδιοι τον επίσημο αριθμό του οργανισμού.
Να ενεργοποιούν τη διπλή επιβεβαίωση ταυτότητας όπου υπάρχει, προσθέτοντας έτσι ένα επιπλέον επίπεδο ασφάλειας.
Να διατηρούν ενημερωμένες τις συσκευές και τις εφαρμογές τους, αφού πολλά περιστατικά εκμεταλλεύονται παλαιότερα κενά ασφαλείας.
Η αντιμετώπιση του phishing στην Ελλάδα μοιάζει με έναν αγώνα χωρίς σαφή γραμμή τερματισμού. Από τη μία πλευρά, η πολιτεία και οι πάροχοι επιχειρούν να περιορίσουν τις «πύλες» απάτης. Από την άλλη, οι επιτήδειοι εξελίσσονται με την ίδια, αν όχι μεγαλύτερη, ταχύτητα.
Γι’ αυτό και οι πολίτες οφείλουν να παραμένουν προσεκτικοί. Να αμφισβητούν για λίγα δευτερόλεπτα ό,τι βλέπουν και να το σκέφτονται δύο και τρεις φορές πριν πατήσουν σε κάποιο link ή δώσουν προσωπικά στοιχεία. Στον ψηφιακό κόσμο όλα μοιάζουν αληθινά — και όλο και περισσότερο κάθε μέρα. Όμως δεν είναι.
