Προσοχή στα μηνύματα απάτης Phishing – Οδηγίες από την Εθνική Αρχή Κυβερνοασφάλειας

 

Το τελευταίο διάστημα έχουν αυξηθεί οι αναφορές για αποστολή μηνυμάτων απάτης τύπου phishing από χρήστες e-mail, κινητών τηλεφώνων και social media, γι’ αυτό και η Εθνική Αρχή Κυβερνοασφάλειας υπενθυμίζει χρήσιμες οδηγίες για την προστασία των πολιτών.

Οι πολίτες μπορούν να ενισχύσουν την ασφάλεια και την ιδιωτικότητά τους στο ίντερνετ και να έχουν τα μάτια τους ανοιχτά για οποιαδήποτε μηνύματα απάτης τύπου phishing στα e-mail τους, στους λογαριασμούς τους στα social media ή ακόμα και με SMS στα κινητά τους τηλέφωνα.

Τι είναι το Phishing

Το Phishing συνιστά ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο που καλεί τον αποδέκτη του μηνύματος να ακολουθήσει τις οδηγίες που του δίνονται.

Αυτές οι οδηγίες μπορεί να ζητούν από τον αποδέκτη να ακολουθήσει κάποιο ηλεκτρονικό σύνδεσμο (link) ή και να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Περαιτέρω τις τελευταίες ημέρες παρατηρείται αυξημένος αριθμός μηνυμάτων σχετικά με επιστροφές φόρου ή χορήγηση επιδομάτων.

Καλούνται οι πολίτες να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής φαίνεται ο αποστολέας ή και τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων που δρουν με αυτό τον τρόπο. Ακολουθούν κάποιες πρακτικές συμβουλές για την προστασία από τις επιθέσεις αυτού του τύπου (phishing attacks).

  • Δεν θα πρέπει ποτέ να δίνετε τα προσωπικά στοιχεία (π.χ. κωδικούς e-Βanking, αριθμούς/PIN καρτών, κωδικούς πρόσβασης, όνομα χρήστη) σε υποτιθέμενους διαμεσολαβητές, νομικά γραφεία, λογιστές, ή άλλους επιτήδειους για δήθεν εξυπηρέτηση (π.χ. σε θέματα κρατικής επιδότησης, Power/Fuel/Τουρισμός για όλους ή άλλες περιπτώσεις όπως ενοικίαση δωματίων κ.λπ.).
  • Θα πρέπει να πραγματοποιείτε πρόσβαση μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας ή μέσω της εφαρμογής στο κινητό σας (app) και όχι μέσω συνδέσμων από κάποιο μήνυμα ή email που λάβατε, μηχανές αναζήτησης ή άλλες ιστοσελίδες.
  • Αν λάβατε κάποιο ύποπτο email, προτού ενεργήσετε θα πρέπει να επικοινωνήσετε με τους συνεργάτες σας ή με τον υποτιθέμενο αποστολέα για να ελέγξετε την αυθεντικότητά του.
  • Θα πρέπει να ελέγχετε προσεκτικά τη διεύθυνση του αποστολέα. Τα μηνύματα τύπου phishing έχουν συχνά διευθύνσεις αποστολέα που δεν έχουν σχέση με αυτόν που υποτίθεται ότι τα στέλνει.
  • Θα πρέπει να εξετάζετε το είδος των πληροφοριών που σας ζητούνται. Ακόμα και αν το μήνυμα που λάβατε, φαίνεται αυθεντικό, είναι απίθανο κάποιος φορέας, τράπεζα ή εταιρία να επικοινωνήσει μέσω ηλεκτρονικού ταχυδρομείου για να σας ζητήσει προσωπικά στοιχεία, στοιχεία τραπεζικής ή πιστωτικής κάρτας, ή άλλα προσωπικά ή ευαίσθητα δεδομένα.
  • Θα πρέπει να είστε επιφυλακτικοί εάν το μήνυμα δημιουργεί μια αίσθηση επείγοντος. Οι επιτιθέμενοι προσπαθούν συχνά να ασκήσουν πίεση χρησιμοποιώντας αυτήν την τακτική.
  • Θα πρέπει επίσης να είστε επιφυλακτικοί με μηνύματα επιστροφής φόρου ή χορήγησης επιδομάτων.

Τι να προσέχετε για να μην πέσετε θύμα phishing μέσω SMS

 

Χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας των πολιτών καθώς το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου smishing (SMS phishing) απευθύνει η Εθνική Αρχή Κυβερνοασφάλειας.

Το Smishing (γνωστό και ως phishing μέσω SMS) συνιστά μια μορφή απόπειρας ηλεκτρονικής απάτης η οποία πραγματοποιείται μέσω σύντομων μηνυμάτων κειμένου (SMS) μέσω κινητού τηλεφώνου.

Μια επίθεση τύπου smishing εξελίσσεται ως εξής:

• Το θύμα λαμβάνει ένα μήνυμα SMS στο οποίο ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο.

• Το SMS είναι σύντομο, και περιέχει ένα σύνδεσμο (link).

• Κάνοντας κλικ ο ανυποψίαστος χρήστης κατεβάζει στη συσκευή του κακόβουλο λογισμικό (malware) ή ανακατευθύνεται σε παραπλανητική ιστοσελίδα (malicious website) όπου του ζητείται να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Περιστατικά τύπου smishing αντιμετωπίζονται σε παγκόσμια κλίμακα. Ειδικά για την Ελληνική επικράτεια έχουν αναφερθεί κακόβουλα μηνύματα που φαίνεται να αφορούν δήθεν κάποια έκδοση εγγράφου από την Ενιαία Ψηφιακή Πύλη (Gov.gr), ή να έχουν περιεχόμενο φορολογικού ενδιαφέροντος (όπως επιστροφή φόρου), η να προέρχονται από τραπεζοπιστωτικά ιδρύματα, ή ακόμα και από εταιρείες εντοπισμού/παράδοσης δεμάτων.

Η Εθνική Αρχή Κυβερνοασφάλειας στην ανακοίνωσή της καλεί τους πολίτες να διαχειρίζονται με προσοχή και υπομονή τα SMS και γενικότερα τα μηνύματα που λαμβάνουν ακόμα και αν με μια πρώτη ματιά φαίνονται αληθή. Ειδικότερα συστήνονται τα ακόλουθα μέτρα πρόληψης και προστασίας:

• Δεν θα πρέπει να πατήσετε κανένα σύνδεσμο (link) που περιλαμβάνεται μέσα στο μήνυμα.

• Δε θα πρέπει να απαντάτε και να αντιδράτε βιαστικά σε τέτοια μηνύματα ακόμα και αν παρουσιάζονται ως επείγοντα. Αφιερώστε λίγο χρόνο αναζήτησης στο διαδίκτυο για να διερευνήσετε την γνησιότητα του μηνύματος. Αν είναι δυνατό επικοινωνήστε με τον φερόμενο ως αποστολέα για να επιβεβαιώσετε τη γνησιότητα του.

• Μην δίνετε προσωπικά στοιχεία όπως κωδικούς πρόσβασης, αριθμούς/PIN καρτών, όνομα χρήστη κλπ.

• Σε κάθε περίπτωση η πρόσβαση στον εκάστοτε φορέα δεν πρέπει να πραγματοποιείται μέσω συνδέσμων από κάποιο SMS μήνυμα ή email που λάβατε. Θα πρέπει να γίνεται μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας (ή μέσω της επίσημης εφαρμογής στο κινητό).

• Διατηρείτε τη συσκευή σας και τις εφαρμογές σας ενημερωμένες.

Νέα απάτη: «Επιστολή από τα ΕΛΤΑ» – Το μήνυμα που σας χρεώνει

 

Πλήθος χρηστών του διαδικτύου λαμβάνουν στο ηλεκτρονικό τους ταχυδρομείο email για πακέτα προς παραλαβή με εκκρεμότητα δήθεν από τα ΕΛΤΑ.

Πρόκειται για απάτη ηλεκτρονικού ψαρέματος, όπου επιτήδειοι προσπαθούν να εξαπατήσουν ανυποψίαστους χρήστες ώστε να αποκτήσουν πρόσβαση στα στοιχεία πιστωτικών και χρεωστικών καρτών τους, αφού δήθεν τους προειδοποιούν πως… το δέμα τους έφτασε, αλλά δεν μπορούν να τους βρουν.

Το μήνυμα αναφέρει πως προέρχεται από τα Ελληνικά Ταχυδρομεία, προειδοποιεί το υποψήφιο θύμα πως η αποστολή του θα επιστραφεί αν δεν πληρώσει τα ταχυδρομικά τέλη και το ποσό αποθήκευσης, και το καλεί να επισκεφθεί έναν ιστότοπο προκειμένου να προχωρήσει στην εν λόγω πληρωμή.

 

Με αφορμή τη διακίνηση παρόμοιων μηνυμάτων, τα ΕΛΤΑ ενημερώνουν, για ακόμα μία φορά, ότι δεν αποστέλλουν μηνύματα ηλεκτρονικού ταχυδρομείου (e-mail) ή μηνύματα κινητής τηλεφωνίας (sms), μέσω των οποίων ζητούνται στοιχεία τραπεζικού λογαριασμού ή πιστωτικής κάρτας, με σκοπό την παράδοση κάποιου δέματος.

Επισημαίνει, δε, ότι πρόκειται για απόπειρες εξαπάτησης και προσπάθεια υποκλοπής προσωπικών στοιχείων (phishing) και συνιστά στους πολίτες να είναι προσεκτικοί και, σε περίπτωση που λάβουν τέτοιου είδους κακόβουλα μηνύματα,

– να μην απαντήσουν σε αυτά
– να μην ακολουθήσουν τυχόν συνδέσμους (Links)
– να μην δώσουν τους προσωπικούς κωδικούς (Username και Password) των τραπεζικών λογαριασμών και πιστωτικών τους καρτών.

Η χρήση της επωνυμίας και των λογοτύπων ΕΛΤΑ από τους αποστολείς τέτοιων κακόβουλων μηνυμάτων είναι παράνομη, τονίζεται σε σχετική ανακοίνωση. Τα Ελληνικά Ταχυδρομεία έχουν ενημερώσει τη Δίωξη Ηλεκτρονικού Εγκλήματος και «επιφυλάσσονται παντός νομίμου δικαιώματός τους».

Προσοχή: Αποστολή phishing emails που οι αποστολείς υποδύονται Ελληνικές Τράπεζες

Τους τελευταίους μήνες αποστέλλονται πολύ συχνά phishing emails στα οποία οι αποστολείς υποδύονται Ελληνικές Τράπεζες.

Το φαινόμενο δε, έχει ενταθεί τις τελευταίες ημέρες

Στόχος των επιτιθέμενων/κακόβουλων χρηστών είναι η αθέμιτη απόκτηση διαπιστευτηρίων πρόσβασης ebanking και πιστωτικών καρτών των χρηστών.

Στις εικόνες 1 και 2, φαίνεται ενδεικτικά το email που έχει αποσταλεί σήμερα. Αντίστοιχα email αποστέλλονται από κακόβουλους χρήστες υποδυόμενοι και άλλες Ελληνικές Τράπεζες.

 

 

Εικόνες 1, 2 Email Κακόβουλου Χρήστη

 

Στο εν λόγω email, πατώντας τον σύνδεσμο https://secure.alpha.gr/Login/myalphaweb/el που φαίνεται στην Εικόνα 1 ο οποίος είναι ο πραγματικός σύνδεσμος της εν λόγω τράπεζας, δεν ανοίγει η πραγματική ιστοσελίδα της τράπεζας αλλά η ιστοσελίδα του κακόβουλου χρήστη που βρίσκεται στο σύνδεσμο https://buchen.tc-parkhaus.de/mc/MY/ALPHA/auth/login και η οποία προσομοιάζει με την πραγματική ιστοσελίδα της τράπεζας (Εικόνα 3).

 

Εκεί ζητούνται τα διαπιστευτήρια πρόσβασης του ebanking, τα οποία εάν καταχωρηθούν, αυτά έρχονται εις γνώση των κακόβουλων χρηστών.

 

Εικόνα 3: Ιστοσελίδα Τράπεζας Κακόβουλου Χρήστη

Σημειώνεται ότι οι τράπεζες ποτέ και με κανένα τρόπο δεν ζητούν τους κωδικούς των πελατών μέσω διαδικτύου (on line).

 

Πρέπει να διαγράφετε άμεσα τέτοιου τύπου email και να μην καταχωρείτε σε καμία περίπτωση διαπιστευτήρια πρόσβασης ebanking. Εάν καταχωρήσετε τα διαπιστευτήρια, παρακαλούμε να ενημερώσετε άμεσα την Τράπεζά σας.

Δίωξη Ηλεκτρονικού Εγκλήματος: Παραβιάζονται λογαριασμοί social media – Τι πρέπει να κάνουν οι πολίτες

Συστάσεις προς τους πολίτες από τη Δίωξη Ηλεκτρονικού Εγκλήματος.

Στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος καταγγέλλονται το τελευταίο διάστημα περιπτώσεις αλίευσης των στοιχείων εισόδου σε λογαριασμούς σε μέσα κοινωνικής δικτύωσης ( user name & password ), με πρόσχημα την ολοκλήρωση της επίσημης πιστοποίησης των λογαριασμών τους ( verify account – bluetick ).

Ειδικότερα, οι δράστες αποστέλλουν άμεσο μήνυμα, κυρίως σε λογαριασμούς με μεγάλη ανταπόκριση στο κοινό, στο οποίο αναφέρουν ότι προκειμένου να ολοκληρωθεί η διαδικασία πιστοποίησης του λογαριασμού ( verify account ) πρέπει να ακολουθήσουν τον σύνδεσμο που τους υποδεικνύεται.

Οι επίμαχοι σύνδεσμοι οδηγούν σε ιστοσελίδες στις οποίες πρέπει να συμπληρωθούν τα στοιχεία εισόδου του χρήστη στο λογαριασμό ( phishing pages ), το οποίο επιτρέπει στους δράστες να αποκτήσουν πρόσβαση στους λογαριασμούς που δεν είναι ασφαλισμένοι με έλεγχο ταυτότητας δύο παραγόντων.

Στη συνέχεια, αποστέλλουν εκβιαστικά μηνύματα στους χρήστες προκειμένου να ζητήσουν χρηματικό αντίτιμο για την επιστροφή του λογαριασμού στον κάτοχό του.

Επισημαίνεται ότι τα άμεσα μηνύματα στα μέσα κοινωνικής δικτύωσης χρήζουν μεγάλης προσοχής, καθώς είναι εξαιρετικά αληθοφανή.

Κατόπιν των ανωτέρω η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος προτείνει στους παραλήπτες των απατηλών αυτών μηνυμάτων εκβιαστικού περιεχομένου:

  • να μην επιλέγουν τους προτεινόμενους συνδέσμους,
  • να μην απαντούν στα μηνύματα,
  • να μην καταχωρούν και να μην στέλνουν προσωπικά δεδομένα και στοιχεία λογαριασμών στα μέσα κοινωνικής δικτύωσης, καθώς σε καμία περίπτωση δεν είναι αληθινά.

Επιπλέον, από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος επισημαίνεται – συστήνεται:

  • οι εταιρείες που παρέχουν εφαρμογές και υπηρεσίες κοινωνικής δικτύωσης, δεν απαιτούν την επαλήθευση στοιχείων εισόδου σε λογαριασμούς με την αποστολή μηνυμάτων,
  • οι λογαριασμοί κοινωνικής δικτύωσης καθώς και οι λογαριασμοί ηλεκτρονικού ταχυδρομείου που συνδέονται με αυτούς, πρέπει απαραίτητα να ασφαλίζονται
  • με έλεγχο ταυτότητας δύο (2) παραγόντων, έτσι ώστε σε περίπτωση που οι χρήστες εισάγουν τα στοιχεία εισόδου των λογαριασμών τους σε παραπλανητικές ιστοσελίδες ( phishing pages ) να είναι αδύνατη η είσοδος σε αυτούς από τους δράστες,
  • χρησιμοποιήστε ένα νέο e-mail αποκλειστικά για να συνδέσετε τους λογαριασμούς σας στα μέσα κοινωνικής δικτύωσης,
  • ασφαλίστε τους λογαριασμούς σας με ισχυρούς κωδικούς πρόσβασης, διαφορετικούς για κάθε λογαριασμό, τους οποίους θα αλλάζετε ανά τακτά χρονικά διαστήματα,
  • μην ανοίγετε συνδέσμους ή ύποπτα επισυναπτόμενα αρχεία τα οποία αποστέλλονται μέσω εφαρμογών ανταλλαγής μηνυμάτων και μέσων κοινωνικής
  • δικτύωσης χωρίς την προηγούμενη εξακρίβωση της αξιοπιστίας τους και
    απευθυνθείτε στις αρμόδιες αστυνομικές αρχές όταν αντιληφθείτε ότι πέσατε θύμα απάτης ή αλίευσης των προσωπικών σας δεδομένων.

Υπενθυμίζεται ότι οι πολίτες μπορούν να επικοινωνούν επώνυμα ή ανώνυμα, με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος προκειμένου να παρέχουν πληροφορίες ή να καταγγέλλουν παράνομες ή επίμεμπτες πράξεις ή δραστηριότητες που τελούνται μέσω Διαδικτύου, στα ακόλουθα στοιχεία επικοινωνίας:

Τηλεφωνικά στον αριθμό 111 88
Στέλνοντας e-mail: ccu@cybercrimeunit.gov.gr
Μέσω Twitter « Γραμμή SOS Cyber Alert»: https://twitter.com/CyberAlertGR
Γίνεται μνεία ότι, οι πολίτες μπορούν να αντλήσουν χρήσιμες συμβουλές για την αποφυγή της εξαπάτησής τους στον «Οδηγό του Πολίτη», που φιλοξενείται στην ιστοσελίδα της Ελληνικής Αστυνομίας ( www . hellenicpolice . gr ) καθώς επίσης και μέσω των επίσημων λογαριασμών της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος, στα ακόλουθα μέσα κοινωνικής δικτύωσης:

Top