Ο πιο αδύναμος κρίκος σε ένα σύστημα ασφαλείας είναι ο άνθρωπος λένε οι σοφοί και ένα νέο επεισόδιο στο ατελείωτο σίριαλ του cracking (και όχι hacking, αγαπητοί και αγαπητές) διαδραματίζεται στις οθόνες μας.
Ακολουθώντας μια τεχνική "ψαρέματος" που μοιάζει λίγο με τα e-mail που υποτίθεται πως προέρχονται από τράπεζες και σε προσκαλούν να δώσεις τα προσωπικά σου στοιχεία, οι επιτιθέμενοι χρησιμοποιούν μια απλή από τεχνικής πλευράς προσέγγιση προκειμένου να αποκτούν πρόσβαση σε λογαριασμούς ανυποψίαστων χρηστών.
Πρώτα όμως, μια μικρή σημείωση. Είναι πολύ πιθανό αν χρησιμοποιείς online υπηρεσίες να έχεις ενεργοποιήσει τον μηχανισμό επαλήθευσης δύο βημάτων. Εκτός από το password σου, δηλαδή, ο πάροχος (η Google, το Facebook κτλ) σου στέλνει ένα SMS με έναν κωδικό μίας χρήσης, προκειμένου να αποκτήσεις πρόσβαση στην υπηρεσία. Τέλος σημείωσης...
Πώς λοιπόν γίνεται το "σπάσιμο"; Πάμε βήμα βήμα.
Ο επιτιθέμενος επιχειρεί να μπει στον λογαριασμό σου. Φυσικά δεν γνωρίζει το password και ζητά από τον πάροχο να ξεκινήσει τη διαδικασία πιστοποίησης μέσω SMS.
Εσύ, τώρα, που κάθεσαι όμορφα και ωραία σε μια ξαπλώστρα για παράδειγμα λαμβάνεις το SMS του παρόχου.
Πριν καλά καλά προλάβεις να σκεφτείς "γιατί στο καλό το πήρα εγώ αυτό τώρα" έρχεται ένα άλλο SMS, αυτή τη φορά από τον επιτιθέμενο. Το μήνυμα λέει πάνω κάτω τα εξής "Γεια σας, είμαι από την εταιρεία Χ. Ο λογαριασμός σας παρουσιάζει ύποπτη συμπεριφορά. Παρακαλώ πληκτρολογήστε τον κωδικό που μόλις λάβατε".
Εσύ, αραχτός/η στην ξαπλώστρα δεν πονηρεύεσαι, οπότε απαντάς στο 2ο SMS με τον κωδικό που σου έστειλε ο πάροχος στο 1ο SMS. Συγχαρητήρια, μόλις έδωσες τα κλειδιά της ψηφιακής σου ζωής σε έναν άγνωστο.
Πώς προστατεύεσαι; Είναι απλό, αν λάβεις ένα μήνυμα με κωδικό από τον πάροχό σου το οποίο δεν ζήτησες σβήστο και σβήσε και το μήνυμα που θα σου στείλει εντός ολίγου ο επιτιθέμενος. Εναλλακτικά, απευθύνεσαι στις αρχές ή/και τον πάροχο για τα περαιτέρω κρατώντας τα στοιχεία της απόπειρας παραβίασης.
Κάτι τελευταίο: Όπως καμία τράπεζα δεν ζητά τον κωδικό σου μέσω email ή τηλεφώνου, καμία online εταιρεία δεν ζητά να της δώσεις κωδικό μίας χρήσης ή password. Πιο απλό δεν γίνεται, αλλά η Symantec έχει φτιάξει ένα σχετικό βίντεο, διότι άλλο να το γράφουμε εμείς και άλλο να το βλέπεις με... εικόνες.
Σχόλια