Παραμένοντας ασφαλείς από επιθέσεις phishing

Πιστεύετε ότι το phishing είναι ξεπερασμένο ως επίθεση; Ξανασκεφτείτε το. Παρά το πιο έξυπνο φιλτράρισμα spam, η Ομάδα Εργασίας κατά του Phishing (Anti-Phishing Working Group) αναφέρει αύξηση 18% στις μοναδικές αναφορές phishing κατά το τελευταίο τρίμηνο του 2014, ενώ οι ειδικοί ασφαλείας προβλέπουν ότι θα συνεχιστεί να αυξάνεται καθώς μπαίνουμε στο 2016.

Το phishing παραμένει δημοφιλής τακτική για την κλοπή ευαίσθητων πληροφοριών όπως κωδικοί πρόσβασης, κωδικοί ασφαλείας και αριθμοί πιστωτικών καρτών, καθώς και για την κρυφή εγκατάσταση malware σε προσωπικές συσκευές και εταιρικά συστήματα. Ακόμα κι ένας λογαριασμός LastPass μπορεί να αποτελέσει στόχο επίθεσης phishing. Η προστασία από το phishing χρειάζεται εξυπνότερη ανίχνευση από το λογισμικό που χρησιμοποιούμε, αλλά και καλύτερη ατομική προετοιμασία, ως πρώτη γραμμή άμυνας για την περίπτωση επίθεσης.

Ορίστε πώς το LastPass καταπολεμά το phishing και τι μπορείτε να κάνετε για να βελτιώσετε τις ικανότητές σας στον εντοπισμό phishing και να προστατέψετε τις πλέον ευαίσθητες πληροφορίες σας αν πιαστείτε στον ύπνο.

Τι είναι το phishing;

Οι επιθέσεις phishing (ηλεκτρονικού ψαρέματος) έχουν πολλές μορφές. Υπάρχουν τα email που παριστάνουν την τράπεζά σας και ζητούν να επιβεβαιώσετε τις κινήσεις του λογαριασμού σας. Ή τα πλαστά τιμολόγια που σας ζητούν να κάνετε λήψη του συνημμένου εγγράφου για να επιβεβαιώσετε την αγορά σας. Ίσως να έχει τη μορφή κακόβουλων διαφημίσεων ή συνδέσεων προς μέσα κοινωνικής δικτύωσης. Οι επιτιθέμενοι μπορεί ακόμα και να σας κατευθύνουν σε μια σελίδα εισόδου που αποτελεί κατά προσέγγιση κλώνο ενός πολύ γνωστού, αξιόπιστου ιστότοπου που χρησιμοποιείτε.

Το στοχευμένο phishing (spear-phishing ή ηλεκτρονικό καμάκωμα) γίνεται ακόμα πιο προσωπικό. Οι επιτιθέμενοι στέλνουν μηνύματα email που μπορεί να παρουσιάζονται ότι προέρχονται από έναν συνάδελφο ή προϊστάμενο ή ακόμα και από το τμήμα πληροφορικής σας. Κάνουν το αίτημα να μοιάζει νομότυπο, χρησιμοποιώντας όσα έχουν μάθει για σας, ώστε να ζητήσουν περισσότερες πληροφορίες ή να σας κάνουν να κατεβάσετε ένα κακόβουλο αρχείο ή να στείλετε χρηματικό έμβασμα.

Πώς να εντοπίζετε τις επιθέσεις phishing

Πολλές επιθέσεις phishing είναι απλές και εντοπίζονται εύκολα, ορισμένες άλλες όμως είναι πολύ πιο εξεζητημένες, έτσι χρειάζεστε μια υγιή δόση σκεπτικισμού για να αναγνωρίσετε ύποπτα email, συνδέσμους και ειδοποιήσεις. Ορίστε πώς να εντοπίσετε μια βασική επίθεση phishing:

  • Ελέγξτε τη διεύθυνση URL: Κοιτάξτε τη γραμμή διεύθυνσης του ιστότοπου που ανοίξατε ή περάστε τον δείκτη επάνω από έναν σύνδεσμο για να δείτε τη διεύθυνση URL κάτω αριστερά στο πρόγραμμα περιήγησής σας, ώστε να επιβεβαιώσετε αν πρόκειται για αξιόπιστη διεύθυνση URL ή για κάποιον απατεώνα, πριν την ανοίξετε. Για παράδειγμα, για το LastPass θα βλέπετε πάντα https://lastpass.com ή https://subdomain.lastpass.com. Μια διεύθυνση URL phishing, όμως, μπορεί να έχει τη μορφή http://lastpass.otherdomain.com. Σε αυτή την περίπτωση, το domain είναι στην πραγματικότητα το “otherdomain.com” και θα πρέπει να το αποφύγετε.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Ελέγξτε σε ποιον απευθύνεται: Να είστε καχύποπτοι όταν λαμβάνετε μηνύματα email που σας προσφωνούν “Αγαπητέ πελάτη” ή δεν έχουν καθόλου χαιρετισμό. Σήμερα τα περισσότερα καταστήματα σας προσφωνούν με το όνομά σας. Οι επιθέσεις στοχευμένου phishing, όμως, είναι συχνά στοχευμένες συγκεκριμένα σε εσάς, οπότε δεν αρκεί να ελέγχετε την προσφώνηση και μόνο.
  • Ανοίξτε έναν ιστότοπο οι ίδιοι: Αν δεν είστε βέβαιοι, ανοίξτε απλά μια νέα καρτέλα ή ένα νέο παράθυρο στο πρόγραμμα περιήγησής σας, πληκτρολογήστε απευθείας τη διεύθυνση URL (ή ανοίξτε την από το πρόγραμμά σας διαχείρισης κωδικών πρόσβασης) και θα ξέρετε με σιγουριά ότι μεταβαίνετε σε έναν νομότυπο ιστότοπο.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Ελέγξτε αν το πρόγραμμά σας διαχείρισης κωδικών πρόσβασης εμφανίζει στοιχεία εισόδου που ταιριάζουν: Το LastPass μπορεί να σας βοηθήσει να προστατευθείτε από το phishing, αφού δεν συμπληρώνει τα στοιχεία εισόδου σας σε έναν πλαστό ιστότοπο. Από τη στιγμή που το domain δεν ταιριάζει με ένα από αυτά που είναι αποθηκευμένα στο LastPass, δεν γίνεται αυτόματη συμπλήρωση των δεδομένων σας. Αν διαπιστώσετε ότι συμβαίνει κάτι τέτοιο, ελέγξτε τη διεύθυνση URL.
  • Αν η διατύπωση είναι επείγουσα, ξανασκεφτείτε το: Οτιδήποτε σας ζητά να ενεργήσετε γρήγορα ή προσπαθεί με άλλο τρόπο να σας κατευθύνει να κάνετε χωρίς πρώτα να το σκεφτείτε.
  • Κάντε ερωτήσεις στον εαυτό σας: Ζήτησα από αυτό το άτομο να μου στείλει ένα συνημμένο; Είναι κάτι που δεν χαρακτηρίζει το άλλο άτομο; Αν αμφιβάλλετε, να είστε καχύποπτοι και απλά ρωτήστε.
  • Ελέγξτε για το HTTPS:// και το λουκέτο: Όταν βρίσκεστε σε έναν ιστότοπο, ελέγχετε πάντα στη γραμμή διεύθυνσης URL ότι συνδέεστε μέσω HTTPS για ασφαλή σύνδεση και ότι είναι παρόν το εικονίδιο με το λουκέτο, κάτι που σημαίνει ότι ο ιστότοπος έχει επαληθευτεί από μια τρίτη εταιρεία ασφαλείας. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Όταν το phishing στοχεύει το πρόγραμμά σας διαχείρισης κωδικών πρόσβασης

Οι επιθέσεις phishing δεν περιορίζονται πλέον σε κακόβουλα email, διαφημίσεις ή συνδέσμους σε μέσα κοινωνικής δικτύωσης. Ορισμένες επιθέσεις phishing μπορεί ακόμα και να προσπαθούν να στοχεύσουν τις επεκτάσεις που χρησιμοποιείτε στο πρόγραμμα περιήγησής σας, ακόμα και παρουσιαζόμενες ως πρόγραμμα διαχείρισης κωδικών πρόσβασης.

Για παράδειγμα, υπάρχει το ενδεχόμενο ένας κακόβουλος ιστότοπος να προσποιείται την επέκτασή σας προγράμματος περιήγησης, εμφανίζοντας ειδοποιήσεις που ζητούν στοιχεία όπως το όνομα χρήστη, ο κωδικός πρόσβασης και ο κωδικός ελέγχου ταυτότητας δύο σταδίων. Ίσως να είναι δύσκολο να διαπιστώσετε ότι οι ειδοποιήσεις προέρχονται από τον κακόβουλο ιστότοπο και όχι από την επέκταση του προγράμματος περιήγησής σας.

Πώς το LastPass σας προστατεύει από επιθέσεις phishing

  • Προειδοποίηση ότι ο κύριος κωδικός σας καταχωρήθηκε σε μια σελίδα εκτός του LastPass: Το LastPass εμφανίζει μια ισχυρή αναδυόμενη προειδοποίηση, πριν μάλιστα υποβάλετε τον κύριο κωδικό σας σε μια σελίδα, οποτεδήποτε προσπαθήσετε να καταχωρήσετε τον κύριο κωδικό σας για το LastPass σε μια σελίδα εκτός του LastPass. Έτσι καταλαβαίνετε αμέσως ότι ο κύριος κωδικός σας ίσως να έχει υποκλαπεί και μπορείτε να τον αλλάξετε.
  • Απαίτηση επαλήθευσης για είσοδο από άγνωστες θέσεις ή συσκευές: Το LastPass έχει μια διαδικασία επαλήθευσης, η οποία είναι υποχρεωτική όταν προσπαθείτε να πραγματοποιήσετε είσοδο από άγνωστη θέση ή συσκευή. Έτσι, αν κατά λάθος καταχωρήσετε τον κύριο κωδικό σας και τον κωδικό σας ελέγχου ταυτότητας δύο φάσεων, οποιαδήποτε προσπάθεια του επιτιθέμενου θα ανασχεθεί από τα βήματα επιβεβαίωσης μέσω email. Ο επιτιθέμενος θα χρειαστεί να αποκτήσει πρόσβαση και στον λογαριασμό σας email, κίνδυνος τον οποίο μπορείτε επίσης να περιορίσετε με τον έλεγχο ταυτότητας δύο φάσεων του λογαριασμού σας email. Αν δείτε ένα αίτημα επαλήθευσης που δεν ξεκινήσατε εσείς, μπορείτε να το αγνοήσετε με ασφάλεια και να ενημερώσετε τον κύριο κωδικό σας από τις ρυθμίσεις λογαριασμού θησαυροφυλακίου του LastPass.
  • Αποτροπή της εξόδου: Αν και μια κακόβουλη σελίδα μπορεί να εμφανίσει μια πλαστή ειδοποίηση της LastPass ότι έχετε εξέλθει και πρέπει να εισέλθετε ξανά, θα πρέπει να ελέγξετε αν βρίσκεστε ακόμα σε είσοδο στην επέκταση LastPass και να πραγματοποιήσετε είσοδο μόνο μέσω αυτής της επέκτασης.

Εκτός από αυτές τις δικλίδες ασφαλείας, ενθαρρύνουμε τα προγράμματα περιήγησης της Google και άλλων να μας βοηθούν στην περαιτέρω προστασία σας, προσφέροντας ασφαλείς τρόπους εμφάνισης ειδοποιήσεων εκτός του εύρους προβολής του προγράμματος περιήγησης.

Πώς μπορείτε να βοηθήσετε στην προστασία του λογαριασμού σας LastPass

Εκτός από τα μέτρα ασφαλείας που έχουμε θέσει σε ισχύ, μπορείτε να διατηρείτε το θησαυροφυλάκιό σας ασφαλές με τις εξής βέλτιστες πρακτικές:

  • Πραγματοποιείτε πάντα είσοδο μέσω της επέκτασης LastPass. Ο ασφαλέστερος τρόπος να εισέρχεστε στο LastPass είναι κάνοντας κλικ στο εικονίδιο της επέκτασης στη γραμμή εργαλείων του προγράμματος περιήγησής σας. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Ποτέ μην χρησιμοποιείτε αλλού τον κύριο κωδικό σας. Η χρήση του κύριου κωδικού σας αλλού αυξάνει τον κίνδυνο κάποιος να κλέψει το θησαυροφυλάκιό σας. Χρησιμοποιείτε πάντα έναν κύριο κωδικό για το LastPass και τηρήστε την προειδοποίησή μας αν πληκτρολογήσετε τον κύριο κωδικό σας οπουδήποτε αλλού, εκτός από την είσοδο στο LastPass.
  • Προσέχετε από πού κατεβάζετε το LastPass. Να κατεβάζετε το LastPass αποκλειστικά από το LastPass.com ή από τα καταστήματα προσθέτων που περιλαμβάνονται στο πρόγραμμα περιήγησης ή τη συσκευή σας. Ποτέ μην χρησιμοποιείτε ιστότοπους τρίτων για λήψεις, ενώ ακόμα και στα καταστήματα προσθέτων πρέπει να είστε επιφυλακτικοί με καταχωρήσεις που μοιάζουν με αυτές του LastPass αλλά στην πραγματικότητα έχουν διαφορετικό όνομα εκδότη και καμία κριτική.
  • Ποτέ μην μοιράζεστε τον κύριο κωδικό σας. Η ομάδα του LastPass δεν θα σας ζητήσει ποτέ για τον κύριο κωδικό σας. Να είστε επιφυλακτικοί με οποιονδήποτε ισχυρίζεται ότι είναι από την LastPass και σας ζητά τον κύριο κωδικό σας. Μην αποκαλύπτετε ποτέ τον κωδικό πρόσβασής σας.
  • Προσθέστε έλεγχο ταυτότητας δύο σταδίων. Η καλή ασφάλεια γίνεται πραγματικότητα με πολλά επίπεδα προστασίας που περιορίζουν τον κίνδυνο Ο έλεγχος ταυτότητας δύο φάσεων απαιτεί άλλη μία πληροφορία πριν επιτρέψει την πρόσβαση στον λογαριασμό σας. Αν και δεν είναι πανάκεια, αυξάνει κατά πολύ τον βαθμό προστασίας του λογαριασμού σας.
  • Προστατέψτε το email σας με έναν ισχυρό κωδικό πρόσβασης και έλεγχο ταυτότητας δύο φάσεων. Ο λογαριασμός σας email πολλές φορές κρατά τα κλειδιά για το βασίλειό σας. Προστατεύετέ τον σαν να εξαρτάται από αυτό η ψηφιακή σας ζωή, γιατί μπορεί όντως να εξαρτάται. Το LastPass μπορεί να δημιουργήσει έναν ισχυρό αλλά “προφερτό” κωδικό πρόσβασης για το email σας, τον οποίο θα μπορείτε να απομνημονεύσετε, αν το προτιμάτε. Και ενεργοποιείτε πάντα τον έλεγχο ταυτότητας δύο φάσεων αν την παρέχει ο πάροχος email σας.

Το να παραμένετε ασφαλείς online πρέπει να είναι συνεχής δέσμευση και δική σας και δική μας. Όπως ακριβώς στην LastPass δεσμευόμαστε να βελτιώνουμε το προϊόν μας καθώς παρουσιάζονται νέες απειλές και να συνεργαζόμαστε με την κοινότητα ερευνών ασφαλείας για να ενδυναμώνουμε το προϊόν μας. Εμείς, ως χρήστες, πρέπει επίσης να παραμένουμε δεσμευμένοι στο να τηρούμε τις βέλτιστες πρακτικές ασφαλείας.