Menu
Η Kostoday & οι Επιχειρήσεις Σας Εύχονται Καλά Χριστούγεννα και Ευτυχισμένο το Νέο Έτος
BP ΤΟΥΛΑΝΤΑ Ο.Ε.
BP ΤΟΥΛΑΝΤΑ Ο.Ε.
Χασάν - Παραδοσιακό Εστιατόριο
Χασάν - Παραδοσιακό Εστιατόριο
ARGO - ΧΑΤΖΗΔΙΑΜΑΝΤΗΣ ΝΙΚΟΛΑΟΣ - ΠΡΑΤΗΡΙΟ ΥΓΡΩΝ ΚΑΥΣΙΜΩΝ
ARGO - ΧΑΤΖΗΔΙΑΜΑΝΤΗΣ ΝΙΚΟΛΑΟΣ - ΠΡΑΤΗΡΙΟ ΥΓΡΩΝ ΚΑΥΣΙΜΩΝ
Οπτικά Vision
Οπτικά Vision
Eko - Μαρίνος
Eko - Μαρίνος
Μπαλαλής
Μπαλαλής
Travel Way by Panos
Travel Way by Panos
Nikos Gold
Nikos Gold
Expo-World
Expo-World
Ο Λάμπρος
Ο Λάμπρος
Κασίου Μιχάλης
Κασίου Μιχάλης
ΡΟΠΗ - ΠΡΟΤΥΠΟ ΣΥΝΕΡΓΕΙΟ ΑΥΤΟΚΙΝΗΤΩΝ
ΡΟΠΗ - ΠΡΟΤΥΠΟ ΣΥΝΕΡΓΕΙΟ ΑΥΤΟΚΙΝΗΤΩΝ
Κυριακού Group - Κυριακού Απόστολος
Κυριακού Group - Κυριακού Απόστολος
Σεγραίδος Δομική
Σεγραίδος Δομική
Μιαούλης Αντώνης | Φανοποιείο - Βαφές
Μιαούλης Αντώνης | Φανοποιείο - Βαφές
Γρηγοριάδης Ηλίας
Γρηγοριάδης Ηλίας
Art & Commercial Studio
Art & Commercial Studio
Κρεοπωλείο Ζαχάρης
Κρεοπωλείο Ζαχάρης
Αλάσκα
Αλάσκα
Γρηγοριάδης Νικόλαος
Γρηγοριάδης Νικόλαος
TAXI ΚΩΣ
TAXI ΚΩΣ
ΚΥΡΙΑΚΟΣ ΨΑΡΟΜΠΑΣ - ΑΡΓΩ ΚΑΥΣΙΜΑ - ΛΙΠΑΝΤΙΚΑ
ΚΥΡΙΑΚΟΣ ΨΑΡΟΜΠΑΣ - ΑΡΓΩ ΚΑΥΣΙΜΑ - ΛΙΠΑΝΤΙΚΑ
Νανού Donuts
Νανού Donuts
ΣΠΥΡΟΣ ΜΑΡΙΟΣ ΦΟΥΡΘΙΩΤΗΣ
ΣΠΥΡΟΣ ΜΑΡΙΟΣ ΦΟΥΡΘΙΩΤΗΣ
ΦΟΥΡΘΙΩΤΗΣ ΜΕΘΟΔΙΟΣ - HONDA
ΦΟΥΡΘΙΩΤΗΣ ΜΕΘΟΔΙΟΣ - HONDA
ΜΑΝΤΟΥΚΟΣ ΠΕΤΡΟΣ
ΜΑΝΤΟΥΚΟΣ ΠΕΤΡΟΣ
ΚΑΥΚΑΣ
ΚΑΥΚΑΣ
ΦΥΛΛΟ...ΣΟΦΙΕΣ
ΦΥΛΛΟ...ΣΟΦΙΕΣ
ΝΙΚΟΣ ΔΙΑΚΟΝΙΚΟΛΗΣ
ΝΙΚΟΣ ΔΙΑΚΟΝΙΚΟΛΗΣ
AUTO ΚΑΡΠΟΥΖΗΣ
AUTO ΚΑΡΠΟΥΖΗΣ
SPECIAL ΣΤΑΥΡΟΣ ΑΡΒΑΝΙΤΑΚΗΣ
SPECIAL ΣΤΑΥΡΟΣ ΑΡΒΑΝΙΤΑΚΗΣ
PERGAMINOS SERVICE
PERGAMINOS SERVICE
Videorama
Videorama
Kosinfo
Kosinfo
Kosnet
Kosnet
EshopKos
EshopKos

Πώς μπορεί να σας κλέψουν τον κωδικό πρόσβασης στα e-mail σας

Πώς μπορεί να σας κλέψουν τον κωδικό πρόσβασης στα e-mail σας
jumbo-banner

Οι υπηρεσίες που σας δίνουν τη δυνατότητα να ανακτήσετε έναν κωδικό πρόσβασης που ξεχάσατε στέλνοντας στο κινητό σας έναν προσωρινό με SMS δεν θα σας ζητήσουν ποτέ «απάντηση». Εάν το γνωρίζετε αυτό, τότε δεν θα ξεγελαστείτε από μια συνηθισμένη και απλή απάτη «κοινωνικής μηχανικής».

Σκεφτείτε πως αρκεί να έχει κανείς τον αριθμό του τηλεφώνου σας και την διεύθυνση του e-mail σας για να επιχειρήσει να σας εξαπατήσει. Στις υπηρεσίες e-mail Gmail, Hotmail και Yahoo Mail υπάρχει η δυνατότητα ανάκτησης του κωδικού πρόσβασης στον λογαριασμό σας με έναν κωδικό επαλήθευσης που θα λάβετε στο κινητό σας τηλέφωνο (άρα απαιτείται και ο αριθμός κλήσης).

Χρησιμοποιώντας το Gmail για παράδειγμα, τα ακόλουθα βήματα περιγράφουν τον τρόπο με τον οποίο λειτουργεί η επίθεση:

Υποθέτουμε ότι το θύμα έχει καταχωρίσει τον αριθμό του κινητού του τηλεφώνου στο Gmail, έτσι ώστε αν ξεχάσει τον κωδικό, η Google να μπορεί να του στείλει ένα SMS με έναν κωδικό επαλήθευσης μιας χρήσης ώστε να έχει πρόσβαση στον λογαριασμό του.

Ο κακός της υπόθεσης, ο κράκερ θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασής του. Γνωρίζει όμως την e-mail διεύθυνση και το τηλέφωνό του. Επισκέπτεται λοιπόν την σελίδα login του Gmail και εισάγει τα στοιχεία του υποψήφιου θύματος (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια (μέσω του link “Need help?” -αυτή η παραπομπή είναι χρήσιμη όταν κανείς ξεχάσει τα στοιχεία εισόδου του στην υπηρεσία). Παριστάνει δηλαδή ότι είναι ο ξεχασιάρης ιδιοκτήτης του λογαριασμού που αναζητά τρόπο να ανακτήσει τον κωδικό του.

Το σύστημα δίνει στον χρήστη αλλά και στον κράκερ πολλές επιλογές, μεταξύ των οποίων και το “Enter the last password you remember” (Eισάγετε τον τελευταίο κωδικό που θυμόσαστε) και πατήστε στο “Confirm password reset on my [MAKE AND MODEL] phone,” (Επιβεβαίωση επαναφοράς κωδικού πρόσβασης στο τηλέφωνο μου [μάρκα και μοντέλο]. Επειδή, δεν μπορεί να γνωρίζει τα στοιχεία αυτά, τα παραλείπει μέχρι να του δοθεί η επιλογή “Get a verification code on my phone: [MOBILE PHONE NUMBER] (Λήψη κωδικού επαλήθευσης στο τηλέφωνό μου: [ΚΙΝΗΤΟ ΤΗΛΕΦΩΝΟ]).

Ο κράκερ επιβεβαιώνει την επιλογή. Το θύμα θα λάβει ένα SMS με έναν εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του -το οποίο όμως, δεν βρίσκεται στα χέρια του «κακού». Ο χρήστης λαμβάνει ένα μήνυμα που γράφει “Your Google Verification code is [SIX-DIGIT CODE].” (Ο κωδικός επαλήθευσης του Google είναι [εξαψήφιος κωδικός]

Στο σημείο αυτό, επεμβαίνει ο κράκερ: στέλνει στο θύμα του ένα δεύτερο SMS που γράφει κάτι πειστικό υποδυόμενος αυτή τη φορά την υπηρεσία, δηλαδή την Google, την Yahoo ή το Hotmail, ώστε να του απαντήσει το θύμα με τον κωδικό που μόλις έλαβε, όπως: “Google has detected unusual activity on your account. Please respond with the code sent to your mobile device to stop unauthorized activity”.

(Η Google εντόπισε ασυνήθιστη δραστηριότητα στο λογαριασμό σας. Απαντήστε με τον κωδικό που σας έχει σταλεί στο κινητό σας τηλέφωνο για να εμποδίσετε τυχόν μη εξουσιοδοτημένη δραστηριότητα).

Ο χρήστης πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης. Εκτός βέβαια εάν παρατηρήσει ποιος του έστειλε το μήνυμα και θελήσει να βεβαιωθεί για την ταυτότητά του (ενδεχομένως, συγκρίνοντας την προέλευση του αρχικού μηνύματος με τον εξαψήφιο κωδικό).

Στο παράδειγμά μας, το αυθεντικό μήνυμα της Google εμφανίζει ως αποστολέα την “Google” και εάν αναζητήσετε με παρατεταμένο άγγιγμα τις «λεπτομέρειες μηνύματος» θα δείτε ως Κέντρο υπηρεσίας τον αριθμό της υπηρεσίας μηνυμάτων του παρόχου σας, π.χ. από την Vodafone το +306942190000

Διαφορετικά, ο κράκερ θα λάβει και θα χρησιμοποιήσει τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια θα μπει στον λογαριασμό για να βρει ό,τι θέλει.

Η Symantec μας λέει πως η «επικοινωνία» του κράκερ με τα θύματά του δεν σταματά εδώ. Αρκετοί εξακολουθούν να στέλνουν μηνύματα στα θύματά τους όταν κάτι δεν πάει καλά με τη σύνδεση και τους κωδικούς. Βεβαίως και πάλι τα μηνύματα εξακολουθούν να είναι απλά και αληθοφανή, με αποτέλεσμα να πείθουν χωρίς ιδιαίτερη προσπάθεια τα θύματά τους.

Πού προωθούνται τα e-mail σας;

Όταν πλέον ο επιτιθέμενος αποκτήσει πρόσβαση στον λογαριασμό του θύματος, μπορεί για παράδειγμα, μεταξύ άλλων, να προσθέσει μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου στο λογαριασμό και έτσι να λαμβάνει αντίγραφα όλων των μηνυμάτων που θα διαβιβάζονται στη διεύθυνση αυτή.

Οι κράκερ στέλνουν ακόμη και «ευχαριστήριο» μήνυμα στα θύματά τους, που συνήθως έχει τη μορφή “Thank you for verifying your Google account. Your temporary password is [TEMPORARY PASSWORD]” (Σας ευχαριστούμε για την επαλήθευση του λογαριασμού σας στο Google. Ο προσωρινός κωδικός πρόσβασης σας είναι [προσωρινός κωδικός πρόσβασης] “. Αυτό κάνει την επίθεση ψαρέματος (“phishing”) όλο και πιο πιστευτή, αφού το θύμα θεωρεί όλη την αλληλογραφία νόμιμη και πιστεύει ότι λογαριασμός του είναι πλέον ασφαλής.

Οι κυβερνοεγκληματίες αυτού του τύπου των επιθέσεων δεν φαίνεται να επικεντρώνονται στο οικονομικό κέρδος, όπως για παράδειγμα συμβαίνει στην κλοπή αριθμών πιστωτικών καρτών. Φαίνεται ότι προσπαθούν να συλλέξουν πληροφορίες σχετικά με τα θύματά τους και μάλιστα όχι μαζικά, αλλά σε συγκεκριμένα άτομα.

Αυτή η απλή, αλλά άκρως αποτελεσματική μέθοδος επίθεσης είναι πολύ πιο οικονομική από τις παραδοσιακές spear-phishing επιθέσεις, όπου ένας εισβολέας πρέπει να καταχωρήσει ένα domain και να δημιουργήσει μια ιστοσελίδα phishing. Στην περίπτωση αυτή, το μόνο κόστος που βαρύνει τους επιτιθέμενους είναι το μήνυμα SMS, ενώ ως μέθοδος είναι πολύ δύσκολα ανιχνεύσιμη καθώς πρέπει να γίνει από ειδικό λογισμικό για κινητά τηλέφωνα ή από τον εκάστοτε πάροχο κινητής τηλεφωνίας.

Η Symantec συμβουλεύει τους χρήστες να είναι καχύποπτοι προς τα μηνύματα SMS που ζητούν κωδικούς επαλήθευσης, ειδικά αν δεν τους έχουν ζητήσει οι ίδιοι.

Εάν δεν είμαστε βέβαιοι για το μήνυμα που λάβαμε ελέγχουμε την προέλευσή του με τον παροχέα του ηλεκτρονικού μας ταχυδρομείου, για να επιβεβαιωθεί εάν το μήνυμα είναι νόμιμο.

Τα μηνύματα που αποστέλλονται συνήθως από τις υπηρεσίες ανάκτησης κωδικού πρόσβασης, αποστέλλουν μόνο τον κωδικό επαλήθευσης και δεν ζητούν από τον χρήστη να απαντήσει με οποιονδήποτε τρόπο.

Να θυμάστε πάντα ότι ακόμη και αν κάποιος μοιάζει με έναν αστυνομικό ή κάποια ανώτερη αρχή, αυτό δε σημαίνει απαραίτητα ότι θα πρέπει να παραδώσουμε και τα στοιχεία μας, χωρίς να ζητήσουμε αντίστοιχη επιβεβαίωση της ταυτότητάς του.

in.gr

eshopkos-small
pizzacon-small
Βαθμολογήστε αυτό το άρθρο
(0 ψήφοι)

Προσθήκη σχολίου

H Kostoday.com δημοσιεύει άμεσα κάθε σχόλιο, καθώς θεωρούμε ότι ο κάθε αναγνώστης έχει το δικαίωμα να εκφράζει ελεύθερα τις απόψεις του, χωρίς να σημαίνει ότι αυτές εκφράζουν την ηλεκτρονική μας εφημερίδα. Σχόλια υβριστικά ή συκοφαντικά θα διαγράφονται αυτόματα χωρίς προειδοποίηση. Παρακαλούμε πολύ προσπαθήστε οι συζητήσεις να γίνονται σε ευπρεπή πλαίσια. Βεβαιωθείτε ότι εισάγετε τις (*) απαιτούμενες πληροφορίες, όπου ενδείκνυται. Ο κώδικας HTML δεν επιτρέπεται.

επιστροφή στην κορυφή

Επαγγελματικός Οδηγός