Η εικόνα είναι πλέον γνώριμη για χιλιάδες πολίτες στην Ελλάδα. Ένα μήνυμα στο κινητό που φαίνεται να προέρχεται από την τράπεζα, μια ειδοποίηση για «ύποπτη δραστηριότητα», ένα link που υπόσχεται άμεση επίλυση.
Ή ένα τηλεφώνημα από «εκπρόσωπο» που ζητά επιβεβαίωση στοιχείων. Από κάποιον που παριστάνει εκπρόσωπο του λογιστικού γραφείου με το οποίο συνεργάζεσαι. Μέσα σε λίγα λεπτά, αν κάποιος δεν είναι προσεκτικός, μπορεί να βρεθεί αντιμέτωπος με άδειους λογαριασμούς.
Το phishing δεν είναι πια μια σποραδική απάτη του διαδικτύου. Στην ελληνική πραγματικότητα έχει μετατραπεί σε ένα διαρκές, εξελισσόμενο φαινόμενο που ακολουθεί την ψηφιακή καθημερινότητα των πολιτών. SMS, Viber, emails, ακόμα και τηλεφωνικές κλήσεις συνθέτουν ένα πλέγμα επιθέσεων που βασίζεται λιγότερο στην τεχνολογία και περισσότερο στην ψυχολογία. «Πατά» πάνω στη βιασύνη, στην ανασφάλεια και στην τάση μας να εμπιστευόμαστε ό,τι μοιάζει θεσμικό. Αξιοποιεί τη στιγμιαία πίεση, την αβεβαιότητα και την εύκολη αποδοχή μιας πηγής που δείχνει αξιόπιστη. Και στο τέλος μετανιώνουμε για όλες εκείνες τις κινήσεις που κάναμε πάνω στον πανικό μας.
Ο υπουργός Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης, Δημήτρης Παπαστεργίου, παραδέχεται ότι το πρόβλημα είναι σύνθετο και διαρκώς μεταβαλλόμενο. Όπως σημειώνει, γίνεται συστηματική δουλειά με τους παρόχους κινητής τηλεφωνίας και ήδη έχει περιοριστεί σε έναν βαθμό το spoofing — η πρακτική κατά την οποία οι απατεώνες εμφανίζονται με ψεύτικο, αλλά φαινομενικά αξιόπιστο αριθμό, συχνά προσομοιώνοντας τραπεζικές γραμμές. Ωστόσο, όπως τονίζει, νέα εργαλεία και νέα «κέντρα» αποστολής τέτοιων μηνυμάτων εμφανίζονται συνεχώς, καθιστώντας την αντιμετώπιση μια διαρκή μάχη.
Στην πράξη, οι επιθέσεις έχουν γίνει πιο στοχευμένες και πιο «καλοδουλεμένες». Τα μηνύματα δεν έχουν πλέον εμφανή λάθη, χρησιμοποιούν σωστή γλώσσα και συχνά ενσωματώνουν στοιχεία που μοιάζουν απολύτως αληθοφανή. Οι ψεύτικες ιστοσελίδες τραπεζών είναι σχεδόν πανομοιότυπες με τις πραγματικές, ενώ τα σενάρια που χρησιμοποιούνται (μπλοκαρισμένοι λογαριασμοί, επιστροφές φόρων κλπ) πατούν πάνω σε καθημερινές ανάγκες και φόβους των πολιτών.
Αυτό που ανησυχεί ιδιαίτερα τις αρχές είναι ότι τα θύματα δεν ανήκουν πλέον μόνο σε ευάλωτες ομάδες. Όπως επισημαίνεται, ακόμη και νεότεροι ή μορφωμένοι χρήστες πέφτουν θύματα, ακριβώς επειδή οι επιθέσεις έχουν γίνει πιο πειστικές και λιγότερο «πρόχειρες» από ό,τι στο παρελθόν.
Παρά τις προσπάθειες για τεχνικό περιορισμό του φαινομένου, όπως ο αποκλεισμός μη πιστοποιημένων κέντρων αποστολής μηνυμάτων, η πραγματικότητα είναι ότι δεν υπάρχει οριστική λύση. Το phishing προσαρμόζεται διαρκώς, ακολουθώντας την τεχνολογία και εκμεταλλευόμενο κάθε νέο κανάλι επικοινωνίας.
Στο ίδιο πλαίσιο, η Εθνική Αρχή Κυβερνοασφάλειας έχει επανειλημμένα επισημάνει ότι οι επιθέσεις phishing και spoofing βασίζονται κυρίως στην πλαστοπροσωπία αξιόπιστων φορέων και στην παραπλάνηση του χρήστη μέσω φαινομενικά «έγκυρων» μηνυμάτων. Όπως τονίζει, οι πολίτες θα πρέπει να είναι ιδιαίτερα προσεκτικοί σε μηνύματα που περιέχουν συνδέσμους ή ζητούν άμεση ενέργεια, καθώς συχνά οδηγούν σε ψεύτικες ιστοσελίδες ή αποσκοπούν στην εγκατάσταση κακόβουλου λογισμικού.
Η Αρχή υπογραμμίζει ότι κανένας οργανισμός δεν ζητά ευαίσθητα προσωπικά ή τραπεζικά δεδομένα μέσω SMS, email ή τηλεφωνικών κλήσεων, ενώ εφιστά την προσοχή στο γεγονός ότι ακόμη και η εμφάνιση ενός «έγκυρου» αποστολέα ή αριθμού δεν αποτελεί εγγύηση αξιοπιστίας.
Για τον λόγο αυτό, συστήνει τη διασταύρωση κάθε ύποπτης επικοινωνίας μέσω επίσημων καναλιών, την αποφυγή ανοίγματος συνδέσμων από άγνωστες πηγές και τη γενικότερη καλλιέργεια ψηφιακής εγρήγορσης ως βασικής γραμμής άμυνας απέναντι σε τέτοιου είδους επιθέσεις.
Τι μπορούν να κάνουν οι πολίτες
Μέσα σε αυτό το ψηφιακό περιβάλλον, η προστασία δεν εξαρτάται μόνο από τα συστήματα, αλλά και από τα αντανακλαστικά των ίδιων των χρηστών. Υπάρχουν ορισμένοι βασικοί κανόνες που, αν τηρούνται, μπορούν να μειώσουν σημαντικά τον κίνδυνο:
– Να αντιμετωπίζουν με καχυποψία κάθε μήνυμα που ζητά άμεση ενέργεια ή δημιουργεί αίσθηση πίεσης. Η βιασύνη είναι το βασικό «εργαλείο» των απατεώνων.
– Να μην ανοίγουν συνδέσμους από SMS, Viber ή email αν δεν είναι απολύτως βέβαιοι για τον αποστολέα.
– Να μην καταχωρούν ποτέ προσωπικούς κωδικούς ή στοιχεία τραπεζικών καρτών μετά από τέτοιου είδους ειδοποιήσεις. Καμία τράπεζα δεν ζητά αυτά τα δεδομένα με αυτόν τον τρόπο.
– Να ελέγχουν προσεκτικά τη διεύθυνση της ιστοσελίδας — πολλές φορές η διαφορά από την αυθεντική είναι ελάχιστη, αλλά κρίσιμη.
– Να διακόπτουν τηλεφωνικές κλήσεις που ζητούν ευαίσθητα στοιχεία και να καλούν οι ίδιοι τον επίσημο αριθμό του οργανισμού.
– Να ενεργοποιούν τη διπλή επιβεβαίωση ταυτότητας όπου υπάρχει, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας.
– Να διατηρούν ενημερωμένες τις συσκευές και τις εφαρμογές τους, καθώς πολλά περιστατικά εκμεταλλεύονται παλαιότερα «κενά» ασφαλείας.
Η αντιμετώπιση του phishing στην Ελλάδα μοιάζει με έναν αγώνα χωρίς σαφή γραμμή τερματισμού. Από τη μία πλευρά, η πολιτεία και οι πάροχοι επιχειρούν να περιορίσουν τις «πύλες» απάτης. Από την άλλη, οι επιτήδειοι εξελίσσονται με την ίδια -αν όχι μεγαλύτερη- ταχύτητα.
Γι’ αυτό και οι πολίτες οφείλουν να είναι προσεκτικοί. Να «αμφισβητούν» αυτό που βλέπουν για λίγα δευτερόλεπτα και να το σκέφτονται δύο και τρεις φορές πριν πατήσουν κάποιο link ή δώσουν προσωπικά στοιχεία. Στον ψηφιακό κόσμο όλα μοιάζουν αληθινά. Κάθε μέρα και περισσότερο. Όμως δεν είναι…
