Το τελευταίο διάστημα έχουν αυξηθεί έντονα οι προσπάθειες καταστρατήγησης της ασφάλειας των πληροφοριακών συστημάτων των εταιριών.
Η πιο κοινή τεχνική παραβίασης της ασφάλειας των συστημάτων και των προσωπικών δεδομένων των εταιριών είναι η επίθεση ηλεκτρονικού «ψαρέματος» ή αλλιώς «phishing», που «υποδύεται» ότι ηλεκτρονική αλληλογραφία προέρχεται από οικείο αποστολέα όπως από πελάτες, προμηθευτές ή από το εσωτερικό των εταιριών. Η μέθοδος αυτή έχει γίνει πλέον ιδιαίτερα αληθοφανής για τους χρήστες.
Παρακάτω παραθέτουμε μερικές συμβουλές που μπορούν να σας βοηθήσουν να εντοπίσετε ένα μήνυμα ηλεκτρονικού “ψαρέματος”.
- Αν ένα μήνυμα περιέχει γενικούς ή ανεπίσημους χαιρετισμούς ή στερείται εξατομίκευσης (π.χ. “Αγαπητέ πελάτη”) και επισημότητας, τότε θα πρέπει να υποψιαστείτε ότι κάτι πάει στραβά. Το ίδιο ισχύει και για την ψευδο-εξατομίκευση χρησιμοποιώντας τυχαίους ή ψευδείς αριθμούς αναφοράς.
- Μια συχνή μέθοδος των phishers, που συνήθως αποφεύγεται από τις τράπεζες, τα χρηματοπιστωτικά ιδρύματα και τις περισσότερες online υπηρεσίες είναι ένα αίτημα για καταχώρηση προσωπικών πληροφοριών.
- Κακή γραμματική, τα ορθογραφικά, τα συντακτικά λάθη και οι ασυνήθιστες φράσεις συχνά υποδεικνύουν ένα ψεύτικο μήνυμα. Ωστόσο, η απουσία οποιουδήποτε από αυτά δεν αποτελεί απόδειξη νομιμότητας.
- Η ανεπιθύμητη επικοινωνία από μια τράπεζα ή από έναν πάροχο υπηρεσιών είναι εξαιρετικά ασυνήθιστη και επομένως ύποπτη.
- Τα μηνύματα ηλεκτρονικού “ψαρέματος” προσπαθούν συχνά να προκαλέσουν ταχείες ενέργειες (spear phishing) και αίσθηση επείγουσας ανάγκης .
- Ένα email με μια προσφορά που δεν μπορείτε να αρνηθείτε. Εάν το μήνυμα ακούγεται πολύ καλό για να είναι αλήθεια, είναι σχεδόν βέβαιο ότι δεν είναι.
- Θα σας έστελνε ποτέ μια αμερικανική ή γερμανική τράπεζα ένα μήνυμα ηλεκτρονικού ταχυδρομείου από ένα κινεζικό domain; Η απάντηση είναι ΟΧΙ, επομένως ένα ύποπτο domain αποτελεί απόδειξη ηλεκτρονικού “ψαρέματος”.
Παρακάτω θα βρείτε ένα τρανταχτό παράδειγμα προσπάθειας να αποσπάσουν κακόβουλα τα διαπιστευτήρια και άλλα προσωπικά στοιχεία, με το αληθοφανές «καμουφλάζ» της Microsoft.
Όπως μπορείτε να δείτε στη συγκεκριμένη ανεπιτυχή προσπάθεια, ενώ με μια πρώτη ματιά το email φαίνεται να προέρχεται από την Microsoft και σαν αποστολέας εμφανίζεται “Bssplus”, ο πραγματικός αποστολέας ουδεμία σχέση έχει με την εταιρεία (κατάληξη .pt), αντιθέτως προέρχεται από την Πορτογαλία.
Προκειμένου να αποφευχθούν οι απειλές μόλυνσης των υπολογιστών και των δικτύων των εταιριών μέσω ηλεκτρονικών αλληλογραφιών συνιστάται η λήψη συνδυασμού ελέγχων όπως:
- Εκπαίδευση των εργαζομένων δια ζώσης, σε τακτά χρονικά διαστήματα, και μέσω διακίνησης εσωτερικών εγγράφων ενημέρωσης ώστε να αποφευχθεί το phishing και να αναγνωριστεί ότι ο αποστολέας δεν συσχετίζεται με την εταιρεία (αναγνώριση αρχικών λεκτικών, π.χ. ext ή καταλήξεων που δηλώνουν την προέλευση των μηνυμάτων από διάφορες χώρες του εξωτερικού)
- Οι παραλήπτες ύποπτων μηνυμάτων να μην εισάγουν τα προσωπικά τους στοιχεία και να αποφεύγεται το άνοιγμα συνημμένων αρχείων.
- Σε περίπτωση συμβάντος να ενημερώνεται άμεσα ο Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων των εταιρειών.
- Σάρωση ευπάθειας σε τακτικά διαστήματα για το ενδεχόμενο μόλυνσης των εξυπηρετητών του φορέα και των σταθμών εργασίας εντός των εταιριών.
- Επικαιροποίηση των λειτουργικών συστημάτων των εταιριών σε τακτική βάση με προσθήκη στα αντιβιοτικά λογισμικά (antivirus) anti-phishing και anti-spam control.
- Αλλαγή των συνθηματικών (password) των χρηστών τουλάχιστον σε τριμηνιαία βάση.
- Γνωστοποίηση παραβιάσεων στο εθνικό CERT, την Ηλεκτρονική Δίωξη Εγκλήματος, την Αρχής Προστασίας Προσωπικών Δεδομένων και των επηρεαζόμενων οργανισμών και φυσικών προσώπων λόγο των αποστολών spam μηνυμάτων.
Η BSS έχοντας αναλάβει τη δημιουργία διαδικασιών GDPR, αλλά και τον ρόλο του Υπευθύνου Προστασίας Δεδομένων, έχει ως προτεραιότητα τη διασφάλιση ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες (εταιρίες) λαμβάνουν τα κατάλληλα οργανωτικά και τεχνικής φύσεως μέτρα, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με την σχετική νομοθεσία (άρθρο 24 παρ.1 και το άρθρο 32 του ΓΚΠΔ). Και ως αποτέλεσμα αυτού οι εταιρείες να μπορούν να αποδεικνύουν τις συγκεκριμένες ενέργειες ανά πάσα στιγμή σύμφωνα με τις αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ (αρχή της λογοδοσίας).
Επικοινωνήστε σήμερα με έναν εξειδικευμένο Σύμβουλο της BSS
Επικοινωνία (bssplus.gr)