Ασφάλεια διαδικτύου, Διαδίκτυο

Ηλεκτρονικό ταχυδρομείο (Email) : Καινοτόμο; Επικίνδυνο; Ή μήπως και τα δύο;

Από τον Γεώργιο Χαριστό,

Την εποχή όπου ο ηλεκτρονικός υπολογιστής ήταν επιστημονική φαντασία σε κινηματογραφικές ταινίες, η επικοινωνία μεταξύ των ανθρώπων γινόταν κυρίως μέσω αλληλογραφίας με ταχυδρομείο. Τεράστιες ποσότητες φακέλων αλληλογραφίας μεταφέρονταν από την μία άκρη του κόσμου στην άλλη άκρη, σε χρονικό διάστημα που ήταν απρόβλεπτο και πολλές φορές μη ανιχνεύσιμο. Ωστόσο, σημαντικό μειονέκτημα της συγκεκριμένης επικοινωνίας είναι ο βαθμός ασφάλειας της. Η επικοινωνία στηριζόταν στην εχεμύθεια του ταχυδρόμου που μετέφερε την πληροφορία, έτσι ώστε ο φάκελος να φτάσει ακέραιος στον προορισμό του, χωρίς να υπάρχει κάποιος ενδιάμεσος που θα μπορούσε να υποκλέψει την μεταδιδόμενη πληροφορία ανοίγοντας τον φάκελο. Δεν υπήρχαν οι έννοιες «δικλείδες ασφαλείας», «παρακολούθηση πορείας αποστολής» ή «ενημέρωση σε περίπτωση απώλειας του φακέλου». Η επιστολή έφευγε από τα χέρια του αποστολέα, χωρίς να είναι σίγουρος αν και πότε θα φτάσει στον παραλήπτη και πόσο χρονικό διάστημα θα χρειαστεί σε πιθανή απάντηση από τον παραλήπτη.

 

Με την εμφάνιση του προσωπικού ηλεκτρονικού υπολογιστή , οι επιστήμονες προσπάθησαν να μηδενίσουν τις αποστάσεις μεταξύ του αποστολέα και του παραλήπτη, έτσι ώστε να είναι πιο άμεση και πιο ελεγχόμενη η επικοινωνία των εμπλεκόμενων. Πλέον ένα μήνυμα μπορούσε να φτάσει από έναν αποστολέα σε διαφορετικούς παραλήπτες ανά τον κόσμο σε πολύ μικρό χρονικό διάστημα και χωρίς κόπο. Η τεχνολογία ονομάζεται Ηλεκτρονικό Ταχυδρομείο ή αλλιώς ο παγκοσμίως γνωστός όρος «Email». Ένα email έχει την δυνατότητα αποστολής απλού κειμένου καθώς και πολυμέσων (αρχείων κειμένου, εικόνας, ήχου, βίντεο) σε πολύ μικρό χρονικό διάστημα, αρκεί να έχουμε δημιουργήσει λογαριασμό στον εκάστοτε πάροχο ηλεκτρονικού ταχυδρομείου, να μας έχει δοθεί ένα μοναδικό όνομα χρήστη και να έχουμε το όνομα χρήστη του παραλήπτη ή των παραληπτών.

 

Τί γίνεται όμως με τον βαθμό ασφάλειας της συγκεκριμένης τεχνολογίας;

 

Μπορεί το email να έχει γίνει αναπόσπαστο κομμάτι της καθημερινότητας μας, ωστόσο συχνά ακούμε από γνωστούς μας ή διαβάζουμε στο διαδίκτυο ότι ένα μήνυμα μόλυνε έναν υπολογιστή και κλειδώθηκαν, κλάπηκαν προσωπικά και εταιρικά αρχεία. Η Window Snyder, επιστήμονας της Πληροφορικής και ειδική σε θέματα ασφάλειας υπολογιστών αναφέρει, “One single vulnerability is all an attacker needs”. Σε αυτή την περίπτωση, η ευπάθεια στην οποία ο επιτιθέμενος προσπαθεί να διεισδύσει είναι ο εγκέφαλος και η ψυχολογία του ανθρώπου. Υπάρχουν διάφοροι τρόποι επίθεσης μέσω ηλεκτρονικού ταχυδρομείου, οι οποίοι προσπαθούν με διαφορετικές τεχνικές να πείσουν τον χρήστη ότι πρόκειται για έγκυρη και έμπιστη πηγή πληροφορίας, ο χρήστης να νιώσει ότι επικοινωνεί με οικείο πρόσωπο ή εταιρεία και τελικά να τον οδηγήσει σε δύσκολες και ψυχοφθόρες καταστάσεις.

 

Υπάρχουν πολλές τεχνικές, από τις οποίες ένα απλό email μπορεί να αποβεί μοιραίο μόνο και μόνο με ένα κείμενο που γράφτηκε και προσπαθεί να διηγηθεί μία ψευδής ιστορία. Άλλες τεχνικές συνδυάζουν το ηλεκτρονικό μήνυμα μαζί με συνημμένα αρχεία και συνδέσμους (links), τα οποία με πρώτη ματιά μοιάζουν ακίνδυνα, με ένα πάτημα τους όμως μετατρέπονται σε επικίνδυνα και πολλές φορές μοιραία.

Οι τεχνικές οι οποίες υπάρχουν και τις συναντάμε καθημερινά στο προσωπικό μας ηλεκτρονικό ταχυδρομείο, χωρίζονται στις εξής κατηγορίες :

 

  • Ransomware : Με απλά λόγια είναι το εικονίδιο που εμφανίζεται ξαφνικά και σου εξηγεί ότι τα αρχεία σου κρυπτογραφήθηκαν και ότι πρέπει να πληρώσεις κάποια λίτρα (τις περισσότερες φορές σε μορφή bitcoin), έτσι ώστε να σου δώσει τον κωδικό με τον οποίο θα αποκρυπτογραφήσεις τα αρχεία σου. Η τεχνική στηρίζεται κυρίως σε συνημμένα αρχεία που μεταδίδονται μαζί με το ηλεκτρονικό μήνυμα και περιέχουν κακόβουλο λογισμικό το οποίο μέσω ενός θύματος, μπορεί να μολύνει ακόμα και ολόκληρο δίκτυο υπολογιστών μίας εταιρείας. Η λύση της πληρωμής των λίτρων δεν εγγυάται την πλήρη ανάκτηση των δεδομένων του χρήστη. Καλή πρακτική, είναι να κρατάμε αντίγραφα ασφαλείας των δεδομένων μας ανά τακτά χρονικά διαστήματα σε εξωτερικό μέσο αποθήκευσης. Μετά την επίθεση με τεχνική ransomware, προτείνεται διαμόρφωση του βασικού αποθηκευτικού μέσου καθώς και νέα εγκατάσταση του λειτουργικού συστήματος.

 

  • Phishing : Η συγκεκριμένη τεχνική προσπαθεί με τεχνικές ψυχολογικής χειραγώγησης, να πείσει τον χρήστη ότι πρέπει να συνδεθεί με τα διαπιστευτήρια του σε μία τοποθεσία, για παράδειγμα το e-banking της συγκεκριμένης τράπεζας, διότι βρέθηκε παράνομη σύνδεση από άγνωστη τοποθεσία. Η αφέλεια του χρήστη πολλές φορές τον ωθεί σε αυτή την πράξη, οπότε ο επιτιθέμενος σε μικρό χρονικό διάστημα αποκτά πληροφορίες που διαφορετικά θα έπρεπε να κοπιάσει για να τις αποκτήσει. Η τεχνική χρησιμοποιεί συνημμένα αρχεία καθώς και συνδέσμους. Ειδικά οι τράπεζες τονίζουν με ανακοινώσεις τους, ότι ποτέ δεν ζητάνε διαπιστευτήρια χρηστών μέσω email. Οπότε, χρειάζεται προσοχή κατά την λήψη τέτοιου είδους ηλεκτρονικού μηνύματος να γίνεται έλεγχος για ορθογραφικά λάθη, να γίνεται μία πρώτη εκτίμηση ότι η ηλεκτρονική διεύθυνση του αποστολέα είναι η σωστή και αν ανοίγουμε μία ιστοσελίδα να είμαστε σίγουροι ότι υπάρχει πιστοποιητικό ασφάλειας “https”. Πολύ καλή πρακτική είναι, αν ξέρουμε την διεύθυνση της ιστοσελίδας, να μπαίνουμε με το πρόγραμμα περιήγησης μας και όχι πατώντας πάνω στον σύνδεσμο του email. Όταν μία τεχνική phishing εστιάζει σε μία εταιρεία ή έναν οργανισμό τότε ονομάζεται spear phishing. Γίνεται μία έρευνα από τους επιτιθέμενους για πληροφορίες σχετικά με την εταιρεία ή τον οργανισμό, έτσι ώστε να γίνει στοχευμένη επίθεση και να είναι πιο αποτελεσματική.

 

  • Spoofing : Η συγκεκριμένη τεχνική προσπαθεί να μιμηθεί μία έγκυρη διεύθυνση ηλεκτρονικού ταχυδρομείου ή ακόμα και ένα ολόκληρο domain μίας εταιρείας, τροποποιώντας την με τέτοιο τρόπο έτσι ώστε να μην φανεί στον παραλήπτη ότι πρόκειται για μη έμπιστο αποστολέα. Ο παραλήπτης έχει την εντύπωση ότι επικοινωνεί με οικείο χρήστη, αποκαλύπτοντας προσωπικά και εταιρικά δεδομένα. Καλή πρακτική πριν απαντήσουμε σε οποιοδήποτε ηλεκτρονικό μήνυμα που μας έρχεται και ειδικά στην εταιρεία στην οποία εργαζόμαστε, είναι να ελέγχουμε την ηλεκτρονική διεύθυνση του αποστολέα. Αν εντοπιστεί τέτοιου είδους επίθεση σε εταιρικό περιβάλλον, πρέπει κατευθείαν να απευθυνθούμε με το αρμόδιο τμήμα, έτσι ώστε να εφαρμοστεί η Πολιτική Ασφαλείας.

 

Υπάρχουν αμέτρητες τεχνικές επίθεσης μέσω ηλεκτρονικού ταχυδρομείου, άλλες είναι παλιές και άλλες καινούργιες. Ωστόσο, αυτό που τις κάνει να υπάρχουν και να έχουν αυξημένη αποτελεσματικότητα, είναι η αφέλεια του ανθρώπου, η καθημερινή ρουτίνα και τα προβλήματα που μας πλευρίζουν και δεν μπορούμε να σκεφτούμε λογικά. Ο James Scott, συνιδρυτής του Institute for Critical Infrastructure  αναφέρει, “Hackers find more success with organizations where employees are under appreciated, over worked and under paid. Why would anyone in an organization like that care enough to think twice before clicking on a phishing email?”.

 

Άρα, για ακόμη μία φορά ο ανθρώπινος παράγοντας είναι ο σημαντικός κρίκος της ασφάλειας μίας επικοινωνίας. Η μήπως όχι;