Είναι μεγάλη η προσπάθεια που γίνεται από επίσημους φορείς και θεσμικούς παράγοντες στον κόσμο του διαδικτύου, να καταπολεμηθούν τα φαινόμενα συστηματικής υποκλοπής προσωπικών δεδομένων, όμως είναι αρκετά ξεκάθαρο πως πρόκειται για μια Λερναία Ύδρα όπως και πολλές άλλες του κυβερνοχώρου: ακόμα κι αν αντιμετωπίζεται σποραδικά, βρίσκει νέους και περισσότερους τρόπους να κάνει ξανά την εμφάνιση της.

Προς επιβεβαίωση των παραπάνω είναι και τα δεδομένα μελέτης που ολοκληρώθηκε το 2022 από την εταιρία και πάροχο ασφαλείας SlashNext για το ειδησεογραφικό δίκτυο CNBC, κατά την οποία αναλύθηκαν δισεκατομμύρια στοιχεία φυσικής γλώσσας, υπερσυνδέσεων και επισυνημμένων αρχείων από εισερχόμενα μηνύματα και email σε κινητές και μη συσκευές. Η μελέτη, η οποία διήρκεσε 6 μήνες, εντόπισε περισσότερες από 225 εκατομμύρια επιθέσεις σε αυτό το διάστημα, γεγονός που δείχνει αύξηση σε ποσοστό 61% σε σχέση με το 2021.

Η απειλή δεν αυξάνεται μόνο σε ποσοτικό επίπεδο, αλλά προσαρμόζεται στα μέτρα προστασίας και γίνεται ολοένα και πιο δύσκολα ανιχνεύσιμη, ώστε να συνεχίσει να εξαπατά ολοένα και περισσότερους χρήστες και να υποκλέπτει ακόμη και πιο σημαντικές πληροφορίες. Το phishing, που πολλοί θεωρούν πως έχει απλώς την μορφή ενός αμφιλεγόμενου email με ξεκάθαρα στοιχεία εξαπάτησης, έχει πλέον γίνει ένας ολόκληρος κλάδος εγκληματικής δραστηριότητας με πολλά και περίπλοκα παρακλάδια, εκ των οποίων κάποια σίγουρα δεν θα τα καταλαβαίναμε τόσο εύκολα.

Η μελέτη της SlashNext δείχνει αυξημένο ενδιαφέρον όσων κάνουν απόπειρες phishing για τα κινητά τηλέφωνα, συγκεκριμένα σε ένα ποσοστό 50% αύξησης σε σχέση με το 2021. Παράγοντες κινδύνου είναι όχι μόνο τα μηνύματα SMS, αλλά και ηχητικά μηνύματα σε τηλεφωνητές και κανονικές κλήσεις επιβεβαίωσης. Το two-pronged phishing, το «ψάρεμα» που χρησιμοποιεί δύο οδούς ταυτόχρονα για μια επιτυχημένη επίθεση υποκλοπής, χρησιμοποιεί ως πρώτη οδό ένα καλοστημένο και πολύ πειστικό email και μπαίνει στη διαδικασία έπειτα να μιλήσει είτε μέσω μηνυμάτων στο κινητό είτε με ηχητικό μήνυμα και να παραπέμψει το θύμα στο εκάστοτε «επείγον» email. Πρόκειται για απόγονο του barrel phishing που αποτελείται από διαδοχικά email προς έναν χρήστη με αυξανόμενο κάθε φορά τον επείγοντα τόνο του μηνύματος. Παρόμοιες τακτικές παρατηρούνται, αν και σε μεγαλύτερη κλίμακα, και σε απόπειρες τύπου BEC phishing (Business Email Compromise), όπου στόχος δεν είναι οι απλοί χρήστες, αλλά εταιρικά email με σαφώς πιο πολλά δεδομένα προς υποκλοπή.

Τέλος, άλλη μια «φρέσκια» κατηγορία phishing που, επειδή δρα πολύ πιο στοχευμένα, πολλές φορές αποδεικνύεται πιο επικίνδυνη είναι το ευφάνταστα αποκαλούμενο spear phishing, στο οποίο ο θύτης εκμεταλλεύεται συγκεκριμένες περιστάσεις, συνθήκες και πληροφορίες όταν κάνει την επίθεση του. Περίοδοι εκπτώσεων, γιορτές και ημέρες όπως του Αγίου Βαλεντίνου αλλά ακόμη και περίοδοι συμπλήρωσης φορολογικών δηλώσεων είναι μόνο κάποια από τα παραδείγματα του spear phishing. Με λίγα λόγια, σε περιόδους που ο κόσμος έχει την τάση να ασχοληθεί ή να ανησυχεί περισσότερο για ένα συγκεκριμένο θέμα, γεγονός ή και υποχρέωση, οι επιθέσεις πληθαίνουν, κρύβονται μεταξύ των πραγματικών μηνυμάτων για προσφορές, δώρα ή ενημερώσεις και παγιδεύουν περισσότερους ανυποψίαστους χρήστες.

Και αυτή είναι και η λέξη-κλειδί: ανυποψίαστος είναι ο χρήστης που θα είναι εύκολος στόχος σε οποιαδήποτε από τις παραπάνω περιπτώσεις. Τα μέσα που χρησιμοποιούνται είναι και θα είναι ολοένα και περισσότερα, με σκοπό την πειστικότερη και αποτελεσματικότερη λειτουργία των κακόβουλων αυτών δραστηριοτήτων. Ωστόσο, ικανότερα και αποτελεσματικότερα μπορούν να είναι και τα μέτρα προστασίας που λαμβάνουμε για την ασφάλεια των δεδομένων μας. Μπορεί οι ορολογίες και οι μελέτες να μας ξενίζουν και να μας φαίνονται πολύ μακριά από μας, ασχέτως όμως του αν έχουν ονομασίες στα αγγλικά ή στερούνται ελληνικής απόδοσης, τα φαινόμενα αυτά απειλούν και τους χρήστες στη χώρα μας.

Η επένδυση στα YubiKeys, τον ασφαλέστερο παράγοντα επαλήθευσης ταυτότητας, που αντιπροσωπεύει για την Ελλάδα η Smart Management, είναι ζήτημα κοινής λογικής και κάθε χρήστης οφείλει να σκεφτεί σοβαρά τις ανάγκες ασφαλείας που έχει η δική του δραστηριότητα, είτε προσωπική είτε εταιρική. Το θέμα της ηλεκτρονικής ασφάλειας δεν είναι απλώς ένα trend, ούτε ευθύνη μόνο των παρόχων.

Έτσι όπως προστατεύουμε όλοι το σπίτι μας κλειδώνοντας την πόρτα, είναι καιρός να μάθουμε να «κλειδώνουμε» με τα σωστά κλειδιά, τα YubiKeys και τα δεδομένα μας, όταν «κυκλοφορούμε» στο διαδίκτυο.