Διαδικτυακό Ψάρεμα ή Phishing

By: John Tsipas 0 comments

Phishing

Το phishing είναι η πράξη με την οποία κάποιος προσπαθεί να αποκτήσει πληροφορίες, όπως ονόματα χρηστών, κωδικούς πρόσβασης καθώς και στοιχεία πιστωτικών καρτών (και συνήθως άμεσα ή έμμεσα χρήματα), αφού έχει μεταμφιεστεί σε μια αξιόπιστη οντότητα μιας ηλεκτρονικής επικοινωνίας.
 
Οι ανακοινώσεις που υποτίθεται ότι είναι από δημοφιλείς κοινωνικές ιστοσελίδες, ιστοσελίδες δημοπρασιών, απευθείας σύνδεση επεξεργαστών πληρωμής ή διαχειριστές, συνήθως χρησιμοποιούνται για να δελεάσουν το ανυποψίαστο κοινό. Phishing emails μπορεί να περιέχουν συνδέσμους προς ιστοσελίδες που έχουν μολυνθεί με κακόβουλο λογισμικό.  
Το phishing συνήθως εκτελείται από πλαστογραφημένο e-mail ή instant messaging, και συχνά κατευθύνει τους χρήστες να εισάγουν τα στοιχεία σε μια πλαστή ιστοσελίδα, η εμφάνιση και αίσθηση της οποίας είναι σχεδόν πανομοιότυπη με τη νόμιμη. 

Το phishing είναι ένα από τα παραδείγματα της τεχνικής κοινωνικής μηχανικής που χρησιμοποιούνται για να εξαπατήσουν τους χρήστες, και εκμεταλλεύεται την κακή χρηστικότητα των σημερινών τεχνολογιών ασφαλείας web. 

Οι προσπάθειες για την αντιμετώπιση του αυξανόμενου αριθμού των αναφερόμενων περιστατικών phishing περιλαμβάνουν τη νομοθεσία, την εκπαίδευση των χρηστών, την ευαισθητοποίηση του κοινού και τεχνικά μέτρα ασφαλείας.
Μια τεχνική phishing περιγράφεται με λεπτομέρεια το 1987 και (σύμφωνα με τον δημιουργό του) η πρώτη καταγεγραμμένη χρήση του όρου «phishing» έγινε το 1995. 

Ο όρος είναι μια παραλλαγή της αλιείας, πιθανώς επηρεασμένος από phreaking, και παραπέμπει στο «δόλωμα». Χρησιμοποιείται με την ελπίδα ότι το ενδεχόμενο θύμα θα "δαγκώνει" κάνοντας κλικ σε ένα κακόβουλο link ή το άνοιγμα ενός κακόβουλου αρχείου, προγραμματισμένου να αντιγράψει οικονομικά στοιχεία ή και κωδικούς πρόσβασης.
Η μέθοδος “phishing” συχνά συνδέεται με την αθέμιτη απόκτηση δεδομένων ή τη διάπραξη απάτης στο διαδίκτυο. 

H έκφραση “phishing” προέρχεται από την συνήθεια των hackers να χαρακτηρίζουν τους ηλεκτρονικούς τόπους στους οποίους έχουν πρόσβαση “phish”.
 
Ειδικότερα, ως “phishing” χαρακτηρίζεται η αποστολή ηλεκτρονικών μηνυμάτων (e-mails) που σκοπό έχουν να προκαλέσουν την κλοπή εμπιστευτικών στοιχείων που ανήκουν στον παραλήπτη του ηλεκτρονικού μηνύματος. Τα ηλεκτρονικά αυτά μηνύματα δίνουν την εντύπωση πως προέρχονται από κάποια τράπεζα και ζητούν από τον παραλήπτη με διάφορες δικαιολογίες και προφάσεις την αποκάλυψη ευαίσθητων δεδομένων, π.χ. τον αριθμό τραπεζικού λογαριασμού του, τον προσωπικό αριθμό αναγνώρισης (PIN). 

Αν ο ανυποψίαστος παραλήπτης αποκαλύψει τις πληροφορίες αυτές, οι δράστες (phishers) “εισβάλλουν” άμεσα στο λογαριασμό του και, αφού μεταφέρουν χρήματα από αυτόν τον λογαριασμό σε άλλον, τον αδειάζουν.
Επειδή η μέθοδος “phishing” βασίζεται στην πλάνη του θύματος με σκοπό την περιουσιακή του ζημία, είναι προφανές ότι οι Phishers μέσω αυτής προσπορίζουν στον εαυτό τους ή/και σε τρίτους παράνομο περιουσιακό όφελος. 

Επειδή δε οι δράστες έχουν γνώση και θέληση σχετικά με την παράνομη δραστηριότητά τους, συμπεραίνεται ότι το “phishing” συνιστά απάτη, κατά το άρθρο 386 του Ποινικού Κώδικα, σύμφωνα με το οποίο «όποιος με σκοπό να αποκομίσει ο ίδιος ή άλλος παράνομο περιουσιακό όφελος βλάπτει ξένη περιουσία πείθοντας κάποιον σε πράξη, παράλειψη ή ανοχή με την εν γνώσει παράσταση ψευδών γεγονότων σαν αληθινών ή την αθέμιτη απόκρυψη ή παρασιώπηση αληθινών γεγονότων τιμωρείται με φυλάκιση τουλάχιστον τριών μηνών και αν η ζημία που προξενήθηκε είναι ιδιαίτερα μεγάλη, με φυλάκιση τουλάχιστον δύο ετών».

Pharming

Η τεχνική του “pharming” αποτελεί μέθοδο εξαπάτησης μέσω του διαδικτύου παρόμοια με το “phishing” αλλά σαφώς πιο επικίνδυνη από αυτό. Ένα ειδικό πρόγραμμα εκμεταλλεύεται κενά ασφαλείας του συστήματος, διεισδύει στον υπολογιστή του θύματος και το επηρεάζει κατά τέτοιο τρόπο, ώστε, ακόμα κι αν ο χρήστης πληκτρολογεί τη σωστή διεύθυνση του διαδικτυακού τόπου που θέλει να επισκεφτεί, θεωρώντας πως βρίσκεται σε ασφαλή χώρο, ο συγκεκριμένος υπολογιστής τον “οδηγεί” μόνο σε πλαστές ιστοσελίδες. Ειδικότερα, αν πρόκειται για ιστοσελίδα τράπεζας, η προσπάθεια του θύματος να πραγματοποιήσει τις συναλλαγές του μέσω on-line banking καταλήγει στη μεταφορά των χρημάτων του στους δράστες (pharmers).

Είναι σαφές ότι η αύξηση των ωρών χρήσης του διαδικτύου πολλαπλασιάζει τον κίνδυνο εγκατάστασης προγραμμάτων που καθιστούν δυνατό το “pharming”, το οποίο βαθμιαία εξελίσσεται σε μία από τις σοβαρότερες μορφές εγκληματικότητας στο διαδίκτυο.
Η μέθοδος “pharming” αποτελεί ένα είδος διείσδυσης μέσω του διαδικτύου, χωρίς τη συναίνεση του νόμιμου κατόχου των στοιχείων. 

Συνεπώς, η μέθοδος αυτή, εφόσον είναι ολοφάνερο ότι τελείται με δόλο, συνιστά παραβίαση απορρήτου κατά το άρθρο 370 Γ § 2 του Ποινικού Κώδικα, σύμφωνα με το οποίο «όποιος αποκτά πρόσβαση σε στοιχεία που έχουν εισαχθεί σε υπολογιστή ή σε περιφερειακή μνήμη υπολογιστή ή μεταδίδονται με συστήματα τηλεπικοινωνιών, εφόσον οι πράξεις αυτές έγιναν χωρίς δικαίωμα, ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε λάβει ο νόμιμος κάτοχός τους, τιμωρείται με φυλάκιση μέχρι τρεις μήνες ή με χρηματική ποινή τουλάχιστον 29,00 € (…)».

Συμπερασματικά, οι ανωτέρω δύο μέθοδοι μπορούν να τιμωρηθούν, σύμφωνα με τις ισχύουσες διατάξεις του Ποινικού Κώδικα. Για την αντιμετώπιση τέτοιων φαινομένων κρίνεται απαραίτητη η λήψη τεχνικών μέτρων ασφαλείας, καθώς και η ευαισθητοποίηση των χρηστών του Ίντερνετ, ώστε να μην γίνονται εύκολα θύματα των phishers και των pharmers.