Βικιπαίδεια

Phishing: Διαφορά μεταξύ των αναθεωρήσεων

Περιήγηση ιστορικού διαδραστικά
← Προηγούμενη διαφοράΕπόμενη διαφορά →
Περιεχόμενο που διαγράφηκε Περιεχόμενο που προστέθηκε
ΟπτικήΚώδικας wiki
διόρθωση ορθογραφικού
μΧωρίς σύνοψη επεξεργασίας
Γραμμή 1:
ToΤο '''Phishing''' είναι ενέργεια εξαπάτησης των χρηστών του [[διαδίκτυο|διαδικτύου]], κατά την οποία ο 'θύτης' υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-'θύματος', με σκοπό την αθέμιτη απόκτηση [[Προσωπικά δεδομένα|προσωπικών δεδομένων]], όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί<ref>{{cite book|authors=Ramzan, Zulfikar|chapter=Phishing attacks and countermeasures|editors=Stamp, Mark & Stavroulakis, Peter|title=Handbook of Information and Communication Security|publisher=Springer|year=2010|isbn=9783642041174|url=http://books.google.com/books?id=I-9P1EkTkigC&pg=PA433}}</ref><ref>Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.</ref>.
 
Αν ήταν εφικτό να αποδώσουμε τον όρο στα Ελληνικά, θα μπορούσαμε κάλλιστα να το αποκαλέσουμε 'Ηλεκτρονικό Ψάρεμα', κι αυτό γιατί αγγλικός όρος δεν απέχει πολύ από αυτό. Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον [[χάκερ]] Khan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό 'fishing' (ψάρεμα)<ref>{{cite web
Γραμμή 39:
=== Επιθέσεις phishing σε εταιρίες-κολοσσούς ===
 
Η [[Google]] Inc., η οποία εξυπηρετεί σήμερα πολλούς περισσότερους από 200 εκατομμύρια χρήστες με την υπηρεσία g-mail, το 2010 κατηγόρησε την [[Κίνα]] για εσκεμμένη επίθεση στη [[βάση δεδομένων]] της που είχε ξεκινήσει ήδη από το 2009. Η εταιρία βασίστηκε σε μία διαδικτυακή μελέτη, στην οποία οι ίδιοι οι χρήστες αποδείκνυαν με τις καταγραφές τους πως είχαν πέσει θύματα Spear-Phishing. Το 2011 η εταιρία εξαπέλυσε για άλλη μία φορά κατηγορίες προς την Κίνα, στραφόμενηστρεφόμενη προς την ίδια την κυβέρνηση. Σύμφωνα με την επίσημη θέση της εταιρίας 'Hackers με βάση τo Jinan της Κίνας, επιχείρησαν να πραγματοποιήσουν επίθεση Phishing προς χρήστες της υπηρεσίας, συμπεριλαμβανομένου αμερικανικού κυβερνητικού και στρατιωτικού προσωπικού, ακτιβιστών και άλλων ισχυρών προσώπων, εξαπατώντας τους και αποσπώντας τους προσωπικούς τους κωδικούς'. H δημόσια ανακοίνωση του [[Ομοσπονδιακό Γραφείο Ερευνών|Ομοσπονδιακού Γραφείου Ερευνών]] (FBI) σε σχέση με την ασφάλεια των ευαίσθητων κρατικών μυστικών, ήταν πως τα στοιχεία δεν είναι επαρκή για περισσότερη δράση πάνω σε αυτό, αφού δεν εντοπίστηκαν επιτυχημένες επιθέσεις προς συγκεκριμένους κυβερνητικούς και στρατιωτικούς αντιπροσώπους. Η Κινεζική κυβέρνηση αρνήθηκε τις κατηγορίες, αν και αργότερα αποκαλύφθηκαν σε ένα τηλεοπτικό ντοκυμαντέρντοκιμαντέρ στοιχεία που ενοχοποιούν τον Κινεζικό Κομμουνιστικό Στρατό. Στη συνέχεια η εταιρία, ανακοίνωσε προς απάντηση πως έχει λάβει τα απαραίτητα μέτρα για την προστασία των χρηστών και έχει ενημέρωσει τις σχετικές αρχές. Πολλές μεγάλες εταιρίες και οργανισμοί, όπως η [[Lockheed Martin]], η [[Microsoft]] και η [[Yahoo]], έχουν αναφερθεί στο βάρος που δίνεται στην ασφάλεια και προστασία των προσωπικών δεδομένων των χρηστών τους, αλλά λίγες σε επιθέσεις phishing που επιχειρούνται εις βάρος τους. Σύμφωνα με την Google, οι περισσότερες από αυτές τις εταιρίες, ενώ πλήττονται συχνά από επιθέσεις phishing, επιλέγουν την στρατηγική να μην το δημοσιοποιούν.
 
=== To Phishing Σήμερα - Στατιστικά Στοιχεία ===
 
Υπάρχουν διάφοροι οργανισμοί που πραγματοποιούν εντατικές μελέτες σχετικά με το πρόβλημα του Phishing και παρουσιάζουν τις στατιστικές που προκύπτουν στους ιστότοπους τους. Τα Στατιστικα στοιχεία που προκύπτουν από τις έρευνες της APWG, δείχνουν τον μέσο όρο επίθεσης κάθε μήνα για τα τελευταία 7 χρόνια (μέχρι το 2013). Σύμφωνα με τις αναφορές της APWG, οι αναφορές επιθέσεων αυξήθηκαν ιδιαίτερα το 2009, ενώ το 2010 σημείωσαν πτώση, και από τότε σταδιακά αυξάνονται. Ο αριθμός ιστοσελίδων που παρουσιάστηκε τέτοιου είδους δραστηριότητα παρουσιάζει σχεδόν κάθε χρόνο αύξηση, με μία μικρή πτώση το 2011. Ο αριθμός των εταιριών που έπεσαν θύμα ενεργειών phishing κατακατά μέσο όρο, αυξάνεται και αυτός κάθε χρόνο.
 
Σύμφωνα με την παγκόσμια Έρευνα Global Corporate IT Security Risks 2013, που πραγματοποιήθηκε από τη B2B International σε συνεργασία με την Kaspersky Lab, στην οποία έλαβαν μέρος και στελέχη του ΙΤ από την Ελλάδα, το 69% των Ελλήνων στελεχών που συμμετείχε, ανέφερε ότι οι εταιρείες τους δέχτηκαν επιθέσεις με διάφορα είδη κακόβουλων επιθέσεων (ο παγκόσμιος μέσος όρος ανέρχεται σε 66% για το 2013, έχοντας σημειώσει αύξηση σε σχέση με το 58% του 2012). Οι επιθέσεις phishing στοχοποίησαν το 46% των επιχειρήσεων (36% σε παγκόσμιο επίπεδο), με το phishing να παραμένει στην κορυφαία τριάδα των πιο διαδεδομένων απειλών που χρησιμοποιούνται σε εξωτερικές επιθέσεις ενάντια σε εταιρείες. Οι κακόβουλες επιθέσεις είναι στην πραγματικότητα ο Νο 1 λόγος πίσω από τις σοβαρές διαρροές εμπιστευτικών δεδομένων — το 22% των εταιρειών παγκοσμίως και το 21% των εταιρειών στην Ελλάδα ανέφεραν ότι έχουν υποστεί διαρροές δεδομένων έπειτα από τέτοιου είδους επιθέσεις. Τις περισσότερες φορές, αυτά τα περιστατικά σημειώνονται σε μικρού και μεσαίου μεγέθους επιχειρήσεις (23%), ενώ οι μεγάλες εταιρείες γίνονται στόχος των κακόβουλων επιθέσεων λιγότερο συχνά (17%). Οι διαρροές δεδομένων είναι αποτέλεσμα επιθέσεων phishing πιο περιστασιακά, με το 5% των επιχειρήσεων σε παγκόσμιο επίπεδο να αντιμετωπίζουν παρόμοια περιστατικά. Στην Ελλάδα, αυτό το ποσοστό είναι μόλις 3%. Ωστόσο, το ποσοστό των μεγάλων εταιρειών που έχασαν δεδομένα λόγω επιθέσεων phishing είναι λίγο υψηλότερο (6%) από το αντίστοιχο ποσοστό για τις μικρομεσαίες επιχειρήσεις (5%). <ref name="imerisia">[http://www.imerisia.gr/article.asp?catid=27200&subid=2&pubid=113148140 Malware, spam και phishing: Οι απειλές που αντιμετωπίζουν συχνότερα οι εταιρείες], Άρθρο στην imerisia.gr, Στήλη Τεχνολογία (2013) </ref>
Γραμμή 72:
Εάν ένα phishing website καταφέρει να συνδυάσει όλα τα παραπάνω, στις περισσότερες περιπτώσεις έχει κατα 90% επιτυχημένες επιθέσεις.
 
=== ΠοιοίΠοιοι είναι οι στόχοι των Phishers και οι κίνδυνοι ===
 
Οι hackers έχουν συνήθως οικονομικούς σκοπούς, για αυτό το λόγο στοχεύουν στις περισσότερες περιπτώσεις σε τραπεζικούς λογαριασμούς, ή λογαριασμούς στους οποίους οι χρήστες εμπιστεύονται τα προσωπικά τους δεδομένα για να κάνουν συναλλαγές. Σε άλλες περιπτώσεις, το phishing γίνεται εργαλείο για spamming, προώθηση κακόβουλου λογισμικού, διαφημιστικά.
Γραμμή 82:
=== Υπάρχουσες νομοθεσίες ===
 
Το Διαδίκτυο είναι μη ελεγχόμενο, με την έννοια ότι δεν υπάρχει κάποια ενιαία κυβερνητική ή άλλη αντίστοιχη αρχή, η οποία θα ελέγχει το περιεχόμενό του πριν αυτό δημοσιευθεί. Ωστόσο οι κρατικές υπηρεσίες και η αστυνομία κάθε χώρας, καθώς και οι αντίστοιχες νομοθετικές ρυθμίσεις, παρεμβαίνουν για την αναστολή των αξιόποινων πράξεων που διαπράττονται μέσω Διαδικτύου. Από το 2004 έως σήμερα έχει καταγραφεί μεγάλος αριθμός συλλήψεων ανά τον κόσμο για ηλεκτρονικά εγκλήματα που έχουν διαπραχθεί μέσω της μεθόδου phishing. Επιπλέον, πρέπει να σημειώσουμε πως το 2006 θεσπίστηκε η «Fraud Act» στο Ηνωμένο Βασίλειο η οποία ορίζει την ηλεκτρονική απάτη ως αδίκημα το οποίο τιμωρείται με ποινή φυλάκισης έως και 10 ετών και απαγορεύει ρητά τη δημιουργία ή κατοχή εργαλείων ηλεκτρονικού ψαρέματος. Ακόμη, το 2005 θεσπίστηκε στις Ηνωμένες πολιτείες η «Anti-Phishing Act», νομοθεσία που καταδικάζει σε ποινή φυλάκισης 5 ετών την κλοπή ταυτότητας μέσω παραποιημένων εταιρικών ιστοσελίδων ή μυνημάτων ηλεκτρονικού ταχυδρομείου. Όσον αφορά την ελληνική νομοθεσία δηλώνεται ρητά πως εφόσον οι δράστες έχουν γνώση και θέληση σχετικά με την παράνομη δραστηριότητά τους, συμπεραίνεται ότι το «phishing» συνιστά απάτη, κατά το άρθρο 386 του Ποινικού Κώδικα, σύμφωνα με το οποίο «όποιος με σκοπό να αποκομίσει ο ίδιος ή άλλος παράνομο περιουσιακό όφελος βλάπτει ξένη περιουσία πείθοντας κάποιον σε πράξη, παράλειψη ή ανοχή με την εν γνώσει παράσταση ψευδών γεγονότων σαν αληθινών ή την αθέμιτη απόκρυψη ή παρασιώπηση αληθινών γεγονότων τιμωρείται με φυλάκιση τουλάχιστον τριών μηνών και αν η ζημία που προξενήθηκεπροκλήθηκε είναι ιδιαίτερα μεγάλη, με φυλάκιση τουλάχιστον δύο ετών». <ref name="WREpoinikoskwdikas">[http://www.xan.gr/binary/PenalCodeSpecificPart.pdf Ποινικός Κώδικας Ειδικό Μέρος], Ελληνικός Ποινικός Κώδικας </ref>
 
=== Eνημέρωση του κοινού ===
Γραμμή 94:
Μερικές τεχνικές αντιμετώπισης του Phishing είναι:
 
*Λήψη προγράμματωνπρογραμμάτων περιήγησης που αναγνωρίζουν τους ιστοτόπους στους οποίους παραπέμπουν τα παραπλανητικά μηνύματα μέσω διαφορετικού URL
*Χρήση λογισμικού προστασίας ενάντια σε ιούς και προγράμματα κατασκοπείας (Anti-spyware).
*Λήψη προγραμμάτων anti-spam για προστασία email
Ανακτήθηκε από "https://el.wikipedia.org/wiki/Phishing"