Τον τελευταίο καιρό μπορεί να ακούτε όλο και περισσότερο για «κακόβουλο λογισμικό», «κυβερνοεπιθέσεις», «εκβιασμούς στον κυβερνοχώρο», «παραβιάσεις συστημάτων», «σκοτεινό διαδίκτυο» και «χάκερ». Αυτό ισχύει γιατί τα τελευταία χρόνια το Διαδίκτυο γίνεται ολοένα και περισσότερο τόπος τέλεσης εγκλημάτων, και οι εγκληματίες που το προτιμούν γίνονται ολοένα και ικανότεροι στις τεχνικές εκμετάλλευσης των θυμάτων τους, με αποτέλεσμα κάθε χρόνο παγκοσμίως να πέφτουν θύματα απάτης στον κυβερνοχώρο εκατομμύρια καταναλωτές και επιχειρήσεις με ζημιές που ξεπερνούν τα μερικά τρισ. δολάρια. 

Τι είναι το κυβερνοέγκλημα;

Το κυβερνοέγκλημα είναι εγκληματική δραστηριότητα που στοχεύει έναν υπολογιστή, ένα δίκτυο υπολογιστών ή μια δικτυωμένη (ή κάποιες φορές και μη-δικτυωμένη) ηλεκτρονική συσκευή ή χρησιμοποιεί τα παραπάνω για την τέλεση εγκλημάτων. Τα περισσότερα εγκλήματα στον κυβερνοχώρο διαπράττονται από εγκληματίες που για συντομία αποκαλούνται «χάκερ», και οι οποίοι πρωτίστως θέλουν να κερδίσουν εύκολα χρήματα. Πιο σπάνια το έγκλημα στον κυβερνοχώρο έχει κίνητρο άλλο από το παράνομο κέρδος, όπως π.χ. ιδεολογικά ή προσωπικά συμφέροντα – ωστόσο η ζημιά που προκαλεί είναι εξίσου πραγματική.

Κάποιοι κυβερνοεγκληματίες είναι καλά οργανωμένοι, χρησιμοποιούν προηγμένες τεχνικές και έχουν υψηλή τεχνική ικανότητα. Άλλοι είναι αρχάριοι χάκερ που αναζητούν εύκολη λεία σε άτομα ή επιχειρήσεις που δεν έχουν επίγνωση των κινδύνων, ώστε να έχουν αναπτύξει κουλτούρα και μέτρα κυβερνοασφάλειας.

Ορισμένα παραδείγματα διαφόρων τύπων κυβερνοεγκλήματος είναι:

• Κλοπή στοιχείων ταυτότητας ή λογαριασμών ανυποψίαστων προσώπων που έπειτα πωλούνται ή χρησιμοποιούνται για εγκληματικούς σκοπούς.
• Κοινωνική μηχανική, δηλ. απάτη μέσω ηλεκτρονικού ταχυδρομείου, μηνυμάτων ή τηλεφώνου με σκοπό να καθοδηγήσει τα θύματα να αποκαλύψουν πληροφορίες ή να κάνουν ενέργειες που υπό άλλες συνθήκες δεν θα έκαναν (π.χ. να αποκαλύψουν κωδικούς πρόσβασης ή να δώσουν πρόσβαση στον υπολογιστή τους).
• Απάτη μέσω πλαστογράφησης ηλεκτρονικού ταχυδρoμείου, όπου συνήθως εισάγονται στην ροή της επικοινωνίας παρένθετα μηνύματα με σκοπό να επιτευχθεί αναδρομολόγηση πληρωμών από το θύμα προς τραπεζικούς λογαριασμούς που ελέγχει ο κυβερνοεγκληματίας.
• Κλοπή και πώληση στοιχείων καρτών πληρωμών με σκοπό τη χρέωση λογαριασμών ανυποψίαστων προσώπων.
• Επιθέσεις κακόβουλου λογισμικού με σκοπό την παραβίαση συστημάτων για περαιτέρω παράνομη εκμετάλλευση για εγκληματικούς σκοπούς.
• Κυβερνοεκβίαση, δηλ. απαίτηση χρημάτων για την αποτροπή μιας επαπειλούμενης κυβερνοεπίθεσης, για την απελευθέρωση κλειδωμένων συστημάτων ή αρχείων δεδομένων ή για την αποτροπή δημοσίευσης υποκλαπέντος ιδιωτικού υλικού.
• Παράνομη παρακολούθηση, υποκλοπή ή υπεξαγωγή ιδιωτικών, ανταγωνιστικών ή εμπιστευτικών δεδομένων (π.χ. από υπαλλήλους, συγγενικά πρόσωπα, συνεταίρους κ.ά.).
• Κρυπτοπειρατεία, όπου οι δράστες παράνομα εξορύσσουν κρυπτονομίσματα χρησιμοποιώντας υπολογιστικούς πόρους που δεν τους ανήκουν.
• Κυβερνοκατασκοπεία, όπου οι δράστες παίρνουν παράνομη πρόσβαση σε κυβερνητικά ή εταιρικά δεδομένα με σκοπό την παράνομη συλλογή πληροφοριών ή την πώληση στον υψηλότερο πλειοδότη.
• Άρνηση υπηρεσίας, δηλαδή παρέμβαση σε συστήματα με τρόπο που σταματά τη λειτουργία τους ή θέτει σε κίνδυνο ένα δίκτυο.
• Παραβίαση πνευματικών δικαιωμάτων, όπως για παράδειγμα κατέβασμα «σπασμένου» λογισμικού, ταινιών ή μουσικής ή χρήση μη αδειοδοτημένου φωτογραφικού υλικού.
• Πώληση παράνομων αντικειμένων στο Διαδίκτυο, κυρίως στο «Σκοτεινό Διαδίκτυο».
• Διάδοση, παραγωγή ή κατοχή ηλεκτρονικού υλικού παιδικής πορνογραφίας.
• Παράνομος διαδικτυακός τζόγος.

Πώς μπορούμε να προστατευτούμε από το κυβερνοέγκλημα;

Το κυβερνοέγκλημα είναι μια πραγματικότητα και όσο λιγότερα γνωρίζουμε για αυτό, τόσο πιθανότερο είναι να πέσουμε θύμα του.

Δείτε παρακάτω μια σειρά από απλές συμβουλές που μπορούν να σας βοηθήσουν να μείνετε ασφαλείς:

Διαχείριση Προσωπικών Συσκευών

• Κρατήστε τα μηχανήματά σας καθαρά από μη κατάλληλα αδειοδοτημένο λογισμικό και άλλο παράνομο υλικό, το οποίο αποτελεί μια πρώτης τάξης ευκαιρία για τους χάκερ, οι οποίοι το μολύνουν με ιούς με σκοπό να μετατρέψουν τον υπολογιστή ή τη φορητή σας συσκευή σε «ζόμπι» υπό τις εντολές τους, θέτοντας την προσωπική σας ασφάλεια σε κίνδυνο.

• Να γνωρίζετε ότι και άλλες εξωτερικές συσκευές, όπως USB και κάρτες μνήμης μπορεί να μολυνθούν από ιούς και κακόβουλα προγράμματα. Χρησιμοποιήστε το λογισμικό ασφαλείας του υπολογιστή ή της φορητής συσκευής σας για σάρωση.

• Ενεργοποιήστε τις αυτόματες ενημερώσεις για να διατηρήσετε ενημερωμένους τους υπολογιστές και τις φορητές συσκευές σας με τις τελευταίες ενημερώσεις που προσφέρουν οι κατασκευαστές εξοπλισμού και λογισμικού.

• Χρησιμοποιήστε ένα επώνυμο σύγχρονο λογισμικό ασφάλειας κατά του κακόβουλου λογισμικού και των άλλων διαδικτυακών απειλών. Προτιμήστε λύσεις που διαθέτουν και προσωπικό τείχος προστασίας (personal firewall).

• Ενεργοποιήστε αυτόματους τρόπους λήψης αντιγράφων ασφαλείας για τη μουσική, τις φωτογραφίες και τα άλλα πολύτιμα ψηφιακά σας αρχεία, αποθηκεύοντάς τα με ασφάλεια σε κάποιο ασφαλές μέρος – ίσως στο cloud.

Έλεγχος Πρόσβασης

• Ορίστε ισχυρούς κωδικούς πρόσβασης διαφορετικούς για κάθε λογαριασμό ή ιστοσελίδα. Ένας ισχυρός κωδικός πρόσβασης έχει μήκος τουλάχιστον οκτώ χαρακτήρες και περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων. Χρησιμοποιήστε ένα λογισμικό διαχείρισης κωδικών για τους διατηρήσετε ασφαλείς έχοντας να θυμάστε ένα μόνο ισχυρό κωδικό.

• Προστατεύετε πάντα το ασύρματο οικιακό σας δίκτυο με κωδικό πρόσβασης WPA2/WPA3. Όταν συνδέεστε σε δημόσια δίκτυα Wi-Fi, προσέξτε τι πληροφορίες στέλνετε μέσω αυτών. Χρησιμοποιήστε μόνο γνωστά σας ασφαλή ασύρματα δίκτυα για την εκτέλεση οικονομικών συναλλαγών.

• Κλειδώστε τα στοιχεία σύνδεσής σας σε διάφορους λογαριασμούς υπηρεσιών ενεργοποιώντας την πρόσθετη απαίτηση για βιομετρικά στοιχεία, κλειδιά ασφαλείας ή έναν μοναδικό κωδικό μέσω μιας εφαρμογής αυθεντικοποίησης στην κινητή συσκευή σας. Ο απλός συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης δεν επαρκεί για την προστασία βασικών λογαριασμών όπως είναι το email, οι τραπεζικοί σας λογαριασμοί και η πρόσβαση στα κοινωνικά μέσα.

Χρήση διαδικτύου και συναλλαγές

• Συνειδητοποιήστε ότι όλες οι προσωπικές πληροφορίες που κοινοποιείτε στο διαδίκτυο, μπορούν να χρησιμοποιηθούν από τους απατεώνες, για να διαπράξουν διαδικτυακή απάτη σε βάρος σας ή ακόμα και για να σας επιτεθούν στον φυσικό χώρο.

• Να είστε σε εγρήγορση για τις πολύ συχνές απάτες ηλεκτρονικού ψαρέματος με ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου και ιστότοπους που προσπαθούν να σας εξαπατήσουν για να αποκαλύψετε πληροφορίες σύνδεσης π.χ, σε λογαριασμούς υπηρεσιών του διαδικτύου, σε τράπεζες, στον ΕΦΚΑ ή στο Taxis. Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα ή αναδυόμενα παράθυρα από πηγές που δεν γνωρίζετε.

• Στα κοινωνικά μέσα κρατήστε τα προσωπικά σας στοιχεία αυστηρά προσωπικά. Οι χάκερ μπορούν να ανατρέξουν με ευκολία στο προφίλ των κοινωνικών σας μέσων, για να αντλήσουν στοιχεία για τους πιθανούς κωδικούς πρόσβασης σας και για να απαντήσουν σε ερωτήσεις ασφαλείας σε εργαλεία επαναφοράς κωδικών πρόσβασης. Ορίστε αυστηρές ρυθμίσεις απορρήτου και αποφύγετε την ανάρτηση στοιχείων όπως τα γενέθλια, οι διευθύνσεις, το πατρικό όνομα της μητέρας σας κ.λπ.. Να είστε προσεκτικοί με τα αιτήματα για σύνδεση από άτομα που δεν γνωρίζετε.

• Πριν πραγματοποιήσετε συναλλαγές στο διαδίκτυο, βεβαιωθείτε ότι η διεύθυνση ιστού ξεκινά με https. Επίσης, ελέγξτε αν εμφανίζεται ένα μικρό σύμβολο κλειδωμένου λουκέτου στη σελίδα.

• Διαβάστε τις πολιτικές απορρήτου και προστασίας δεδομένων του ιστότοπου. Αν και μακροσκελείς και περίπλοκες, οι πολιτικές αυτές σας λένε πώς ο ιστότοπος προστατεύει τις προσωπικές πληροφορίες που συλλέγει. Εάν δεν βρίσκετε ή δεν κατανοείτε την πολιτική απορρήτου ενός ιστότοπου, ίσως θα έπρεπε να εξετάσετε την πιθανότητα να πάτε αλλού.

• Αν κάτι που συναντάτε στον κυβερνοχώρο σας προκαλεί αμφιβολία, απορρίψτε το. Οι σύνδεσμοι σε μηνύματα ηλεκτρονικού ταχυδρομείου, δημοσιεύσεις κοινωνικών μέσων και σε διαφημίσεις είναι ο τρόπος, με τον οποίο οι εγκληματίες στον κυβερνοχώρο προσπαθούν να κλέψουν τα προσωπικά σας στοιχεία. Ακόμα κι αν γνωρίζετε την πηγή, αν κάτι φαίνεται ύποπτο, διαγράψτε το.

• Μείνετε ενημερωμένοι από αξιόπιστους ιστότοπους για τις πιο πρόσφατες πληροφορίες κυβερνοπροστασίας και μοιραστείτε τες με φίλους, συγγενείς και συναδέλφους και ενθαρρύνετε τους να γνωρίσουν πώς να προστατευτούν. Μη διστάζετε να ρωτάτε.

• Να είστε προσεκτικοί με επικοινωνίες που σας παρακινούν να ενεργήσετε αμέσως, να αποδεχτείτε κάτι που ακούγεται πολύ καλό για να είναι αληθινό ή να δίνετε προσωπικές πληροφορίες.

• Βοηθήστε τις αρχές να καταπολεμήσουν το έγκλημα στον κυβερνοχώρο αναφέροντας άμεσα συμβάντα παραβίασης, κλοπή στοιχείων πρόσβασης, αμφισβητούμενες ηλεκτρονικές συναλλαγές και διαρροές προσωπικών δεδομένων.

Η φύση των κυβερνοεπιθέσεων και η ταυτότητα των επιτιθέμενων είναι ίσως δύσκολο να προσδιοριστεί και να προβλεφθεί. Μια επίθεση μπορεί να συμβεί (και έχει συμβεί) σε μικρές και μεγάλες επιχειρήσεις και σε άτομα με διαφορετικό μορφωτικό ή κοινωνικό υπόβαθρο. Παρόλα αυτά, η αξιόπιστη ενημέρωση σχετικά με τα μέτρα ασφαλείας που μπορούμε να υιοθετήσουμε μπορεί να αποτρέψει μια κυβερνοεπίθεση εναντίον μας.

Το κυβερνοέγκλημα δεν κάνει διακρίσεις.

Γι’αυτό όλοι πρέπει να προστατευτούμε.

____________________________________________________________________________________

*Δημήτρης Γεωργίου M.Sc. M.A. MBCS MIEEE ACM CPSP CPFA CISSP Chief Security Officer - Partner | Alphabit A.E. Treasurer | (ISC)2 Hellenic Chapter

Σύντομο Βιογραφικό

O Δημήτρης Γεωργίου γεννήθηκε στην Αθήνα το 1974 και από το 2002 απασχολείται επαγγελματικά στον κλάδο της Πληροφορικής παρακολουθώντας πολλές εκπαιδεύσεις και αποκτώντας σύνθετες ειδικεύσεις συμμετέχοντας σε πλειάδα έργων Πληροφορικής. Το 2007 λαμβάνει Master στην Επιστήμη Υπολογιστών από Βρετανικό Πανεπιστήμιο με έπαινο. To 2012 εμβαθύνει τη δραστηριότητά του στο χώρο της Πληροφορικής και ασχολείται ενεργά με το επιχειρείν, ενώ παράλληλα εμβαθύνει σε θέματα Ασφάλειας Πληροφοριών όπου το 2017 αποκτά την διεθνούς κύρους πιστοποίηση CISSP και γίνεται μέλος του International Information Systems Security Certification Consortium (ISC)2.

Ασχολείται ενεργά με πρακτικά και θεσμικά θέματα κυβερνοασφάλειας (cybersecurity), ψηφιακής εγκληματολογίας (digital forensics), διακυβέρνησης της πληροφορίας και θεσμικής συμμόρφωσης (information governance and compliance), ενώ κατέχει διεθνείς πιστοποιήσεις στην ασφάλεια πληρωμών και στην ανάλυση ψηφιακών πειστηρίων. Σήμερα είναι Chief Security Officer-Partner στην Alphabit Α.Ε., μέλος του Δ.Σ. του (ISC)2 Hellenic Chapter, μέλος του British Computer Society (BCS), του Institute of Electrical and Electronics Engineers (IEEE) και του Association for Computing Machinery (ACM). 

Μιλάει και γράφει εθελοντικά για θέματα κυβερνοασφάλειας και προστασίας των παιδιών από τους κινδύνους του διαδικτύου.