Όπως ανέφερε και στο άρθρο του ο Δημήτρης Γεωργίου, «Στα κοινωνικά μέσα κρατήστε τα προσωπικά σας στοιχεία αυστηρά προσωπικά. Οι χάκερ μπορούν να ανατρέξουν με ευκολία στο προφίλ των κοινωνικών σας μέσων για να αντλήσουν στοιχεία για τους πιθανούς κωδικούς πρόσβασής σας και για να απαντήσουν σε ερωτήσεις ασφαλείας σε εργαλεία επαναφοράς κωδικών πρόσβασης»

Σε αυτό το άρθρο θα εστιάσουμε σε κάποιες από τις μεθόδους που χρησιμοποιούν οι κακόβουλοι hackers για να εκμεταλλευτούν τα ψηφιακά ίχνη που αφήνουμε, καθώς και μεθόδους για να τους κάνουμε «τη ζωή πιο δύσκολη».

Open Source INTeligence (OSINT)

Το OSINT είναι η διαδικασία κατά την οποία κάποιος μπορεί να μαζέψει και να συνδυάσει πληροφορίες για έναν άνθρωπο, που βρίσκονται σε διαφορετικές πηγές (Social Media, news sites, online forums κλπ). Υπάρχει πλειάδα δωρεάν και πολύ καλών εργαλείων που κάνει ακριβώς αυτό. Για παράδειγμα, μόνο από μία φωτογραφία τα εργαλεία αυτά μπορούν, σε λίγα λεπτά, να βρουν όλους τους λογαριασμούς του χρήστη, τις φωτογραφίες στις οποίες εμφανίζεται (ακόμα και αν είναι στο φόντο), τους φίλους και την οικογένειά του, την εργασία του, τα μέρη στα οποία συχνάζει και γενικά τις συνήθειές του και τα θέλω του.

Έτσι, μπορεί κάποιος να εκμεταλλευτεί αυτές τις πληροφορίες για να προσομοιώσει την ταυτότητα του θύματος (identity theft) σε τρίτους οργανισμούς. Για παράδειγμα, για τηλεφωνική αναγνώριση κάποιες τράπεζες ζητούν όνομα πατρός ή ημερομηνία γέννησης, στοιχεία που είναι εύκολο να βρει κανείς online.

Οι συνήθειές μας καθώς και το πού βρισκόμαστε σε μια δεδομένη στιγμή (π.χ. διακοπές σε ένα νησί), μπορεί να είναι πολύτιμες για αυτούς που θέλουν να εισβάλουν στο σπίτι μας ή έχουν σαν στόχο άτομα του περιβάλλοντός μας (παιδιά, ηλικιωμένους) που δεν μπορούν, φυσιολογικά ή πνευματικά, να αντιμετωπίσουν μια απάτη. Δεν είναι σπάνιο να στοχεύουν ηλικιωμένους που πενθούν ή έφηβους που είναι σε ρήξη με την οικογένειά τους, ως ευκολότερους στόχους.

Στο εργασιακό περιβάλλον, εάν κάποιος ερευνήσει τα Social Media όλων των υπαλλήλων και δει ότι ο Αντρέας είναι συνδεδεμένος με την Βάσω, η Βάσω με τον Γιάννη, αλλά ο Γιάννης δεν είναι με τον Αντρέα, μπορεί να πάρει τηλέφωνο τον Γιάννη και να του πει «Γεια σου, μου είπε η Βάσω να σε πάρω για να μου εγκρίνεις μια πληρωμή». Ο Γιάννης δεν γνωρίζει τον Αντρέα, αλλά μπορεί να επιβεβαιώσει ότι ανήκει στο προσωπικό της εταιρίας κάποιος με αυτό το όνομα, κοιτώντας το οργανόγραμμα, αλλά δεδομένου ότι είναι «γνωστός» της Βάσως, δεν θα σκεφτεί να ζητήσει περαιτέρω αποδείξεις ότι όντως μιλάει με αυτόν.

Watering Hole

Μια άλλη τεχνική εξόρυξης πληροφοριών είναι το watering hole. Όπως το λιοντάρι περιμένει δίπλα από τις λίμνες για να έρθει το θήραμα σε αυτό, έτσι και οι κακόβουλοι hackers παίρνουν πρόσβαση σε οργανισμούς/websites με χαμηλή ασφάλεια (π.χ. onomaperiodikou.gr, astrakaithriskia.com, mypetitionforthenewroad.eu κ.α.) από τα οποία παίρνουν όλες τις πληροφορίες των συνδρομητών και –  πολύ συχνά – το email και τους κωδικούς πρόσβασής τους. Από εκεί και πέρα είναι πολύ εύκολο να δοκιμάσουν τους κωδικούς αυτούς και σε υπηρεσίες με καλύτερες προδιαγραφές ασφαλείας (τράπεζες, Social Media κ.α.).

Profiling

H online κοινωνική μας ζωή μπορεί, σχετικά εύκολα, να δώσει πολύ ακριβή συμπεράσματα σε όποιους μελετήσουν τους συσχετισμούς. Για παράδειγμα, ο σεξουαλικός μας προσανατολισμός ή η πολιτική μας ιδεολογία, ακόμα και αν δεν τα εκφράζουμε δημοσίως, είναι πολύ πιθανό να είναι παρόμοια με την πλειονότητα των συνδέσμων μας στα κοινωνικά μέσα. Έτσι, ακόμα και αν δεν το λέω σε κανέναν, αν 8 στους 10 online φίλους μου έχουν το σήμα μιας συγκεκριμένης ομάδας στη φωτογραφία προφίλ τους, οι πιθανότητες λένε ότι και εγώ είμαι υποστηρικτής της ίδιας ομάδας. Οι παραπάνω συσχετισμοί μπορούν να χρησιμοποιηθούν σε διαφημιστικές καμπάνιες έως και σε ρατσιστικούς αποκλεισμούς / επιθέσεις.

Προστασία

Πώς μπορούμε λοιπόν να προστατευτούμε, σε ικανοποιητικό βαθμό, από τις παραπάνω και από άλλες επιθέσεις που χρησιμοποιούν ως βάση τα ψηφιακά μας ίχνη;

Το πρώτο πράγμα που θα πρέπει να κάνουμε είναι να μην χρησιμοποιούμε τον ίδιο κωδικό πρόσβασης σε πάνω από μία υπηρεσία. Είναι κατανοητό ότι δεν γίνεται να θυμόμαστε πολλούς διαφορετικούς κωδικούς (ειδικά αν είναι καλής ποιότητας). Προτείνεται λοιπόν η χρήση password managers, που αποθηκεύουν όλους τους κωδικούς μας και εμείς χρειάζεται να θυμόμαστε μόνο ένα master password.

Κατόπιν, θα πρέπει να προσέχουμε πού καταχωρούμε πραγματικές πληροφορίες για εμάς. Δεδομένα που βάζουμε σε φόρμες εγγραφής διαγωνισμών/κουπονιών/loyalty cards, σε ηλεκτρονική ή μη μορφή, δεν γνωρίζουμε σε πόσο ασφαλείς βάσεις δεδομένων θα καταλήξουν. Το ίδιο ισχύει και για ηλεκτρονικά καταστήματα καθώς και για food/grocery delivery υπηρεσίες. Αν θέλουμε να κάνουμε εγγραφή σε αυτά, καλό θα είναι να φτιάξουμε ένα alter ego μας, με πληροφορίες που θα θυμόμαστε κάθε φορά. Π.χ. Γιώργος Παπαδόπουλος του Ιωάννη, γεν. 1/1/1970, όνομα σκύλου Jack, πρώτο αυτοκίνητο Porsche. Θα μπορούμε λοιπόν να τα ανακαλέσουμε αν χρειαστεί (π.χ. σε περίπτωση που ξεχάσουμε τον κωδικό μας), αλλά θα είναι άχρηστα σε κάποιον που θα θέλει να τα χρησιμοποιήσει για να πάρει δάνειο στο όνομά μας.

Όταν πηγαίνουμε διακοπές ή ακόμη και σε μια συναυλία, καλό θα είναι να ανεβάζουμε φωτογραφίες ή/και video αφού επιστρέψουμε. Το ίδιο θα πρέπει να κάνουμε και για σημαντικά γεγονότα στη ζωή μας, καλά ή κακά.

Τέλος, καλό θα ήταν να έχουμε στο μυαλό μας το profiling που θα μπορούσε να γίνει με την online παρουσία μας και να κάνουμε πού-και-πού κάποιες κινήσεις που θα το μπερδέψουν (π.χ. like στη σελίδα άλλης ομάδας).

Γενικά, στον κόσμο του internet, όταν πρόκειται να δώσουμε κάποια πληροφορία, θα πρέπει να φανταζόμαστε ότι την δίνουμε σε έναν πραγματικό άνθρωπο που βρίσκεται πίσω από ένα γραφείο ή ακόμα και στον δρόμο, και να φιλτράρουμε τα δεδομένα που δίνουμε με τον ίδιο τρόπο. Εν τέλει, το κάθε website είναι ο υπολογιστής κάποιου άλλου…

Με το νέο Πρόγραμμα ασφάλισης από τους κινδύνους του διαδικτύου "My Cyber Protection" της Eurolife FFH, απολαμβάνεις με ηρεμία την περιήγησή σου στο διαδίκτυο καθώς καλύπτεσαι για μη έγκυρες online αγορές, για απώλεια χρημάτων από τραπεζικό λογαριασμό καθώς και για κλοπή ψηφιακής ταυτότητας. 

____________________________________________________________________________________

*Γιάννη Κουκούρας - Founder & MD της TwelveSec

Σύντομο Βιογραφικό

Με σχεδόν 20 χρόνια εμπειρίας στον χώρο της Κυβερνοασφάλειας, πριν ιδρύσει την TwelveSec, ο Γιάννης έχει συνεργαστεί με σημαντικούς για το χώρο οργανισμούς και επιχειρήσεις παγκοσμίως. Με την TwelveSec έχει ως σκοπό να δημιουργήσει το κατάλληλο περιβάλλων για επαγγελματίες του χώρου που έχουν το ίδιο πάθος για την ασφάλεια να συνεργαστούν χωρίς την γραφειοκρατία που συναντάτε σε πιο παραδοσιακούς οργανισμους. Ο Γιάννης έχει ένα BEng in Electronic Engineering από το Πανεπιστήμιο του Lancaster καθώς και ενα MSc in Computer Systems Security απο το Πανεπιστήμιο του Glamorgan. Είναι μέλος του ISACA, του (ISC)2, καθώς και του Hellenic (ISC)2 chapter. Στο παρελθόν έχει υπάρξει και προπονητής της Ελληνικής Εθνικής Ομάδας Κυβερνοασφάλειας