Skip to content

Phishing & Social Engineering

Οι περισσότερες παραβιάσεις ασφαλείας δεν γίνονται με σπάσιμο κρυπτογράφησης, αλλά εκμεταλλεύονται τον ανθρώπινο παράγοντα. Η Κοινωνική Μηχανική (Social Engineering) είναι η τέχνη της χειραγώγησης των ανθρώπων ώστε να αποκαλύψουν ευαίσθητες πληροφορίες.


1. Phishing (Ηλεκτρονικό Ψάρεμα)

Section titled “1. Phishing (Ηλεκτρονικό Ψάρεμα)”

Το Phishing είναι μια επίθεση όπου ο επιτιθέμενος στέλνει ένα παραπλανητικό μήνυμα (e-mail, SMS, chat) προσποιούμενος μια έμπιστη οντότητα (τράπεζα, συνεργάτη, κρατική υπηρεσία), με σκοπό να σας πείσει να:

  • Κάνετε κλικ σε έναν κακόβουλο σύνδεσμο (link).
  • Ανοίξετε ένα μολυσμένο έγγραφο (π.χ. τιμολόγιο PDF/Word με malware).
  • Εγκαταστήσετε κάποιο λογισμικό.
  • Μοιραστείτε τα στοιχεία σύνδεσής σας (credentials).

🚩 Σημάδια μιας επίθεσης Phishing:

Section titled “🚩 Σημάδια μιας επίθεσης Phishing:”
  • Ύποπτη Διεύθυνση Αποστολέα: Το email φαίνεται να είναι από την “PayPal” αλλά η διεύθυνση είναι support@paypal-security-update.com (typosquatting).
  • Αίσθηση Επείγοντος (Sense of Urgency): “Ο λογαριασμός σας θα κλειδωθεί σε 24 ώρες! Επαληθεύστε τα στοιχεία σας τώρα!”.
  • Γενικοί Χαιρετισμοί: “Αγαπητέ πελάτη” αντί για το όνομά σας.
  • Κακή Γραμματική/Σύνταξη: Συχνά τα μηνύματα είναι μεταφρασμένα αυτόματα και περιέχουν λάθη.
  • Χρήση Password Manager με Auto-fill: Οι password managers θυμούνται το ακριβές domain της ιστοσελίδας. Αν βρεθείτε σε μια ψεύτικη σελίδα phishing (π.χ. faсebook.com με κυριλλικό χαρακτήρα), ο password manager δεν θα συμπληρώσει αυτόματα τον κωδικό σας, προστατεύοντάς σας από το λάθος.
  • Επαλήθευση εκτός καναλιού: Αν λάβετε ένα περίεργο μήνυμα από ένα φίλο ή συνεργάτη, καλέστε τον στο τηλέφωνο ή στείλτε του μήνυμα από άλλο κανάλι (π.χ. Signal) για να επιβεβαιώσετε αν το έστειλε όντως αυτός.
  • Ασφαλές άνοιγμα αρχείων: Μην ανοίγετε ύποπτα αρχεία απευθείας στον υπολογιστή σας. Ανεβάστε τα σε μια cloud υπηρεσία (π.χ. Google Docs preview) ή στο VirusTotal για έλεγχο.

2. Spearphishing (Στοχευμένο Ψάρεμα)

Section titled “2. Spearphishing (Στοχευμένο Ψάρεμα)”

Το Spearphishing είναι μια εξαιρετικά στοχευμένη μορφή phishing.

  • Πώς λειτουργεί: Ο επιτιθέμενος έχει μελετήσει το θύμα (OSINT) και γνωρίζει τις σχέσεις του, τη δουλειά του και τον τρόπο που μιλάει. Μπορεί να προσποιηθεί τον διευθυντή της εταιρείας σας, έναν στενό συνεργάτη ή ένα μέλος του hacklab.
  • Deepfakes: Με τη χρήση AI, οι επιτιθέμενοι μπορούν πλέον να μιμηθούν τη φωνή (voice cloning) ή ακόμα και την εμφάνιση (video deepfakes) ενός έμπιστου προσώπου σε μια κλήση.

🛡️ Άμυνα κατά του Spearphishing:

Section titled “🛡️ Άμυνα κατά του Spearphishing:”
  • Κανάλι Επαλήθευσης: Επικοινωνήστε με το πρόσωπο μέσω ενός δεύτερου, προκαθορισμένου ασφαλούς καναλιού.
  • Μυστικό Ερώτημα: Κάντε μια ερώτηση για κάτι που γνωρίζετε μόνο οι δυο σας και δεν υπάρχει στο Internet ή στα social media.

Η ασφάλεια δεν αφορά μόνο το software, αλλά και το φυσικό μας περιβάλλον όταν χρησιμοποιούμε συσκευές σε δημόσιους χώρους (καφετέριες, τρένα, hackerspaces).

  • Shoulder Surfing: Η υποκλοπή κωδικών, PIN ή μηνυμάτων από κάποιον που κοιτάζει την οθόνη ή το πληκτρολόγιό σας πάνω από τον ώμο σας.
  • Visual Hacking: Η λήψη φωτογραφιών της οθόνης σας ή εγγράφων στο γραφείο σας.

🛡️ Πρακτικές Προστασίας:

Section titled “🛡️ Πρακτικές Προστασίας:”
  • Θέση Οθόνης: Τοποθετείτε πάντα την πλάτη σας στον τοίχο όταν εργάζεστε σε δημόσιους χώρους. Αποφύγετε να κάθεστε μπροστά από καθρέφτες ή παράθυρα.
  • Φίλτρα Προστασίας (Privacy Screen Filters): Ειδικές μεμβράνες για την οθόνη του laptop και του κινητού που κάνουν την οθόνη μαύρη όταν κάποιος την κοιτάζει υπό γωνία.
  • Κλείδωμα Συσκευών: Κλειδώνετε πάντα την οθόνη (π.χ. Win + L στα Windows, Super + L στο Linux) ακόμα κι αν σηκωθείτε για 5 δευτερόλεπτα.
  • Διαχείριση Χαρτιού: Μην πετάτε στα σκουπίδια post-it με σημειώσεις ή έγγραφα που περιέχουν προσωπικά δεδομένα. Χρησιμοποιείτε καταστροφέα εγγράφων (shredder).
  • Προσοχή στις ομιλίες: Μην συζητάτε ευαίσθητα θέματα, κωδικούς ή τηλέφωνα σε δημόσιους χώρους όπου μπορούν να σας ακούσουν.