Phishing: Μια νέα μέθοδος εξαπάτησης στο Διαδίκτυο

Μια νέα μορφή ηλεκτρονικού εγκλήματος με τον όρο Phising, που έχει κάνει πρόσφατα την εμφάνισή του και στη χώρα μας, γνωρίζει ραγδαία αύξηση των κρουσμάτων παγκοσμίως, αποτελώντας μια από τις βασικότερες απειλές μέσω διαδικτύου.  

Τι είναι το Phishing;
Το Phishing είναι μια νέα μέθοδος εξαπάτησης των καταναλωτών ενός οργανισμού, συνήθως κερδοσκοπικού και συνίσταται κυρίως στην απατηλή υφαρπαγή των εμπιστευτικών πληροφοριών των καταναλωτών, όπως προσωπικά ή ευαίσθητα δεδομένα, οικονομικά δεδομένα κ.λπ., με σκοπό την παράνομη χρήση τους από τον Phisher για την πρόκληση βλάβης ξένης περιουσίας.

Με τη βοήθεια κυρίως της απρόσκλητης εμπορικής επικοινωνίας-το γνωστό Spam-ή χρησιμοποιώντας bots για την αυτοματοποιημένη στόχευση των υποψήφιων θυμάτων τους ή άλλες παρόμοιες μεθόδους, οι Phishers, εμφανιζόμενοι κυρίως στο διαδίκτυο ως εκπρόσωποι ενός οργανισμού, τα χαρακτηριστικά του οποίου έχουν αντιγράψει παράνομα. Έτσι, προβαίνουν σε δόλιες πράξεις ή παραλείψεις, με τις οποίες πείθουν τα στοχευμένα θύματά τους, τα οποία ενδέχεται να είναι άδηλα, ν’ αποκαλύψουν ή να εισάγουν σε σύστημα ηλεκτρονικών υπολογιστών στοιχεία της ταυτότητάς τους και εμπιστευτικές πληροφορίες. Σκοπός τους είναι να χρησιμοποιήσουν αυτές τις πληροφορίες, για να προσπορίσουν στον εαυτό τους ή σε τρίτον, παράνομο περιουσιακό όφελος, προξενώντας βλάβη σε περιουσιακά στοιχεία των θυμάτων τους.

Η ονομασία Phishing αναφέρεται χρησιμοποιούμενη για πρώτη φορά το 1996 από χάκερς, που έκλεβαν ή παράνομα ιδιοποιούνταν τους λογαριασμούς νομίμων χρηστών της εταιρίας America Online (AOL), με παράνομη χρήση κωδικών πρόσβασης, που ανήκαν σε ανυποψίαστους χρήστες- συνδρομητές της AOL. Η πρώτη αναφορά στο Διαδίκτυο για το Phishing έγινε σε news-group χάκερς, γνωστό ως alt.2600, τον Ιανουάριο του 1996 και η πρώτη αναφορά των μέσων ενημέρωσης στο Phishing χρονολογείται το Μάρτιο του 1997.

Πώς γίνεται το Phising;
Οι επιθέσεις Phishing συνίστανται σ’ ένα μείγμα δόλιας χρήσης τεχνολογικών μέσων, αποβλέποντας στην εξαπάτηση των καταναλωτών (technical deceit) και εφαρμοσμένων μηχανιστικών πρακτικών εξαπάτησης (social engineering practices). Σε όλες τις περιπτώσεις επιθέσεων Phishing, ο Phisher υποδύεται τον εκπρόσωπο έμπιστης πηγής πληροφοριών, που δήθεν σχετίζεται με το θύμα, προκειμένου να πείσει το θύμα να του αποκαλύψει εμπιστευτικές πληροφορίες ή να προβεί σε πράξεις αποκάλυψης της ταυτότητας του θύματος. Συνήθως, ο Phisher επικοινωνεί με το υποψήφιο θύμα του και ισχυρίζεται ότι εργάζεται σε τράπεζα ή άλλη εταιρία, που μπορεί να σχετίζεται με το λήπτη της επικοινωνίας, δίνοντάς του όλες τις απαραίτητες λεπτομέρειες για την πιστοποίησή του- ονοματεπώνυμο, αριθμός εργαζομένου, τηλέφωνο για επιβεβαίωση των στοιχείων του κ.λπ. Εν συνεχεία, ο Phisher ενημερώνει το λήπτη της επικοινωνίας του, ότι δήθεν, η πιστωτική του κάρτα ή ο τραπεζικός λογαριασμός του έχουν καταχωρηθεί σε λίστα παρακολούθησης για ασυνήθιστη συναλλακτική συμπεριφορά. Κατά την επικοινωνία του, ο Phisher επιχειρεί ν’ αλιεύσει, ρωτώντας το θύμα του, κάθε πληροφορία που θα μπορούσε εν συνεχεία να χρησιμοποιήσει για να απαλείψει κάθε αμφιβολία του θύματος για την ταυτότητα του προσώπου, με το οποίο επικοινωνεί. Αφού επιτύχει την πλάνη του θύματος, αναφορικά με την ταυτότητα του Phisher, με παράσταση ψευδών γεγονότων ως αληθινών ή αθέμιτη απόκρυψη ή παρασιώπηση αληθινών γεγονότων, o Phisher οδηγεί το θύμα σε πράξεις περιουσιακής διάθεσης, από τις οποίες άμεσα ή έμμεσα αποκομίζει περιουσιακό όφελος ο Phisher, επί ζημία του διαθέτοντος. Η επικοινωνία στις επιθέσεις Phishing μπορεί να διεξαχθεί με ηλεκτρονικό ταχυδρομείο, με χρήση πλαστών διαδικτυακών τόπων, με εργαλεία στιγμιαίας επικοινωνίας, με τηλεφωνική επικοινωνία και με χρήση παραβιασμένων ως προς την ασφάλειά τους διακομιστών- servers.
Ποια η ποινική αντιμετώπιση του Phishing ;
Η ποινική αντιμετώπιση του Phishing κατά το ελληνικό δίκαιο, γίνεται ως επί το πλείστον, με τη βασική διάταξη περί απάτης, το άρθρο 386 του Ποινικού Κώδικα και τούτο, διότι ο Phisher χρησιμοποιεί τον ηλεκτρονικό υπολογιστή ως μέσο για την παραπλάνηση του θύματός του. Δεν χρησιμοποιείται η διάταξη του άρθρου 386 Α Π.Κ., που προστέθηκε με το άρθρο 5 του Ν. 1805/1988 – τιτλοφορείται ως «Απάτη με υπολογιστή» και είναι ευρύτερα γνωστή ως διάταξη για την αντιμετώπιση της ηλεκτρονικής απάτης – διότι η βλάβη δεν επέρχεται αποκλειστικά και μόνο με τον επηρεασμό των στοιχείων του ηλεκτρονικού υπολογιστή από τον Phisher, αλλά ο δράστης προβαίνει με τις πράξεις του στην παραπλάνηση φυσικού προσώπου, με τη χρήση του ηλεκτρονικού υπολογιστή ως αναγκαίου μέσου για την διάπραξη του εγκλήματος. Ο Phisher, χειριζόμενος τον ηλεκτρονικό υπολογιστή με σκοπό ν’ αποκομίσει ο ίδιος ή άλλος παράνομο περιουσιακό όφελος, βλάπτοντας ξένη περιουσία, διαμορφώνει ένα ψευδές αποτέλεσμα, το ανακοινώνει σε κάποιον ως αληθινό και τον πείθει να προβεί σε πράξη, παράλειψη ή ανοχή, συνήθως σχετική με καταχώρηση πληροφοριακών δεδομένων του θύματος, που επιφέρει μετάθεση περιουσιακών στοιχείων. Στις περισσότερες των περιπτώσεων Phishing, ο αιτιώδης σύνδεσμος μεταξύ του επηρεασμού των στοιχείων ηλεκτρονικού υπολογιστή και της περιουσιακής βλάβης του θύματος, δεν είναι άμεσος, αλλά έμμεσος, με την έννοια ότι μεταξύ του επηρεασμού των στοιχείων ηλεκτρονικού υπολογιστή και της περιουσιακής βλάβης του θύματος, παρεμβάλλεται ανθρώπινη συμπεριφορά.

Ποιες μέθοδοι Phishing χρησιμοποιούνται ;

Οι περισσότερες επιθέσεις Phishing, συνήθως γίνονται με χρήση ηλεκτρονικού ταχυδρομείου. Οι συνηθέστερες μέθοδοι που χρησιμοποιούνται για επιθέσεις Phishing με ηλεκτρονικό ταχυδρομείο, περιλαμβάνουν:

1. Χρήση ηλεκτρονικής αλληλογραφίας, που μοιάζει να έχει σταλεί από έμπιστη πηγή.
2. Χρήση αντιγράφων ηλεκτρονικής αλληλογραφίας, στα οποία έχουν γίνει αλλαγές σε περιεχόμενα URLs και hyperlinks.
3. Χρήση HTML ηλεκτρονικής αλληλογραφίας, στην οποία έχουν γίνει αλλαγές σε περιεχόμενα URLs και hyperlinks.
4. Χρήση ιών (viruses) και σκουληκιών (worms) συνημμένων σε ηλεκτρονική αλληλογραφία.
5. Χρήση αντι-spam εργαλείων.
6. Χρήση εξατομικευμένης ηλεκτρονικής αλληλογραφίας.
7. Χρήση ηλεκτρονικής αλληλογραφίας, με τροποποιημένη ένδειξη αποστολέα-‘Mail From:’ Σε συνδυασμό με χρήση Open Mail Relays διακομιστών, για την απόκρυψη της προέλευσης της ηλεκτρονικής αλληλογραφίας. 

Οι συνηθέστερες μέθοδοι που χρησιμοποιούνται για επιθέσεις Phishing με χρήση πλαστών διαδικτυακών τόπων, περιλαμβάνουν:

1. Εισαγωγή παραπλανητικών hyperlinks σε δημοφιλείς διαδικτυακούς τόπους.
2. Χρήση παραπλανητικών γραφικών ή διαφημιστικών πινακίδων (banners κ.λπ.), με σκοπό να δελεάσουν τους επισκέπτες του διαδικτυακού τόπου που τα περιέχει, για να κάνουν click σ’ αυτά.
3. Χρήση διαδικτυακών bugs, ικανών να ιχνηλατήσουν την επισκεψιμότητα και συμπεριφορά των καταναλωτών, στο διαδικτυακό τόπο που τα περιέχει.
4. Χρήση pop-ups ή frameless windows για τη μεταμφίεση της αληθινής προέλευσης του ηλεκτρονικού μηνύματος του Phisher.
5. Ενσωμάτωση κακόβουλου λογισμικού κώδικα μέσα σε ιστοσελίδα ή διαδικτυακό τόπο, που εκμεταλλεύεται μια γνωστή αδυναμία ασφαλείας των browsers των καταναλωτών και εγκαθιστά στο υπολογιστικό σύστημα των καταναλωτών λογισμικό της επιλογής του Phisher (π.χ. Key-loggers, Screen-grabbers, Back-doors, Trojan Horses, Wabbits, Viruses, Worms, Spyware, Exploits, Rootkits, Dialers κ.λπ.).
6. Κατάχρηση προδιαγραφών σχέσεων εμπιστοσύνης, δημιουργημένων στα πλαίσια λογισμικών browsing- φυλλομετρητών ιστοσελίδων στο Διαδίκτυο- με σκοπό τη διείσδυση στα υπολογιστικά συστήματα των καταναλωτών και την τοποθέτηση εγκεκριμένων εκτελέσιμων λογισμικών προγραμμάτων-site-authorized scriptable components-στις περιοχές αποθήκευσης δεδομένων των υπολογιστικών συστημάτων των καταναλωτών.

Η τυπολογία των συνηθέστερων επιθέσεων Phishing με στόχο την εξαπάτηση του καταναλωτή, περιλαμβάνει:

1. Επιθέσεις διαμεσολαβητή (man-in-the-middle επιθέσεις).
2. Επιθέσεις που στοχεύουν στην αλλοίωση URL (URL obfuscation επιθέσεις).
3. Cross-site scripting επιθέσεις.
4. Preset session επιθέσεις.
5. Υποκρυπτόμενες επιθέσεις (hidden επιθέσεις).
6. Επιθέσεις παρακολούθησης πληροφοριακών δεδομένων (observing customer data επιθέσεις).

Αναφορικά με τις man–in–the–middle επιθέσεις, ο Phisher τοποθετείται μεταξύ του καταναλωτή και μίας εφαρμογής- υπηρεσίας- διαχείρισης πληροφοριακών δεδομένων στο Διαδίκτυο, υποκλέπτοντας και ιδιοποιούμενος παράνομα όλο το περιεχόμενο της επικοινωνίας του καταναλωτή, με το σύστημα επί του οποίου ‘τρέχει’ η εφαρμογή διαχείρισης πληροφοριακών δεδομένων. Από αυτή τη θέση του μεσάζοντα, ο Phisher, στη man-in-the-middle επίθεση, μπορεί να παρατηρήσει και να καταγράψει όλες τις  επικοινωνίες και συναλλαγές του θύματος. Οι επιθέσεις που στοχεύουν στην αλλοίωση ενός URL, περιλαμβάνουν διάφορες μεθόδους, όπως για παράδειγμα, την περίπτωση του bad domain names, όπου ο Phisher κάνει χρήση ενός server, στον οποίο οδηγεί τους καταναλωτές, μέσω του domain name που χρησιμοποιεί,  προκειμένου να τους παραπλανήσει. Είναι σημαντικό να σημειωθεί εδώ, ότι καθώς η εκχώρηση ονόματος χώρου είναι ήδη δυνατή στην Ελλάδα, όπως και σε άλλες χώρες, με χρήση χαρακτήρων της επίσημης γλώσσας του κράτους, που είναι άλλη από την αγγλική γλώσσα, γίνεται ευκολότερο να δημιουργηθεί παραπλανητικό όνομα χώρου με χρήση χαρακτήρων της επίσημης γλώσσας του κράτους, δηλαδή στην Ελλάδα, με χρήση χαρακτήρων της ελληνικής γλώσσας.
Στην περίπτωση των friendly login URLs, οι Phishers εκμεταλλεύονται εφαρμογές browsers, που επιτρέπουν τη δημιουργία και χρήση σύνθετων URLs, τα οποία περιλαμβάνουν πληροφορίες πιστοποίησης των καταναλωτών. Στην περίπτωση των third-party shortened URLs, οι Phishers κάνουν κακόβουλη χρήση υπηρεσιών εταιριών, που προσφέρουν υπηρεσίες και εφαρμογές σύντμησης URLs, που είτε γίνονται μακροσκελή είτε πολύ σύνθετα, ως συνέπεια διαφόρων εφαρμογών διαχείρισης πληροφοριακών δεδομένων. Οι Phishers επιτίθενται σε τέτοιες εταιρίες και μέσω αυτών σε οργανισμούς, που εμπιστεύονται οι καταναλωτές. Στην περίπτωση του host name obfuscation, οι Phishers κάνουν χρήση μίας IP διεύθυνσης, αντικαθιστώντας εν όλω ή εν μέρει ένα URL. Στις επιθέσεις cross-site scripting, που είναι επίσης γνωστές και ως CSS ή XSS, οι Phishers κάνουν χρήση ενός κατάλληλα διαμορφωμένου URL ή λογισμικού κώδικα, εισαγόμενου σε διαδικτυακή εφαρμογή ή πεδίο καταχώρησης δεδομένων. Στην περίπτωση των presetsession επιθέσεων, οι Phishers κάνουν χρήση διαμορφωμένων Session Identifiers (SessionIDs) για ν’ αποκτήσουν πρόσβαση σε ελεγχόμενο διαδικτυακό περιβάλλον και να εξαπολύσουν την επίθεσή τους μέσα από αυτό, ενώ στις Hidden επιθέσεις, ο Phisher χρησιμοποιεί λογισμικό κώδικα, που μπορεί να εκτελεστεί από τους browsers των καταναλωτών και να χρησιμοποιηθεί για να υπαγορεύσει τον τρόπο παρουσίασης πληροφοριακού υλικού, που ο καταναλωτής αναζητά στο Διαδίκτυο. Στις επιθέσεις τύπου observing customer data, ο Phisher παρακολουθεί και υποκλέπτει εμπιστευτικά πληροφοριακά δεδομένα, κατά τη διάρκεια που αυτά εισάγονται από το θύμα σε μία διαδικτυακή εφαρμογή. 

Τεχνολογικά μέσα προστασίας από επιθέσεις Phishing
Η χρήση τεχνολογικών μέσων για την προστασία από επιθέσεις Phishing, αφορά σε τεχνολογίες ασφαλείας πληροφοριακών συστημάτων και ενδείκνυται να γίνεται σε τουλάχιστον τρία επίπεδα προστασίας:

1. Client-side επίπεδο
2. Cerver-side επίπεδο
3. Services-provider-side επίπεδο

Client-side επίπεδο:
Το επίπεδο client-side αφορά στην αντιμετώπιση του προβλήματος του Phishing από τους τελικούς χρήστες- καταναλωτές (end-users). Στο επίπεδο αυτό μπορεί να γίνει χρήση των εξής τεχνολογιών ασφαλείας πληροφοριακών συστημάτων:

1. Χρησιμοποίηση desktop protection agents
1. anti-virus προστασία
2. προσωπικό firewall
3. σύστημα αναγνώρισης ενεργειών παραβίασης της ασφάλειας του συστήματος (intrusion detection system προστασία)
4. προστασία από την απρόσκλητη εμπορική επικοινωνία (anti-spam προστασία)
5. προστασία από κακόβουλα, κυρίως κατασκοπευτικά, λογισμικά προγράμματα (malware και spyware προστασία)
2. Κατάλληλη διαρρύθμιση των παραμέτρων επικοινωνίας 
3. Απενεργοποίηση των παραμέτρων του λογισμικού προγράμματος φυλλομέτρησης ιστοσελίδων 
1. η λειτουργία window popup
2. η υποστήριξη Java runtime
3. η υποστήριξη ActiveX λειτουργίας  
4. η αυτοματοποιημένη εκτέλεση πολυμεσικών εφαρμογών (multimedia auto-play και auto-execute extensions)
5. η αποθήκευση μη ασφαλών (non-secure) cookies
4. Χρησιμοποίηση ψηφιακής υπογραφής και πιστοποίησης ηλεκτρονικής αλληλογραφίας
5. Εγρήγορση σε ζητήματα ασφαλείας 

Server–side επίπεδο:
Το επίπεδο server-side αφορά στην αντιμετώπιση του προβλήματος του Phishing από τα εκτεθειμένα σε ενδεχόμενη επίθεση Phishing πληροφοριακά συστήματα, μίας επιχείρησης ή ενός οργανισμού. Οι προτεινόμενες λύσεις για την αντιμετώπιση του προβλήματος στο επίπεδο αυτό, περιλαμβάνουν:

1. Διαρκή εγρήγορση των συνδεόμενων με το πληροφοριακό σύστημα καταναλωτών, αναφορικά με ζητήματα ασφαλείας 
1. διαρκή υπενθύμιση της φύσης του προβλήματος και της τυπολογίας των επιθέσεων
2. εξασφάλιση στους συνδεόμενους με το πληροφοριακό σύστημα καταναλωτές, μίας μεθόδου εύκολης και γρήγορης αναφοράς επιθέσεων Phishing.
3. παροχή οδηγιών στους συνδεόμενους με το πληροφοριακό σύστημα καταναλωτές, σχετικών με την επαλήθευση της γνησιότητας του περιεχομένου ενός διαδικτυακού τόπου ενός οργανισμού.
4. δημιουργία σαφούς και πλήρους πλαισίου κανόνων επικοινωνιακής πολιτικής ενός οργανισμού και χρήση αυτού. 
5. άμεση ανταπόκριση και λήψη μέτρων αντιμετώπισης επιθέσεων Phishing, που έχουν αναφερθεί δια της διαμορφωμένης και επιλεγμένης μεθόδου αναφοράς αυτών.
2. Πιστοποίηση προέλευσης πληροφοριών. 
3. Χρησιμοποίηση token-based συστημάτων πιστοποίησης. 

Services provider–side επίπεδο:
Στο επίπεδο services provider-side αντιμετωπίζεται το πρόβλημα του Phishing από πάροχους υπηρεσιών. Οι προτεινόμενες λύσεις για την αντιμετώπιση του προβλήματος στο επίπεδο αυτό, περιλαμβάνουν:

1. Αυτοματοποιημένη πιστοποίηση των email server διευθύνσεων.
2. Ψηφιακή υπογραφή των e-mails.
3. Ανίχνευση του Διαδικτύου για ενδεχόμενη εκχώρηση σε τρίτον και χρήση από αυτόν, των ονομάτων χώρου ενός οργανισμού.
4. Περιμετρική προστασία, με gateway protection agents.
5. gateway anti-virus σκανάρισμα
6. gateway anti-spam φιλτράρισμα
7. gateway φιλτράρισμα περιεχομένου
8. Ενεργή και διαρκής παρακολούθηση του Διαδικτύου.