TM_94

6 23|6|2022 #094 Οι περισσότεροι δεν ανησυχούμε για το shoulder surfing, δηλαδή για αυτούς που κλέβουν τα στοιχεία μας κρυφοκοιτάζοντας πάνω από τον ώμο μας. Θεωρούμε ότι μπορού- με να εντοπίσουμε κάποιον που κρύβε- ται πίσω μας με τα μάτια του καρφωμέ- να στην οθόνη μας. Αλλά οι απατεώνες χρειάζεται να σταθούν τυχεροί μόνο μία φορά. Και τους δίνουμε πολλές ευκαιρίες κατά τη διάρκεια μιας εργάσιμης ημέρας. Ο Jake Moore, ειδικός σε θέματα κυβερ- νοασφάλειας από την εταιρεία ESET, απο- κάλυψε πρόσφατα δύο περιπτώσεις όπου κατάφερε να αποκτήσει τα στοιχεία σύν- δεσης των διαδικτυακών λογαριασμών φίλων του, έχοντας τη συγκατάθεσή τους. Η έρευνά του υπογραμμίζει πόσο εκτε- θειμένοι είμαστε σε έμπειρους επιτιθέμε- νους, ειδικά σε περιβάλλοντα όπως μπαρ, καφετέριες και εστιατόρια. 1. Snapchat surfing: Στο πρώτο του πεί- ραμα, ο Τζέικ έβαλε στοίχημα με έναν φίλο του ότι θα μπορούσε να υποκλέψει τον λογαριασμό του στο Snapchat, ακό- μη και αυτόν που προστατεύεται από έλεγχο ταυτότητας δύο παραγόντων. Χρησιμοποιώντας τη λειτουργία επανα- φοράς κωδικού πρόσβασης, πληκτρο- λόγησε τον αριθμό τηλεφώνου του φί- λου του και επέλεξε την επιλογή να του σταλεί μήνυμα με κωδικό επιβεβαίωσης. Κρυφοκοιτάζοντας το μήνυμα επιβεβαί- ωσης όταν αυτό εμφανίστηκε στην αρ- χική οθόνη του κινητού του φίλου του, μπόρεσε να πάρει τον πλήρη έλεγχο του λογαριασμού του. Ακόμη και ένας δεύτε- ρος κωδικός SMS που στάλθηκε ως επι- βεβαίωση αγνοήθηκε από τον κάτοχο του λογαριασμού, αλλά παρατηρήθηκε και χρησιμοποιήθηκε από τον Jake. Βέ- βαια, ένας επιτιθέμενος μπορεί να μην γνωρίζει τον αριθμό τηλεφώνου του θύ- ματός του, αλλά μπορεί να είναι σε θέση να τον βρει στο διαδίκτυο από προηγου- μένως παραβιασμένα αρχεία δεδομένων ή αξιοποιώντας ανοικτές πηγές πληροφο- ρίων, συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης. Καλώντας τον χρήστη και προσποιούμενος τον υπάλ- ληλο της εν λόγω εταιρείας μέσων κοι- νωνικής δικτύωσης, ένας εισβολέας θα μπορούσε θεωρητικά να ξεγελάσει τον χρήστη και να του παραδώσει τον κωδι- κό SMS που παρέλαβε. Φυσικά, αυτό δεν είναι μια αντιπροσωπευτική περίπτωση υποκλοπής στοιχείων από επιτιθέμενους που κοιτάζουν κρυφά πάνω από τον ώμο μας. Φανταστείτε όμως ένα περιβάλλον γραφείου ή σχολείου, όπου συνάδελφοι ή παιδιά μπορεί να βρίσκονται κοντά σε χρήστες των οποίων τους αριθμούς τηλε- φώνου γνωρίζουν. 2. Προβλήματα με το PayPal: Σε ένα παρόμοιο δεύτερο πείραμα, ο Jake έβα- λε στοίχημα με έναν φίλο του ότι θα μπορούσε να υποκλέψει έναν από τους διαδικτυακούς λογαριασμούς του. Αυτή τη φορά πήγε στη σελίδα σύνδεσης του PayPal για να ζητήσει επαναφορά του κω- δικού πρόσβασης. Γνωρίζοντας το email του χρήστη, το πληκτρολόγησε και επέ- λεξε την επιλογή ελέγχου ασφαλείας ενός κωδικού SMS που εστάλη στο τηλέφωνό του. Με παρόμοιο τρόπο με το παραπάνω παράδειγμα, ο Jake μπόρεσε να κατασκο- πεύσει κρυφά τη συσκευή του φίλου του καθώς αναβόσβηνε ο κωδικός. Έτσι, απέ- κτησε πρόσβαση στο λογαριασμό PayPal του φίλου του. Για άλλη μια φορά, ο επιτι- θέμενος πρέπει να γνωρίζει το email του θύματος, είτε μέσω του shoulder surfing, είτε βρίσκοντας ένα email που έχει παρα- βιαστεί προηγουμένως σε μια σκοτεινή ιστοσελίδα, είτε με άλλα μέσα. Στη συ- νέχεια, θα πρέπει να βρεθεί κοντά στον χρήστη για να εντοπίσει τον κωδικό επι- βεβαίωσης καθώς αναβοσβήνει. Και πάλι, ένα γραφείο ή ένα σχολείο θα ήταν το ιδανικό μέρος. Ωστόσο, αν ένας shoulder surfer είχε επικεντρωθεί σε έναν στόχο που εργάζεται σε δημόσιο χώρο για αρ- κετή ώρα, οι πιθανότητες είναι ότι τελικά θα εντόπιζε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του. Τι θα μπορούσε να σημαίνει για εσάς το shoulder surfing; Το επιχείρημα εδώ είναι ότι σε πολλές πε- ριπτώσεις είναι ακόμα πολύ εύκολο για τους κακόβουλους παράγοντες να υπερ- πηδήσουν τον πήχη ασφαλείας - ειδικά αν έχουν τη δυνατότητα να βρίσκονται κοντά στον φορητό υπολογιστή ή τη συ- σκευή σας. Πάρα πολλοί από εμάς επι- τρέπουν στις ειδοποιήσεις να αναβοσβή- νουν στις οθόνες μας. Μπορεί να έχουμε ευαισθητοποιηθεί τόσο πολύ που τις αγνοούμε. Όμως εκείνοι που κοιτάζουν πάνω από τον ώμο μας δεν το κάνουν. Εί- ναι ιδιαίτερα σημαντικό ότι το θύμα στο παραπάνω παράδειγμα της PayPal εργα- ζόταν στον τομέα της κυβερνοασφάλει- ας για 20 και πλέον χρόνια. Αν μπορεί να πέσει θύμα απάτης με αυτόν τον τρόπο, πολλοί άλλοι θα πάθαιναν το ίδιο. Μόλις ένας κακόβουλος δράστης απο- κτήσει πρόσβαση στο λογαριασμό σας, θα μπορούσε: • Να αλλάξει τους κωδικούς και στη συνέχεια να εκβιάσει τα θύματά του για να τους δώσει • πρόσβαση στους λογαριασμούς τους. • Να χρησιμοποιήσει τεχνικές brute force για να δοκιμάσει τα ίδια email/logins για πρόσβαση σε άλλους λογαριασμούς • Να κλέψει τις προσωπικές σας πληροφο- ρίες για να τις χρησιμοποιήσει σε απόπει- ρες απάτης ταυτότητας ή phishing. • Να μεταφέρει χρηματικά ποσά σε δι- κούς του λογαριασμούς • Να προκαλέσουν και να εκφοβίσουν τα θύματα δημοσιεύοντας ακατάλληλο πε- ριεχόμενο από τους λογαριασμούς τους Τι μπορείτε να κάνετε για να αποτρέ- ψετε το shoulder surfing; Ο αντίκτυπος μιας τέτοιας πειρατείας λο- γαριασμού μπορεί να κρατήσει πολλούς μήνες. Οι κυβερνοεγκληματίες μπορεί να καταφέρουν να κλέψουν χρήματα και προσωπικές πληροφορίες, ενώ μπορεί να χρησιμοποιήσουν τον λογαριασμό σε επιθέσεις ηλεκτρονικού ψαρέματος για πολλούς μήνες. Η ανάκτηση των χαμένων χρημάτων και η επαναφορά των πιστω- τικών βαθμολογιών μπορεί να διαρκέσει ακόμη περισσότερο. Με αυτά τα δεδομένα, ακολουθούν μερικές στρατηγικές μετριασμού των κινδύνων: 1. Μη χρησιμοποιείτε τους ίδιους κωδι- κούς πρόσβασης σε διαφορετικούς λο- γαριασμούς και χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για την αποθήκευση μοναδικών, ισχυρών κωδι- κών. Ενεργοποιήστε τον έλεγχο ταυτότη- τας πολλαπλών παραγόντων (MFA). Αλλά επιλέξτε μια εφαρμογή ελέγχου ταυτότη- τας (π.χ. Google Authenticator, Microsoft Authenticator) και όχι μια επιλογή κωδι- κού μέσω SMS. 2. Να ειστε παντα σε εγρηγορση όταν συνδέεστε στους λογαριασμούς σας σε δημόσιο χώρο. Αυτό θα μπορούσε να σημαίνει ότι πρέπει να σταματήσε- τε να εργάζεστε σε αεροπλάνα, τρένα, αεροδρόμια, λόμπι ξενοδοχείων κλπ. Ή τουλάχιστον να εργάζεστε με την πλάτη στον τοίχο. 3. Χρησιμοποιηστε φιλτρο προστασί- ας απορρητου στους φορητούς υπο- λογιστές για να διασφαλίσετε ότι δεν μπορεί κάποιος να κατασκοπεύσει την οθόνη σας. 4. Μην αφήνετε ποτέ καμία συσκευή χω- ρίς επιτήρηση σε δημόσιο χώρο. Και βε- βαιωθείτε ότι είναι κλειδωμένες με ισχυ- ρούς κωδικούς πρόσβασης. Το shoulder surfing εξακολουθεί να εί- ναι μια σε μεγάλο βαθμό υποτιμημένη απειλή. Αυτό δεν σημαίνει ότι είναι πιο πιθανό να σας συμβεί από μια επίθεση ηλεκτρονικού ψαρέματος. Αλλά ισχύουν οι ίδιοι κανόνες. Να είστε σε εγρήγορση. Να είστε προετοιμασμένοι. Η ασφάλεια έχει προτεραιότητα. Shoulder surfing: Η υποτιμημένη απειλή