Πως να φτιαξω ενα phishing page για να αποσπασω κωδικους

Μύθος 1: “Η επιχείρησή μου είναι πολύ μικρή, οι χάκερ δεν ενδιαφέρονται για μένα

Πραγματικότητα: “Οι περισσότεροι χάκερς πραγματοποιούν τυχαίες επιθέσεις, οπότε όλες οι επιχειρήσεις και οι ιδιώτες κινδυνεύουν.

Μία από τις πιο συνηθισμένες παρανοήσεις σχετικά με την ασφάλεια στον κυβερνοχώρο είναι η ιδέα ότι οι μικρές επιχειρήσεις είναι ασφαλείς από τις επιθέσεις στον κυβερνοχώρο επειδή δεν είναι σημαντικές. Στην πραγματικότητα, καμία επιχείρηση δεν είναι πολύ μικρή για τέτοιου είδους απειλές.

Οι επιθέσεις που πραγματοποιούνται από χάκερς χωρίζονται σε δύο κύριες κατηγορίες: οι στοχευμένες επιθέσεις εναντίον μεγάλων επιχειρήσεων και οργανισμών απαιτούν μεγάλη προσπάθεια, χρόνο και χρήμα από την πλευρά του χάκερ και είναι συνήθως το αποτέλεσμα μιας μαζικής και συντονισμένης προσπάθειας. Από την άλλη πλευρά, οι τυχαίες, τυφλές, μη στοχευμένες επιθέσεις εναντίον χιλιάδων email ή IPs έχουν ως στόχο να βρουν κενά ασφαλείας σε οποιοδήποτε σύστημα, ώστε να μπορέσουν να ελέγξουν τους υπολογιστές και να κλειδώσουν ή να κλέψουν αρχεία.

Φυσικά, οι χάκερς δεν μπορούν να βγάλουν χρήματα από όλους. Αυτό οφείλεται στο γεγονός ότι οι ιδιώτες ή οι μικρές επιχειρήσεις δεν έχουν την οικονομική δυνατότητα να προβούν σε οικονομικές απαιτήσεις για την επιστροφή αρχείων. Ωστόσο, η ζημιά έχει ήδη γίνει και τα δεδομένα είναι πιθανό να έχουν ήδη χαθεί. Ως εκ τούτου, δεν έχει σημασία αν είστε ο πρωταρχικός στόχος και μπορούν να βγάλουν χρήματα από εσάς. Υπάρχει κίνδυνος σοβαρών προβλημάτων που προκαλούνται από τυχαία και τυφλά χτυπήματα.

Εκτός από τα παραπάνω, θα πρέπει να προστεθεί ότι, ανεξάρτητα από το μέγεθος της επιχείρησής σας, ο κίνδυνος απώλειας δεδομένων λόγω απειλών στον κυβερνοχώρο είναι τόσο μεγάλος που η προστασία και η διαθεσιμότητα των δεδομένων και των πληροφοριών σας πρέπει να αποτελεί ύψιστη προτεραιότητα.

Τρόποι αντιμετώπισης

Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναγνωρίσουν ότι δεν έχουν ανοσία στις κυβερνοεπιθέσεις και θα πρέπει να λάβουν μέτρα για την προστασία των συστημάτων και των δεδομένων τους. Αυτό περιλαμβάνει:

Τα antivirus και τα τείχη προστασίας είναι μερικά από τα πιο συνηθισμένα εργαλεία προστασίας που χρησιμοποιούνται από χρήστες και επιχειρήσεις για την προστασία των συστημάτων τους από επιθέσεις στον κυβερνοχώρο. Ωστόσο, η αντίληψη ότι αυτά τα λογισμικά από μόνα τους μπορούν να παρέχουν ολοκληρωμένη προστασία είναι επικίνδυνα λανθασμένη.

Ακόμη και αν το πιο προηγμένο λογισμικό που κυκλοφορεί σήμερα στην αγορά μπορεί να αντιμετωπίσει το 99% των απειλών, το υπόλοιπο 1% είναι αρκετό για να προκαλέσει τεράστια ζημιά σε μια επιχείρηση. Με εκατομμύρια επιθέσεις να λαμβάνουν χώρα καθημερινά, αυτό το 1% δεν είναι και τόσο μικρός αριθμός.

Όλα αυτά τα προγράμματα προστασίας εξελίσσονται καθημερινά μέσω επιδιορθώσεων και ενημερώσεων. Αυτό σημαίνει ότι νέες απειλές που δημιουργούν “παραβιάσεις” ή “ευπάθειες” δημιουργούνται πρώτες και όταν εντοπίζονται, αυτά τα προγράμματα προστασίας προσαρμόζονται και τις αντιμετωπίζουν.

Τι σημαίνει αυτό στην πράξη; Σημαίνει ότι χιλιάδες χρήστες θα μπορούσαν να “μολυνθούν” άμεσα από τη στιγμή της επίθεσης έως ότου αυτή αντιμετωπιστεί κεντρικά από την εταιρεία λογισμικού.

Τρόποι αντιμετώπισης

Οι κύριοι τρόποι αντιμετώπισης είναι η ανθρώπινη παρακολούθηση και τα πολλαπλά επίπεδα προστασίας. Αυτό οφείλεται στο γεγονός ότι η ασφάλεια στον κυβερνοχώρο απαιτεί μια ολιστική προσέγγιση που περιλαμβάνει πολλαπλά επίπεδα προστασίας. Μια μονόπλευρη προσέγγιση που χρησιμοποιεί μόνο λογισμικό προστασίας από ιούς αφήνει πολλά κενά ασφαλείας που μπορούν να εκμεταλλευτούν οι χάκερ. Η ανάπτυξη των ψηφιακών τεχνολογιών είναι συνεχής και συχνά πολύπλοκη. Για το λόγο αυτό, η ασφάλεια πρέπει να είναι δυναμική και πολυεπίπεδη (όπως τα στρώματα κρεμμυδιού).

Οι πολύ ισχυροί κωδικοί πρόσβασης αποτελούν την πρώτη γραμμή άμυνας κατά των διαδικτυακών απειλών. Ωστόσο, γίνεται εύκολα αντιληπτό ότι αυτό δεν αρκεί.

Οι χάκερ διαθέτουν εξελιγμένα εργαλεία και διάφορες τεχνικές για να αποκτήσουν κωδικούς πρόσβασης. Για να το θέσουμε πιο ωμά, οι χάκερ δεν χρειάζεται καν να γνωρίζουν ή να μαντεύουν ποιος είναι ο κωδικός πρόσβασης.

Για παράδειγμα, αν ένας χρήστης χρησιμοποιεί ένα κοινόχρηστο δίκτυο καφετεριών και ένας χάκερ δημιουργήσει έναν “κλώνο” αυτού του δικτύου και μας ξεγελάσει ώστε να συνδεθούμε σε αυτό το δίκτυο αντί για το κατάστημα, μπορεί να υποκλέψει όλες τις ανοιχτές συνεδρίες και να χρησιμοποιήσει τις χωρίς να γνωρίζει τους κωδικούς μας, και ξαφνικά να διαπιστώσει ότι έχει πρόσβαση ακόμη και στους τραπεζικούς μας λογαριασμούς.

Μια άλλη μέθοδος που χρησιμοποιούν συχνά οι χάκερς είναι το phishing, το οποίο πολλοί από εμάς γνωρίζουμε. Βασικά, οι χάκερς χρησιμοποιούν αυτή τη μέθοδο για να προσπαθήσουν να “ψαρέψουν” κωδικούς πρόσβασης με έναν περιστροφικό τρόπο, εξαπατώντας παράλληλα τον χρήστη. Για παράδειγμα, στέλνουν ένα email που παριστάνει μια πλατφόρμα όπως το gov.gr και κατευθύνουν τον χρήστη σε ένα ακριβές αντίγραφο του αρχικού ιστότοπου. Εκεί, οι ανυποψίαστοι χρήστες εισάγουν οι ίδιοι το όνομα χρήστη και τον κωδικό πρόσβασής τους και δίνουν απλόχερα τα στοιχεία τους στους απατεώνες.

Τρόποι αντιμετώπισης

• Χρήση VPN υπηρεσιών όταν πραγματοποιούμε σύνδεση σε ξένα Wi-Fi δίκτυα, ώστε να γίνεται κρυπτογράφηση των στοιχείων
• Συχνή αλλαγή κωδικών, ώστε σε περίπτωση που έχει διαρρεύσει κάποιος, να μην είναι πλέον ενεργός
• Επιλέξτε διαφορετικούς κωδικούς για κάθε ιστοσελίδα, ώστε αν αποκτήσει κάποιος έναν κωδικό να μην μπορέσει να έχει πρόσβαση σε όλους τους λογαριασμούς σας
• Two-factor authentication (2FA), ώστε να υπάρχει ένα επιπλέον επίπεδο ασφάλειας που θα προϋποθέτει μια έξτρα έγκριση για την είσοδο από διαφορετική συσκευή

Οι επιθέσεις Ransomware είναι μία από τις πιο διαδεδομένες και καταστροφικές μορφές κυβερνοεπιθέσεων που αντιμετωπίζουμε σήμερα. Όταν ένας χρήστης “μολύνεται” από αυτόν τον ιό, του παρουσιάζεται μια οθόνη που τον ενημερώνει ότι όλα τα αρχεία στον σκληρό δίσκο ή τη συσκευή του έχουν κλειδωθεί και ότι πρέπει να πληρώσει λύτρα για να τα πάρει πίσω.

Η ανάκτηση δεδομένων σε τέτοιες περιπτώσεις απαιτεί πολύ λεπτούς χειρισμούς, ώστε να διασφαλιστεί ότι τα αρχεία στο δίσκο δεν έχουν αλλοιωθεί από την κρυπτογραφημένη κατάστασή τους και ότι τα αρχεία που πραγματικά υπάρχουν μπορούν να ανακτηθούν πλήρως μετά την καταβολή του ποσού.

Στο σημείο αυτό θα πρέπει να αναφερθεί ότι η καταβολή λύτρων αποτελεί έσχατη λύση και θα πρέπει να χρησιμοποιείται μόνο αφού έχουν αποτύχει όλα τα εναλλακτικά μέσα ανάκτησης των αρχείων του πελάτη. Ανάλογα με τον τύπο της κρυπτογράφησης που πραγματοποιείται, στο 10% των περιπτώσεων είναι δυνατή η πλήρης ανάκτηση δεδομένων σε σκληρούς δίσκους και διακομιστές χωρίς την καταβολή λύτρων.

Τέλος, όταν αντιμετωπίζονται τέτοιες απειλές, η όλη διαδικασία θα πρέπει να διεξάγεται από εξειδικευμένους τεχνικούς ασφάλειας στον κυβερνοχώρο και ανάκτησης δεδομένων με στόχο να ανακαλύψουν ποια είναι η ομάδα που βρίσκεται πίσω από την κυβερνοεπίθεση, ποιο είναι το προφίλ της και αν είναι συνεργάσιμη, προκειμένου να αναπτυχθεί η κατάλληλη στρατηγική αντιμέτρων Είναι ζωτικής σημασίας να γίνει αυτό. Δεν είναι ασυνήθιστο για οργανισμούς και εταιρείες που έχουν καταβάλει λύτρα σε χάκερς να μην καταφέρνουν να πάρουν πίσω τα αρχεία τους ή να χάσουν την επαφή με τους χάκερς λόγω της πίεσης της διαπραγμάτευσης μαζί τους.

Καθώς η τεχνολογία διαπερνά όλες τις πτυχές της ζωής μας, συμπεριλαμβανομένης της τηλεργασίας, πολλοί εργαζόμενοι τείνουν να φέρνουν τις προσωπικές τους συσκευές στο γραφείο.

Στην πραγματικότητα, στην περίπτωση αυτή ισχύει το ακριβώς αντίθετο: η πρακτική αυτή καθιστά τις επιχειρήσεις πιο ευάλωτες. Συγκεκριμένα, στους προσωπικούς υπολογιστές, οι άνθρωποι είναι λιγότερο προσεκτικοί όταν περιηγούνται στο διαδίκτυο. Ως αποτέλεσμα, κατεβάζουμε χαλασμένα προγράμματα ή επισκεπτόμαστε κακόβουλους ιστότοπους.

Ως αποτέλεσμα, μπορεί να εγκατασταθεί στη συσκευή ένα “RAT“ που παρακολουθεί ό,τι κάνουμε. Επομένως, όταν αυτή η προσωπική συσκευή συνδεθεί στο δίκτυο της εταιρείας, μπορεί να αποκτήσει πρόσβαση στα συστήματα και τα δεδομένα της επιχείρησης.

Τα τέλεια συστήματα ανήκουν στη σφαίρα της φαντασίας και του κινηματογράφου. Δεν υπάρχει τέλειο σύστημα, σύμφωνα με τα διάσημα λόγια του Dmitry Alperovich, αντιπροέδρου της McAffee: εταιρείες που έχουν υποστεί hacking και το γνωρίζουν, και εταιρείες που δεν το γνωρίζουν ακόμη.

Οι επιθέσεις στον κυβερνοχώρο είναι συχνές και εξελίσσονται συνεχώς, και αν δεν αναγνωρίσετε και δεν αντιμετωπίσετε τις αδυναμίες σας, θα μείνετε ευάλωτοι.

Για να είστε προετοιμασμένοι για κυβερνοεπιθέσεις, πρέπει να παραμείνετε προετοιμασμένοι, επανεξετάζοντας και βελτιώνοντας συνεχώς τα συστήματά σας. Ο στόχος είναι να θέσετε σε εφαρμογή πολλαπλά επίπεδα ασφάλειας, έτσι ώστε κάθε προσπάθεια ενός χάκερ να εισέλθει στα συστήματα μιας εταιρείας να είναι ασύμφορη από άποψη χρόνου και κόστους.

Σε αυτό το σημείο, πρέπει να σημειωθεί ότι δεν υπάρχει τέλειο σύστημα, οπότε αν οι χάκερς βάλουν στο στόχαστρο μια εταιρεία, είναι πιθανό να βρουν κάποια στιγμή ένα κενό ασφαλείας. Επομένως, είναι σημαντικό να υπάρχει ένα σχέδιο ετοιμότητας για την αντιμετώπιση τέτοιων ζητημάτων.

Η λογική ότι “οι επιθέσεις είναι μόνο κυβερνοεπιθέσεις” υποτιμά τη σοβαρότητα και το εύρος των επιθέσεων στον κυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι οι περισσότερες επιθέσεις δεν είναι μεμονωμένες, αλλά πολύπλοκες, πολυάριθμες και συνεχώς διαφοροποιούμενες.

Όσο παράξενο και αν φαίνεται σε πολλούς, πολλές διαδικτυακές απάτες δεν αφορούν το διαδίκτυο.

Φανταστείτε ένα σενάριο όπου λαμβάνετε ένα τηλεφώνημα από κάποιον που εμφανίζεται να εκπροσωπεί μια γνωστή εταιρεία κινητής τηλεφωνίας, σας ζητάει να συνάψετε νέο συμβόλαιο και σας ζητάει μερικά στοιχεία, όπως τον αριθμό ταυτότητας, τον αριθμό τηλεφώνου και τη διεύθυνση κατοικίας σας.

Λίγο αργότερα, λαμβάνετε ένα άλλο τηλεφώνημα, αυτή τη φορά από κάποιον άλλον, υποτίθεται από δημόσιο οργανισμό, που σας ζητά κάποια στοιχεία για να συμπληρώσετε μια έρευνα που διενεργούν, όπως το ΑΦΜ, τον αριθμό κοινωνικής ασφάλισης, το email σας κ.λπ.

Συνδυάζοντας αυτά τα στοιχεία που τους έχετε δώσει, τα προαναφερθέντα άτομα μπορούν, εν αγνοία σας, να διαπράξουν αμέτρητες απάτες στο όνομά σας.

Μπορεί να υπάρχει κάποια αλήθεια σε αυτόν τον μύθο, αλλά εξαρτάται από το πώς αντιλαμβάνεται κανείς τον ρόλο του και την ποιότητα της εργασίας του. Σίγουρα, επιφανειακά, ένας εκπαιδευμένος τεχνικός σε μια εταιρεία μπορεί να είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο.

Ωστόσο, η εμπειρία μας έχει αποδείξει ότι οι τεχνικοί που νομίζουν ότι γνωρίζουν τα πάντα δεν είναι καλοί τεχνικοί. Οι ψηφιακές απειλές εξελίσσονται τόσο γρήγορα που είναι σχεδόν αδύνατο για ένα άτομο να αποτρέψει όλες τις επιθέσεις, όσο καλός τεχνικός κι αν είναι.

Στόχος όλων των τεχνικών θα πρέπει να είναι ο συνεχής έλεγχος των συστημάτων και των διαδικασιών τους, ώστε να διασφαλίζεται η αποτελεσματική λειτουργία τους. Όσοι νομίζουν ότι είναι τέλειοι συνήθως δεν βελτιώνονται και αγνοούν τους κινδύνους.

Οι εταιρείες ασφάλειας στον κυβερνοχώρο ξεκινούν με δοκιμές διείσδυσης (δοκιμές ευπάθειας), οι οποίες συχνά αποκαλύπτουν ευπάθειες που θα μπορούσαν να αποβούν μοιραίες αν τις εκμεταλλευτούν οι χάκερ.

Οι επιχειρήσεις και οι τεχνικοί τους δεν θα πρέπει να αισθάνονται ότι απειλούνται από εξωτερικούς συμβούλους ασφάλειας στον κυβερνοχώρο. Αντίθετα, θα πρέπει να το βλέπουν ως μια ευκαιρία να βελτιώσουν τα συστήματά τους μέσω συνεχών δοκιμών και αναφοράς τυχόν ευπαθειών ασφαλείας που μπορεί να υπάρχουν.

Το Διαδίκτυο αλλάζει συνεχώς και νέες απειλές και κίνδυνοι αναδύονται συνεχώς. Χωρίς τον ανθρώπινο έλεγχο των συστημάτων και την ανάγκη αναγνώρισης των νέων απειλών, οι εταιρείες θα είναι ευάλωτες σε επιθέσεις με καταστροφικές συνέπειες.

Η ολοκληρωμένη κατάρτιση των εργαζομένων όλων των εταιρειών θα πρέπει να αποτελεί κορυφαία προτεραιότητα το 2023. Και αυτό γιατί έρευνες έχουν δείξει ότι σχεδόν πάντα ο απλός υπάλληλος είναι αυτός που κάνει το λάθος να επιτρέψει σε ένα κακόβουλο πρόγραμμα να εισέλθει στα συστήματα μιας εταιρείας, που πατάει το λάθος κουμπί και κατεβάζει το αρχείο στο ηλεκτρονικό του ταχυδρομείο.

Ακόμα και με τα καλύτερα εργαλεία και διαδικασίες, αυτή η μικρή ανθρώπινη απροσεξία μπορεί να ανοίξει την πόρτα σε μια εισβολή στο σύστημα. Συγκεκριμένα, ο Michael Migos δηλώνει: “Όταν συμβαίνει παραβίαση πληροφοριών σε μια εταιρεία ή έναν οργανισμό, συχνά ακούτε τον υπεύθυνο να κατηγορεί τον υπάλληλο που έκανε κλικ σε έναν κακόβουλο σύνδεσμο ή άνοιξε ένα κακόβουλο αρχείο. Εκεί η ευθύνη δεν βαραίνει τον εργαζόμενο, αλλά τους υπεύθυνους για την αποτυχία εκπαίδευσης και ελέγχου των χρηστών”.