Καθώς οι ανακοινώσεις για την πρόληψη και την αντιμετώπιση του κορωνοϊού (COVID-19) έχουν λάβει μεγάλες διαστάσεις, οι κρατικές υπηρεσίες και οι φορείς προσφέρουν πληροφορίες και καθοδήγηση σε όλα τα επίπεδα, ενώ οι οργανισμοί προσπαθούν να προετοιμαστούν και να προστατεύσουν εργαζομένους και πελάτες. Ωστόσο, υπάρχει μια πτυχή των ενημερωτικών αυτών δράσεων που δεν έχει προσεχθεί αρκετά… και αυτή δεν είναι άλλη από τις επιθέσεις ηλεκτρονικού ψαρέματος (email phishing attacks) από ενημερωμένους hackers, οι οποίοι προσπαθούν να αξιοποιήσουν τον φόβο των ανθρώπων προς όφελός τους.
Οι οργανισμοί σε όλο τον κόσμο ενημερώνουν τους εργαζόμενους σχετικά με τον κορωνοϊό σε τομείς που αφορούν κυρίως ενημερωμένες ταξιδιωτικές πολιτικές και απαιτήσεις εργασίας στο σπίτι. Οι επιχειρήσεις ενδέχεται επίσης να προσαρμόζουν ή να αλλάζουν προγραμματισμένα συνέδρια και επιχειρηματικές πρωτοβουλίες με σκοπό την αποτροπή της εξάπλωσης του ιού. Οι hackers, ωστόσο, έχουν κάνει την έρευνά τους και έχουν ήδη αρπάξει την ευκαιρία…
Μέσα από την κοινωνική μηχανική -δηλαδή τις πράξεις χειραγώγησης των ατόμων με σκοπό την απόσπαση προσωπικών πληροφοριών- μπορούν να στοχεύσουν σε εργαζόμενους οργανισμών οι οποίοι, βάσει θέσης ή χαρακτηριστικών, είναι περισσότερο πιθανό να ανταποκριθούν σε μια ηλεκτρονική αλληλογραφία με κάποιον που προσποιείται τον διευθυντή ή κάποιον ανώτερο τους. Όπως συνέβη στην περίπτωση της WHO phishing campaign (βλ. παρακάτω) αλλά και σε άλλες περιπτώσεις, οι εργαζόμενοι ενός οργανισμού ενδέχεται να λαμβάνουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία εκ πρώτης όψεως φαίνεται να προέρχονται από τον διευθυντή τους. Ο εκάστοτε hacker μπορεί να υποκλέψει την ταυτότητα ενός ανώτερου στελέχους του οργανισμού καθώς και την εμφανή διεύθυνση ηλεκτρονικού του ταχυδρομείου με σκοπό να αποστείλει ένα φαινομενικά απλό και νόμιμο αίτημα για την αντιμετώπιση μιας κρίσιμης επιχειρηματικής ανάγκης που αφορά τον κορωνοϊό. Οι ανυποψίαστοι και νευρικοί υπάλληλοι ενδέχεται να ανταποκριθούν άμεσα και σε μεγαλύτερο βαθμό, επιτρέποντας στον hacker να εισέλθει απρόσκοπτα στα συστήματα πληροφοριών του οργανισμού.
· Η “WHO phishing campaign”
Στην καμπάνια αυτή, τα μηνύματα phishing που ελήφθησαν είχαν καμουφλαριστεί κατάλληλα ώστε να φαίνεται ότι έχουν αποσταλεί από υψηλόβαθμα στελέχη του Παγκόσμιου Οργανισμού Υγείας (World Health Organization – “WHO”), ενώ ζητούσαν από τους στόχους τους να μοιραστούν ευαίσθητες πληροφορίες, όπως ονόματα χρήστη και κωδικούς πρόσβασης, κατευθύνοντάς τους σε απατηλές σελίδες μέσω κακόβουλων συνδέσεων ενσωματωμένων στα μηνύματα ηλεκτρονικού ταχυδρομείου. Ακόμη, μπορεί να ζητούσαν από τους παραλήπτες να ανοίξουν συνημμένα αρχεία που περιείχαν κακόβουλο λογισμικό.
Ένα παράδειγμα μιας τέτοιας καμπάνιας «ψαρέματος» που χρησιμοποιούσε τον κορωνοϊό ως δόλωμα και ζητούσε από τα δυνητικά θύματα να «διαβάσουν το συνημμένο έγγραφο σχετικά με τα μέτρα ασφαλείας σχετικά με τη εξάπλωση του κορωνοϊού» εντοπίστηκε εντός του προηγούμενου μήνα.
Παράλληλα, ζητήθηκε από τους παραλήπτες του email να κατεβάσουν το συνημμένο αρχείο στον υπολογιστή τους κάνοντας κλικ σε ένα κουμπί «Μέτρα Ασφαλείας», το οποίο τους ανακατεύθυνε σε απατηλή ιστοσελίδα phishing. Αυτή η ιστοσελίδα φόρτωνε την σελίδα του Παγκόσμιου Οργανισμού Υγείας σε ένα πλαίσιο στο παρασκήνιο, ενώ εμφάνιζε ένα pop-up παράθυρο που ζητούσε από τους χρήστες να επαληθεύσουν το ηλεκτρονικό τους ταχυδρομείο. Μόλις έγραφαν τα ονόματα χρήστη και τους κωδικούς πρόσβασης και πατούσαν κλικ στο κουμπί «Επαλήθευση», τα διαπιστευτήριά τους αποστέλλονταν σε έναν απομακρυσμένο server ελεγχόμενο από τους hackers μέσω μιας μη κρυπτογραφημένης σύνδεσης HTTP, ανακατευθύνοντας πλέον του χρήστες στην επίσημη ιστοσελίδα του Οργανισμού. Έτσι, μία φαινομενικά απλή ενημέρωση για τον κορωνοϊό είχε μετατραπεί ξαφνικά σε παραβίαση προσωπικών δεδομένων.
Ακόμα κι αν ένας οργανισμός χρησιμοποιήσει τείχη προστασίας, φίλτρα ιστότοπων, ανιχνευτές κακόβουλου λογισμικού ή άλλα λογισμικά ασφαλείας για να εμποδίσει τέτοιες επιθέσεις, δεν είναι ποτέ εύκολο να προβλέψει πλήρως το ανθρώπινο στοιχείο. Είναι φανερό άλλωστε ότι οι περισσότερες παραβιάσεις προσωπικών δεδομένων οφείλονται σε ανθρώπινο λάθος. Συνεπώς, όλα συνηγορούν στο ότι η καλύτερη υπεράσπιση ενός οργανισμού συνίσταται στην ευαισθητοποίηση των εργαζομένων του και το καλύτερο θα ήταν οι οργανισμοί να ενημερώνουν αναλυτικά τους εργαζομένους τους για αυτού του είδους την απειλή, προκειμένου να αποφευχθούν τυχόν δυσάρεστες συνέπειες.