Καθώς η εξάρτησή μας από την τεχνολογία αυξάνεται, η εμπιστοσύνη μας στην τεχνολογία αυξάνεται μαζί της. Σήμερα, εμπιστευόμαστε τα προσωπικά μας δεδομένα σε διάφορες διαδικτυακές πλατφόρμες, όπως τραπεζικούς λογαριασμούς, λιανοπωλητές ηλεκτρονικού εμπορίου, ανταλλακτήρια κρυπτονομισμάτων και παρόχους email. Αλλά το απόρρητό μας εξακολουθεί να τίθεται σε κίνδυνο με διάφορους τρόπους. Λοιπόν, ας συζητήσουμε πώς το απόρρητό σας θα μπορούσε να έχει γίνει ευάλωτο το 2022.
1. Spyware
Το spyware είναι ένα είδος κακόβουλου λογισμικού χρησιμοποιείται για την παρακολούθηση της δραστηριότητας ενός θύματος και την πρόσβαση στα προσωπικά του δεδομένα. Εάν ένας κυβερνοεγκληματίας καταφέρει να χρησιμοποιήσει λογισμικό υποκλοπής spyware σε μακροπρόθεσμη βάση στη συσκευή ενός θύματος, δεν υπάρχει τέλος στο πόσα δεδομένα θα μπορούσε να πάρει στα χέρια του.
Χρησιμοποιώντας λογισμικό υποκλοπής spyware, ένας παράγοντας απειλών μπορεί να καταγράφει πατήματα πλήκτρων, που σημαίνει ότι μπορεί να δει ό, τι πληκτρολογείτε, είτε πρόκειται για εισόδους μηχανής αναζήτησης, μηνύματα κειμένου ή πληροφορίες πληρωμής. Φυσικά, αυτό εκθέτει σε μεγάλο βαθμό το απόρρητό σας, καθώς μπορεί εν αγνοία σας να παραδίδετε εξαιρετικά ευαίσθητες πληροφορίες στον εισβολέα.
Υπάρχουν πολλά είδη spyware εκεί έξω αυτή τη στιγμή για χρήση από εγκληματίες, συμπεριλαμβανομένων των CloudMensis, CoolWebSearch, HawkEye και Pegasus. Το Pegasus είναι μια κοινή μορφή spyware, και δημιουργήθηκε όχι από εγκληματία, αλλά από την NSO, μια ισραηλινή εταιρεία κυβερνοασφάλειας. Η NSO δηλώνει ότι το Pegasus χρησιμοποιείται αποκλειστικά για την καταπολέμηση της τρομοκρατίας και την επιβολή του νόμου και επομένως πωλείται μόνο σε νόμιμα μέρη. Αλλά αυτό έχει αμφισβητηθεί, καθώς υπήρξαν πολλές περιπτώσεις κακής χρήσης του Pegasus στο παρελθόν.
2. Dark Web Marketplaces
Εάν ένας κακόβουλος ηθοποιός πάρει στα χέρια του τα δεδομένα σας, δεν θα τα εκμεταλλευτεί πάντα άμεσα. Μερικές φορές, θα το κάνουν μεταδώστε το σε άλλους εγκληματίες του κυβερνοχώρου μέσω αγορών του σκοτεινού Ιστού. Σκεφτείτε τις αγορές αυτές ως ένα είδος eBay για κλεμμένα δεδομένα. Οι εγκληματίες είναι πρόθυμοι να πληρώσουν ένα τεράστιο ποσό για ευαίσθητες πληροφορίες που μπορούν να εκμεταλλευτούν, όπως αριθμούς διαβατηρίων, στοιχεία κάρτας πληρωμής, διευθύνσεις email και αριθμούς κοινωνικής ασφάλισης.
Ας υποθέσουμε ότι ένας εισβολέας κατάφερε να αρπάξει τα στοιχεία της πιστωτικής σας κάρτας. Στον σκοτεινό ιστό, αυτό θα μπορούσε να είναι ένα καυτό εμπόρευμα, ειδικά εάν παρέχονται επίσης ορισμένες πρόσθετες πληροφορίες, όπως το CVV. Ο κυβερνοεγκληματίας μπορεί να ορίσει την τιμή ακόμη υψηλότερη εάν γνωρίζει ότι ο τραπεζικός λογαριασμός που συνδέεται με αυτήν την κάρτα περιέχει ένα σημαντικό ποσό.
Αυτού του είδους οι πληροφορίες προέρχονται συχνά από παραβιάσεις μεγάλης κλίμακας, όπως η παραβίαση του WhatsApp που είχε ως αποτέλεσμα την απόπειρα πώλησης σχεδόν 500 εκατομμυρίων αρχείων δεδομένων. Αυτά τα δεδομένα, που συλλέχθηκαν από χρήστες σε 84 χώρες, έθεσαν σχεδόν μισό δισεκατομμύριο ανθρώπους σε κίνδυνο, με τους αριθμούς των smartphone τους να διατίθενται σε επικίνδυνους εγκληματίες στον κυβερνοχώρο.
3. Κακόβουλες διαφημίσεις
Η βιομηχανία της ψηφιακής διαφήμισης αξίζει πάνω από 600 δισεκατομμύρια δολάρια, σύμφωνα με Ομπερλο. Πολλές από τις εφαρμογές και τους ιστότοπους που απολαμβάνετε χρησιμοποιώντας διαφημίσεις προβολής, αλλά αυτή η εκκολαπτόμενη αγορά έχει επίσης προσφέρει μια θέση για εγκληματίες του κυβερνοχώρου με τη μορφή κακόβουλων διαφημίσεων.
Η χρήση κακόβουλων διαφημίσεων είναι επίσης γνωστή ως κακόβουλη διαφήμιση και περιλαμβάνει την εισαγωγή κακόβουλου κώδικα σε φαινομενικά αβλαβείς διαφημίσεις. Τέτοιες διαφημίσεις μπορούν ακόμη και να εισέλθουν σε νόμιμους ιστότοπους, επεκτείνοντας την απήχησή τους ακόμη περισσότερο. Αυτό σημαίνει ότι μπορεί να συναντήσετε μια κακόβουλη διαφήμιση ακόμα και όταν χρησιμοποιείτε μια αξιόπιστη πλατφόρμα. Εάν αλληλεπιδράσετε μαζί τους, διατρέχετε τον κίνδυνο να μολυνθείτε από κακόβουλο λογισμικό.
Ωστόσο, μπορεί να είναι πολύ δύσκολο να γίνει διάκριση μεταξύ καλοήθων και επιβλαβών διαφημίσεων, γεγονός που καθιστά την κακή διαφήμιση σημαντική απειλή για το απόρρητο και την ασφάλεια.
4. Phishing
Το ηλεκτρονικό ψάρεμα είναι μια εξαιρετικά διαδεδομένη απειλή στον κυβερνοχώρο που προκάλεσε εκατομμύρια θύματα. Το ηλεκτρονικό ψάρεμα μπορεί να πραγματοποιηθεί σε ευρεία κλίμακα και δεν απαιτεί τρομερή τεχνική τεχνογνωσία. Εάν χρησιμοποιείτε έναν πάροχο ηλεκτρονικού ταχυδρομείου, το πιθανότερο είναι ότι κάποια στιγμή σας έχει αποσταλεί ένα μήνυμα ηλεκτρονικού "ψαρέματος" (phishing), ειδικά αν δεν χρησιμοποιείτε εργαλεία κατά των ανεπιθύμητων μηνυμάτων.
Σε μια επίθεση phishing, ο κυβερνοεγκληματίας υποδύεται ένα νόμιμο μέρος για να ξεγελάσει τα θύματα ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Οι επικοινωνίες ηλεκτρονικού ψαρέματος συνήθως συνοδεύονται από έναν σύνδεσμο που οδηγεί σε μια κακόβουλη ιστοσελίδα που καταγράφει τις πληκτρολογήσεις των θυμάτων. Ωστόσο, ο εισβολέας θα δηλώσει απλώς ότι πρόκειται για μια αβλαβή σελίδα που πρέπει να ανοίξει ο χρήστης για να ολοκληρώσει μια συγκεκριμένη ενέργεια, όπως η είσοδος σε έναν λογαριασμό ή η είσοδος σε ένα δώρο.
Ας πούμε, για παράδειγμα, ότι λαμβάνετε ένα email από το Facebook που δηλώνει ότι πρέπει να συνδεθείτε στο δικό σας λογαριασμό για να επαληθεύσετε την ταυτότητά σας, να ελέγξετε για ύποπτη δραστηριότητα ή να απαντήσετε σε μια αναφορά από άλλον χρήστης. Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου πιθανότατα θα ενσταλάξει την αίσθηση του επείγοντος για να σας πείσει να αναλάβετε δράση. Θα σας δοθεί ένας σύνδεσμος προς τη σχετική ιστοσελίδα, πιθανώς μια υποτιθέμενη σελίδα σύνδεσης στο Facebook.
Σε αυτήν τη σελίδα, θα πρέπει να εισαγάγετε τα διαπιστευτήρια σύνδεσής σας. Επειδή όμως αυτή η ιστοσελίδα είναι, στην πραγματικότητα, κακόβουλη, ο εισβολέας θα μπορεί να δει τα διαπιστευτήριά σας όταν τα εισάγετε. Μόλις πάρουν τα διαπιστευτήριά σας, μπορούν να έχουν πρόσβαση στον λογαριασμό σας στο Facebook.
Η APWG, μια εταιρεία κατά της απάτης και της κλοπής ταυτότητας, δήλωσε σε αυτήν Αναφορά τάσεων δραστηριότητας phishing ότι μόνο το πρώτο τρίμηνο του 2022 καταγράφηκαν 1.025.968 περιπτώσεις phishing.
5. Ευπάθειες στο Cloud Storage
Οι πλατφόρμες αποθήκευσης cloud, όπως το Google Drive, το Dropbox και το OneDrive, χρησιμοποιούνται συνήθως ως εναλλακτική λύση στις επιλογές αποθήκευσης υλικού, καθώς είναι απλώς πιο βολικές. Επιπλέον, μπορείτε να έχετε πρόσβαση στον αποθηκευτικό χώρο σας στο cloud οπουδήποτε και ανά πάσα στιγμή με τα στοιχεία σύνδεσής σας, πράγμα που σημαίνει ότι δεν χρειάζεται να βασίζεστε σε μία μόνο συσκευή για την προβολή και τη χρήση των δεδομένων σας.
Ωστόσο, οι πλατφόρμες αποθήκευσης cloud είναι ευάλωτες σε απομακρυσμένες επιθέσεις, καθώς βασίζονται σε λογισμικό για τη λειτουργία τους. Αν και οι πάροχοι αποθήκευσης cloud χρησιμοποιούν διάφορα επίπεδα ασφαλείας για την προστασία των δεδομένων σας, εξακολουθούν να στοχοποιούνται από εγκληματίες του κυβερνοχώρου. Εξάλλου, οποιαδήποτε πλατφόρμα με σύνδεση στο Διαδίκτυο κινδυνεύει να παραβιαστεί και οι υπηρεσίες αποθήκευσης cloud δεν αποτελούν εξαίρεση.
Πάρτε για παράδειγμα το Dropbox. Αυτός ο πάροχος αποθήκευσης cloud υπέστη παραβίαση δεδομένων στα τέλη του 2022 ως αποτέλεσμα επίθεσης phishing. Μέσω αυτού του hack, κλάπηκαν 130 αποθετήρια GitHub. Ωστόσο, τέτοιες επιθέσεις θα μπορούσαν επίσης να οδηγήσουν σε κλοπή ιδιωτικών δεδομένων χρηστών, όπως τραπεζικά έγγραφα και αρχεία υγειονομικής περίθαλψης. Εάν μια δεδομένη πλατφόρμα αποθήκευσης cloud έχει μια ιδιαίτερα επικίνδυνη ευπάθεια ασφαλείας, τότε μια εισβολή θα μπορούσε να γίνει κάπως εύκολη για τους εγκληματίες του κυβερνοχώρου.
6. Επιθέσεις IoT
Το IoT, ή Internet of Things, αναφέρεται σε υλικό εξοπλισμένο με λογισμικό, αισθητήρες και άλλα εργαλεία που επιτρέπουν την επικοινωνία με άλλες συσκευές. Αλλά αυτή η τεχνολογία στοχοποιείται από εγκληματίες του κυβερνοχώρου που αναζητούν ιδιωτικά δεδομένα.
Εάν μια τέτοια συσκευή, όπως ένα smartphone ή ένα έξυπνο ρολόι, έχει μολυνθεί από κακόβουλο λογισμικό, τότε το σύστημα IoT στο οποίο είναι συνδεδεμένο μπορεί να τεθεί σε κίνδυνο για την αποστολή ή τη λήψη δεδομένων. Οι χάκερ μπορούν να πραγματοποιήσουν επιθέσεις IoT με διάφορους τρόπους, συμπεριλαμβανομένης της υποκλοπής, επιθέσεις ωμής δύναμης με κωδικό πρόσβασης, και παραβίαση φυσικής συσκευής. Οι παλαιότερες συσκευές IoT γίνονται συχνά στόχοι επιθέσεων, καθώς τα μέτρα ασφαλείας τους συνήθως λείπουν ή απαιτούν ενημερώσεις.
Οι έξυπνες συσκευές είναι απίστευτα συνηθισμένες, καθιστώντας τις επιθέσεις IoT ακόμα πιο πιθανές τώρα από ό, τι στο παρελθόν.
Το ψηφιακό σας απόρρητο πρέπει να προστατεύεται
Είναι εύκολο να υποθέσουμε ότι κανείς δεν πρόκειται να στοχεύσει τα προσωπικά σας δεδομένα, αλλά αυτό απλά δεν ισχύει. Κάθε μέσο άτομο μπορεί να πέσει θύμα κυβερνοεπίθεσης, είτε μέσω phishing, κακόβουλης διαφήμισης, spyware ή οτιδήποτε άλλο. Έτσι, καθώς οδεύουμε προς το 2023, είναι σημαντικό να χρησιμοποιήσουμε όλα τα απαραίτητα μέτρα ασφαλείας για την προστασία των δεδομένων μας από κακόβουλες οντότητες.
