Ομομορφικές Επιθέσεις Phishing -

Οι επιθέσεις phishing παραμένουν μία από τις πιο διαδεδομένες και επικίνδυνες μορφές κοινωνικής μηχανικής στον κυβερνοχώρο. Καθώς οι αμυντικοί μηχανισμοί εξελίσσονται, οι επιτιθέμενοι επινοούν πιο έξυπνους και δύσκολα ανιχνεύσιμους τρόπους για να εξαπατήσουν τα θύματά τους. Μία από τις πιο ύπουλες παραλλαγές που έχει εμφανιστεί τα τελευταία χρόνια είναι η ομομορφική επίθεση phishing (homoglyph phishing attack).

Τι είναι οι Ομομορφικές επιθέσεις Phishing;

Οι ομομορφικές επιθέσεις phishing αξιοποιούν την οπτική ομοιότητα χαρακτήρων από διαφορετικά αλφάβητα (κυρίως Λατινικό, Κυριλλικό, Ελληνικό) για να παραποιήσουν URLs, διευθύνσεις email ή ονόματα χρηστών. Ο όρος “ομομορφική” προέρχεται από το γεγονός ότι οι χαρακτήρες μοιάζουν “ίδιοι” (ομόμορφοι) οπτικά, αλλά στην πραγματικότητα είναι διαφορετικοί στον υπολογιστικό τους κώδικα.

Παράδειγμα: Το όνομα τομέα www.apple.com μπορεί να παραποιηθεί σε www.аррӏе.com, όπου τα γράμματα “a”, “p” και “l” έχουν αντικατασταθεί από πανομοιότυπους χαρακτήρες από το Κυριλλικό αλφάβητο. Για τον ανθρώπινο οφθαλμό, η διαφορά είναι σχεδόν αόρατη — για το σύστημα όμως πρόκειται για έναν εντελώς διαφορετικό ιστότοπο.

Πώς λειτουργούν;

• Οι επιτιθέμενοι κατοχυρώνουν domains που φαίνονται σχεδόν πανομοιότυπα με δημοφιλείς ή εταιρικές ιστοσελίδες.
• Στέλνουν emails phishing ή δημιουργούν διαφημίσεις που παραπέμπουν στα παραποιημένα URLs.
• Τα θύματα, χωρίς να προσέξουν τη διαφορά, εισάγουν διαπιστευτήρια ή προσωπικά δεδομένα στις πλαστές ιστοσελίδες.
• Οι πληροφορίες συλλέγονται και χρησιμοποιούνται για κακόβουλες ενέργειες (κλοπή ταυτότητας, πρόσβαση σε λογαριασμούς, κλπ.).

Παραδείγματα:

1ο Παράδειγμα  – Επίθεση σε πελάτες τραπεζών

Μια γνωστή τράπεζα, π.χ. Eurobank, έχει τη διεύθυνση www.eurobank.gr. Οι επιτιθέμενοι δημιούργησαν έναν ψεύτικο ιστότοπο με τη διεύθυνση www.eurоbank.gr (όπου το “ο” είναι το Κυριλλικό μικρό γράμμα “о” U+043E). Έπειτα έστειλαν phishing emails σε πελάτες με μήνυμα τύπου “Παρατηρήθηκε ύποπτη δραστηριότητα στον λογαριασμό σας — συνδεθείτε άμεσα”. Το αποτέλεσμα ήταν να παγιδευτούν δεκάδες πελάτες που πληκτρολόγησαν κωδικούς στο ψεύτικο site.

2ο Παράδειγμα  – Στόχευση εταιρικού περιβάλλοντος:

Ένας υπάλληλος μεγάλης εταιρείας πληροφορικής έλαβε email από τον “CEO”, με διεύθυνση email ceo@microsоft.com. Το “ο” ήταν πάλι Κυριλλικό, καθιστώντας τη διεύθυνση ψεύτικη. Το email ζητούσε επειγόντως πρόσβαση σε εμπιστευτικά αρχεία λόγω “συναντήσεων με επενδυτές”. Ο υπάλληλος ανυποψίαστα έστειλε ευαίσθητα δεδομένα, τα οποία κατέληξαν στα χέρια επιτιθέμενων.

Πώς να προστατευτούμε;

• Ελέγχουμε πάντα προσεκτικά URLs και διευθύνσεις email, ειδικά σε περιβάλλοντα αυξημένης ευαισθησίας.
• Αποφεύγουμε να κάνουμε κλικ σε συνδέσμους από άγνωστους αποστολείς.
• Ενεργοποιούμε πιστοποίηση δύο παραγόντων (2FA) όπου είναι διαθέσιμη.
• Χρησιμοποιούμε ενημερωμένα λογισμικά προστασίας και εργαλεία ελέγχου ταυτότητας domain (π.χ. DMARC, SPF, DKIM).
• Σε επίπεδο οργανισμού, πραγματοποιούμε εκπαιδεύσεις awareness και phishing simulations.

Οι ομομορφικές επιθέσεις phishing είναι μία σύγχρονη και ύπουλη μορφή ψηφιακής απάτης που βασίζεται σε κάτι τόσο απλό — την οπτική απάτη. Η ενημέρωση, η εγρήγορση και η χρήση κατάλληλων εργαλείων μπορούν να κάνουν τη διαφορά ανάμεσα στην προστασία και την παραβίαση.

Το ethical hacking και η λεπτή γραμμή μέχρι το black-hat hacking

Σήμερα, πολλοί ακούμε για ethical hacking και για ανθρώπους που “χακάρουν” συστήματα για καλό σκοπό. Πρόκειται για επαγγελματίες που δοκιμάζουν την ασφάλεια ενός συστήματος ώστε να βρουν τα προβλήματα πριν τα εκμεταλλευτούν οι επιτήδειοι. Όμως, η αλήθεια είναι πως πολλές φορές η απόσταση ανάμεσα στο καλό και το κακό hacking είναι πολύ μικρή. Κι αν δεν υπάρχει αυτοσυγκράτηση ή σαφές πλαίσιο, η γραμμή αυτή μπορεί εύκολα να ξεπεραστεί.

Τι είναι το ethical hacking;

Το ethical hacking (γνωστό και ως white-hat hacking) είναι το επονομαζόμενο και ως "νόμιμο χακάρισμα". Οι εταιρείες προσλαμβάνουν ethical hackers για να εντοπίσουν αδυναμίες στην ασφάλειά τους, είτε στο δίκτυο, είτε σε εφαρμογές, είτε σε διαδικασίες, ανοιχτές πίσω πόρτες και κρυμμένες τρωτότητες. Οι hackers αυτοί λειτουργούν με άδεια και συνήθως με συμβόλαιο που ορίζει τι επιτρέπεται να κάνουν και πού.

Τι γίνεται όμως όταν κάποιος ξεπεράσει τα όρια;

Εδώ τα πράγματα περιπλέκονται. Υπάρχουν περιπτώσεις όπου ένας ethical hacker, είτε από υπερβολικό ζήλο, είτε από περιέργεια, είτε από προσωπικό συμφέρον, προχωρά πέρα από αυτά που του έχουν επιτραπεί. Εκεί ξεκινά η λεγόμενη "γκρίζα ζώνη" και ο hacker μπορεί, χωρίς να το καταλάβει, να περάσει στο λεγόμενο black-hat hacking, δηλαδή στο κακόβουλο hacking.

Case Study: Όταν ο ethical hacker έγινε κατηγορούμενος

Ένα πραγματικό περιστατικό (με τυχαία ονόματα για λόγους απορρήτου):

Ο Δημήτρης, ethical hacker με αρκετή εμπειρία, προσλήφθηκε από μια εταιρεία για να κάνει ελεγχόμενες επιθέσεις στα συστήματά της. Το scope ήταν ξεκάθαρο: να εξετάσει μόνο την ιστοσελίδα και το εσωτερικό σύστημα διαχείρισης πελατών.

Κατά τη διάρκεια των δοκιμών, εντόπισε μια παραμελημένη πόρτα που οδηγούσε σε προσωπικά δεδομένα υπαλλήλων, κάτι που δεν περιλαμβανόταν στη συμφωνία. Αντί να ενημερώσει άμεσα την εταιρεία, επέλεξε να το κρατήσει για μελλοντική χρήση «σε περίπτωση που δεν τον πλήρωναν», όπως αργότερα παραδέχτηκε.

Το θέμα ανακαλύφθηκε με έναν τρόπο και η εταιρεία κατέθεσε μήνυση. Ο Δημήτρης κατηγορήθηκε για μη εξουσιοδοτημένη πρόσβαση και εκβιασμό. Παρ' όλο που ξεκίνησε ως συνεργάτης, κατέληξε κατηγορούμενος.

Τι μαθαίνουμε από αυτό;

Το ethical hacking είναι εξαιρετικά χρήσιμο, αλλά δεν είναι παιχνίδι. Οι κανόνες πρέπει να τηρούνται αυστηρά:

• Δουλεύεις μόνο μέσα στο συμφωνημένο πλαίσιο.
• Αναφέρεις όλα τα ευρήματα υπεύθυνα.
• Δεν κρατάς δεδομένα “για σένα”.
• Δεν απειλείς, δεν παζαρεύεις.

Οποιαδήποτε απόκλιση από αυτά μπορεί να σε βάλει στον δρόμο του κυβερνοεγκλήματος, ακόμη κι αν οι προθέσεις σου ήταν καλές στην αρχή.

Τελικές σκέψεις - συμπεράσματα.

Το να είσαι ethical hacker σημαίνει ότι έχεις δύναμη στον κυβερνοχώρο. Όμως, όπως και με κάθε δύναμη, χρειάζεται και ευθύνη. Αν περάσεις τη γραμμή, ο Νόμος δεν θα σε κρίνει για τις προθέσεις σου, αλλά για τις πράξεις σου.

Γι’ αυτό, αν είσαι στον χώρο της κυβερνοασφάλειας ή σκέφτεσαι να ασχοληθείς με ethical hacking, θυμήσου:

Ο χαρακτήρας σου είναι αυτός που σε κρατάει white hat. Όχι μόνο οι γνώσεις σου.

Παράνομη IPTV & Livestreams, torrents στην Ελλάδα: Τι λέει ο Νόμος, τα πρόστιμα, παραδείγματα και συμβουλές

Τις τελευταίες ημέρες, η συζήτηση γύρω από τη νομιμότητα της χρήσης παράνομων IPTV και livestreams, λήψη torrents έχει ενταθεί. Επίσης ελέχθη και κοινοποιήθηκε στα μέσα ότι θα εντοπίζεται η IP σου και θα αντιστοιχεί στον Α.Φ.Μ. σου. Είναι αρκετοί αυτοί που ρώτησαν αυτά που αποσαφηνίζουμε παρακάτω, γιατί μάλλον είναι μεγάλο τελικά το ποσοστό στην χώρα μας που χρησιμοποιεί αυτές τις υπηρεσίες!

Ας δούμε λοιπόν αρχικά, τι προβλέπει πραγματικά η νομοθεσία, αποφεύγοντας τις υπερβολές και την παραπληροφόρηση.

Τι λέει ο νόμος;

Σύμφωνα με το άρθρο 65Α του Ν. 2121/1993, η χρήση, μετάδοση ή αναπαραγωγή παράνομου προστατευόμενου περιεχομένου επισύρει κυρώσεις. Το ίδιο ισχύει για την κατοχή εξοπλισμού ή λογισμικού που παρέχει πρόσβαση σε τέτοιες υπηρεσίες, καθώς και για τη δημόσια προβολή ή προώθηση τέτοιου περιεχομένου.

Ποια είναι τα πρόστιμα?

Τα πρόστιμα που ισχύουν σήμερα διαμορφώνονται ως εξής:

• € 750 για ιδιωτική χρήση.

• €1.500 για δημόσια προβολή.

• €5.000 για εμπορική εκμετάλλευση.

*Σε περίπτωση υποτροπής, τα πρόστιμα διπλασιάζονται.

Τι ισχύει για τις IP διευθύνσεις και τα προσωπικά δεδομένα;

Η αντίληψη ότι οι αρχές μπορούν να ταυτοποιήσουν έναν χρήστη μόνο μέσω της IP διεύθυνσής του είναι λανθασμένη. Οι πάροχοι γνωρίζουν την αντιστοίχιση IP – συνδρομητή, αλλά για τη χορήγηση αυτών των στοιχείων απαιτείται διαδικασία άρσης του απορρήτου, η οποία επιτρέπεται μόνο για σοβαρά αδικήματα και έπειτα από δικαστική απόφαση.

Για να δοθούν αυτά τα στοιχεία στις Αρχές, απαιτείται διαδικασία άρσης του απορρήτου των επικοινωνιών, σύμφωνα με τα άρθρα 6 και 8 του Ν. 5002/2022, όπως τροπ. και ισχύει.

Η άρση επιτρέπεται μόνο για ιδιαίτερα σοβαρά εγκλήματα (κακουργήματα και ορισμένα πλημμελήματα που απαριθμούνται περιοριστικά), με ειδικά αιτιολογημένο βούλευμα από το αρμόδιο δικαστικό συμβούλιο, έπειτα από πρόταση εισαγγελέα.

Συμπεράσματα

Η χρήση παράνομων IPTV και streaming υπηρεσιών μπορεί να επιφέρει κυρώσεις, ακόμα και για ιδιωτική χρήση. Οι αρχές δεν έχουν άμεση πρόσβαση στα προσωπικά στοιχεία των χρηστών, ενώ η ταυτοποίηση μέσω IP προϋποθέτει αυστηρές διαδικασίες. Ο Νόμος επικεντρώνεται στην οργανωμένη πειρατεία και την εμπορική εκμετάλλευση, όχι στους απλούς χρήστες.

Η σωστή ενημέρωση είναι το καλύτερο αντίμετρο στην παραπληροφόρηση. Αν θέλεις να αποφύγεις τα πρόστιμα, επένδυσε στη νόμιμη πρόσβαση στο περιεχόμενο που αγαπάς.

Παράδειγμα στην Ελλάδα

Υπόθεση του 2023: Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος σε συνεργασία με την ΕΔΠΠΙ και τους παρόχους ίντερνετ εντόπισε πάνω από 150 χρήστες που είχαν αγοράσει παράνομες IPTV συνδρομές.

 Τι συνέβη;

• Οι χρήστες έλαβαν κλήσεις για απολογία και πρόστιμα που ξεκινούσαν από 5.000 ευρώ.
• Ο διαχειριστής του δικτύου IPTV συνελήφθη και του επιβλήθηκε πρόστιμο 300.000 ευρώ, ενώ κατασχέθηκε ο εξοπλισμός του.

"Εντάξει, αλλά αν απλά παρακολουθώ χωρίς να πληρώνω;"

Ακόμα κι αν δεν αγοράζεις συνδρομή, η παρακολούθηση από μη εξουσιοδοτημένες πηγές (π.χ. πειρατικά livestreams) συνιστά παραβίαση πνευματικής ιδιοκτησίας. Οι ελληνικές αρχές έχουν ήδη ξεκινήσει να εφαρμόζουν διακοπή πρόσβασης μέσω ISPs και να εντοπίζουν χρήστες μέσω των ψηφιακών ιχνών τους.

Πώς να προστατευτείς;

Χρησιμοποίησε μόνο νόμιμες υπηρεσίες streaming.

Μην αγοράζεις «σπασμένες» IPTV συνδρομές, ακόμα κι αν φαίνονται «αξιόπιστες».

Αν πέσεις σε site που προσφέρει δωρεάν livestreams, θυμήσου ότι μπορεί να είναι επικίνδυνο και να σε εκθέσει σε κακόβουλο λογισμικό ή ακόμα και νομικές κυρώσεις.

Η ενημέρωση είναι η καλύτερη άμυνα! Μοιράσου αυτό το άρθρο για να προστατεύσεις φίλους και γνωστούς από τους κινδύνους της παράνομης IPTV.

Περίπου τα ίδια ισχύουν και για τα torrents!

Η λήψη torrents από αμφίβολες ιστοσελίδες ενέχει σημαντικούς κινδύνους τόσο από νομικής όσο και από τεχνικής άποψης.

• Νομικοί κίνδυνοι: Πολλά αρχεία torrents διανέμουν περιεχόμενο που προστατεύεται από πνευματικά δικαιώματα, γεγονός που μπορεί να οδηγήσει σε νομικές συνέπειες. Σε πολλές χώρες, οι πάροχοι υπηρεσιών διαδικτύου (ISP) παρακολουθούν τη δραστηριότητα torrents και μπορεί να ειδοποιήσουν τις αρχές ή να επιβάλουν περιορισμούς στους χρήστες.
• Ασφάλεια και κακόβουλο λογισμικό: Τα torrents από μη αξιόπιστες πηγές συχνά περιέχουν ιούς, malware ή ransomware που μπορούν να μολύνουν τον υπολογιστή ή τη συσκευή του χρήστη. Οι χάκερ χρησιμοποιούν αυτά τα αρχεία για να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα ή να εκμεταλλευτούν ευπάθειες στο σύστημα.
• Αποκάλυψη προσωπικών δεδομένων: Οι χρήστες torrents συνδέονται σε δίκτυα peer-to-peer (P2P), όπου η IP διεύθυνσή τους είναι ορατή σε άλλους χρήστες. Αυτό μπορεί να εκθέσει την ταυτότητά τους σε τρίτους, συμπεριλαμβανομένων αρχών ή κακόβουλων χρηστών.
• Χαμηλή ποιότητα και ψεύτικα αρχεία: Πολλά torrents δεν περιέχουν το περιεχόμενο που υπόσχονται ή είναι κακοποιημένα αρχεία που δεν λειτουργούν σωστά. Οι χρήστες συχνά κατεβάζουν αρχεία που αποδεικνύονται άχρηστα ή επικίνδυνα.

«Ο κυβερνοπόλεμος των Bots»

 

Δράττομαι της ευκαιρίας να αναφέρω δυο λόγια για το επίκαιρο θέμα του τίτλου, με αφορμή την συνέντευξη που παραχώρησε ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας στην δημόσια τηλεόραση, όπου έκανε κάποιες πολύ σοβαρές αποκαλύψεις σχετικά με τα bots, δηλαδή, τα ψεύτικα προφίλ στα social media, τα οποία τον τελευταίο καιρό έχουν ενεργοποιηθεί στην Ελλάδα και συμμετέχουν ουσιαστικά σε μια εκστρατεία για την εργαλειοποίηση και την χειραγώγηση των πολιτών σχετικά με την Εθνική τραγωδία των Τεμπών, θα ήθελα να αναλύσω τι ισχύει με αυτό το τεχνολογικό φαινόμενο.

Ο κυβερνοπόλεμος των bots στα social media, και ειδικά στις πλατφόρμες X (πρώην Twitter) και TikTok, αποτελεί μία από τις πλέον ανησυχητικές προκλήσεις της σύγχρονης ψηφιακής εποχής, καθώς επιδρά άμεσα στη διαμόρφωση της κοινής γνώμης και συχνά οδηγεί σε μαζική παραπληροφόρηση με σοβαρές κοινωνικοπολιτικές συνέπειες.

Τα bots, ήτοι, αυτοματοποιημένοι λογαριασμοί που λειτουργούν με αλγορίθμους και τεχνητή νοημοσύνη, χρησιμοποιούνται από κρατικούς φορείς, πολιτικές ομάδες, εταιρείες και εγκληματικά δίκτυα για να ενισχύσουν προπαγανδιστικά αφηγήματα και να δημιουργήσουν ψευδείς εντυπώσεις. Επιδιώκουν να ενισχύσουν ή να αποδυναμώσουν φωνές και να χειραγωγήσουν τη ροή των πληροφοριών.

Το X, ως πλατφόρμα ταχείας διάδοσης ειδήσεων και συζητήσεων- άμεσων σχολίων, έχει γίνει βασικός στόχος τέτοιων επιθέσεων, καθώς τα bots μπορούν να εκμεταλλευτούν όμως τάσεις (trending topics) και τα #hashtags για να διογκώσουν ή να υποβαθμίσουν συγκεκριμένα αφηγήματα.

Σημαντικά γεγονότα, όμως εκλογικές αναμετρήσεις, γεωπολιτικές κρίσεις, πόλεμοι και κοινωνικά κινήματα, έχουν επανειλημμένα αποτελέσει πεδίο δράσης οργανωμένων δικτύων bots που προωθούν προκατασκευασμένα αφηγήματα, διασπείρουν ψευδείς ειδήσεις ή επιτίθενται σε αντιφρονούντες.

Παρόμοια φαινόμενα παρατηρούνται και στο TikTok, όπου ο αλγόριθμος προώθησης περιεχομένου καθιστά ακόμα πιο εύκολη την εκμετάλλευση των bots για τη χειραγώγηση της κοινής γνώμης. Μέσα από μαζική δημιουργία βίντεο που προωθούν συγκεκριμένες πολιτικές ή κοινωνικές θέσεις, πλαστά προφίλ με μεγάλη απήχηση και συντονισμένες ενέργειες για τη χειραγώγηση των αλληλεπιδράσεων, τα bots μπορούν να δημιουργήσουν την ψευδαίσθηση μιας γενικευμένης αποδοχής ή και της απόρριψης του ζητήματος.

Η Κίνα, η Ρωσία και άλλες χώρες έχουν κατηγορηθεί επανειλημμένα για εκτεταμένη χρήση κυβερνοστρατηγικών που περιλαμβάνουν τη χρήση bots με σκοπό την στοχευμένη χειραγώγηση ξένων κοινωνιών και εκλογικών διαδικασιών.

Εταιρείες και διαφημιστικές καμπάνιες χρησιμοποιούν τεχνικές bot για την προώθηση προϊόντων, δημιουργώντας ψεύτικες αξιολογήσεις και στημένες τάσεις. Ο αντίκτυπος αυτού του φαινομένου είναι τεράστιος, καθώς η συνεχής έκθεση σε παραπληροφόρηση μπορεί να διαμορφώσει εσφαλμένες πεποιθήσεις, να οδηγήσει σε κοινωνική πόλωση και να επηρεάσει πολιτικές αποφάσεις με τρόπους που δεν ανταποκρίνονται στην πραγματική βούληση των πολιτών.

Οι πλατφόρμες έχουν προσπαθήσει να αντιμετωπίσουν το πρόβλημα μέσω αλγορίθμων εντοπισμού bots, συστημάτων ελέγχου ταυτότητας και πιο αυστηρών όρων χρήσης, όμως παρόλα αυτά, η συνεχής εξέλιξη των τεχνολογιών τεχνητής νοημοσύνης επιτρέπει τους κακόβουλους παράγοντες να παρακάμπτουν τις άμυνες αυτές.

Οι μεγάλες διαφορές στη νομοθεσία μεταξύ χωρών ανά την υφήλιο καθιστούν δύσκολη τη θέσπιση ενιαίων κανόνων που να αποτρέπουν τη μαζική χρήση bots για σκοπούς χειραγώγησης. Τόσο η Ευρωπαϊκή Ένωση, μέσω του Digital Services Act, όσο και οι Η.Π.Α., με τις αυξανόμενες ρυθμίσεις γύρω από τις εταιρείες τεχνολογιών και διαδικτύου, επιχειρούν να δημιουργήσουν διαφανείς διαδικασίες για τον εντοπισμό και την εξάλειψη των κακόβουλων δικτύων, όμως το φαινόμενο παραμένει εξαιρετικά δύσκολο να ελεγχθεί πλήρως.

Τα deepfake βίντεο, η συνδυασμένη χρήση AI-generated περιεχομένου και τα εξελιγμένα δίκτυα ψεύτικων λογαριασμών εντείνουν το πρόβλημα, καθιστώντας απαραίτητη την ανάπτυξη νέων εργαλείων κυβερνοασφάλειας και αυξημένης ευαισθητοποίησης του κοινού για την αναγνώριση παραπλανητικών πληροφοριών.

Σε ένα περιβάλλον όπου η πληροφορία αποτελεί βασικό όπλο του σύγχρονου κυβερνοπολέμου, η εκπαίδευση των πολιτών στην κριτική σκέψη και στην αποκάλυψη των μηχανισμών χειραγώγησης είναι πιο κρίσιμη από ποτέ.

*Διαβάστε το άρθρο στην καθημερινή τοπική εφημερίδα της Λάρισας "Ελευθερία" εδώ