Τι είναι το Phishing;
Με τον όρο phishing (ηλεκτρονικό ψάρεμα) αναφερόμαστε στην προσπάθεια κάποιου να αποσπάσει προσωπικά σου δεδομένα μέσω διαδικτύου, προσποιούμενος ότι είναι κάποιος που εμπιστεύεσαι. Συνήθως αυτή η απάτη γίνεται μέσω email, όπου ο αποστολέας φαίνεται επίσημος αλλά στην πραγματικότητα δεν είναι.
Ο όρος “phishing” προέρχεται από τη λέξη “fishing”, καθώς οι δράστες “ψαρεύουν” ανυποψίαστα θύματα, χρησιμοποιώντας ως δόλωμα πλαστά μηνύματα που φαίνονται αληθινά. Ο στόχος τους είναι να σε κάνουν να αποκαλύψεις στοιχεία όπως κωδικούς πρόσβασης, αριθμούς τραπεζικών καρτών ή άλλων προσωπικών δεδομένων, χωρίς να το καταλάβεις.
Πώς Λειτουργεί το Phishing;
Οι απατεώνες στήνουν το “δόλωμα” τους συνήθως μέσω από μηνύματα ηλεκτρονικού ταχυδρομείου, αλλά και μέσω SMS ή ακόμα και ψεύτικων σελίδων στο διαδίκτυο. Τα μηνύματα αυτά μοιάζουν αληθινά. Έχουν λογότυπα, επίσημο ύφος και περιέχουν συνδέσμους που σε οδηγούν σε σελίδες που μοιάζουν (αλλά δεν είναι) πραγματικές.
Ο στόχος είναι να σε κάνουν να πληκτρολογήσεις κωδικούς πρόσβασης, στοιχεία τραπεζικών καρτών, ή άλλες ευαίσθητες πληροφορίες. Όταν το κάνεις, χωρίς να το ξέρεις, τα στοιχεία καταλήγουν στον απατεώνα.
Ποιές Μεθοδους Phishing Υπάρχουν;
Το ηλεκτρονικό ψάρεμα (phishing) δεν περιορίζεται πια σε ένα ύποπτο email. Οι απατεώνες εξελίσσουν συνεχώς τις τεχνικές τους, αξιοποιώντας κάθε ψηφιακό κανάλι που χρησιμοποιούμε στην καθημερινότητά μας, δημιουργώντας νέες απειλές .
Οι πιο συνηθισμένες μορφές που έχουν καταγραφεί είναι:
Email phishing
Η πιο διαδεδομένη μέθοδος. Λαμβάνεις ένα email που φαίνεται ότι προέρχεται από τράπεζα, υπηρεσία του Δημοσίου ή γνωστή εταιρεία. Περιέχει ένα link και σε καλεί να “επιβεβαιώσεις” στοιχεία, να “ξεκλειδώσεις” τον λογαριασμό σου ή να “λάβεις” κάποιο ποσό. Το link, φυσικά, οδηγεί σε ψεύτικη ιστοσελίδα που μοιάζει αυθεντική και έκει…
Smishing (phishing μέσω SMS)
Τα ίδια κόλπα, αλλά μέσω μηνυμάτων στο κινητό. Λαμβάνεις SMS που υποτίθεται ότι είναι από την τράπεζά σου, για παράδειγμα, από τα ΕΛΤΑ ή από κάποια κρατική πλατφόρμα, με παραπλανητικό link. Το σενάριο συνήθως περιλαμβάνει “πρόβλημα στην παραγγελία”, “επιστροφή φόρου” ή “λήξη προθεσμίας”.
Vishing (voice phishing)
Το vishing είναι η φωνητική εκδοχή του phishing. Οι απατεώνες, αντί να στέλνουν emails, σε καλούν τηλεφωνικά και προσποιούνται υπάλληλο τράπεζας, δημόσιου οργανισμού ή τεχνικής υποστήριξης. Μπορεί να σου πουν ότι κάποιος προσπαθεί να μπει στον λογαριασμό σου και να σε πείσουν να “δώσεις κωδικό για να τον μπλοκάρουν”.
Phishing μέσω social media ή messaging apps
Σελίδες ή λογαριασμοί στο Facebook, στο Instagram ή ακόμη και σε εφαρμογές όπως το Viber ή το WhatsApp μπορεί να σου στείλουν μηνύματα που δείχνουν αληθινά. Μπορεί να περιλαμβάνουν δήθεν προσφορές, διαγωνισμούς ή βραβεία ή να φαίνονται σαν να προέρχονται από κάποιον γνωστό σου που “χρειάζεται επειγόντως χρήματα”.
Fake Websites
Πολλές απάτες phishing σε οδηγούν σε σελίδες που μοιάζουν με τις πραγματικές, αλλά δεν είναι. Είναι ψεύτικες απομιμήσεις, φτιαγμένες για να σε ξεγελάσουν και να καταχωρήσεις εκεί τα στοιχεία σου. Συχνά η διεύθυνση domain και η διεύθυνση url έχει μικρές διαφορές, όπως gov-gr.com αντί για gov.gr, που δεν φαίνονται εύκολα με μια ματιά με αποτέλεσμα να την πατάς χωρίς να το καταλάβεις.
QR Phishing (quishing)
Μια πιο σύγχρονη μορφή phishing είναι το quishing (QR Phishing). Οι επιτήδειοι χρησιμοποιούν QR codes τα οποία, όταν τα σκανάρεις, σε οδηγούν σε ψεύτικες ιστοσελίδες που μοιάζουν αληθινές. Αυτά τα QR μπορεί να σταλούν μέσω email ή ακόμα και να εμφανίζονται τυπωμένα σε φυλλάδια, αφίσες ή δημόσιους χώρους. Δείχνουν αθώα αλλά οδηγούν σε επικίνδυνο έδαφος.
Phishing μέσω διαφημίσεων (malvertising)
Σε κάποιες περιπτώσεις, ψεύτικες διαφημίσεις σε ιστοσελίδες σε οδηγούν σε phishing σελίδες. Οι επιτήδειοι επενδύουν ακόμα και σε πληρωμένες καμπάνιες για να εμφανίζονται πιο “νόμιμοι”.
Ποιες Πληροφορίες Αναζητούν Οι Επιτήδειοι;
Οι δράστες phishing δεν στέλνουν απλώς «ύποπτα» μηνύματα χωρίς στόχο. Στοχεύουν σε πολύ συγκεκριμένα δεδομένα, με οικονομική ή προσωπική αξία. Τα στοιχεία που προσπαθούν να αποσπάσουν είναι συνήθως:
- Ονόματα χρήστη και κωδικοί πρόσβασης
- Στοιχεία τραπεζικών λογαριασμών και πιστωτικών καρτών
- ΑΦΜ, αριθμοί ταυτότητας ή κοινωνικής ασφάλισης
- Κωδικοί e-banking ή email
- Στοιχεία ταυτοποίησης σε κρατικές πλατφόρμες (π.χ. Taxisnet, gov.gr)
Αυτού του τύπου τα δεδομένα μπορούν να χρησιμοποιηθούν για κλοπή χρημάτων, παραβίαση λογαριασμών, υποκλοπή προσωπικών πληροφοριών ή ακόμα και για εκβιασμό ή μεταπώληση στη μαύρη αγορά.
Η Αυξανόμενη Απειλή του Phishing στην Ελλάδα
Το phishing δεν είναι πια ένα μεμονωμένο περιστατικό ή μια απλή ενόχληση – αποτελεί μια διαρκώς αυξανόμενη απειλή, που επηρεάζει τόσο πολίτες όσο και επιχειρήσεις στην Ελλάδα. Οι επιτήδειοι εκμεταλλεύονται την εξοικείωσή μας με τις ψηφιακές υπηρεσίες και επινοούν διαρκώς νέους τρόπους για να αποσπούν προσωπικά και τραπεζικά στοιχεία.
Ένα από τα πιο πρόσφατα περιστατικά phishing στην Ελλάδα σημειώθηκε τον Απρίλιο του 2024. Πολλοί πολίτες έλαβαν SMS που υποτίθεται πως προέρχεται από την ΑΑΔΕ, ενημερώνοντάς τους ότι δικαιούνται επιστροφή φόρου και καλώντας τους να πατήσουν σε έναν σύνδεσμο για να την “εισπράξουν”.
Το μήνυμα οδηγούσε σε ψεύτικη ιστοσελίδα, η οποία ζητούσε τραπεζικά στοιχεία και στοιχεία κάρτας. Η ΑΑΔΕ εξέδωσε επίσημη προειδοποίηση, τονίζοντας ότι δεν αποστέλλει τέτοιες ειδοποιήσεις μέσω SMS και προέτρεψε τους πολίτες να διαγράψουν αμέσως το μήνυμα και να μην εισάγουν κανένα στοιχείο.
Το περιστατικό αυτό δείχνει πως οι επιτήδειοι πλέον εκμεταλλεύονται την περίοδο των φορολογικών δηλώσεων, στήνοντας απάτες που “πατούν” σε θέματα που αφορούν όλους — και μάλιστα με επίσημο ύφος που μοιάζει πειστικό.
Η Υπόθεση των ΕΛΤΑ
Τον Μάρτιο του 2022, τα Ελληνικά Ταχυδρομεία (ΕΛΤΑ) βρέθηκαν στο επίκεντρο μιας σοβαρής κυβερνοεπίθεσης που παρέλυσε τα πληροφοριακά τους συστήματα.
Η επίθεση ξεκίνησε, σύμφωνα με τις αναφορές, από ένα απλό περιστατικό phishing: ένας υπάλληλος φαίνεται να άνοιξε ένα παραπλανητικό email ή αρχείο, με αποτέλεσμα να εγκατασταθεί κακόβουλο λογισμικό (malware) στο εσωτερικό δίκτυο της εταιρείας.
Αυτό το πρώτο “πάτημα” άνοιξε τον δρόμο για τους δράστες να κινηθούν μέσα στα συστήματα και να προκαλέσουν εκτεταμένη διακοπή λειτουργιών.
Η ζημιά ήταν σημαντική: οι πληρωμές συντάξεων καθυστέρησαν, οι αποστολές δέματος “πάγωσαν” για ημέρες, ενώ χρειάστηκε να τεθούν προσωρινά εκτός λειτουργίας κρίσιμα τμήματα του ψηφιακού τους περιβάλλοντος.
Το περιστατικό αυτό δείχνει με ξεκάθαρο τρόπο πόσο κρίσιμη μπορεί να γίνει μια “αθώα” απάτη phishing, όχι μόνο για μεμονωμένα άτομα, αλλά και για μεγάλους οργανισμούς. Ένα απλό κλικ σε έναν ψεύτικο σύνδεσμο ή ένα “φαινομενικά φυσιολογικό” συνημμένο, μπορεί να οδηγήσει σε παραλύσεις, οικονομικές απώλειες και διαρροές δεδομένων.
Τι Μπορείς να Κάνεις για να Προστατευτείς;
Δεν χρειάζεται να είσαι ειδικός ή να έχεις γνώσεις υπολογιστών για να προστατευτείς από επιθέσεις phishing. Αυτό που χρειάζεται είναι λίγο παραπάνω καχυποψία στην καθημερινότητά μας και αν είστε προσεκτικοί, θα μπορέσετε να αποφύγετε αυτές τις απάτες.
Οπότε, τι μπορεί να κάνει ο καθένας από εμάς για να νιώθει πιο ασφαλής όταν χρησιμοποιεί το email του, διαβάζει μηνύματα ή επισκέπτεται ιστοσελίδες;
1. Μην κοινοποιείς προσωπικά στοιχεία
Μην δίνεις τα προσωπικά σου στοιχεία σε κανέναν, όσο “επίσημος” κι αν σου φαίνεται. Αν κάποιος σου ζητήσει τραπεζικούς κωδικούς, PIN κάρτας ή τους login κωδικούς πρόσβασης στο Taxisnet μέσω email ή SMS, αγνόησέ τον. Καμία υπηρεσία δεν ζητά τέτοια στοιχεία με αυτόν τον τρόπο.
2. Χρησιμοποίησε πάντα τις επίσημες ιστοσελίδες
Όταν θέλεις να μπεις σε οποιαδήποτε ψηφιακή υπηρεσία, είτε αφορά κρατική πλατφόρμα, είτε τράπεζα, online αγορές ή οτιδήποτε άλλο, πληκτρολόγησε εσύ τη διεύθυνση στον browser ή άνοιξε την επίσημη εφαρμογή της υπηρεσίας.
Μην πατάς σε συνδέσμους που σου έρχονται μέσω email, SMS ή μηνύματα στα social. Ακόμα κι αν φαίνονται αυθεντικοί, μπορεί να σε οδηγήσουν σε σελίδες/απομιμήσεις που σκοπό έχουν να σου αποσπάσουν προσωπικά στοιχεία.
3. Έλεγξε τα προσεκτικά τα emails
Αν λάβεις email ή μήνυμα που περιέχει σύνδεσμο (link), μην το πατήσεις κατευθείαν. Πέρασε το ποντίκι από πάνω (ή κράτησέ το πατημένο στο κινητό) και δες προσεκτικά τη διεύθυνση. Αν σου φαίνεται περίεργη ή ασυνήθιστη, είναι πολύ πιθανό να πρόκειται για παγίδα.
Επιπλέον, κοίτα με προσοχή τη διεύθυνση του αποστολέα. Οι απατεώνες χρησιμοποιούν email που μοιάζουν πολύ με τα επίσημα — αλλά δεν είναι. Μπορεί να έχει αλλάξει ένα γράμμα, να υπάρχει παραπάνω μια τελεία ή η κατάληξη να είναι .info αντί για .gr. Αυτές οι μικρές διαφορές συχνά κρύβουν μεγάλους κινδύνους.
4. Πάρε τηλέφωνο
Αν κάτι σου φαίνεται ύποπτο ή σε προβληματίζει, μην απαντήσεις στο email ή το μήνυμα που έλαβες. Αντί γι’ αυτό, επικοινώνησε εσύ ο ίδιος με τον οργανισμό ή την υπηρεσία, χρησιμοποιώντας το επίσημο τηλέφωνο ή τη διεύθυνση url από την πραγματική ιστοσελίδα.
Υποψιάζεστε Ότι Έχετε Πέσει Θύμα Phishing;
Αν έχετε την υποψία ότι δώσατε προσωπικά στοιχεία σε λάθος άτομο μέσω email, μηνύματος ή ψεύτικης ιστοσελίδας, ή αν θέλετε να ενισχύσετε την προστασία σας στο διαδίκτυο, επικοινωνήστε μαζί μας άμεσα.
Η ομάδα μας θα σας βοηθήσει να καταλάβετε τι ακριβώς συνέβη, ποια είναι τα επόμενα βήματα που πρέπει να ακολουθήσετε και πώς μπορείτε να περιορίσετε τον κίνδυνο.
