Θα τσιμπούσατε το δόλωμα;
Φανταστείτε ότι δέχεστε ένα τηλεφώνημα από την τράπεζά σας που σας ενημερώνει ότι ο λογαριασμός σας έχει παραβιαστεί και ότι για να διατηρήσετε τα χρήματά σας ασφαλή, πρέπει να επιβεβαιώσετε τα προσωπικά σας στοιχεία. Ο επείγον χαρακτήρας του τηλεφωνήματος και ο «πανικός» στη φωνή του «υπαλλήλου» της τράπεζας μπορεί όντως να είναι αρκετός για να σας κάνει να μοιραστείτε ευαίσθητες πληροφορίες. Το πρόβλημα είναι ότι αυτό το άτομο μπορεί να μην έχει σχέση με την τράπεζά σας - ή μπορεί να μην υπάρχει καν, προειδοποιεί η ομάδα της παγκόσμιας εταιρίας λογισμικού ασφαλείας ESET. Θα μπορούσε να είναι απλώς μια φωνή που δημιουργήθηκε με τη βοήθεια της τεχνολογίας και που ακούγεται απόλυτα ανθρώπινη.
Αυτό δεν είναι καθόλου ασυνήθιστο και τα παραδείγματα τα τελευταία χρόνια είναι πολλά. Το 2019, ο διευθύνων σύμβουλος εταιρείας ενέργειας στο Ηνωμένο Βασίλειο εξαπατήθηκε από φωνή deepfake που έμοιαζε με τη φωνή του διευθύνοντα συμβούλου της μητρικής εταιρείας στη Γερμανία και πλήρωσε σχεδόν 220.000 ευρώ. Με τον ίδιο τρόπο, ένας εργαζόμενος στο λογιστήριο πολυεθνικής εταιρείας εξαπατήθηκε μέσω μιας deepfake βιντεοκλήσης το 2024, με αποτέλεσμα να κοστίσει στην εταιρεία του 25 εκατομμύρια δολάρια ΗΠΑ.
Τεχνητή νοημοσύνη, ο καταλύτης
Με τις σύγχρονες δυνατότητες κλωνοποίησης και μετάφρασης φωνής που προσφέρει η τεχνητή νοημοσύνη, το vishing και το smishing έχουν γίνει ευκολότερα από ποτέ. Ο JakeMoore, Παγκόσμιος Σύμβουλος Κυβερνοασφάλειας της ESET, έδειξε την ευκολία με την οποία ο καθένας μπορεί να δημιουργήσει μια πειστική έκδοση deepfake κάποιου άλλου - συμπεριλαμβανομένου και κάποιου που γνωρίζετε καλά. Πλέον δεν μπορούμε να εμπιστευτούμε ούτε τα μάτια ούτε τα αυτιά μας.
Η τεχνητή νοημοσύνη χαμηλώνει τον πήχη για τους κυβερνοεγκληματίες, χρησιμεύοντας ως ένα πολυδύναμο εργαλείο για τη συλλογή δεδομένων, την αυτοματοποίηση κουραστικών εργασιών και την δυνατότητα προσέγγισης θυμάτων διεθνώς. Κατά συνέπεια, το phishing με χρήση φωνών και κειμένου που δημιουργούνται από τεχνητή νοημοσύνη θα γίνει πιο συχνό.
Σε αυτό το σημείο, μια πρόσφατη έκθεση της Enea κατέγραψε αύξηση κατά 1.265% στις απάτες phishing από την κυκλοφορία του ChatGPT τον Νοέμβριο του 2022 και επισήμανε τη δυνατότητα των μεγάλων γλωσσικών μοντέλων να συμβάλλουν στην τροφοδότηση τέτοιων κακόβουλων επιχειρήσεων.
Ποιο είναι το όνομα και το τηλέφωνό σας;
Όπως αποδεικνύεται από έρευνα του ConsumerReports από το 2022, οι άνθρωποι είναι πιο ευαισθητοποιημένοι σε θέματα προστασίας της ιδιωτικής ζωής από ό,τι στο παρελθόν. Περίπου το 75% των ερωτηθέντων ανησυχούσε για την προστασία των δεδομένων τους που συλλέγονται στο διαδίκτυο, στα οποία μπορεί να περιλαμβάνονται και αριθμοί τηλεφώνου, καθώς αποτελούν πολύτιμη πηγή τόσο για την ταυτοποίηση όσο και για τη διαφήμιση.
Όμως τώρα που έχουμε αφήσει πίσω την εποχή των τηλεφωνικών καταλόγων, πώς λειτουργεί αυτή η σύνδεση μεταξύ τηλεφωνικών αριθμών και διαφήμισης;
Σκεφτείτε το εξής ενδεικτικό παράδειγμα: ένας φίλαθλος τοποθέτησε εισιτήρια αγώνων στο καλάθι μιας ειδικής εφαρμογής για την αγορά εισιτηρίων, αλλά δεν ολοκλήρωσε την αγορά. Και όμως, λίγο μετά το κλείσιμο της εφαρμογής, έλαβε ένα τηλεφώνημα που του πρόσφερε έκπτωση στα εισιτήρια. Φυσικά, ήταν μπερδεμένος, αφού δεν θυμόταν να έχει δώσει τον αριθμό τηλεφώνου του στην εφαρμογή. Πώς βρήκαν τον αριθμό του, τότε;
Η απάντηση είναι - μέσω εντοπισμού (tracking). Ορισμένοι trackers μπορούν να συλλέγουν συγκεκριμένες πληροφορίες από μια ιστοσελίδα, οπότε αφού συμπληρώσετε τον αριθμό τηλεφώνου σας σε μια φόρμα, ένας tracker θα μπορούσε να τον εντοπίσει και να τον αποθηκεύσει για να δημιουργήσει αυτό που συχνά αποκαλείται εξατομικευμένο περιεχόμενο και εμπειρία. Υπάρχει ένα ολόκληρο επιχειρηματικό μοντέλο γνωστό ως "databrokering", και τα κακά νέα είναι ότι δεν χρειάζεται παραβίαση για να δημοσιοποιηθούν τα δεδομένα.
Tracking, databrokers, και διαρροές
Οι data brokers είναι εταιρείες που συγκεντρώνουν τις προσωπικές σας πληροφορίες από δημόσια διαθέσιμες πηγές (κρατικές υπηρεσίες), από εμπορικές πηγές (εταιρείες, όπως παρόχους πιστωτικών καρτών ή καταστήματα), καθώς και από την παρακολούθηση των διαδικτυακών σας δραστηριοτήτων (δραστηριότητες στα μέσα κοινωνικής δικτύωσης, κλικ σε διαφημίσεις κ.λπ.), πριν πουλήσουν τις πληροφορίες αυτές σε άλλους.
Το ερώτημα βέβαια είναι: πώς μπορούν οι απατεώνες να αποκτήσουν τους αριθμούς τηλεφώνου άλλων ανθρώπων;
Ψάχνοντας για θύματα
Με όσο περισσότερες εταιρείες, ιστοσελίδες και εφαρμογές μοιράζεστε τις προσωπικές σας πληροφορίες, τόσο πιο λεπτομερές είναι το προσωπικό σας "προφίλ μάρκετινγκ". Αυτό αυξάνει επίσης τον κίνδυνο από διαρροές δεδομένων, δεδομένου ότι οι ίδιοι οι databrokers μπορεί να αντιμετωπίσουν περιστατικά ασφαλείας. Ένας databroker θα μπορούσε επίσης να πουλήσει τις πληροφορίες σας σε άλλους, ενδεχομένως και σε κακόβουλους παράγοντες.
Όμως οι databrokers, ή οι παραβιάσεις που τους επηρεάζουν, δεν είναι η μόνη πηγή από την οποία μπορούν οι απατεώνες να αποκτήσουν αριθμούς τηλεφώνων. Η ομάδα της ESET αναφέρει μερικούς από τους τρόπους με τους οι εγκληματίες μπορούν να αποκτήσουν τον αριθμό του τηλεφώνου σας:
- Δημόσιες πηγές: Οι ιστοσελίδες κοινωνικής δικτύωσης ή οι διαδικτυακές πλατφόρμες εργασίας μπορεί να εμφανίζουν τον αριθμό τηλεφώνου σας. Σε περίπτωση που οι ρυθμίσεις απορρήτου δεν έχουν επιλεγεί σωστά ή δεν γνωρίζετε τις συνέπειες της αποκάλυψης του αριθμού τηλεφώνου σας στο προφίλ σας στα μέσα κοινωνικής δικτύωσης, ο αριθμός σας μπορεί να είναι διαθέσιμος σε οποιονδήποτε, ακόμη και σε έναν webscraper τεχνητής νοημοσύνης.
- Κλεμμένοι λογαριασμοί: Διάφορες διαδικτυακές υπηρεσίες απαιτούν τον αριθμό τηλεφώνου σας, είτε για να επιβεβαιώσετε την ταυτότητά σας, είτε για να κάνετε μια παραγγελία, είτε για να χρησιμεύσει ως παράγοντας ελέγχου ταυτότητας. Όταν οι λογαριασμοί σας υποστούν παραβίαση δεδομένων λόγω αδύναμων κωδικών πρόσβασης ή ένας από τους διαδικτυακούς παρόχους υποστεί παραβίαση δεδομένων, ο αριθμός σας μπορεί εύκολα να διαρρεύσει.
- Αυτόματες κλήσεις: Οι απατεώνες καλούν τυχαίους αριθμούς και μόλις απαντήσετε στην κλήση, μπορεί να γίνετε στόχος απάτης. Μερικές φορές αυτοί οι αυτόματοι τηλεφωνητές καλούν απλώς για να επιβεβαιώσουν ότι ο αριθμός είναι σε χρήση, ώστε να προστεθεί σε έναν κατάλογο στόχων.
- Ταχυδρομείο: Ελέγξτε τυχόν πρόσφατες παραδόσεις σας - αυτές συνήθως έχουν τη διεύθυνσή σας εμφανή στο γράμμα/κουτί, αλλά σε ορισμένες περιπτώσεις μπορεί να έχουν επίσης τυπωμένο το email ή τον αριθμό τηλεφώνου σας. Τι γίνεται αν κάποιος έκλεψε κάποιο γράμμα ή έψαξε στα σκουπίδια σας;
Oαμερικανικός όμιλος τηλεπικοινωνιών AT&T αποκάλυψε πρόσφατα ότι τα αρχεία κλήσεων και μηνυμάτων κειμένου εκατομμυρίων πελατών από τα μέσα έως τα τέλη του 2022 εκτέθηκαν σε μια μαζική διαρροή δεδομένων. Κλάπηκαν οι αριθμοί τηλεφώνου σχεδόν όλων των πελατών της εταιρείας και των ανθρώπων που χρησιμοποιούν το δίκτυο κινητής τηλεφωνίας, επίσης τα στοιχεία για τη διάρκεια των κλήσεων και ο αριθμός των κλήσεων. Το περιεχόμενο των κλήσεων και των κειμένων δεν φέρεται να περιλαμβάνεται στα δεδομένα που παραβιάστηκαν, όπως αναφέρει το CNN.
Σύμφωνα με πληροφορίες, η ευθύνη μπορεί να αποδοθεί σε μια πλατφόρμα cloud τρίτης εταιρείας, στην οποία είχε πρόσβαση ένας κακόβουλος δράστης.
Πώς να προστατέψετε τον αριθμό του τηλεφώνου σας
Πώς μπορείτε λοιπόν να προστατέψετε τον εαυτό σας και τον αριθμό του τηλεφώνου σας; Ακολουθούν μερικές συμβουλές από την ομάδα της ESET:
- Το νου σας στο ηλεκτρονικό ψάρεμα (phishing). Μην απαντάτε ποτέ σε ανεπιθύμητα μηνύματα/κλήσεις από άγνωστους αριθμούς, μην κάνετε κλικ σε τυχαίους συνδέσμους στα μηνύματα ηλεκτρονικού ταχυδρομείου/μηνύματά σας και θυμηθείτε να διατηρείτε την ψυχραιμία σας και να σκέφτεστε πριν αντιδράσετε σε μια φαινομενικά επείγουσα κατάσταση, γιατί έτσι σας παγιδεύουν.
- Ρωτήστε τον πάροχόσας σχετικά με τα μέτρα ασφαλείας της SIM. Ενδέχεται να διαθέτουν, για παράδειγμα, επιλογή για κλείδωμα της κάρτας για προστασία από το SIM Swapping ή πρόσθετα επίπεδα ασφαλείας λογαριασμού για την αποτροπή απάτης όπως η προώθηση κλήσεων.
- Προστατέψτε τους λογαριασμούς σας με έλεγχο ταυτότητας δύο παραγόντων, ιδανικά χρησιμοποιώντας ειδικά κλειδιά ασφαλείας, εφαρμογές ή βιομετρικά στοιχεία αντί για επαλήθευση μέσω SMS.
- Σκεφτείτε διπλά πριν δώσετε τον αριθμό τηλεφώνου σας σε μια ιστοσελίδα. Παρόλο που η χρήση του ως πρόσθετη επιλογή ανάκτησης για τις διάφορες εφαρμογές σας μπορεί να είναι χρήσιμη, άλλες μέθοδοι, όπως δευτερεύοντα μηνύματα ηλεκτρονικού ταχυδρομείου/εφαρμογές επαλήθευσης (authenticators), θα μπορούσαν να προσφέρουν μια πιο ασφαλή εναλλακτική λύση.
- Για αγορές μέσω διαδικτύου, σκεφτείτε να χρησιμοποιήσετε μια προπληρωμένη κάρτα SIM ή μια υπηρεσία VoIP αντί για τον κανονικό αριθμό του τηλεφώνου σας.
- Χρησιμοποιήστε μια αξιόπιστη λύση ασφαλείας για κινητά με φιλτράρισμα κλήσεων και βεβαιωθείτε ότι τα cookies τρίτων στο πρόγραμμα περιήγησης σας είναι αποκλεισμένα. Διερευνήστε άλλα εργαλεία και τεχνολογίες που ενισχύουν την ιδιωτικότητα.
Σε έναν κόσμο που βασίζεται όλο και περισσότερο στην ηλεκτρονική τήρηση αρχείων, είναι σχεδόν απίθανο να μη βρίσκεται αποθηκευμένος κάπου ο αριθμός του τηλεφώνου σας. Και όπως υποδηλώνει το περιστατικό με την AT&T, το να βασίζεστε στην ασφάλεια του δικού σας παρόχου τηλεπικοινωνιών δεν αρκεί. Αυτό όμως δε σημαίνει ότι θα πρέπει να γίνετε παρανοϊκοί.
Αυτά τα περιστατικά αναδεικνύουν τη σημασία της τήρησης των κανόνων κυβερνο-υγιεινής και της προστασίας των δεδομένων σας στο διαδίκτυο. Η επαγρύπνηση εξακολουθεί να είναι το κλειδί, ειδικά λαμβάνοντας υπόψη τις επιπτώσεις του νέου, τροφοδοτούμενου από την Τεχνητή Νοημοσύνη (υπό)κοσμου.
Σχετικά με την ESET
Εδώ και 30 χρόνια, η ESET® αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το www.eset.com/gr.
Μάθετε πρώτοι τα νέα της ESET Hellas: