Ασφάλεια στο ίντερνετ | Τι πρέπει να προσέξουμε για να είμαστε ασφαλείς online
Όσο η τεχνολογία εξελίσσεται και μας προσφέρονται νέα εργαλεία για να επικοινωνήσουμε και να περιηγηθούμε στο ίντερνετ, η ασφάλειά μας γίνεται ολοένα και πιο πολύπλοκη. Για παράδειγμα όταν δημιουργήθηκε ο πρώτος browser, δεν υπήρχε καν η ιδέα της κρυπτογραφημένης σύνδεσης, κάτι που στις μέρες μας είναι απολύτως απαραίτητη. Σήμερα λοιπόν θα ρίξουμε μια ματιά στα προβλήματα που ενέχει η είσοδός μας στο ίντερνετ και θα προτείνουμε τις αντίστοιχες λύσεις.
Θα δούμε μία μίξη προτάσεων η οποία αφορά τα εργαλεία που χρησιμοποιούμε για να μπούμε στο ίντερνετ, τα οποία γίνονται συχνά στόχος επιθέσεων, τα μέτρα που μπορούμε να λάβουμε για την προστασία των λογαριασμών μας, καθώς και κάποιες λεπτομέρειες που πρέπει να προσέχουμε γενικότερα.
Ακολουθούμε την κοινή λογική
Πριν καν ξεκινήσουμε να μιλάμε για κανόνες περιήγησης, προστασία λογαριασμών και λοιπά, πρέπει να πούμε το εξής:
Πάντα μα ΠΑΝΤΑ κινούμαστε με την κοινή λογική στο ίντερνετ!
Όπως για παράδειγμα δεν μπαίνεις σε ένα ψιλικατζίδικο για να αγοράσεις λάστιχα αυτοκινήτου, έτσι και δεν πρέπει να μπαίνεις σε άσχετες σελίδες για να κάνεις άσχετα πράγματα. Όπως δε μιλάς σε έναν άγνωστο στο δρόμο, έτσι δεν απαντάς σε ένα email από άγνωστο αποστολέα. Όπως δείχνεις την ταυτότητά σου μόνο στην αστυνομία, την εφορία ή την τράπεζα, έτσι πρέπει να δίνεις τα προσωπικά σου στοιχεία μόνο σε αντίστοιχα νόμιμες, ψηφιακές υπηρεσίες.
Ελέγχουμε πάντα τη διεύθυνση (email ή ιστοσελίδας)
Ένας από τους δημοφιλέστερους τρόπους με τους οποίους διάφοροι επιτήδειοι προσπαθούν να αποσπάσουν τα στοιχεία μας, είναι υποδειόμενοι κάποιον γνωστό μας ή έναν οργανισμό που εμπιστευόμαστε. Φαινομενικά δηλαδή ένα email μπορεί να προέρχεται από ένα συγγενικό μας πρόσωπο ή να περιέχει ένα link που επίσης φαινομενικά οδηγεί για παράδειγμα στην ιστοσελίδα της τράπεζάς μας. Αν και οι μεγάλοι πάροχοι όπως το Gmail κάνουν ότι μπορούν για να στείλουν στα ανεπιθύμητα αυτά τα email, πολλές φορές μερικά από αυτά ξεφεύγουν οπότε θα πρέπει να γνωρίζουμε πώς θα τα ξεχωρίσουμε.
Ελέγχουμε λοιπόν τη διεύθυνση email από την οποία προέρχεται το μήνυμα. Άσχετα αν στο όνομα γράφει "Ο αδερφός μου" και ασχέτως με το περιεχόμενο του email, τσεκάρουμε αν η διεύθυνση από την οποία προέρχεται είναι η σωστή. Εννοείται βέβαια οτι δεν μπορούμε να γνωρίζουμε όλα τα email και όλες τις ηλεκτρονικές διευθύνσεις, οπότε ένας εύκολος τρόπος για να τα ελέγξουμε είναι ο "τομέας" τους.
Για παράδειγμα αν η τράπεζα Eurobank αποφασίσει να μας στείλει κάποιο email, τότε αυτό λογικά θα προέρχεται από τον τομέα "eurobank.gr". Το email της δηλαδή θα μοιάζει κάπως έτσι:
όνομαχρήστη@eurobank.gr
Πώς καταλαβαίνουμε οτι όντως προέρχεται από την τράπεζα; Αν μπούμε στο "eurobank.gr" μέσα από έναν browser, θα δούμε οτι εκεί βρίσκεται η επίσημη σελίδα της. Η μοναδική περίπτωση κατά την οποία ένα email από το συγκεκριμένο τομέα δεν έρχεται από την τράπεζα, είναι να έχει χακάρει κάποιος τον email server της και να στέλνει επιστολές στο όνομά της. Σε αυτή την περίπτωση δεν είναι δυνατόν να καταλάβουμε την απάτη, αλλά πρόκειται για ένα πολύ ακραίο περιστατικό.
Αντίστοιχα όταν ένα email μας προτρέπει να επισκεφτούμε ένα link, μπορούμε να δούμε τη διεύθυνση στην οποία θα μας οδηγήσει, για να καταλάβουμε αν όντως θα μας πάει εκεί που υπόσχεται. Για παράδειγμα στο link που ακολουθεί βρίσκεται η κεντρική σελίδα του Dr. Android ή μήπως όχι;
Μπορούμε να το τσεκάρουμε πριν το πατήσουμε. Αν βρισκόμαστε σε υπολογιστή, απλά αφήνουμε το ποντίκι πάνω στο link και ο browser θα μας εμφανίσει στο κάτω μέρος τον προορισμό. Αν είμαστε από το κινητό, κρατάμε πατημένο το link μέχρι να μας εμφανίσει το παράθυρο για άνοιγμα στον browser. Εκεί μπορούμε και πάλι να δούμε τον προορισμό πριν τον επισκεφτούμε.
Τέλος αξίζει να πούμε οτι τα email που προέρχονται από τομείς μεγάλων παρόχων είναι συνήθως ακίνδυνα, γιατί τα φίλτρα που χρησιμοποιούν οι μεγάλοι πάροχοι δεν επιτρέπουν τη μαζική αποστολή "spam" email. Αν δηλαδή το email του αποστολέα τελειώνει σε "@gmail.com" ή "@outlook.com", πιθανότατα δε θα έχουμε πρόβλημα. Για να είμαστε σίγουροι βέβαια χρησιμοποιούμε την κοινή λογική που είπαμε προηγουμένως, δηλαδή δεν απαντάμε σε αγνώστους.
Ρυθμίζουμε τον browser μας για ασφαλή περιήγηση
Το βασικό εργαλείο με το οποίο μπαίνουμε στο ίντερνετ είναι φυσικά ο browser. Αφενός θα πρέπει να τον έχουμε ρυθμίσει σωστά για να λειτουργεί προς όφελός μας και αφετέρου θα πρέπει να μάθουμε να διαβάζουμε τις χρήσιμες πληροφορίες που μας παρέχει.
Για παράδειγμα όλες οι σελίδες στις οποίες μπαίνουμε και ειδικά αυτές που κάνουμε login με το λογαριασμό μας ή ηλεκτρονικές πληρωμές με τα τραπεζικά μας στοιχεία, πρέπει ΟΠΩΣΔΗΠΟΤΕ να έχουν το σύμβολο με την "κλειδαριά" και την ένδειξη "HTTPS" (οι browser συνήθως κρύβουν τη δεύτερη πληροφορία). Αυτό σημαίνει οτι η σύνδεσή μας με τη συγκεκριμένη ιστοσελίδα είναι κρυπτογραφημένη και δεν μπορούν να κλαπούν τα στοιχεία μας κατά την πληκτρολόγησή τους.
Στην ασφάλεια της περιήγησής μας μπορούν να μας βοηθήσουν επίσης οι επεκτάσεις (add-on). Χρησιμοποιώντας κάποιες επιλεγμένες, μπορούμε να αποκλείσουμε κακόβουλο κώδικα Javascript που κρύβεται στις σελίδες και τις διαφημίσεις, ο οποίος μπορεί να εγκαταστήσει ιούς ή malware στον υπολογιστή μας. Τρεις από τις σημαντικότερες επεκτάσεις που θα βρούμε για παράδειγμα στον Firefox είναι οι εξής:
- το uBlock Origin το οποίο αποκλείει τις διαφημίσεις από τις σελίδες,
- το HTTPS Everywhere που μας ανοίγει όλες τις σελίδες με κρυπτογραφημένη σύνδεση και
- το NoScript το οποίο αποκλείει τα script για τα οποία μιλήσαμε πριν.
Ένα πράγμα που οφείλουμε να πούμε είναι οτι πολλές επεκτάσεις (ειδικά στον Chrome), μας έχουν αποδείξει πολλάκις στο παρελθόν οτι δεν είναι καθόλου ασφαλείς. Διαλέγουμε λοιπόν μόνο λίγες και έμπιστες, σαν αυτές που προαναφέραμε.
Διαφήμιση
Επιλέγουμε σωστούς κωδικούς ασφαλείας για τους λογαριασμούς μας
Δε θα μπορούσαμε σε αυτό το άρθρο να μη μιλήσουμε και για τη σημασία των κωδικών ασφαλείας που βάζουμε στους ιντερνετικούς μας λογαριασμούς. Από τη μία είναι πολύ βολικό να έχουμε τον ίδιο κωδικό για τα πάντα, από την άλλη όμως αυτό είναι ότι χειρότερο για την ασφάλεια των λογαριασμών μας.
Για να δημιουργήσουμε ένα λογαριασμό σε μία ιστοσελίδα, χρειαζόμαστε ένα "username" και ένα "password". Το "username" είναι συνήθως το email μας, μία πληροφορία η οποία είναι γνωστή σε οποιονδήποτε. Αν λοιπόν υποθέσουμε οτι ο μέσος άνθρωπος χρησιμοποιεί το ίδιο "password" σε πολλούς λογαριασμούς του, μαθαίνοντας αυτόν τον κωδικό, θα μπορέσουμε να μπούμε σε όλους!
Σημείωση:
Το παράδειγμα που ακολουθεί είναι τελείως φανταστικό και αναφέρεται για να πάρουμε μια ιδέα σχετικά με το πόσο εύκολα μπορεί κάποιος να μας χακάρει. Σε καμία περίπτωση δεν προτρέπουμε να ακολουθηθεί η διαδικασία.
Αν ήμουν χάκερ και ήθελα να αποκτήσω πρόσβαση στους λογαριασμούς ενός τρίτου θα σκεφτόμουν ως εξής. Θα υπέθετα οτι ο περισσότερος κόσμος διαθέτει σίγουρα λογαριασμό σε κάποιες από τις ακόλουθες υπηρεσίες:
- Email: Gmail, Outlook, iCloud
- Cloud: Dropbox, Google Drive, iCloud
- Social media: Facebook, Twitter, YouTube, Instagram
- Αγορές: e-food, eBay, Amazon, Kotsovolos, Public, Mediamarkt, Gearbest
- Gaming: Steam, PlayStation, XBOX
- Τραπεζικά: Eurobank, Πειραιώς, PayPal, Revolut
Εφόσον λοιπόν γνωρίζω το email του "θύματός" μου, θα μπορούσα απλά να δοκιμάσω να κάνω login σε όλες αυτές τις υπηρεσίες. Θα έβαζα κατ' αρχάς τους πιο απλούς κωδικούς που υπάρχουν στο ίντερνετ (π.χ. 123456, password κλπ.). Στη συνέχεια θα δοκίμαζα την ημερομηνία γέννησής του, την πινακίδα του αυτοκινήτου του, την ημέρα του γάμου του, τον αριθμό του τηλεφώνου του και άλλα παρόμοια.
Αν το "θύμα" μου λοιπόν είχε ένα τόσο εύκολο κωδικό "για να τον θυμάται", σίγουρα θα έχει τον ίδιο σε όλες τις υπηρεσίες του. Έτσι θα μπορούσα να μάθω τον αριθμό της τραπεζικής του κάρτας από ένα site αγορών, να πάρω τις φωτογραφίες του από το cloud που χρησιμοποιεί ή να μπω στο Facebook και να κάνω αναρτήσεις με το δικό του όνομα.
Σε μία πιο ακραία περίπτωση αν ο ίδιος κωδικός με έβαζε στο εταιρικό του email, θα μπορούσα για παράδειγμα να βρω ένα τιμολόγιο στα απεσταλμένα μηνύματά του, θα άλλαζα το IBAN της τράπεζας με το δικό μου και θα το έστελνα ξανά στον πελάτη του για να το εξοφλήσει. Αν ο πελάτης του είναι απρόσεκτος, θα μου έκανε κατάθεση κανονικά και έτσι θα "φούσκωνα" με ευκολία το λογαριασμό μου, διαπράττωντας βέβαια και το πρώτο μου ποινικό αδίκημα.
Αν πάλι ο κωδικός δεν είναι κάτι προφανές όπως η ημερομηνία γέννησης, θα μπορούσα πολύ εύκολα να κάνω ένα Dictionary Attack ή ένα Brute Force Attack, όπως έχουμε περιγράψει σε αυτό το άρθρο. Τέλος υπάρχει και η μέθοδος του "social engineering" με την οποία θα μπορούσα να αναγκάσω το "θύμα" μου να μου δώσει από μόνο του τους κωδικούς του. Ενημερωθείτε για το "social engineering" σε αυτό το Ε-ΞΑΙ-ΡΕ-ΤΙ-ΚΟ άρθρο του Cerebrux.
Ποιοι είναι οι "σωστοί" κωδικοί ασφαλείας;
Αυτό λοιπόν που πρέπει να κάνουμε για να αποφύγουμε όλα τα παραπάνω, είναι να έχουμε "δυνατούς" και διαφορετικούς κωδικούς ασφαλείας για κάθε λογαριαμό μας. Όταν λέμε "δυνατούς" εννοούμε οτι θα πρέπει να έχουν τουλάχιστον έναν πεζό, έναν κεφαλαίο χαρακτήρα, ένα σύμβολο και έναν αριθμό και το μέγεθός τους να είναι σίγουρα πάνω από οκτώ ψηφία (όσο μεγαλύτερος, τόσο το καλύτερο). Κάτι σαν αυτό δηλαδή:
oiuhUYG978*%^
Επειδή είναι αδύνατον να τους θυμόμαστε όλους απ' έξω, μπορούμε να τους αποθηκεύσουμε σε έναν Password Manager όπως το Keepass, το 1Password, το Nextcloud Passwords ή ακόμα και το Google Passwords που είναι η υπηρεσία που χρησιμοποιεί ο Chrome.
Θα πρέπει επίσης να ενεργοποιήσουμε την "Επαλήθευση σε 2 βήματα" (αναφέρεται και ως 2FA ή Two-factor authentication) σε όποια υπηρεσία μας το προσφέρει. Για παράδειγμα η Google, το Facebook και το PayPal διαθέτουν αυτή τη λειτουργία. Με αυτό τον τρόπο ακόμη και αν κάποιος μάθει τον κωδικό ασφαλείας μας, δε θα μπορέσει να μπει στο λογαριασμό μας, εκτός και αν έχει στα χέρια του το κινητό μας τηλέφωνο.
Τέλος θα πρέπει σε κάθε υπηρεσία να ενεργοποιήσουμε από τις ρυθμίσεις της, τις ειδοποιήσεις για θέματα ασφαλείας. Έτσι θα μας έρχεται ένα email κάθε φορά που κάποιος προσπαθεί να μπει στο λογαριασμό μας.
Εν κατακλείδι
Κάποιες εταιρίες λαμβάνουν πολύ σοβαρά μέτρα ασφαλείας, ενώ κάποιες άλλες είναι "καφενεία" σε αυτό τον τομέα. Αν λοιπόν κάποιος μας κλέψει τα στοιχεία λογαριασμού από το "καφενείο", θα μπορέσει να μπει και στο λογαριασμό που έχει στηθεί σωστά. Επειδή όμως δεν μπορούμε να ξεχωρίσουμε "την ήρα από το στάρι", καλό είναι να έχουμε διαφορετικό κωδικό παντού.
Λίγο έως πολύ ακόμη και οι μεγαλύτερες εταιρίες όπως το Dropbox, το Facebook και ο server του Sony PlayStation έχουν χακαριστεί τουλάχιστον μία φορά. Για εσένα λοιπόν που δεν εμπιστεύεσαι κανέναν και θέλεις να πάρεις την κατάσταση στα χέρια σου, υπάρχει και η επιλογή να στήσεις το δικό σου server, στον οποίο εσύ έχεις τον έλεγχο αλλά και την ευθύνη για την ασφάλειά του. Προσωπικά από τότε που "έφυγα απ' την Google" έχω έναν Nextcloud server στην υπηρεσία μου τον οποίο έχω στήσει με αυτές τις οδηγίες.
Κλείνοντας θα αναφέρουμε και την πολύτιμη υπηρεσία του "Have I Been Pwned" όπου μπορούμε να ελέγξουμε μέσω του email μας, ποιες από τις online υπηρεσίες που χρησιμοποιούμε έχουν παραβιαστεί. Για ότι εμφανιστεί εκεί, επιβάλλεται να αλλάξουμε τον κωδικό ασφαλείας μας άμεσα.
Μόλις σήμερα έλαβα ειδοποίηση από την τράπεζα ότι έγινε απόπειρα για μια συναλλαγή 0,82 λεπτά του ευρώ από το San Francisco.
ΑπάντησηΔιαγραφήΗ κάρτα μου ακυρώθηκε με τη συγκατάθεσή μου και περίμενα όλο το πρωί στην ουρά για καινούρια κάρτα.
Τα ίδια και χειρότερα με την PayPal.
Με ποσά 300 και 400 ευρώ.
Οι κωδικοί μας είναι ασφαλείς στις παραπάνω υπηρεσίες τις οποίες δε χρησιμοποιώ...απ ότι φαίνεται.
Μπορώ να χρησιμοποιήσω 2 FA παντού με κάποια αξιόπιστη υπηρεσία;
Ευχαριστούμε για το κατατοπιστικό άρθρο.
Για να ενεργοποιήσεις το 2FA δυστυχώς πρέπει να σου το προσφέρει η υπηρεσία.
Διαγραφή