Ο νέος κανονισμός για την κυβερνοασφάλεια και οι ανάγκες σε ανθρώπινο δυναμικό

Γράφτηκε από την Δήμητρα Βέλμαχου

Σε μείζον ζήτημα και για την ελληνική αγορά εξελίσσεται το θέμα της εξεύρεσης του κατάλληλου ανθρώπινου δυναμικού που θα καλύψεις τις διαρκώς αυξανόμενες ανάγκες στον τομέα της κυβερνοασφάλειας.

Η εφαρμογή της νέας ευρωπαϊκής οδηγίας (NIS 2) που προβλέπει την ενίσχυση των μέτρων κυβερνοπροστασίας για μία σειρά από οργανισμούς, φορείς αλλά και μεσαίες μεγάλες επιχειρήσεις -εκτιμώνται σε άνω των 2000- έχει ως αποτέλεσμα να έχει αυξηθεί η ζήτηση για εργαζόμενους που μπορούν να καλύψουν τις νέες θέσεις που δημιουργούνται. Αλλά στον συγκεκριμένο τομέα υπάρχει ιδιαίτερα μεγάλο έλλειμμα.

Είναι χαρακτηριστικό ότι η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), η οποία και θα έχει τον έλεγχο και την εποπτεία της εφαρμογής της NIS 2, έχει μεν 75 άτομα προσωπικό αλλά αυτό είναι το ήμισυ αυτό που προβλέπει ο νόμος. Σε πρόσφατη συνάντηση με εκπροσώπους των μέσων ενημέρωσης ο διοικητής της ΕΑΚ, Μιχάλης Μπλέτσας εμφανίστηκε απαισιόδοξος για το κατά πόσον θα μπορέσουν να καλυφθούν οι ανάγκες σε προσωπικό. Σημειωτέον πως η ΕΑΚ στελεχώνεται κατά κύριο λόγο με εργαζόμενους στο ελληνικό Δημόσιο αλλά ακόμη και εκεί υπάρχει ανταγωνισμός καθώς είναι δύσκολο για έναν φορέα να αποσπάσει άτομα από άλλον οργανισμό του Δημοσίου καθώς αντίστοιχες ανάγκες υπάρχουν και εκεί! Συν ότι μετάταξη σημαίνει και αλλαγή μισθολογικού επιπέδου, οπότε οι ίδιοι οι εργαζόμενοι δεν θέλουν να μεταφερθούν!

Με δεδομένη τη σημασία που έχει αρχίσει να αποκτά η κυβερνοασφάλεια, θα ήταν μάλλον δικαιολογημένο η ΕΑΚ να στραφεί προς τον ιδιωτικό τομέα. Όμως, με δεδομένο ότι και εκεί υπάρχουν τεράστιες ελλείψεις, οι μισθοί έχουν αυξηθεί σημαντικά και η ΕΑΚ αδυνατεί να προσφέρει πάνω από ένα συγκεκριμένο επίπεδο, είναι πρακτικά εξαιρετικά δύσκολο να προσελκύσει στελέχη από τον ιδιωτικό τομέα. Σημειωτέον δε ότι, όπως ανέφερε ο κ. Μπλέτσας, οι μισθοί στην αντίστοιχη αρχή κυβερνοασφάλειας της Αλβανίας είναι σε τριπλάσια επίπεδα από την ελληνική!

Τι δείχνουν οι έρευνες

Τα στοιχεία που προκύπτουν από τις σχετικές έρευνες επιβεβαιώνουν ότι υπάρχει τεράστια έλλειψη εξειδικευμένου δυναμικού. Σύμφωνα με τα ευρήματα μελέτης που πραγματοποίησε ο Σύνδεσμος Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας (ΣΕΠΕ), σε συνεργασία με το Οικονομικό Πανεπιστήμιο Αθηνών (ΟΠΑ) και την ομάδα του καθηγητή κυβερνοασφάλειας, Δημήτρη Γκρίτζαλη, η ζήτηση για επαγγελματίες κυβερνοασφάλειας στην Ελλάδα δεν ήταν ποτέ μεγαλύτερη, καθώς οι απειλές στον κυβερνοχώρο αυξάνονται ραγδαία και οι επιχειρήσεις και οργανισμοί επιδιώκουν να ενισχύσουν την προστασία και ακεραιότητα των δεδομένων τους και την απρόσκοπτη και εύρυθμη λειτουργία τους.

Το πλέον ανησυχητικό είναι ότι παρατηρείται σημαντική έλλειψη προσφοράς ακαδημαϊκών προγραμμάτων, κυρίως σε προπτυχιακό επίπεδο, με αποτέλεσμα να καταγράφεται σημαντική αναντιστοιχία μεταξύ προσφοράς και ζήτησης σε δεξιότητες κυβερνοασφάλειας. Για παράδειγμα, η μελέτη έδειξε ότι δεν υπάρχει πανεπιστήμιο στην Ελλάδα, το οποίο να παρέχει βασικό τίτλο σπουδών (πτυχίο) στην κυβερνοασφάλεια. Υπάρχουν, όμως, 4 κολλέγια που παρέχουν τέτοιο τίτλο σπουδών.

Η πλειοψηφία (65%) των εκπαιδευμένων/ καταρτιζόμενων σε κυβερνοασφάλεια προέρχεται από προγράμματα μεταπτυχιακών σπουδών που είναι διαθέσιμα σε 5 πανεπιστήμια. Επίσης, υπάρχουν κολλέγια στην Ελλάδα, τα οποία παρέχουν εξειδίκευση, σε προπτυχιακό και μεταπτυχιακό επίπεδο, σε κυβερνοασφάλεια ή σε συναφές γνωστικό πεδίο. Επιπλέον αυτών, υπάρχουν 7 Κέντρα Επιμόρφωσης και Δια Βίου Μάθησης (ΚΕΔΙΒΙΜ) που παρέχουν κατάρτιση σε κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία στην Ελλάδα με περιορισμένο αριθμό εκπαιδευόμενων.

Οι διεθνείς σύνδεσμοι επαγγελματιών (ISC2, ISACA) παρέχουν έναν αξιόλογο αριθμό πιστοποιήσεων (480) σε σειρά επιμέρους πεδίων της κυβερνοασφάλειας και των συναφών της γνωστικών πεδίων.

Ακόμη, οι απόφοιτοι προγραμμάτων/ σεμιναρίων σε κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία είναι στη μεγάλη πλειονότητά τους άνδρες, χωρίς να υπάρχει αξιοσημείωτη τάση εξισορρόπησης. Η μελέτη αναφέρει ότι στην Ελλάδα, η χαμηλή αναλογία συμμετοχής των γυναικών (24-28%) στην κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία ισχύει ανεξαρτήτως προγραμμάτων ακαδημαϊκών σπουδών.

Οι μελλοντικές ανάγκς

Παράλληλα, σύμφωνα με την έρευνα, οι πιο αναγκαίες δεξιότητες κυβερνοασφάλειας στο άμεσο μέλλον αφορούν την ασφάλεια στο cloud, την προστασία προσωπικών δεδομένων, το αποκαλούμενο cyber resiliency και τη διαχείριση περιστατικών.

Επιπρόσθετα, όπως αναδείχθηκε από την έρευνα, ο εμπειρογνώμονας κυβερνοασφάλειας του μέλλοντος θα πρέπει να διαθέτει δεξιότητες, οι οποίες σχετίζονται με λειτουργικά συστήματα, τη διαχείριση δικτύων, τη διαχείριση κινδύνων, την εκπαίδευση και κατάρτιση, αλλά και αναλυτική και δημιουργική σκέψη.

Σημειώνεται ότι η έρευνα εντάσσεται στο έργο CyberHubs του προγράμματος Erasmus, που συντονίζεται από τον Ευρωπαϊκό Σύνδεσμο Βιομηχανίας Ψηφιακής Τεχνολογίας (DIGITALEUROPE). Πραγματοποιήθηκε διαδικτυακά τον Ιούνιο του 2024, με τη χρήση του EUSurvey, με στόχο την καταγραφή των αναγκών σε ρόλους και δεξιότητες κυβερνοασφάλειας στην Ελλάδα. Συμμετείχαν στη μελέτη 140 επιχειρήσεις και οργανισμοί στους οποίους περιλαμβάνονται: πάροχοι κυβερνοασφάλειας, εταιρείες τεχνολογιών πληροφορικής και επικοινωνιών, ιδιωτικοί και δημόσιοι φορείς με εσωτερικές ανάγκες κυβερνοασφάλειας, ακαδημαϊκά ιδρύματα και άλλοι. Παράλληλα, η μελλοντική ζήτηση διερευνήθηκε περαιτέρω μέσω γνωμοδοτήσεων εμπειρογνωμόνων για την πρόβλεψη τάσεων και απαιτήσεων σε δεξιότητες.

Πηγή: cnn.gr

Τελευταία τροποποίηση στις Σάββατο, 26 Οκτωβρίου 2024 10:24

Κατηγορία Τεχνολογία

Ετικέτες

Δήμητρα Βέλμαχου

Σχετικά Άρθρα

Κυβερνοασφάλεια: Αυτό είναι το κακόβουλο λογισμικό που «προτιμούν» οι χάκερς για τις επιθέσεις στην Ελλάδα
σε Τεχνολογία

Σύμφωνα με την Check Point Research, το RansomHub είναι το πιο πολυχρησιμοποιημένο, με σημαντική αύξηση των επιθέσεων από το Meow Ransomware - Το πιο διαδεδομένο και στην Ελλάδα για τον Αύγουστο 2024

Το RansomHub συνεχίζει να ηγείται ως το πιο διαδεδομένο κακόβουλο λογισμικό παγκοσμίως, με σημαντική αύξηση των επιθέσεων από το Meow Ransomware, σύμφωνα με την Check Point Research, που παρακολουθεί τις εξελίξεις στον τομέα της κυβερνοασφάλειας και παρέχει χρήσιμα δεδομένα για την ενημέρωση του κοινού.

Στη λίστα με τον Παγκόσμιο Δείκτη Απειλών για τον Αύγουστο του 2024 αποκαλύπτεται πως το ransomware παραμένει κυρίαρχη δύναμη, με το RansomHub να διατηρεί τη θέση του ως η κορυφαία ομάδα της κατηγορίας.

Αυτή η λειτουργία Ransomware-as-a-Service (RaaS) επεκτάθηκε γρήγορα από την αλλαγή της επωνυμίας της από ransomware Knight, παραβιάζοντας περισσότερα από 210 θύματα παγκοσμίως. Εν τω μεταξύ, την εμφάνισή του έκανε το Meow ransomware, το οποίο μετατοπίστηκε από την κρυπτογράφηση στην πώληση κλεμμένων δεδομένων.

Τον περασμένο μήνα, το RansomHub εδραίωσε τη θέση του ως η κορυφαία απειλή ransomware, όπως αναφέρεται λεπτομερώς σε κοινή έκθεση των FBI, CISA, MS-ISAC και HHS. Αυτή η RaaS λειτουργία επιτίθεται σε συστήματα σε περιβάλλοντα Windows, macOS, Linux και κυρίως VMware ESXi, χρησιμοποιώντας εξελιγμένες τεχνικές κρυπτογράφησης.

Σε παγκόσμιο επίπεδο καταγράφηκαν πάνω από 210 βήματα παρακολούθησης κυβερνοεπιθέσεων, ενώ συνεχίζεται η αύξηση στις data-leak marketplaces.

Τον Αύγουστο παρατηρήθηκε επίσης άνοδος του ransomware Meow, το οποίο εξασφάλισε για πρώτη φορά τη δεύτερη θέση στη λίστα με τα κορυφαία ransomware. Προερχόμενο από μια παραλλαγή του ransomware Conti, το Meow έχει μετατοπίσει την εστίασή του από την κρυπτογράφηση στην εξαγωγή δεδομένων, μετατρέποντας την ιστοσελίδα για εκβιασμούς σε ένα data-leak marketplace. Σε αυτό το μοντέλο, τα κλεμμένα δεδομένα πωλούνται στον πλειοδότη, αποκλίνοντας από τις παραδοσιακές τακτικές εκβιασμού με ransomware.

«Η ανάδειξη του RansomHub τον Αύγουστο ως η κορυφαία απειλή ransomware υπογραμμίζει την αυξανόμενη πολυπλοκότητα των επιχειρήσεων Ransomware-as-a-Service», δήλωσε η Maya Horowitz, VP of Research στην Check Point Software. «Οι οργανισμοί πρέπει να είναι τώρα πιο προσεκτικοί από ποτέ. Η άνοδος του ransomware Meow αναδεικνύει τη στροφή προς τις αγορές διαρροής δεδομένων, σηματοδοτώντας μια νέα μέθοδο κερδοφορίας για τους χειριστές ransomware, όπου τα κλεμμένα δεδομένα πωλούνται όλο και περισσότερο σε τρίτους, αντί να δημοσιεύονται απλώς στο διαδίκτυο.

Καθώς αυτές οι απειλές εξελίσσονται, οι επιχειρήσεις πρέπει να παραμένουν σε εγρήγορση, να υιοθετούν προληπτικά μέτρα ασφαλείας και να ενισχύουν συνεχώς την άμυνά τους απέναντι σε όλο και πιο εξελιγμένες επιθέσεις».

Στην Ελλάδα οι κυρίαρχες απειλές για τον Αύγουστο 2024 ήταν οι εξης:

Τα δεδομένα αυτά υπογραμμίζουν τη σημασία της ενίσχυσης των μηχανισμών προστασίας απέναντι στις αυξανόμενες απειλές στον κυβερνοχώρο, επισημαίνει η Check Point.

Πηγή: ΟΤ - In.gr
Παγκόσμιο ψηφιακό μπλακ άουτ: «Μάχη με το χρόνο» για να επανέλθουν τα συστήματα
σε Κόσμος

«Μάχη» για να επανέλθουν τα συστήματα τους μετά το άνευ προηγουμένου ψηφιακό μπλακ άουτ σε όλο τον κόσμο δίνουν αεροδρόμια, νοσοκομεία, χρηματιστήρια, εταιρείες και υπηρεσίες την ώρα που εκατομμύρια άνθρωποι φαίνεται να επηρεάστηκαν από αυτό που το αφεντικό της Tesla, Έλον Μασκ χαρακτήρισε ως τη «μεγαλύτερη αποτυχία πληροφορικής που υπήρξε ποτέ».

Μία προβληματική ενημέρωση ασφαλείας για τα Windows από έναν τεχνολογικό κολοσσό εξειδικευμένο στην κυβερνοασφάλεια, την CrowdStrike, ήταν αρκετή για να προκαλέσει ένα παγκόσμιο ντόμινο ψηφιακής κατάρρευσης.

Κανένα άλλο περιστατικό στην ιστορία δεν έχει επηρέασει ένα τόσο ευρύ φάσμα της βιομηχανίας και της κοινωνίας. Ειδικοί εκτιμούν ότι το σφάλμα αυτό οδήγησε στη μεγαλύτερη διακοπή λειτουργικού συστήματος στην ιστορία.

Η πλησιέστερη περίπτωση που είχαμε είναι το μακρινό 2017, όταν δύο σκόπιμες κυβερνοεπιθέσεις έθεσαν εκτός λειτουργίας εκατοντάδες χιλιάδες υπολογιστές και είχαν τεράστιο αντίκτυπο στις υπηρεσίες του NHS αλλά όχι όπως το σημερινό.

Το πραγματικό τεστ για να δούμε αν ο Μασκ έχει δίκιο θα είναι πόσο γρήγορα θα χρειαστεί για να επανέλθει η κανονικότητα και πόσο θα κοστίσει η επαναφορά των συστημάτων.

Χάος και πανικός - 4.200 πτήσεις ακυρώθηκαν

Από την Ευρώπη και τις Ηνωμένες Πολιτείες μέχρι χώρες της Ασίας και την Αυστραλία, αεροπορικές εταιρείες, τράπεζες, τηλεπικοινωνίες, ακόμα και σούπερ μάρκετ παρέλυσαν.

Το μεγαλύτερο πρόβλημα αντιμετώπισαν ταξιδιώτες σε όλο τον κόσμο. Εκατοντάδες χιλιάδες περίμεναν από χθες βράδυ σε μεγάλες ουρές από το αεροδρόμιο Gatwick του Λονδίνου έως το διεθνές αεροδρόμιο Hartsfield-Jackson της Ατλάντα. Οι αεροπορικές εταιρείες ακύρωσαν χιλιάδες πτήσεις και παρουσίασαν καθυστερήσεις, καθώς οι επιπτώσεις της διακοπής συνεχίζονται.

Περισσότερες από 4.200 πτήσεις ακυρώθηκαν παγκοσμίως σύμφωνα με το BBC. Περίπου 4.295 πτήσεις παγκοσμίως, ή το 3,9% του συνόλου των προγραμματισμένων δρομολογίων, έχουν ακυρωθεί μέχρι σήμερα, σύμφωνα με τα αεροπορικά στοιχεία της Cirium.

Προβλήματα ακόμα και στο Ολυμπιακό χωριό

Το ψηφιακό μπλακ άουτ επηρέασε και το Ολυμπιακό χωριό μια εβδομάδα πριν τους Ολυμπιακούς Αγώνες. Ενώ αρκετές αποστολές δεν κατάφεραν να φτάσουν σήμερα λόγω των ακυρώσεων εκατοντάδων πτήσεων, όσοι έφτασαν αντιμετώπισαν προβλήματα στην είσοδο καθώς τα ηλεκτρονικά συστήματα από τα οποία γινόταν ταυτοποίηση και εξέδιδαν τις διαπιστεύσεις δεν λειτουργούσαν.

Έτσι, δεν μπορούσαν να μπουν στο Ολυμπιακό Χωριό μέχρι να διορθωθεί το πρόβλημα.«Είναι υπό έλεγχο η κατάσταση και έχουμε περιορίσει το πρόβλημα. Ηταν πάντως το τελευταίο που χρειαζόμασταν μία εβδομάδα πριν από την έναρξη των Αγώνων» ανέφερε στέλεχος της Οργανωτικής Επιτροπής.

Crowdstrike: Λυπούμαστε βαθιά αλλά θα πάρει χρόνο η επαναφορά

Ο επικεφαλής της Crowdstrike σε συνέντευξή του στο αμερικανικό τηλεοπτικό δίκτυο NBC News αναφέρθηκε στην αναστάτωση που προκλήθηκε από την ενημέρωση λογισμικού της εταιρείας.

«Λυπούμαστε βαθιά για τον αντίκτυπο που έχουμε προκαλέσει στους πελάτες, στους ταξιδιώτες, σε οποιονδήποτε επηρεάζεται από αυτό, συμπεριλαμβανομένων των εταιρειών μας», είπε ο Τζορτζ Κούρτς.

Στη συνέχεια είπε ότι το πρόβλημα προκλήθηκε από ένα σφάλμα στην ενημερωμένη έκδοση που έπληξε τα λειτουργικά συστήματα της Microsoft.

«Γνωρίζουμε ποιο είναι το πρόβλημα ... και έχουμε επιλύσει το πρόβλημα», λέει.

Πόσος χρόνος θα χρειαστεί για να επανέλθουν όλα σε λειτουργία για τους χρήστες;

«Μπορεί να χρειαστεί κάποιος χρόνος για ορισμένα συστήματα που απλώς δεν αποκαθίστανται αυτόματα, αλλά είναι αποστολή μας... να διασφαλίσουμε ότι κάθε πελάτης θα έχει ανακάμψει πλήρως», λέει.

«Κάντε reboot» προτείνει η Microsoft

«Έχετε δοκιμάσει να το απενεργοποιήσετε και να το ενεργοποιήσετε ξανά;»: Αυτή είναι η λύση που προτείνει η Microsoft και υποστηρίζει ότι λειτούργησε για ορισμένους χρήστες όπου ο υπολογιστής δεν βρίσκεται στο ίδιο μέρος με την οθόνη.

Η Microsoft λέει: «Μπορεί να απαιτηθούν αρκετές επανεκκινήσεις (έχουν αναφερθεί έως και 15), αλλά η συνολική ανατροφοδότηση είναι ότι οι επανεκκινήσεις είναι ένα αποτελεσματικό βήμα αντιμετώπισης προβλημάτων σε αυτό το στάδιο».

Πρότεινε επίσης τη διαγραφή ενός συγκεκριμένου αρχείου - την ίδια λύση που δίνουν στα μέσα κοινωνικής δικτύωσης ορισμένοι

υπάλληλοι της Crowdstrike.

Τι είναι η CrowdStrike;

Η CrowdSrike είναι μια πλατφόρμα κυβερνοασφάλειας που παρέχει λύσεις ασφαλείας σε χρήστες και επιχειρήσεις. Χρησιμοποιώντας έναν ενιαίο αισθητήρα και μια ενοποιημένη διεπαφή απειλών με συσχέτιση επιθέσεων σε όλα τα τελικά σημεία, τους φόρτους εργασίας και την ταυτότητα. Η Falcon Identity Threat Protection σταματά τις παραβιάσεις που βασίζονται στην ταυτότητα σε πραγματικό χρόνο.

Τι ακριβώς συνέβη;

Σύμφωνα με όσα έχουν γίνει γνωστά η Crowdstrike έβγαλε μια νέα έκδοση του προγράμματος Falcon. Η CrowdStrike, ανέφερε στις 08.30 ώρα Ελλάδας ότι το λογισμικό ασφάλειας «Falcon Sensor» προκαλεί το κρασάρισμα υπολογιστών που τρέχουν Windows. Οι αναρίθμητοι υπολογιστές που επηρεάζονται φέρονται να εμφανίζουν την «μπλε οθόνη του θανάτου», η οποία σημαίνει ότι το λειτουργικό σύστημα κράσαρε.

Αυτό σημαίνει ότι το πρόβλημα είναι πιθανό να μην μπορεί να λυθεί με εξ΄αποστάσεως ρύθμιση από τις ομάδες IT και απαιτεί χειροκίνητη επανεκκίνηση των υπολογιστών, ανέφερε ρεπόρτερ κυβερνοασφάλειας του BBC.

Η CrowdStrike εξυπηρετεί περίπου 24.000 πελάτες σε όλο τον κόσμο, σύμφωνα με την ανακοίνωσή των οικονομικών αποτελεσμάτων τριμήνου, ένας αριθμός που αναδεικνύει το μέγεθος του προβλήματος.

Σε νέα της ανακοίνωση λίγο μετά τις 13.00 ώρα Ελλάδας, η CrowdStrike ανέφερε πως «συνεργάζεται με πελάτες που επηρεάστηκαν από ελάττωμα που εντοπίστηκε σε μια μεμονωμένη ενημέρωση περιεχομένου για συστήματα Windows».

«Τα συστήματα Mac και Linux δεν επηρεάστηκαν. Δεν πρόκειται για περιστατικό ασφάλειας ή κυβερνοεπίθεσης».

Η Microsoft είχε αναφέρει νωρίτερα ότι παρατηρεί «θετική τάση στη διαθεσιμότητα υπηρεσιών».

Πηγή: ethnos.gr
Κυβερνοασφάλεια: Πώς οι χάκερ μπορούν να σπάσουν τον κωδικό σου σε ένα λεπτό
σε Τεχνολογία
Μόνο το 23% των συνδυασμών αποδείχθηκε αρκετά ανθεκτικό - το σπάσιμο των οποίων θα χρειαζόταν περισσότερο από έναν χρόνο

Οι κυβερνοεγκληματίες μπορούν να μαντέψουν σχεδόν τους μισούς κωδικούς πρόσβασης που υπάρχουν σε λιγότερο από ένα λεπτό. Αυτό και άλλα -ιδιαιτέρως ανησυχητικά- ευρήματα αποκάλυψε μελέτη μεγάλης κλίμακας την οποία πραγματοποίησαν ειδικοί της Kaspersky σχετικά με την ανθεκτικότητα 193 εκατομμυρίων κωδικών πρόσβασης που παραβιάστηκαν από infostealers και είναι διαθέσιμοι στο darknet, σε επιθέσεις brute force and smart guessing.
Σύμφωνα με τα αποτελέσματα της έρευνας, οι απατεώνες θα μπορούσαν να μαντέψουν το 45% όλων των κωδικών πρόσβασης που αναλύθηκαν (87 εκατομμύρια) μέσα σε ένα λεπτό. Ακόμη, οι ειδικοί της Kaspersky αποκάλυψαν ποιοι συνδυασμοί χαρακτήρων χρησιμοποιούνται πιο συχνά κατά τη δημιουργία κωδικών πρόσβασης. Μόνο το 23% (44 εκατομμύρια) των συνδυασμών αποδείχθηκε αρκετά ανθεκτικό – το σπάσιμο των οποίων θα χρειαζόταν περισσότερο από έναν χρόνο.

Η τηλεμετρία της Kaspersky δείχνει περισσότερες από 32 εκατομμύρια απόπειρες επίθεσης σε χρήστες με password stealers το 2023. Αυτοί οι αριθμοί δείχνουν τη σημασία της ψηφιακής υγιεινής και των έγκαιρων πολιτικών για κωδικούς πρόσβασης.

Τον Ιούνιο του 2024, η Kaspersky ανέλυσε 193 εκατομμύρια κωδικούς πρόσβασης σε μια νέα μελέτη, οι οποίοι βρέθηκαν σε δημόσιο domain σε διάφορους πόρους στο darknet. Αυτά τα αποτελέσματα δείχνουν ότι η πλειονότητα των αναθεωρημένων κωδικών πρόσβασης δεν ήταν αρκετά ισχυροί και θα μπορούσαν εύκολα να παραβιαστούν χρησιμοποιώντας έξυπνους αλγόριθμους εικασίας. Ακολουθεί η ανάλυση του πόσο γρήγορα μπορεί να συμβεί:
- 45% (87M) σε λιγότερο από 1 λεπτό.
- 14% (27M) – από 1 λεπτό έως 1 ώρα.
- 8% (15M) – από 1 ώρα έως 1 ημέρα.
- 6% (12M) – από 1 ημέρα έως 1 μήνα.
- 4% (8M) – από 1 μήνα έως 1 έτος.
Οι ειδικοί χαρακτήρισαν μόνο το 23% (44 εκατομμύρια) των κωδικών πρόσβασης ως ανθεκτικούς – η παραβίασή τους θα διαρκούσε περισσότερο από 1 χρόνο.

Εκτός αυτού, η πλειονότητα των εξεταζόμενων κωδικών πρόσβασης (57%) περιέχουν μια λέξη από το λεξικό, γεγονός που μειώνει σημαντικά την ισχύ των κωδικών πρόσβασης. Μεταξύ των πιο δημοφιλών ακολουθιών λεξιλογίου, διακρίνονται διάφορες ομάδες:
- Ονόματα: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- Δημοφιλείς λέξεις: “forever”, “love”, “google”, “hacker”, “gamer”.
- Τυπικοί κωδικοί πρόσβασης: “password”, “qwerty12345”, “admin”, “12345”, “team”.
Η ανάλυση έδειξε ότι μόνο το 19% όλων των κωδικών πρόσβασης περιέχουν στοιχεία ενός ισχυρού συνδυασμού που είναι δύσκολο να σπάσει – μια μη λεξικογραφημένη λέξη, πεζά και κεφαλαία γράμματα, καθώς και αριθμούς και σύμβολα και δεν περιείχε καμία κανονική, λεξικογραφημένη λέξη. Ταυτόχρονα, η μελέτη αποκάλυψε ότι μπορούσαν επίσης να μαντέψουν το 39% τέτοιων κωδικών πρόσβασης χρησιμοποιώντας έξυπνους αλγόριθμους σε λιγότερο από μία ώρα.

Το πιο ανησυχητικό, ωστόσο, είναι μάλλον το ότι για τους επιτιθέμενους δεν απαιτείται βαθιά γνώση ή ακριβός εξοπλισμός για να σπάσουν τους κωδικούς πρόσβασης. Για παράδειγμα, ένας ισχυρός επεξεργαστής φορητού υπολογιστή μπορεί να βρει τον σωστό συνδυασμό για έναν κωδικό πρόσβασης 8 πεζών γραμμάτων ή ψηφίων χρησιμοποιώντας brute force σε μόλις 7 λεπτά. Επιπλέον, οι σύγχρονες κάρτες γραφικών θα αντιμετωπίσουν την ίδια εργασία σε 17 δευτερόλεπτα. Επιπλέον, οι έξυπνοι αλγόριθμοι για την εικασία κωδικών πρόσβασης εξετάζουν αντικαταστάσεις χαρακτήρων (“e” με “3”, “1” με “!” ή “a” με “@”) και δημοφιλείς ακολουθίες (“qwerty”, “12345”, “asdfg”).

Προκειμένου να ενισχυθεί η πολιτική που ακολουθούν για τους κωδικούς πρόσβασης, οι χρήστες μπορούν να χρησιμοποιήσουν τις ακόλουθες απλές συμβουλές:
- Είναι σχεδόν αδύνατο να απομνημονεύσετε μεγάλους και μοναδικούς κωδικούς πρόσβασης για όλες τις υπηρεσίες που χρησιμοποιείτε, αλλά με έναν διαχειριστή κωδικών πρόσβασης μπορείτε να απομνημονεύσετε μόνο έναν κύριο κωδικό πρόσβασης.
- Χρησιμοποιήστε διαφορετικό κωδικό πρόσβασης για κάθε υπηρεσία. Με αυτόν τον τρόπο, ακόμα κι αν κλαπεί ένας από τους λογαριασμούς σας, οι υπόλοιποι δεν θα παραβιαστούν.
- Οι φράσεις πρόσβασης ενδέχεται να είναι πιο ασφαλείς όταν χρησιμοποιούνται μη αναμενόμενες λέξεις. Ακόμα κι αν χρησιμοποιείτε κοινές λέξεις, μπορείτε να τις βάλετε σε ασυνήθιστη σειρά και να βεβαιωθείτε ότι δεν σχετίζονται. Υπάρχουν επίσης διαδικτυακές υπηρεσίες, που θα σας βοηθήσουν να ελέγξετε εάν ένας κωδικός πρόσβασης είναι αρκετά ισχυρός.
- Είναι καλύτερο να μην χρησιμοποιείτε κωδικούς πρόσβασης που μπορούν εύκολα να μαντέψουν από τα προσωπικά σας στοιχεία, όπως γενέθλια, ονόματα μελών της οικογένειας, κατοικίδια ζώα ή το δικό σας όνομα. Αυτές είναι συχνά οι πρώτες εικασίες που θα δοκιμάσει ένας εισβολέας.
- Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA). Αν και δεν σχετίζεται άμεσα με την ισχύ του κωδικού πρόσβασης, η ενεργοποίηση του 2FA προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα κι αν κάποιος ανακαλύψει τον κωδικό πρόσβασής σας, θα χρειαστεί μια δεύτερη μορφή επαλήθευσης για να αποκτήσει πρόσβαση στον λογαριασμό σας. Οι σύγχρονοι διαχειριστές κωδικών πρόσβασης αποθηκεύουν κλειδιά 2FA και τα ασφαλίζουν με τους πιο πρόσφατους αλγόριθμους κρυπτογράφησης.
- Η χρήση μιας αξιόπιστης λύσης ασφαλείας θα ενισχύσει την προστασία σας. Παρακολουθεί το διαδίκτυο και το Dark Web και προειδοποιεί εάν οι κωδικοί πρόσβασής σας πρέπει να αλλάξουν.
Πηγή: ΟΤ - In.gr
Κυβερνοασφάλεια: Επταπλασιάστηκαν οι μολύνσεις με κακόβουλο λογισμικό κλοπής δεδομένων από το 2020
σε Τεχνολογία

Αναφορικά με την Ελλάδα και το domain .gr, οι παραβιασμένοι λογαριασμοί έφτασαν τους 910.000 το 2023

Σχεδόν 10 εκατομμύρια συσκευές έπεσαν θύματα κακόβουλου λογισμικού κλοπής δεδομένων το 2023, αποκάλυψε η ομάδα Kaspersky Digital Footprint Intelligence, αντλώντας πληροφορίες από infostealer malware log files που διακινούνται σε παράνομες αγορές.

Με τους κυβερνοεγκληματίες να κλέβουν κατά μέσο όρο 50,9 στοιχεία πρόσβασης ανά μολυσμένη συσκευή, η απειλή που αποτελούν τα data-stealers αυξάνεται τόσο για τους καταναλωτές όσο και για τις επιχειρήσεις. Το domain .com κατέχει την πρώτη θέση στους παραβιασμένους λογαριασμούς, ακολουθούμενο από ζώνες domain που σχετίζονται με τη Βραζιλία (.br), την Ινδία (.in), την Κολομβία (.co) και το Βιετνάμ (.vn). Αναφορικά με την Ελλάδα και το domain .gr, οι παραβιασμένοι λογαριασμοί έφτασαν τους 910.000 το 2023.

Υπό το πρίσμα αυτής της αυξανόμενης απειλής, η Kaspersky εγκαινίασε μια ειδική landing page για την ευαισθητοποίηση σχετικά με το θέμα και την παροχή στρατηγικών για τον περιορισμό των σχετικών κινδύνων.

Περίπου 10.000.000 προσωπικές και εταιρικές συσκευές παραβιάστηκαν από κακόβουλο λογισμικό που έκλεβε δεδομένα το 2023, μέγεθος που αντιστοιχεί σε αύξηση της τάξης του 643% τα τελευταία τρία χρόνια, σύμφωνα με τα στοιχεία της Kaspersky Digital Footprint Intelligence. Τα δεδομένα σχετικά με τις μολυσμένες συσκευές προέρχονται από τη δυναμικότητα των infostealer malware log-files που διακινούνται ενεργά στις παράνομες αγορές και παρακολουθούνται από την Kaspersky για να βοηθήσει τις εταιρείες να διασφαλίσουν την ασφάλεια των πελατών και των εργαζομένων τους.

Ο αριθμός των μολύνσεων με κακόβουλο λογισμικό που κλέβει δεδομένα, 2020-2023. Πηγή: Kaspersky Digital Footprint Intelligence

Παρόλο που ο αριθμός των log-files -και συνεπώς των μολύνσεων- το 2023 έχει υποστεί μόνο μια οριακή μείωση της τάξης του 9% σε σύγκριση με το 2022, αυτό δεν σημαίνει ότι η ζήτηση των κυβερνοεγκληματιών για logins και κωδικούς πρόσβασης έχει μείνει στάσιμη. Είναι πιθανό κάποια στοιχεία πρόσβασης που έχουν παραβιαστεί το 2023 να διαρρεύσουν στο dark web κάποια στιγμή κατά τη διάρκεια του τρέχοντος έτους. Ως εκ τούτου, ο πραγματικός αριθμός των μολύνσεων είναι πιθανό να είναι ακόμη μεγαλύτερος από 10 εκατομμύρια. Σύμφωνα με την αξιολόγηση της Kaspersky σχετικά με τη δυναμικότητα των infostealer log-files, ο αριθμός των μολύνσεων το 2023 προβλέπεται να φτάσει περίπου τα 16.000.000.

Οι κυβερνοεγκληματίες κλέβουν κατά μέσο όρο 50,9 διαπιστευτήρια σύνδεσης ανά μολυσμένη συσκευή. Οι φορείς απειλών είτε χρησιμοποιούν αυτά τα στοιχεία πρόσβασης για τους δικούς τους κακόβουλους σκοπούς, συμπεριλαμβανομένης της διάπραξης κυβερνοεπιθέσεων, είτε τα πωλούν ή τα διανέμουν ελεύθερα σε forums του dark web και σε σκιώδη κανάλια στο Telegram.

Τέτοιου είδους στοιχεία πρόσβασης μπορεί να περιλαμβάνουν συνδέσεις για τα μέσα κοινωνικής δικτύωσης, διαδικτυακές τραπεζικές υπηρεσίες, κρυπτο-πορτοφόλια και διάφορες εταιρικές διαδικτυακές υπηρεσίες, όπως το email και τα εσωτερικά συστήματα. Σύμφωνα με τα στοιχεία της Kaspersky, 443.000 ιστότοποι παγκοσμίως έχουν υποστεί παραβίαση στοιχείων πρόσβασης τα τελευταία 5 χρόνια.

Όσον αφορά τον αριθμό των παραβιασμένων λογαριασμών, το domain .com κατέχει την πρώτη θέση. Σχεδόν 326 εκατομμύρια συνδέσεις και κωδικοί πρόσβασης για ιστότοπους σε αυτό το domain παραβιάστηκαν από infostealers το 2023. Ακολουθεί το domain .br για τη Βραζιλία με 29 εκατομμύρια παραβιασμένους λογαριασμούς, ακολουθούμενο από το .in, που σχετίζεται με την Ινδία, με 8 εκατομμύρια, το .co (Κολομβία) με σχεδόν 6 εκατομμύρια και το .vn (Βιετνάμ) με πάνω από 5,5 εκατομμύρια. Στην περίπτωση του domain .gr που σχετίζεται με την Ελλάδα, οι παραβιασμένοι λογαριασμοί έφτασαν τις 910.000 το 2023.

Πηγή: ΟΤ - In.gr
Συναγερμός από εταιρείες κυβερνοασφάλειας - Διαγράψτε αυτές τις εφαρμογές από το κινητό σας, είναι επικίνδυνες
σε Τεχνολογία
Η λίστα με τις επικίνδυνες εφαρμογές που βρίσκονται σε app stores, μέχρι πρόσφατα και στο Google Play Store.
Τον κώδωνα του κινδύνου κρούει η ομάδα της McAfee, της γνωστής εταιρείας λογισμικών ασφαλείας, σχετικά με 13 εφαρμογές που βρίσκονται σε app stores (μέχρι πρόσφατα και στο Google Play Store) και διαθέτουν κακόβουλο λογισμικό.

Το εν λόγω κακόβουλο λογισμικό (Xamalicious malware) αποτελεί σημαντική απειλή για τους χρήστες καθώς δίνει τη δυνατότητα σε εισβολείς να αποκτήσουν σχεδόν τον απόλυτο έλεγχο του τηλεφώνου σας. Το Xamalicious malware «κρύβεται» σε φαινομενικά αβλαβείς εφαρμογές και είναι δύσκολη η ανίχνευσή του.

Οι χρήστες που έχουν κατεβάσει τις παρακάτω εφαρμογές θα πρέπει να τις αφαιρέσουν αμέσως για να προστατεύσουν τα smartphones τους.
1. Essential Horoscope for Android – 100,000 downloads
2. 3D Skin Editor for PE Minecraft – 100,000 downloads
3. Logo Maker Pro – 100,000 downloads
4. Auto Click Repeater – 10,000 downloads
5. Count Easy Calorie Calculator – 10,000 downloads
6. Sound Volume Extender – 5,000 downloads
7. LetterLink – 1,000 downloads
8. NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS – 1,000 downloads
9. Step Keeper: Easy Pedometer – 500 downloads
10. Track Your Sleep – 500 downloads
11. Sound Volume Booster – 100 downloads
12. Astrological Navigator: Daily Horoscope & Tarot – 100 downloads
13. Universal Calculator – 100 downloads
Υπενθυμίζεται πως πρόσφατα και η εταιρεία κυβερνοασφάλειας ESET είχε δημοσιοποιήσει μια λίστα με 45 επικίνδυνες εφαρμογές, τις οποίες μάλιστα είχε χωρίσει σε τρεις κατηγορίες, βάσει του κακόβουλου κώδικα που χρησιμοποιούν: VajraSpy, SpyLoan και Xamalicious.

Οι εφαρμογές με VajraSpy δίνουν τη δυνατότητα στους εισβολείς να κλέψουν επαφές, αρχεία και μηνύματα SMS. Οι εφαρμογές με SpyLoan έχουν σχεδιαστεί για να κλέβουν πληροφορίες τραπεζικού λογαριασμού, μηνύματα και επαφές. Τέλος το λογισμικό Xamalicious, όπως προαναφέρθηκε, δίνει τη δυνατότητα στον εισβολές να αναλάβει τον έλεγχο πολλών λειτουργιών της συσκευής.

Αναλυτικά η λίστα με τις επικίνδυνες εφαρμογές που έδωσε η ESET και δημοσιεύθηκε στο Forbes:

VajraSpy:
1. Hello Chat
2. Chit Chat
3. Meet Me
4. Nidus
5. Rafaqat News
6. Tik Talk
7. Wave Chat
8. Prive Talk
9. Glow Glow
10. Lets Chat
11. NioNio
12. Quick Chat
13. Yoho Talk
Xamalicious:
1. Essential Horoscope for Android
2. 3D Skin Editor for PE Minecraft
3. Logo Maker Pro
4. Auto Click Repeater
5. Count Easy Calorie Calculator
6. Sound Volume Extender
7. LetterLink
8. Numerology: Personal Horoscope & Number Predictions
9. Step Keeper: Easy Pedometer
10. Track Your Sleep
11. Sound Volume Booster
12. Astrological Navigator: Daily Horoscope & Tarot
13. Universal Calculator
SpyLoan:
1. AA Kredit
2. Amor Cash
3. GuayabaCash
4. EasyCredit
5. Cashwow
6. CrediBus
7. FlashLoan
8. PréstamosCrédito
9. Préstamos De Crédito-YumiCash
10. Go Crédito
11. Instantáneo Préstamo
12. Cartera grande
13. Rápido Crédito
14. Finupp Lending
15. 4S Cash
16. TrueNaira
17. EasyCash
Πηγή: iEidiseis.gr
Κυβερνοασφάλεια: Οι κυβερνοαπατεώνες δελεάζουν θύματα με ψεύτικους διαγωνισμούς
σε Τεχνολογία
Οι περιπτώσεις phishing που δημιουργήθηκαν γύρω από την περίοδο των Χριστουγέννων και της Πρωτοχρονιάς

Οι γιορτές αποτελούν ιδανική ευκαιρία για τους απατεώνες, οι οποίοι δεν χάνουν την ευκαιρία για να κλέψουν προσωπικά δεδομένα και χρήματα, ακριβώς όταν όλοι διασκεδάζουν και έχουν κατεβασμένες τις άμυνές τους.

Αυτήν την εποχή του χρόνου, οι ειδικοί της Kaspersky εντόπισαν περιπτώσεις phishing που δημιουργήθηκαν γύρω από την περίοδο των Χριστουγέννων και της Πρωτοχρονιάς: οι απατεώνες καμουφλάρουν την κλοπή προσωπικών δεδομένων και χρημάτων ως διαγωνισμούς.

Απάτες phishing που στοχεύουν προσωπικούς λογαριασμούς

Ορισμένοι ιστότοποι phishing στοχεύουν στην απόκτηση δεδομένων διεισδύοντας σε προσωπικούς λογαριασμούς μέσων κοινωνικής δικτύωσης και εφαρμογών μηνυμάτων των χρηστών με διάφορα προσχήματα. Ζητούν πληροφορίες οι οποίες μόλις υποβληθούν, περνούν απευθείας στα χέρια των απατεώνων.

Ένα τέτοιου είδους phishing περιστατικό εντοπίστηκε πρόσφατα στη Σιγκαπούρη. Οι απατεώνες δημιούργησαν έναν εξελιγμένο ιστότοπο phishing που στοχεύει άτομα με την υπόσχεση υποτιθέμενων πληρωμών το νέο έτος από το Υπουργείο Οικονομικών της Σιγκαπούρης. Αυτός ο παραπλανητικός ιστότοπος σχεδιάστηκε για να μιμηθεί την επωνυμία του Υπουργείου, δίνοντάς του έναν αέρα αξιοπιστίας. Για να λάβουν την πληρωμή, ζητήθηκε από τους επισκέπτες να εισαγάγουν τα στοιχεία του λογαριασμού τους στο Telegram.

Μόλις ο χρήστης εισαγάγει τα στοιχεία του λογαριασμού στο Telegram, οι απατεώνες μπορούν στη συνέχεια να αποκτήσουν πλήρη πρόσβαση στον λογαριασμό, οδηγώντας ενδεχομένως σε κλοπή ψηφιακής ταυτότητας, πρόσβαση σε ιδιωτικές συνομιλίες και δυνατότητα πλαστοπροσωπίας του θύματος για περαιτέρω κακόβουλη δραστηριότητα.

Ιστότοποι phishing που μιμούνται τράπεζες για διαγωνισμούς

Μια άλλη τεχνική phishing που έχει σχεδιαστεί για να παγιδεύει όσους πιστεύουν σε θαύματα είναι η λαχειοφόρος αγορά από τράπεζες. Καθώς η παραμονή της Πρωτοχρονιάς είναι μια εποχή προσφορών και δώρων, οι απατεώνες έχουν δημιουργήσει ιστότοπους phishing που προσκαλούν τους χρήστες να συμμετάσχουν σε διαγωνισμούς δώρων με στόχο την απόκτηση τραπεζικών στοιχείων θυμάτων.

Ένα παράδειγμα αυτής της Πρωτοχρονιάτικης απάτης στόχευε ειδικά στους πολίτες των Φιλιππίνων. Σε αυτό το σχέδιο, τα άτομα παραπέμπονταν σε έναν ιστότοπο που τους ζητούσε να γυρίσουν έναν τροχό για την ευκαιρία να κερδίσουν ένα χρηματικό ποσό. Μετά την περιστροφή του τροχού, εμφανίστηκαν τα υποτιθέμενα κέρδη των χρηστών και τους ζητήθηκε να επιλέξουν μεταξύ διαφόρων τραπεζών όπου θα μπορούσαν να κατατεθούν τα υποτιθέμενα κεφάλαια.

Αφού έκαναν την επιλογή, οι χρήστες βρέθηκαν σε ιστότοπους phishing που έχουν σχεδιαστεί για να μιμούνται νόμιμες διαδικτυακές τραπεζικές διεπαφές. Αυτή η παραπλανητική τακτική ήταν η τελική κίνηση στην απάτη, με στόχο να εξαπατήσει τα θύματα αποκτώντας πρόσβαση στα τραπεζικά τους διαπιστευτήρια και τελικά στα κεφάλαιά τους.

Ψεύτικα crypto gift-boxes… χωρίς Pokémon

Η κλοπή ενός πορτοφολιού ακόμη και με μερικά δέκατα ενός bitcoin φέρνει ήδη στους απατεώνες σημαντικό κέρδος, οπότε καταβάλλουν μεγάλη προσπάθεια για τη δημιουργία αληθοφανών μηνυμάτων phishing και ιστότοπων, καθιστώντας έτσι πιο δύσκολο για τον χρήστη να παρατηρήσει κάτι λάθος.

Οι απατεώνες σε μια τέτοια περίπτωση δημιούργησαν μια σελίδα phishing αντιγράφοντας την επίσημη προσφορά του Courtyard.io, ενός ιστότοπου που επιτρέπει στους χρήστες να μετατρέπουν φυσικά συλλεκτικά αντικείμενα σε μάρκες. Ο αρχικός ιστότοπος Courtyard.io καλούσε τους χρήστες να εγγραφούν και να αγοράσουν την παραμονή της Πρωτοχρονιάς ένα κουτί που περιείχε μια κάρτα Pokémon. Έτσι, οι απατεώνες δημιούργησαν μια σελίδα phishing με την ίδια προσφορά, ωστόσο, για να λάβουν το κουτί -έκπληξη οι επισκέπτες έπρεπε να συνδέσουν ένα πορτοφόλι κρυπτονομισμάτων, με αποτέλεσμα την κλοπή των κεφαλαίων τους.

Για να αποφύγετε απάτες που συνδέονται με εποχιακές προσφορές, οι ειδικοί της Kaspersky μοιράζονται μερικές απλές συμβουλές:
1. Επαληθεύστε την πηγή. Πριν συμμετάσχετε σε οποιαδήποτε ειδική προσφορά, επαληθεύστε τη νομιμότητα της πηγής. Εάν προέρχεται από γνωστή μάρκα ή οργανισμό, ελέγξτε τον επίσημο ιστότοπό τους ή τα κανάλια σε μέσα κοινωνικής δικτύωσης για να επιβεβαιώσετε τους διαγωνισμούς.
2. Πληκτρολογήστε τη διεύθυνση URL στη γραμμή διευθύνσεων. Μην ανοίγετε τον σύνδεσμο από το email: μπορεί να είναι σύνδεσμος phishing. Κάθε φορά που υπάρχει ανάγκη να ανοίξετε έναν ιστότοπο, είναι πάντα καλύτερο να πληκτρολογείτε τη διεύθυνση URL του στη γραμμή διευθύνσεων αποφεύγοντας τυχόν συνδέσμους που υπάρχουν στο email.
3. Αναζητήστε red flags στην προσφορά. Να είστε επιφυλακτικοί με προσφορές που φαίνονται πολύ καλές για να είναι αληθινές, όπως το να κερδίσετε ένα μεγάλο χρηματικό ποσό ή ακριβά βραβεία με ελάχιστη ή καθόλου προσπάθεια. Αυτό είναι ιδιαίτερα δύσκολο όταν πρόκειται για συναλλαγές κρυπτονομισμάτων: οι απατεώνες θα κάνουν ό,τι μπορούν για να κάνουν μια προσφορά να φαίνεται έγκυρη.
4. Μην μοιράζεστε προσωπικές πληροφορίες. Τα νόμιμα δώρα σπάνια ζητούν ευαίσθητες προσωπικές πληροφορίες εκ των προτέρων. Να είστε προσεκτικοί με οποιοδήποτε αίτημα για λεπτομέρειες όπως οι αριθμοί τραπεζικών λογαριασμών, οι κωδικοί πρόσβασης ή οι αριθμοί κοινωνικής ασφάλισης.
Πηγή: ΟΤ - In.gr
Προειδοποίηση για νέα απάτη στο διαδίκτυο με «δόλωμα» το gov.gr - Τι πρέπει να ξέρετε για να μην πέσετε θύμα
σε Ελλάδα

Με ανακοίνωσή της η Εθνική Αρχή Κυβερνοασφάλειας, προειδοποιεί τους πολίτες για νέα ηλεκτρονική απάτη που σαρώνει τις τελευταίες ημέρες και στην Ελλάδα. Οι επιτήδειοι έχουν δημιουργήσει ένα ψεύτικο email που φέρεται να έχει αποσταλεί από το eGov-KYC και ζητά τα στοιχεία των πολιτών.

Η Εθνική Αρχή Κυβερνοασφάλειας προειδοποιεί για τα σημάδια που δείχνουν ότι το mail είναι ψευδές και δίνει οδηγίες στους πολίτες για να προστατευθούν από τις τακτικές ηλεκτρονικού «ψαρέματος».

Η ανακοίνωση:

Το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου phishing σε χρήστες ηλεκτρονικού ταχυδρομείου, κινητών τηλέφωνων, αλλά και μέσων κοινωνικής δικτύωσης.

Ειδικότερα, λαμβάνονται μηνύματα όπως το Phishing email της εικόνας που αποστέλλεται τις τελευταίες ημέρες σε πολίτες.
Tο ψευδές αυτό e-mail προσομοιώνει αίτημα από την υπηρεσία eGov- KYC, ζητώντας στοιχεία επικοινωνίας από τον πολίτη.

H Εθνική Αρχή Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης υπενθυμίζει χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας των πολιτών.

Το Phishing συνιστά ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο που καλεί τον αποδέκτη του μηνύματος να ακολουθήσει τις οδηγίες που του δίνονται. Αυτές οι οδηγίες μπορεί να ζητούν από τον αποδέκτη να ακολουθήσει κάποιο ηλεκτρονικό σύνδεσμο (link) ή και να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.

Περαιτέρω τις τελευταίες ημέρες παρατηρείται αυξημενος αριθμός μηνυμάτων σχετικά με επιστροφές φόρου ή χορήγηση επιδομάτων.

Καλούνται οι πολίτες να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής φαίνεται ο αποστολέας ή και τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων που δρουν με αυτό τον τρόπο. Ακολουθούν κάποιες πρακτικές συμβουλές για την προστασία από τις επιθέσεις αυτού του τύπου (phishing attacks).

Δεν θα πρέπει ποτέ να δίνετε τα προσωπικά στοιχεία (π.χ. κωδικούς e-Βanking, αριθμούς/PIN καρτών, κωδικούς πρόσβασης, όνομα χρήστη) σε υποτιθέμενους διαμεσολαβητές, νομικά γραφεία, λογιστές, ή άλλους επιτήδειους για δήθεν εξυπηρέτηση (π.χ. σε θέματα κρατικής επιδότησης, Power/Fuel/Τουρισμός για όλους ή άλλες περιπτώσεις όπως ενοικίαση δωματίων κλπ).

Θα πρέπει να πραγματοποιείτε πρόσβαση μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας ή μέσω της εφαρμογής στο κινητό σας (app) και όχι μέσω συνδέσμων από κάποιο μήνυμα ή email που λάβατε, μηχανές αναζήτησης ή άλλες ιστοσελίδες.

Αν λάβατε κάποιο ύποπτο email, προτού ενεργήσετε θα πρέπει να επικοινωνήσετε με τους συνεργάτες σας ή με τον υποτιθέμενο αποστολέα για να ελέγξετε την αυθεντικότητα του.

Θα πρέπει να ελέγχετε προσεκτικά τη διεύθυνση του αποστολέα. Τα μηνύματα τύπου phishing έχουν συχνά διευθύνσεις αποστολέα που δεν έχουν σχέση με αυτόν που υποτίθεται ότι τα στέλνει.

Θα πρέπει να εξετάζετε το είδος των πληροφοριών που σας ζητούνται. Ακόμα και αν το μήνυμα που λάβατε φαίνεται αυθεντικό, είναι απίθανο κάποιος φορέας, τράπεζα ή εταιρία να επικοινωνήσει μέσω ηλεκτρονικού ταχυδρομείου για να σας ζητήσει προσωπικά στοιχεία, στοιχεία τραπεζικής ή πιστωτικής κάρτας, ή άλλα προσωπικά ή ευαίσθητα δεδομένα.

Θα πρέπει να είστε επιφυλακτικοί εάν το μήνυμα δημιουργεί μια αίσθηση επείγοντος. Οι επιτιθέμενοι προσπαθούν συχνά να ασκήσουν πίεση χρησιμοποιώντας αυτήν την τακτική.

Θα πρέπει επίσης να είστε επιφυλακτικοί με μηνύματα επιστροφής φόρου ή χορήγησης επιδομάτων.

Είναι αποτελεσματικός ένας ενδελεχής έλεγχος γραμματικής και ορθογραφίας καθώς τα τυπογραφικά λάθη και η κακή γραμματική είναι συχνά χαρακτηριστικά των μηνυμάτων τύπου phishing.

Υπάρχουν αρκετές λύσεις ασφάλειας και αντιμετώπισης κακόβουλου λογισμικού (antispamming) που περιλαμβάνουν λειτουργίες αναγνώρισης και απόρριψης κακόβουλων μηνυμάτων.

Πηγή: Ethnos.gr
Η κυβερνο-ασφάλεια προϋπόθεση για την ομαλή λειτουργία των δήμων - Άκρως ενδιαφέρουσα η ενημερωτική ημερίδα του Δήμου Ήλιδας
σε Αυτοδιοίκηση

Χρήσιμη και αναλυτική παρουσίαση όλων των δεδομένων από τους ομιλητές

Η λειτουργία, οι κίνδυνοι και τα μέτρα προφύλαξης για ασφαλή χρήση του διαδικτύου, ήταν τα βασικά ζητήματα τα οποία αναδείχθηκαν στην ημερίδα που διοργάνωσε την Πέμπτη στο Συνεδριακό Κέντρο ο Δήμος Ήλιδας με θέμα: «Η κυβερνο-ασφάλεια στους Οργανισμούς Τοπικής Αυτοδιοίκησης».

Ο δήμος Ήλιδας υπέστη κυβερνοεπίθεση το καλοκαίρι του 2022 και από την πρώτη στιγμή προχώρησε στις απαιτούμενες ενέργειες για την αντιμετώπιση της κατάστασης που δημιουργήθηκε και στο πλαίσιο αυτό έχει προβεί σε σειρά μέτρων αντιμετώπισης αλλά και πρόληψης του φαινόμενου.

Η ασφάλεια αποτελεί προτεραιότητα και σε αυτή την κατεύθυνση η ημερίδα είχε στόχο την ενημέρωση, ώστε όλοι να είναι πιο υποψιασμένοι απέναντι σε τέτοια φαινόμενα.

“Υπόθεση όλων…”

Ο αντιδήμαρχος Ήλιδας κ. Βασίλης Παπαδόπουλος, ο οποίος χαιρέτισε την εκδήλωση ζήτησε περισσότερη υπευθυνότητα από όλους, ώστε στο εξής να μην υπάρξουν ανάλογα περιστατικά, ενώ από την πλευρά του ο αντιδήμαρχος κ. Ευγένιος Αστερής επεσήμανε ότι η κυβερνοασφάλεια αφορά όλους τους πολίτες και είναι σημαντικό να γνωρίζουν όλοι πώς θα προστατεύουν τα προσωπικά τους δεδομένα. Ειδικότερα σε ότι αφορά τον δήμο Ήλιδας σημείωσε ότι ήταν μία δύσκολη περίοδος, καθώς σε σύντομο χρόνο έπρεπε να ανταποκριθεί απέναντι στους πολίτες και ζήτησε από όλους να είναι προσεκτικοί στην χρήση του διαδικτύου.

Τα δεδομένα, η αντιμετώπιση, τα μέτρα

Η ημερίδα συνδιοργανώθηκε με τις εταιρείες Nisos Advisors και Μηχανογραφική και η εισαγωγή στο θέμα έγινε από τον προϊστάμενο του τμήματος πληροφορικής του Δήμου Ήλιδας κ. Διονύση Ζαφειρόπουλο, ο οποίος έκανε αρχικά γενική παρουσίαση στο ψηφιακό περιβάλλον του Δήμου, αναφέρθηκε στο περιστατικό με την κυβερνοεπίθεση και τις ενέργειες αποκατάστασης.

Το νομικό και κανονιστικό πλαίσιο ανέλυσε ο κ. Κωνσταντίνος Θεοδωρόπουλος, DPO του Δήμου Ήλιδας, ο οποίος έκανε ιδιαίτερη μνεία στα προσωπικά και ευαίσθητα προσωπικά δεδομένα, τα δικαιώματα και την ασφάλεια.

Τις τεχνικές λύσεις κυβερνο-ασφάλειας στους Οργανισμούς Τοπικής Αυτοδιοίκησης παρουσίασε ο κ. Ανδρέας Νάρος, στέλεχος της Μηχανογραφικής ΕΠΕ, ενώ διαδικτυακά συνδέθηκε ο προϊστάμενος του τμήματος κυβερνοασφάλειας, υπεύθυνος ασφάλειας συστημάτων πληροφορικής και επικοινωνιών Δρ. Κώστας Ιωάννου, και έκανε εκτενή αναφορά στις δράσεις ενίσχυσης κυβερνοασφάλειας στο Υπουργείο Εσωτερικών και τους ΟΤΑ Α’ και Β’ βαθμού.

«Ο παράγων ‘Άνθρωπος’ στο πλέγμα της κυβερνο-ασφάλειας» και «Ολιστική προσέγγιση για την αντιμετώπιση της κυβερνο-ασφάλειας», ήταν τα θέματα που ανέπτυξε ο Partner της Nisos Advisors κ. Χρήστος Κωνσταντίνου, δίνοντας ιδιαίτερη βαρύτητα στον παράγοντα «Άνθρωπος», στα μέσα κοινωνικής δικτύωσης, στους τρόπους δράσης, τις απειλές και τους κινδύνους, τα μέτρα προστασίας, την ολιστική προσέγγιση για την αντιμετώπιση των θεμάτων ασφαλείας και στην εκπαίδευση και την ευαισθητοποίηση.

(Δελτίο Τύπου)