Η πρώτη επίθεση phising με στόχο πελάτες Ελληνικής τράπεζας.

Το φαινόμενο phising είναι ήδη γνωστό εδώ και χρόνια και αρκετές τράπεζες έχουν πέσει θύματά του.

Ωστόσο στις 25 Οκτωβρίου 2005 παρουσιάστηκε η πρώτη επίθεση phising σε Ελληνική τράπεζα.

Ένα phising μήνυμα ηλεκτρονικού ταχυδρομείου στάλθηκε σε πολύ μεγάλο αριθμό παραληπτών στην Ελλάδα, πιέζοντας τους να επιβεβαιώσουν Internet banking στοιχεία τους, στην επίσημη ιστοσελίδα της τράπεζας. Η διεύθυνση του μηνύματος περιείχε ένα σύνδεσμο παραπέμποντας σε μια ιστοσελίδα με μια φόρμα συμπλήρωσης στοιχείων. Προφανώς αυτή η ιστοσελίδα δεν άνηκε στην τράπεζα, αλλά στο άτομο που σχεδίασε την επίθεση.

Ήταν μια καλά προετοιμασμένη επίθεση, με μερικά αξιοσημείωτα χαρακτηριστικά:

-          όλα τα μηνύματα που η Inter Engineering εντόπισε, στάλθηκαν σε υπάρχουσες ηλεκτρονικές διευθύνσεις. Αυτό είναι αντίθετο με τα spam που απλά στέλνονται σε μεγάλο αριθμό παραληπτών με τυχαίες διευθύνσεις. Άρα ο επιτεθείς είχε ετοιμάσει καλά τον στόχο του.

-          Το άτομο που έκανε την επίθεση έστησε 3 ιστοσελίδες σε διαφορετικές χώρες. Στα μηνύματα που στάλθηκαν ξεκινώντας από το βράδυ ως νωρίς το πρωί, οι σύνδεσμοι έδειχναν τις 2 από τις 3 ιστοσελίδες. Νωρίς το μεσημέρι της 25^ης ένα νέο πακέτο μηνυμάτων στάλθηκε δείχνοντας την 3^η ιστοσελίδα. Άρα το άτομο που έκανε την επίθεση είχε προετοιμαστεί να βγάλει στον αέρα απρόσμενα τις ιστοσελίδες και να κρατήσει την 3^η για μετά.

Η Inter Engineering άμεσα επικοινώνησε με την τράπεζα για να επιβεβαιώσει πως ήταν ενήμεροι και πληροφόρησε επίσης τις αρχές.

Η έγκυρη αντίδραση της τράπεζας εξασφάλισε πως οι ιστοσελίδες του ατόμου που έκανε την επίθεση απενεργοποιήθηκαν και αντικαταστάθηκαν με σύνδεσμο για την επίσημη ιστοσελίδα της τράπεζας στην οποία δημοσιεύτηκε προειδοποίηση.

Επομένως η ζημιά που έγινε είναι πιθανά πολύ μικρή, αλλά τίποτα δεν εγγυάται πως δεν θα υπάρξουν παρόμοιες απειλές. Η Inter Engineering προβλέπει πως αυτή ήταν μάλλον η πρώτη από μια σειρά επιθέσεων phising σε Έλληνες πελάτες  του Internet banking.

Η μοναδική αποτελεσματική προστασία ενάντια στις επιθέσεις phising, είναι η εκπαίδευση των χρηστών. Μια τράπεζα δε θα έστελνε ποτέ ένα μαζικό μήνυμα προκαλώντας τους πελάτες της να συμπληρώσουν τα στοιχεία τους για internet banking σε μια ιστοσελίδα. Οπότε οι χρήστες θα πρέπει να χρησιμοποιούν την κοινή λογική και μια υγιή δόση προβληματισμού πριν ακολουθήσουν τις οδηγίες που βλέπουν σε διευθύνσεις μηνυμάτων ή σε ιστοσελίδες.

Χρησιμοποιώντας ένα καλό Anti Spam μαζί με/ή λύσεις ασφάλειας περιεχομένου είναι επίσης πιθανό να φιλτράρουν τέτοια μηνύματα.

Ως τις 26 Οκτωβρίου τα μηνύματα phising σταμάτησαν να κυκλοφορούν.