Η αξιοποίηση των Τεχνολογιών Πληροφορικής και Επικοινωνιών συνέβαλε καθοριστικά στη μετρίαση των προβλημάτων που προέκυψαν από την πανδημία. Η τηλεργασία, το ηλεκτρονικό εμπόριο και οι ηλεκτρονικές τραπεζικές συναλλαγές είναι οι τομείς που προσέλκυσαν, αναγκαστικά σε αρκετές περιπτώσεις, τους περισσότερους νέους χρήστες. Πολλοί από αυτούς είχαν περιορισμένη εμπειρία με το Διαδίκτυο και συνεπακόλουθα ήταν λογικό και αναμενόμενο να αποτελέσουν προνομιακούς στόχους για τους κυβερνοεγκληματίες.
Οι επιθέσεις phishing στοχεύουν ουσιαστικά στην εξαπάτηση του θύματος, ώστε να εκτελέσει άθελά του ενέργειες που υποβοηθούν τους απατεώνες να αποκτήσουν πρόσβαση στα δεδομένα του και συνήθως στους τραπεζικούς του λογαριασμούς. Αυτού του τύπου οι επιθέσεις είναι ιδιαίτερα αποτελεσματικές γιατί είναι ανθρωποκεντρικές. Με άλλα λόγια στοχεύουν στον πιο αδύναμο κρίκο της αλυσίδας της κυβερνοασφάλειας, τον άνθρωπο. Οι βασικές αρχές αυτών των απατών εντάσσονται στην κοινωνική μηχανική ή στο social engineering, όπως είναι ευρύτερα γνωστό. Ουσιαστικά πρόκειται για τεχνικές που μεγιστοποιούν τις πιθανότητες διαφόρων επιτηδείων να παραπλανήσουν τους χρήστες ψηφιακών υπηρεσιών. Μια προσεκτικότερη παρατήρηση των μηνυμάτων που οδηγούν σε απάτες phishing θα επιβεβαιώσει τα παραπάνω. Τα μηνύματα αυτά είτε έχουν κάποιο αυστηρό και επίσημο ύφος, είτε είναι ιδιαίτερα επείγοντα και πιεστικά ως προς τον χρόνο που πρέπει να ολοκληρωθεί κάποια ενέργεια, είτε είναι ιδιαίτερα φιλικά και οικεία.
Η συμμόρφωση με τους νόμους και τους κανόνες, το άγχος να κλείσει μια εκκρεμότητα πριν παρέλθει η προθεσμία της αλλά και η προδιάθεση σχεδόν κάθε ανθρώπου να είναι φιλικός και συνεργάσιμος είναι έμφυτα στην ανθρώπινη φύση. Είναι όμως επίσης και οι «αδυναμίες» που διαχρονικά εκμεταλλεύονται όλοι οι απατεώνες σε κάθε είδους απόπειρα εξαπάτησης, στον πραγματικό αλλά και στον ψηφιακό κόσμο.
Οι επιθέσεις phishing είναι ιδιαίτερα αποτελεσματικές γιατί είναι ανθρωποκεντρικές.
Ειδικότερα, μέσω του Διαδικτύου οι κυβερνοεγκληματίες μπορούν σαφώς πιο εύκολα να προσδώσουν ιδιαίτερη αληθοφάνεια και πειστικότητα στα παραπλανητικά μηνύματα που χρησιμοποιούν ως δόλωμα για τις απάτες phishing. Για τους πιο άπειρους χρήστες του Διαδικτύου, παλαιότερα οι συναλλαγές τους με την τράπεζα είχαν μια πιο ανθρώπινη και προσωπική διάσταση που πλέον δεν υφίσταται. Η αντιμετώπιση του προβλήματος του phishing δεν πρόκειται να λυθεί μόνο με τεχνολογικά μέσα. Αλλωστε, οι περισσότερες τράπεζες εφαρμόζουν σε γενικές γραμμές τα απαραίτητα μέτρα κυβερνοασφάλειας, καθώς είναι υποχρεωμένες να συμμορφώνονται με ανάλογους σχετικούς κανονισμούς και διεθνή πρότυπα. Φυσικά υπάρχουν περιθώρια βελτιώσεων, αλλά αυτά είναι μικρά σε σχέση με την πιεστική ανάγκη να ενημερώνονται καλύτερα και αποτελεσματικότερα οι πελάτες τους για τους κινδύνους των επιθέσεων phishing.
Σαφέστατα χρειάζονται στοχευμένες δράσεις ευαισθητοποίησης και όχι μόνο κάποια τυπικά προειδοποιητικά emails. Απαιτούνται διαφάνεια και άμεσος διαμοιρασμός πληροφοριών για τα περιστατικά κυβερνοαπατών με τους χρήστες αλλά και όλους τους εμπλεκόμενους φορείς, πέρα από τις τυπικές υποχρεώσεις που απορρέουν από τους ισχύοντες νόμους. Παραδοσιακά, σε όλο τον κόσμο ο τραπεζικός τομέας αντιμετωπίζει με μυστικότητα τα θέματα που αφορούν την κυβερνοασφάλεια. Αυτό το μοντέλο όμως είναι ξεπερασμένο και πρέπει να αλλάξει. Οι κυβερνοεγκληματίες ανταλλάσσουν διαρκώς πληροφορίες, τεχνικές και εργαλεία για να γίνουν πιο αποτελεσματικοί στις επιθέσεις τους. Το ίδιο πρέπει να κάνουμε και εμείς για να τους αντιμετωπίσουμε.
* Ο κ. Βασίλης Βλάχος είναι επίκουρος καθηγητής στο Τμήμα Οικονομικών Επιστημών του Πανεπιστημίου Θεσσαλίας. Ασχολείται με την ασφάλεια των ηλεκτρονικών συναλλαγών, τα κρυπτονομίσματα και το κυβερνοέγκλημα.