Οι απόψεις του ιστολογίου μπορεί να μην συμπίπτουν με τα περιεχόμενα των άρθρων -Τα δημοσιεύματα στην ιστοσελίδα μας εκφράζουν τους συγγραφείς.

Μαρτίου 14, 2018

Πόσο αθώα είναι τα κουίζ του Facebook

Related Posts Plugin for WordPress, Blogger...
Ένα πολύ ενδιαφέρον άρθρο που πρέπει να διαβάσετε και να κοινοποιησετε , μιας και η κατάσταση με τα κουίζ έχει ξεφύγει και στην αρχική σελίδα μας βλέπουμε μόνο αυτά . Στις κόκκινες υπογραμισμενες λέξεις πατήστε για να διαβάσετε περισσότερα

Πόσο αθώα είναι τα κουίζ του Facebook ; Καθόλου . Τα κουίζ και τα τεστ που διακινούνται μέσω Facebook μόνο αθώα δεν είναι

Αγνωστoς αρχίζει τις ερωτήσεις. Υποθετικά πάντα. «Μόλις τελειώσετε, σας βγάζω τσακ μπαμ τα αποτελέσματα. Α, τα στέλνω και στους φίλους σας». «Στους φίλους μου;» «Ναι σε όλους, παλιούς και νέους. Και τους συναδέλφους σας, σε μια θεία σας στην Αυστραλία, σ’ έναν παλιό συμμαθητή σας, στον πρώην σας, σε έναν καθηγητή σας απ’ το Πανεπιστήμιο, τη γειτόνισσα από τον τρίτο…» «Μα τι λέτε; Γιατί όλοι αυτοί να μάθουν τα αποτελέσματα ενός γελοίου τεστ;» «Γιατί όχι; Μπορεί να θέλουν να το κάνουν κι εκείνοι» «Εντάξει, με πείσατε. Θα το κάνω».

Ο άγνωστoς βγάζει ένα σημειωματάριο. Υποθετικά πάντα. «Α, και κάτι ακόμη. Θα χρειαστώ κάποια στοιχεία σας. Όχι τίποτα σημαντικό. Ονοματεπώνυμό, τηλέφωνο, διεύθυνση κατοικίας, email, τα ονόματα και τις διευθύνσεις των συγγενών και των φίλων σας…». «Μα τι θα τα κάνετε όλα αυτά;» «Τίποτα, για το τυπικό». «Εντάξει τότε». «Α, και κάτι τελευταίο. Θα χρειαστώ και μερικές λίστες: τα αγαπημένα σας τραγούδια, ποιες σειρές βλέπετε, τα εστιατόρια που σας αρέσουν, από πού ψωνίζετε…». «Αλίμονο, τώρα που γνωριστήκαμε». «Καλέ ναι, μια που γνωριστήκαμε, θα ήθελα να ρίξω και μια ματιά στις φωτογραφίες σας». «Μια ματιά;» «Όχι ότι με ενδιαφέρουν. Για καλό και για κακό πάντως θα κρατήσω αντίγραφα. Αλλά υπόσχομαι να μείνουν μεταξύ μας». «Μα στο άλμπουμ έχω φωτογραφίες μου με μαγιό, φωτογραφίες από το γάμο μου, του συζύγου, των παιδιών μου». «Καλά τώρα, δεν με εμπιστεύεστε;» «Συγγνώμη, δεν ξέρω τι με έπιασε». «Αν έχετε και βίντεο, ευπρόσδεκτα». «Πώς δεν το σκέφτηκα; Ορίστε».

«Ευχαριστώ. Λοιπόν, στην προηγούμενη ζωή σας ήσασταν πρόβατο».

Υποθετικά πάντα.

Υποθετικά. Γιατί μόνο σε υποθετικό σενάριο θα δίναμε σε έναν άγνωστο όλα αυτά τα στοιχεία και προσωπικά δεδομένα για να μας πει τι ήμασταν στην προηγούμενη ζωή μας. Ή πώς θα μοιάζαμε αν ήμασταν εκατομμυριούχος. Ή ποιες λέξεις χρησιμοποιούμε πιο συχνά. Ή ποιο μαγιό μας πάει. Ή ποιος πολύτιμος λίθος είμαστε. Ή μήπως όχι μόνο σε υποθετικό σενάριο;

Πόσο αθώα είναι τα κουίζ του Facebook;

Καθόλου. Τα κουίζ και τα τεστ που διακινούνται μέσω Facebook μόνο αθώα δεν είναι. Ενδεχομένως διασκεδαστικά και παιχνιδιάρικα, αλλά επ ουδενί αθώα. Σύμφωνοι, δεν είναι όλα εξίσου ύποπτα, αλλά το γεγονός ότι τα επίφοβα «καμουφλάρονται» μεταξύ των υπόλοιπων τα καθιστά ακόμη πιο επικίνδυνα. Γι’ αυτό και σήμερα θεωρούνται ο βασικός πολιορκητικός κριός των κυβερνοεγκληματιών που δρουν στο Facebook. Η συμμετοχή του χρήστη σε ένα φαινομενικά απλό κουίζ και η συνακόλουθη αποδοχή των όρων χρήσης, ανοίγει διάπλατα την πόρτα του θησαυροφυλακίου των πολύτιμων data σε όλους τους επίδοξους ιντερνετικούς απατεώνες.

Στην ετήσια έρευνα της Cisco αναφέρεται ότι οι απάτες μέσω Facebook έχουν ανέλθει στην πρώτη θέση της σχετικής λίστας των διαδικτυακών μικροεγκλημάτων. Μόνο κατά τη διάρκεια της περασμένης χρονιάς καταγράφηκαν περισσότερες από 33 εκατ. κακόβουλες επιθέσεις μέσω Facebook, ενώ τα πρώτα στοιχεία για το 2016 δείχνουν έντονα αυξητικές τάσεις.

Το Facebook είναι ένας πραγματικός παράδεισος για τους hackers και τους scammers. Οι 1,5+ δισ. χρήστες του μέσου, μεγάλο ποσοστό εκ των οποίων είναι άπειροι και ελάχιστα εξοικειωμένοι με την πληροφορική, φαντάζουν για πολλούς ιδανικοί στόχοι. Αλλά ακόμη και οι περισσότερο εξοικειωμένοι και «γνώστες» μπορούν εύκολα να πέσουν θύματα εξαπάτησης ή υποκλοπής προσωπικών δεδομένων. Οι μέθοδοι και τα εργαλεία είναι αμέτρητα και μεταλλάσσονται διαρκώς ώστε να προσαρμόζονται στα μέτρα προστασίας: ιοί , «σκουλήκια» , δούρειοι ίπποι , ransomware , spyware και πολλά ακόμη επικίνδυνα και ανησυχητικά.

Οι περισσότερες ύποπτες σελίδες καλούν τους χρήστες να πάρουν μέρος σε ένα τεστ, να κάνουν like σε φωτογραφίες με γατάκια, μωρά ή τοπία, να παρακολουθήσουν αστεία ή αισθησιακά βίντεο. Όταν η σελίδα αποκτήσει πολλούς fans και τα posts μετρούν πολυάριθμα likes και shares μπαίνει σε εφαρμογή του σχέδιο Β. Οι δημοσιεύσεις αλλάζουν προσανατολισμό και συχνά οδηγούν σε τρία sites που κρύβουν πολύ σοβαρότερες απειλές από την υποκλοπή του email σας.

Η πρακτική του Like Farming είναι τόσο εκτεταμένη γιατί είναι απλούστατη τόσο ως σύλληψη όσο και ως εκτέλεση. Ιδιαίτερα δημοφιλείς σελίδες με παραπλανητικούς τίτλους όπως «Η απιστία δεν είναι μαγκιά», «Όλοι οι Έλληνες σε ένα γκρουπ» εκμεταλλεύονται την τεράστια βάση χρηστών για να συγκεντρώνουν κλικ σε sites άσχετης θεματολογίας και κατ’ επέκταση να προσελκύουν διαφημίσεις.

H σελίδα της αστυνομίας της Αυστραλίας προειδοποίησε ότι ένα ποστ που υποτίθεται ήταν προσφορά της Qantas, ήταν στην πραγματικότητα μια απάτη like farming.

Με αντίστοιχο πλάνο δράσης αλλά διαφορετική στόχευση κινούνται όσοι καταπιάνονται με το phishing ( παραφθορά του fishing, καθώς περί αυτού πρόκειται: οι επιτήδειοι ψαρεύουν προσωπικά στοιχεία και δεδομένα ). Συνήθως τα θύματα οδηγούνται σε κάποιο εξωτερικό site ή καλούνται να συμπληρώσουν στοιχεία σε φόρμες που συχνά θυμίζουν, αλλά δεν είναι, σελίδες του Facebook.



Δεν καταγράφονται όμως όλες οι ύποπτες ενέργειες ως επιθέσεις. Οι περισσότερες «πράξεις» περνούν κάτω από το ραντάρ της συντριπτικής πλειονότητας των αντιικών και antispam προγραμμάτων, καθώς ούτε εγκαθιστούν κάτι στο σύστημα ούτε αποκτούν πρόσβαση στον υπολογιστή ή το smartphone, όπως συνήθιζαν να κάνουν οι hackers. Τους αρκούν τα data σας.

Στην έρευνα της Cisco τονίζεται ότι για την έκθεση των δεδομένων των χρηστών δεν ευθύνονται τα ίδια τα sites, αλλά οι συνεργαζόμενες εταιρείες. Άλλωστε το Facebook, το Twitter, το Google και οι άλλες δημοφιλείς πλατφόρμες έχουν κρυπτογραφήσει σε μεγάλο ποσοστό τις σελίδες τους. Το πρόβλημα ανακύπτει από τις διαφημίσεις ή τις σελίδες των συνεργαζόμενων εταιρειών, που επιχειρούν να υποκλέψουν δεδομένα, αξιοποιώντας τις σύγχρονες πρακτικές της «κοινωνικής μηχανικής». Το γεγονός βέβαια ότι το Facebook τους επιτρέπει αντίστοιχες πρακτικές το καθιστά αν μη τι άλλο συνυπεύθυνο.

Η Κοινωνική μηχανική (Social engineeringWikipedia) καθιερώθηκε ως όρος από τον Kevin Mitnick , έναν από τους πλέον αναγνωρίσιμους hackers παγκοσμίως, ο οποίος έχει φυλακιστεί για την δράση του. Ο Mitnick υποστηρίζει ότι είναι ευκολότερο να πείσεις κάποιον να σου δώσει τους κωδικούς του –ή να σε βοηθήσει να τους μαντέψεις– παρά να προσπαθήσεις να τους σπάσεις. Ο σύγχρονος μετασχηματισμός της έννοιας του social engineering μέσω Facebook έχει να κάνει με τη μαζική εξαπάτηση χρηστών, που μοιράζονται προσωπικά στοιχεία και ευαίσθητα δεδομένα, χωρίς καν να το γνωρίζουν ή να υποψιάζονται το βαθμό έκθεσής τους.

Και τι θα τα κάνουν όλα αυτά τα data;

Οι εκδοχές είναι ουκ ολίγες. Η πρώτη και πιο προφανής είναι η υποκλοπή στοιχείων καρτών και τραπεζικών λογαριασμών, αλλά και στοιχείων σύνδεσης σε web και mobile banking. Μια ημερομηνία γέννησης για παράδειγμα που θα σας αποσπάσουν μέσω Facebook, ενδέχεται να χρησιμεύσει σε κάποιον για να σπάσει τον κωδικό σας στο e-banking (και κάπου εδώ να υπενθυμίσουμε ότι η χρήση ημερομηνιών και χρονολογιών ως passwords, θεωρείται εγκληματική αμέλεια). Ακόμη και φαινομενικά αθώα στοιχεία, όπως ο τόπος που μεγαλώσατε, το σχολείο που πήγατε, τα φαγητά και τα τραγούδια που σας αρέσουν. Άλλωστε πολλές από τις μυστικές ερωτήσεις ανάκτησης κωδικών σχετίζονται με πληροφορίες τέτοιου είδους. Η χρέωση καρτών και η μεταφορά χρημάτων σε μη ανιχνεύσιμους λογαριασμούς απαιτεί λίγα μόνο δευτερόλεπτα από τη στιγμή της υποκλοπής. Όταν ο χρήστης συνειδητοποιεί τι συνέβη, είναι συνήθως αργά.

Η δεύτερη και συνηθέστερη αφορά στην υποκλοπή προσωπικών στοιχείων για διαφημιστική χρήση. Η πλειονότητα των χρηστών του Facebook μοιράζεται απλόχερα όχι μόνο τα πραγματικά τους στοιχεία αλλά και μια σειρά άλλων ιδιαίτερα ευαίσθητων πληροφοριών (διεύθυνση, τηλέφωνο), ενώ πολλοί κοινοποιούν ανά πάσα στιγμή τη γεωγραφική τους θέση, τις καθημερινές τους δραστηριότητες αλλά και τις προτιμήσεις τους σε μια σειρά τομέων και δραστηριοτήτων.

Τα κουίζ, τα παιχνίδια και οι έρευνες αποτελούν ιδανικό πεδίο υποκλοπής στοιχείων, αφού στις περισσότερες περιπτώσεις οι χρήστες εν γνώσει τους μοιράζονται δεδομένα και στοιχεία. Ή τέλος πάντων, θα έπρεπε να είναι εν γνώσει τους, αφού οι περισσότεροι πατούν «Αποδέχομαι/Accept» χωρίς καν να σκρολάρουν στους Όρους Χρήσης. Με αυτό τον τρόπο οι εταιρείες που υποκλέπτουν τα στοιχεία είναι και τυπικά καλυμμένες.

Λέμε και ξαναλέμε για τα πολύτιμα στοιχεία και εξηγούμαστε: οι διαφημιστικές εταιρείες διψούν για δεδομένα.

Όχι ότι κατ’ ανάγκη τους ενδιαφέρει η διεύθυνση του σπιτιού σας για να σας στείλουν κάτι. Αυτό που επιδιώκουν είναι να εμφανίζουν απόλυτα στοχευμένες διαφημίσεις, κομμένες και ραμμένες στα μέτρα του εκάστοτε χρήστη. Είναι αυτό τόσο αρνητικό, θα αναρωτηθούν κάποιοι. Αν δεν σας ενοχλεί το sharing των στοιχείων σας, ίσως όχι. Σε μια έρευνα της Comparitech μόλις το 7% των χρηστών που απάντησαν στο σχετικό ερωτηματολόγιο, δήλωσαν πρόθυμοι να μοιραστούν τα ευαίσθητα στοιχεία με τους δημιουργούς των Facebook apps, κάτι που έρχεται σε προφανή αντίθεση με τα εκατομμύρια των ανθρώπων που τα «μαρτυράνε» όλα.

Το γραφείο ερευνών Better Business Bureau προειδοποίησε τους καταναλωτές για τους κινδύνους που κρύβει η άκριτη συμμετοχή σε αυτά τα κουίζ και η συνακόλουθη δημοσιοποίησή των αποτελεσμάτων στον τοίχο τους. Εφιστά ιδιαίτερη προσοχή καθώς πέρα από τα clickbait κουίζ που έχουν στόχο την προσέλκυση κλικ και την αύξηση των διαφημιστικών εσόδων, υπάρχουν πολλές εφαρμογές που υποκρύπτουν scams. Μεταξύ αυτών και τα άκρως διαδεδομένα phishing εργαλεία που υποκλέπτουν ευαίσθητα προσωπικά δεδομένα όπως αριθμούς πιστωτικών καρτών και τραπεζικών λογαριασμών αλλά και κωδικούς ασφαλείας για διάφορες online υπηρεσίες, μεταξύ των οποίων και το ίδιο το Facebook.

«Ένας βασικός κανόνας είναι ότι πρέπει να αποφεύγετε οποιοδήποτε τεστ ή εφαρμογή υπόσχεται να σας δώσει δωρεάν κάτι για το οποίο θα έπρεπε να πληρώσετε» λέει η Michelle Corey, CEO της BBB. Αν για παράδειγμα απαντήσετε σε ένα κουίζ που ζητάει την πρωτεύουσα της Γαλλίας, μην περιμένετε ότι θα κερδίσετε μια Πόρσε. Υπάρχει μάλιστα ένα τεστ (κατά σατανική σύμπτωση, τεστ ευφυίας) το οποίο ζητά τη συμπλήρωση του κινητού τηλεφώνου του χρήστη, προκειμένου να του στείλει τα αποτελέσματα του IQ test. Αν κάνετε το λάθος να συμπληρώσετε τον αριθμό, σύντομα θα αρχίσετε να δέχεστε κλήσεις και μηνύματα, τα οποία είτε σας οδηγούν σε κακόβουλους προορισμούς είτε σας χρεώνουν υπέρογκα ποσά για διεθνείς κλήσεις.

Το δευτερογενές πρόβλημα που δημιουργείται είναι ότι παρόμοιες τακτικές email και Facebook marketing χρησιμοποιούν καθόλα νόμιμες εταιρείες. Με αυτό τον τρόπο, το «απάντησε σε μία ερώτηση και μπες στην κλήρωση με πλούσια δώρα» που εντάσσεται στη διαφημιστική καμπάνια μιας εταιρείας εξοικειώνει το κοινό με παρόμοιες καμπάνιες και το οδηγεί στα δίχτυα των επιτήδειων. Το γεγονός επίσης ότι υπάρχουν και ασφαλή τεστ, καθιστά ακόμη δυσκολότερο τον εντοπισμό των κακόβουλων. Άλλωστε τα πλέον επιτυχημένα scams είναι αυτά που εντοπίζονται δυσκολότερα.

Ένας εφιάλτης για τα προσωπικά δεδομένα

Τον περασμένο Νοέμβριο μια εταιρεία κατηγορήθηκε ότι χρησιμοποίησε το quiz «Most Used Words» προκειμένου να υποκλέψει στοιχεία χρηστών. (Το λινκ δεν παρατίθεται για λόγους ασφάλειας http://en.*****.**/***/***).


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου