Οι λόγοι που κάποιος πέφτει θύμα hacking είναι δύο: λάθη στο software και λάθη στην ανθρώπινη συμπεριφορά. Για τον πρώτο, ο απλός χρήστης δεν μπορεί να κάνει και πολλά πράγματα, μιας και μιλάμε για κενά ασφαλείας στον κώδικα εφαρμογών ή λογισμικού, αλλά υπάρχουν πράγματα που μπορείς να κάνεις όσον αφορά τον δεύτερο λόγο: μπορείς να αλλάξεις τις κακές σου συνήθειες και τη γενικότερη συμπεριφορά.
Από τις απαρχές των δικτύων (και πολύ πριν την εξάπλωση του Internet), ο πρώτος και διαβόητος hacker ονόματι Kevin Mitnick είχε καταφέρει να παρεισφρήσει σε δίκτυα υπολογιστών αλλά και τηλεπικοινωνιών χρησιμοποιώντας κωδικούς που απέκτησε μέσω του λεγόμενου “social engineering”, δηλαδή όχι μέσω προγραμμάτων ή εργαλείων για hacking, αλλά μέσω ψυχολογικού χειρισμού ανθρώπων οι οποίοι του έδιναν εν γνώσει τους κωδικούς και άλλες πληροφορίες! Αν και το τοπίο έχει αλλάξει, οι βασικές αρχές του social engineering παραμένουν ισχυρές και μπορούμε να δούμε παραδείγματα σε όλα τα phishing attacks που συμβαίνουν τα τελευταία χρόνια και στη χώρα μας. Η πρακτική της αποστολής ενός SMS το οποίο φαίνεται πως προέρχεται από κάποια τράπεζα (ή άλλον οργανισμό), καλώντας μας να πατήσουμε κάποιο link το οποίο μας οδηγεί σε μια ιστοσελίδα πανομοιότυπη με την γνήσια ιστοσελίδα της τράπεζας (ή του οργανισμού), έτσι ώστε να νομίσουμε πως έχουμε συνδεθεί με την πραγματική, γνήσια ιστοσελίδα και να γράψουμε το username και το password μας ώστε να συνδεθούμε, είναι στην ουσία “social engineering” με άλλο όνομα. Το username και το password μας δεν “υποκλέπτονται” μέσω κάποιου μυστηριώδους ή απόκρυφου τρόπου· εμείς τα δίνουμε οικειοθελώς, πιστεύοντας πως τα δίνουμε στην τράπεζα που ήδη τα έχει!
Ο κίνδυνος είναι υπαρκτός και σαφής για οποιονδήποτε άνθρωπο, ακόμη κι αν δεν έχουμε τραπεζικές καταθέσεις εκατομμυρίων. Αν οι λογαριασμοί μας δεν είναι επαρκώς προστατευμένοι, ακόμη κι αυτά τα λίγα χρήματα που έχουμε στην τράπεζα, αλλά και άλλα δεδομένα τα οποία δεν θα θέλαμε να διαρρεύσουν, βρίσκονται σε κίνδυνο. Εξ άλλου, οι hackers δεν στοχεύουν πλέον τέτοιους μεγάλους λογαριασμούς, μιας και αυτοί αφ’ ενός προστατεύονται πολύ καλύτερα και αφ’ ετέρου είναι βέβαιο το ότι θα κινητοποιήσουν τις αρχές. Αυτό που μπορούμε να κάνουμε είναι να λάβουμε τα μέτρα μας έτσι ώστε να μειώσουμε τους κινδύνους όσο το δυνατόν περισσότερο.
Multi-Factor Authentication
Ένας καλός τρόπος για να προστατεύσεις τους λογαριασμούς σου είναι να ενεργοποιήσεις την ταυτοποίηση πολλαπλών επιπέδων. Η μέθοδος αυτή, πέραν του συνδυασμού username – password, χρησιμοποιεί επιπλέον μεθόδους όπως η αποστολή κωδικού μίας χρήσης μέσω SMS ή κωδικού που παράγεται από κάποιο εξειδικευμένο app. Αυτό είναι ένα επιπλέον επίπεδο το οποίο κάνει την παράνομη είσοδο πιο δύσκολη, ακόμη και αν το password σου είναι εύκολο να το μαντέψει κανείς ή αν έχει υποκλαπεί με κάποιον τρόπο, καθώς ο επίδοξος εισβολέας θα πρέπει να έχει πρόσβαση και στο κινητό σου.
Για να έχεις το κεφάλι σου ήσυχο, θα πρέπει να ενεργοποιήσεις το διαθέσιμο multi-factor authentication (two-factor ή άλλο) σε όλους τους λογαριασμούς αλλά κυρίως σε όσους είναι κρίσιμοι (πχ e-mails) ή περιέχουν προσωπικές πληροφορίες (πχ Facebook, Instagram, Twitter) αλλά και σε υπηρεσίες μηνυμάτων (πχ WhatsApp ή Viber).
Σε γενικές γραμμές, το SMS δεν θεωρείται τόσο ασφαλές όσο τα ειδικά apps που παράγουν κωδικούς, όπως το Google Authenticator ή το Microsoft Authenticator.
Password Manager
Ακόμη κι αν χρησιμοποιείς multi-factor authentication, τα passwords που χρησιμοποιείς δεν θα πρέπει να είναι του τύπου “12345” ούτε η ημερομηνία γεννήσεώς σου. Ακόμη περισσότερο, όλα τα passwords θα πρέπει να είναι μοναδικά, δηλαδή να μην χρησιμοποιείς το ίδιο password για όλους τους λογαριασμούς. Επίσης, θα πρέπει να είναι μεγάλα σε μέγεθος, να περιέχουν πεζά, κεφαλαία, αριθμούς και σύμβολα σε τυχαία σειρά, για να είναι αδύνατον να τα βρει κάποιος κατά τύχη. Προφανώς το να θυμάσαι έστω δύο τέτοια passwords της μορφής 34*c#VJFP854[dc.”43f9gd_1@f5€< είναι παντελώς ανέφικτο, γι’ αυτό υπάρχουν τα password managers, εξειδικευμένα προγράμματα τα οποία αναλαμβάνουν να κρατούν έναν κρυπτογραφημένο κατάλογο των usernames και passwords σου για κάθε site και κάθε υπηρεσία. Μάλιστα, μπορούν να παράγουν και νέα passwords κατάλληλου μεγέθους και πολυπλοκότητας, όποτε χρειάζεσαι ένα για να φτιάξεις έναν νέο λογαριασμό κάπου. Μπορείς να ρίξεις μια ματιά στο KeePass ή στο LastPass.
Μάθε να αναγνωρίζεις τις απάτες
Κάθε φορά που λαμβάνεις ένα νέο e-mail ή SMS, θα πρέπει να προσέχεις τα σημάδια. Για αρχή, δεν υπάρχει περίπτωση να λάβεις e-mail ή, πολύ περισσότερο, SMS από κάποια τράπεζα το οποίο θα περιέχει link. Αν νομίζεις πως το μήνυμα που έλαβες είναι γνήσιο, αντί να πατήσεις το link, άνοιξε ένα νέο παράθυρο στον browser (Firefox, Edge, Chrome, Safari) του υπολογιστή σου, βάλε χειροκίνητα την σωστή διεύθυνση της τράπεζας, και συνδέσου. Έτσι θα μπορείς να είσαι βέβαιος πως έχεις συνδεθεί στο επίσημο site και όχι σε κάποιον “κλώνο”. Αν όντως υπάρχει κάποιο θέμα, θα μπορείς να το δεις από εκεί.
Και αυτό αποτελεί social engineering, καθώς τα μηνύματα συνήθως ισχυρίζονται πως υπάρχει πρόβλημα με κάτι, ώστε να σε τρομάξουν και να πατήσεις το link γρήγορα, χωρίς να σκεφτείς. Κάθε φορά που βλέπεις κάτι τέτοιο, θα πρέπει να θεωρείς πως είναι απάτη εξ υποθέσεως. Έπειτα, θα έχεις τον χρόνο να σκεφτείς αν όντως έκανες κάποια αγορά ή πληρωμή, ή υπάρχει όντως κάτι το οποίο θα δικαιολογούσε ένα τέτοιο μήνυμα. Λόγω του ότι τα μηνύματα αυτά στέλνονται στα τυφλά, τις περισσότερες φορές δεν θα έχεις καν λογαριασμό στην τράπεζα η οποία υποτίθεται πως σου στέλνει το μήνυμα. Σκέψου πολλές φορές προτού πατήσεις το οποιοδήποτε link, ακόμη κι αν φαινομενικά προέρχεται από κάποιον έμπιστο οργανισμό ή ακόμη και φίλο ή γνωστό σου.
Ενημέρωσε τα πάντα
Πλέον υπάρχουν δεκάδες πράγματα μέσα στο σπίτι μας τα οποία κρύβουν μέσα τους έναν υπολογιστή, από το laptop και το smartphone μέχρι την έξυπνη λάμπα. Και όλα τους είναι εν δυνάμει στόχος για επιθέσεις. Μιλάμε, προφανώς, για τα λάθη στο software που είχαμε αναφέρει στην εισαγωγή του άρθρου. Οι κατασκευαστές, όμως, εντοπίζουν και διορθώνουν συνεχώς λάθη και προβλήματα, τα οποία μας έρχονται υπό τη μορφή ενημερώσεων. Αυτός είναι και ο λόγος που πρέπει να έχεις όλες τις συσκευές και τα προγράμματα που χρησιμοποιείς ενημερωμένα. Ξεκίνα από τον υπολογιστή σου και το smartphone σου, βάζοντας τα διαθέσιμα updates. Έπειτα πέρνα στις συσκευές, στο router, και σε κάθε άλλη συσκευή η οποία διαθέτει Wi-Fi ή συνδέεται με κάποιον τρόπο στο internet. Και εδώ θα πρέπει να θεωρείς πως τα πάντα είναι πιθανοί στόχοι και να φροντίζεις να είναι κλειδωμένα – μα και ενημερωμένα.
Άλλα μέτρα
Υπάρχουν και άλλα πράγματα τα οποία μπορείς να κάνεις, αν θέλεις να είσαι βέβαιος πως έχεις κλείσει όλες τις πιθανές “τρύπες”. Για παράδειγμα, αν θες να είσαι απολύτως βέβαιος πως όλες σου οι επικοινωνίες είναι ασφαλείς, μπορείς να βεβαιωθείς πως οι υπηρεσίες που χρησιμοποιείς είναι κρυπτογραφημένες. Για παράδειγμα, το WhatsApp και το Signal είναι υπηρεσίες οι οποίες κρυπτογραφούν τις συνομιλίες, με το Signal να θεωρείται πιο ασφαλές – και δεν ανήκει στην εταιρεία του Facebook. Προφανώς, το Facebook Messenger δεν εμπίπτει σε αυτή την κατηγορία. Παράλληλα, υπάρχουν υπηρεσίες οι οποίες κρυπτογραφούν τα e-mails, όπως η ProtonMail, αν θες να κλείσεις και αυτή την τρύπα, ενώ όλοι οι πάροχοι διαθέτουν “e-mails μιας χρήσης” τα οποία μπορείς να χρησιμοποιήσεις για υπηρεσίες και για αγορές.
Μπορείς, αν θέλεις, να κρυπτογραφήσεις μέχρι και τα περιεχόμενα του σκληρού δίσκου του υπολογιστή σου, για να είσαι σίγουρος πως, ακόμη κι αν κάποιος κλέψει το laptop σου ή τον σκληρό σου δίσκο, δεν θα έχει πρόσβαση στα αρχεία σου. Τόσο τα Windows όσο και το macOS παρέχουν αυτή τη λειτουργία.
Τέλος, μιας και το Internet πλέον μετρά δεκαετίες ζωής, φρόντισε να σβήσεις όλους τους λογαριασμούς σε sites και υπηρεσίες που έχεις αλλά δεν χρησιμοποιείς πλέον. Εκτός του ότι δε θα μπορεί κανείς να βρει κάτι που ίσως έγραψες σε κάποιο forum πριν 20 χρόνια, όταν ήσουν 16 χρονών, δε θα μπορεί κανείς να μαζέψει πληροφορίες για εσένα κομμάτι-κομμάτι, από παλιούς λογαριασμούς. Αυτό είναι κάτι που συμβάλλει στην ανωνυμία σου.
Τέλος, αν θέλεις να είσαι απολύτως βέβαιος πως κανένας δεν παρακολουθεί τη δραστηριότητά σου στο Internet, χρησιμοποίησε κάποιο VPN και, αν θες να το πας στα άκρα, χρησιμοποίησε το Tor για να γίνεις απολύτως “αόρατος”!