Η εταιρεία κυβερνοασφάλειας ESET εξέδωσε προειδοποίηση για μια σοφιστικέ διεθνή απάτη που εκμεταλλεύεται τη λειτουργία κοινής χρήσης οθόνης στις βιντεοκλήσεις του WhatsApp. Οι απατεώνες χρησιμοποιούν ψυχολογική χειραγώγηση για να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα των χρηστών, οδηγώντας σε κλοπή χρημάτων και πληροφοριών.
Αυτή η εξέλιξη έρχεται σε μια περίοδο που η ψηφιακή επικοινωνία έχει ενταθεί, καθιστώντας τις πλατφόρμες όπως το WhatsApp κεντρικές για την καθημερινότητά μας, τόσο σε προσωπικό όσο και σε επαγγελματικό επίπεδο. Η λειτουργία κοινής χρήσης οθόνης, σχεδιασμένη για απομακρυσμένη συνεργασία, έχει δυστυχώς γίνει ένα νέο πεδίο δράσης για τους κυβερνοεγκληματίες.
Πώς λειτουργεί η νέα απάτη στο WhatsApp
Σε αντίθεση με τις αμιγώς τεχνικές επιθέσεις, αυτό το σχήμα βασίζεται στην ψυχολογική χειραγώγηση. Οι απατεώνες επιδιώκουν αρχικά να εμπνεύσουν εμπιστοσύνη, να δημιουργήσουν μια αίσθηση επείγοντος και, τέλος, να αποκτήσουν πλήρη πρόσβαση στη συσκευή του θύματος.
Η διαδικασία ακολουθεί συνήθως μια σχεδόν πανομοιότυπη ακολουθία.
Αρχικά, το θύμα λαμβάνει μια κλήση από άγνωστο αριθμό μέσω του WhatsApp. Ο καλών μπορεί να προσποιηθεί ότι είναι υπάλληλος τράπεζας, τεχνικής υποστήριξης της Meta ή ακόμα και συγγενής που αντιμετωπίζει ένα επείγον πρόβλημα. Χρησιμοποιούν ψεύτικους τοπικούς αριθμούς για να φαίνονται πιο αξιόπιστοι και, σε πολλές περιπτώσεις, διατηρούν την κάμερα απενεργοποιημένη ή παραμορφωμένη.
Στη συνέχεια, δημιουργούν μια κατάσταση επείγοντος: μια ύποπτη προσπάθεια πρόσβασης, μια μη εξουσιοδοτημένη χρέωση, πιθανή αναστολή λογαριασμού ή ένα υποτιθέμενο εκκρεμές βραβείο. Με τον φόβο σε πλήρη εξέλιξη, το θύμα γίνεται λιγότερο κριτικό και πιο πρόθυμο να ακολουθήσει οδηγίες.
Οι κίνδυνοι της κοινής χρήσης οθόνης
Στο κρίσιμο αυτό σημείο, ο επιτιθέμενος, με φαινομενική ηρεμία και επαγγελματισμό, προτείνει την κοινή χρήση οθόνης για την επαλήθευση του προβλήματος. Μόλις αποκτήσει αυτή την οπτική πρόσβαση, ο απατεώνας μπορεί να παρακολουθεί σε πραγματικό χρόνο κωδικούς επαλήθευσης, εισερχόμενα μηνύματα, email ή οποιαδήποτε κίνηση εντός του τηλεφώνου.
Αυτή η απλή χειρονομία του δίνει μια πλήρη εικόνα του ψηφιακού περιβάλλοντος του θύματος. Με αυτές τις πληροφορίες, οι εγκληματίες μπορούν να αντιγράψουν κωδικούς πρόσβασης, να υποκλέψουν μηνύματα SMS, να διαβάσουν τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων και, σε ορισμένες περιπτώσεις, να χειραγωγήσουν το θύμα ώστε να ανοίξει εν αγνοία του την τραπεζική του εφαρμογή και να εγκρίνει μεταφορές.
Όλα συμβαίνουν μέσα σε λίγα λεπτά, χωρίς το άτομο να αντιληφθεί την απάτη.
Μόλις εισέλθουν, η ζημιά πολλαπλασιάζεται. Οι επιτιθέμενοι δεν μπορούν μόνο να αδειάσουν τραπεζικούς λογαριασμούς, αλλά και να καταλάβουν λογαριασμούς κοινωνικών μέσων, να συνεχίσουν να εξαπατούν τις επαφές του θύματος και ακόμη και να χρησιμοποιήσουν τα κλεμμένα δεδομένα για άλλες δραστηριότητες απάτης.
Η αλυσίδα μπορεί να παραταθεί χωρίς κανείς να το αντιληφθεί μέχρι να χαθούν τα χρήματα ή οι πληροφορίες.
Βασικά μέτρα προστασίας από την απάτη
Η ανάσχεση αυτού του είδους απάτης εξαρτάται σε μεγάλο βαθμό από τη συμπεριφορά του χρήστη. Σύμφωνα με τους ειδικούς της ESET, η πρόληψη απαιτεί προσοχή, ψυχραιμία και ένα υγιές επίπεδο δυσπιστίας απέναντι σε κάθε απροσδόκητη κλήση. Ο πρώτος κανόνας είναι σαφής: ποτέ δεν πρέπει να μοιράζεστε την οθόνη με αγνώστους.
Εάν κάποιος επικοινωνήσει ισχυριζόμενος ότι εκπροσωπεί μια τράπεζα, τεχνική υποστήριξη ή ακόμα και το ίδιο το WhatsApp, είναι καλύτερο να τερματίσετε την κλήψη και να επικοινωνήσετε με την οντότητα μέσω των επίσημων καναλιών.
Εξίσου σημαντικό είναι να μην μοιράζεστε κωδικούς πρόσβασης, κωδικούς επαλήθευσης ή PIN μέσω τηλεφώνου ή μηνυμάτων. Καμία νόμιμη εταιρεία δεν ζητά τέτοιου είδους πληροφορίες αυθόρμητα. Μια άλλη ουσιώδης πτυχή είναι η αποφυγή εγκατάστασης εφαρμογών απομακρυσμένης πρόσβασης κατόπιν αιτήματος τρίτων.
Αυτά τα εργαλεία, αν και χρήσιμα σε εργασιακά περιβάλλοντα, παρέχουν σχεδόν απόλυτο έλεγχο της συσκευής, καθιστώντας τα μια άμεση οδό επίθεσης όταν χρησιμοποιούνται για εγκληματικούς σκοπούς.
Αυτό που ανησυχεί ιδιαίτερα τους αναλυτές κυβερνοασφάλειας είναι η αυξανόμενη εξάρτηση των επιτιθέμενων από την κοινωνική μηχανική, καθώς τα τεχνικά μέτρα ασφαλείας γίνονται όλο και πιο ισχυρά. Η νέα γενιά κακόβουλου λογισμικού με τεχνητή νοημοσύνη αναδεικνύει περαιτέρω την ανάγκη για συνεχή εκπαίδευση των χρηστών.
Επιπλέον, το WhatsApp διαθέτει τη δική του πρόσθετη στρώση ασφαλείας: την επαλήθευση σε δύο βήματα. Η ενεργοποίησή της είναι πολύ απλή: αρκεί να μεταβείτε στο μενού Ρυθμίσεις, μετά στον Λογαριασμό και εντός της Επαλήθευσης σε δύο βήματα να δημιουργήσετε ένα PIN ασφαλείας.
Αυτός ο κωδικός συμπληρώνει το σύστημα σύνδεσης και αποτρέπει μη εξουσιοδοτημένες προσβάσεις, ακόμη και όταν οι επιτιθέμενοι καταφέρουν να αποκτήσουν άλλους κωδικούς ελέγχου ταυτότητας.
Το μέλλον της ψηφιακής ασφάλειας
Η ευκολία με την οποία διαδίδεται αυτή η απάτη αποδεικνύει για άλλη μια φορά πόσο ευάλωτοι μπορούν να είναι οι χρήστες όταν εμπλέκεται η κοινωνική μηχανική. Ενώ οι τεχνολογικές εξελίξεις ενισχύουν τους μηχανισμούς ασφαλείας, οι επιτιθέμενοι τελειοποιούν τις ψυχολογικές τεχνικές που παρακάμπτουν τις ανθρώπινες άμυνες.
Σε ένα περιβάλλον όπου αρκεί ένα κλικ για να εκθέσουμε τα προσωπικά μας δεδομένα ή τα οικονομικά μας, η διατήρηση της προσοχής και η κριτική σκέψη έχουν καταστεί η καλύτερη επένδυση για την ψηφιακή ασφάλεια.
