Κοινοποίησε

Αξιολόγηση Χρήστη: 5 / 5

Αστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια Ενεργά
 

Κάθε χρόνο, οι παρακολουθούντες τον τομέα αυτό, έχουν προσέξει ότι ανακοινώνεται ένα τουλάχιστον περιστατικό παραβίασης ή προσπάθειας παραβίασης προσωπικών δεδομένων σε κάποια μεγάλη επιχείρηση, με παγκόσμιο αντίκτυπο. Στο στόχαστρο των προσπαθειών είναι και η υποκλοπή στοιχείων διενέργειας ηλεκτρονικών πληρωμών με κάρτες φυσικές ή ηλεκτρονικές. Η 1η μαζική υποκλοπή δεδομένων πιστωτικών καρτών καταγράφηκε το 2008 και από το 2011 οι εταιρείες λογισμικού προστασίας από ιούς έχουν εντάξει στις δραστηριότητές τους την καταπολέμηση του φαινομένου λόγω των αυξανόμενων περιστατικών.

Antivirus

Η σημερινή εποχή παρέχει το κατάλληλο έδαφος για να ευδοκιμήσουν τα περιστατικά παραβίασης στοιχείων ηλεκτρονικών πληρωμών. Οι υπηρεσίες cloud πληρωμών όπως και οι χρησιμοποιούμενες συσκευές POS ανοίγουν την όρεξη σε κακόβουλα άτομα να πλουτίσουν αδικαιολόγητα αφού πίσω από τις πόρτες ασφαλείας υπάρχουν μυριάδες δεδομένα, που αν τα αποκτήσουν, οι κακόβουλοι αυξάνουν τις πιθανότητες να πλουτίσουν (είτε με πώληση των δεδομένων ή με διενέργεια αγορών εις βάρος των θυμάτων). Στόχος των κακόβουλων μπορεί να είναι το σύστημα μιας τράπεζας ή το σύστημα ενός διαμεσολαβητή ή και μια μικρή επιχείρηση αξιόλογου πελατολόγιου (ξενοδοχείο, εστιατόριο, σούπερ-μάρκετ, e-shop κλπ).

Πως λειτουργεί το κακόβουλο λογισμικό (ιός); Ο ιός για να λειτουργήσει, ανεξάρτητα από την επιτυχία ή αποτυχία του, θα πρέπει να βρει τρόπο να εισέλθει και εγκατασταθεί σε ένα υπολογιστικό σύστημα (κινητό, τάμπλετ, λάπτοπ, υπολογιστής) του θύματος. Υπάρχουν διάφοροι τρόποι, ο κυριότερος είναι με το κατέβασμα μολυσμένων αρχείων είτε απευθείας ή μέσω ηλεκτρονικού ταχυδρομείου. Εάν ο χρήστης είναι ανυποψίαστος, θα κατεβάσει το αρχείο, θα επιχειρήσει να εκτελέσει το αρχείο και βουαλά, ο ιός εγκαταστάθηκε.

Αν ο ιός φτιάχτηκε με σκοπό να υποκλέψει δεδομένα καρτών πληρωμών, τότε ο προορισμός του είναι να παρακολουθεί την μνήμη του υπολογιστικού συστήματος. Είναι πιθανό ο χρήστης του υπολογιστικού συστήματος να το έχει συνδέσει με ένα μηχάνημα POS ή να επιχειρήσει να ανοίξει μία "ασφαλή" σελίδα με λογαριασμούς πληρωμών ή να φορτώσει μία φόρμα τύπου paypal και να καταχωρήσει δεδομένα για να εκτελέσει μια πληρωμή. Σε όλες αυτές τις περιπτώσεις τα δεδομένα μιας κάρτας εμφανίζονται στην γνωστή τους μορφή προσωρινά στην μνήμη και συλλαμβάνονται από τον ιό. Ο ιός είτε στέλνει τα δεδομένα απευθείας μέσω ίντερνετ σε κάποιον απομακρυσμένο συλλέκτη σέρβερ ή τα αποθηκεύει προσωρινά σε κάποιο αρχείο και στην συνέχεια στέλνει το αρχείο στον σέρβερ. Σε κάποιες περιπτώσεις ο ιός καταγράφει και τα πλήκτρα που πατήθηκαν.

Ονόματα επιτυχημένων κατά το παρελθόν ιών είναι: Rdasrv, BlackPOS, Alina, Dexter, VSkimmer, ChewBacca, Decebal, JackPOS, Soraya, BrutPOS, Backoff, BlackPOS v2. Η επιτυχία τους οφείλεται στην μαζική εξάπλωσή τους, η οποία με την σειρά της οφείλεται και αποδεικνύει ταυτόχρονα ένα τρομερό κενό στην υπολογιστική ασφάλεια, την άγνοια και αδεξιότητα των θυμάτων. Μπορεί λοιπόν η σύγχρονη επιχείρηση να ωφελείται από την υψηλή υπολογιστική ταχύτητα της σημερινής τεχνολογίας παράλληλα όμως κινδυνεύει να καταστραφεί από αυτήν αν δεν προσέξει. Η ιστορία μας έχει διδάξει ότι και το πιο απόρθητο κάστρο έπεσε κάποια στιγμή διότι συντέλεσε σε αυτό η ανθρώπινη αδυναμία, η οποία αποδεικνύεται ο ασθενέστερος κρίκος στην αλυσίδα της ασφάλειας. Το ίδιο ισχύει και στην ασφάλεια των υπολογιστών:

  • η άγνοια των κινδύνων
  • οι αδέξιες κινήσεις - επιλογές
  • η ασέβεια στα προσωπικά δεδομένα πελατών
  • η αποκάλυψη διαπιστευτηρίων σε άλλους
  • η χρήση του υπολογιστή στην δουλειά ως παιχνιδομηχανή
  • η χρήση υπολογιστών διαφορετικών σκοπών στο ίδιο δίκτυο

καθιστούν άχρηστο και το πιο ασφαλές υπολογιστικό σύστημα.

Τα παραπάνω πρέπει να ληφθούν σοβαρά υπόψη από την σημερινή επιχείρηση, η οποία ήδη είναι εξαναγκασμένη από το νόμο να χρησιμοποιεί συστήματα POS ή άϋλα ηλεκτρονικά συστήματα πληρωμών. Η επένδυση στην εκπαίδευση του εργαζόμενου αλλά και του επιχειρηματία είναι μια πολύ σοφή ενέργεια και το 1ο βήμα για την θωράκιση της επιχείρησης. Πόσο μάλλον που σε 2 μήνες από τώρα θα εφαρμόζεται ο νέος ευρωπαϊκός κανονισμός προστασίας προσωπικών δεδομένων.

Παράδειγμα υποκλοπής:

Πριν λίγα χρόνια στην χώρα μας, επιχείρηση πληρώθηκε ηλεκτρονικά από γκρουπ ευρωπαίων πελατών της για τις υπηρεσίες που παρείχε (με ξεχωριστή κάρτα για το κάθε μέλος του γκρουπ). Μετά από 1-2 μέρες, η επιχείρηση, δέχθηκε παράπονα από ορισμένα μέλη του γκρουπ ότι αμέσως μετά την συγκεκριμένη συναλλαγή διενεργήθηκαν εις βάρος τους πρόσθετες ηλεκτρονικές πληρωμές από άγνωστο άτομο χωρίς την συγκατάθεσή τους. Η υπόθεση έφθασε στην αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Από τον φάκελο με τις αιτιολογήσεις προέκυψαν τα εξής:

  • η επιχείρηση είχε συνάψει σύμβαση εξυπηρέτησης ηλεκτρονικών πληρωμών με διαμεσολαβητή
  • ο διαμεσολαβητής είχε εγκρίνει 2 λογαριασμούς χρήσης του συστήματός του για την επιχείρηση ώστε αυτή να ελέγχει την πορεία των αμοιβών της (γίνονταν προβολή στην οθόνη όλων των στοιχείων της κάθε κάρτας)
  • ο διαμεσολαβητής είχε σύστημα καταγραφής εισόδου των χρηστών στο σύστημά του και με βάση αυτό απέδειξε ότι κάποιος, εκτός ελλάδος, χρησιμοποιώντας τα διαπιστευτήρια ενός από τους 2 χρήστες της επιχείρησης εισήλθε στο σύστημα του διαμεσολαβητή
  • ο διαμεσολαβητής δεν είχε σύστημα καταγραφής εσωτερικών κινήσεων των χρηστών στο σύστημά του 
  • η επιχείρηση δεν εφάρμοζε στοιχειώδεις κανόνες ασφαλείας
  • η επιχείρηση δεν είχε σύστημα καταγραφής εσωτερικών κινήσεων των χρηστών της
  • οπότε και δεν κατέστη εφικτό να τεκμηριωθεί αν η χρήση των διαπιστευτηρίων του ενός χρήστη έγινε από ιό ή με κάποιον άλλο τρόπο (πχ ηθελημένη γνωστοποίηση των διαπιστευτηρίων σε 3ους)

Στην επιχείρηση επιβλήθηκε πρόστιμο 5.000,00 ευρώ και προειδοποίηση για ενίσχυση της ασφάλειας στην χρήση των υπολογιστικών συστημάτων της.

πηγή: για τον τρόπο λειτουργίας των ιών βλέπε trendmicro dot com

.

Διάβασε επίσης:

 

Η Kemioteko Engineering δημιουργήθηκε ως απόσταγμα εμπειριών άνω των 18 ετών στους τομείς μελέτη - σχεδιασμό - αδειοδότηση - προγραμματισμό - κατασκευή - λειτουργία - συντήρηση εγκαταστάσεων του πόσιμου νερού, του νερού άρδευσης, των αστικών - βιομηχανικών λυμάτων, της ενέργειας και διαχείρισης τεχνολογικών συστημάτων ποιότητας. Οι ανάγκες των ανθρώπων σε νερό - αποχέτευση - ενέργεια - υποδομές - τεχνολογία, υπηρεσίες και προϊόντα, τα προβλήματα που εμφανίζονται σε κάθε προσπάθεια ικανοποίησής τους, ο τρόπος που αντιμετωπίζει ο νομοθέτης τις καταστάσεις αυτές, έγιναν για εμάς όραμα - στόχος και μονόδρομος για να αναπτύξουμε τις βέλτιστες πρακτικές λύσεις για την επίλυσή τους. Αποστολή της Kemioteko Engineering - Χατζηλιόντος Ι. Χριστόδουλος είναι η δημιουργία πελατών, οπαδών της, βαθειά ικανοποιημένων, που θέλουν να κάνουν τα σωστά πράγματα με την δική μας συνεργασία.

 

Χατζηλιόντος Ι. Χριστόδουλος
Chatziliontos I. Christodoulos
Dipl. Chemical Engineer
Msc Environmental Design of Infrastructure Works
TEE - No 83488 | SEPE 330512/2017
YPEXODE - No 26837 - MELETES 18-A & 27-A
GGET - No 14856/95711/08-06-17
YPEN/ENEP. - No 16109 | YPEN/ENEL - No 553
Accommodations Internal Auditor - RCN 6035/2016
ISO 9001 Internal Auditor - RCN 6065/2016
Pitsouli 1, TK 63080, Nea Kallikrateia, Chalkidiki, Greece
mob +30-6983759514, tel 2399022359, fax 2371200937
hatziliontos (papaki) hotmail (teleia) com
Follow us 
 facebook  twitter  linkedin  googleplus  pinterest  youtube  twitter