Κοινοποίησε

Αξιολόγηση Χρήστη: 5 / 5

Αστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια ΕνεργάΑστέρια Ενεργά
 

Κάθε χρόνο, οι παρακολουθούντες τον τομέα αυτό, έχουν προσέξει ότι ανακοινώνεται ένα τουλάχιστον περιστατικό παραβίασης ή προσπάθειας παραβίασης προσωπικών δεδομένων σε κάποια μεγάλη επιχείρηση, με παγκόσμιο αντίκτυπο. Στο στόχαστρο των προσπαθειών είναι και η υποκλοπή στοιχείων διενέργειας ηλεκτρονικών πληρωμών με κάρτες φυσικές ή ηλεκτρονικές. Η 1η μαζική υποκλοπή δεδομένων πιστωτικών καρτών καταγράφηκε το 2008 και από το 2011 οι εταιρείες λογισμικού προστασίας από ιούς έχουν εντάξει στις δραστηριότητές τους την καταπολέμηση του φαινομένου λόγω των αυξανόμενων περιστατικών.

Antivirus

Η σημερινή εποχή παρέχει το κατάλληλο έδαφος για να ευδοκιμήσουν τα περιστατικά παραβίασης στοιχείων ηλεκτρονικών πληρωμών. Οι υπηρεσίες cloud πληρωμών όπως και οι χρησιμοποιούμενες συσκευές POS ανοίγουν την όρεξη σε κακόβουλα άτομα να πλουτίσουν αδικαιολόγητα αφού πίσω από τις πόρτες ασφαλείας υπάρχουν μυριάδες δεδομένα, που αν τα αποκτήσουν, οι κακόβουλοι αυξάνουν τις πιθανότητες να πλουτίσουν (είτε με πώληση των δεδομένων ή με διενέργεια αγορών εις βάρος των θυμάτων). Στόχος των κακόβουλων μπορεί να είναι το σύστημα μιας τράπεζας ή το σύστημα ενός διαμεσολαβητή ή και μια μικρή επιχείρηση αξιόλογου πελατολόγιου (ξενοδοχείο, εστιατόριο, σούπερ-μάρκετ, e-shop κλπ).

Πως λειτουργεί το κακόβουλο λογισμικό (ιός); Ο ιός για να λειτουργήσει, ανεξάρτητα από την επιτυχία ή αποτυχία του, θα πρέπει να βρει τρόπο να εισέλθει και εγκατασταθεί σε ένα υπολογιστικό σύστημα (κινητό, τάμπλετ, λάπτοπ, υπολογιστής) του θύματος. Υπάρχουν διάφοροι τρόποι, ο κυριότερος είναι με το κατέβασμα μολυσμένων αρχείων είτε απευθείας ή μέσω ηλεκτρονικού ταχυδρομείου. Εάν ο χρήστης είναι ανυποψίαστος, θα κατεβάσει το αρχείο, θα επιχειρήσει να εκτελέσει το αρχείο και βουαλά, ο ιός εγκαταστάθηκε.

Αν ο ιός φτιάχτηκε με σκοπό να υποκλέψει δεδομένα καρτών πληρωμών, τότε ο προορισμός του είναι να παρακολουθεί την μνήμη του υπολογιστικού συστήματος. Είναι πιθανό ο χρήστης του υπολογιστικού συστήματος να το έχει συνδέσει με ένα μηχάνημα POS ή να επιχειρήσει να ανοίξει μία "ασφαλή" σελίδα με λογαριασμούς πληρωμών ή να φορτώσει μία φόρμα τύπου paypal και να καταχωρήσει δεδομένα για να εκτελέσει μια πληρωμή. Σε όλες αυτές τις περιπτώσεις τα δεδομένα μιας κάρτας εμφανίζονται στην γνωστή τους μορφή προσωρινά στην μνήμη και συλλαμβάνονται από τον ιό. Ο ιός είτε στέλνει τα δεδομένα απευθείας μέσω ίντερνετ σε κάποιον απομακρυσμένο συλλέκτη σέρβερ ή τα αποθηκεύει προσωρινά σε κάποιο αρχείο και στην συνέχεια στέλνει το αρχείο στον σέρβερ. Σε κάποιες περιπτώσεις ο ιός καταγράφει και τα πλήκτρα που πατήθηκαν.

Ονόματα επιτυχημένων κατά το παρελθόν ιών είναι: Rdasrv, BlackPOS, Alina, Dexter, VSkimmer, ChewBacca, Decebal, JackPOS, Soraya, BrutPOS, Backoff, BlackPOS v2. Η επιτυχία τους οφείλεται στην μαζική εξάπλωσή τους, η οποία με την σειρά της οφείλεται και αποδεικνύει ταυτόχρονα ένα τρομερό κενό στην υπολογιστική ασφάλεια, την άγνοια και αδεξιότητα των θυμάτων. Μπορεί λοιπόν η σύγχρονη επιχείρηση να ωφελείται από την υψηλή υπολογιστική ταχύτητα της σημερινής τεχνολογίας παράλληλα όμως κινδυνεύει να καταστραφεί από αυτήν αν δεν προσέξει. Η ιστορία μας έχει διδάξει ότι και το πιο απόρθητο κάστρο έπεσε κάποια στιγμή διότι συντέλεσε σε αυτό η ανθρώπινη αδυναμία, η οποία αποδεικνύεται ο ασθενέστερος κρίκος στην αλυσίδα της ασφάλειας. Το ίδιο ισχύει και στην ασφάλεια των υπολογιστών:

  • η άγνοια των κινδύνων
  • οι αδέξιες κινήσεις - επιλογές
  • η ασέβεια στα προσωπικά δεδομένα πελατών
  • η αποκάλυψη διαπιστευτηρίων σε άλλους
  • η χρήση του υπολογιστή στην δουλειά ως παιχνιδομηχανή
  • η χρήση υπολογιστών διαφορετικών σκοπών στο ίδιο δίκτυο

καθιστούν άχρηστο και το πιο ασφαλές υπολογιστικό σύστημα.

Τα παραπάνω πρέπει να ληφθούν σοβαρά υπόψη από την σημερινή επιχείρηση, η οποία ήδη είναι εξαναγκασμένη από το νόμο να χρησιμοποιεί συστήματα POS ή άϋλα ηλεκτρονικά συστήματα πληρωμών. Η επένδυση στην εκπαίδευση του εργαζόμενου αλλά και του επιχειρηματία είναι μια πολύ σοφή ενέργεια και το 1ο βήμα για την θωράκιση της επιχείρησης. Πόσο μάλλον που σε 2 μήνες από τώρα θα εφαρμόζεται ο νέος ευρωπαϊκός κανονισμός προστασίας προσωπικών δεδομένων.

Παράδειγμα υποκλοπής:

Πριν λίγα χρόνια στην χώρα μας, επιχείρηση πληρώθηκε ηλεκτρονικά από γκρουπ ευρωπαίων πελατών της για τις υπηρεσίες που παρείχε (με ξεχωριστή κάρτα για το κάθε μέλος του γκρουπ). Μετά από 1-2 μέρες, η επιχείρηση, δέχθηκε παράπονα από ορισμένα μέλη του γκρουπ ότι αμέσως μετά την συγκεκριμένη συναλλαγή διενεργήθηκαν εις βάρος τους πρόσθετες ηλεκτρονικές πληρωμές από άγνωστο άτομο χωρίς την συγκατάθεσή τους. Η υπόθεση έφθασε στην αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Από τον φάκελο με τις αιτιολογήσεις προέκυψαν τα εξής:

  • η επιχείρηση είχε συνάψει σύμβαση εξυπηρέτησης ηλεκτρονικών πληρωμών με διαμεσολαβητή
  • ο διαμεσολαβητής είχε εγκρίνει 2 λογαριασμούς χρήσης του συστήματός του για την επιχείρηση ώστε αυτή να ελέγχει την πορεία των αμοιβών της (γίνονταν προβολή στην οθόνη όλων των στοιχείων της κάθε κάρτας)
  • ο διαμεσολαβητής είχε σύστημα καταγραφής εισόδου των χρηστών στο σύστημά του και με βάση αυτό απέδειξε ότι κάποιος, εκτός ελλάδος, χρησιμοποιώντας τα διαπιστευτήρια ενός από τους 2 χρήστες της επιχείρησης εισήλθε στο σύστημα του διαμεσολαβητή
  • ο διαμεσολαβητής δεν είχε σύστημα καταγραφής εσωτερικών κινήσεων των χρηστών στο σύστημά του 
  • η επιχείρηση δεν εφάρμοζε στοιχειώδεις κανόνες ασφαλείας
  • η επιχείρηση δεν είχε σύστημα καταγραφής εσωτερικών κινήσεων των χρηστών της
  • οπότε και δεν κατέστη εφικτό να τεκμηριωθεί αν η χρήση των διαπιστευτηρίων του ενός χρήστη έγινε από ιό ή με κάποιον άλλο τρόπο (πχ ηθελημένη γνωστοποίηση των διαπιστευτηρίων σε 3ους)

Στην επιχείρηση επιβλήθηκε πρόστιμο 5.000,00 ευρώ και προειδοποίηση για ενίσχυση της ασφάλειας στην χρήση των υπολογιστικών συστημάτων της.

πηγή: για τον τρόπο λειτουργίας των ιών βλέπε trendmicro dot com

.

Διάβασε επίσης:

 

Η Kemioteko Engineering δημιουργήθηκε ως απόσταγμα εμπειριών 14 ετών στην αδειοδότηση, κατασκευή και λειτουργία δημόσιων τεχνικών έργων και 6 ετών στο ελεύθερο επάγγελμα του μελετητή μηχανικού με εξειδίκευση στην αδειοδότηση και λειτουργία επιχειρήσεων. Αποστολή της Kemioteko Engineering - Χατζηλιόντος Ι. Χριστόδουλος είναι η δημιουργία πελατών, οπαδών της, βαθειά ικανοποιημένων, που θέλουν να κάνουν διαχρονικά τα σωστά πράγματα με τους κατάλληλους συνεργάτες.

 

Dipl. Chemical Engineer - Msc Environmental Design of Infrastructure Works
Accommodations Internal Auditor - TUV Austria RCN 6035/2016
ISO 9001 Internal Auditor - TUV Austria RCN 6065/2016
ISO 45001 Internal Auditor - Alison 1412-13849119
GDPR Internal Auditor - Alison 1401-13849119
YPEN/ENEP. - No 16109 | YPEN/ENEL - No 553
YPEXODE - No 26837 - MELETES 18-A & 27-A
TEE - No 83488 | SEPE 330512/2017
GGET - No 14856/95711/08-06-17
YPEN / EL. DOM. - No 4517
Contact: tel +302399-022359, fax +302371-200937
Pitsouli 1, TK 63080, Nea Kallikrateia, Chalkidiki, Greece | http://kemioteko.gr
Entrepreneurial & Environmental Facilities Consultant Services:
Design, License, Quality Control & Construction Management,
Instrumentation & Control, Operation & Maintenance
Follow us 
 facebook  twitter  linkedin  googleplus  pinterest  youtube  twitter