Νέα απάτη με spam email μέσω ΕΛΤΑ

Νέα απάτη με spam email μέσω ΕΛΤΑ

Αυτή τη φορά, στη νέα απάτη που έχουν στήσει ορισμένοι χρησιμοποιείται spam email με δήθεν αποστολέα τα ΕΛΤΑ. Συγκεκριμένα, ένα email με αποστολέα τα «Ελληνικά Ταχυδρομεία» ενημερώνει τους χρήστες πως το δέμα τους είναι προς παράδοση, όμως θα χρειαστεί να πληρώσουν ένα μικρό αντίτιμο για την παραλαβή του. Στη συνέχεια παροτρύνουν τους χρήστες να ανοίξουν ένα link που έχουν ετοιμάσει, το οποίο φαίνεται σαν κανονικό link των ΕΛΤΑ, προκειμένου να πληρωθεί το παραπάνω ποσό.

Τα ΕΛΤΑ εξέδωσαν ανακοίνωση πως δεν έχουν καμία ανάμειξη στο θέμα και συνιστούν προσοχή σε όποιον λάβει email, για σωστό έλεγχο του αποστολέα, ώστε να μην πέσουν θύματα της νέας απάτης spam.

Προσοχή στην αναβάθμιση macOS Big Sur

Προσοχή στην αναβάθμιση macOS Big Sur

Μετά τα προβλήματα γύρω από την ασφάλεια, άλλο ένα «αγκάθι» για το macOS Big Sur ήρθε στην επιφάνεια. Χρήστες MacBook Pro late 2013 έως mid-2014 αναφέρουν πως προχώρησαν σε αναβάθμιση του λογισμικού κι έκτοτε ο υπολογιστής τους σταμάτησε να λειτουργεί.

Μάλιστα, φαίνεται πως δεν πρόκειται για μεμονωμένες περιπτώσεις, καθώς πολλοί χρήστες στο MacRumors, το Reddit αλλά και την επίσημη σελίδα Apple Support κάνουν λόγο για το πρόβλημα που προκλήθηκε.

Βάσει των λεγομένων των χρηστών, κατά τη διάρκεια της αναβάθμισης ο υπολογιστής προβάλλει μια μαύρη οθόνη και σταματάει να αποκρίνεται. Οι συνδυασμοί πλήκτρων δεν λειτουργούν οπότε καθίσταται αδύνατη η είσοδος σε safe mode, όπως και η επαναφορά NVRAM και SMC. Πρακτικά, ο χρήστης δεν έχει τρόπο να προσπεράσει την μαύρη οθόνη ή να επιστρέψει σε μια προηγούμενη κατάσταση.

Τα περισσότερα προβλήματα που αναφέρονται αφορούν τα MacBook Pro 13″ late 2013 και mid-2014, τα παλαιότερα δυνατά μοντέλα που μπορούν να δεχτούν την αναβάθμιση σε Big Sur.

Όπως αναφέρουν οι χρήστες, η ομάδα υποστήριξης τής Apple τους ενημερώνει πως είναι ενήμεροι για το πρόβλημα, οπότε η λογική λέει πως θα λυθεί σύντομα. Έως τότε, όσοι χρήστες έχουν ένα από τα παραπάνω μοντέλα καλό θα ήταν να μη βιαστούν να προχωρήσουν σε αναβάθμιση του λογισμικού έως ότου το πρόβλημα λυθεί, καθώς ρισκάρεται η ακεραιότητα του συστήματος.

Νέο κακόβουλο λογισμικό “Emotet” | Προσοχή στην αλληλογραφία σας

Νέο κακόβουλο λογισμικό “Emotet” | Προσοχή στην αλληλογραφία σας

Σας ενημερώνουμε ότι βρίσκεται σε πλήρη εξέλιξη μια πολύ μεγάλη επίθεση του Emotet botnet, η οποία πραγματοποιείται μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Μέχρι πρόσφατα, οι περισσότερες επιθέσεις έχουν καταγραφεί σε χρήστες στην Ελλάδα (17,7%), ενώ εξίσου σημαντικός αριθμός επιθέσεων σημειώνεται σε Ιαπωνία (16,5%) και Λιθουανία (15,3%).

Πως αναγνωρίζω το Emotet botnet.

Συγκεκριμένα, το θύμα λαμβάνει μήνυμα από άγνωστη διεύθυνση ηλεκτρονικού ταχυδρομείου, στο οποίο:

  • Το όνομα αποστολέα είναι υπαρκτό και ανήκει στη λίστα επαφών του.
  • Tο περιεχόμενο του μηνύματος αποτελεί απόσπασμα προγενέστερης συνομιλίας μεταξύ του εμφανιζόμενου αποστολέα και άλλης επαφής (ή και του ίδιου του θύματος).
  • Έχει επισυναφθεί αρχείο (συνήθως τύπου Word), το οποίο εμπεριέχει (συγκεκαλυμμένο) κακόβουλο εκτελέσιμο κώδικα.

Τι ειναι το Emotet botnet.

Από τις έως τώρα έρευνες, διαπιστώνεται ότι το συνημμένο κακόβουλο αρχείο ανήκει στην κατηγορία «Δούρειος Ίππος» (Trojanhorse). Το είδος αυτό του κακόβουλου λογισμικού χρησιμοποιείται, μεταξύ άλλων, με σκοπό:

  • Να ανοίξουν «κερκόπορτες» σε ένα σύστημα με σκοπό ο επιτιθέμενος να αποκτήσει τον έλεγχο της προσβληθείσας συσκευής.
  • Να υποκλέψει προσωπικά δεδομένα του χρήστη.
  • Να κατεβάσει και να εκτελέσει άλλο κακόβουλο λογισμικό.

Τι πρέπει να κάνουν οι χρήστες του διαδικτύου και οι διαχειριστές δικτύων.

Στο πλαίσιο αυτό, καλούνται οι χρήστες του διαδικτύου και οι διαχειριστές δικτύων:

  • Να παρατηρούν τη διεύθυνση του αποστολέα ενός μηνύματος ηλεκτρονικού ταχυδρομείου και ιδιαίτερα τις διαφορές στο εμφανιζόμενο όνομα και το email του αποστολέα.
  • Να δημιουργούν αντίγραφα ασφαλείας των αρχείων (backup) σε τακτά χρονικά διαστήματα, σε εξωτερικό μέσο αποθήκευσης και να τα διατηρούν εκτός δικτύου, έτσι ώστε να είναι δυνατή η αποκατάστασή τους.
  • Στις περιπτώσεις όπου λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, να μην ανοίγουν τους συνδέσμους (links) και να μην κατεβάζουν συνημμένα αρχεία, που περιέχονται στα μηνύματα αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου.
  • Να χρησιμοποιούν γνήσια λογισμικά προγράμματα, ενημερωμένα στην τελευταία τους έκδοση, ενώ θα πρέπει να υπάρχει πάντα ενημερωμένο πρόγραμμα προστασίας από κακόβουλο λογισμικό του ηλεκτρονικού υπολογιστή.
  • Να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού τους συστήματος.
  • Να απενεργοποιήσουν την εκτέλεση μακροεντολών και JavaScript στις εφαρμογές με τις οποίες ανοίγουν αρχεία τύπου .docx και .pdf.
  • Να φροντίζουν για την προστασία και των φορητών τους συσκευών (tablet & έξυπνα κινητά τηλέφωνα).
Τηλεργασία και GDPR

Τηλεργασία και GDPR

Την 15η Απριλίου 2020, έναν περίπου μήνα μετά την έναρξη εφαρμογής μέτρων περιορισμού των μετακινήσεων στο πλαίσιο προστασίας από τον COVID-19, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») προέβη στην έκδοση Κατευθυντηρίων Γραμμών για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας. Στόχος της ΑΠΔΠΧ είναι η ευαισθητοποίηση των επιχειρήσεων, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων, κατά την εργασία από απόσταση, λαμβάνοντας υπόψη και τις σχετικές υποχρεώσεις που απορρέουν από τον Κανονισμό και τον ν. 4624/2019.

Οι κατευθυντήριες αυτές γραμμές και κατευθύνσεις της ΑΠΔΠΧ έρχονται σε μία περίοδο, κατά την οποία η τηλεργασία εμφανίζει αλματώδη αύξηση, καθώς παρουσιάζεται ως η βέλτιστη λύση για την -κατά το δυνατό- ομαλή συνέχιση της λειτουργίας πολλών επιχειρήσεων εν μέσω της πανδημίας του COVID-19.

Ως «τηλεργασία» ορίζεται η εργασία από απόσταση (δηλαδή χωρίς φυσική παρουσία στον χώρο της εργασίας) με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών.

Οι Κατευθυντήριες Γραμμές της ΑΠΔΠΧ περιστρέφονται γύρω από τους ακόλουθους άξονες: 1. Θέσπιση πολιτικών και διαδικασιών, 2. Εκπαίδευση και ευαισθητοποίηση του προσωπικού, 3. Λήψη κατάλληλων τεχνικών μέτρων ασφαλείας ανάλογων με τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας ιδιαιτέρως υπόψη την αυξημένη ανάγκη προστασίας της ιδιωτικής ζωής του εργαζομένου από την στιγμή που θα βρίσκεται σπίτι του και θα εργάζεται.

Ειδικότερα, σύμφωνα με τα οριζόμενα στις Κατευθυντήριες Γραμμές, οι διαδικασίες που θα υιοθετηθούν από τις επιχειρήσεις για την τηλεργασία συστήνεται να περιλαμβάνουν μέτρα για την πρόσβαση στο δίκτυο, τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ ανταλλαγής μηνυμάτων, τη χρήση τερματικής συσκευής/ αποθηκευτικών μέσων, καθώς και την πραγματοποίηση τηλεδιασκέψεων. Πιο συγκεκριμένα:

Α. Βασική προϋπόθεση για την πραγματοποίηση τηλεργασίας είναι η δυνατότητα πρόσβασης στο δίκτυο. Αναλυτικότερα, η ασφαλής σύνδεση μπορεί να επιτευχθεί, για παράδειγμα, μέσω εικονικού ιδιωτικού δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση των δεδομένων και αυθεντικοποίηση των χρηστών (π.χ. IPSec VPN). Θα πρέπει να υπάρχει καθορισμός και περιορισμός των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στα απολύτως απαραίτητα πεδία για την εργασία τους, ενώ η σύνδεση σε υπολογιστικά συστήματα του οργανισμού/ επιχείρησης μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» θα πρέπει να επιτυγχάνεται μέσω ασφαλούς εικονικού ιδιωτικού δικτύου. Επιπλέον, θα πρέπει να γίνεται χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, ενώ θα πρέπει να αποφεύγεται η αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (λ.χ. One Drive google drive), εκτός κι αν υπάρχουν τα κατάλληλα εχέγγυα από τον οργανισμό/ επιχείρηση ή να υπάρχει η δυνατότητα να αποθηκεύονται τα δεδομένα αποκλειστικά σε κατάλληλα κρυπτογραφημένη μορφή.

Β. Κατά τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ ανταλλαγής μηνυμάτων πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση (και όχι η προσωπική) και αν αυτό δεν είναι τεχνικά εφικτό, τότε το περιεχόμενο των μηνυμάτων που αφορά προσωπικά δεδομένα πρέπει να κρυπτογραφείται κατάλληλα. Σε κάθε περίπτωση, αν κριθεί απαραίτητο να σταλεί μήνυμα που περιέχει προσωπικά δεδομένα, θα πρέπει να προτιμώνται υπηρεσίες με ασφαλή και ισχυρά χαρακτηριστικά (κρυπτογράφηση, ρυθμίσεις προστασίας δεδομένων κλπ).

Γ. Όταν ο εργαζόμενος κάνει χρήση τερματικής συσκευής/ αποθηκευτικών μέσων, θα πρέπει να τηρούνται τα ακόλουθα μέτρα: (α) εγκατάσταση και ενημέρωση τακτική αντιϊκού προγράμματος και «αναχώματος ασφαλείας» (firewall) στη συσκευή (λ.χ. Η/Υ) μέσω της οποίας πραγματοποιείται η τηλεργασία, (β) εγκατάσταση των πρόσφατων ενημερώσεων λογισμικού εφαρμογών και λειτουργικού συστήματος της συσκευής του εργαζομένου, (γ) χρήση ενημερωμένων εκδόσεων προγραμμάτων πλοήγησης στο Διαδίκτυο (όχι τήρηση ιστορικού, διαγραφή από το ιστορικό των συνδέσμων σχετιζόμενων με την τηλεργασία), (δ) διαχωρισμός επαγγελματικών αρχείων από τα προσωπικά του εργαζομένου, (ε) υποστήριξη από τον φορέα διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, (στ) η κάθε επιχείρηση θα πρέπει να υποστηρίζει διαδικασίες λήψης αντιγράφων ασφαλείας για αρχεία με προσωπικά δεδομένα, στα οποία πραγματοποιείται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας και (ζ) κλείδωμα συσκευής από την οποία γίνεται η τηλεργασία (λ.χ. με κωδικό απενεργοποίησης) εφόσον μείνει, για κάποιο λόγο, χωρίς επιτήρηση.

Δ. Κατά την πραγματοποίηση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση), ενώ σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, θα πρέπει να προστατεύονται οι σύνδεσμοι (links) και θα πρέπει να επιδεικνύεται ιδιαίτερη μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά τη χρήση της τηλεδιάσκεψης.

Με την έκδοση των Κατευθυντηρίων Γραμμών η ΑΠΔΠΧ στοχεύει στην ευαισθητοποίηση όλων των εμπλεκόμενων φορέων για τους κινδύνους που αφορούν στην προστασία των προσωπικών δεδομένων και θεμελιωδών ελευθεριών. Η υιοθέτηση και εφαρμογή διαδικασιών τηλεργασίας αποσκοπεί στη συνέχιση λειτουργίας των επιχειρήσεων και τη διασφάλιση επαρκούς επιπέδου ασφάλειας και προστασίας των προσωπικών δεδομένων. Στο πλαίσιο αυτό, η συμβολή του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ/DPO) κρίνεται πολύτιμη, καθώς με τις γνώσεις και την εμπειρογνωσία του μπορεί να συμβουλεύσει τις επιχειρήσεις και να συμβάλλει στην αποτελεσματικότερη διαμόρφωση του συστήματος τηλεργασίας.

12