Οι πιο αποτελεσματικές απάτες δεν μοιάζουν πάντα με «χάκινγκ». Συχνά μοιάζουν με δώρο: δωρεάν ίντερνετ, επίδομα, επιδότηση, χρηματική αποζημίωση, μια «ειδική» προσφορά που θέλει απλώς να πατήσεις γρήγορα. Εκεί ακριβώς ποντάρουν οι επιθέσεις που χτίζονται πάνω σε ψεύτικα Facebook accounts και σε browser alerts που σε σπρώχνουν να δράσεις χωρίς δεύτερη σκέψη.
Το μοτίβο είναι γνώριμο και στην Ελλάδα. Ένα μήνυμα έρχεται από λογαριασμό που θυμίζει δημόσιο πρόσωπο, υπηρεσία, πάροχο ή γνωστή εταιρεία. Στη συνέχεια σε οδηγεί σε σελίδα που ζητά στοιχεία σύνδεσης, αριθμό κινητού, email ή ακόμη και στοιχεία κάρτας. Από εκεί και πέρα, το ρίσκο ανεβαίνει γρήγορα: κλοπή λογαριασμού, phishing, εγκατάσταση κακόβουλου λογισμικού ή παραπλάνηση για να δώσεις ο ίδιος πρόσβαση.
Αν έχεις Facebook, Gmail, Instagram, Windows PC ή απλώς έναν browser που πετάει συνεχώς ειδοποιήσεις, αξίζει να ξέρεις πού πατάει αυτή η μέθοδος και πώς τη σταματάς πριν γίνει ζημιά.
Η παγίδα χτίζεται με τρία απλά βήματα
Οι επιτιθέμενοι δεν βασίζονται σε ένα μόνο τέχνασμα. Συνδυάζουν ψεύτικη ταυτότητα, δόλωμα και πίεση χρόνου. Στήνουν λογαριασμούς που μιμούνται πολιτικούς, δημόσιους φορείς, τηλεπικοινωνιακούς παρόχους ή «αξιόπιστες» οργανώσεις. Μετά ανεβάζουν προσφορές που ακούγονται χρήσιμες: δωρεάν mobile data, οικονομική ενίσχυση, δήθεν κρατικό benefit, εκπτωτικό κουπόνι ή «γρήγορη επιβεβαίωση» για την κάρτα σου.
Το browser alert είναι το δεύτερο μισό της απάτης. Μπορεί να εμφανιστεί σαν προειδοποίηση ασφαλείας, σαν ειδοποίηση συστήματος ή σαν μήνυμα ότι πρέπει να πατήσεις για να συνεχίσεις. Σε πολλές περιπτώσεις δεν προέρχεται από το λειτουργικό ή από τον browser σου, αλλά από μια σελίδα που έχει πάρει άδεια να στέλνει notifications. Εκεί βρίσκεται η λεπτομέρεια που πολλοί δεν προσέχουν: αν πατήσεις «Allow», μετά δίνεις μόνιμο κανάλι επικοινωνίας σε άγνωστο site.
Τα σημάδια που προδίδουν το ψεύτικο προφίλ
Δεν χρειάζεται ειδικό εργαλείο για να καταλάβεις ότι κάτι δεν πάει καλά. Ένα προφίλ που μιμείται δημόσιο πρόσωπο ή οργανισμό συχνά έχει μικρές αστοχίες: περίεργο username, λίγες παλιές δημοσιεύσεις, ασύμβατη γλώσσα, αταίριαστο ιστορικό, πρόχειρα γραφικά ή σχόλια που φαίνονται στημένα. Αν μια «προσφορά» εμφανίζεται μόνο για λίγες ώρες και σου ζητά να κινηθείς τώρα, κράτα απόσταση.
Το ίδιο ισχύει και για τις σελίδες που ζητούν login. Αν σε βγάζουν σε φόρμα σύνδεσης εκτός του κανονικού domain μιας υπηρεσίας, αν βλέπεις ορθογραφικά λάθη, αν το URL είναι μακρύ και ακατανόητο ή αν το site σε πιέζει να επιτρέψεις browser notifications για να δεις το περιεχόμενο, σταμάτα εκεί. Η μεγαλύτερη επιτυχία των απάτων είναι η βιασύνη του χρήστη, όχι η τεχνική τους ποιότητα.
Τι να κάνεις τώρα για Facebook, Gmail και κινητό
Αν έχεις ήδη πατήσει σε ύποπτη διαφήμιση ή σελίδα, μην περιμένεις να δεις αν θα συμβεί κάτι. Άλλαξε πρώτα τον κωδικό στο Facebook και, αν τον χρησιμοποιείς ξανά αλλού, άλλαξέ τον και εκεί. Ενεργοποίησε 2FA με εφαρμογή authenticator αντί για SMS όπου γίνεται, γιατί το SMS μπορεί να παρακαμφθεί πιο εύκολα από έναν επιτιθέμενο που έχει ήδη πρόσβαση στο νούμερό σου ή στα δεδομένα σου.
Στο Gmail, έλεγξε αμέσως τις συσκευές που έχουν συνδεθεί, τις πρόσφατες συνδέσεις και τα recovery στοιχεία. Αν δεις άγνωστη πρόσβαση, βγάλε τη συσκευή από τον λογαριασμό και ανανέωσε τον κωδικό. Στο κινητό, έλεγξε τις άδειες των browser notifications. Στα Android και iPhone browsers μπορείς να αφαιρέσεις sites που έχουν δικαίωμα να στέλνουν ειδοποιήσεις, ώστε να κόψεις τη ροή των ψεύτικων alerts.
Για μικρές επιχειρήσεις, η ζημιά δεν σταματά στον έναν λογαριασμό. Ένας υπάλληλος που χάνει πρόσβαση στο Facebook Page, στο business email ή σε διαφημιστικό account μπορεί να ανοίξει δρόμο για παραπλανητικά μηνύματα προς πελάτες. Γι’ αυτό χρειάζεται ξεκάθαρη βασική πολιτική: 2FA παντού, μοναδικοί κωδικοί μέσω password manager, περιορισμένη πρόσβαση σε admin ρόλους και έλεγχος στις συσκευές που μπαίνουν στους λογαριασμούς.
Η άμυνα που πιάνει πιο πολύ από όλα
Η πιο χρήσιμη συνήθεια είναι και η πιο βαρετή: μην εμπιστεύεσαι προσφορά επειδή τη βλέπεις σε social πλατφόρμα. Άνοιξε εσύ ο ίδιος τον επίσημο ιστότοπο ή την επίσημη εφαρμογή και έλεγξε αν υπάρχει πράγματι η ενέργεια, το κουπόνι ή το πρόγραμμα. Αν μιλάμε για πάροχο κινητής, τράπεζα, δημόσια υπηρεσία ή μεγάλο brand, πήγαινε από το app ή από χειροκίνητο typing στη διεύθυνση, όχι από το link του post.
Κράτα επίσης καθαρό το πρόγραμμα περιήγησης. Κάνε τακτικά update σε Chrome, Edge, Safari ή Firefox, αφαίρεσε άγνωστες επεκτάσεις και σβήσε site permissions που δεν χρειάζεσαι. Πολλές απάτες δεν χρειάζονται «καταστροφικό» malware. Τους αρκεί να σε πείσουν να δώσεις μόνος σου το login, ένα code ή μια άδεια ειδοποιήσεων. Αν κόψεις αυτά τα τρία, κόβεις και την πιο συνηθισμένη διαδρομή επίθεσης.
Για τον απλό χρήστη, το μήνυμα είναι καθαρό: αν μια προσφορά στο Facebook υπόσχεται κάτι πολύ γενναιόδωρο και σε στέλνει σε browser alert ή άγνωστη σελίδα, σκέψου πριν πατήσεις. Για την επιχείρηση, το σωστό βήμα είναι να αντιμετωπίζει τα social accounts σαν κρίσιμα συστήματα πρόσβασης, όχι σαν απλό κανάλι προβολής.
