CYBER Safety. Καθώς ο Covid-19 έχει αναγκάσει πολλές επιχειρήσεις εστίασης να μεταφέρουν ένα μεγάλο μέρος της δουλειάς τους on-line, η ανάγκη για αυξημένη ασφάλεια απέναντι σε επιθέσεις από hackers γίνεται όλο κι εντονότερη.
Του Γιάννη Πατιά
Θωρακιστείτε από κυβερνοεπιθέσεις
Νοσοκομεία, ξενοδοχεία, καταστήματα λιανικής, πανεπιστήμια, ακόμα και κυβερνητικές υπηρεσίες αποτέλεσαν στο παρελθόν στόχους κυβερνο-απατεώνων. Ένας αγαπημένος τομέας, αγαπημένος στόχος των χάκερς, είναι αυτός της μαζικής εστίασης, κι αυτό διότι εκεί υπάρχει πληθώρα δεδομένων πελατών σε συστήματα με χαλαρή ασφάλεια. Παρά την άνοδο άλλων ηλεκτρονικών μεθόδων πληρωμής, όπως του Paypal, οι πελάτες εξακολουθούν να προτιμούν τη χρήση πιστωτικών καρτών.
Λόγω του όγκου των συναλλαγών με πιστωτικές κάρτες και των διαθέσιμων δεδομένων CRM, τα εστιατόρια πρέπει να λαμβάνουν σοβαρά υπόψη την ασφάλεια στον κυβερνοχώρο. Ένας χάκερ χρειάζεται μόνο να αποκτήσει πρόσβαση στο σύστημα POS ενός εστιατορίου και να εγκαταστήσει κακόβουλο λογισμικό, για να κλέψει τα στοιχεία της πιστωτικής κάρτας του πελάτη.
Οι εγκληματίες μπορούν να πουλήσουν τα δεδομένα των κλεμμένων πιστωτικών καρτών στον «σκοτεινό ιστό» (dark web) ή να τα χρησιμοποιήσουν για απάτες κλοπής ταυτότητας. Συχνά, για το εστιατόριο η ζημιά είναι μη αναστρέψιμη. Από τη στιγμή που έχουν πρόσβαση, οι εγκληματίες θα συνεχίσουν να κλέβουν δεδομένα POS, μέχρι οι καταγγελίες να αρχίσουν να συσσωρεύονται κι οι Αρχές να ερευνήσουν το ζήτημα.
Στις ΗΠΑ, οι περισσότερες από τις γνωστές και μεγάλες αλυσίδες εστίασης έχουν πέσει θύματα χάκερ: Applebee’s, Dominos, Tim Hortons, Chipotle, PDQ, Zippy’s, Cheddar’s Scratch Kitchen, Chili’s, Zaxby’s, Darden και B & BHG είναι μερικά μόνο από τα μεγάλα ονόματα που έχουν αναφέρει παραβιάσεις δεδομένων. Η μεγαλύτερη, όμως, απειλή από την παραβίαση της ασφάλειας στον κυβερνοχώρο είναι οι μακροπρόθεσμες επιπτώσεις στη φήμη του εστιατορίου. Χαρακτηριστική είναι η περίπτωση του Chipotle: η αξία της εταιρείας έπεσε κατά περίπου 400 εκατομμύρια δολάρια, μετά την παραβίαση δεδομένων.
Για να προετοιμαστείτε καλύτερα για μια επίθεση στον κυβερνοχώρο, είναι καλύτερο να γνωρίζετε τις διάφορες μεθόδους που χρησιμοποιούν οι εγκληματίες, για να παραβιάσουν ένα σύστημα.
Μη προστατευμένο WiFi
Τα εστιατόρια προσφέρουν συχνά δωρεάν Wi-Fi στους πελάτες τους. Για να είναι πιο εύκολη η σύνδεση σε αυτό, η πλειονότητα αυτών των σημείων πρόσβασης δεν είναι ασφαλής, γεγονός που επιτρέπει στους εγκληματίες να αποκτήσουν πρόσβαση στο δίκτυο. Μόλις βρεθούν στο σύστημα, οι εισβολείς μπορούν να διαβάσουν την κυκλοφορία στον ιστό, να κλέψουν ευαίσθητες πληροφορίες, ακόμη και να εγκαταστήσουν κακόβουλο λογισμικό.
Επιθέσεις «Phishing»
Με την τακτική του «Phishing» (θα μπορούσαμε να το μεταφράσουμε ως «ηλεκτρονικό ψάρεμα»), οι εισβολείς προσπαθούν να εξαπατήσουν τους υπαλλήλους του εστιατορίου, ώστε να τους αποκαλύψουν είτε τους κωδικούς που χρησιμοποιούν για το δίκτυο του εστιατορίου ή άλλα ευαίσθητα δεδομένα. Ένας άλλος τρόπος, για να αποκτήσουν οι χάκερς τους κωδικούς, είναι με την αποστολή μηνυμάτων e-mail στους υπαλλήλους, τα οποία περιέχουν links προς μολυσμένους ιστότοπους, όπου συλλέγονται τα δεδομένα. Τα ηλεκτρονικά μηνύματα μπορεί, επίσης, να περιέχουν συνημμένα αρχεία με κακόβουλο λογισμικό ή ιούς Trojan που εγκαθίστανται κατά τη λήψη τους.
Κακόβουλο λογισμικό
Ο κύριος στόχος ενός κυβερνο-εισβολέα είναι να μπει στη βάση δεδομένων πιστωτικών καρτών και να κλέψει τα πάντα. Ένας άλλος στόχος είναι τα δεδομένα λογισμικού CRM, τα οποία μπορεί να περιλαμβάνουν ονόματα, διευθύνσεις, ακόμη και γενέθλια. Ένας από τους πιο συνηθισμένους τρόπους επίτευξης αυτού του είδους της επίθεσης είναι μέσω malware (κακόβουλο λογισμικό). Οι χάκερ βρίσκουν μια ευάλωτη «είσοδο» στο δίκτυο ενός εστιατορίου κι εγκαθιστούν κακόβουλο λογισμικό στο σύστημα POS. Στη συνέχεια, ο κακόβουλος κώδικας καταγράφει κάθε συναλλαγή και στέλνει τις πληροφορίες στον υπολογιστή του εισβολέα, μέσω του Internet.
Απάτες Covid
Οι απατεώνες παρουσιάζονται ως εκπρόσωποι του Υπουργείου Υγείας, του Υπουργείου Πολιτικής Προστασίας κι άλλων οργανισμών δημόσιας υγείας – ακόμα και του Παγκόσμιου Οργανισμού Υγείας (ΠΟΥ). Ο στόχος είναι να κλέψουν αριθμούς ΑΜΚΑ, προσωπικά στοιχεία και φορολογικά αναγνωριστικά, μέσω τηλεφώνου ή μέσω email. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν είτε διαδικτυακά ερωτηματολόγια είτε αρχεία που έχουν μολυνθεί από κακόβουλο λογισμικό και συλλέγουν όλα τα ευαίσθητα δεδομένα σε έναν υπολογιστή. Είναι απαραίτητο, λοιπόν, να δοθούν στο προσωπικό οδηγίες να μην απαντήσει ποτέ σε αυτά τα μηνύματα, ούτε να κάνει κλικ σε οποιονδήποτε σύνδεσμο ή να κατεβάσει κάποιο αρχείο.