Univerzita Palackého čelila v nedávných dnech dalšímu masivnímu phishingovému útoku. Na uživatele však v tomto případě neútočili skuteční hackeři, ale pracovníci forenzní laboratoře sdružení CESNET, kteří v rámci penetračních testů prověřovali připravenost uživatelů UP na tento typ útoku.
„Důležité upozornění pro Vás! Váš účet bude zablokován již za 3 dny!“. Emailovou zprávu s tímto textem obdrželo v noci z 10 na 11 dubna více než 26 tisíc uživatelů Univerzity Palackého. Zpráva nabádala uživatele k přechodu na webovou stránku v doméně upol.bz a zadání uživatelského jména a hesla.
„Jednalo se o učebnicový příklad tzv. phishingového útoku, tedy pokusu vylákat z uživatelů jejich uživatelské jména a hesla pod záminkou jejich expirace. Útočníkem však naštěstí nebyl počítačový hacker, ale pracovníci forenzní laboratoře sdružení CESNET, jehož je univerzita členem. Emailová zpráva cíleně obsahovala celou řadu zjevných chyb, které měly u uživatelů vzbudit podezření. Už jen to, že doména .bz patří středoamerickému státu Belize, mělo uživatele varovat!“ uvedl David Skoupil, ředitel Centra výpočetní techniky UP, které vykonání penetračních testů CESNETu zadalo.
„Vektory kybernetických hrozeb se v poslední době výrazně mění. Moderní operační systémy, jsou-li pravidelně aktualizovány, v kombinaci s kvalitními antivirovými programy představují pro hackery obtížně zdolatelnou překážku. Pozornost útočníků se tedy čím dál více zaměřuje na nejslabší články, mezi které jednoznačně patří uživatel. I náš test prakticky dokázal, že vylákat z uživatelů jejich hesla je technologicky triviální a má vysokou úspěšnost,“ vysvětlil Skoupil.
Simulovanému útoku na UP podlehla skoro desetina všech uživatelů. Přes dva tisíce studentů, akademických pracovníků a dalších pracovníků UP tak dobrovolně odevzdalo přístupové údaje ke svým datům fiktivnímu útočníkovi. Zejména selhání některých administrativních pracovníků je velmi signifikantní, neboť tito uživatelé mají často přístup k velkému množství citlivých dat UP.
S tvrzením řady uživatelů, kteří tento útok označovali za velmi kvalitně připravený, ředitel CVT nesouhlasí. „Příprava trvala pracovníkům forenzní laboratoře pouhé dva dny. Do emailů a webových stránek byla záměrně vnesena řada chyb a podezřelých prvků. Pokud bychom chtěli, nachytáme pravděpodobně podstatně větší množství lidí,“ dodal Skoupil a připomněl, že útok se může kdykoli opakovat, na druhé straně však může tentokrát stát skutečný útočník. „Jedinou účinnou ochranou proti těmto hrozbám je průběžné vzdělávání uživatelů v oblasti kybernetické bezpečnosti. A na tom bychom měli ve spolupráci s fakultami začít intenzivně pracovat,“ uzavřel ředitel CVT.
Jaká pravidla v oblasti kybernetické bezpečnosti byste měli jako uživatelé znát a dodržovat? Především nikdy nereagujte na emaily, které vás vyzývají ke změně uživatelského hesla. Univerzita Palackého, ani žádná jiná instituce či firma takovýto typ komunikace pro změnu hesel nepoužívá. Heslo volte dostatečně dlouhé a složité (není vhodné volit slova, která se běžně vyskytují ve slovníku). Důležité také je nepoužívat stejná hesla na webových stránkách a službách různých typů. Pokud se například registrujete jako zákazníci v e-shopech, určitě nepoužívejte stejné heslo jako do internetového bankovnictví nebo do portálu UP. A pokud si všechna ta hesla nedokážete zapamatovat, použijte nějakou spolehlivou banku hesel například na chytrém telefonu.