Varování: spear-phishingová kampaň cílící na přihlašovací údaje do IS MU
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Důrazně doporučujeme všem uživatelům IT na MU, aby nepoužívali mobilní aplikaci TikTok. Činíme tak na základě varování, které vydal ve středu 8. března Národní úřad pro kybernetickou a informační bezpečnost. V prostředí MU se toto varování dotýká informačního systému (IS MU) a personálně-ekonomického systému (INET).
Sociální platforma TikTok, vyvinutá a provozovaná čínskou společností ByteDance, patří celosvětově k nejpoužívanějším aplikacím ve své kategorii – jen v rámci Obchod Play má přes miliardu stažení. Tento stav není odlišný ani v českém prostředí – data ukazují, že v současnosti je v ČR na cca dva miliony aktivních uživatelů. Společnost ByteDance spadá do působnosti legislativy Čínské lidové republiky, což vytváří obavy, že zájmy ČLR mohou být stavěny nad zájmy uživatelů aplikace TikTok.
Rizika spojená s aplikací TikTok jsou výrazně vyšší než u většiny podobně oblíbených aplikací. Důvodem je to, že aplikace shromažďuje celou řadu citlivých dat, a to nejen z historie prohlížení a vyhledávání, ale sbírá i např. klávesnicové záznamy, biometrické identifikátory (hlasové a obličejové otisky), které by mohly být použity v jiných technologiích bez vědomí uživatele.
Navíc je třeba zohlednit čínské právní prostředí, které vyžaduje, aby čínské společnosti, jako je provozovatel TikToku, spolupracovaly se státem a poskytovaly mu informace bez zajištění dostatečné ochrany osobních údajů.
S ohledem na tato zjištění důrazně varujeme uživatele IT na MU, že pokud používají aplikaci TikTok, tak může ze strany provozovatele aplikace docházet k:
Na základě uvedených informací důrazně doporučujeme všem uživatelům, aby neinstalovali ani nepoužívali mobilní aplikaci TikTok na zařízeních, na kterých přistupují k IS MU a INET. U obou systémů máte jako uživatelé IT služeb na Masarykově univerzitě povinnost předcházet vzniku bezpečnostních incidentů, která plyne ze Směrnice MU č. 10/2017, o používání informačních technologií (čl. 3 odst. 3 a 5).
Kromě této povinnosti myslete také na svou vlastní informační bezpečnost a ochranu svého soukromí, protože TikTok oboje významně narušuje. Ochrana vašeho soukromí je nezbytná, protože TikTok nemusí být jediná aplikace, která může zasahovat do vašeho soukromí. Záleží tedy i na dalších službách a aplikacích, které používáte, stejně jako na vašem chování.
Pokud vás téma zajímá více, můžete si projít náš kurz zaměřený na základy informační bezpečnosti. Pro více informací ze světa kyberpezpečnosti sledujte náš profil anebo si přečtěte některý ze vzdělávacích článků, které jsme pro vás připravili.
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Kyberbezpečnostní tým Masarykovy univerzity v posledních dnech opětovně zaznamenává zvýšený nárůst podvodných telefonátů, jimiž se snaží útočníci vylákat ze svých obětí citlivá data. Volal vám pracovník finančního úřadu? Zbystřete a čtěte dál!