Varování: spear-phishingová kampaň cílící na přihlašovací údaje do IS MU
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Kyberbezpečnostní tým Masarykovy univerzity v posledních dnech opětovně zaznamenává zvýšený nárůst podvodných telefonátů, jimiž se snaží útočníci vylákat ze svých obětí citlivá data. Volala vám technická podpora ze společnosti Microsoft? Zbystřete a čtěte dál!
Vishing neboli voice-phishing označuje podvodnou metodu, kterou útočníci využívají k získaní citlivých informací od svých obětí za pomocí telefonního hovoru. Podvodníci se zpravidla vydávají za legitimní organizace (banky, vládní úřady apod.), a snaží se vzbudit důvěru ve svých obětech. Podstata útoku tkví ve využití manipulativních technik (nátlak, hrozba, urgence), které mají přimět oběť předat útočníkovi data, která chce získat, a to ve formě citlivých údajů (přihlašovací jména, hesla či čísla kreditních karet) nebo např. provést určitou činnost (např. instalace škodlivého softwaru nebo převedení finanční částky na neznámý účet).
Představte si situaci z běžného života: zavolá vám neznámé číslo s českou nebo klidně i zahraniční předvolbou – nic nového pod sluncem, řeknete si. V momentě, kdy daný hovor zvednete, vám volající na druhé straně lámavou angličtinou sdělí, že je pracovník společnosti Microsoft a oznámí vám, že byl identifikován závažný kybernetický incident ve vašem zařízení. Poté dodá, že jedna z věcí, které po vás obratem potřebuje je, abyste si nainstalovali software, který daný bezpečnostní problém vyřeší. S tímto typem útoku jsme se v posledních dnech setkali právě v prostředí MUNI.
Pokud byste postupovali dle instrukcí volajícího, mohlo by dojít k odcizení vašich citlivých informací anebo pracovních dat. Případě byste si mohli nainstalovat škodlivý software (např. ransomware), který by dokázal vaše zařízení zašifrovat, a to by se pro vás tak stalo nepoužitelným. Není výjimkou ani to, že může dojít k tomu, že útočník může získat kontrolu nad vaším zařízením.
Útočníci využívají různých metod, jak přijít k osobním nebo pracovním kontaktům. Jedním z možných způsobů může být, že se útočník pokouší vytáčet náhodná telefonní čísla, anebo se zaměří na webové stránky určité organizace, kde jsou telefonní čísla veřejně uvedena. Další z možností je zneužití zaměstnaneckého účtu skrze např. phishingový e-mail a vytáhnutí potřebných údajů z interních databází.
Zlaté pravidlo zní: "Přistupujte kriticky k požadavkům, které jsou na vás skrze komunikaci kladeny". K tomu vám doporučujeme držet se tří zásad:
Vishing jako rostoucí trend? Podívejte se, kde všude se můžete s vishingem setkat:
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Kyberbezpečnostní tým Masarykovy univerzity varuje před spear-phishingovou kampaní, pomocí které se útočník snaží vylákat ze zaměstnanců jejich přihlašovací údaje!