Varování: spear-phishingová kampaň cílící na přihlašovací údaje do IS MU
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Varování: Podvodné telefonáty o údajném nedoplatku!
Kyberbezpečnostní tým Masarykovy univerzity v posledních dnech opětovně zaznamenává zvýšený nárůst podvodných telefonátů, jimiž se snaží útočníci vylákat ze svých obětí citlivá data. Volal vám pracovník finančního úřadu? Zbystřete a čtěte dál!
O co jde?
Vishing neboli voice-phishing označuje podvodnou metodu, kterou útočníci využívají k získaní citlivých informací od svých obětí za pomocí telefonního hovoru. Podvodníci se zpravidla vydávají za legitimní organizace (banky, vládní úřady apod.), a snaží se vzbudit důvěru ve svých obětech. Podstata útoku tkví ve využití manipulativních technik (nátlak, hrozba, urgence), které mají přimět oběť předat útočníkovi data, která chce získat, a to ve formě citlivých údajů (přihlašovací jména, hesla či čísla kreditních karet) nebo např. provést určitou činnost (např. instalace škodlivého softwaru nebo převedení finanční částky na neznámý účet).
Nedoplatek na finančním úřadu - zn. spěchá!
Představte si situaci z běžného života: zavolá vám neznámé číslo s českou nebo klidně i zahraniční předvolbou – nic nového pod sluncem, řeknete si. V okamžiku, kdy daný hovor přijmete, vám volající na druhé straně robotickým hlasem sdělí, že je pracovníkem finančního úřadu a volá ohledně uhrazení nedoplatku. V posledních dnech jsme se setkali s tímto typem útoku právě v prostředí MU, kdy útočník volal z různých čísel na služební Vodafone číslo zaměstnance. Alarmující a zarážející však byla skutečnost, že toto číslo nebylo nikde veřejně uváděno ze strany zaměstnance.
Kladete si otázku: „Jak získali útočníci mé číslo?“
Útočníci využívají různých metod, jak přijít k osobním nebo pracovním kontaktům. Jedním z možných způsobů může být, že se útočník pokouší vytáčet náhodná telefonní čísla, anebo se zaměří na webové stránky určité organizace, kde jsou telefonní čísla veřejně uvedena (co se ale v tomhle případe nestalo). Další z možností je zneužití zaměstnaneckého účtu skrze např. phishingový e-mail a vytáhnutí potřebných údajů z interních databází.
Co dělat?
Zlaté pravidlo zní: "Přistupujte kriticky k požadavkům, které jsou na vás skrze komunikaci kladeny". K tomu vám doporučujeme držet se tří zásad:
- Nesdělovat žádné údaje telefonickou cestou.
- Ověřovat si informace na relevantních a oficiálních místech.
- Nahlásit incident Kyberbezpečnostnímu týmu Masarykovy univerzity.
BONUS
Vishing jako rostoucí trend? Podívejte se, kde všude se můžete s vishingem setkat: