Varování: spear-phishingová kampaň cílící na přihlašovací údaje do IS MU
Kyberbezpečnostní tým Masarykovy univerzity varuje před aktuální spear-phishingovou kampaní, zaměřenou na zcizení přihlašovacích údajů do Informačního systému MU.
Varování: Smishingová kampaň napodobující stránky Ministerstva práce a sociálních věcí
O co jde?
V poslední době se opět objevilo množství falešných SMS zpráv, které lákají uživatele na příspěvek na bydlení od Ministerstva práce a sociálních věcí. SMS zprávy obsahují falešné domény jako post24-mpsv.cz nebo gov-mpvs.online. Útočníci se snaží oběti nalákat, aby kliknuli na odkaz v SMS zprávě, který vede na podvrženou stránku MPSV.
Kampaň je velmi sofistikovaná, neboť podvržená stránka MPSV vypadá velmi věrohodně a neobsahuje gramatické chyby. Pokud uživatel u této stránky klikne na tlačítko, dostane se na falešnou stránku bankovní identity. Zde útočníci vytvořili falešnou přihlašovací bránu pro všechny banky. I QR kódy jsou pravé a odkazují na stránky bank. Útočníci se tímto podvodem snaží z uživatelů vylákat přihlašovací údaje do jejich internetového bankovnictví.
Co dělat?
Útočnici vytvořili vzhledově velmi zdařilou kopii webu MPSV. Z toho důvodu se vám na první pohled může zdát vzhled stránky věrohodný. Nenechte se však zmást a zkontrolujte URL adresu stránky! Útočníci totiž v URL adresách záměrně vytvářejí drobné přesmyčky, aby oficiální název adresy co nejlépe napodobili (například místo mpsv použijí mpvs). Nicméně jediná oficiální stránka ministerstva má formát mpsv.cz, přičemž oficiální adresa odkazující přímo na informace o příspěvku na bydlení vypadá následovně: https://www.mpsv.cz/web/cz/-/prispevek-na-bydleni.
Stejně tak doporučujeme dávat si pozor na falešné přihlašovací brány jednotlivých bank. I zde je nutné zkontrolovat URL adresu, a ověřit si, zdali se opravdu nacházíme na oficiálním webu naší banky. Obecně platí, že žádná banka po vás nikdy nebude chtít sdělit citlivé údaje přes telefon, e-mail nebo SMS. V případě podezření, že jste obdrželi podvodnou SMS, e-mail či telefonát, je vhodné si telefonní číslo či e-mailovou adresu zkontrolovat na oficiálních stránkách banky. Nicméně nejlepším řešením v takovém případě je nic přes telefon nesdělovat a osobně si do banky zajít. Vyhnete se případným potížím.
Závěr
Smishing, který útočníci ve výše zmíněné podvodné kampani užívají, je technika sociálního inženýrství využívajících jednu z nejcitlivějších metod – psychologickou manipulaci. O dalších podobně zákeřných technikách i radách, jak se nenechat napálit si můžete přečíst v našem online kurzu, který jsme pro vás připravili. Zároveň vám také doporučujeme sledovat aktivity Kyberbezpečnostního týmu Masarykovy univerzity, který vás před aktuálními hrozbami varuje.