Varování: hrozba kompromitace univerzitních účtů

Kyberbezpečnostní tým Masarykovy univerzity varuje před spear-phishingovou kampaní, pomocí které se útočník snaží vylákat ze zaměstnanců MUNI jejich přihlašovací údaje.

29. 11. 2022 Varování

Bez popisku

O co jde?

V posledních dnech jsme zaznamenali spear-phishingovou kampaň mířenou na zaměstnance Filozofické Fakulty a Právnické Fakulty Masarykovy univerzity. Spear-phishing je jednou z technik sociálního inženýrství, při kterých útočník využívá psychologickou manipulaci oběti.

Útok byl realizován prostřednictvím kompromitovaných účtů zaměstnanců Univerzity Karlovy a španělské University of Granada. Z těchto účtů, podvodník rozeslal množství hromadných e-mailů s předmětem „Přečtěte si prosím: Důležitá zpráva z Masarykova Univerzita“. Pokud zaměstnanec tento e-mail otevřel, zobrazila se mu zpráva, která ho vybízela kliknout na připojený odkaz. Tento odkaz jej měl následně přesměrovat na falešnou přihlašovací stránku portálu pro zaměstnance. Pokud by zaměstnanec vyplnil své přihlašovací údaje do tohoto podvodného formuláře, zaslal by je přímo útočníkovi. Tím by došlo ke kompromitaci zaměstnaneckého účtu, a útočník by jej mohl využívat pro své vlastní účely. Například pro rozesílání další vlny spear-phishingových e-mailů.

Níže můžete vidět text podvodného e-mailu a falešnou přihlašovací stránku do zaměstnaneckého portálu:

Podvodná zpráva, která je zaměstnancům hromadně rozesílána a snaží se je vybídnout k akci – „přihlásit se do portálu pro zaměstnance“.

Podvržená stránka s přihlašovacím formulářem a logem fakulty na kterou je kampaň mířena.

Co dělat?

Útočník vytvořil vzhledově ne příliš podařenou kopii přihlašovací stránky do zaměstnaneckého portálu. Nicméně ve spěchu by se člověk mohl nechat ošálit například tím, že falešná stránka obsahuje reálné logo příslušné fakulty. Proto vám doporučujeme osvojit si jedno jednoduché pravidlo. Předtím, než se přihlásíte, vždy nejprve zkontrolujte URL adresu stránky. Jednotného přihlášení do zaměstnaneckého portálu MUNI INET bude mít vždy podobu id.muni.cz. Každá, byť drobná odchylka webové adresy značí, že se jedná o podvržený web.

Závěr

Útočníkovi se již podařilo několik zaměstnanců MUNI napálit a získal jejich přihlašovací údaje. S nimi nyní pracujeme na vyřešení této situace. Zároveň jsme zablokovali odesílatele a podvodné webové stránky. Nicméně tím, že kampaň probíhá ve vlnách, v příštím pokusu se mohou adresy odesílatele i připojené odkazy lišit. Taktéž hrozí, že útok bude cílen i na ostatní fakulty MU.

Pokud se s tímto kyberbezpečnostním útokem setkáte, neváhejte nám jej nahlásit. V neposlední řadě vám doporučujeme sledovat aktivity Kyberbezpečnostního týmu Masarykovy univerzity, který vás před aktuálními hrozbami varuje.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info