Podvodným e-mailům podlehlo až 70 % studentů MUNI
Takové výsledky přinesl výzkum Dávida Magušina, který se vžil do role kyberútočníka s cílem otestovat reakce 215 studentů Masarykovy univerzity na podvodné phishingové e-maily. Skutečný útočník by mohl v případě úspěšného útoku přes IS ukončit jejich studium, změnit číslo účtu pro vyplácení stipendií nebo posílat podvodné e-maily s malwarem v příloze jejich jménem.
V rámci výzkumu magisterské práce byly studentům ve třech kolech rozeslány odlišné phishingové e-maily, které věrohodně napodobovaly skutečnou komunikaci univerzity. Příprava těchto simulovaných phishingových útoků a výzkumu vyžadovala komplexní a systematický přístup, trvající několik měsíců. Současně je však nutné zdůraznit, jak snadné je dnes phishingové útoky sestavit. Příkladem může být zakoupení domény munl.cz, která napodobovala legitimní doménu muni.cz, za cenu menší než 200 Kč.
V tomto článku se dozvíte:
1. Jak vypadaly podvodné e-maily a v čem spočívala jejich sofistikovanost. ⏩
2. Výsledky výzkumu včetně dalších zajímavých zjištění. ⏩
3. Dopady útoku v případě, že by útočník získal studentovo heslo (včetně reálného příkladu). ⏩
4. Jak se bránit a které bezpečnostní nástroje využívat. ⏩
5. Jaký bonus jsme si pro vás připravili. ⏩
První e-mail: Falešné upozornění z knihovny
Pro zvýšení důvěryhodnosti odesílatele byla využita veřejně dostupná informace z oficiální stránky Masarykovy univerzity. V e-mailu byl použit odkaz na platný sazebník, ve kterém jsou uvedeny pokuty za prodlení.
Druhý e-mail: Mimořádné stipendium!
Pro zvýšení důvěryhodnosti byly využity dostupné informace z webu Masarykovy univerzity týkající se potvrzení splnění podmínek pro získání ubytovacího stipendia, kde je uveden poslední možný termín 30. listopad. Tato informace byla využita v podvodném e-mailu, když bylo studentovi připomenuto „Nezapomeňte do 30.11. potvrdit splnění podmínek...“
Třetí e-mail: Potvrzení zkouškových termínů.
Pro zvýšení důvěryhodnosti byly využity dostupné informace z webu is.muni.cz ohledně návodu, jak se přihlásit na zkoušku v IS MU. Tento návod byl jednoduše překopírován do samotného e-mailu.
Výsledek? 70 % studentů podlehlo phishingu
Po třech kolech simulovaných útoků bylo možné konstatovat, že do falešného přihlašovacího formuláře zadalo alespoň jednou platné heslo až 70 % studentů (150 z 215). Opakovaně (dvakrát a třikrát) tak učinilo 26 %. Nejvíce studentů podlehlo ve 2. kole útoků, když své přihlašovací údaje zadalo na falešné stránce 44 % (94) studentů.
Další informace o výzkumu
Proč tento experiment a kdo k jeho provedení udělil souhlas?
Na Masarykově univerzitě neustále narůstá počet kybernetických útoků, přičemž nejrozšířenější jsou právě phishingové e-maily. Jejich rostoucí počet a sofistikovanost činí uživatele náchylnějšími k jejich rozpoznání. I přes pokročilá technická opatření (e-mailové filtry, ověřovací protokoly SPF, DKIM, DMARC) a aktivní blokaci podezřelých adres nejsou tyto metody stoprocentně účinné a doposud došlo už k několika desítkám kompromitovaných účtů.
V roce 2022 Masarykova univerzita zaznamenala téměř 197 000 pokusů o kybernetický útok, z nichž 1 642 vyžadovalo manuální zásah – viz graf níže.
Existují různé způsoby, jak testovat, zda uživatel dokáže rozpoznat podvodný phishingový e-mail. Avšak simulace útoků představuje reálné prostředí, v němž přijde uživateli e-mail během běžného školního nebo pracovního dne. Reakce na takové e-maily lze proto považovat za nejpravděpodobnější i v případě, že by za útokem stál skutečný útočník.
K zaslání simulovaného phishingového e-mailu udělili souhlas všichni účastníci výzkumu, přičemž jim bylo garantováno, že v případě, že podlehnou útoku, jejich údaje nebudou nijakým způsobem odcizeny. Všechna zadaná data navíc byla po skončení experimentu smazána. Simulace útoků byla provedena ve spolupráci s Kyberbezpečnostním týmem MU (CSIRT-MU) a o probíhajícím výzkumu byla informována všechna relevantní pracoviště univerzity.
Jak studenti jednotlivých fakult reagovali na phishingové útoky?
Výsledky byly velmi těsné. Výraznější rozdíl možno vidět až mezi lékařskou a filozofickou fakultou.
Ve výzkumu měli zastoupení studenti každé fakulty Masarykovy univerzity. Tabulka níže uvádí detailní rozdělení participantů do dvou skupin* podle fakulty, pohlaví a uvádí celkové počty.
*Studenti ze skupiny 1 absolvovali po podlehnutí útoku (zadali platné primární heslo) krátké školení o phishingu.
Jak účinné bylo školení studentů?
Část studentů po podlehnutí phishingu absolvovala krátké školení, jak se bránit proti phishingu. Na grafu níže je zobrazený počet podlehnutí phishingu v závislosti na absolvování nebo neabsolvování školení. Jak můžete vidět, opakovaně a vždy (tj. třikrát) podlehlo phishingu více studentů, kteří školení neabsolvovali. Přesto se nepodařilo potvrdit statistickou významnost školení na podlehnutí či nepodlehnutí phishingu. Mohlo by tedy jít spíše o náhodu než o skutečný vliv školení. Bylo by proto potřeba provést více simulací na vyšší vzorku participantů.
Kolik studentů nahlásilo Kyberbezpečnostnímu týmu MU podezření na kybernetický incident?
Přestože phishingu podlehlo až 70 % studentů, podezření na kyberbezpečnostní incident nahlásilo týmu CSIRT-MU pouze 0,6 % studentů – hlášení bylo podáno pouze čtyřikrát, z toho dvakrát tentýž student. Nejčasnější nahlášení bylo 2 hodiny a 37 minut po odeslání phishingového e-mailu.
Proč jsou tyto údaje důležité a zároveň alarmující?
Obecně podezření na kyberbezpečnostní incident nahlásí reálně méně než 1 % uživatelů. Masarykova univerzita přitom ukládá povinnost uživatelům IT služeb MU (kterými jsou i studenti) neprodleně uvědomit CSIRT-MU o podezření na bezpečnostní incident.
Informační hodnota prvního hlášení je obrovská. Včasné hlášení je důležité především pro minimalizaci dopadů a blokaci dalšího doručování phishingu. Rozsáhlé kampaně obvykle trvají vyšší jednotky až desítky hodin a blokací dokáže CSIRT-MU část zastavit. Hlavní význam má však blokace phishingové stránky. Díky tomu se uživatelé po kliknutí na odkaz v e-mailu na stránku nedostanou a nemohou tak vyplnit své údaje.
Dopady útoků: Zanechání studia, krádež stipendia nebo zneužití krizového kontaktu
-
Útočník může ukončit studium studenta
„Pro útočníka jsem jako student nezajímavý a nakonec mi to asi ani nevadí, aby viděl můj rozvrh a hodnocení v ISu…“ Skutečně by mohl jen vidět rozvrh a hodnocení studenta? Opravdu ne, v případě získání primárního hesla by mohl ukončit studium studenta, přičemž přesný návod, jak tak učinit, by mohl opět najít na oficiální webové stránce univerzity. V ISu může student zanechat studium prostřednictvím několika kliknutí a bez udání jakéhokoli důvodu. Po získání primárního hesla a přihlášení do ISu by měl útočník pochopitelně stejná práva.
-
Může také změnit číslo účtu pro vyplácení stipendií a zneužít další údaje
Kromě zanechání studia by mohl útočník změnit i číslo účtu studenta. Ubytovací či jiné stipendium by potom mohlo putovat do peněženky útočníka. Proto by získání primárního hesla útočníkem mohlo způsobit přímo i finanční ztráty. Víte, co všechno máte o sobě v ISu uloženo? Číslo občanského průkazu či telefonu, rodné číslo, číslo na krizový kontakt a mnoho dalších osobních a citlivých údajů, které může útočník zneužít... Určitě jste již zaznamenali zprávu z novin o tom, že útočník získal telefonní číslo na kolegu nebo příbuzného oběti, vydával se za jejího přítele nebo kolegu a volal s naléhavou žádostí o zaslání peněz na urgentní operaci nebo na zakoupení zpáteční letenky.
-
Nejčastější zneužití přístupu – podvodné zprávy zasílané vaším jménem!
Nejčastěji však útočníci využívají přístup do systému pro zasílání dalších phishingových e-mailů. Reálným příkladem je následující ukázka. Útočník získal přihlašovací údaje člověka z Fakulty sociálních studií MU a následně z jeho e-mailu odeslal takovou sofistikovanou e-mailovou zprávu. Jednalo se o tzv. kompromitovaný účet, ke kterému měl útočník přístup. Asi byste nečekali, že někdo takto zneužije QR kód...
Obrana: Co bychom si měli odnést z výzkumu my?
- Pamatujte si, že Jednotné přihlášení MUNI (přihlašovací stránka do knihovního katalogu apod.) bude mít vždy podobu id.muni.cz a přihlašování do IS MUNI muni.islogin.cz. Každá, byť drobná změna webové adresy, indikuje podvržený web.
- Obecně doporučujeme řídit se třemi jednoduchými zásadami pro bezpečnou elektronickou komunikaci. Až budete příště procházet e-maily ve vaší schránce, zaměřte se na:
- Kontrola těchto tří věcí vám zabere jen pár vteřin, přitom pomůže vyhnout se spoustě potenciálních problémů.
- A pokud odhalíte ve své schránce phishingový e-mail, i když máte jen podezření, neváhejte to nahlásit. Díky nahlášení může CSIRT-MU zastavit šíření phishingu – například blokováním podvodné stránky, na kterou směřuje odkaz v e-mailu. Kromě toho můžeme informovat a upozorňovat ostatní uživatele na probíhající phishingovou kampaň.
Obrana: Využívejte bezpečnostní nástroje
K ochraně proti phishingu slouží také další nástroje jako je např. správce hesel a vícefaktorové ověření (MFA), jejichž instalaci vám doporučujeme pro zvýšení zabezpečení proti phishingovým útokům.
Správce hesel
Správce hesel ukládá a šifruje vaše přihlašovací údaje. Potřebujete si pamatovat pouze jedno silné heslo, které chrání všechny vaše účty. Následující video vás nejprve krok za krokem provede instalací správce hesel Bitwarden. Následně se zaměříme na jeho nejčastější využití v praxi – automatické ukládání a vyplňování přihlašovacích údajů.
Jedna z klíčových funkcí správce hesel – automatické vyplňování údajů – mohla studenta zachránit před naletěním na podvodný e-mail. Jak? Prohlédněte si video níže.
Vícefaktorové ověření
Pokud však student zadal své přihlašovací údaje na podvodné stránce, od zcizení hesla ho mohlo zachránit ještě tzv. vícefaktorové ověření (MFA). Smyslem vícefaktorového ověření je zkrátka nespoléhat se pouze na jedno heslo. Představte si, že někdo získal vaše heslo od internetového bankovnictví. Přihlásí se do něj a pokusí se přeposlat si vaše peníze. Právě tehdy po něm však bude banka chtít kódy z ověřovací SMS či potvrzení v aplikaci (což jsou právě ty další faktory).
MFA poskytuje i Masarykova univerzita, pro IS je navíc dostupný krátký a jednoduchý videonávod, jak potvrdit přihlášení prostřednictvím zadání 6místného kódu z autentizační aplikace. Kromě kódu si můžete nastavit ověření i prostřednictvím Identity občana.
Pro služby Jednotného přihlášení (JP), přes které se přihlašujete například do knihovního katalogu, doporučujeme použít vícefaktorové ověření s tzv. bezpečnostním klíčem, který zajišťuje ověření domény. Podrobný návod naleznete na odkazu níže.
Pár slov na závěr
V dnešním kyberneticky zaměřeném světě je klíčové být si vědom rizik a umět je řešit. Masarykova univerzita se snaží filtrovat phishingové emaily tak, aby se k vám žádný nedostal. Přesto žádné opatření není 100%. Proto je potřeba abychom i my, zaměstnanci a studenti univerzity, zvyšovali své povědomí o kybernetických hrozbách a dokázali phishingu čelit. Buďte ostražití, kontrolujte odesílatele a adresy odkazů, vyvarujte se otevírání podezřelých příloh, používejte vícefaktorové ověření a správce hesel. Při jakémkoliv podezření na kybernetický útok okamžitě kontaktujte tým CSIRT-MU.
Praktický bonus
Phishing kvíz
Dokážete odhalit podvodný phishingový e-mail, který se vám objevil v e-mailové schránce? Pojďte si to ověřit v kvízu!
Připravili jsme pro vás kvíz, kde máte možnost vyzkoušet si, jak dobře dokážete rozpoznat podvodné e-maily. V tomto kvízu se nachází jak opravdové phishingové e-maily, které byly adresovány zaměstnancům na univerzitě, tak i smyšlené příklady, které demonstrují možné phishingové útoky.
V kvízu vás čeká celkem 10 otázek, ve formě ukázek e-mailů. Již během něj se dozvíte, zda jste e-mail správně označili jako phishing nebo legitimní zprávu. Pokud se vám podaří zodpovědět alespoň 8 otázek správně, získáte přístup k bonusovému obsahu. Přejeme hodně štěstí!
Po kliknutí na ukázku se vám obrázek zobrazí v plné velikosti.
