Univerzitní účty můžou být cílem phishingových útoků

Kaspersky Lab nabádá studenty a pracovníky vysokých škol, aby byli při přihlašování ke svým účtům opatrní. Odborníci společnosti totiž detekovali četné kyberútoky na nejméně 131 univerzit v 16 zemích. Tyto pokusy o získání citlivých univerzitních informací se uskutečnily v posledních 12 měsících, a šlo o téměř tisícovku phishingových útoků. Podvodníci mají zájem o přístupové údaje zaměstnanců a studentů, jejich IP adresy a údaje o jejich poloze. Ve většině případů za tímto účelem vytvářejí webové stránky pro zadávání přihlašovacích údajů a hesel do univerzitních intranetových systémů, které jsou na první pohled totožné s autentickými stránkami.

Zatímco bezpečnost účtů zaměstnanců bank a průmyslových podniků je dnes už samozřejmostí, osobní účty studentů a pracovníků univerzit se z hlediska kyberútoků mohou jevit jako nevýznamné cíle. Ve skutečnosti však mohou být informace získané úspěšným phishingem na univerzitních účtech dokonce ještě cennější. Jejich databáze totiž obsahují mnoho významných a exkluzivních výzkumů, pokrývajících témata od ekonomiky až po jadernou fyziku. Kromě toho na univerzitách probíhají také doktorské programy, v rámci kterých mohou kyberzločinci získat přístup k dalším cenným odborným znalostem, ale také k soukromým informacím a potenciálně kompromitujícím materiálům.

I přesto, že univerzity dbají na svou IT bezpečnost, útočníci najdou způsoby, jak se do jejich systémů nabourat. Zaměřují se totiž na jejich nejslabší článek, samotné uživatele. Scénář je téměř vždy stejný. Útočníci vytvoří identickou webovou stránku univerzity, která se liší jen několika písmeny ve webové adrese. Oběti obvykle naletí, zadají své přístupové údaje a poskytnou tak útočníkům cenné informace. Úspěšnost takových útoků se pak zvyšuje s použitím těch nejvhodnějších metod sociálního inženýrství.

Celkově experti detekovali 961 útoků na 131 univerzitách zaměřených většinou na výuku v anglickém jazyce. 83 z nich se nachází v USA a 21 sídlí ve Velké Británii. Obzvláště velkou pozornost zaměřili útočníci na University of Washington. Kaspersky Lab zjistila, že na tuto konkrétní školu bylo namířeno 111 útoků. Statistiky dále ukazují, že útokům čelily vzdělávací instituce také v Asii, Evropě a Africe.

"Počet subjektů, na které phishing cílí, je znepokojivý. Potvrzuje se, že vzdělávání se stává pro kyberzločince atraktivním tématem. Představitelé univerzit by si měli být vědomi toho, že každý z jejích zaměstnanců a studentů může představovat slabý článek a poskytnout kyberzločincům přístup do interních systémů. Měli by proto preventivně učinit patřičná bezpečnostní opatření," říká Naděžda Děmidová, bezpečnostní odbornice ve společnosti Kaspersky Lab.

Kaspersky Lab doporučují učinit následující bezpečnostní opatření, abyste se nestali obětí phishingu:

• Dřív než na cokoliv kliknete, vždy adresu zkontrolujte a přesvědčte se, že je autentická. Bezpečnější než na link kliknout, je přepsat ho přímo do adresního řádku prohlížeče. Pokud si nejste jistí, že je stránka bezpečná, nikdy své přihlašovací údaje nezadávejte. Když dodatečně zjistíte, že jste je zadali na podvodné stránce, okamžitě změňte své heslo.
• Nikdy nepoužívejte stejné heslo pro různé stránky a služby. Jinak budou v případě jeho odcizení ohroženy všechny vaše účty. Pro vytvoření dostatečně bezpečného hesla, které je zároveň snadné si zapamatovat, použijte správce hesel jako například Kaspersky Password Manager.
• Pro to, aby nikdo nemohl proniknout do vašeho připojení a nepozorovaně nahradit autentický web tím falešným, nebo sledovat vaše aktivity na internetu, používejte vždy zabezpečené připojení, zabezpečené Wi-Fi se silným šifrováním a heslem nebo použijte řešení VPN, která připojení šifrují. Například Kaspersky Secure Connection zapne šifrování automaticky vždy, pokud není připojení dostatečně zabezpečené.
• Používáte-li k brouzdání na internetu vlastní zařízení, třeba jen mobilní telefon, vždy používejte pokročilé bezpečnostní řešení, které vás upozorní při vstupu na phishingovou stránku.
• Firmy by měly své zaměstnance poučit o tom, aby nikdy nesdíleli citlivé údaje, jako jsou jméno a heslo k jejich účtům, s třetími stranami a neklikali na linky od neověřeného odesílatele nebo v podezřelých mailech.

Firmy by také měly implementovat spolehlivé endpoint bezpečnostní řešení s anti-phishingovými technologiemi jako je Kaspersky Endpoint Security for Business pro detekování a blokování spamu a phishingových útoků.