Přihlašte se, prosím, do IS STUDIUM (hroch) a zkontrolujte si všechny své údaje: vstup do IS studium - hroch.

Transkript

1 Dobrý den, na začátku zimního semestru byl proveden test připravenosti studentů ČZU na phishingový 1 útok, s cílem zjistit povědomí studentů o této problematice. Dne byl všem studentům v rámci ČZU rozeslán hromadný na studentské schránky následujícího znění: Dobrý den, po chybě na záložním disku způsobené dodavatelskou firmou bohužel došlo ke smazání části databáze, kde byly uloženy informace o studentovi z IS Studium (hroch). Není však žádný důvod k panice! Výpadek se většiny studentských kont nedotkl, obnovili jsme zálohu z předcházejícího dne, ale přesto Vás tímto prosíme, abyste si zkontroloval(a), zda jsou Vaše údaje v pořádku. V případě reklamací se prosím obraťte přímo na Odbor informačních a komunikačních technologií - Internetový pavilon - dveře č.003 (supl@oikt.czu.cz). Přihlašte se, prosím, do IS STUDIUM (hroch) a zkontrolujte si všechny své údaje: vstup do IS studium - hroch. Za případné způsobené problémy se předem omlouváme. Děkujeme za pochopení. Bezpečnostní manažer OIKT Odkaz v uvedené zprávě neukazoval na oficiální stránky informačního systému HROCH, ale na stránku Ve skutečnosti se jednalo testovací phishingový útok na uživatele a k žádným problémům s IS nedošlo. Tento útok je však falešný a iniciátorem byla sama Česká zemědělská univerzita v Praze (ČZU), konkrétně potom Odbor informačních a komunikačních technologií (OIKT). Cílem simulovaného phishingového útoku bylo: Vyzkoušet reakce studentů a odpovědných zaměstnanců. Připomenout vážnost hrozby phishingu. Analyzovat informační toky a navrhnout možnosti jejich optimalizace. O připravované akci bylo informováno vedení univerzity a také vlastní domény, kde byly stránky umístěny. 1 - Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání ových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze. - Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

2 Z hlediska studentů nehrozila žádná rizika, protože falešná stránka v žádném případě nezaznamenávala ani neodesílala hesla uživatelů. Ze statistických důvodů byla zaznamenána pouze vyplněná uživatelská jména, verze prohlížeče, IP adresa počítače, datum a čas vyplnění. Údaje nebyly spojovány se jmény uživatelů, ale byla provedena analýza dat například dle ů a oborů studia. Nejzákladnější znaky phishingového útoku: - Žádost o osobní údaje. Všechny seriózní organizace dodržují pravidlo, že nesdělují, ani po Vás nežádají jakékoli citlivé informace pomocí u a v drtivé většině ani jinak. Za tyto informace jsou považovány například rodné číslo, hesla pro přístup do důležitých aplikací, PIN kód, číslo účtu atd. - Odkazování na nenadálou situaci, která potřebuje okamžité řešení (havárii, selhání systému, pokus o krádež atd.) - Falešný odkaz, na který máte přímo ve zprávě kliknout. Tento odkaz má jiné návěstí, než je potom skutečné místo, na které odkazuje. - V odkazované adrese je obsažen Prohlížeče často ignorují vše, co je napsáno před zavináčem (např. odkaz Vás odkáže na stránku ne na web ČZU). - Ve zprávě je obsažen obrázek, na který máte klikat. - Jsou použity odkazy, které se velmi podobají oficiálním stránkám (např. atd.) Základní pravidla pro obranu proti phishingu: - Neodpovídat na zprávy, ve kterých po Vás někdo žádá citlivé informace. - Nikdy v nešifrovaných ových zprávách neodesílat citlivé informace (PIN, hesla, rodné číslo a podobně). Obdobná pravidla platí i pro telefonické hovory. Stále více se rozmáhá i sociální inženýrství. Jakékoli heslo by vždy mělo sloužit jen Vám, proto je nesdělujte ani kamarádům. - Neklikat na žádné odkazy v podezřelých mailech. Pokud už zmiňovaný web chcete navštívit, otevřete si nové okno internetového prohlížeče a adresu napište ručně. - Používejte aktualizovaný antivirový program, osobní firewall a prohlížeč, který je schopný některé podvodné stránky sám odhalit. - Sledujte u důležitých akcí, zda se opravdu dostanete na stránku, kterou předpokládáte (kontrola řádku s adresou po načtení stránky). Základní postupy při podezření na phishingový útok: Pokud máte podezření důvodné podezření, že se jedná o phishingový útok, postupujte následovně. - Rozhodně nikam nezadávejte žádné údaje. Stránku opusťte. - Kontaktujte správce stránek, které jsou napadené (v případě ČZU například pracoviště Helpdesk, bezpečnostního technika, kohokoli z IT oddělení) - Pokuste se kontaktovat majitele hostitelské domény, na které je podvodná stránka umístěna. Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

3 - Upozorněte na podezřelé stránky (kamarádi, internetové vyhledávače atd.) Rizika: - Mimo ČZU například neoprávněný přístup k internetovému bankovnictví, poště a dalším systémům - Na ČZU například změna účtu, na který probíhá výplata stipendií, změna rozvrhu, termínů zkoušek, zneužití uživatelského účtu při přístupu k systémům atd. Celkový počet studentů, kteří odeslali svůj login během testovacího období (od středy :00 do pátku :00) - byl 2253 (pouze správně zadaný login bez duplicit). Detaily testu: Test prováděli: Ing. Václav Lohr (KIT PEF, OIKT) Ing. Petr Benda (KIT PEF, OIKT) (OIKT) Dále o testu byli informováni: Ing. Jiří Boháček (kvestor ČZU) Ing. Ondřej Hradecký (vedoucí OIKT) Marian Bartl (vedoucí správy sítí ČZU) Provozovatel serveru, na kterém byly stránky umístěny Ostatní zaměstnanci ani studenti nebyli o testu informováni v zájmu co největšího utajení. Celkem bylo rozesláno zpráv na školní y studentů (vzor: xnovp999@studenti.czu.cz). Rozesílání samotné trvalo 61 minut (12:55 13:56) a jako odesílatel byla udána reálná adresa helpdesk@czu.cz. Zprávy byly odeslány ze serveru Katedry informačních technologií - kit.pef.czu.cz, což se dalo bez problému zjistit z hlavičky zprávy. Reakce studentů a zaměstnanců: První reakce zaměstnanců univerzity byla zaznamenána v 16:20, kdy jsem byl telefonicky upozorněn na podezřelý . Druhá reakce byla v 18:01, následující druhého dne v ranních hodinách. Celkem bylo vyhodnoceno 13 reakcí během 24 hodin, nutno však podotknout, že zaměstnanci se informovali mezi sebou navzájem a proto nelze hodnotit počet samotný, ale jen první reakce. První reakce studenta byla doručena na mou ovou adresu v 17:55. První reakce na adresu helpdesk@czu.cz byla od téhož studenta v 18:22. Celkem bylo za sledované období zaznamenáno 32 reakcí od studentů. Studenti, kteří potenciální nebezpečí oznámili byli požádáni o nerozšiřování informací. V 17:58 jsem elektronicky obdržel upozornění od provozovatele serveru, na kterém byla stránka umístěna. Protože byl tento test předem avizován, nedošlo k smazání stránky. Při Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

4 skutečném útoku by v tento čas již byla stránka smazána, pokud by nebyla umístěna na soukromém serveru. Chování internetových prohlížečů: Jako první na riziko upozorňoval Google Chrome během necelých 20 hodin (údaje nejsou zcela přesné, může se jednat o dobu o něco kratší). Následně máme zjištěné i upozornění prohlížeče Mozzila Firefox verze 3.x a to až zhruba kolem 21:00. Ostatní prohlížeče na potencionálně podvodnou stránku nezareagovali vůbec nebo s ještě větším zpožděním. Statistiky vyplněných loginů: Celkem vyplněn login: 2590 Z toho: Prázdný odeslaný login 26 Nesprávný (i s prázdnými) 177 Správně, ale duplicitně 160 Nachytaní: Zadaných už.jmen (bez duplicit a chyb) 2253 Počet lidí, kteří navštívili, ale nevyplnily nic 1661 Procento lidí, kteří navštívili a nic nevyplnili 39,07 Procento nachytaných lidí ze všech mailů 9, Nachytaní Všichni Procent z u 8,90 11,33 10,50 7,68 11, INFO všichni INFO nachytaní Procento z informatiků 8,65 13,20 11,15 11,54 13,10 Počet studentů, kteří zadali login do doby potenciálního odstranění stránky ( :58): 290 Počet studentů, kteří zadali login do doby, než byla stránka poprvé ohlášena zaměstnanci ČZU (16: hodina na rozeslání a doručení upozorňujícího mailu studentům) = :20: 240 Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

5 Celkový počet studentů, kteří odeslali svůj login byl 2253 (pouze správně zadaný login bez duplicit). Seznam zachycených loginů dle oborů a ů studia: Celkový Obor součet ABE 6 6 ABEKS 2 2 ABPC ABPCKS ABPH ABPP ABPPKS ABPS ABPSKS ABR ABRKS ABV 3 3 ABVKS 4 4 ABZ ABZKS ABZP 2 2 ABZU AEM AMBKS 3 3 AMBO AMGB AMH AMK AML 5 5 AMPKS AMPP 3 3 AMPS AMPV 1 1 AMRKS 1 1 AMVKS 1 1 AMVV 2 2 AMZO AMZZ ATP ATPKS ATZK ATZP ATZPKS ATZR ATZRKS ATZV 1 1 Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

6 ATZVKS ATZZ BDREV BEKOL BKRAJ BLES BPRM BVH 3 3 DBEKOL DBKRAJ 4 4 DBLES DHSSL DHSSL DLES 1 1 DPRM DPRM DRES DRES2 1 1 DREV DUTSS DUTSS DUTSS DUTSS EAD 2 2 EKOL EM FWLM HKS HSSL INFO INFOA 1 1 IRT IRTN 1 1 KPU KRAJ LES 3 3 MVZVTS 2 2 OPT PAA PAAHK 1 1 PAACH 2 2 PAE RES 1 1 SMAD SYI TTZOB TTZON TZS 3 3 TZSB UTSS Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6

7 VSRR VSRRHK VSRRCH VSRRJ VSRRK VSRRL VSRRM VSRRSUT XAKREK 1 1 XEKOLO 2 2 XMNG 1 1 XOCHMY 1 1 XPOE 1 1 XZLHYD 1 1 ZT ZTS Celkový součet Závěr: Z více než 22 tisíc rozeslaných zpráv, vyplnilo na falešnou stránku svůj téměř 10% studentů. Toto číslo je vysoké, vzhledem k tomu, že zhruba třetina studentů svůj školní vůbec nevyužívá a nečte ho. Velice zajímavé a alarmující je procento studentů oboru informatika, u kterých by existoval předpoklad vyššího počítačového vzdělání než u zbytku studentů. Ze zjištěných údajů však vyplývá, že studentů oboru informatika se procentuálně nechalo zlákat více (počet správně zadaných loginů / počet všech studentů * 100). Překvapivě je i nižší procento nachytaných studentů prvního u, než studentů u pátého. Pokud by byl útok reálný, podařilo by se odchytit přibližně 290 loginů a hesel, než by došlo k odstranění podvodných stránek ze serverů veřejného poskytovatele. Toto však nelze předpokládat v situaci, kdy by stránky byly umístěny u přímo u útočníka. Upozornění studentů na útok přišlo zodpovědným osobám na ČZU během několika málo hodin, a při okamžité reakci by byli studenti varováni zhruba během pěti hodin. Reakce studentů byla odpovídající, avšak vážnost situace by žádala mnohem větší počet upozornění. Problematičtější by byla reakce zaměstnanců na incident například během víkendu nebo o svátcích, kdy není zřízena stálá dozorová služba na univerzitě. Bohužel tuto skutečnost nelze změnit. Reakce zaměstnanců na hrozbu byla rychlá a správná. Možná také proto, že někteří ze zaměstnanců jsou stále studenti a tuto zprávu obdržely také. Odbor informačních a komunikačních technologií,, Kamýcká 129, Praha 6