"Vše o kybernetické bezpečnosti"

VŠE v Praze vyráží do boje proti phishingu

V uplynulých měsících dorazila studentům Vysoké školy ekonomické (VŠE) do školní schránky řada e-mailů, které vybízí např. k vyjádření se k disciplinárnímu řízení, oznamují nedostatečného splnění podmínek předmětu, nabízí možnost výměny kreditů nebo také informují o získání studijního stipendia. Ačkoliv na první pohled vypadají podvodně, ve skutečnosti pochází od Centra informatiky (CI) VŠE, které se touto cestou snaží zvýšit povědomí o rostoucí problematice podvodných e-mailů, tzv. phishingu.

Podvodné phishingové zprávy jsou podle statistik CI VŠE nejčastějším způsobem, jak se někdo nepovolaný dostane k přihlašovacím údajům. Zpravidla je následně zneužije pro rozeslání nevyžádané pošty či dalších podvodných e-mailů. Situaci shrnuje vedoucí oddělení podpory a rozvoje InSIS, Luboš Pavlíček:

„Obvykle evidujeme jeden až dva případy za měsíc. Snažíme se vylepšovat technická opatření, aby podvodné e-maily nedorazily do poštovních schránek příjemců. Ale nikdy nebudou stoprocentní, a proto je potřeba vzdělávat i uživatele, aby podvodné zprávy rozpoznali a správně na ně reagovali“.

Centrum informatiky se rozhodlo k tomuto preventivnímu rozesílání „podvodných“ e-mailů z několika důvodů. „Mnoho uživatelů má představu, že podvodný e-mail snadno rozpozná. Rozeslání maket podvodných e-mailů má tuto sebejistotu trochu narušit, hlavně pro případy, kdy bude podvodný e-mail zaměřen na školu či na jeho sociální bublinu. Další důvod je formální – ze zákona máme povinnost bezpečnostního vzdělávání uživatelů. V letošním roce se podílíme na řešení rozvojového projektu „Zvýšení úrovně kybernetické bezpečnosti v prostředí VŠ“, což nám umožňuje financovat náklady na tato testování,“ vysvětluje Pavlíček. Jedná se o součást vzdělávání uživatelů v oblasti bezpečnosti informačních technologií a to konkrétně ve zvládání podvodných e-mailů. První část tvoří edukativní testování prostřednictvím rozesílání maket podvodných e-mailů a v druhé části je nabízený e-learningový kurz na phishing v prostředí VŠE.

Před zahájením rozesílání e-mailů studentům proběhlo také edukativní testování zaměstnanců. Při vyhodnocení testu studentů bude klíčové, kolik z nich se nachytalo a uvedlo své přihlašovací jméno a heslo. Nicméně zda jsou uvedené údaje skutečné se neověřuje. Také nedochází k jejich ukládání. Případné zkreslení výsledků kvůli tomu, že studenti již o testování ví, nevadí. „Cílem je vzdělávání a rozproudění diskuse o nebezpečí podvodných zpráv zaměřených na školu. Není to vědecký výzkum s testy v laboratorních podmínkách,“ zdůrazňuje Pavlíček.

Phishingové zprávy často vybízejí k impulzivnímu jednání

Volba témat rozesílaných e-mailů nebyla náhodná. Phishingové zprávy totiž musí příjemce zaujmout a týkat se ho. Měly by být podobné běžným zprávám, které dostává a musí v příjemci vzbudit emoce a to jak kladné (např. zprávy o získání stipendia nebo možnosti výměny kreditů), tak i záporné (informace o disciplinárním řízení či nezvládnutí předmětu). Důležitý je také časový nátlak, aby příjemce neměl dostatek času nad zprávou přemýšlet nebo ji s někým konzultovat

Na škole se v minulosti řada případů phishingových zpráv objevila. Často naštěstí končí ve spamu. Například na jaře minulého roku byla napadena poštovní schránka jednoho studenta a z ní následně rozeslána podvodná zpráva ostatním studentům a vyučujícím na škole. Navzdory tomu, že email nepůsobil příliš důvěryhodně, odesílatel z řad studentů mu dodával určitou legitimitu. V jiném případě obdrželi zaměstnanci univerzity e-mail, který vypadal jako od jejich nadřízených a vyzýval je k zaplacení určité částky na zahraniční bankovní účet. V některých případech se dokonce jednalo o zaplacení příspěvku za konferenci, které se daný zaměstnanec skutečně účastnil. Další příklady phishingových e-mailů jsou dostupné na webových stránkách Centra informatiky.

Zda testování na phishing bude probíhat pravidelně zatím není jasné, plán bezpečnostního vzdělávání na příští rok ještě není sestaven. „Hrozbou není jen phishing, vzdělávání chceme zaměřit i na další nebezpečí v kyberprostoru. Něco již začínáme připravovat, ale zatím nechci být konkrétní,“ dodává Pavlíček.


Autor: Michael Fanta, šéfredaktor
Zdroj: převzato z iList.cz
Foto: Pixabay

[give_form id=“36″]
Košík
vše o kybernetické bezpečnosti

Máte zájem o spolupráci?

Pošlete nám kontakt, my se Vám v blízké době ozveme.