E-mail | SIS | Moodle | Helpdesk | Knihovny | cuni.cz | CIS Více

česky | english Přihlášení



Varování před nebezpečím kybernetického útoku II

Vážené kolegyně a kolegové,

vzhledem k hrozbě cíleného kybernetického útoku na infrastruktury zdravotnických zařízení v ČR, který se může dotknout i naší infrastruktury, jsme Vás bezprostředně upozornili na tuto skutečnost a dnes tuto informaci doplňujeme o základní pokyny bezpečnostního týmu CSIRT-CUNI.

Podle jeho vyjádření je předpokládaný vektor útoku phishing + zavirované přílohy a pravděpodobně už probíhá.

Aktuální informace o tomto útoku naleznete zde:
https://www.irozhlas.cz/veda-technologie/koronavirus-coviper-narodni-urad-pro-kybernetickou-a-informacni-bezpecnost_2004181017_pj
How to remove CoViper Malware - virus removal instructions (updated)

Základní informace jsme převzali od týmu CSIRT-CUNI, přizpůsobili fakultním podmínkám a zvýraznili pasáže:

Optimální kroky pro předání informace o napadení phishingem nebo důvodném podezření jsou:

  1. konzultujte Vaše podezření se správcem IT Vašeho pracoviště pro vyloučení planého poplachu a podle jeho doporučení (v případě nebezpečí z prodlení se rozhodněte samostatně) 
  2. nahlašte phishingový e-mail v prostředí Gmail (nebo podobnou akcí v jiném e-mailovém klientovi, pokud ji podporuje)
    1. Otevřete zprávu.
    2. Vedle tlačítka Odpovědět Odpovědět klikněte na ikonu možností Více.
    3. Klikněte na Oznámit phishing.
    4. pokud jste e-mail chybně označili jako phishing, postupujte podle bodu 2. a v kroku c) Klikněte na Oznámit, že nejde o phishing.
  3. přepošlete e-mail správcům CIT, na adresu scam@natur.cuni.cz
  4. zprávu přesuňte do složky nevyžádaná pošta/spam nebo ji smažte (pokud se tak již nestalo označením phishing).

Podobné kampaně probíhají v drobném měřítku neustále, správci z CITu tyto incidenty řeší.
Nepodléhejte panice a podezřelé e-maily nešiřte dále, s výjimkou výše uvedených adresátů.
Nikdo po Vás není oprávněn požadovat zaslání přístupových údajů do systémů.
Pokud se dopustíte omylu a podlehnete tlaku phishingu, neprodleně si změňte hesla k Vašim účtům a informujte správce CITu na adrese scam@natur.cuni.cz

Jsme v kontaktu s bezpečnostními týmy CESNET a ÚVT UK, které "brání" perimetr a využíváme interně další nástroje monitoringu datových toků, které zvyšují odolnost našich systémů při průniku podezřelých aktivit. Váš nezastupitelný podíl v oblasti ochrany ICT infrastruktury spočívá v nezbytném zabezpečení Vašich zařízení proti zneužití viz OD4/2016

Děkujeme za spolupráci
Hezký den

Milan Richter a správci CIT


 

Následující informace jsme převzali od týmu CSIRT-CUNI

Nebezpečné e-maily

Všechny příchozí fakultní e-maily kontroluje Google - antispam a antivirus. Další antivirus by měl běžet na počítači, na kterém e-maily čtete. To ale neznamená, že jsou bezpečné a nemůže se nic stát.

Příjemce e-mailu - člověk - totiž může všechny strojové ochrany, kontroly a zabezpečení ignorovat, vypnout, šikovně obejít. Proto se útočníci zaměřují na něj. Pošlou e-mail, ve kterém se pokusí příjemce zmanipulovat k tomu, aby sám udělal to, co neudělá počítač. Prozradil své heslo, vypnul zabezpečení počítače, otevřel zavirovanou přílohu. Pošlou takový e-mail na statisíce adres najednou. Je to levné a z toho množství obeslaných lidí jich na to pár určitě skočí.

Co se může stát?

Když člověk prozradí své heslo k e-mailu, dostane se útočník k jeho korespondenci, osobnímu adresáři se jmény a adresami dalších lidí. Může si číst jeho e-maily a získat hesla k účtům na sociálních sítích - Facebooku, Twitteru, Instagramu - a zmocnit se jich. Může použít účet k rozeslání dalších podvodných e-mailů nebo k rozeslání velkého množství nevyžádané reklamy (spamu). V takovém případě se e-mailový server fakulty (organizace) dostane na černou listinu (blacklist) rozesílačů spamu a e-maily všech lidí z fakulty začnou padat do spamu. Celá fakulta může mít pak problémy s e-mailem, obvykle na dva týdny.

Když člověk otevře zavirovanou přílohu, otevře útočníkovi cestu do svého počítače a také ke všem dokumentům na serverech, ke kterým má dotyčný přístup. Největším nebezpečím je dnes zavlečení ransomwaru - programu, který dokumenty na počítači příjemce e-mailu i na serverech zašifruje tak, že jsou nečitelné. A za jejich dešifrování požaduje výkupné. V nejhorším případě ransomware může ochromit chod celé organizace (viz případ nemocnice v Benešově).

Opravdu mě neochrání firewall, antivirus apod.?

Každý den vznikají nové varianty virů a podvodných e-mailů. Antivirové programy se je musí učit poznávat. Učí se rychle, ale i tak trvá několik hodin, než se naučí nový druh viru. Když útočník napíše novou variantu podvodného e-mailu a přibalí k němu jako přílohu nový druh viru, tak se stane, že spamový filtr takový e-mail do poštovní schránky propustí. A když příjemce zkusí přílohu otevřít, antivirový program nezasáhne, protože vir ještě nezná. Nebezpečné je, když útočník rozeslání nového viru načasuje schválně na brzké ranní hodiny v pondělí, aby na začátku pracovní doby už byly ve schránkách a antivirové programy na ně ještě nereagovaly. Říkáme tomu “nebezpečné pondělí”. K takové situaci dochází jen zřídka, ale stává se to. Proto musí být člověk stále (nejen v pondělí) obezřetný. I přes všechna technická opatření on je tou poslední ochrannou hrází svého počítače.

Phishing

Phishing (název vznikl zkreslením slova fishing - rybaření) jsou podvodné e-maily, které manipulují příjemce, aby své heslo k e-mailu (nebo třeba číslo platební karty) zadal na podvodné www stránce, na kterou vede z e-mailu odkaz. Nebo dokonce přímo poslal e-mailem v odpovědi.

Příklad:

phish

Tento hypotetický phishing je velmi snadné poznat:

  • podle adresy odesílatele - naše fakulta/univerzita přeci nemá doménu @webmaster.cz
  • tykat uživatelům není u nás zvykem
  • je sice česky, ale s několika chybami
  • podivný podpis

Odkaz na stránku, na kterou máte kliknout, je skrytý. To je u e-mailu v HTML formátu možné. Kam opravdu vede zjistíte, když na odkaz přesunete kurzor myši (aniž byste klikli!) a chvíli počkáte:

odkaz pod myší

Ve webmailu se odkaz objeví na dolním okraji okna:

odkaz webmail

Vidíte, že vede na server cizí organizace - další podezřelá věc.

Co se může objevit, když přesto někdo na odkaz klikne:

phish-webmail

Na stránce je na první pohled podezřelé:

  • že jste ji ještě nikdy neviděli
  • není na ní logo/název organizace (univerzity)

Prostě jasný podvod.

Může se ale objevit i falešná stránka, která tu pravou napodobuje hodně zdařile:

phish-cas

Stránku cas.cuni.cz pravděpodobně vídáte často a výše uvedená falešná je jí hodně podobná.

Co byste si ale před vyplňováním svého hesla kdekoliv měli zkontrolovat a co by vás mělo varovat je URL stránky nahoře: bonusround.ca/cuni/cuni.php.

Stránka je na doméně bonusround.ca a to není univerzitní doména. Univerzitní doména končí na cuni.cz. Na konci URL je sice /cuni/cuni.php a cuni je univerzitní doména, ale to je tam jen proto, aby vás to zmátlo. Ve skutečnosti je to falešná napodobenina stránky cas.cuni.cz umístěná na serveru někde mimo univerzitní síť. Pokusem o přihlášení vyzradíte své heslo. Přihlášení se nepovede, pak ale můžete být přesměrováni na platnou adresu, kde už druhý pokud přihlášení proběhne - to by uživatele nemělo uklidnit.

Podvodníci se vás mohou pokusit přimět ke kliknutí na odkaz a k vyplnění formuláře něčím jiným. Například v roce 2020 aktuálním “Našel jsem utajovaný dokument o koronaviru na stránkách Světové zdravotnické organizace - rychle, stáhni si ho a přečti, než ho smažou!

phish-corona

A opět formulář pro zadání přihlašovacího jména a hesla. K jakému účtu? K pracovnímu e-mailu, k soukromému, k Office365…? Jestli vystrašený příjemce mailu začne zkoušet neúspěšně jedno heslo za druhým, tím líp pro útočníka.

 

Co dělat, když na phishing naletím?

Především - chybu může udělat každý a nikdo vás za ni nebude penalizovat. Důležité je, že si ji uvědomíte a hned začnete jednat, abyste zabránili škodám.

Musíte co nejrychleji

  1. informovat CIT, že k úniku hesla došlo
  2. uniklé heslo si co nejrychleji změnit

CIT může dočasně zablokovat Váš účet (aby se útočník nedostal k vašim datům a aby účet nezneužil - viz výše Co se může stát - , zkontroluje, jestli k tomu náhodou už nedošlo a pomůže Vám nastavit si nové heslo).

Zavirované přílohy

Zavirované soubory mohou přicestovat v e-mailu jako příloha nebo na ně je z e-mailu jen odkaz ke stažení. Motivace k otevření souboru může být stejná, jako u phishingu:

  • výhrůžka, např. “toto je poslední výzva k zaplacení dluhu před exekucí, podrobnosti o platbě v přiložené faktuře”
  • neodolatelná nabídka, např. “našla jsem tvůj profil na sociální síti, moc se mi líbíš a chtěla bych se s tebou seznámit, posílám několik svých fotek”
  • časová tíseň, např. “vaše e-mail vyhrála v loterii 2.000.000 liber, vyplňte přiložený formulář a nárokujte svou výhru během jedné hodiny, jinak napsat dalšímu výherci”
  • vydávání se za autoritu, např. “Komise EU pro regionální rozvoj vás žádá o vyplnění jednoduchého dotazníku”

Většinou bývá v textu podvodného e-mailu více těchto prvků najednou.

Indicie, které ukazují, že příloha by mohla být nebezpečná

  • odesílatele neznáte a nemá důvod vám psát (např. nejste účetní, proč Vám někdo posílá fakturu)
  • soubor v příloze má dvě přípony, např. “faktura.jpg.exe” - na konci je sice “exe” = soubor typu program, který může být zavirovaný, ale před tím je ještě “.jpg” přípona, která je jen maskování programu za neškodný obrázek
  • soubor má jinou ikonu, než soubor tohoto typu obvykle mívá (např. na první pohled příloha vypadá jako .docx a ikona také jako Word dokument, ale trošku jinak, při dalším pohledu pak objevíte ještě příponu .exe na konci)
  • soubor je zašifrovaný (většinou s příponou .zip) a heslo je v textu mailu. Přestože se v textu píše, že je příloha zašifrovaná kvůli bezpečnosti, je zašifrovaná jen kvůli tomu, aby ji nemohl zkontrolovat antivir poštovního serveru.

Podvody

Pro úplnost - kromě phishingu a transportu zavirovaných souborů se e-maily používají pro celou škálu dalších podvodů. Například:

Pokyn pro platbu do zahraničí

Nebezpečné je, že jde o útok cílený na konkrétního zaměstnance. Podvodník si najde dvojici “nadřízený - podřízený”, např. ředitele součásti nebo vedoucího ekonomického odboru. Jménem nadřízeného pak pošle podřízenému e-mail s žádostí o zadání platebního příkazu k převodu větší částky na cizí účet. Používá různé manipulativní techniky (“je to urgentní”, “co nejdříve”, “ještě dnes” apod.). Ve zpáteční adrese podvodného e-mailu je uvedeno správně jméno nadřízeného, někdy i správná e-mailová adresa.

Pokud se s tím setkáte:

  • Neposílejte peníze bez dalšího ověření (osobně, telefonem, ne e-mailem!) - dodržujte nastavené interní procesy a nenechte se zmanipulovat k jejich porušení!
  • Neobávejte se, že došlo ke kompromitaci e-mailu zaměstnance (“nadřízeného”) - zatím ve všech známých případech útočník jen podvrhl zpáteční adresu, do jeho e-mailu se ve skutečnosti nedostal.

Vyděračské e-maily

Vyděrač v e-mailu hrozí zveřejněním videa pořízeného webkamerou počítače uživatele. Požaduje zaplacení větší částky v Bitcoinech. Aby dodal výhrůžkám váhu, tak

  • jako adresu odesílatele podvrhne vlastní adresu příjemce
  • uvede heslo uživatele k jeho vlastnímu počítači (někdy)

Pokud se s tím setkáte:

  • buďte si jisti, že se do vašeho počítače hacker nedostal. Jen rozeslal e-mail plošně (jako spam) a spoléhá na to, že zlomek procenta lidí se vyděsí a opravdu zaplatí.
  • pokud uvedl v e-mailu heslo, možná jste ho kdysi spolu se svou e-mailovou adresou použili při registraci v e-shopu nebo freemailu, ze kterého unikla v minulosti databáze zákazníků / uživatelů a kterou našel na Internetu. Ve skutečnosti nemá přístup do vašeho počítače ani k webkameře.
  • pokud ale používáte “jedno heslo všude” (pro e-mail, pracovní počítač, domácí počítač, e-shopy, elektronické bankovnictví) a ve vyděračském dopise je to heslo uvedené, máte nejvyšší čas si všude nastavit jiná a různá hesla

Dědictví, ulité peníze

Známé též jako “nigerijské dopisy”. Podvodník láká důvěřivou a chamtivou oběť na velkou finanční částku. Například:

  • Zemřel pohádkově bohatý šejk Novák a zoufalý právník hledá nějakého dědice. A protože v saharské Africe je Nováků málo, začal hledat i v České republice a je si jistý, že jste to vy.

  • Miliardář umírá, chce věnovat svůj majetek na charitu a hledá někoho, kdo by to zařídil. Našel na Internetu vás. Můžete si nechat slušnou provizi.

  • Zamilovala se do vás vdova po americkém generálovi. Sice byste se za ní musel odstěhovat do Nigerie, ale protože si zesnulý manžel ulil pár milionů dolarů, žili byste si jako v bavlnce.

Pokud se s tím setkáte:

Ignorujte to.

Když oběť odpoví a začne si s podvodníkem dopisovat, nikdy žádné peníze nedostane. Naopak podvodník dostane peníze z ní (“potřebuji 100$ na bankovní poplatky - co je to proti slíbeným milionům”). A nemá-li peníze - poslechněte si reportáž Českého rozhlasu o penzistovi ze Šumavy, který si v Hongkongu odpykává trest za pašování drog.

A na závěr:

  • buďte obezřetní, žádná technická ochrana není 100% účinná
  • když si nejste jistí, zeptejte se
  • chybovat je lidské, ale utajení chyby může způsobit velké škody

 

Akce dokumentů