V posledních dnech přichází studentům Vysoké školy ekonomické (VŠE) do školní schránky e-maily, které vybízí k vyjádření k disciplinárnímu řízení, oznamují o nesplnění předmětu, nabízí možnost výměny kreditů, případně informují o získání studijního stipendia. Ačkoliv na první pohled vypadají podvodně, ve skutečnosti pochází od Centra informatiky (CI) VŠE, které se touto cestou snaží zvýšit povědomí o rostoucí problematice podvodných e-mailů, tzv. phishingu.

Po rozkliknutí odkazu v e-mailu je vyžadováno přihlášení prostřednictvím přihlašovacích údajů do školního e-mailu. Následně jste přesměrováni na stránku uvedenou na fotce níže. Jedná se o součást vzdělávání uživatelů v oblasti bezpečnosti informačních technologií a to konkrétně ve zvládání podvodných e-mailů. První část tvoří edukativní testování prostřednictvím rozesílání maket podvodných e-mailů a v druhé části je nabízený e-learningový kurz na phishing v prostředí VŠE.

Podvodné phishingové zprávy jsou podle statistik CI VŠE nejčastějším způsobem, jak se někdo nepovolaný dostane k přihlašovacím údajům. Obvykle je následně zneužije pro rozeslání nevyžádané pošty či podvodných e-mailů. „Obvykle evidujeme jeden až dva případy za měsíc. Snažíme se vylepšovat technická opatření, aby podvodné e-maily nedorazily do poštovních schránek příjemců. Ale nikdy nebudou stoprocentní, a proto je potřeba vzdělávat i uživatele, aby podvodné zprávy rozpoznali a správně na ně reagovali,“ říká vedoucí oddělení podpory a rozvoje InSIS Luboš Pavlíček.

Centrum informatiky se rozhodlo k tomuto preventivnímu rozesílání „podvodných“ e-mailů z několika důvodů. „Mnoho uživatelů má představu, že podvodný e-mail snadno rozpozná. Rozeslání maket podvodných e-mailů má tuto sebejistotu trochu narušit, hlavně pro případy, kdy bude podvodný e-mail zaměřen na školu či na jeho sociální bublinu. Další důvod je formální – ze zákona máme povinnost bezpečnostního vzdělávání uživatelů. V letošním roce se podílíme na řešení rozvojového projektu „Zvýšení úrovně kybernetické bezpečnosti v prostředí VŠ“, což nám umožňuje financovat náklady na tato testování,“ vysvětluje vedoucí oddělení podpory a rozvoje InSIS Pavlíček.

Phishingové zprávy musí v příjemci vzbudit emoce

Před zavedením rozesílání e-mailů studentům proběhlo edukativní testování zaměstnanců, většina z nich ním již prošla. Předcházela tomu vždy dohoda s děkany a vedoucími útvarů, zda souhlasí s testováním podřízených. Výsledky celkového testování budou k dispozici až po jeho ukončení. Při vyhodnocení bude klíčové, kolik studentů vyplnilo jméno a heslo. Zda byly údaje skutečné, se neověřuje, také nikde neprobíhá jejich ukládání, i k tomu bude potřeba během vyhodnocování přihlédnout. Podle Pavlíčka však případné zkreslení kvůli tomu, že studenti již o testování ví, nevadí. „Cílem je vzdělávání a rozproudění diskuse o nebezpečí podvodných zpráv zaměřených na školu. Není to vědecký výzkum s testy v laboratorních podmínkách,“ zdůrazňuje Pavlíček.

Volba témat e-mailů nebyla náhodná. Phishingové zprávy totiž musí příjemce zaujmout, týkat se ho, měly by být podobné běžným zprávám, které dostává a musí v příjemci vzbudit emoce a to jak kladné (které měly vzbudit zprávy o získání stipendia a možnosti výměny kreditů), tak i záporné (ty probudily informace o disciplinárním řízení a nezvládnutí předmětu). Důležitý je také časový nátlak, protože poté nemá příjemce čas nad zprávou déle přemýšlet nebo ji s někým konzultovat. Při přípravě testování rozdělilo Centrum informatiky podvodné zprávy do tří úrovní podle informovanosti útočníka, míry personalizace e-mailu a identifikátorů phishingu v e-mailu. Na základě tohoto rozdělení se rozhodlo pro e-maily, které budou zaměřeny na studenty VŠE, ale bez interních znalostí.

Na škole se již několik případů phishingových zpráv objevilo. Často naštěstí končí ve spamu. Například na jaře minulého roku byla napadena poštovní schránka jednoho studenta a z ní rozeslána podvodná zpráva příjemcům na škole. Ačkoliv e-mail nepůsobil příliš důvěryhodně, kvůli tomu, že pocházel od odesílatele ze školy, mu část studentů uvěřila. V dalším případě zaměstnanci obdrželi e-mail, který vypadal jako od jejich nadřízených a vyzýval je k zaplacení určité částky, uvedený účet byl však zahraniční. V některých případech se dokonce jednalo o zaplacení konference, na které daný zaměstnanec skutečně byl. Další příklady phishingových e-mailů můžete najít na stránkách Centra informatiky.

Zda testování na phishing bude probíhat pravidelně zatím není jasné, plán bezpečnostního vzdělávání na příští rok ještě není sestaven. „Hrozbou není jen phishing, vzdělávání chceme zaměřit i na další nebezpečí v kyberprostoru. Něco již začínáme připravovat, ale zatím nechci být konkrétní,“ říká Pavlíček.

Foto: Unsplash.com