Badacze z Kaspersky Lab wykryli liczne cyberataki wymierzone w co najmniej 131 uniwersytetów w 16 krajach. Próby kradzieży wrażliwych informacji uniwersyteckich miały miejsce w ciągu ostatnich 12 miesięcy, przy czym od września 2017 r. odnotowano niemal 1 000 ataków phisingowych. Przestępcy polują na dane uwierzytelniające pracowników i studentów, ich adresy IP oraz dane lokalizacyjne. W większości przypadków tworzą stronę internetową — do złudzenia przypominającą tę autentyczną — na której należy podać login i hasło do uniwersyteckich systemów cyfrowych. W Polsce odnotowano jedną próbę ataku.
Podczas gdy dane uwierzytelniające pracowników banków czy hasła osób zatrudnionych w przedsiębiorstwach przemysłowych wydają się naturalnym celem cyberprzestępców, w przypadku prywatnych kont studentów oraz pracowników uniwersytetów sprawa nie jest taka oczywista. W rzeczywistości informacje, które można uzyskać w wyniku skutecznych ataków phishingowych na uniwersytety, mogą okazać się nie mniej cenne: bazy danych tych instytucji zawierają wiele znaczących badań z różnych dziedzin, od ekonomii po fizykę nuklearną. Poza tym wiele z takich osób współpracuje z czołowymi producentami przy okazji pracy nad doktoratem, dlatego cyberprzestępcy mogą uzyskać dostęp do danych zawierających nie tylko unikatową wiedzę specjalistyczną, ale również prywatne i potencjalnie kompromitujące informacje dotyczące firm.
Chociaż uczelnie przywiązują wagę do bezpieczeństwa IT, atakujący potrafią znaleźć sposoby, aby włamać się do ich systemów, uderzając w najsłabsze ogniwo — nieostrożnych użytkowników. W większości przypadków cyberprzestępcy tworzyli stronę internetową, która do złudzenia przypominała witrynę uczelni, różniąc się jedynie kilkoma literami w adresie. Ofiary często wpadają w pułapkę i wprowadzają swoje dane uwierzytelniające, wysyłając w efekcie swoje wrażliwe dane phisherom, szczególnie gdy ci drudzy stosują odpowiednie metody socjotechniczne.
Badacze wykryli łącznie 961 ataków przeprowadzonych na 131 szkół obejmujących głównie uczelnie angielskojęzyczne. 83 zaatakowanych instytucji jest zlokalizowanych w Stanach Zjednoczonych, a 21 w Wielkiej Brytanii. Cyberprzestępcy byli szczególnie zainteresowani University of Washington: Kaspersky Lab wykrył 111 ataków na tę uczelnię. Z danych statystycznych wynika, że celem ataków były również instytucje edukacyjne w Azji, Europie i Afryce. W Polsce zidentyfikowano jeden atak.
Zaleca się podjęcie następujących środków bezpieczeństwa, które pozwolą potencjalnym ofiarom nie wpaść w pułapkę phisherów:
- Zanim cokolwiek klikniesz, sprawdź, czy adres odsyłacza oraz e-mail nadawcy są prawdziwe. Zapewnisz sobie jeszcze większe bezpieczeństwo, jeśli zamiast klikać odsyłacz, wpiszesz adres do przeglądarki. Jeżeli nie masz pewności co do prawdziwości i bezpieczeństwa danej strony internetowej/nadawcy, nigdy nie podawaj swoich danych uwierzytelniających. Jeżeli uważasz, że mogłeś podać swój login i hasło na fałszywej stronie, niezwłocznie zmień hasło.
- Nigdy nie stosuj tego samego hasła do kliku stron lub serwisów, ponieważ w przypadku kradzieży zagrożone będą wszystkie Twoje konta. W celu tworzenia mocnych, odpornych na złamanie haseł bez konieczności zapamiętania ich korzystaj z menedżera haseł.
- Aby uniemożliwić przechwycenie połączenia w celu ukradkowego zastąpienia prawdziwych stron internetowych fałszywymi lub podsłuchiwanie ruchu WWW, korzystaj wyłącznie z bezpiecznej sieci Wi-Fi posiadającej mocne szyfrowanie i hasło lub stosuj rozwiązania VPN, które szyfrują ruch.
- Korzystając z internetu na prywatnych urządzeniach, nawet tych mobilnych, zawsze stosuj skuteczne rozwiązanie bezpieczeństwa, które ostrzeże Cię o stronie phishingowej.
- Organizacje powinny poinstruować swoich pracowników, aby nigdy nie udostępniali osobie trzeciej wrażliwych danych, takich jak loginy czy hasła, oraz nie klikali odsyłaczy pochodzących od nieznanych nadawców lub przychodzących w podejrzanych e-mailach.
- Organizacje powinny również zaimplementować niezawodne rozwiązanie bezpieczeństwa punktów końcowych wyposażone w technologie ochrony przed phishingiem.