Zveřejněno 21.4.2020
Vážené kolegyně a kolegové,
vzhledem k hrozbě cíleného kybernetického útoku na infrastruktury zdravotnických zařízení v ČR, který se může dotknout i naší infrastruktury, zveřejňujeme základní pokyny bezpečnostního týmu CSIRT-CUNI.
Podle jeho vyjádření je předpokládaný vektor útoku phishing + zavirované přílohy a pravděpodobně už probíhá.
Aktuální informace o tomto útoku naleznete zde:
https://www.irozhlas.cz/veda-technologie/koronavirus-coviper-narodni-urad-pro-kybernetickou-a-informacni-bezpecnost_2004181017_pj
How to remove CoViper Malware - virus removal instructions (updated)
Základní informace jsme převzali od týmu CSIRT-CUNI, přizpůsobili fakultním podmínkám a zvýraznili pasáže:
Optimální kroky pro předání informace o napadení phishingem nebo důvodném podezření jsou:
- konzultujte Vaše podezření se správcem IT Vašeho pracoviště pro vyloučení planého poplachu a podle jeho doporučení (v případě nebezpečí z prodlení se rozhodněte samostatně)
- nahlašte phishingový e-mail v prostředí Gmail (nebo podobnou akcí v jiném e-mailovém klientovi, pokud ji podporuje)
- Otevřete zprávu.
- Vedle tlačítka Odpovědět klikněte na ikonu možností .
- Klikněte na Oznámit phishing.
- pokud jste e-mail chybně označili jako phishing, postupujte podle bodu 2. a v kroku c) Klikněte na Oznámit, že nejde o phishing.
- přepošlete e-mail správcům CIT, na adresu scam@natur.cuni.cz
- zprávu přesuňte do složky nevyžádaná pošta/spam nebo ji smažte (pokud se tak již nestalo označením phishing).
Podobné kampaně probíhají v drobném měřítku neustále, správci z CITu tyto incidenty řeší.
Nepodléhejte panice a podezřelé e-maily nešiřte dále, s výjimkou výše uvedených adresátů.
Nikdo po Vás není oprávněn požadovat zaslání přístupových údajů do systémů.
Pokud se dopustíte omylu a podlehnete tlaku phishingu, neprodleně si změňte hesla k Vašim účtům a informujte správce CITu na adrese scam@natur.cuni.cz
Jsme v kontaktu s bezpečnostními týmy CESNET a ÚVT UK, které "brání" perimetr a využíváme interně další nástroje monitoringu datových toků, které zvyšují odolnost našich systémů při průniku podezřelých aktivit. Váš nezastupitelný podíl v oblasti ochrany ICT infrastruktury spočívá v nezbytném zabezpečení Vašich zařízení proti zneužití viz OD4/2016.
Děkujeme za spolupráci
Hezký den
Milan Richter a správci CIT
Následující informace jsme převzali od týmu CSIRT-CUNI
Nebezpečné e-maily
Všechny příchozí fakultní e-maily kontroluje Google - antispam a antivirus. Další antivirus by měl běžet na počítači, na kterém e-maily čtete. To ale neznamená, že jsou bezpečné a nemůže se nic stát.
Příjemce e-mailu - člověk - totiž může všechny strojové ochrany, kontroly a zabezpečení ignorovat, vypnout, šikovně obejít. Proto se útočníci zaměřují na něj. Pošlou e-mail, ve kterém se pokusí příjemce zmanipulovat k tomu, aby sám udělal to, co neudělá počítač. Prozradil své heslo, vypnul zabezpečení počítače, otevřel zavirovanou přílohu. Pošlou takový e-mail na statisíce adres najednou. Je to levné a z toho množství obeslaných lidí jich na to pár určitě skočí.
Co se může stát?
Když člověk prozradí své heslo k e-mailu, dostane se útočník k jeho korespondenci, osobnímu adresáři se jmény a adresami dalších lidí. Může si číst jeho e-maily a získat hesla k účtům na sociálních sítích - Facebooku, Twitteru, Instagramu - a zmocnit se jich. Může použít účet k rozeslání dalších podvodných e-mailů nebo k rozeslání velkého množství nevyžádané reklamy (spamu). V takovém případě se e-mailový server fakulty (organizace) dostane na černou listinu (blacklist) rozesílačů spamu a e-maily všech lidí z fakulty začnou padat do spamu. Celá fakulta může mít pak problémy s e-mailem, obvykle na dva týdny.
Když člověk otevře zavirovanou přílohu, otevře útočníkovi cestu do svého počítače a také ke všem dokumentům na serverech, ke kterým má dotyčný přístup. Největším nebezpečím je dnes zavlečení ransomwaru - programu, který dokumenty na počítači příjemce e-mailu i na serverech zašifruje tak, že jsou nečitelné. A za jejich dešifrování požaduje výkupné. V nejhorším případě ransomware může ochromit chod celé organizace (viz případ nemocnice v Benešově).
Opravdu mě neochrání firewall, antivirus apod.?
Každý den vznikají nové varianty virů a podvodných e-mailů. Antivirové programy se je musí učit poznávat. Učí se rychle, ale i tak trvá několik hodin, než se naučí nový druh viru. Když útočník napíše novou variantu podvodného e-mailu a přibalí k němu jako přílohu nový druh viru, tak se stane, že spamový filtr takový e-mail do poštovní schránky propustí. A když příjemce zkusí přílohu otevřít, antivirový program nezasáhne, protože vir ještě nezná. Nebezpečné je, když útočník rozeslání nového viru načasuje schválně na brzké ranní hodiny v pondělí, aby na začátku pracovní doby už byly ve schránkách a antivirové programy na ně ještě nereagovaly. Říkáme tomu “nebezpečné pondělí”. K takové situaci dochází jen zřídka, ale stává se to. Proto musí být člověk stále (nejen v pondělí) obezřetný. I přes všechna technická opatření on je tou poslední ochrannou hrází svého počítače.
Phishing
Phishing (název vznikl zkreslením slova fishing - rybaření) jsou podvodné e-maily, které manipulují příjemce, aby své heslo k e-mailu (nebo třeba číslo platební karty) zadal na podvodné www stránce, na kterou vede z e-mailu odkaz. Nebo dokonce přímo poslal e-mailem v odpovědi.
Příklad:
Tento hypotetický phishing je velmi snadné poznat:
- podle adresy odesílatele - naše fakulta/univerzita přeci nemá doménu @webmaster.cz
- tykat uživatelům není u nás zvykem
- je sice česky, ale s několika chybami
- podivný podpis
Odkaz na stránku, na kterou máte kliknout, je skrytý. To je u e-mailu v HTML formátu možné. Kam opravdu vede zjistíte, když na odkaz přesunete kurzor myši (aniž byste klikli!) a chvíli počkáte:
Ve webmailu se odkaz objeví na dolním okraji okna:
Vidíte, že vede na server cizí organizace - další podezřelá věc.
Co se může objevit, když přesto někdo na odkaz klikne:
Na stránce je na první pohled podezřelé:
- že jste ji ještě nikdy neviděli
- není na ní logo/název organizace (univerzity)
Prostě jasný podvod.
Může se ale objevit i falešná stránka, která tu pravou napodobuje hodně zdařile:
Stránku cas.cuni.cz pravděpodobně vídáte často a výše uvedená falešná je jí hodně podobná.
Co byste si ale před vyplňováním svého hesla kdekoliv měli zkontrolovat a co by vás mělo varovat je URL stránky nahoře: bonusround.ca/cuni/cuni.php.
Stránka je na doméně bonusround.ca a to není univerzitní doména. Univerzitní doména končí na cuni.cz. Na konci URL je sice /cuni/cuni.php a cuni je univerzitní doména, ale to je tam jen proto, aby vás to zmátlo. Ve skutečnosti je to falešná napodobenina stránky cas.cuni.cz umístěná na serveru někde mimo univerzitní síť. Pokusem o přihlášení vyzradíte své heslo. Přihlášení se nepovede, pak ale můžete být přesměrováni na platnou adresu, kde už druhý pokud přihlášení proběhne - to by uživatele nemělo uklidnit.
Podvodníci se vás mohou pokusit přimět ke kliknutí na odkaz a k vyplnění formuláře něčím jiným. Například v roce 2020 aktuálním “Našel jsem utajovaný dokument o koronaviru na stránkách Světové zdravotnické organizace - rychle, stáhni si ho a přečti, než ho smažou!”
A opět formulář pro zadání přihlašovacího jména a hesla. K jakému účtu? K pracovnímu e-mailu, k soukromému, k Office365…? Jestli vystrašený příjemce mailu začne zkoušet neúspěšně jedno heslo za druhým, tím líp pro útočníka.
Co dělat, když na phishing naletím?
Především - chybu může udělat každý a nikdo vás za ni nebude penalizovat. Důležité je, že si ji uvědomíte a hned začnete jednat, abyste zabránili škodám.
Musíte co nejrychleji
- informovat CIT, že k úniku hesla došlo
- uniklé heslo si co nejrychleji změnit
CIT může dočasně zablokovat Váš účet (aby se útočník nedostal k vašim datům a aby účet nezneužil - viz výše Co se může stát - , zkontroluje, jestli k tomu náhodou už nedošlo a pomůže Vám nastavit si nové heslo).
Zavirované přílohy
Zavirované soubory mohou přicestovat v e-mailu jako příloha nebo na ně je z e-mailu jen odkaz ke stažení. Motivace k otevření souboru může být stejná, jako u phishingu:
- výhrůžka, např. “toto je poslední výzva k zaplacení dluhu před exekucí, podrobnosti o platbě v přiložené faktuře”
- neodolatelná nabídka, např. “našla jsem tvůj profil na sociální síti, moc se mi líbíš a chtěla bych se s tebou seznámit, posílám několik svých fotek”
- časová tíseň, např. “vaše e-mail vyhrála v loterii 2.000.000 liber, vyplňte přiložený formulář a nárokujte svou výhru během jedné hodiny, jinak napsat dalšímu výherci”
- vydávání se za autoritu, např. “Komise EU pro regionální rozvoj vás žádá o vyplnění jednoduchého dotazníku”
Většinou bývá v textu podvodného e-mailu více těchto prvků najednou.
Indicie, které ukazují, že příloha by mohla být nebezpečná
- odesílatele neznáte a nemá důvod vám psát (např. nejste účetní, proč Vám někdo posílá fakturu)
- soubor v příloze má dvě přípony, např. “faktura.jpg.exe” - na konci je sice “exe” = soubor typu program, který může být zavirovaný, ale před tím je ještě “.jpg” přípona, která je jen maskování programu za neškodný obrázek
- soubor má jinou ikonu, než soubor tohoto typu obvykle mívá (např. na první pohled příloha vypadá jako .docx a ikona také jako Word dokument, ale trošku jinak, při dalším pohledu pak objevíte ještě příponu .exe na konci)
- soubor je zašifrovaný (většinou s příponou .zip) a heslo je v textu mailu. Přestože se v textu píše, že je příloha zašifrovaná kvůli bezpečnosti, je zašifrovaná jen kvůli tomu, aby ji nemohl zkontrolovat antivir poštovního serveru.
Podvody
Pro úplnost - kromě phishingu a transportu zavirovaných souborů se e-maily používají pro celou škálu dalších podvodů. Například:
Pokyn pro platbu do zahraničí
Nebezpečné je, že jde o útok cílený na konkrétního zaměstnance. Podvodník si najde dvojici “nadřízený - podřízený”, např. ředitele součásti nebo vedoucího ekonomického odboru. Jménem nadřízeného pak pošle podřízenému e-mail s žádostí o zadání platebního příkazu k převodu větší částky na cizí účet. Používá různé manipulativní techniky (“je to urgentní”, “co nejdříve”, “ještě dnes” apod.). Ve zpáteční adrese podvodného e-mailu je uvedeno správně jméno nadřízeného, někdy i správná e-mailová adresa.
Pokud se s tím setkáte:
- Neposílejte peníze bez dalšího ověření (osobně, telefonem, ne e-mailem!) - dodržujte nastavené interní procesy a nenechte se zmanipulovat k jejich porušení!
- Neobávejte se, že došlo ke kompromitaci e-mailu zaměstnance (“nadřízeného”) - zatím ve všech známých případech útočník jen podvrhl zpáteční adresu, do jeho e-mailu se ve skutečnosti nedostal.
Vyděračské e-maily
Vyděrač v e-mailu hrozí zveřejněním videa pořízeného webkamerou počítače uživatele. Požaduje zaplacení větší částky v Bitcoinech. Aby dodal výhrůžkám váhu, tak
- jako adresu odesílatele podvrhne vlastní adresu příjemce
- uvede heslo uživatele k jeho vlastnímu počítači (někdy)
Pokud se s tím setkáte:
- buďte si jisti, že se do vašeho počítače hacker nedostal. Jen rozeslal e-mail plošně (jako spam) a spoléhá na to, že zlomek procenta lidí se vyděsí a opravdu zaplatí.
- pokud uvedl v e-mailu heslo, možná jste ho kdysi spolu se svou e-mailovou adresou použili při registraci v e-shopu nebo freemailu, ze kterého unikla v minulosti databáze zákazníků / uživatelů a kterou našel na Internetu. Ve skutečnosti nemá přístup do vašeho počítače ani k webkameře.
- pokud ale používáte “jedno heslo všude” (pro e-mail, pracovní počítač, domácí počítač, e-shopy, elektronické bankovnictví) a ve vyděračském dopise je to heslo uvedené, máte nejvyšší čas si všude nastavit jiná a různá hesla
Dědictví, ulité peníze
Známé též jako “nigerijské dopisy”. Podvodník láká důvěřivou a chamtivou oběť na velkou finanční částku. Například:
-
Zemřel pohádkově bohatý šejk Novák a zoufalý právník hledá nějakého dědice. A protože v saharské Africe je Nováků málo, začal hledat i v České republice a je si jistý, že jste to vy.
-
Miliardář umírá, chce věnovat svůj majetek na charitu a hledá někoho, kdo by to zařídil. Našel na Internetu vás. Můžete si nechat slušnou provizi.
-
Zamilovala se do vás vdova po americkém generálovi. Sice byste se za ní musel odstěhovat do Nigerie, ale protože si zesnulý manžel ulil pár milionů dolarů, žili byste si jako v bavlnce.
Pokud se s tím setkáte:
Ignorujte to.
Když oběť odpoví a začne si s podvodníkem dopisovat, nikdy žádné peníze nedostane. Naopak podvodník dostane peníze z ní (“potřebuji 100$ na bankovní poplatky - co je to proti slíbeným milionům”). A nemá-li peníze - poslechněte si reportáž Českého rozhlasu o penzistovi ze Šumavy, který si v Hongkongu odpykává trest za pašování drog.
A na závěr:
- buďte obezřetní, žádná technická ochrana není 100% účinná
- když si nejste jistí, zeptejte se
- chybovat je lidské, ale utajení chyby může způsobit velké škody