Autor: xsalak

Jedná se o spam útočící na uživatele mendelu. Na nic prosím neklikejte.

Obsah SPAMU

Od: IT HelpDesk Service <helpdeske@mendelu.cz>
Odesláno: pondělí 16. března 2020 2:31
Předmět: Kritické varování / upgrade nyní 

Vážený uživateli webmailu.

Platnost vašeho e-mailového účtu brzy vyprší, KLIKNĚTE ZDE přihlaste se do svého e-mailu a hesla a upgradujte svůj účet na neomezené! Pokud toto oznámení ignorujete, bude váš e-mailový účet deaktivován:
Správce webmailu.

Co jste mohli vidět po kliknutí

Útočník po vás chtěl, abyste mu na „jeho webu“ zadali vaše přihlašovací údaje do mendelu. Takto by získal přístupové údaje, aby mohl dále útočit vaším jménem na další uživatele univerzity. A pozor když je tam napsáno mendelu-cz.cabanova.com tak to není web mendelu.cz. Útočník chytře využil webu cabanova.com, kde si vytvořil stránku s názvem mendelu-cz a vytvořil si přihlašovací údaje pro přihlášení do horde mail. I kdybyste na odkaz kliknuli, už vám musí být podezřelé, že u nás nikdo Horde mail nepoužívá.

Jenže já už na to klikl/a, CO TEĎ?

Pokud jste již na něco kliknuli, změňte si prosím heslo do UISu zde.

Jak se příště nespálit

• Útočníci používají často špatnou češtinu prohnanou strojovým překladem
• Není to sice záruka, ale útočník se vám většinou nebude podepisovat konkrétním jménem a funkcí na fakultě, ale vždy jen „správce služby“, „správce emailu“, „správce webmailu“.
• Útočník vám poskytne odkaz, který se nachází MIMO mendelovu univerzitu, v tomto případě to bylo na webu cabanova.com, snadno to poznáte podle horního URL adresního řádku, že se web nenachází na doméně cokoliv.mendelu.cz, jako náš web (it.ldf.mendelu.cz)
• Útočník vás žádá či vyzývá k zadání hesla a přihlašovacích údajů a snaží se ve vás vzbudit urgenci „končící služba“, „upgrade/vylepšení“, „bezpečnostní upozornění“ apod..
• Útočník v tomto případě útočil z jiného napadeného počítače, ze kterého získal přihlašovací údaje pro odesílání emailů (protože mu dobrovolně někdo z vás poskytl svoje přihlašovací údajeú) a dále všem rozesílá SPAM dokud ho ručně kolegové z OIT nezablokují. Email vám proto přišel z neexistující adresy helpdeske@mendelu.cz, nikoliv z konkrétního jména a příjmení, jak jste zvyklí.
• Varujte ostatní uživatele, zejména ty nejméně počítačově zdatné na vašem ústavu. Pomůžete nám, sobě, jemu.

Děkuji za přečtení emailu až do konce. Email s tímto odkazem vám hromadně rozeslala fakultní integrátorka Alice Malá. Berte to nejen jako upozornění, ale i jako školení bezpečnosti.

Ukázka obsahu emailu

Zdravím,
Po prozkoumání dokumentů za minulý 2019 rok jsme zjistili, že jste nezaplatili dluh za žádost č. #06466285 částka 22 384,00 Kč která je splatná 15. prosince 2019 roku.
My máme naději, že je to jen neúmyslně a vy vnesete tuto částku jakmile  se seznámíte s tímto dopisem.
Pokud jste již zaplatili tuto dluh, buďte laskaví dejte nám vědět co nejdříve data v datu a způsobu placení.
S pozdravem,
Marek Blažek

Toto je už dost sofistikovaný email, rozeberme si ho:

Zdravím,
Po prozkoumání dokumentů za minulý 2019 rok jsme zjistili, že jste nezaplatili dluh za žádost č. #06466285 částka 22 384,00 Kč která je splatná 15. prosince 2019 roku. (zde vidíme strojový překlad do češtiny, viz přeškrtnuté nevhodně umístěné „roku“ a množné číslo.)
My máme naději, že je to jen neúmyslně a vy vnesete tuto částku jakmile  se seznámíte s tímto dopisem. (opět strojový překlad, věta nedává smysl, takto ji čech nenapíše)
Pokud jste již zaplatili tuto dluh, buďte laskaví dejte nám vědět co nejdříve data v datu a způsobu placení. (opět strojový překlad, skloňování, buďte laskaví neznačí email napsaný čechem, nesmyslné, nelogické)
S pozdravem,
Marek Blažek

Adresa ze které byl email poslán dokazuje, že se jedná o falešnou stránku bez obsahu:

Co mám dělat

Na email neklikejte, přílohu NEOTEVÍREJTE, hrozí zavirování počítače a ztráta všech vašich dat. Dejte Označit jako útok phising a zpráva se smaže a automaticky tak varujete další uživatele.

V záhlaví emailu klikněte na 3 tečky

A dejte označit jako útok phising:

Některým z vás chodí emaily, ve kterých je zvláštní čeština, jako na uvedeném obrázku:

Jiné varianty phisingu:

Větší problém nastává v okamžiku, kdy se útočník vydává za nějakého uživatele univerzity, aby tomu dodal důvěryhodnost.

To, že vám dojde email např. z:

liborjankovskyprofdring@gmail.com

neznamená, že se jedná o skutečného děkana Prof. Libora Jankovského, který používá fakultní email libor.jankovsky@mendelu.cz či jankov@mendelu.cz.

Jak tedy v o365 blokovat a nahlašovat phisingové útoky?

Máme v O365 otevřenou zprávu a chceme ji nahlásit jako phising, tak vpravo nahoře vidíme hned vedle možnosti odpovědět, odpovědět všem, přeposlat ikonku 3 teček. Klikněte na ikonku 3 teček … a vysune se následující menu, kde dáte označit jako phising.

Pokud vidíte pod možností „Nahlásit jako útok phising“ možnost „blokovat odesilatele“ adresu <cokoliv>@mendelu.cz, tak adresu prosím NEblokujte. Ale pokud tam uvidíte nějakou podezřelou adresu z gmailu, nebo yandex.com, yandex.ru a další typy adres, ze kterých s vámi uvedená osoba nikdy nekomunikovala, buďte na pozoru a pokud se ve zprávě nachází podobná zvláštní čeština, nahlašte phising útok.

Co je to Phisingový útok

Phising útok nejčastěji v podobě emailu se od vás snaží si vyžádat vaší pozornost, anebo vaší odpověď útočníkovi, či předání nějakých soukromých údajů, kterých útočník pak zneužije proti vám, protože se vydává za osobu, kterou není. Často tak útočníci chtějí, aby jim oběť odpověděla, čímž si ověří, že je emailová schránka na živu.

NIKDY na takové emaily neodpovídejte útočníkovi a nahlašte je jako Phising útok. Po kliknutí na uvedené 3 tečky kliknete na možnost Označit jako útok phising a problém je pro vás vyřešen.