Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
Dobrý den, na začátku zimního semestru byl proveden test připravenosti studentů ČZU na phishingový1 útok, s cílem zjistit povědomí studentů o této problematice. Dne 8.10.2008 byl všem studentům v rámci ČZU rozeslán hromadný email na studentské schránky následujícího znění:
Dobrý den, po chybě na záložním disku způsobené dodavatelskou firmou bohužel došlo ke smazání části databáze, kde byly uloženy informace o studentovi z IS Studium (hroch). Není však žádný důvod k panice! Výpadek se většiny studentských kont nedotkl, obnovili jsme zálohu z předcházejícího dne, ale přesto Vás tímto prosíme, abyste si zkontroloval(a), zda jsou Vaše údaje v pořádku. V případě reklamací se prosím obraťte přímo na Odbor informačních a komunikačních technologií - Internetový pavilon - dveře č.003 (
[email protected]). Přihlašte se, prosím, do IS STUDIUM (hroch) a zkontrolujte si všechny své údaje: vstup do IS studium - hroch. Za případné způsobené problémy se předem omlouváme. Děkujeme za pochopení. Ing. Libor Šup Bezpečnostní manažer OIKT
Odkaz v uvedené zprávě neukazoval na oficiální stránky informačního systému HROCH, ale na stránku http://hrochphp2-czu.xf.cz/erudio/login.php. Ve skutečnosti se jednalo testovací phishingový útok na uživatele a k žádným problémům s IS nedošlo. Tento útok je však falešný a iniciátorem byla sama Česká zemědělská univerzita v Praze (ČZU), konkrétně potom Odbor informačních a komunikačních technologií (OIKT). Cílem simulovaného phishingového útoku bylo: • • •
Vyzkoušet reakce studentů a odpovědných zaměstnanců. Připomenout vážnost hrozby phishingu. Analyzovat informační toky a navrhnout možnosti jejich optimalizace.
O připravované akci bylo informováno vedení univerzity a také vlastní domény, kde byly stránky umístěny. 1
- Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.“ - http://cs.wikipedia.org/wiki/Phishing.
Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
Z hlediska studentů nehrozila žádná rizika, protože falešná stránka v žádném případě nezaznamenávala ani neodesílala hesla uživatelů. Ze statistických důvodů byla zaznamenána pouze vyplněná uživatelská jména, verze prohlížeče, IP adresa počítače, datum a čas vyplnění. Údaje nebyly spojovány se jmény uživatelů, ale byla provedena analýza dat například dle ročníků a oborů studia.
Nejzákladnější znaky phishingového útoku: -
-
-
Žádost o osobní údaje. Všechny seriózní organizace dodržují pravidlo, že nesdělují, ani po Vás nežádají jakékoli citlivé informace pomocí emailu – a v drtivé většině ani jinak. Za tyto informace jsou považovány například rodné číslo, hesla pro přístup do důležitých aplikací, PIN kód, číslo účtu atd. Odkazování na nenadálou situaci, která potřebuje okamžité řešení (havárii, selhání systému, pokus o krádež atd.) Falešný odkaz, na který máte přímo ve zprávě kliknout. Tento odkaz má jiné návěstí, než je potom skutečné místo, na které odkazuje. V odkazované adrese je obsažen znak @. Prohlížeče často ignorují vše, co je napsáno před zavináčem (např. odkaz
[email protected] Vás odkáže na stránku www.kamkoli.com, ne na web ČZU). Ve zprávě je obsažen obrázek, na který máte klikat. Jsou použity odkazy, které se velmi podobají oficiálním stránkám (např. www.ceskazemedskauniverzta.cz, www.hroch.czv.cz atd.)
Základní pravidla pro obranu proti phishingu: -
-
Neodpovídat na zprávy, ve kterých po Vás někdo žádá citlivé informace. Nikdy v nešifrovaných e-mailových zprávách neodesílat citlivé informace (PIN, hesla, rodné číslo a podobně). Obdobná pravidla platí i pro telefonické hovory. Stále více se rozmáhá i sociální inženýrství. Jakékoli heslo by vždy mělo sloužit jen Vám, proto je nesdělujte ani kamarádům. Neklikat na žádné odkazy v podezřelých mailech. Pokud už zmiňovaný web chcete navštívit, otevřete si nové okno internetového prohlížeče a adresu napište ručně. Používejte aktualizovaný antivirový program, osobní firewall a prohlížeč, který je schopný některé podvodné stránky sám odhalit. Sledujte u důležitých akcí, zda se opravdu dostanete na stránku, kterou předpokládáte (kontrola řádku s adresou po načtení stránky).
Základní postupy při podezření na phishingový útok: Pokud máte podezření důvodné podezření, že se jedná o phishingový útok, postupujte následovně. - Rozhodně nikam nezadávejte žádné údaje. Stránku opusťte. - Kontaktujte správce stránek, které jsou napadené (v případě ČZU například pracoviště Helpdesk, bezpečnostního technika, kohokoli z IT oddělení) - Pokuste se kontaktovat majitele hostitelské domény, na které je podvodná stránka umístěna. Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
-
Upozorněte na podezřelé stránky (kamarádi, internetové vyhledávače atd.)
Rizika: -
Mimo ČZU například neoprávněný přístup k internetovému bankovnictví, poště a dalším systémům Na ČZU například změna účtu, na který probíhá výplata stipendií, změna rozvrhu, termínů zkoušek, zneužití uživatelského účtu při přístupu k systémům atd.
Celkový počet studentů, kteří odeslali svůj login během testovacího období (od středy 8.10. 13:00 do pátku 17.10. - 22:00) - byl 2253 (pouze správně zadaný login bez duplicit).
Detaily testu: Test prováděli: Ing. Václav Lohr (KIT PEF, OIKT) Ing. Petr Benda (KIT PEF, OIKT) Ing. Libor Šup (OIKT) Dále o testu byli informováni: Ing. Jiří Boháček (kvestor ČZU) Ing. Ondřej Hradecký (vedoucí OIKT) Marian Bartl (vedoucí správy sítí ČZU) Provozovatel serveru, na kterém byly stránky umístěny Ostatní zaměstnanci ani studenti nebyli o testu informováni v zájmu co největšího utajení. Celkem bylo rozesláno 22822 zpráv na školní e-maily studentů (vzor:
[email protected]). Rozesílání samotné trvalo 61 minut (12:55 – 13:56) a jako odesílatel byla udána reálná adresa
[email protected] . Zprávy byly odeslány ze serveru Katedry informačních technologií - kit.pef.czu.cz, což se dalo bez problému zjistit z hlavičky zprávy .
Reakce studentů a zaměstnanců: První reakce zaměstnanců univerzity byla zaznamenána 8.10. v 16:20, kdy jsem byl telefonicky upozorněn na podezřelý e-mail. Druhá reakce byla v 18:01, následující druhého dne v ranních hodinách. Celkem bylo vyhodnoceno 13 reakcí během 24 hodin, nutno však podotknout, že zaměstnanci se informovali mezi sebou navzájem a proto nelze hodnotit počet samotný, ale jen první reakce. První reakce studenta byla doručena na mou e-mailovou adresu 8.10. v 17:55. První reakce na adresu
[email protected] byla od téhož studenta v 18:22. Celkem bylo za sledované období 8.- 17. 10. 2008 zaznamenáno 32 reakcí od studentů. Studenti, kteří potenciální nebezpečí oznámili byli požádáni o nerozšiřování informací. V 17:58 jsem elektronicky obdržel upozornění od provozovatele serveru, na kterém byla stránka umístěna. Protože byl tento test předem avizován, nedošlo k smazání stránky. Při Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
skutečném útoku by v tento čas již byla stránka smazána, pokud by nebyla umístěna na soukromém serveru.
Chování internetových prohlížečů: Jako první na riziko upozorňoval Google Chrome během necelých 20 hodin (údaje nejsou zcela přesné, může se jednat o dobu o něco kratší). Následně máme zjištěné i upozornění prohlížeče Mozzila Firefox verze 3.x a to až zhruba 9. 10. 2008 kolem 21:00. Ostatní prohlížeče na potencionálně podvodnou stránku nezareagovali vůbec nebo s ještě větším zpožděním.
Statistiky vyplněných loginů: Celkem vyplněn login: Z toho:
2590 Prázdný odeslaný login Nesprávný (i s prázdnými) Správně, ale duplicitně Zadaných už.jmen (bez duplicit a chyb)
Nachytaní: Počet lidí, kteří navštívili, ale nevyplnily nic Procento lidí, kteří navštívili a nic nevyplnili Procento nachytaných lidí ze všech mailů
26 177 160 2253
1661 39,07 9,87
1. ročník Nachytaní Všichni Procent z ročníku
734 8250
2.ročník 595 5250
3.ročník 427 4066
4.ročník 226 2944
5.ročník 271 2312
8,90
11,33
10,50
7,68
11,72
1.
2.
ročník INFO všichni INFO nachytaní Procento z informatiků
3.
ročník
4.
ročník
5.
ročník
ročník
370
341
278
130
145
32
45
31
15
19
8,65
13,20
11,15
11,54
13,10
Počet studentů, kteří zadali login do doby potenciálního odstranění stránky (8.10.2008 – 17:58): 290 Počet studentů, kteří zadali login do doby, než byla stránka poprvé ohlášena zaměstnanci ČZU (16:20 + 1 hodina na rozeslání a doručení upozorňujícího mailu studentům) = 8.10. 2008 – 17:20: 240 Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
2253 22822
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
Celkový počet studentů, kteří odeslali svůj login byl 2253 (pouze správně zadaný login bez duplicit).
Seznam zachycených loginů dle oborů a ročníků studia: Celkový Obor ABE ABEKS ABPC ABPCKS ABPH ABPP ABPPKS ABPS ABPSKS ABR ABRKS ABV ABVKS ABZ ABZKS ABZP ABZU AEM AMBKS AMBO AMGB AMH AMK AML AMPKS AMPP AMPS AMPV AMRKS AMVKS AMVV AMZO AMZZ ATP ATPKS ATZK ATZP ATZPKS ATZR ATZRKS ATZV
1
2 6 2 19 13 11 6 3 23 6 2 2 3 4 8 1 2 10 2
3
4
2 3 1 14 7 3 1
1 2 2 7 1 1 1
4 2
3 1
4 5
1 3 2 3 2 1 5 3 3 2
1 2 6 2 3 9 4 2 4 1
4 1
6 3 1 6 1
4 1 1
součet
5
4 1 1 1 2 1 1 1
3 1
6 2 19 13 14 11 6 44 14 6 4 3 4 15 4 2 15 7 3 6 4 3 2 5 5 3 3 1 1 1 2 9 3 13 4 10 10 3 8 2 1
Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
ATZVKS ATZZ BDREV BEKOL BKRAJ BLES BPRM BVH DBEKOL DBKRAJ DBLES DHSSL DHSSL2 DLES DPRM DPRM2 DRES DRES2 DREV DUTSS DUTSS2 DUTSS3 DUTSS4 EAD EKOL EM FWLM HKS HSSL INFO INFOA IRT IRTN KPU KRAJ LES MVZVTS OPT PAA PAAHK PAACH PAE RES SMAD SYI TTZOB TTZON TZS TZSB UTSS
2 13 7 19 8 7 4 3 20 4 3 2 1 5 1 1 1 2 24 12 9 13
1 1 4 10 5 6 1
6 2 19 8 3 2
1 4 3
1
3 1 4
1
1 4 3 6
4 4
2 6
4
1 19 5 32
1 20 6 45
9 1 31
10 1 2 3 3
3
3
1 2
1
5
46 52 1 82 1 41 9 8 2 3 9 13
3
3 14 1
19
2 31 96
16 75
64
73
125
123
2 60
71
34 6 3 1
10 5 1
4
2
11 10
1 2
3 20 13 48 21 16 7 3 20 4 4 6 4 1 8 3 5 1 3 32 19 15 13 2 10 8 2 51 12 141 1 16 1 4 5 3 2 93 360 1 2 461 1 85 26 12 3 3 21 25
Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
Odbor informačních a komunikačních technologií Bezpečnostní technik ICT Ing. Libor Šup Kamýcká 129, 165 21 Praha 6 – Suchdol Tel.: +420 224 382 267, E-mail:
[email protected]
VSRR VSRRHK VSRRCH VSRRJ VSRRK VSRRL VSRRM VSRRSUT XAKREK XEKOLO XMNG XOCHMY XPOE XZLHYD ZT ZTS Celkový součet
62
58 3 3
2 1 1 1 2 1 1
2 6 2
41 2 1 4 1 3 6
20 4
16 13
5 2 1 2
20 19 19
1 1 4 2
5 1
1 3
734
595
427
226
271
197 19 4 12 23 24 31 9 1 2 1 1 1 1 10 6 2253
Závěr: Z více než 22 tisíc rozeslaných zpráv, vyplnilo na falešnou stránku svůj e-mail téměř 10% studentů. Toto číslo je vysoké, vzhledem k tomu, že zhruba třetina studentů svůj školní e-mail vůbec nevyužívá a nečte ho. Velice zajímavé a alarmující je procento studentů oboru informatika, u kterých by existoval předpoklad vyššího „počítačového vzdělání“ než u zbytku studentů. Ze zjištěných údajů však vyplývá, že studentů oboru informatika se procentuálně nechalo zlákat více (počet správně zadaných loginů / počet všech studentů * 100). Překvapivě je i nižší procento nachytaných studentů prvního ročníku, než studentů ročníku pátého. Pokud by byl útok reálný, podařilo by se odchytit přibližně 290 loginů a hesel, než by došlo k odstranění podvodných stránek ze serverů veřejného poskytovatele. Toto však nelze předpokládat v situaci, kdy by stránky byly umístěny u přímo u útočníka. Upozornění studentů na útok přišlo zodpovědným osobám na ČZU během několika málo hodin, a při okamžité reakci by byli studenti varováni zhruba během pěti hodin. Reakce studentů byla odpovídající, avšak vážnost situace by žádala mnohem větší počet upozornění. Problematičtější by byla reakce zaměstnanců na incident například během víkendu nebo o svátcích, kdy není zřízena stálá dozorová služba na univerzitě. Bohužel tuto skutečnost nelze změnit. Reakce zaměstnanců na hrozbu byla rychlá a správná. Možná také proto, že někteří ze zaměstnanců jsou stále studenti a tuto zprávu obdržely také. Ing. Libor Šup Bezpečnostní technik ICT
Odbor informačních a komunikačních technologií, Bezpečnostní technik ICT, Kamýcká 129, 165 21 Praha 6
