Uniwersytet skrytykowany za wykorzystanie wiadomości phishingowych związanych z epidemią wirusa Ebola

Akcja phishingowa przeprowadzona przez wydział IT Uniwersytetu Kalifornijskiego w Santa Cruz (UCSC) nie przyniosła oczekiwanych efektów i wywołała niepotrzebną panikę wśród studentów i pracowników.

Niecodzienna akcja phishingowa związana z epidemią wirusem Ebola

W niedzielny poranek 18 sierpnia 2024 r. zespół IT uczelni wysłał wiadomość e-mail, aby – jak stwierdziło Centrum Zdrowia Studentów – „przypomnieć społeczności kampusu o najlepszych praktykach w zakresie cyberbezpieczeństwa i pomóc w zapobieganiu przyszłym próbom phishingu”.

W wiadomości e-mail nie opisano jednak, w jaki sposób pracownicy i studenci mogliby lepiej chronić swoje konta internetowe, na przykład poprzez przyjęcie silnych i unikalnych haseł lub włączenie uwierzytelniania wieloskładnikowego.

Zamiast tego fałszywie twierdziła, że u jednego z pracowników po powrocie z podróży do RPA stwierdzono obecność wirusa Ebola.

Temat wiadomości e-mail brzmiał: „Powiadomienie o sytuacji awaryjnej: Przypadek wirusa Ebola na terenie kampusu”.

Zastraszanie ofiar kontaktem z rzekomo zainfekowanymi osobami

W wiadomości e-mail poinformowano osoby, że jeśli miały bliski kontakt z (nienazwanym) poszkodowanym pracownikiem, „konieczne” jest podjęcie natychmiastowych działań i kliknięcie łącza do strony internetowej, na której – jak twierdził – opublikowano więcej informacji.

Oczywiście, twierdzenie zawarte w wiadomości e-mail, że na terenie kampusu wykryto wirusa Ebola, było fałszywe, a każda osoba klikająca na zawarty w wiadomości link w rzeczywistości narażała się na ryzyko przekazania swoich danych logowania cyberprzestępcom.

Chociaż w tym przypadku e-mail nie był kampanią phishingową przeprowadzoną przez internetowych oszustów, lecz „testem phishingowym” zorganizowanym przez dział IT UCSC na podstawie prawdziwego e-maila phishingowego, który wykryto kilka tygodni wcześniej.

Brian Hall, dyrektor ds. bezpieczeństwa informacji na uniwersytecie UCSC, przeprosił za incydent, przyznając, że e-mail symulujący próbę phishingu „nie był prawdziwy i niewłaściwy” oraz że potencjalnie podważał zaufanie do alertów dotyczących zdrowia publicznego.

Testy symulacji phishingu, takie jak ten, mają na celu pomóc ludziom rozpoznać i uniknąć prawdziwych prób phishingu. Jednak Hall powiedział, że zdał sobie sprawę, że „temat wybrany do tej symulacji wzbudził obawy i nieumyślnie utrwalił szkodliwe informacje o RPA”.

Prawda jest taka, że oszuści potrafią używać bardzo podłych sztuczek, aby nakłonić niczego niepodejrzewających użytkowników do kliknięcia niebezpiecznych linków, i nie mają żadnych skrupułów przed stosowaniem nieuczciwych technik, aby zmusić swoje ofiary do podania swoich poufnych danych uwierzytelniających.

Nic więc dziwnego, że niektóre działy IT mogą czuć się bardzo skuszone, by powielać te techniki, przeprowadzając kampanię mającą na celu sprawdzenie, jak skutecznie użytkownicy chronią się przed atakami phishingowymi.

Dział IT UCSC, podobnie jak inne organizacje przed nim, przekonał się na własnej skórze, że nie każda próba podniesienia świadomości na temat bezpieczeństwa spotka się z dobrym odbiorem.

Pamiętaj, że najlepszą ochroną przed kampaniami phishingowymi jest korzystanie ze skutecznego systemu antywirusowego, który został wyposażony w moduł antyphishingowy, np. Bitdefender Internet Security. Dzięki temu, gdy otrzymasz fałszywą wiadomość, dasz się nabrać i wejdziesz w załącznik, to antywirus zablokuje podejrzaną stronę. Dzięki temu zachowasz bezpieczeństwo w sieci, a Twoje dane pozostaną chronione.