Minulou středu bylo na náměstí Winstona Churchilla rušno. Kromě evakuace kvůli nahlášené bombě (poprvé tento semestr) část studentů také dostal e-mail upozorňující na podezřelé přihlášení do e-mailu z Nigérie a vybízející k ověření účtu, jinak podle zprávy může dojít až k jeho deaktivaci. Odkaz na ověřovací formulář však chyběl. Celá zpráva navíc byla psána s chybami a podivnými formulacemi.
Jak však potvrdilo ještě ten den na svých stránkách Centrum informatiky (CI), šlo pouze o spam a k ohrožení nedošlo. Studenti tak nemuseli vyplňovat žádný ověřovací formulář a stejně tak se nemusí bát o bezpečnost svých schránek.
E-mail přišel z účtu Eriky Vynáhlovské. Ta však v CI vůbec nepůsobí, jde o absolventku Fakulty mezinárodních vztahů. S největší pravděpodobností došlo k úniku hesla absolventky a její adresa byla zneužita k rozeslání mailů a pokusu o tzv phishingu, tedy podvodnou techniku využívanou pro získávání citlivých dat.
Jak vysvětluje Luboš Pavlíček, vedoucí oddělení bezpečnosti a ochrany dat CI VŠE, účet uživatele je aktivní ještě 180 dní po splnění posledních povinností na škole, schránka v InSISu zanikne ještě o pár dní později (v případě Eriky Vynáhlovské k tomu mělo dojít 3. 12. Resp 11. 12.)
Adresy útočník získal ze serveru Office 365, kde lze najít e-mailovou adresu všech akademiků i studentů
Jelikož se nejedná o první případ podvodného mailu, který studenti ekonomky obrdželi, chce škola zavést tak zvanou vícefaktorovou autorizaci, která má zneužití hesel zabránit. Nyní se testuje ve studijním systému InSIS, postupně začne platit i na platformě Office 365.
“Při přihlašování do studijního systému se přidá jeden jednoduchý krok. Uživatel stejně jako dosud zadá uživatelské jméno a heslo, poté opíšete 6 číslic z mobilního telefonu a tím se přihlásí. Šest číslic na mobilu se mění každých 30 vteřin. Na bezpečném počítači, např. v kanceláři postačuje opsat šestimístný kód jednou za 30 dní. Před prvním přihlášením je potřeba nainstalovat na mobilní telefon vhodnou aplikaci a spárovat ji s Vaším účtem. Útočníkovi pro přihlášení nestačí získat heslo, musel by získat i Váš mobil,” vysvětluje.
Zatím se však toto opatření nedotkne všech. Zavedeno je zatím zkušebně u části uživatelů a v lednu proběhně vyhodnocení úspěšnosti, na jejímž základě bude rozhodnuto o tom, zda bude vícefaktorová autentizace zavedena i pro studenty.
Základem bezpečnosti je podle Pavlíčka nepoužívat školní přihlašovací heslo na jiných platformách, dobré je taky zkontrolovat si, jestli jste se stali obětí hackera, na stránce www.haveibeenpwned.com
Zároveň vybízí, aby pokud má někdo pochybnosti třeba o pravosti příchozí zprávy, neváhal kontaktovat Centrum na adrese helpdesk@vse.cz
