O phishingu pisałem na blogu już wiele razy. Schemat takiego ataku w większości przypadków jest bardzo podobny. Atakujący tworzy wiadomość, w której podszywa się pod konkretną osobę lub instytucję (najczęściej jest to bank). Często pole nadawcy jest odpowiednio zmodyfikowane i wygląda jak prawdziwy adres mailowy, co dla wielu osób jest wystarczającym powodem by uznać wiadomość za prawdziwą. W ten sposób może dojść do zainfekowania komputera szkodliwym oprogramowaniem lub wykonania instrukcji, które w mailu podał atakujący. Tak też było w przypadku kanadyjskiego Uniwersytetu MacEwan.
Uniwersytet zlecił firmie budowlanej prace nad nową salą. Kiedy na koncie firmowym nie pojawiły się pieniądze za kilka wystawionych faktur, okazało się, że doszło do ataku phishingowego[1] na uczelnię. W wyniku fałszywej wiadomości jaka trafiła na skrzynki pracowników uniwersytetu, przelali oni pieniądze na „nowy” rachunek bankowy wskazany w treści maila. Oczywiście konto to nie było w żaden sposób powiązane z firmą, która miała otrzymać należność za wykonaną usługę, należało do atakującego. Między 10, a 19 sierpnia dokonano 3 przelewów w kwotach od 22 tysięcy do 9,9 miliona dolarów. Łącznie przelano około 11,8 miliona dolarów na niewłaściwe konta. Większa część tej kwoty (11,4 mln) trafiła na rachunki w Kanadzie i Hong Kongu. Uniwersytet w oświadczeniu przyznał, że środki zostały zamrożone i trwają prace nad odzyskaniem pieniędzy. Niestety część kwoty nadal brakuje…
Oczywiście całej sytuacji można było zapobiec w bardzo prosty sposób. Wystarczyłaby procedura, która nakładałaby na pracownikach obowiązek telefonicznego weryfikowania u dostawcy zmiany danych np. rachunku bankowego. W ten sposób dość szybko okazałoby się, że uniwersytet padł ofiarą phishingu. Rzecznik prasowy Uniwersytetu MacEwan, David Beharry przyznał, że w przelew pieniędzy było zaangażowanych trzech pracowników niskiego poziomu i do tego incydentu nie było wspomnianej wyżej procedury, ale to ma się zmienić w najbliższym czasie.
Władze uczelni uważają, że nie było żadnej zmowy. Według nich, jest to błąd ludzki. Kolejny raz potwierdza się reguła, że w całym systemie bezpieczeństwa to człowiek najsłabszym ogniwem. Dlatego warto inwestować w szkolenia pracowników oraz regularnie edukować się z najnowszych technik ataków, na jakie może natrafić internauta. Dodatkowo istnieją rozwiązania, które filtrują i odpowiednio oznaczają potencjalnie niebezpieczne wiadomości.
Więcej na temat phishingu i metodach ochrony dowiecie się z tego artykułu.
[1] http://www.cbc.ca/news/canada/edmonton/macewan-university-phishing-attack-fraud-1.4272350