Uczelniana Sieć Komputerowa USNET

Ostatnio pojawiły się kolejne próby wyłudzenia haseł.

W obu przypadkach żądano błyskawicznej reakcji, a w pierwszym straszono nawet karą, w drugim dawano na reakcję 24 godziny.

W obu przypadkach wymagane było kliknięcie na link, który pokazywał się jako „Wyświetl wiadomość” lub „ANULUJ ZAPYTANIE I NAPRAW TEN PROBLEM”.

Po najechaniu myszką na ten link (bez klikania), na dole pojawiał się prawdziwy cel linku- tu są to:

www.allnepalbirding.con/us.html 

https://table4view.com/update()/index.php?email…..

To adresy strony służących wyłudzeniu haseł.

Na poniższych obrazkach zaznaczono  podejrzane miejsca.

My nie wysyłamy takich maili, nigdy nie dajemy 24 godzin na jakąkolwiek reakcję, a tym bardziej nie straszymy karami.

Do logowania do poczty uniwersyteckiej służą wyłącznie następujące adresy:

https://poczta.us.edu.pl

https://post.us.edu.pl

https://pocztus.us.edu.pl

Przy połączeniu z VPN-em za pomocą Forticlienta mogą występować problemy z połączeniami z zasobami Usos-a lub Sapa oraz internetem.

W powyżej sytuacji trzeba zmienić ustawienia DNS w połączeniu VPN-SSL wg poniżej instrukcji: 

1. Wchodzimy do Panelu Sterowania i wybieramy Sieci i Internet klikając  w Wyświetl stan sieci i zadania

2. Wybieramy Zmień ustawienia karty sieciowej

3. Wybieramy połączenie Fortinet SSL-VPN Virtual Ethernet i klikająć prawym przyciskiem myszy wybieramy Właściwości

4. W właściwościach wybieramy Protokół internetowy w wersji 4 (TCP/IPv4)

5. W DNS musi być zaznaczone Użyj następujących adresów DNS i muszą być wpisane adresy

Preferowany serwer DNS : 155.158.99.2

Alternatywny serwer DNS : 8.8.8.8

Po wpisaniu zatwierdzamy klikając OK

Stale, a zwłaszcza w ostatnim czasie, obserwujemy próby wyłudzania i łamania haseł do kont. W niewielkim stopniu (prawie nigdy) chodzi o dostęp do maili w skrzynce właściciela. Głównie chodzi o wykorzystanie konta w celu wysyłania z niego masowego spamu lub wirusów służących do przejęcia komputera odbiorcy.

Spam jest w tej chwili problemem ogólnoświatowym. Na rozsyłaniu spamu zarabia się wielkie pieniądze. Dlatego wszyscy bronią się jak mogą przed zalewem spamu. Między innymi powstają światowe czarne listy serwerów rozsyłających spam. Jeśli z jakiegoś konta wysyłany jest masowy spam, to po pewnym czasie ten serwer trafia na taką listę jako niebezpieczny i inne serwery nie przyjmują od niego żadnych maili.

Dlatego też spamerzy poszukują stale nowych kont na niezablokowanych serwerach.  Łakomym kąskiem są konta np. uczelniane. Serwery te są stale atakowane automatycznymi próbami logowania, które możemy jedynie spowolnić, a do użytkowników wysyłane są maile mające na celu wyłudzenie ich haseł. Więcej informacji o phishingu na stronie serwisu USNet, w szczególności we wpisach z dni 24.07.2017, 30.01.2020 i 28.02.2020.

Gdy hasło zostanie złamane lub wyłudzone trafia  do baz haseł, którymi spamerzy handlują i które są wykorzystywane do łamania innych kont. Dlatego takiego skompromitowanego hasła nie wolno już nigdy i nigdzie używać.

Kolejny etap to użycie przejętego konta. W pewnym momencie z takiego konta wysyłany jest masowy spam, najczęściej za pomocą tzw. botnetów, czyli zainfekowanych i przejętych komputerów na całym świecie (niejednokrotnie obserwowaliśmy równoczesne logowania np. z Rosji, Chin, Brazylii, Wybrzeża Kości Słoniowej i Malediwów). Wysyłka sięga od kilku tysięcy do kilkuset tysięcy maili, a treści od reklamy produktów, poprzez phishing do reklam agencji towarzyskich i serwisów pornograficznych.

Część zarówno phishingu ja i spamu blokowana jest na naszych serwerach antyspamowych. Niestety nie wszystko da się zablokować, trwa stała walka jak napisać skuteczne filtry i jak je ominąć.

Gdy taki masowy spam wydostanie się z naszego serwera na świat nasz serwer może trafić na światowe czarne listy. Wtedy nikt nie będzie mógł niczego wysłać w świat z adresu uniwersyteckiego. Co więcej, procedury usunięcia serwera z czarnych list nie jest błyskawiczna. Gdy mam on dobra reputacje (dawno na żadnej nie był) trwa to około 2 dni. Potem ustalane są kolejno dłuższe terminy: tydzień, miesiąc, pól roku lub nawet konieczność zapłacenia za to.

Bezpieczne hasło to bezpieczeństwo nie tylko jego właściciela i przechowywanych w mailach danych osobowych, a całej społeczności Uniwersytetu Ślaskiego.

Bezpieczne hasło nie powinno zawierać słowa istniejącego w jakimkolwiek języku świata, nazw własnych, fragmentu adresu e-mail, inicjałów właściciela. Najlepiej wybrać sobie jakiś wiersz, piosenkę, cytat i jako rdzenia hasła użyć pierwszych liter kolejnych wyrazów. W haśle muszą być małe i wielkie litery, cyfry i znaki specjalne, przy czym ze względu na różnice w sposobach kodowania nie należy używać znaków &()+

Od kilku dni obserwujemy problemy z wysyłaniem i odbieraniem załączników (zwłaszcza PDF) w webmailu Horde. Rekomendujemy używanie nowego webmaila Roundcube. Logowanie na stronie https://pocztus.us.edu.pl

Przed pierwszym użyciem należy zapoznać się z instrukcją.

Następna próba wyłudzenia haseł. Tym razem przestępcy straszą, że wykryliśmy iż z konta jest wysyłany spam i jeśli się jego właściciel nie zaloguje na stronie w ciągu 24 godzin, to je zamkniemy.

Po pierwsze w przypadku stwierdzenia wysyłki spamu z jakiegoś konta natychmiast zmieniamy hasło do niego. Musimy uniemożliwić przestępcom dalsze wykorzystywanie tego konta i zmniejszyć ryzyko umieszczenia serwera uniwersyteckiego na światowych czarnych listach. Aby odzyskać dostęp do konta właściciel musi osobiście przyjść do nas z dokumentem tożsamości.

Po drugie, jak w poprzednio opisywanym przypadku phishingu, po najechaniu myszką na „POTWIERDŹ EMAIL” pojawia się link do zupełnie obcej strony https://forms.zoho.com.acteuro/form/datapoland2020

Dzisiaj ponownie zaobserwowaliśmy i zablokowaliśmy atak phishingowy (wyłudzający hasła) na konta uniwersyteckie. Niestety części e-maili nie zdążyliśmy zablokować.
Użytkownicy otrzymali e-maile treści:

Po najechaniu myszką na niebieski napis „Uaktualnij swoją pocztę internetową”  – link do kliknięcia (wskazuje go tu czarna, wąska strzałka) zarówno nad strzałką kursora jak i na dole okna przeglądarki (wskazuje go tu szeroka strzałka) wyświetlał się adres https://moocherchemist100.com/us.edu.pl/

To adres podrobionej strony. W nas powinno być jedno z 3:

https://poczta.us.edu.pl

https://post.us.edu.pl 

https://pocztus.us.edu.pl

Jeśli ktoś kliknął na ten link, otwierała się strona www:

To bardzo dobrze podrobiona strona w wersji angielskojęzycznej naszego webmaila Roundcube.

Ważna, a w zasadzie najważniejsza informacja jest tu zaznaczona na czerwono – podobnie jak wyżej, jest to adres

https://moocherchemist100.com/us.edu.pl/

a nie

https://pocztus.us.edu.pl 

Jeśli ktoś dalej tego nie zauważył i zalogował się, to zostawał przekierowany już na naszą, poprawną stronę i najwyżej był zdziwiony, że nie zalogował się do konta.

Wszystkich, którzy dali się nabrać na tę bardzo dobrze tym razem zrobioną podróbkę, prosimy o natychmiastową zmianę hasła do konta. Nowe hasło musi się różnić od starego na całej długości. Starego hasła nie wolno już nigdy i nigdzie stosować – jest już znane spamerom i będą go używać wszędzie, gdzie będą się próbować włamywać.