Vítejte u dalšího dílu KYBcastu, ve kterém se dnes s Václavem Maněnou a Pavlem Matějíčkem ponoříme do toho, jak se phishingové útoky staly vážnou hrozbou pro školy a vzdělávací instituce v letech 2023 a 2024. Podíváme se na konkrétní statistiky, jak tyto útoky probíhaly, a na scénáře, které útočníci používali. Zjistíme také, jak školy bojují proti této kybernetické hrozbě, a porovnáme situaci ve školním prostředí s firemním sektorem.

Všechny naše podcasty najdete také v podcastových aplikacích a na YouTube: Podcasty NPI ČR.

---

Situace ve světě

Phishingové útoky na školy a vzdělávací instituce v letech 2023 a 2024 zaznamenaly výrazný nárůst. Phishing zůstal hlavní formou kyberútoku, který se zaměřuje na školy po celém světě, včetně Spojených států a Velké Británie. Ve Velké Británii ukázal průzkum z roku 2024, že 92 % základních škol a 89 % středních škol se setkalo s pokusy o phishing, což zdůrazňuje všudypřítomnost této hrozby. Tento trend odpovídá i situaci v dalších vzdělávacích institucích, kde phishing, spolu s ransomwarem, představuje jeden z nejčastějších způsobů, jak se kyberzločinci snaží proniknout do jejich sítí.

Zdroj: UK Safer Internet Centre

Zdroj: Proofpoint

Celosvětově se phishing neomezuje pouze na e-maily. Útočníci také stále častěji používají škodlivé QR kódy ve školním prostředí. Školy, které QR kódy běžně využívají pro organizaci akcí, se tak stávají lákavým cílem, přičemž cílem útočníků je získat přihlašovací údaje nebo šířit malware. Společnost Microsoft v roce 2023 odhalila výrazný nárůst phishingových e-mailů obsahujících QR kódy, a to na více než 15 000 útoků denně na vzdělávací instituce.

Zdroj: Microsoft

V USA je situace obdobně alarmující. Phishing zůstává hlavní metodou pro šíření ransomwaru, přičemž tvoří 45 % všech ransomwarových útoků. Tyto útoky měly pro školy závažné důsledky – počet incidentů spojených s ransomwarem v minulých dvou letech vzrostl o 105 %.

Zdroj: EdTech Magazine

Phishingové útoky v USA se často zaměřují na získání přístupových údajů studentů a zaměstnanců, což vede k narušení dat a finančním ztrátám. IC3 (Internet Crime Complaint Center) v roce 2023 zaznamenalo přes 300 000 incidentů, přičemž phishing představoval nejčastěji hlášený kybernetický zločin.

Zdroj: IdentityTheft.org

Scénáře phishingových útoků zaměřených na školy často zneužívají témata jako falešné požadavky na IT podporu, aktualizace akademického softwaru nebo podvodné nabídky finanční pomoci. Útočníci se vydávají za důvěryhodné instituce, aby oklamali zaměstnance a studenty a přiměli je k odhalení citlivých informací. Například úspěšné phishingové útoky často využívaly falešné přihlašovací stránky, které vypadaly jako školní portály, což vedlo ke krádeži přihlašovacích údajů.

Zdroj: Proofpoint

Jak je to u nás?

Pavel Matějíček z se na nedávné konferenci CyberCon 2024 v režii Národního úřadu pro kybernetickou a informační bezpečnost pochlubil, jak na tom dnes jsme.

Z celkového počtu 18 135 odeslaných phishingovych e-mailů totiž otevřelo simulovanou podvodnou stránku v průměru 26 % uživatelů.

Nejohroženější skupinou byly školy, kde průměrná úspěšnost phishingu dosáhla dokonce 30 %. „Nejhorší výsledek jsme zaznamenali na jistém úřadu v nejmenovaném okresním městě, kde jsme získali přihlašovací údaje od 59 % zaměstnanců,“ přiznává Matějíček. Nejhorší testovaná soukromá firma pak dosáhla nelichotivého skóre 47 %.

V naší vlastní kampani jsme zaznamenali několik úspěšných pokusů o podvod:

• Úprava tarifních platů učitelů: 62 e-mailů bylo odesláno, z toho 37 otevřeno, 32 lidí kliklo na podvodnou stránku a 31 zadalo své jméno a heslo.
• Schválení dotace –⁠⁠⁠⁠⁠⁠ stažení přílohy: 17 % uživatelů spustilo škodlivé makro.
• Nasdílený dokument a podezřelé přihlášení z jiné lokality: Oba typy e-mailů vedly na podvodnou přihlašovací stránku M365, kde 24 % adresátů zadalo své jméno a heslo.
• Sdílený dokument v cloudu: Z 68 odeslaných e-mailů zadalo své přihlašovací údaje 21 % uživatelů.

Víc dat najdete zde v článku: https://www.zive.cz/clanky/eticky-hacker-otestoval-desitky-ceskych-instituci-a-firem-nektere-dopadly-naprosto-tragicky/sc-3-a-230357/default.aspx

A nakonec pár tipů pro vás:

Otestovat se bezpečně formou kvízu můžete třeba zde –⁠⁠⁠⁠⁠⁠ tip do výuky: https://csirt.upjs.sk/phishing/

A nebo požádat o otestování zde: CESNET | Služby CESNET

---

Hudbu a předěly vytvořila speciálně pro KYBcast Mgr. Barbora Jeřábková.