Kaspersky Lab warnt Studenten, Wissenschaftler und Universitäten vor einer aktuellen Phishing-Welle: So haben die Sicherheitsforscher des Unternehmens mehrere Cyberattacken bei zuletzt 131 Universitäten in 16 Ländern entdeckt – insgesamt fast 1.000 Phishing-Attacken seit September 2017. Die meisten Zielobjekte befinden sich in den USA und England, allerdings gab es auch Angriffe gegen europäische Ziele – zum Beispiel in der Schweiz. Im Visier der Angreifer stehen sensible Informationen mit Universitätsbezug: Account-Zugangsdaten von Mitarbeitern und Studenten sowie IP-Adressen und Standortinformationen. Das mögliche Ziel der Angreifer: wissenschaftliches Know-how aus Bildungseinrichtungen zu stehlen.
Nicht nur Zugangsdaten von Bankangestellten oder Passwörter der Mitarbeiter sind für Cyberkriminelle ein reizvolles Ziel, auch die persönlichen Accounts von Studenten und Universitätsmitarbeitern scheinen derzeit gefragt zu sein. Die Informationen, die durch erfolgreiche Spear-Phishing-Attacken auf Universitäten, wissenschaftliche Mitarbeiter und Studenten ergattert werden, sind für Angreifer vor allem deshalb attraktiv, weil sie Zugriff auf das Uni-Netzwerk und so auf zahlreiche hochkarätige und exklusive Forschungsarbeiten zu verschiedenen Themen (von Wirtschaft bis hin zur Nuklearphysik) ermöglichen. Da viele Studenten mit führenden Lehrstühlen an renommierten Universitäten kooperieren und häufig im Rahmen von Praxissemestern oder auf Projektbasis bei Unternehmen tätig sind, könnten Betrüger Zugang zu Daten erhalten, die nicht nur einzigartige Fachkenntnisse, sondern auch sensible und potenziell kompromittierende betriebliche Informationen beinhalten.
Obwohl Universitäten auf IT-Sicherheitsaspekte achten, finden Cyberkriminelle Wege in die anvisierten Netzwerke zu gelangen, indem sie mit ihren Angriffen auf die schwächsten Glieder innerhalb der Sicherheitskette – unaufmerksame Nutzer – abzielen. In den meisten Fällen wurden die Attacken über eine gefälschte Webseite durchgeführt, die nahezu identisch zur originalen Universitäts-Homepage erscheint. Der einzige Unterschied bestand in wenigen Buchstaben innerhalb der Web-Adresse. Auf der Fake-Seite werden die Log-in-Daten für das digitale System der Universität angefordert. Sobald User diese eingegeben haben, werden die sensiblen Daten direkt an die Cyberkriminellen gesandt.
Unsere Experten stellten fest, dass sich die meisten Angriffe gegen englischsprachige Universitäten richteten. 83 der betroffenen Institutionen befinden sich in den USA, 21 in Großbritannien. Aber auch Bildungseinrichtungen in Asien, Afrika und Europa – darunter in der Schweiz – wurden attackiert.
„Die Anzahl der betroffenen Einrichtungen ist besorgniserregend. Anscheinend entwickelt sich der Bereich Bildung zu einem beliebten Ziel für Cyberkriminelle“, sagt Nadezhda Demidova, Cybersicherheitsforscherin bei Kaspersky Lab. „Die Führungskräfte von Universitäten müssen berücksichtigen, dass jeder ihrer Mitarbeiter oder Studenten angreifbar ist und unwissentlich Betrügern Zugang zu ihren Systemen gewähren kann. Die Verantwortlichen sollten daher präventiv notwenige Sicherheitsmaßnahmen ergreifen.“
Sicherheitstipps von Kaspersky Lab
Für Studenten und Mitarbeiter:
- Die Link- und die E-Mail-Adresse des Absenders immer auf Echtheit überprüfen, bevor etwas angeklickt wird –noch besser, nicht den Link anklicken, sondern in die Adressleiste des Browsers eintippen. Bei Zweifeln niemals Zugangsdaten eingeben.
- Niemals dasselbe Passwort für verschiedene Webseiten und Dienste verwenden; wenn es einmal gestohlen wird, sind alle anderen Accounts ebenfalls gefährdet. Passwort Manager, wie Kaspersky Password Manager, unterstützen Nutzer bei der zeitgemäßen Passwortverwaltung.
- Verwendung einer sicheren Verbindung – ausschließlich gesicherte WLAN-Verbindungen mit starker Verschlüsselung und Passwort nutzen; oder verschlüsselte VPN-Lösungen. So wird sichergestellt, dass Angreifer nicht in der Lage sind, sich in die Verbindung zu hacken, um originale Webseiten durch gefälschte zu ersetzen oder den Online-Traffic abzufangen.
- Für alle Geräte (auch Smartphones) eine IT-Sicherheitslösung einsetzen, die vor Phishing-Webseiten warnt.
Für Universitäten:
- Universitäre Einrichtungen sollten zudem ihre Mitarbeiter dahingehend schulen, niemals persönliche sensible Informationen, wie beispielsweise Log-in-Daten und Passwörter, mit einer dritten Person zu teilen und keine Links von unbekannten Absendern oder verdächtige E-Mails zu öffnen.
- Zudem gilt es, eine zuverlässige Endpoint-Security-Lösung mit einer Anti-Phishing-Technologie zu implementieren, um Spam- und Phishing-Attacken zu erkennen und zu blocken.