mboost-dp1

Københavns Universitet

Københavns Universitet ramt af målrettet phishing-angreb

- Via EPN.dk - , redigeret af Net_Srak , indsendt af ktg

Flere brugere på Københavns Universitet (KU) modtog for nyligt en e-mail, der på næsten fejlfrit dansk prøvede at lokke login-oplysninger fra brugere ved at udgive sig som web-administrator og henvise til, at deres antivirusprogram skulle opdateres.

Mailen henviste til et antivirusprogram fra firmaet F-Secure, hvilket fik alarmklokkerne til at ringe, da KU ikke anvender nogen produkter fra det firma.

Hos F-Secure har man kigget nærmere på sagen og kan konstatere, at der er tale om et meget målrettet angreb, hvor angriberne, en gruppe phishere fra Brasilien, har sat sig meget ind i detaljerne omkring Københavns Universitet, men dog ikke alle. Michael Dahl fra F-Secure forventer, at man vil se flere lignende angreb fremover mod danske virksomheder.

Michael Dahl, Channel manager hos F-Secure til EPN skrev:
Dette er virkelig folk, som har sat sig ind i strukturen hos Københavns Universitet – og som kan gøre noget tilsvarende over for andre danske institutioner og virksomheder.





Gå til bund
Gravatar #1 - KaffeGoblen
13. maj 2009 08:34
Hmm - det var ellers "godt" forsøgt da de fleste undervisningsinstitutioner kører med F-Secure, da en institutionlicens bliver tilbudt gennem UNI-C til næsten ingen penge.

Kunne nemt ha' gået galt :)
Gravatar #2 - mark.
13. maj 2009 08:39
Tvivler på det er brasilianere...

Tror sku mere det er nogle danskere der så sit snit til at hustle lidt
Gravatar #3 - Lowkey
13. maj 2009 09:04
Man må aldrig udlevere login oplysninger - end ikke til en administrator.
Det er noget alle mennesker bør lære.
Gravatar #4 - cyandk
13. maj 2009 09:04
mark. (2) skrev:
Tvivler på det er brasilianere...

Tror sku mere det er nogle danskere der så sit snit til at hustle lidt


Herregud... Så du, ene mand, ved mere end F-secure og københavns universitets IT afdeling?
Gravatar #5 - maasha
13. maj 2009 09:13
næsten fejlfrit dansk


Det tyder jo nærmest på, at det er en dansker ...
Gravatar #6 - Chillyskye
13. maj 2009 09:16
#4
Nu kender jeg ikke lige KUs IT afdeling, men uddannelsessteders IT afdelinger er sjældent de skarpeste.

Det ændre dog ikke ved at de sikkert har flere brikker at rykke med end #2, at dømme fra den kommentar :D


Er der nogen der har modtaget denne mail eller ved hvor man kan se indholdet? Kunne ikke lige finde noget link fra epn's artikel.
Gravatar #7 - XERXES
13. maj 2009 09:21
Nu har KU og deres fakulteter igennem langt tid informeret om diverse internet/e-mail faldgrupper på uddannelserne, igennem universitetsavisen og på deres speciel oprettet side om emnet.


http://informationssikkerhed.ku.dk/

Derudover var det vist kun LIFE der var blevet ramt, og efter hvad jeg har hørt var der ingen der bed på. Desuden behøver vi ikke hjælp af brasilianere til at sende spam, det klarer vi nemlig helt selv.
Gravatar #8 - Lars Hesselberg
13. maj 2009 09:34
Gad vide hvad formålet var med at gå efter Københavns Universitet?
Gravatar #9 - Fjolle
13. maj 2009 09:37
Lars Hesselberg (8) skrev:
Gad vide hvad formålet var med at gå efter Københavns Universitet?

Servere der står på en dejlig hurtig internetforbindelse... Hvem kan ikke bruge sådan nogle til et eller andet?

Det er også sket i aalborg, og sidste sommer lykkedes det da vistnok for nogen at bryde ind i en del servere og installere rootkits...
Gravatar #10 - kg
13. maj 2009 09:48
#4
jeg tænkte faktisk samme tanke som #2. I version2's nyhed om det nævner de at grunden til at de mener det er brasilianere, er fordi der bruges en brasiliansk ip.

nu er det vel ikke helt umuligt for en dansker at finde et mellemled eller lignende i brasilien.
Gravatar #11 - dlc
13. maj 2009 09:48
Der har været det samme forsøg op AAU, bare hvor de skrev at koden man anvendte var for usikker og man skulle gå ind på en side og ændre den med det samme
Gravatar #12 - dradrach
13. maj 2009 09:49
Total Off T:

#3, har de ikke adgang til login oplysninger allerede? Kan i hvert fald huske da jeg havde problemer med login på just-eat, så udleverede en medarbejder mit login, selvom jeg kontaktede dem fra en anden email adresse end den der stod på brugeren?
Gravatar #13 - Thalion
13. maj 2009 09:55
#12

Jo og derfor skal du aldrig udlevere dine login oplysninger, da de har adgang til dem.

Ontopic:

Det er også sket på SDU omkring starten af januar. Så der er nok nogle der har set sig lun på forskningsnet.
Gravatar #14 - Nielson
13. maj 2009 10:24
#5

Det kunne jo sagtens være at de har brugt et translate program, feks Google Translate :)

#12

Nogle steder kan de ikke manuelt finde loginoplysninger frem hvis de er krypteret i databasen. De kan fremsende det til den pågældende email, men ikke selv se dem.

Men lyder godt nok mærkeligt at just-eat.dk bare sådan kan udlevere det på den måde?
Gravatar #15 - yebzqey
13. maj 2009 10:30
#13

Vi har også haft det på Roskilde Universitet.
Gravatar #16 - kalleMOD
13. maj 2009 10:31
Hvem fanden er dum nok til at bruge deres egen ip til sådan noget? Det kunne sagtens være nogle danskere/europæere der har brugt en proxy-server i Brasilien :)

Desuden har vi også for lidt over 1 time siden(11:06) modtaget en mail fra en administrator på Århus universitet(datalogisk institut) om at sådanne mails er i omløb vdr. AU :S

Tror nogen forsøger at få noget seriøs regnekraft og internet forbindelse til et botnet :)
Gravatar #17 - RKJ
13. maj 2009 10:36
Det er ikke huen der klemmer, hvis man frit udleverer sine oplysninger. Og det med at det er brasilenere, kan hverken KU eller F-secure vel udtale sig om? Går ikke ud fra, de har adgang til at følge forbindelsen hele vejen tilbage?

Men nok om det. Heldigt at det blev opdaget i tide.
Gravatar #18 - David Munch
13. maj 2009 12:19
#8 Vi har før haft tyveri af forskningsmateriale herude på science afdelingen..
Gravatar #19 - Lowkey
13. maj 2009 16:11
#12

Den korrekte måde at gøre det på er, som jeg altid har lært det, at administratoren der skal have adgang til din konto, resetter dit password og derefter, når han er færdig, sender dig et nyt midlertidigt, som du så skal gå ind og ændre næste gang du logger ind.
I et ordentligt system bør ingen kunne se hvad gemte passwords er - selv ikke admins.
Gravatar #20 - arne_v
13. maj 2009 19:02
ChillySkye (6) skrev:
Nu kender jeg ikke lige KUs IT afdeling, men uddannelsessteders IT afdelinger er sjældent de skarpeste.


KU kan ikke sammenlignes med den typiske folkeskole eller gymnasie.

Indtil for nylig var det Jan P. Sørensen, som var ansvarlig for netværket på KU.
Gravatar #21 - arne_v
13. maj 2009 19:04
dradrach (12) skrev:
har de ikke adgang til login oplysninger allerede?


Forhåbentligt ikke.

Password bør opbevares hashet (nogen gange kaldet "envejs krypteret").
Gravatar #22 - nomissenrojb
13. maj 2009 22:26
#21.. Envejs.

Ha.
Gravatar #23 - Du3-
14. maj 2009 11:30
MalteN (14) skrev:

Det kunne jo sagtens være at de har brugt et translate program, feks Google Translate :)


Har du nogensinde brugt Google Translate? Den oversætter så dårligt, at man skulle tro det var den der blev brugt til at lave de scam-mails normalt. :D Prøv at tage et par tilfældige sætninger og oversæt :)
Gravatar #24 - XERXES
14. maj 2009 16:41
ChillySkye (6) skrev:
#4 Er der nogen der har modtaget denne mail eller ved hvor man kan se indholdet? Kunne ikke lige finde noget link fra epn's artikel.


Det er godt nok ikke den danske version der er blevet sendt rundt fornyligt, men her er en af de gamle der er blevet sendt rundt.

http://www.it.life.ku.dk/advarsel.aspx skrev:
Dear 'LIFE.KU.DK' email account owner,

This message is from the UNIVERSITY LISTSERV MESSAGING CENTER to all our students and staffs currently using the 'LIFE.KU.DK' email account. We are currently upgrading our database and e-mail account center. We are DE-ACTIVATING all unused accounts in order to create space for new 'LIFE.KU.DK' email accounts subcribers.

To prevent your account from being DE-ACTIVATED, you are adviced to update it as directed below so that we will know that its presently a used account. These notification is strictly to all our ISP account users and all the university students and staffs account owners as this is the last notice/verification exercise.


CONFIRM YOUR EMAIL IDENTITY BELOW:

Your Full Names:.............
Name of Department:.........
User Login Id:...............
User Password:................

YOU ARE REQUIRED TO SEND THESE DETAILS TO THE ADMIN UPGRADING
CENTER IMMEDIATELY via Email: [email protected]
Warning!!! Account owner who fails to update his/her account on
receiving this notification will loose his/her account in due time.

Thank you for using ISP/listserv support.
Warning Code:VX2G99AAJ
Thank you.
"UNIVERSITY WEB CENTER"
Gravatar #25 - vandfarve
15. maj 2009 10:29
Efter at jeg har læst mailen, så kan jeg slet ikke forstå, at folk skulle have troet, at det var sendt fra vores IT-brugerservice.

Den så således ud:
Kære konto Bruger,

Din e-mail-konto skal opgraderes til vores nye F-Secure F-HTK4S anti-virus/anti-spam 2009 version.

Alt du skal gøre er at klikke på svar og udfylde kolonne nedenfor, og klik derefter sende; vores webmail Team vil opgradere din konto. Undladelse af at gøre dette, vil din konto blive suspenderet midlertidigt fra vores tjenester.

Bruger-id:
Password:
Telefonnummer:

Tak for Deres samarbejde!

ku.dk Web-Administrator

Udover at der både er grammatiske fejl i massevis, så ligner mailen PÅ INGEN MÅDE de mails, som vi får fra IT-Service. Forskellen er kæmpe (Uden at pointere alt for mange forskelle, så kan jeg sige, at KU's IT-service laver deres mail en del mere professionelle!

Desuden, alle, der kender lidt til IT, ved også, at KU kan opgradere alle deres klienter fra centralt hold vha. en software agent, så det giver ingen mening.

Folk, der har hoppet på den, burde få dummeslag samt påtvungen kursus i basal viden om IT.
Gravatar #26 - arne_v
15. maj 2009 13:06
vandfarve (25) skrev:
Desuden, alle, der kender lidt til IT, ved også, at KU kan opgradere alle deres klienter fra centralt hold vha. en software agent, så det giver ingen mening.


KU har 8000 ansatte og 38000 studerende (ifølge wikipedia). Jeg er ret sikker på at et pænt antal af dem ikke har forstand på automatiske opdateringer.
Gravatar #27 - vandfarve
15. maj 2009 13:43
#26 Mailen er kun sendt til TAP'erne, og hvis de sidder med en computer, så bør de også vide, hvordan den virker. Det er både i KU's og de ansattes egen interesse.
Gravatar #28 - arne_v
15. maj 2009 14:08
#27

Ud af de 8000 ansatte er 4000 TAP'ere.

Med 4000 personer så kan du godt regne med at IT kundskaber er normal fordelte.

Og at du har en left tail, som en gang imellem febrilsk leder på keyboardet efter Any tasten.

Gravatar #29 - vandfarve
15. maj 2009 16:57
#28 Igen, det er ikke desto mindre yderst relevante at diskutere, hvorfor man ikke må stille så høje krav til de ansatte.

Der har været massive oplysningskampagner, phising-angreb er ikke just særligt innovativt, da man har oplevet det tusinde gange før, og hvis de arbejder ved en computer, så må de kunne kende forskellen på en officiel meddelelse og et phising-forsøg.

Jeg er enig i, at der altid er outliers, men måske burde man så overveje, hvad man kan gøre for at undgå det og måske prøve at gå efter lidt flere IT-kyndige personer.

Der er en verden til forskel på phising-mailen og de officielle mails, så det burde lyse langt fra, at det er forkert at besvare den, og hvis de ikke kan se det, så har de et stort problem.
Gravatar #30 - arne_v
28. maj 2009 01:20
#29

Det er helt urealistisk at ansætte 4000 administrativt personale som alle er gode til IT.

De store tals lov gælder.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login