E-mailový phishing - jak rozpoznat a nenaletět

Možná jste zaznamenali dnešní "vlnu" podvodných emailů (tzv. email phishing), které dorazily do vašich emailových schránek z emailového účtu v doméně @lf3.cuni.cz.

Na počátku stála jiná "phishingová kampaň" z dnešních (7.11.2023) ranních hodin - viz. přiložený screenshot1 z rozhraní fakultního WebMailu.

Screenshot 1

Důležitým poznávacím znakem, v tomto původním emailu, byla adresa odesílatele - na přiloženém screenshotu je zobrazena po najetí myší nad hodnotu pole "Odesílatel". Tato adresa odesílatele nepochází z domény fakulty resp. univerzity.

Také obsah emailu je, při bližším zkoumání, "podivný" - předmět emailu není pravopisně správně ("Oznámení Univerzity Karlova"), jaké "portály budou smazány", kde je jméno/podpis/patička odesílatele, je podezřelé vyvolávání pocitu nezbytnosti rychlé akce ("Upgradujte na novou verzi hned").

Kliknutím na tento odkaz v emailu vedlo na, bohužel poměrně zdařilou, kopii přihlašovací webové stránky CASu (screenshot nemám bohužel k dispozici, odkaz již v tuto chvíli nefunguje). I na této stránce otevřené ve webovém prohlížeči byl viditelný rozpor mezi zobrazeným obsahem (který se běžně nachází na webové adrese s koncovkou .cuni.cz) a adresou v adresním řádku prohlížeče.

Vyplněním přihlašovacího jména (osobního čísla) a hesla do CASu jedním ze zaměstnanců 3. LF UK došlo ke spuštění další "vlny", která byla bohužel více "zákeřná" v tom, že adresa odesílatele byla skutečná a pravá adresa v doméně @lf3.cuni.cz (viz. screenshot2).

Screenshot 2

I v tomto druhém emailu ale platí, že po obsahové i pravopisné stránce je tato zpráva velmi podivná.

Dále si také, na přiloženém screenshot2, povšimněte, že po najetí myší nad odkaz, na který máte podle výzvy v emailu kliknout, se v dolní části okna (toto platí pro aplikaci Thuderbird) zobrazí webová adresa (URL) která evidentně nepatří do domény univerzity (.cuni.cz).