Universiteter reagerede hurtigt på phishing-angreb

De danske universiteter, der blev ramt af en international phishing-kampagne, fik hurtigt lukket for de berørte konti.

DKCERT har været i forbindelse med de tre danske universiteter, som i 2015 blev forsøgt angrebet med målrettet phishing.

Ifølge USA's justitsministerium står en organisation i Iran bag angrebet. Formålet var at få fat i forskernes brugernavne og passwords. Dem misbrugte angriberne derefter til at få adgang til ressourcer såsom videnskabelige artikler.

Bagmændene sendte mails til udvalgte forskere, hvor de roste modtagerens forskning. De bad om yderligere information om en artikel, der var link til. Men linket førte til en forfalsket login-side, der efterlignede universitetets login-system.

Ifølge DKCERTs oplysninger blev angrebet typisk opdaget i løbet af nogle timer.

Omkring 25 personer udfyldte brugernavn og password på den falske side. Sikkerhedsorganisationerne på universiteterne sørgede for at give dem nye passwords, så snart angrebet var opdaget – typisk inden for nogle timer, i nogle tilfælde op til et par dage.

Der blev også spærret for de involverede domæner – både domænet med den falske loginside og det mail-domæne, de forfalskede mails blev sendt fra.

Der kendes ikke til tab af fortrolige data ud over passwordene som følge af angrebet på de danske universiteter.

På verdensplan mener USA's justitsministerium, at iranerne har stjålet 31 terabyte data. Ofrene er over 140 amerikanske universiteter, 30 amerikanske firmaer, fem amerikanske myndigheder og over 176 universiteter i 21 lande.

Angrebene foregik fra 2013 til 2017, oplyser USA's justitsministerium. Men de danske universiteter har kun observeret et enkelt angreb, der fandt sted i 2015.

USA's justitsministerium har sigtet ni navngivne personer fra Iran i sagen. I den forbindelse blev Center for Cybersikkerhed orienteret. Centeret tog kontakt til de berørte universiteter.

Links