В последние годы кибербезопасность в высших учебных заведениях становится все более актуальной темой, особенно учитывая рост фишинговых атак, направленных на студентов, преподавателей и административный персонал. С августа 2024 года специалисты по безопасности отмечают серьезный всплеск подобных инцидентов именно в образовательной сфере, что обусловлено особенностями академического календаря и специфичностью информационной инфраструктуры университетов. Эти атаки со стороны злоумышленников направлены на получение личных данных и финансовой информации, используя доверие, присущее академической среде. Особенности фишинговых кампаний в высших учебных заведениях заключаются в их тайминге и форме. Атакующие сознательно выбирают ключевые периоды, такие как начало учебного года и сроки подачи финансовой помощи, чтобы увеличить шансы на успешное обманное воздействие.
В это время тысячи новых и возвращающихся студентов сталкиваются с многочисленными административными задачами, что создает благоприятные условия для внедрения мошеннических сообщений и форм. Одним из основных методов, выявленных исследователями, является использование Google Forms в качестве платформы для сбора данных. Преступники компрометируют университетские аккаунты или используют поддельные ссылки, маскируя фишинговые формы под официальные коммуникации. Эти формы тщательно стилизованы: применяются цвета и логотипы университетов, используются узнаваемые имена и символы, что значительно повышает доверие со стороны жертв. В таких документах пользователей просят предоставить логины, пароли и, что особенно опасно, данные банковских карт и другую финансовую информацию под предлогом проверки или обновления данных по стипендиям и грантам.
Другой распространенный сценарий предусматривает клонирование страниц для входа на университетские порталы. Злоумышленники создают точные копии сайтов с такой же навигацией и оформлением, но размещают их на собственных доменах. Особенностью подобных атак является техническая сложность, включая использование скриптов для проверки, зашел ли пользователь с мобильного устройства, и перенаправление на дополнительные вредоносные ресурсы. Таким образом, мошенники не только похищают учетные данные, но и затрудняют выявление факта подмены страницы. Кроме того, существует многоступенчатый метод атаки, где сначала фишинговые письма направляются преподавателям и сотрудникам, в которых им обещают, к примеру, бонусы или повышения в должности под предлогом просмотра соответствующих документов.
После получения учетных данных злоумышленники используют скомпрометированные аккаунты для рассылки новых фишинговых сообщений студентам. В частности, студенты получают якобы официальные формы, например, вакантных рабочих мест или заявок, где требуется ввести личные данные и финансовую информацию. Одним из наиболее опасных типов атак является так называемое перенаправление платежей. Этот вид мошенничества связан с компрометацией корпоративных электронных почтовых ящиков с целью изменения реквизитов для переводов. Вуза часто становятся объектами таких атак, поскольку финансовые транзакции в них включают различные категории платежей — от стипендий и грантов до выплат сотрудникам и поставщикам услуг.
Мошенники могут перенаправлять как крупные суммы, так и небольшие платежи, что позволяет оставаться незамеченными продолжительное время. Признаки перенаправления платежей обычно проявляются в виде изменений банковских реквизитов в электронных письмах, которые кажутся доверительными и исходят от знакомых отправителей. Для успешной реализации таких мошенничеств хакеры проводят глубокое исследование внутренних процессов, изучают коммуникации и создают продуманные письма, максимально похожие на официальные запросы. В ответ на эти растущие угрозы специалисты по кибербезопасности рекомендуют несколько ключевых мер, направленных на минимизацию рисков и повышение осведомленности российских и зарубежных вузов. Одной из самых эффективных мер является внедрение многофакторной аутентификации.
Этот механизм значительно усложняет злоумышленникам задачу входа в учетные записи, даже если они завладели паролями пользователей. Помимо технических средств защиты важна регулярная подготовка и обучение сотрудников и студентов, направленное на распознавание подозрительных электронных писем и форм, а также на своевременное реагирование на возможные инциденты. Организации должны разрабатывать и внедрять строгие процедуры для подтверждения любых финансовых изменений. Для этого можно использовать дополнительные каналы связи, например, телефонные звонки или личные встречи, что помогает предотвратить несанкционированное изменение платежной информации. Кроме того, существуют специализированные инструменты, такие как канарейковые токены, которые позволяют обнаруживать попытки клонирования страниц и несанкционированного доступа.
Современные системы электронной почты, включая Gmail, имеют встроенные интеллект-системы и технологии анализа поведения пользователей, которые предоставляют высокий уровень фильтрации и защиты от спама, фишинга и вредоносных программ. Однако эти механизмы не способны полностью заменить человеческую бдительность и обучение. Очень важно иметь проработанный план реагирования на инциденты, который должен включать быстрые меры по изоляции угрозы, уведомлению пострадавших сторон и взаимодействию с правоохранительными органами и финансовыми институтами для максимального снижения ущерба и восстановления системы. Крайне полезно вводить ограничения на количество исходящих писем для стандартных пользователей, чтобы препятствовать массовой рассылке фишинговых сообщений в случае компрометации аккаунта. В дополнение к перечисленному, использование контекстного анализа доступа позволяет отслеживать аномальное поведение пользователей, включая нестандартные места входа, необычные устройства и изменения привычного паттерна доступа.
