Vážený uživateli, právě jste podlehl/a penetračnímu testu sociálního inženýrství, který realizuje Centrum výpočetní techniky Univerzity Palackého. Reagoval/a jste na phishingový e-mail a zadal/a platné přihlašovací jméno a heslo do podvržených stránek. Naštěstí šlo v tomto případě jen o test, takže se nic nestalo.
Pokud by šlo o skutečný útok, získal by útočník plný přístup k vašim datům a mohl by využít všech vašich oprávnění. Útočník by například mohl smazat vaše soubory, vaším jménem odesílat e-maily nebo pod vaší identitou páchat trestnou činnost. Prolomená jména a hesla se navíc často prodávají, takže by si vaše přihlašovací údaje následně mohly koupit i další skupiny páchající kybernetické útoky. A pokud stejné jméno a heslo jako na UP používáte i v jiných systémech (např. na sociálních sítích), pronikli by útočníci i tam.
E-mail byl odeslán z adresy upoi.cz (nikoli upol.cz), což není oficiální adresa UP. E-mail je psán kostrbatou češtinou, obsahuje překlepy a gramatické chyby. V textu je výhrůžka týkající se zablokování služeb. Odkaz vede na stránky v doméně upoi.cz zcela mimo UP. Toto všechno jsou jasné znaky phishingového útoku.
V tomto případě vaše heslo kompromitováno nebylo, takže není třeba dělat nic. Ale pokud jste na podobné výzvy k zadání hesla reagoval/a i dříve, neškodilo by si heslo na Portále UP změnit. Heslo, které si nastavíte na UP, nepoužívejte nikde jinde. A příště prosím věnujte pozornost tomu, na jaký odkaz klikáte a do jaké stránky zadáváte své heslo.
Dear user, you have failed the social engineering penetration test, which was implemented by the Computer Centre of Palacký University. You have responded to a phishing email and entered a valid login and password into a fake webpage. Fortunately, this was only a test, therefore nothing serious happened.
If this was a real attack, the attacker would get full access to your data and could use all your authorizations. The attacker could delete all your files, send emails under your name, or commit crimes using your identity. Furthermore, breached names and passwords are usually sold, so your login data could be purchased by other groups involved in cybernetic attacks. If you use the same name and password as in UP in other systems (e.g., social networks), attackers could breach those accounts as well.
The email was sent from address upoi.cz (not upol.cz), which is not an official UP address. The emails were written in rough Czech language, they contain typos and grammatical errors. Further, the text pressures you by a threat of blocking services. The link leads to pages in the domain upoi.cz which is completely outside UP. These are all clear signs of a phishing attack.
Your password has not been compromised yet, so nothing needs to be done right now. But if you have ever responded to similar emails wanting to enter your password before, you should consider changing the password in the UP Portal. Do not use the password on UP anywhere else. And next time, please, be careful which link you click on and on which page you enter your password.