Uniwersytet skrytykowany za wykorzystanie epidemii Eboli w testach phishingowych

W ostatnich dniach opinia publiczna w Wielkiej Brytanii została zaskoczona kontrowersyjnym ruchem jednego z czołowych uniwersytetów. Instytucja ta zdecydowała się przeprowadzić testy phishingowe, wykorzystując jako przynętę informacje o wybuchu epidemii wirusa Ebola. Działanie to spotkało się z ostrą krytyką zarówno ze strony pracowników, jak i ekspertów ds. bezpieczeństwa.

Phishing to forma cyberprzestępczości, w której napastnicy usiłują wyłudzić poufne dane, wykorzystując techniki socjotechniczne. Często przestępcy używają e-maili lub spreparowanych stron internetowych, aby skłonić ofiary do ujawnienia haseł, numerów kart kredytowych czy innych prywatnych informacji.

Takie testy mają na celu zwiększenie świadomości pracowników i studentów o zagrożeniach, jakie niesie ze sobą phishing. Jednakże, wykorzystanie do tego celu tematów wywołujących silne emocje, takich jak epidemie chorób, jest oceniane jako nieetyczne i wysoce kontrowersyjne.

W omawianym przypadku uniwersytet rozesłał do pracowników e-maile, które informowały o rzekomym wybuchu epidemii Eboli. Wiadomość zawierała link do spreparowanej strony, na której odbiorcy mieli rzekomo uzyskać więcej informacji na temat sytuacji. W rzeczywistości, była to jednak część testu phishingowego.

Pracownicy, którzy kliknęli w link, zostali poinformowani, że padli ofiarą testu phishingowego. Działanie to miało na celu nauczanie ostrożności w przypadku otrzymywania niespodziewanych e-maili. Jednakże wybór tak delikatnego tematu, jakim jest epidemia, spowodował falę oburzenia.

Zarówno eksperci ds. bezpieczeństwa, jak i pracownicy uczelni wyrazili swoje niezadowolenie z przeprowadzonego testu. Wielu z nich podkreślało, że takie działanie mogło wywołać niepotrzebny stres i lęk, zwłaszcza w kontekście trwającej pandemii COVID-19. Przedstawiciele pracowników skierowali również do władz uczelni petycję, w której domagają się przeprosin oraz zmian w prowadzonych testach bezpieczeństwa.

Dr Mark Evans, ekspert ds. cyberbezpieczeństwa z Uniwersytetu Londyńskiego, skomentował:

„Wykorzystanie groźby epidemii wirusa jest wysoce nieodpowiedzialne i może prowadzić do poważnych konsekwencji psychologicznych. Testy phishingowe powinny edukować, nie wywoływać paniki wśród pracowników.”

W odpowiedzi na zarzuty, przedstawiciele uniwersytetu wydali oświadczenie, w którym przeprosili za zaistniałą sytuację. Oświadczyli również, że zrewidują swoje metody testowania bezpieczeństwa, aby uniknąć podobnych incydentów w przyszłości. Rzecznik uczelni stwierdził:

„Naszym celem było zwiększenie świadomości o zagrożeniu phishingiem. Niemniej jednak, zdajemy sobie sprawę, że wybór Eboli jako przynęty był niewłaściwy i przepraszamy wszystkich, którzy poczuli się zaniepokojeni.”

Sytuacja ta pokazuje, jak ważne jest etyczne podejście do testowania i edukacji w zakresie cyberbezpieczeństwa. Prowadząc takie działania, nośnik wiarygodności powinien pamiętać, że głównym celem jest edukacja, a nie wywoływanie strachu. Oczywiście, skuteczne testy phishingowe muszą odzwierciedlać realne zagrożenia, ale nie powinny przekraczać granic moralnych.

W przyszłości należy zastanowić się nad bardziej odpowiednimi metodami testowania tego rodzaju zagrożeń. Ważne jest również, aby instytucje bacznie przyjrzały się swoim procedurom i dostosowały je do reakcji oraz potrzeb społeczności, którą obsługują.

Uniwersytet skrytykowany za wykorzystanie epidemii Eboli w testach phishingowych

Autor: Piotr Zasuwny