Universidade Nova de Lisboa aloja página de Phishing

ataque_alerta

Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.

Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais – http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.

eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html

A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja – Loginc.php que envia um email com os dados para o utilizador malicioso.

yahoo_phishing

Um pouco estranho é que a página está alojada no wix.com.

Até à data deste artigo, a página de Phishing ainda está online.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    2 Comentários em "Universidade Nova de Lisboa aloja página de Phishing"

    1. donatello diz:

      Boas,

      O nginx v0.8.55 (última v1.6.2) corre nos subdomínios fcsh.unl.pt e eicam-iem.fcsh.unl.pt. Ambos com IPs diferentes mas do mesmo ISP.

      Parece ser este o sítio do projecto com domínio WIX: http://projecto-iem.wix.com/eicam

      No subdomínio eicam-iem.fcsh.unl.pt há a pasta wetindeyhappen com os ficheiros Indezx.html e Loginc.php que estão nos servidores da universidade…

      A ligação com o serviço WIX deve ter sido feito através de configuração de DNS mas estando na pasta onde estão os ficheiros maliciosos não deveria haver redireccionamento para o WIX?…

    2. Sim devia, é um tanto estranho… Mas o meu dever era alertar e não analisar. Deixo isso às entidades competentes que informei e não obtive qualquer resposta.

    Que tal participar com o seu comentário?