Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.
Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais - http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.
eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html
A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja - Loginc.php que envia um email com os dados para o utilizador malicioso.
Um pouco estranho é que a página está alojada no wix.com.
Até à data deste artigo, a página de Phishing ainda está online.
Boas,
O nginx v0.8.55 (última v1.6.2) corre nos subdomínios fcsh.unl.pt e eicam-iem.fcsh.unl.pt. Ambos com IPs diferentes mas do mesmo ISP.
Parece ser este o sítio do projecto com domínio WIX: http://projecto-iem.wix.com/eicam
No subdomínio eicam-iem.fcsh.unl.pt há a pasta wetindeyhappen com os ficheiros Indezx.html e Loginc.php que estão nos servidores da universidade…
A ligação com o serviço WIX deve ter sido feito através de configuração de DNS mas estando na pasta onde estão os ficheiros maliciosos não deveria haver redireccionamento para o WIX?…
Sim devia, é um tanto estranho… Mas o meu dever era alertar e não analisar. Deixo isso às entidades competentes que informei e não obtive qualquer resposta.