10:32
30/6/2016

Advertisement

Warto odnotować jako ciekawostkę, z racji dość specyficznej i wąskiej grupy docelowej. Jak informuje nasz czytelnik:

Ktoś zarejestrował domenę uw-edu.pl :)
Wykorzystana do phishingu, udaje stronę logowania w buwie: hxxp://login.han.buw.uw-edu.pl/login/userPassword.php
Wyłudzenie danych logowania może zapewnić zdalny dostęp do płatnych baz naukowych.

Rozsyłany był mail z linkiem do spreparowanej strony i “prośbą od profesora”, z adresu udającego adres e-mail profesora jakiejś amerykańskiej uczelni. Z tego co mi wiadomo mail nie trafił do wszystkich pracowników jak leci. Nie wiem czy maila otrzymali też studenci. Strona została zgłoszona i prawdopodobnie zablokowana w sieci uniwersyteckiej. Zgłaszam jako ciekawostkę, że zabierają się za “niefinansowe” instytucje :)

Dane z WHOIS:

DOMAIN NAME: uw-edu.pl [80.82.69.11]
registrant type: individual
nameservers: ns1.hihellobye.in.
ns2.hihellobye.in.
created: 2016.05.25 22:21:11
last modified: 2016.06.04 01:12:54
renewal date: 2017.05.25 22:21:11

TECHNICAL CONTACT:
person: Francisco Fuentealba
Marcaria.com LLC
street: 501, Silverside Road, Suite 105
city: 19809 Wilmington
location: US
phone: +1.3054348621
fax: +1.3056752956
last modified: 2016.01.27

REGISTRAR:
Marcaria.com LLC
8345 NW 66 ST #B1673,
Miami, FL 33166, U.S.A
tel: +1.305.4348621
fax: +1.305.6752956
support@marcaria.com

inetnum: 80.82.69.0 - 80.82.69.255
netname: SC-QUASI75
descr: QUASI
country: SC
org: ORG-QNL3-RIPE
admin-c: QNL1-RIPE
tech-c: QNL1-RIPE
status: ASSIGNED PA
mnt-by: QUASINETWORKS-MNT
mnt-lower: QUASINETWORKS-MNT
mnt-routes: QUASINETWORKS-MNT
created: 2016-01-23T22:52:22Z
last-modified: 2016-01-23T22:52:22Z
source: RIPE

Ciekawe czy celem rzeczywiście był dostęp do płatnej bazy prac naukowych. A może za pomocą tych credentiali można uzyskać “coś jeszcze”? Z naszego krótkiego śledztwa wynika, że na tym samym serwerze hostowana była inna kampania phishingowa związana z domeną (także biblioteki):

ccu-edu.tw - hxxp://er.lib.ccu-edu.tw/Cgi-Bin/er/LoginPage.php

Aktualizacja 15:05
Mamy informację, że także UJ padł ofiarą podobnego ataku:

Szanowni Państwo,

Ostrzegamy przed fałszywą stroną logowania do Extranetu UJ. Niektórzy z Państwa otrzymali wiadomość z rzekomą prośbą o przesłanie elektronicznej wersji artykułu dostępnego poprzez extranet UJ. Prośba zawiera 2 donośniki: do fałszywej strony extranetu oraz do rzeczywistego artykułu w serwisie ScienceDirect.

Odnośnik do fałszywej strony extranetu operuje adresem extranet.uj-edu.pl (myślnik po uj).
Poprawny adres naszego extranetu to extranet.uj.edu.pl (kropka po uj).

Proszę pod żadnym pozorem nie logować się na stronie, której adres zaczyna się od extranet.uj-edu.pl .
Jeśli ktoś z Państwa już wykonał logowanie na fałszywej stronie, prosimy o jak najszybsze dokonanie zmiany hasła w jeden z dwóch podanych niżej sposobów:
– poprzez Punkt logowania ( https://login.uj.edu.pl ) – należy zalogować się do Punktu logowania, wybrać zakładkę „Zmiana hasła”, wprowadzić nowe hasło
– poprzez Osobisty Profil Tożsamości (https://idm.uj.edu.pl/OPT ) – należy zalogować się do OPT, kliknąć przycisk „Zmiana/uzgodnienie hasła” na dole ekranu, wprowadzić nowe hasło, zapisać poprzez kliknięcie ikony dyskietki

Aktualizacja 21:53
Także PW miała być atakowana.

Aktualizacja 4.7.2015
Otrzymaliśmy treść e-maila, jaki został skierowany do jednej z uczelni:

Subject: Re:
Date: Wed, 29 Jun 2016 18:32:55 -0400
From: Michel Cote michel.cote@umontreall.ca
Reply-To: Michel Cote michel.cote@umontreall.ca
To: @if.pw.edu.pl

Re:

Hi

Dear Dr. XXX

I recently read your last article and it was very useful in my field of research.

I wonder, if possible, to send me these articles to use in my current research:

1- http://gate.bg.pw-edu.pl/userPassword.php?http://www.sciencedirect.com/science/article/pii/S1571064515000214

2- http://www.sciencedirect.com/science/article/pii/S1571064515000238

Thanks for you Cooperation in Advance.

Prop.Michel Cote
Montreall University
Faculty of Arts and Science
Department of Physics
phone: 514-343-5699

Przeczytaj także:

9 komentarzy

Dodaj komentarz
  1. Na UJ tez ;) tylko w mailach jest odnosnik do postawionej strony extranetu.

  2. Na szczęście te dane nie wystarczą do logowania przez CAS (jak ktoś sugerował na fb) – tutaj loginem jest nr elektronicznej legitymacji, do CAS-a nr pesel.

  3. Potwierdzam ataki na PW (Wydział Fizyki). Celem maila było wyłudzenie hasła do biblioteki głównej PW.

  4. Możliwe, że chodzi o ludzi opiekujących się scihubem. Jeśli tak, to oby więcej takiego phishingu! :)
    Prawda jest taka, że gdyby nie scihub, to “robienie nauki” w dziedzinie lifescience w Polsce (i wielu innych krajach) byłoby praktycznie niemożliwe.

  5. Serio a UKSW to nie łaska zaatakować? Dzięki!!! CZUJĘ SIĘ URAŻONY!!!!

    • Znaj proporcjum, mocium panie

  6. Ataki na uniwersytety to nic niezwykłego. Pracuję na średniej wielkości uniwersytecie w USA i do phishingów skierowanych to użytkowników tej jednej instytucji akademickiej zdążyłem już się przyzwyczaić. Zwykle to są dość amatorsko wyglądające maile z informacją o zablokowaniu dostępu do konta i linkiem do strony gdzie można je “odblokować”, ale od adminów wiem że mimo to ludzie się nabierają i klikają. Zdarza się też że ktoś poda na takiej stronie informacje niezbędne do zalogowania się na konto.

    Dostęp do sieci akademickiej to nie tylko dostęp do baz publikacji. To tylko punkt zaczepienia który może dać możliwość dostania się do zasobów administracyjnych typu dane osobowe, księgowość, informacje finansowe, itp. To może być punkt przesiadkowy do dalszych ataków. Instytucje akademickie tradycyjnie są dość otwarte (ale to się zaczyna zmieniać), a naukowcy (zwłaszcza kierunków nie-technicznych) potrafią być bardzo łatwowierni.
    Dostęp do sieci akademickiej to także szansa na dostanie się do informacji o aktualnie prowadzonych badaniach i niepublikowanych wyników, pozwalająca zagranicznej konkurencji zaoszczędzić dużo czasu i pieniędzy. Niektóre instytucje mają dostęp doi potężnych ośrodków obliczeniowych, które można wykorzystać np. do badań nad nowymi rodzajami broni.

    Więc jeśli ktoś czuje się urażony że jego uczelni nie atakują – przykro mi, ale może w końcu byście się zajęli robieniem czegoś ciekawego? :>

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: