10:32
30/6/2016

Phishing wymierzony w naukowców z Uniwersystetu Warszawskiego i UJ

Autor: redakcja | Tagi:  

Warto odnotować jako ciekawostkę, z racji dość specyficznej i wąskiej grupy docelowej. Jak informuje nasz czytelnik:

Ktoś zarejestrował domenę uw-edu.pl :)
Wykorzystana do phishingu, udaje stronę logowania w buwie: hxxp://login.han.buw.uw-edu.pl/login/userPassword.php
Wyłudzenie danych logowania może zapewnić zdalny dostęp do płatnych baz naukowych.

Rozsyłany był mail z linkiem do spreparowanej strony i “prośbą od profesora”, z adresu udającego adres e-mail profesora jakiejś amerykańskiej uczelni. Z tego co mi wiadomo mail nie trafił do wszystkich pracowników jak leci. Nie wiem czy maila otrzymali też studenci. Strona została zgłoszona i prawdopodobnie zablokowana w sieci uniwersyteckiej. Zgłaszam jako ciekawostkę, że zabierają się za “niefinansowe” instytucje :)

Dane z WHOIS:

DOMAIN NAME: uw-edu.pl [80.82.69.11]
registrant type: individual
nameservers: ns1.hihellobye.in.
ns2.hihellobye.in.
created: 2016.05.25 22:21:11
last modified: 2016.06.04 01:12:54
renewal date: 2017.05.25 22:21:11

TECHNICAL CONTACT:
person: Francisco Fuentealba
Marcaria.com LLC
street: 501, Silverside Road, Suite 105
city: 19809 Wilmington
location: US
phone: +1.3054348621
fax: +1.3056752956
last modified: 2016.01.27

REGISTRAR:
Marcaria.com LLC
8345 NW 66 ST #B1673,
Miami, FL 33166, U.S.A
tel: +1.305.4348621
fax: +1.305.6752956
support@marcaria.com

inetnum: 80.82.69.0 - 80.82.69.255
netname: SC-QUASI75
descr: QUASI
country: SC
org: ORG-QNL3-RIPE
admin-c: QNL1-RIPE
tech-c: QNL1-RIPE
status: ASSIGNED PA
mnt-by: QUASINETWORKS-MNT
mnt-lower: QUASINETWORKS-MNT
mnt-routes: QUASINETWORKS-MNT
created: 2016-01-23T22:52:22Z
last-modified: 2016-01-23T22:52:22Z
source: RIPE

Ciekawe czy celem rzeczywiście był dostęp do płatnej bazy prac naukowych. A może za pomocą tych credentiali można uzyskać “coś jeszcze”? Z naszego krótkiego śledztwa wynika, że na tym samym serwerze hostowana była inna kampania phishingowa związana z domeną (także biblioteki):

ccu-edu.tw - hxxp://er.lib.ccu-edu.tw/Cgi-Bin/er/LoginPage.php

Aktualizacja 15:05
Mamy informację, że także UJ padł ofiarą podobnego ataku:

Szanowni Państwo,

Ostrzegamy przed fałszywą stroną logowania do Extranetu UJ. Niektórzy z Państwa otrzymali wiadomość z rzekomą prośbą o przesłanie elektronicznej wersji artykułu dostępnego poprzez extranet UJ. Prośba zawiera 2 donośniki: do fałszywej strony extranetu oraz do rzeczywistego artykułu w serwisie ScienceDirect.

Odnośnik do fałszywej strony extranetu operuje adresem extranet.uj-edu.pl (myślnik po uj).
Poprawny adres naszego extranetu to extranet.uj.edu.pl (kropka po uj).

Proszę pod żadnym pozorem nie logować się na stronie, której adres zaczyna się od extranet.uj-edu.pl .
Jeśli ktoś z Państwa już wykonał logowanie na fałszywej stronie, prosimy o jak najszybsze dokonanie zmiany hasła w jeden z dwóch podanych niżej sposobów:
– poprzez Punkt logowania ( https://login.uj.edu.pl ) – należy zalogować się do Punktu logowania, wybrać zakładkę „Zmiana hasła”, wprowadzić nowe hasło
– poprzez Osobisty Profil Tożsamości (https://idm.uj.edu.pl/OPT ) – należy zalogować się do OPT, kliknąć przycisk „Zmiana/uzgodnienie hasła” na dole ekranu, wprowadzić nowe hasło, zapisać poprzez kliknięcie ikony dyskietki

Aktualizacja 21:53
Także PW miała być atakowana.

Aktualizacja 4.7.2015
Otrzymaliśmy treść e-maila, jaki został skierowany do jednej z uczelni:

Subject: Re:
Date: Wed, 29 Jun 2016 18:32:55 -0400
From: Michel Cote michel.cote@umontreall.ca
Reply-To: Michel Cote michel.cote@umontreall.ca
To: @if.pw.edu.pl

Re:

Hi

Dear Dr. XXX

I recently read your last article and it was very useful in my field of research.

I wonder, if possible, to send me these articles to use in my current research:

1- http://gate.bg.pw-edu.pl/userPassword.php?http://www.sciencedirect.com/science/article/pii/S1571064515000214

2- http://www.sciencedirect.com/science/article/pii/S1571064515000238

Thanks for you Cooperation in Advance.

Prop.Michel Cote
Montreall University
Faculty of Arts and Science
Department of Physics
phone: 514-343-5699


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

9 komentarzy

Dodaj komentarz
  1. domal21 2016.06.30 10:47 | # | Reply

    Na UJ tez ;) tylko w mailach jest odnosnik do postawionej strony extranetu.

  2. janek 2016.06.30 12:49 | # | Reply

    Na szczęście te dane nie wystarczą do logowania przez CAS (jak ktoś sugerował na fb) – tutaj loginem jest nr elektronicznej legitymacji, do CAS-a nr pesel.

  3. DK 2016.06.30 21:14 | # | Reply

    Potwierdzam ataki na PW (Wydział Fizyki). Celem maila było wyłudzenie hasła do biblioteki głównej PW.

  4. w 2016.06.30 22:32 | # | Reply

    Możliwe, że chodzi o ludzi opiekujących się scihubem. Jeśli tak, to oby więcej takiego phishingu! :)
    Prawda jest taka, że gdyby nie scihub, to “robienie nauki” w dziedzinie lifescience w Polsce (i wielu innych krajach) byłoby praktycznie niemożliwe.

  5. MM 2016.06.30 23:58 | # | Reply

    Serio a UKSW to nie łaska zaatakować? Dzięki!!! CZUJĘ SIĘ URAŻONY!!!!

    • robus 2016.07.02 23:24 | # |

      Znaj proporcjum, mocium panie

  6. pir 2016.07.03 03:32 | # | Reply

    Ataki na uniwersytety to nic niezwykłego. Pracuję na średniej wielkości uniwersytecie w USA i do phishingów skierowanych to użytkowników tej jednej instytucji akademickiej zdążyłem już się przyzwyczaić. Zwykle to są dość amatorsko wyglądające maile z informacją o zablokowaniu dostępu do konta i linkiem do strony gdzie można je “odblokować”, ale od adminów wiem że mimo to ludzie się nabierają i klikają. Zdarza się też że ktoś poda na takiej stronie informacje niezbędne do zalogowania się na konto.

    Dostęp do sieci akademickiej to nie tylko dostęp do baz publikacji. To tylko punkt zaczepienia który może dać możliwość dostania się do zasobów administracyjnych typu dane osobowe, księgowość, informacje finansowe, itp. To może być punkt przesiadkowy do dalszych ataków. Instytucje akademickie tradycyjnie są dość otwarte (ale to się zaczyna zmieniać), a naukowcy (zwłaszcza kierunków nie-technicznych) potrafią być bardzo łatwowierni.
    Dostęp do sieci akademickiej to także szansa na dostanie się do informacji o aktualnie prowadzonych badaniach i niepublikowanych wyników, pozwalająca zagranicznej konkurencji zaoszczędzić dużo czasu i pieniędzy. Niektóre instytucje mają dostęp doi potężnych ośrodków obliczeniowych, które można wykorzystać np. do badań nad nowymi rodzajami broni.

    Więc jeśli ktoś czuje się urażony że jego uczelni nie atakują – przykro mi, ale może w końcu byście się zajęli robieniem czegoś ciekawego? :>

Odpowiadasz na komentarz DK

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: