exameinformatica

Uma parceria VISÃO

Siga-nos nas redes

Perfil

Internet

Hackers usaram endereço do ISCTE para lançar ataque de phishing contra alunos

O endereço forjado que os hackers usaram para solicitar a atualização dos dados pessoais de alunos do ISCTE

Especialistas da CyberS3c detetaram uma campanha de phishing direcionada a alunos do ISCTE-IUL. O endereço usado na campanha leva a crer que foram usadas técnicas de spoofing. ISCTE nega que os sistemas tenham sido alvo de intrusão

  • 333

Especialistas em cibersegurança detetaram uma campanha de phishing que tem por objetivo recolher dados pessoais de alunos do ISCTE-IUL (Instituto Superior de Ciências do Trabalho e da Empresa – Instituto Universitário de Lisboa). A campanha de phishing, que terá começado a circular na passada segunda-feira, tem por origem um endereço de e-mail que usa a mesma terminação que costuma ser usada pelos servidores do ISCTE. Na manhã desta quarta-feira, o site usado para recolher informação dos alunos do ISCTE foi colocado offline, na sequência de diligências levadas a cabo do Centro Nacional de Cibersegurança (CNCS) e os especialistas do RCTS CERT, que monitorizam vulnerabilidades ou ciberataques em instituições do ensino superior.

«Alguém tem vindo a usar um endereço que parece ser do ISCTE e teve acesso aos contactos dos alunos para enviar estes e-mails», refere Sérgio Silva, especialista em cibersegurança e responsável da CyberS3c, quando questionado pela Exame Informática.

O Serviços de Informática do ISCTE-IUL recordam que já no passado houve campanhas de phishing, que levaram a instituição a preparar o reforço das medidas de segurança. «Antes desta notícia, já estávamos estado a trabalhar com a Microsoft a trabalhar num sistema de two factor authentication (autenticação do utilizador através com dois elementos)», explica João Oliveira, responsável pelos Serviços de Informática do ISCTE. O mesmo profissional do ISCTE confirma a existência da campanha de phishing, mas nega qualquer intrusão ou comprometimento das redes do instituto universitário.

O e-mail usado para o estratagema de phishing solicita aos utilizadores a atualização de dados associados à conta pessoal do utilizador, alegando como pretexto o uso de uma ferramenta que bloqueia mensagens de spam. O e-mail tenta ludibriar os destinatários, garantindo que, se os dados dos internautas não forem atualizados num endereço externo ao ISCTE que está alojado nos servidores da Webnode (os hackers registaram a página iscte-iul.pt.webnode.com), o utilizador ficará sem acesso à conta de e-mail. O português usado na mensagem é denunciador de que o texto, possivelmente, terá sido produzido por um tradutor automático ou por alguém que não domina o português na perfeição.

De acordo com os especialistas da Cybers3c que descobriram esta campanha maliciosa, os e-mails de phishing têm sido enviados para alunos do ISCTE através do endereço pjcpa1@iscte-iul.pt (evite trocar e-mails com este endereço).

O facto de a terminação "iscte-iul.pt" ser igual à dos endereços de vários profissionais da instituição e essa é a principal razão que leva a crer que, antes do lançamento desta campanha maliciosa, terá ocorrido um de três cenários possíveis: 1) uma eventual má configuração dos servidores que permite que hackers usem técnicas de spoofing para enviar e-mails a partir de um ou mais endereços com terminações que deveriam ser exclusivas dos servidores do ISCTE, mas que estão a ser usadas por terceiros para se fazerem passar por profissionais da instituição; 2) uma eventual intrusão que permitiu o uso dos servidores do ISCTE para o envio dos e-mails de phishing; ou 3) alguém usou ilegitimamente um acesso aos servidores do ISCTE para o envio desta campanha de phishing.

Tendo em conta que o ISCTE nega ter sofrido qualquer intrusão, tudo leva a crer que a campanha de phishing terá recorrido a técnicas de spoofing, que tentam lançar campanhas com endereços de e-mail mais credíveis.

E-mail de phising que foi enviado para os alunos do ISCTE

E-mail de phising que foi enviado para os alunos do ISCTE

Sérgio Silva não tem dúvidas quanto ao spoofing: «Quando bem configurados, os serviços de correio eletrónico apenas permitem enviar e-mails a partir de números de IP (Protocolo de Internet) predeterminados. Chaves como a SPF e DKIM (DomainKeys Identified Mail), se estiverem bem parametrizadas, impedem as técnicas de spoofing», sublinha o responsável da CyberS3c, apontando algumas ferramentas de cibersegurança que recorrem aos números que costumam ser usados na identificação de servidores e serviços prestados na Internet. Os responsáveis da CyberS3C garantem já ter avisado os responsáveis do ISCTE-IUL. A Exame Informática questionou o ISCTE sobre esta matéria. A qualquer momento contamos ter uma reação da instituição universitária a este caso.

O CNCS, que conta com a equipa de operacionais CERT.PT, confirma que está a acompanhar este "caso" em articulação com o RCTS CERT.

Sobre casos como este, Sérgio Silva deixa uma recomendação: «A primeira coisa a fazer é assumir a situação e avisar os alunos sobre a existência desta campanha de phishing».

  • 333