Especialistas em cibersegurança detetaram uma campanha de phishing que tem por objetivo recolher dados pessoais de alunos do ISCTE-IUL (Instituto Superior de Ciências do Trabalho e da Empresa – Instituto Universitário de Lisboa). A campanha de phishing, que terá começado a circular na passada segunda-feira, tem por origem um endereço de e-mail que usa a mesma terminação que costuma ser usada pelos servidores do ISCTE. Na manhã desta quarta-feira, o site usado para recolher informação dos alunos do ISCTE foi colocado offline, na sequência de diligências levadas a cabo do Centro Nacional de Cibersegurança (CNCS) e os especialistas do RCTS CERT, que monitorizam vulnerabilidades ou ciberataques em instituições do ensino superior.
«Alguém tem vindo a usar um endereço que parece ser do ISCTE e teve acesso aos contactos dos alunos para enviar estes e-mails», refere Sérgio Silva, especialista em cibersegurança e responsável da CyberS3c, quando questionado pela Exame Informática.
O Serviços de Informática do ISCTE-IUL recordam que já no passado houve campanhas de phishing, que levaram a instituição a preparar o reforço das medidas de segurança. «Antes desta notícia, já estávamos estado a trabalhar com a Microsoft a trabalhar num sistema de two factor authentication (autenticação do utilizador através com dois elementos)», explica João Oliveira, responsável pelos Serviços de Informática do ISCTE. O mesmo profissional do ISCTE confirma a existência da campanha de phishing, mas nega qualquer intrusão ou comprometimento das redes do instituto universitário.
O e-mail usado para o estratagema de phishing solicita aos utilizadores a atualização de dados associados à conta pessoal do utilizador, alegando como pretexto o uso de uma ferramenta que bloqueia mensagens de spam. O e-mail tenta ludibriar os destinatários, garantindo que, se os dados dos internautas não forem atualizados num endereço externo ao ISCTE que está alojado nos servidores da Webnode (os hackers registaram a página iscte-iul.pt.webnode.com), o utilizador ficará sem acesso à conta de e-mail. O português usado na mensagem é denunciador de que o texto, possivelmente, terá sido produzido por um tradutor automático ou por alguém que não domina o português na perfeição.
De acordo com os especialistas da Cybers3c que descobriram esta campanha maliciosa, os e-mails de phishing têm sido enviados para alunos do ISCTE através do endereço pjcpa1@iscte-iul.pt (evite trocar e-mails com este endereço).
O facto de a terminação “iscte-iul.pt” ser igual à dos endereços de vários profissionais da instituição e essa é a principal razão que leva a crer que, antes do lançamento desta campanha maliciosa, terá ocorrido um de três cenários possíveis: 1) uma eventual má configuração dos servidores que permite que hackers usem técnicas de spoofing para enviar e-mails a partir de um ou mais endereços com terminações que deveriam ser exclusivas dos servidores do ISCTE, mas que estão a ser usadas por terceiros para se fazerem passar por profissionais da instituição; 2) uma eventual intrusão que permitiu o uso dos servidores do ISCTE para o envio dos e-mails de phishing; ou 3) alguém usou ilegitimamente um acesso aos servidores do ISCTE para o envio desta campanha de phishing.
Tendo em conta que o ISCTE nega ter sofrido qualquer intrusão, tudo leva a crer que a campanha de phishing terá recorrido a técnicas de spoofing, que tentam lançar campanhas com endereços de e-mail mais credíveis.
E-mail de phising que foi enviado para os alunos do ISCTE
Sérgio Silva não tem dúvidas quanto ao spoofing: «Quando bem configurados, os serviços de correio eletrónico apenas permitem enviar e-mails a partir de números de IP (Protocolo de Internet) predeterminados. Chaves como a SPF e DKIM (DomainKeys Identified Mail), se estiverem bem parametrizadas, impedem as técnicas de spoofing», sublinha o responsável da CyberS3c, apontando algumas ferramentas de cibersegurança que recorrem aos números que costumam ser usados na identificação de servidores e serviços prestados na Internet. Os responsáveis da CyberS3C garantem já ter avisado os responsáveis do ISCTE-IUL. A Exame Informática questionou o ISCTE sobre esta matéria. A qualquer momento contamos ter uma reação da instituição universitária a este caso.
O CNCS, que conta com a equipa de operacionais CERT.PT, confirma que está a acompanhar este “caso” em articulação com o RCTS CERT.
Sobre casos como este, Sérgio Silva deixa uma recomendação: «A primeira coisa a fazer é assumir a situação e avisar os alunos sobre a existência desta campanha de phishing».
