Hacker setzen das Telkom-Netzwerk ein, um eine gefälschte Citibank-Website zum Extrahieren von Anmeldedaten einzurichten

Citibank Phishing Campaign

Letzte Woche, South African IT news outlet MyBroadband wurde alarmiert von einer kompromittierten Website , die Anmeldeinformationen von Citibank Kunden gestohlen wurde. Die Domain der Website lautet naphotography[.]co[.]za und gehört einem Fotografen, der anscheinend ein schwaches Passwort für sein Hosting-Konto verwendet hat.

Nachdem die Anmeldeinformationen korrekt erraten wurden, haben die Hacker eine Phishing-Seite hochgeladen, die mit dem legitimen Anmeldeformular der Citibank identisch war. Obwohl der Bericht nicht besagt, wie Opfer dazu verleitet wurden, ihre Benutzernamen und Passwörter preiszugeben, können wir davon ausgehen, dass die Betrüger am wahrscheinlichsten sind überzeugend aussehende E-Mails verwendet. Leider gibt es keine Informationen darüber, wie viele Menschen auf den Betrug hereingefallen sind oder welche Art von Schaden (falls vorhanden) angerichtet wurde. Positiv ist zu vermerken, dass der Angriff jetzt gemeldet wurde. Dank des Sperrlistendienstes von Google für sicheres Browsen können Sie in den meisten gängigen Browsern nicht einmal die beschädigte Website besuchen.

Der unglückliche Fotograf steht nun vor der mühsamen Aufgabe, die bösartige Seite zu entfernen, ihre Domain von den Blacklists zu streichen und einige SEO-Positionen wiederzugewinnen, die nach einem solchen Vorfall unweigerlich verloren gehen. Hoffentlich lernen sie aus dieser Not heraus, beim nächsten Mal ein bisschen vorsichtiger zu sein, wenn sie ihre Passwörter auswählen.

Telkom mit enttäuschend langsamen Reaktionen

Offensichtlich sollte der Eigentümer der oben genannten Website die Hauptschuld dafür tragen, dass er sich selbst für das anfällig macht, was in den Medien als Brute-Force-Angriff gemeldet wurde. Das heißt, wenn eine Phishing-Kampagne entdeckt wird und insbesondere, wenn eine kompromittierte Website betroffen ist, gibt es andere Parteien, die ebenfalls handeln müssen. Und dieses Mal haben sie einfach nicht schnell genug reagiert.

Unmittelbar nach dem Auffinden der böswilligen Anmeldeseite überprüften die Forscher die Whois-Daten für die beschädigte Website und stellten fest, dass sie auf einem Server von Telkom gehostet wurden. Telkom ist einer der größten Telekommunikationsanbieter Afrikas. Es wurde vor 28 Jahren gegründet und ist heute in fast 40 afrikanischen Ländern tätig.

Mit anderen Worten, dies ist kein kleiner Hosting-Anbieter, der von ein paar ambitionierten Teenagern aus der Garage gefahren wird. Es ist ein großes Unternehmen, das über das Wissen und die Ressourcen verfügt, um angemessen auf Missbrauchsbeschwerden zu reagieren, insbesondere wenn die Privatsphäre und die Sicherheit der Menschen auf dem Spiel stehen.

Die Leute haben versucht, sich mit Telkom in Verbindung zu setzen, und der Hosting-Anbieter hat die Phishing-Seite ausgeblendet, aber die Mitarbeiter am anderen Ende der Leitung wurden als "nicht hilfreich" bezeichnet. Am 3. Oktober hat eine Organisation namens Artists Against 419, die sich hauptsächlich für das Auffinden und Melden von Gebührenbetrügereien engagiert , über den Angriff getwittert. Das böswillige Anmeldeformular wurde endgültig eingestellt wäre eine Untertreibung.

Weitere Untersuchungen ergaben, dass das Portfolio des Fotografen zusammen mit Hunderten anderer Websites auf einem gemeinsam genutzten Server gehostet wurde. Als die ersten Berichte überflutet wurden, wusste niemand, wie es den Hackern gelungen war, hineinzukommen oder welche Art von Zugang sie hatten. Am Ende war der Schaden für andere Telkom-Kunden und -Nutzer begrenzt, aber er hätte viel schlimmer sein können, insbesondere angesichts der langsamen Reaktionen des Unternehmens.

Wir hoffen, dass auch der südafrikanische Telekommunikationsanbieter seine Lektionen lernen wird.

October 9, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 10 + 7 ?