Los piratas informáticos emplean la red Telkom para configurar un sitio web falso de Citibank para extraer datos de inicio de sesión
La semana pasada, el medio sudafricano de noticias de TI MyBroadband fue alertado de un sitio web comprometido que estaba robando credenciales de inicio de sesión de los clientes de Citibank. El dominio del sitio web es naphotography [.] Co [.] Za, y es propiedad de un fotógrafo que aparentemente utilizó una contraseña débil para su cuenta de hosting.
Después de adivinar correctamente las credenciales de inicio de sesión, los piratas informáticos subieron una página de phishing que parecía idéntica al formulario de inicio de sesión legítimo de Citibank, y aunque el informe no dice cómo se engañó a las víctimas para que revelaran sus nombres de usuario y contraseñas, podemos suponer que los delincuentes probablemente utilizaba correos electrónicos de aspecto convincente. Desafortunadamente, no hay información sobre cuántas personas cayeron en la estafa o qué tipo de daño (si alguno) se ha hecho. En el lado positivo, ahora se ha informado del ataque, y gracias al servicio de lista negra de Navegación segura de Google, los navegadores más populares ni siquiera le permitirán visitar el sitio web violado.
El desafortunado fotógrafo ahora se enfrenta a la ardua tarea de eliminar la página maliciosa, eliminar su dominio de las listas negras y recuperar algunas posiciones de SEO que inevitablemente se pierden después de tal incidente. Con suerte, todas estas dificultades les enseñarán a ser un poco más cuidadosos al elegir sus contraseñas la próxima vez.
Telkom con reacciones decepcionantemente lentas
Obviamente, el propietario del sitio web antes mencionado debe asumir la mayor parte de la culpa por dejarse vulnerable a lo que se ha informado en los medios como un ataque de fuerza bruta . Dicho esto, cuando se descubre una campaña de phishing, y especialmente cuando se trata de un sitio web comprometido, hay otras partes que también deben actuar. Y esta vez, simplemente no actuaron lo suficientemente rápido.
Inmediatamente después de descubrir la página de inicio de sesión maliciosa, los investigadores verificaron los datos whois del sitio web violado y descubrieron que estaba alojado en un servidor propiedad de Telkom. Telkom es uno de los mayores proveedores de telecomunicaciones de África. Fue fundada hace 28 años, y ahora opera en cerca de 40 países africanos.
En otras palabras, este no es un pequeño proveedor de alojamiento que se queda sin garaje por un par de adolescentes aspirantes. Es una gran empresa que debe tener el conocimiento y los recursos para reaccionar adecuadamente ante las quejas de abuso, especialmente cuando la privacidad y la seguridad de las personas están en juego.
La gente trató de ponerse en contacto con Telkom y que el proveedor de hosting retirara la página de phishing, pero los empleados en el otro extremo de la línea fueron descritos como "no útiles". El 3 de octubre, una organización establecida principalmente para encontrar e informar estafas de tarifas avanzadas llamadas Artists Against 419 tuiteó sobre el ataque , y el formulario de inicio de sesión malicioso finalmente se eliminó, pero para decir que la gente está decepcionada por la falta de urgencia demostrada por Telkom Sería un eufemismo.
La investigación adicional reveló que la cartera del fotógrafo estaba alojada en un servidor compartido junto con cientos de otros sitios web. Cuando llegaron los primeros informes, nadie sabía cómo los hackers habían logrado entrar o qué tipo de acceso tenían. Al final, el daño para otros clientes y usuarios de Telkom fue limitado, pero podría haber sido mucho peor, especialmente a la luz de las lentas reacciones de la compañía.
Esperamos que el proveedor de telecomunicaciones de Sudáfrica también aprenda sus lecciones.