Les pirates utilisent le réseau Telkom pour configurer un faux site Web Citibank afin d'extraire les données de connexion

Citibank Phishing Campaign

La semaine dernière, le centre de presse informatique sud-africain, MyBroadband, a été alerté d'un site Web compromis qui volait les identifiants de connexion des clients de Citibank. Le domaine du site Web est naphotography[.]co[.]za et appartient à un photographe qui a apparemment utilisé un mot de passe faible pour son compte d'hébergement.

Après avoir deviné correctement les informations de connexion, les pirates ont mis en ligne une page de phishing identique à la forme de connexion légitime de Citibank. Bien que le rapport ne précise pas comment les victimes ont été incitées à donner leur nom d'utilisateur et leur mot de passe, nous pouvons présumer que les escrocs sont les plus susceptibles. utilisé des e-mails convaincants. Malheureusement, il n’ya aucune information sur le nombre de personnes qui sont tombées pour l’arnaque ou sur le type de dommage (le cas échéant) qui a été causé. L’attaque a maintenant été signalée et, grâce au service de liste noire de Google Safe Browsing, la plupart des navigateurs les plus populaires ne vous permettent même pas de visiter le site Web violé.

Le photographe malheureux est maintenant confronté à la tâche ardue de supprimer la page malveillante, de retirer son domaine des listes noires et de récupérer des positions de référencement perdues inévitablement à la suite d'un tel incident. Espérons que toutes ces difficultés leur apprendront à être un peu plus prudents lors du choix de leurs mots de passe la prochaine fois.

Telkom avec des réactions décevantes

De toute évidence, le propriétaire du site Web susmentionné devrait être le principal responsable de se laisser vulnérable à ce que les médias ont rapporté comme une attaque par force brute. Cela dit, lorsqu'une campagne d'hameçonnage est découverte, et en particulier lorsqu'un site Web compromis est impliqué, d'autres parties doivent également agir. Et cette fois, ils n’ont tout simplement pas agi assez rapidement.

Immédiatement après avoir découvert la page de connexion malveillante, les chercheurs ont vérifié les données Whois du site Web violé, et ont découvert qu'il était hébergé sur un serveur appartenant à Telkom. Telkom est l'un des plus importants fournisseurs de télécommunications en Afrique. Il a été fondé il y a 28 ans et opère maintenant dans près de 40 pays africains.

En d'autres termes, il ne s'agit pas d'un petit fournisseur d'hébergement géré par un couple d'adolescents ambitieux. C'est une grande entreprise qui devrait avoir les connaissances et les ressources nécessaires pour réagir de manière appropriée aux plaintes d'abus, en particulier lorsque la vie privée et la sécurité des personnes sont en jeu.

Les gens ont essayé de contacter Telkom pour que le fournisseur d’hébergement supprime la page de phishing, mais les employés à l’autre bout de la ligne ont été décrits comme "pas utiles". Le 3 octobre, une organisation principalement chargée de rechercher et de signaler des arnaques de paiement avancées appelée Artists Against 419 a tweeté à propos de l'attaque. Le formulaire de connexion malveillant a finalement été supprimé, mais les gens sont déçus du manque d'urgence manifesté par Telkom. serait un euphémisme.

Une enquête plus approfondie a révélé que le portfolio du photographe était hébergé sur un serveur partagé, aux côtés de centaines d'autres sites Web. Lorsque les premiers rapports ont été diffusés, personne ne savait comment les pirates avaient réussi à entrer ou quel type d'accès ils avaient.. Au final, les dommages causés aux autres clients et utilisateurs de Telkom étaient limités, mais ils auraient pu être bien plus graves, en particulier à la lumière de la lenteur des réactions de la société.

Espérons que le fournisseur de télécommunications sud-africain tirera également des leçons de l'expérience.

October 9, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 9 ?