Les pirates utilisent le réseau Telkom pour configurer un faux site Web Citibank afin d'extraire les données de connexion
La semaine dernière, le média sud-africain MyBroadband a été alerté d'un site Web compromis qui volait les informations d'identification des clients Citibank. Le domaine du site Web est naphotography [.] Co [.] Za, et il appartient à un photographe qui a apparemment utilisé un mot de passe faible pour son compte d'hébergement.
Après avoir correctement deviné les identifiants de connexion, les pirates ont téléchargé une page de phishing qui ressemblait au formulaire de connexion légitime de Citibank, et bien que le rapport ne dise pas comment les victimes ont été attirées par la divulgation de leurs noms d'utilisateur et mots de passe, nous pouvons supposer que les escrocs sont très probablement utilisé des e-mails convaincants. Malheureusement, il n'y a aucune information sur le nombre de personnes tombées pour l'arnaque ou sur le type de dommages (le cas échéant) qui ont été causés. Du bon côté, l'attaque a maintenant été signalée, et grâce au service de liste noire de navigation sécurisée de Google, les navigateurs les plus populaires ne vous permettront même pas de visiter le site Web piraté.
Le malheureux photographe est désormais confronté à la tâche ardue de supprimer la page malveillante, de retirer son domaine des listes noires et de retrouver certaines positions SEO qui sont inévitablement perdues à la suite d'un tel incident. Espérons que toutes ces difficultés leur apprendront à être un peu plus prudents lors du choix de leurs mots de passe la prochaine fois.
Telkom avec des réactions décevantes et lentes
De toute évidence, le propriétaire du site Web susmentionné devrait assumer la majeure partie du blâme pour s'être laissé vulnérable à ce qui a été rapporté dans les médias comme une attaque par force brute . Cela étant dit, lorsqu'une campagne de phishing est découverte, et en particulier lorsqu'un site Web compromis est impliqué, d'autres parties doivent également agir. Et cette fois, ils n'ont tout simplement pas agi assez rapidement.
Immédiatement après avoir découvert la page de connexion malveillante, les chercheurs ont vérifié les données whois du site Web piraté et ils ont découvert qu'il était hébergé sur un serveur appartenant à Telkom. Telkom est l'un des plus grands fournisseurs de télécommunications d'Afrique. Il a été fondé il y a 28 ans et est maintenant présent dans près de 40 pays africains.
En d'autres termes, ce n'est pas un petit hébergeur géré par un couple d'adolescents ambitieux. Il s'agit d'une grande entreprise qui devrait disposer des connaissances et des ressources nécessaires pour réagir de manière appropriée aux abus de plaintes, en particulier lorsque la vie privée et la sécurité des personnes sont en jeu.
Les gens ont essayé d'entrer en contact avec Telkom et ont demandé au fournisseur d'hébergement de retirer la page de phishing, mais les employés à l'autre bout de la ligne ont été décrits comme "non utiles". Le 3 octobre, une organisation principalement créée pour trouver et signaler des escroqueries avancées contre les honoraires, appelée Artists Against 419, a tweeté à propos de l'attaque , et le formulaire de connexion malveillant a finalement été supprimé, mais pour dire que les gens sont déçus du manque d'urgence démontré par Telkom serait un euphémisme.
Une enquête plus approfondie a révélé que le portfolio du photographe était hébergé sur un serveur partagé aux côtés de centaines d'autres sites Web. Lorsque les premiers rapports ont afflué, personne ne savait comment les pirates avaient réussi à entrer ou quel type d'accès ils avaient. En fin de compte, les dommages pour les autres clients et utilisateurs de Telkom étaient limités, mais ils auraient pu être bien pires, en particulier compte tenu de la lenteur des réactions de l'entreprise.
Nous espérons que le fournisseur de télécommunications sud-africain apprendra également ses leçons.