Gli hacker utilizzano la rete Telkom per configurare un sito Web Citibank falso per estrarre i dati di accesso
La scorsa settimana, il punto vendita IT sudafricano MyBroadband è stato avvisato di un sito Web compromesso che rubava le credenziali di accesso dai clienti Citibank. Il dominio del sito web è naphotography [.] Co [.] Za, ed è di proprietà di un fotografo che apparentemente ha usato una password debole per il proprio account di hosting.
Dopo aver indovinato correttamente le credenziali di accesso, gli hacker hanno caricato una pagina di phishing che sembrava identica al modulo di accesso legittimo di Citibank e, sebbene il rapporto non dica come le vittime sono state attirate nel dare via i loro nomi utente e password, possiamo presumere che i criminali molto probabilmente usato email dall'aspetto convincente. Sfortunatamente, non ci sono informazioni su quante persone sono cadute per la truffa o che tipo di danno (se presente) è stato fatto. Il lato positivo è che ora è stato segnalato l'attacco e, grazie al servizio blacklist di Navigazione sicura di Google, i browser più diffusi non ti consentono nemmeno di visitare il sito Web violato.
Lo sfortunato fotografo si trova ora ad affrontare l'arduo compito di rimuovere la pagina dannosa, di eliminare la lista dei loro domini dalle liste nere e di recuperare alcune posizioni SEO che inevitabilmente si perdono a seguito di un tale incidente. Speriamo che tutte queste difficoltà insegnino loro a stare un po 'più attenti quando sceglieranno le loro password la prossima volta.
Telkom con reazioni deludentemente lente
Ovviamente, il proprietario del sito web di cui sopra dovrebbe prendersi la maggior parte della colpa per essersi lasciato vulnerabile a ciò che è stato riportato dai media come un attacco di forza bruta . Detto questo, quando viene scoperta una campagna di phishing, e specialmente quando è coinvolto un sito Web compromesso, ci sono anche altre parti che devono agire. E questa volta, semplicemente non hanno agito abbastanza rapidamente.
Immediatamente dopo aver scoperto la pagina di accesso dannosa, i ricercatori hanno verificato i dati whois per il sito Web violato e hanno scoperto che era ospitato su un server di proprietà di Telkom. Telkom è uno dei maggiori fornitori di telecomunicazioni in Africa. È stata fondata 28 anni fa e ora opera in quasi 40 paesi africani.
In altre parole, questo non è un piccolo provider di hosting che viene esaurito in un garage da una coppia di adolescenti aspiranti. È una grande impresa che dovrebbe avere le conoscenze e le risorse per reagire in modo appropriato agli abusi dei reclami, soprattutto quando sono in gioco la privacy e la sicurezza delle persone.
Le persone hanno provato a mettersi in contatto con Telkom e hanno chiesto al provider di hosting di abbassare la pagina di phishing, ma i dipendenti dall'altra parte della linea sono stati descritti come "non utili". Il 3 ottobre, un'organizzazione istituita principalmente per trovare e denunciare truffe a pagamento avanzate denominate Artists Against 419 ha twittato dell'attacco e il modulo di accesso dannoso è stato infine rimosso, ma per dire che le persone sono deluse dalla mancanza di urgenza dimostrata da Telkom sarebbe un eufemismo.
Ulteriori indagini hanno rivelato che il portfolio del fotografo era ospitato su un server condiviso insieme a centinaia di altri siti Web. Quando arrivarono i primi rapporti, nessuno sapeva come gli hacker fossero riusciti a entrare o che tipo di accesso avessero avuto. Alla fine, il danno per altri clienti e utenti di Telkom era limitato, ma avrebbe potuto essere molto peggio, soprattutto alla luce delle lente reazioni dell'azienda.
Speriamo che anche il fornitore di telecomunicazioni sudafricano apprenda le sue lezioni.
