Hackere ansetter Telkom-nettverket for å sette opp et falskt Citibank-nettsted for å hente ut innloggingsdata
Forrige uke ble det sørafrikanske IT-nyhetsuttaket MyBroadband varslet om et kompromittert nettsted som stjal påloggingsinformasjon fra Citibank-kunder. Nettstedets domene er naphotography[.]co[.]za, og det eies av en fotograf som tilsynelatende brukte et svakt passord for hostingkontoen sin.
Etter å ha gjettet innloggingsopplysningene riktig, lastet hackerne opp en phishing-side som så identisk med Citibanks legitime påloggingsform, og selv om rapporten ikke sier hvordan ofre ble lokket til å gi bort brukernavn og passord, kan vi anta at skurkene mest sannsynlig brukte overbevisende utseende e-poster. Dessverre er det ingen informasjon om hvor mange som falt for svindelen eller hva slags skade (hvis noen) er gjort. På den lyse siden er angrepet nå rapportert, og takket være Googles svartelistetjeneste Safe Browsing vil de mest populære nettleserne ikke engang la deg besøke det brutt nettstedet.
Den uheldige fotografen står nå overfor den vanskelige oppgaven med å fjerne den ondsinnede siden, fjerne listen over domenet fra svartelistene og gjenvinne noen SEO-stillinger som uunngåelig går tapt i kjølvannet av en slik hendelse. Forhåpentligvis vil all denne motgang lære dem å være litt mer forsiktige når de plukker passordene neste gang.
Telkom med skuffende trege reaksjoner
Det er klart at den nevnte nettstedets eier bør ta det meste av skylden for å forlate seg sårbar for det som er blitt rapportert i media som et brute-force angrep. Når det er sagt, når en phishing-kampanje blir oppdaget, og spesielt når et kompromittert nettsted er involvert, er det andre parter som også må handle. Og denne gangen handlet de rett og slett ikke raskt nok.
Umiddelbart etter å ha oppdaget den ondsinnede påloggingssiden, sjekket forskere whois-dataene for det overtrådte nettstedet, og de fant ut at det ble hostet på en server som eies av Telkom. Telkom er en av Afrikas største telekommunikasjonsleverandører. Det ble grunnlagt for 28 år siden, og opererer nå i nærmere 40 afrikanske land.
Med andre ord, dette er ikke en liten leverandør som kjøres ut av en garasje av et par ambisiøse tenåringer. Det er et stort foretak som bør ha kunnskap og ressurser til å reagere på riktig måte for å misbruke klager, spesielt når folks personvern og sikkerhet står på spill.
Folk prøvde å komme i kontakt med Telkom og fikk hosting-leverandøren til å ta phishing-siden ned, men de ansatte på den andre enden av linjen ble beskrevet som "ikke nyttige". 3. oktober tweetet en organisasjon som hovedsakelig ble opprettet for å finne og rapportere avanserte avgiftssvindel kalt Artists Against 419 om angrepet, og den ondsinnede påloggingsformen ble endelig brakt ned, men for å si at folk er skuffet over mangelen på presserende karakter demonstrert av Telkom ville være en underdrivelse.
Videre undersøkelser avdekket at fotografens portefølje ble vert på en delt server sammen med hundrevis av andre nettsteder. Da de første rapportene kom oversvømmet, var det ingen som visste hvordan hackerne hadde klart å komme seg inn eller hva slags tilgang de hadde. Til slutt var skadene for andre Telkom-kunder og brukere begrenset, men det kunne ha vært mye verre, spesielt i lys av selskapets langsomme reaksjoner.
Her håper vi at den sørafrikanske telekommunikasjonsleverandøren også vil lære seg.