Hackers gebruiken het Telkom-netwerk om een nep Citibank-website op te zetten om inloggegevens te extraheren
Vorige week werd het Zuid-Afrikaanse IT-nieuwscentrum MyBroadband op de hoogte gebracht van een gecompromitteerde website die inloggegevens van klanten van Citibank steelde. Het domein van de website is naphotography[.]Co[.]Za, en het is eigendom van een fotograaf die blijkbaar een zwak wachtwoord heeft gebruikt voor hun hostingaccount.
Na een juiste inschatting van de inloggegevens hebben de hackers een phishing-pagina geüpload die er identiek uitzag aan het legitieme inlogformulier van Citibank, en hoewel het rapport niet zegt hoe slachtoffers werden verleid om hun gebruikersnamen en wachtwoorden weg te geven, kunnen we aannemen dat de boeven waarschijnlijk gebruikte overtuigende e-mails. Helaas is er geen informatie over hoeveel mensen voor de zwendel zijn gevallen of wat voor soort schade is aangericht. Van de positieve kant is de aanval nu gemeld, en dankzij de Blacklist-service van Google Safe Browsing laten de meest populaire browsers je niet eens toe de geschonden website te bezoeken.
De ongelukkige fotograaf staat nu voor de zware taak om de kwaadwillende pagina te verwijderen, zijn domein van de zwarte lijst te schrappen en enkele SEO-posities terug te winnen die onvermijdelijk verloren zijn gegaan na een dergelijk incident. Hopelijk leren ze door al deze ontberingen de volgende keer wat voorzichtiger te zijn bij het kiezen van hun wachtwoord.
Telkom met teleurstellend trage reacties
Het is duidelijk dat de eigenaar van de bovengenoemde website het grootste deel van de schuld op zich moet nemen omdat hij zichzelf kwetsbaar maakt voor wat in de media is gemeld als een brute-force aanval. Dat gezegd hebbende, wanneer een phishing-campagne wordt ontdekt, en vooral wanneer het een gecompromitteerde website betreft, zijn er andere partijen die ook actie moeten ondernemen. En deze keer handelden ze gewoon niet snel genoeg.
Onmiddellijk na het ontdekken van de kwaadaardige inlogpagina, bekeken onderzoekers de whois-gegevens voor de geschonden website en kwamen ze erachter dat deze werd gehost op een server van Telkom. Telkom is een van de grootste telecomaanbieders van Afrika. Het werd 28 jaar geleden opgericht en is nu actief in bijna 40 Afrikaanse landen.
Met andere woorden, dit is geen kleine hostingprovider die door een paar ambitieuze tieners uit een garage wordt gerund. Het is een grote onderneming die over de kennis en middelen moet beschikken om adequaat te reageren op klachten over misbruik, vooral wanneer de privacy en veiligheid van mensen op het spel staan.
Mensen probeerden in contact te komen met Telkom en de hostingprovider de phishing-pagina te laten verwijderen, maar de werknemers aan de andere kant van de lijn werden beschreven als "niet nuttig". Op 3 oktober tweette een organisatie die voornamelijk opgezet was om geavanceerde oplichtingspraktijken genaamd Artists Against 419 te vinden en te melden, tweeted over de aanval, en het kwaadaardige inlogformulier werd uiteindelijk naar beneden gehaald, maar om te zeggen dat mensen teleurgesteld zijn over het gebrek aan urgentie aangetoond door Telkom zou een understatement zijn.
Nader onderzoek wees uit dat het portfolio van de fotograaf op honderden servers werd gehost op een gedeelde server. Toen de eerste rapporten binnenstroomden, wist niemand hoe de hackers erin waren geslaagd om binnen te komen of wat voor soort toegang ze hadden. Uiteindelijk was de schade voor andere Telkom-klanten en -gebruikers beperkt, maar het had veel erger kunnen zijn, vooral gezien de trage reacties van het bedrijf.
Ik hoop dat de Zuid-Afrikaanse telecommunicatieprovider ook zijn lessen leert.
