Hakerzy wykorzystują sieć Telkom do skonfigurowania fałszywej witryny Citibank w celu wyodrębnienia danych logowania

W ubiegłym tygodniu południowoafrykański serwis informacyjny MyBroadband został powiadomiony o zaatakowanej witrynie, która kradnie dane logowania klientów Citibank. Domeną witryny jest naphotography[.]co[.]za, a jej właścicielem jest fotograf, który najwyraźniej użył słabego hasła do swojego konta hostingowego.

Po prawidłowym odgadnięciu danych logowania hakerzy przesłali stronę phishingową, która wyglądała identycznie jak legalny formularz logowania Citibank, i chociaż raport nie mówi, w jaki sposób ofiary miały skłonność do podawania swoich nazw użytkowników i haseł, możemy założyć, że oszuści najprawdopodobniej używane przekonujące e-maile. Niestety nie ma informacji o tym, ile osób padło ofiarą oszustwa ani jakie szkody (jeśli w ogóle) zostały wyrządzone. Z drugiej strony, atak został zgłoszony, a dzięki usłudze Bezpieczne przeglądanie Google na czarnej liście, większość popularnych przeglądarek nawet nie pozwala odwiedzać naruszonej witryny.

Nieszczęsny fotograf stoi teraz przed trudnym zadaniem usunięcia złośliwej strony, usunięcia swojej domeny z czarnych list i odzyskania pozycji SEO, które nieuchronnie utracone w wyniku takiego incydentu. Miejmy nadzieję, że wszystkie te trudności nauczy ich ostrożności przy następnym wybieraniu haseł.

Telkom z rozczarowująco powolnymi reakcjami

Oczywiście, właściciel wspomnianej witryny powinien wziąć na siebie większość winy za narażenie się na to, co w mediach zostało zgłoszone jako atak brutalny. Biorąc to pod uwagę, gdy zostanie wykryta kampania phishingowa, a zwłaszcza gdy w grę wchodzi zainfekowana witryna, są też inne podmioty, które muszą podjąć działania. I tym razem po prostu nie działali wystarczająco szybko.

Natychmiast po odkryciu złośliwej strony logowania badacze sprawdzili dane whois dla naruszonej witryny i dowiedzieli się, że była ona hostowana na serwerze należącym do Telkom. Telkom jest jednym z największych dostawców usług telekomunikacyjnych w Afryce. Został założony 28 lat temu i obecnie działa w prawie 40 krajach afrykańskich.

Innymi słowy, nie jest to mały dostawca hostingu, który jest wybierany z garażu przez parę aspirujących nastolatków. To duże przedsiębiorstwo, które powinno mieć wiedzę i zasoby, aby odpowiednio reagować na skargi dotyczące nadużyć, szczególnie gdy zagrożona jest prywatność i bezpieczeństwo ludzi.

Ludzie próbowali skontaktować się z Telkom i poprosić dostawcę usług hostingowych o usunięcie strony phishingowej, ale pracownicy na drugim końcu linii zostali opisani jako „nieprzydatni”. 3 października organizacja założona głównie w celu wyszukiwania i zgłaszania oszustw związanych z opłatami o nazwie Artists Against 419 opublikowała tweeta na temat ataku, a złośliwy formularz logowania został ostatecznie usunięty, ale stwierdzenie, że ludzie są rozczarowani brakiem pilności wykazanej przez Telkom byłoby mało powiedziane.

Dalsze dochodzenie ujawniło, że portfolio fotografa było przechowywane na wspólnym serwerze wraz z setkami innych stron internetowych. Kiedy pojawiły się pierwsze raporty, nikt nie wiedział, w jaki sposób hakerzy zdołali się dostać i jaki mieli dostęp. Ostatecznie szkody dla innych klientów i użytkowników Telkom były ograniczone, ale mogło być znacznie gorzej, szczególnie w świetle powolnych reakcji firmy.

Mamy nadzieję, że południowoafrykański dostawca usług telekomunikacyjnych również wyciągnie wnioski.