Os hackers empregam a Telkom Network para configurar um site falso do Citibank para extrair dados de login
Na semana passada, o canal de notícias de TI da África do Sul MyBroadband foi alertado sobre um site comprometido que estava roubando credenciais de login dos clientes do Citibank. O domínio do site é naphotography [.] Co [.] Za, e pertence a um fotógrafo que aparentemente usou uma senha fraca para sua conta de hospedagem.
Depois de adivinhar corretamente as credenciais de login, os hackers fizeram o upload de uma página de phishing que parecia idêntica ao formulário de login legítimo do Citibank e, embora o relatório não diga como as vítimas foram atraídas a doar seus nomes de usuário e senhas, podemos presumir que os criminosos provavelmente usava e-mails de aparência convincente. Infelizmente, não há informações sobre quantas pessoas caíram no golpe ou que tipo de dano (se houver) foi causado. Pelo lado positivo, o ataque já foi relatado e, graças ao serviço de lista negra da Navegação segura do Google, os navegadores mais populares nem permitem que você visite o site violado.
O infeliz fotógrafo agora está enfrentando a árdua tarefa de remover a página maliciosa, remover a lista de seu domínio das listas negras e recuperar algumas posições de SEO que são inevitavelmente perdidas após um incidente desse tipo. Felizmente, todas essas dificuldades os ensinarão a ter um pouco mais de cuidado ao escolher suas senhas na próxima vez.
Telkom com reações decepcionantemente lentas
Obviamente, o dono do site mencionado acima deve assumir a maior parte da culpa por se deixar vulnerável ao que foi relatado na mídia como um ataque de força bruta . Dito isto, quando uma campanha de phishing é descoberta, e especialmente quando um site comprometido está envolvido, há outras partes que também precisam agir. E desta vez, eles simplesmente não agiram rápido o suficiente.
Imediatamente após descobrir a página de login mal-intencionada, os pesquisadores verificaram os dados whois do site violado e descobriram que ele estava hospedado em um servidor pertencente à Telkom. A Telkom é um dos maiores provedores de telecomunicações da África. Foi fundada há 28 anos e agora opera em cerca de 40 países africanos.
Em outras palavras, este não é um pequeno provedor de hospedagem que fica sem garagem por alguns adolescentes aspirantes. É uma grande empresa que deve ter o conhecimento e os recursos para reagir adequadamente a reclamações de abuso, especialmente quando a privacidade e a segurança das pessoas estão em risco.
As pessoas tentaram entrar em contato com a Telkom e solicitar ao provedor de hospedagem que baixe a página de phishing, mas os funcionários do outro lado da linha foram descritos como "não úteis". Em 3 de outubro, uma organização criada principalmente para encontrar e denunciar golpes avançados chamados Artists Against 419 twittou sobre o ataque e o formulário de login malicioso foi finalmente desativado, mas para dizer que as pessoas estão decepcionadas com a falta de urgência demonstrada pela Telkom seria um eufemismo.
Investigações posteriores revelaram que o portfólio do fotógrafo estava hospedado em um servidor compartilhado ao lado de centenas de outros sites. Quando os primeiros relatórios chegaram, ninguém sabia como os hackers haviam conseguido entrar ou que tipo de acesso eles tinham. No final, os danos para outros clientes e usuários da Telkom foram limitados, mas poderiam ter sido muito piores, especialmente à luz das reações lentas da empresa.
Esperamos que o provedor de telecomunicações da África do Sul também aprenda suas lições.
