Хакеры используют сеть Telkom для создания поддельного веб-сайта Citibank для извлечения данных для входа
На прошлой неделе южноафриканское информационное новостное агентство MyBroadband было уведомлено о взломанном веб-сайте, который крал учетные данные клиентов Citibank. Доменом веб-сайта является naphotography[.]co[.]za, и он принадлежит фотографу, который, очевидно, использовал слабый пароль для своей учетной записи хостинга.
После правильного угадывания учетных данных для входа в систему хакеры загрузили фишинговую страницу, которая выглядела идентично законной форме входа в систему Ситибанка, и хотя в отчете не говорится, как жертвы заманивали в свои имена пользователей и пароли, мы можем предположить, что мошенники наиболее вероятно использовал убедительно выглядящие электронные письма. К сожалению, нет информации о том, сколько людей попало в аферу или какого рода ущерб (если таковой был) был нанесен. С другой стороны, об атаке уже сообщалось, и благодаря службе черного списка безопасного просмотра Google большинство популярных браузеров даже не позволяют вам посещать взломанный веб-сайт.
Несчастный фотограф теперь сталкивается с трудной задачей удаления вредоносной страницы, исключения своего домена из черных списков и восстановления некоторых позиций SEO, которые неизбежно теряются после такого инцидента. Надеемся, что все эти трудности научат их быть более осторожными при выборе паролей в следующий раз.
Телком с неутешительно медленной реакцией
Очевидно, что владелец вышеупомянутого веб-сайта должен взять на себя большую часть вины за то, что он оставил себя уязвимым перед тем, что было сообщено в средствах массовой информации как атака грубой силы. Тем не менее, когда обнаружена фишинговая кампания, особенно если речь идет о взломанном веб-сайте, существуют другие стороны, которые также должны действовать. И на этот раз они просто не действовали достаточно быстро.
Сразу же после обнаружения вредоносной страницы входа в систему исследователи проверили данные whois для взломанного веб-сайта и обнаружили, что они размещены на сервере, принадлежащем Telkom. Telkom является одним из крупнейших телекоммуникационных провайдеров Африки. Он был основан 28 лет назад и в настоящее время работает почти в 40 африканских странах.
Другими словами, это не маленький хостинг-провайдер, которого пара амбициозных подростков выбегает из гаража. Это крупное предприятие, которое должно располагать знаниями и ресурсами для надлежащего реагирования на жалобы о злоупотреблениях, особенно когда речь идет о конфиденциальности и безопасности людей.
Люди пытались связаться с Telkom и попросили хостинг-провайдера закрыть фишинговую страницу, но сотрудники на другом конце линии были названы «бесполезными». 3 октября организация, в основном созданная для поиска и сообщения о мошенничестве с предоплатой, под названием «Артисты против 419», написала в Твиттере об атаке, и злонамеренная форма входа в систему была окончательно закрыта, но сказать, что люди разочарованы отсутствием срочности, продемонстрированной Telkom будет преуменьшением.
Дальнейшее расследование показало, что портфолио фотографа размещалось на общем сервере вместе с сотнями других веб-сайтов. Когда появились первые сообщения, никто не знал, как хакерам удалось проникнуть или какой у них был доступ. В итоге ущерб для других клиентов и пользователей Telkom был ограничен, но он мог быть намного хуже, особенно в свете медленной реакции компании.
Мы надеемся, что южноафриканский телекоммуникационный провайдер также извлечет уроки.