Hackare anställer Telkom-nätverket för att skapa en falsk Citibank-webbplats för att extrahera inloggningsdata

Förra veckan var det sydafrikanska IT-nyhetsuttaget MyBroadband varnat för en kompromitterad webbplats som stjal inloggningsuppgifter från Citibank-kunder. Webbplatsens domän är naphotography[.]co[.]za, och den ägs av en fotograf som tydligen använde ett svagt lösenord för sitt värdkonto.

Efter korrekt gissning av inloggningsuppgifterna laddade hackarna upp en phishing-sida som såg ut identisk med Citibanks legitima inloggningsformulär, och även om rapporten inte säger hur offren lockades till att ge bort sina användarnamn och lösenord, kan vi anta att skurkarna troligen använda övertygande utseende e-postmeddelanden. Tyvärr finns det ingen information om hur många personer som föll för bedrägeriet eller vilken typ av skada (om någon) har gjorts. På den ljusa sidan har attacken nu rapporterats, och tack vare Googles svartlistningstjänst för svart surfning kommer de populäraste webbläsarna inte ens låta dig besöka den kränkta webbplatsen.

Den olyckliga fotografen står nu inför den svåra uppgift att ta bort den skadliga sidan, avlista deras domän från svartlistorna och återfå några SEO-positioner som oundvikligen går förlorade efter en sådan händelse. Förhoppningsvis kommer all denna svårighet att lära dem att vara lite mer försiktiga när de väljer sina lösenord nästa gång.

Telkom med nedslående långsamma reaktioner

Det är uppenbart att den ovannämnda webbplatsägaren borde ta det mesta av skulden för att ha lämnat sig sårbar för vad som har rapporterats i media som en brutstyrkaattack. Med det sagt, när en phishing-kampanj upptäcks, och särskilt när en kompromisserad webbplats är inblandad, finns det andra parter som också måste agera. Och den här gången agerade de helt enkelt inte tillräckligt snabbt.

Omedelbart efter att de upptäckte den skadliga inloggningssidan, undersökte forskarna whois-uppgifterna för den kränkta webbplatsen, och de fick reda på att den var värd på en server som ägs av Telkom. Telkom är en av Afrikas största telekommunikationsleverantörer. Det grundades för 28 år sedan och har nu verksamhet i nära 40 afrikanska länder.

Med andra ord, detta är inte en liten webbhotell som körs ur ett garage av ett par ambitioner tonåringar. Det är ett stort företag som bör ha kunskap och resurser för att reagera på lämpligt sätt för att missbruka klagomål, särskilt när människors integritet och säkerhet står på spel.

Människor försökte komma i kontakt med Telkom och fick värdleverantören att ta ner phishing-sidan, men de anställda i andra änden av linjen beskrivs som "inte till hjälp". Den 3 oktober tweetade en organisation som huvudsakligen inrättades för att hitta och rapportera avancerade avgiftsbedrägerier, kallade artister mot 419, om attacken, och det skadliga inloggningsformuläret kom till slut ned, men att säga att människor är besvikna över bristen på brådskande demonstration av Telkom skulle vara en underdrift.

Vidare undersökning visade att fotografens portfölj var värd på en delad server tillsammans med hundratals andra webbplatser. När de första rapporterna kom över, visste ingen hur hackarna hade lyckats komma in eller vilken typ av tillgång de hade. I slutändan var skadan för andra Telkom-kunder och användare begränsad, men det kunde ha varit mycket värre, särskilt mot bakgrund av företagets långsamma reaktioner.

Här hoppas att den sydafrikanska telekommunikationsleverantören också ska lära sig sina lektioner.