Sito di phishing della Bank of America

14

Un messaggio di testo è stato inviato al mio telefono affermando che il mio account Bank of America era stato sospeso a causa di attività sospette. Quindi ha fornito un link per riattivarlo. Scam phishing evidente. L'URL che hanno fornito era attraverso tinyurl.com. Ero curioso quindi sono andato al sito.

Sono stato sorpreso di scoprire che il dominio dell'URL reale indicava quello che sembra essere un business legittimo @ link . Se lo si desidera, posso fornire anche il percorso della pagina dannosa. Ho pensato che probabilmente fosse meglio non includerlo qui.

Facendo una piccola ricerca ho scoperto che questo è un sito wordpress. E facendo un po 'più di ricerche ho scoperto che molti siti wordpress sono stati hackerati prima. Sulla pagina principale del sito web c'è un link Contattaci. Ho tentato di contattare il proprietario. Ma penserei che tentare di contattare il proprietario di un sito web compromesso attraverso il sito stesso sarebbe un esercizio inutile.

L'ho segnalato a Google ma sembra un po 'come riportare un furto alla NSA. Non mi aspetto molto se non qualcosa da venire da esso. Ho anche contattato Bank of America per informarli.

C'è qualcos'altro che dovrei fare?

Aggiorna

Poco più di 24 ore dopo e ho appena ricevuto un secondo messaggio di testo. Il numero di telefono è leggermente diverso. Ma è lo stesso prefisso nazionale e prefisso locale del primo messaggio. Il messaggio stesso è lo stesso eccetto che ora stanno usando bit.do per abbreviare l'URL. Dopo aver letto i commenti ho deciso di controllare questo utilizzando un expander di collegamento online.

L'URL bit.do esteso a link

Ancora un altro sito di Wordpress compromesso. Il percorso dell'URL che porta alla pagina di phishing è esattamente lo stesso di prima.

Aggiornamento n. 2

link ora mostra:

This Account has been suspended. Contact your hosting provider for more information.

Immagino che questo spieghi il secondo messaggio:)

Grazie a tutti coloro che hanno contribuito con le loro riflessioni su questo

Suppongo che non ci sia un modo reale per sapere esattamente cosa ha causato il sito Web da portare offline. Ma alla fine, l'importante è che sia di fatto offline. E a mio parere, ciò non sarebbe successo senza i contributi del popolo dello Scambio di informazioni sulla sicurezza dello stack. È davvero fantastico.

Aggiornamento n. 3 Quindi sono passati 8 mesi. Stavo guardando un altro sito Wordpress oggi e mi sono chiesto cosa fosse successo del sito menzionato in questa domanda. Così sono andato sul loro sito web e ... nulla è cambiato. C'è ancora una pagina falsa della Bank of America sepolta in fondo a cartelle che non dovrebbero essere accessibili pubblicamente ma lo sono. E questo è solo stupido e incurante. Dubito che la maggior parte delle persone si innamorerebbe della truffa della Bank of America come è stata presentata in questo caso. Ma ancora, qualcuno potrebbe. Vedi di persona.

MALICIOUS LINK

http://griffinconstruction.com.au/wp-includes/SimplePie/XML/Declaration/1

MALICIOUS LINK

    
posta I0_ol 31.08.2017 - 14:22
fonte

3 risposte

17

Vorrei contattare l'azienda in questione. Sono quelli che sono più direttamente interessati e possono anche spegnerlo più rapidamente. Ovviamente, i phisher probabilmente passeranno a un altro server per ospitare le loro richieste, ma se i proprietari del sito agiranno rapidamente, invalideranno almeno immediatamente tutti i messaggi di phishing passati che sono andati fuori, potenzialmente salvando un sacco di gente un sacco di guai.

Contattarli attraverso il sito web non è un'idea così negativa come sembra. Questi hack preferiscono mantenere un basso profilo (il che significa che il sito stesso di solito continua a funzionare), perché se si rompono qualcosa l'infezione è più probabile che venga trovata e risolta, ponendo fine alla loro campagna di phishing. Avendo precedentemente aiutato la gente a raccogliere i pezzi dopo che un sito wordpress veniva violato, spesso le "infezioni" possono passare inosservate per un po 'prima che qualcuno se ne accorga. Di solito sono gli effetti collaterali non intenzionali che suonano finalmente i campanelli d'allarme: ho visto un sito su un VPS in cui ogni e-mail inviata dagli spammer ha dato come risultato un piccolo file di registro memorizzato sul disco del server. I log non venivano monitorati, ma dopo che alcuni milioni di e-mail sono stati inviati, il server ha esaurito gli inode e si è bloccato.

Tutto ciò per dire che se si invia un contatto tramite il modulo di contatto ci sono ottime possibilità che vada effettivamente ai proprietari. Esistono molti modi per gestire i moduli di contatto sui siti wordpress, non c'è un modo semplice per gli hacker di spegnerlo o intercettarlo dopo l'irruzione. Dubito che si preoccupino di provare. Detto questo, puoi sempre provare a trovare alcune informazioni di contatto pubbliche per l'azienda e contattarle direttamente: potresti non chiamarle (a meno che tu non sia in Australia), ma probabilmente puoi trovare un'email.

    
risposta data 31.08.2017 - 17:28
fonte
10

Più operatori negli Stati Uniti consentono di inoltrare il messaggio di testo a 7726 (SPAM).

    
risposta data 31.08.2017 - 14:52
fonte
5

I would think attempting to contact the owner of a hacked website through the website itself would be an exercise in futility.

Pensa ai possibili risultati:

  1. il messaggio non viene letto può essere l'attaccante o l'operatore del sito - in questo scenario, non c'è alcun beneficio netto per nessuno

  2. il messaggio viene intercettato dall'attaccante - l'utente malintenzionato ora conosce l'indirizzo da cui hai inviato il tuo messaggio (ad esempio potresti considerare di farlo da un account di basso valore, ad esempio hotmail, gmail ecc se non è un web anonimo modulo). Ma nessun beneficio per altre potenziali vittime né l'operatore del sito

  3. il messaggio viene inviato all'operatore del sito: è probabile che agisca. Se quell'azione sarà efficace o no ...? ma ci sono buone probabilità che almeno temporaneamente, meno vittime accedano al phishing

  4. il messaggio va sia all'operatore del sito che all'attaccante. Il sito di phishing ora è essenzialmente bruciato - mentre si potrebbe obiettare che questo consente all'hacker di coprire le sue tracce prima di spostare altrove il sito, è più probabile che l'hacker abbia già fatto tutto il possibile per nascondere la connessione al sito di phishing, da qui il il risultato è lo stesso di 3

Nel complesso, ritengo che ci sia un vantaggio netto nell'invio della notifica.

I have reported it to Google but that seems a bit like reporting a burglary to the NSA.

Non proprio - IME sembra che agiscano su questi. Anche se controllano anche siti come phishtank - segnalarlo anche lì sarebbe una buona idea.

    
risposta data 31.08.2017 - 17:57
fonte

Leggi altre domande sui tag