Gli scammer hanno il controllo di un sottodominio per ospitare il sito di phishing?

8

Questa mattina ho ricevuto un messaggio di testo (apparentemente) dalla mia banca:

We need to contact you. Please visit https://paymentassistance.nationwide.co.uk for more information

Il mio senso spidivo ha subito un formicolio. Non ho mai ricevuto un SMS dalla mia banca prima, e quando mi scrivono usano sempre il mio nome e il mio codice postale. Comunque nationwide.co.uk è il dominio corretto per la mia banca. Per curiosità (e con un sano scetticismo) ho digitato l'URL sul mio computer.

È un sito di phishing?

  1. Utilizza lo stesso tema e i colori del sito web familiare link
  2. Ha un https URL (certificato di Symantec)
  3. Ha collegamenti al sito web familiare nel suo piè di pagina, ma la sua versione della pagina "contattaci" con un numero di telefono alternativo 0800 464 3050. Confronta link con link
  4. Quel numero di telefono viene visualizzato solo su quella pagina e non sul sito web familiare o altrove sul web. Si differenzia dal numero stampato sulla mia carta (0800 055 66 11)
  5. Il modulo richiede il tuo nome, indirizzo e le ultime quattro cifre del numero della tua carta di credito (non il tutto)
  6. Se provi ad accedere (ho usato i dati inventati) fallisce e ti chiede di telefonarli (sul numero sospetto)
  7. Se telefoni il numero, una registrazione risponde "Benvenuto in servizi di carte di credito nazionali. La tua chiamata potrebbe essere registrata per scopi di qualità e formazione".
  8. La registrazione richiede quindi tutte le 16 cifre del numero della carta di credito.
  9. Dopo aver inserito un numero composto di 16 cifre, una signora amichevole che si fa chiamare Kelly risponde al telefono. Ho riattaccato.

Se si tratta di phishing, non capisco:

  1. In che modo i truffatori hanno preso il controllo di un sottodominio? Hanno hackerato i computer di Nationwide? (Server DNS?)
  2. Come hanno ottenuto un certificato SSL per questo?

Sembra che questa pagina sia attiva da almeno gennaio 2014:

L'utente Twitter ha chiesto informazioni alla banca, ma non hanno risposto.

    
posta Whitehaven 13.11.2015 - 17:43
fonte

2 risposte

6

Per l'aspetto delle cose, supponendo che il link che hai fornito sia corretto, non lo è stato.

Usando il sito web nazionale (accessibile digitando manualmente il nome del dominio, per escludere qualsiasi attacco di carattere simile) e usando la funzione di ricerca ( link ), sottodominio mostrato nell'elenco dei risultati.

Illinkperilsecondorisultatoè link

L'approccio generale quando si tratta di cose come questa è di fare questo: cercare e verificare che l'indirizzo che si sta utilizzando sia corretto (se si dispone di documenti dall'organizzazione con l'indirizzo su, ancora meglio). Digitalo, piuttosto che seguire il link, per ogni evenienza. Se hanno un motore di ricerca, cerca quello che è sospetto, e se si presenta, è probabile che sia legittimo. Puoi anche provare a chiamarli o scoppiare nella tua filiale locale, nel caso di una banca, per verificarlo.

Informazioni aggiuntive Ho contattato Nationwide tramite la sezione relativa ai contatti bancari online e ho ricevuto la seguente risposta:

Completely understand how this could cause you some concern.

Don't worry, this is a genuine Nationwide website.  This is from our Credit Card Services as they're most likely wanting to double check a payment with you.  It's completely safe for you to go ahead and complete this.

If you're a little uneasy about completing this online, please can I ask that you give our Credit Card Services a call directly.

Se sei ancora preoccupato, ti suggerisco di contattare in questo modo!

    
risposta data 13.11.2015 - 18:06
fonte
3

Sono scettico sul fatto che paymentassistance.nationwide.co.uk sia un sito legittimo * gestito da Nationwide Building Society (gli operatori di nationwide.co.uk).

Fare alcune query DNS: il record A per paymentassistance.nationwide.co.uk punta a 80.69.23.142. Il record A per nationwide.co.uk punta a 155.131.144.11.

Scavare più a fondo nel routing BGP per questi due IP: 155.131.144.11 è in AS block AS13114 e AS8698 - entrambi sono assegnati a Nationwide Building Society da RIPE. 80.69.23.142, d'altra parte, è nel blocco AS AS21371, che è assegnato a 'Equinix Limited' da RIPE. Equinix Limited sembra essere un'azienda nel business dei data center e un fornitore di server cloud, web hosting, ecc.

È possibile che la Nationwide Building Society abbia potuto esternalizzare l'hosting di paymentassistance.nationwide.co.uk a Equinix Limited, ma sarebbe sorprendente dato che stanno ospitando nationwide.co.uk utilizzando il proprio spazio IP.

Se in realtà paymentassistance.nationwide.co.uk è un sito canaglia, è curioso come le persone che gestiscono questo sito siano riusciti a ottenere il controllo di questo hostname e come siano riusciti a ottenere un certificato valido per questo sito - come tu posa nella tua domanda. Naturalmente, qualsiasi risposta a queste domande è una congettura, ma una possibilità è che avrebbe potuto essere un lavoro interno di un dipendente della Nationwide Building Society, o che l'aggressore avrebbe potuto ricevere aiuto da un dipendente di Nationwide. Oppure, un utente malintenzionato avrebbe potuto ottenere l'accesso al DNS per nationwide.co.uk (magari attraverso un tipo di social engineering di attacco a un sysadmin in Nationwide, o forse acquisendo il controllo del computer di un amministratore di sistema) - e quindi l'autore dell'attacco avrebbe potuto creare the paymentassistance.nationwide.co.uk e ottenuto un certificato SSL validato dal dominio per questo nome host. OPPURE , paymentassistance.nationwide.co.uk potrebbe semplicemente essere gestito da un subappaltatore della Nationwide Building Society, come NReilingh ha sottolineato acutamente nel suo commento.

* Modifica: "legittimo" colpito nel primo paragrafo in risposta al commento di NReilingh.

    
risposta data 13.11.2015 - 19:42
fonte

Leggi altre domande sui tag