web-dev-qa-db-fra.com

Site de phishing de Bank of America

Un message texte a été envoyé sur mon téléphone indiquant que mon compte Bank of America avait été suspendu en raison d'une activité suspecte. Il a ensuite fourni un lien pour le réactiver. Arnaque de phishing évidente. L'URL qu'ils ont fournie était via tinyurl.com. J'étais curieux alors je suis allé sur le site.

J'ai été surpris de constater que le domaine de l'URL réelle pointait vers ce qui semble être une entreprise légitime @ http://griffinconstruction.com.a . Si vous le souhaitez, je peux également fournir le chemin vers la page malveillante. J'ai pensé qu'il valait probablement mieux ne pas l'inclure ici.

En faisant un peu de recherche, j'ai découvert qu'il s'agissait d'un site wordpress. Et en faisant un peu plus de recherche, j'ai découvert que de nombreux sites wordpress ont déjà été piratés auparavant). la page du site Web contient un lien Nous contacter. J'ai essayé de contacter le propriétaire. Mais je pense que tenter de contacter le propriétaire d'un site Web piraté via le site Web lui-même serait un exercice futile.

Je l'ai signalé à Google, mais cela semble un peu comme signaler un cambriolage à la NSA. Je ne m'attends pas à grand-chose ou quoi que ce soit à en tirer. J'ai également contacté Bank of America pour les informer.

Y a-t-il autre chose que je devrais faire?

Mise à jour

Un peu plus de 24 heures plus tard et je viens de recevoir un 2ème SMS. Le numéro de téléphone est légèrement différent. Mais c'est le même code de pays et indicatif régional que le premier message. Le message lui-même est le même sauf qu'ils utilisent maintenant bit.do pour raccourcir l'URL. Après avoir lu les commentaires, j'ai décidé de vérifier celui-ci à l'aide d'un expander de liens en ligne.

L'URL bit.do a été étendue à http://deichelmauspics.de/

Encore un autre site piraté Wordpress. Le chemin de l'URL menant à la page de phishing est exactement le même qu'avant.

Mise à jour # 2

http://griffinconstruction.com.a affiche maintenant:

Ce compte a été suspendu. Contactez votre hébergeur pour plus d'informations.

Je suppose que cela explique le 2ème message :)

Merci à tous ceux qui ont donné leur avis à ce sujet

Je suppose qu'il n'y a aucun moyen réel de savoir exactement ce qui a causé la mise hors ligne du site Web. Mais à la fin de la journée, l'important est qu'il est en fait hors ligne. Et à mon avis, cela ne serait pas arrivé sans les contributions des gens de Information Security Stack Exchange. C'est assez génial.

Mise à jour # 3 Donc ça fait 8 mois. Je regardais un autre site Wordpress aujourd'hui et cela m'a fait me demander ce qu'il était advenu du site mentionné dans cette question. Je suis donc allé sur leur site Web et ... rien n'a changé. Il y a encore une fausse page de Bank of America enfouie au fond de dossiers qui ne devraient pas être accessibles au public, mais qui le sont. encore, quelqu'un pourrait. Voyez par vous-même.

LIEN MALVEILLANT

http://griffinconstruction.com.au/wp-includes/SimplePie/XML/Declaration/1

LIEN MALVEILLANT

phishingwordpress
13
I0_ol

Je contacterais l'entreprise en question. Ce sont eux qui sont les plus directement touchés et qui peuvent également les fermer le plus rapidement. Bien sûr, les hameçonneurs vont probablement simplement passer à un autre serveur pour héberger leurs demandes, mais si les propriétaires du site agissent rapidement, cela invalidera au moins immédiatement tous les messages de phishing passés qui sont sortis, ce qui pourrait sauver beaucoup de gens. difficulté.

Les contacter via le site Web n'est pas aussi mauvais d'une idée qu'il n'y paraît. De tels hacks aiment inévitablement garder un profil bas (c'est-à-dire que le site Web lui-même continue généralement à fonctionner), car s'ils cassent quelque chose, l'infection est plus susceptible d'être trouvée et corrigée, mettant fin à leur campagne de phishing. Après avoir aidé les gens à ramasser les morceaux après qu'un site wordpress soit piraté, souvent "l'infection" peut passer inaperçue pendant un certain temps avant que quelqu'un ne le remarque enfin. Habituellement, ce sont des effets secondaires non intentionnels qui a finalement sonné l'alarme: j'ai vu un site sur un VPS où chaque e-mail envoyé par les spammeurs entraînait un petit fichier journal stocké sur le disque des serveurs. Les journaux n'étaient pas surveillés, mais après quelques millions d'e-mails envoyés le serveur a manqué d'inodes et s'est écrasé.

Tout cela pour dire que si vous soumettez un contact via le formulaire de contact, il y a de très bonnes chances qu'il parvienne réellement aux propriétaires. Il existe une si grande variété de façons de gérer les formulaires de contact sur les sites wordpress, il n'y a pas de moyen facile pour les pirates de simplement le désactiver ou de l'intercepter après avoir pénétré par effraction. Je doute qu'ils Cela étant dit, vous pouvez toujours essayer de trouver des informations de contact publiques pour l'entreprise et les contacter directement: vous ne pouvez pas les appeler (sauf si vous êtes en Australie), mais vous pouvez probablement trouver un e-mail.

16
Conor Mancone

Aux États-Unis, plusieurs opérateurs vous permettent de transférer le message texte au 7726 (SPAM).

9
John Deters

Je pense que tenter de contacter le propriétaire d'un site Web piraté via le site Web lui-même serait un exercice futile.

Pensez aux résultats possibles:

  1. le message n'est pas lu, que ce soit l'attaquant ou l'opérateur du site - dans ce scénario, il n'y a aucun avantage net pour personne

  2. le message est intercepté par l'attaquant - l'attaquant connaît maintenant l'adresse à partir de laquelle vous avez envoyé votre message (c'est-à-dire que vous pourriez envisager de le faire à partir d'un compte de faible valeur, par exemple hotmail, gmail, etc. s'il ne s'agit pas d'un formulaire Web anonyme). Mais aucun avantage pour les autres victimes potentielles ni pour l'exploitant du site

  3. le message est envoyé à l'exploitant du site - ils sont susceptibles de prendre des mesures. Si cette action sera efficace ou non ...? mais il y a de fortes chances qu'au moins temporairement, moins de victimes accèdent au phishing

  4. le message va à la fois à l'opérateur du site et à l'attaquant. Le site de phishing est maintenant essentiellement incendié - alors que vous pourriez affirmer que cela permet à l'attaquant de couvrir ses traces avant de déplacer le site ailleurs, il est plus probable que l'attaquant ait déjà fait tout ce qu'il peut pour cacher sa connexion au site de phishing, d'où la le résultat est le même que 3

Dans l'ensemble, je pense qu'il y a un avantage net à envoyer la notification.

Je l'ai signalé à Google, mais cela semble un peu comme signaler un cambriolage à la NSA.

Pas vraiment - IME, ils semblent prendre des mesures à ce sujet. Bien qu'ils surveillent également des sites comme le phishtank - le signaler là aussi serait une bonne idée.

5
symcbean