sitio de phishing de Bank of America

14

Se envió un mensaje de texto a mi teléfono indicando que mi cuenta de Bank of America se había suspendido debido a una actividad sospechosa. Luego proporcionó un enlace para reactivarlo. Estafa de phishing evidente. La URL que proporcionaron fue a través de tinyurl.com. Tenía curiosidad por lo que fui al sitio.

Me sorprendió descubrir que el dominio de la URL real apuntaba a lo que parece ser un negocio legítimo @ enlace . Si lo desea, también puedo proporcionar la ruta a la página maliciosa. Pensé que probablemente lo mejor es no incluirlo aquí.

Haciendo un poco de investigación, descubrí que este es un sitio de wordpress. Y al investigar un poco más, descubrí que muchos sitios de WordPress han sido pirateados anteriormente. En la página principal del sitio hay un enlace de contacto. He intentado contactar con el propietario. Pero creo que intentar contactar al propietario de un sitio web pirateado a través del propio sitio web sería un ejercicio inútil.

Lo he reportado a Google, pero eso parece un poco como informar un robo a la NSA. No espero mucho si algo saldrá de ello. También me he contactado con Bank of America para informarles.

¿Hay algo más que deba hacer?

Actualizar

Un poco más de 24 horas después, acabo de recibir un segundo mensaje de texto. El número de teléfono es ligeramente diferente. Pero es el mismo código de país y código de área que el primer mensaje. El mensaje en sí es el mismo, excepto que ahora están usando bit.do para acortar la URL. Después de leer los comentarios, decidí marcar este usando un expansor de enlaces en línea.

La URL de bit.do se expandió a enlace

Otro sitio de Wordpress hackeado. La ruta de la URL que conduce a la página de phishing es exactamente la misma que antes.

Actualización # 2

enlace ahora muestra:

  

Esta cuenta se ha suspendido.    Póngase en contacto con su proveedor de alojamiento para obtener más información.

Supongo que eso explica el segundo mensaje :)

Gracias a todos los que contribuyeron con sus opiniones sobre esto

Supongo que no hay una manera real de saber exactamente qué causó que el sitio web fuera desconectado. Pero al final del día, lo importante es que, de hecho, está fuera de línea. Y en mi opinión, eso no habría ocurrido sin las contribuciones de las personas de Information Security Stack Exchange. Eso es bastante impresionante.

Actualización # 3 Así que han pasado 8 meses. Miraba en otro sitio de Wordpress hoy y me hizo preguntarme qué había sido del sitio mencionado en esta pregunta. Así que fui a su sitio web y ... nada ha cambiado. Todavía hay una página falsa de Bank of America escondida en carpetas que no deberían ser de acceso público, pero sí lo están. Y eso es simplemente estúpido y descuidado. Dudo que la mayoría de la gente caiga en la estafa del Bank of America como se presentó en este caso. Pero aún así, alguien podría. Ver por ti mismo.

  

ENLACE MALICIOSO

     

enlace

     

ENLACE MALICIOSO

    
pregunta I0_ol 31.08.2017 - 14:22
fuente

3 respuestas

17

Me pondré en contacto con la empresa en cuestión. Ellos son los que están más directamente afectados y también pueden apagarlo más rápido. Por supuesto, es probable que los phishers simplemente se trasladen a otro servidor para alojar sus solicitudes, pero si los propietarios del sitio actúan con rapidez, al menos invalidarán inmediatamente todos los mensajes de phishing pasados que hayan salido, lo que potencialmente ahorrará a mucha gente problemas.

Ponerse en contacto con ellos a través del sitio web no es una idea tan mala como parece. Esos hacks, inevitablemente, prefieren mantener un perfil bajo (es decir, el sitio web suele seguir funcionando), porque si se rompen algo, es más probable que la infección se encuentre y se arregle, lo que termina con su campaña de phishing. Habiendo ayudado previamente a la gente a recoger las piezas después de que un sitio de WordPress es hackeado, muchas veces la "infección" puede pasar desapercibida durante bastante tiempo antes de que alguien finalmente se dé cuenta. Por lo general, los efectos secundarios no deseados son los que finalmente suenan en las alarmas: vi un sitio en un VPS donde cada correo electrónico enviado por los spammers resultó en un pequeño archivo de registro almacenado en el disco del servidor. Los registros no estaban siendo monitoreados, pero luego de que unos pocos millones de correos electrónicos fueron enviados, el servidor se quedó sin inodos y se estrelló.

Todo esto para decir que si envía un contacto a través del formulario de contacto, existe una gran posibilidad de que realmente vaya a los propietarios. Hay una gran variedad de formas de administrar formularios de contacto en sitios de WordPress, no hay una manera fácil para que los piratas informáticos simplemente lo apaguen o lo intercepten después de entrar. Dudo que se molesten en intentarlo. Dicho esto, siempre puedes intentar encontrar información de contacto pública para la empresa y contactarlos directamente: es posible que no los llames (a menos que estés en Australia), pero probablemente puedas encontrar un correo electrónico.

    
respondido por el Conor Mancone 31.08.2017 - 17:28
fuente
10

Múltiples operadores en los Estados Unidos le permiten reenviar el mensaje de texto a 7726 (SPAM).

    
respondido por el John Deters 31.08.2017 - 14:52
fuente
5
  

Creo que intentar contactar al propietario de un sitio web pirateado a través del sitio web sería un ejercicio inútil.

Piensa en los posibles resultados:

  1. el mensaje no se lee ni el atacante ni el operador del sitio: en este escenario, no hay beneficio neto para nadie

  2. el atacante intercepta el mensaje: el atacante ahora sabe la dirección desde la que envió el mensaje (es decir, puede considerar hacerlo desde una cuenta de bajo valor, por ejemplo, hotmail, gmail, etc. si no es una web anónima formar). Pero ningún beneficio para otras víctimas potenciales ni para el operador del sitio

  3. el mensaje se envía al operador del sitio; es probable que actúen. Si esa acción será efectiva o no ...? pero hay una buena posibilidad de que al menos temporalmente, menos víctimas accedan al phishing

  4. el mensaje va tanto al operador del sitio como al atacante. El sitio de phishing ahora está esencialmente quemado, mientras que podría argumentar que esto le permite al atacante cubrir sus huellas antes de mover el sitio a otro lugar, es más probable que el atacante ya haya hecho todo lo posible para ocultar su conexión al sitio de phishing, el resultado es el mismo que 3

En general, creo que hay un beneficio neto al enviar la notificación.

  

Lo he reportado a Google, pero eso parece un poco como informar un robo a la NSA.

En realidad no: los IME parecen hacer algo al respecto. Aunque también monitorean sitios como phishtank, informarlo allí también sería una buena idea.

    
respondido por el symcbean 31.08.2017 - 17:57
fuente

Lea otras preguntas en las etiquetas