¿Los estafadores tomaron el control de un subdominio para hospedar el sitio de phishing?

8

Esta mañana recibí un mensaje de texto (aparentemente) de mi banco:

  

Necesitamos contactarte. Visite enlace para obtener más información

Mi sentido de espionaje inmediatamente se estremeció. Nunca he recibido un SMS de mi banco antes, y cuando me envían un correo electrónico, siempre usan mi nombre y mi código postal. Sin embargo, nationwide.co.uk es el dominio correcto para mi banco. Por curiosidad (y con un escepticismo saludable) escribí la URL en mi computadora.

¿Es un sitio de phishing?

  1. Utiliza el mismo tema y colores que el conocido sitio web enlace
  2. Tiene una URL https (certificado de Symantec)
  3. Tiene enlaces al sitio web familiar en su pie de página, pero tiene su propia versión de la página 'contáctenos' con un número de teléfono alternativo 0800 464 3050. Compare enlace con enlace
  4. Ese número de teléfono solo aparece en esa página y no en el sitio web familiar o en ningún otro lugar de la web. Es diferente del número impreso en mi tarjeta (0800 055 66 11)
  5. El formulario solicita su nombre, dirección y los últimos cuatro dígitos del número de su tarjeta de crédito (no todo)
  6. Si intenta iniciar sesión (yo usé datos inventados), se produce un error y le pide que los llame (al número sospechoso)
  7. Si llama al número, el registro responde "Bienvenido a los servicios de tarjeta de crédito de Nationwide. Su llamada puede ser grabada con fines de calidad y capacitación".
  8. La grabación le solicita los 16 dígitos del número de su tarjeta de crédito.
  9. Después de ingresar un número inventado de 16 dígitos, una mujer amistosa que se hacía llamar Kelly contestó el teléfono. Colgué.

Si esto es phishing, no entiendo:

  1. ¿Cómo los estafadores tomaron el control de un subdominio? ¿Han hackeado las computadoras de Nationwide? (¿Servidores DNS?)
  2. ¿Cómo obtuvieron un certificado SSL para ello?

Parece que esta página lleva funcionando al menos desde enero de 2014:

El usuario de Twitter le preguntó al banco, pero no contestaron.

    
pregunta Whitehaven 13.11.2015 - 17:43
fuente

2 respuestas

6

Por el aspecto de las cosas, asumiendo que el enlace que has proporcionado es correcto, no lo hicieron.

Al usar el sitio web de Nationwide (como se accede ingresando el nombre de dominio manualmente, para evitar ataques de caracteres similares), y usar la función de búsqueda ( enlace ), ese subdominio apareció en la lista de resultados.

Elenlaceparaelsegundoresultadoes enlace

El enfoque general cuando se trata de cosas como esta es hacer esto: busque y verifique que la dirección que está usando es correcta (si tiene documentación de la organización con la dirección, aún mejor). Escríbelo, en lugar de seguir el enlace, por si acaso. Si tienen un motor de búsqueda, busque lo que sea sospechoso y, si aparece, es probable que sea legítimo. También puede intentar llamarlos o ingresar a su sucursal local, en el caso de un banco, para verificar esto.

Información adicional Me contacté con Nationwide a través de su sección de contacto de banca en línea y obtuve la siguiente respuesta:

  

Comprenda completamente cómo esto podría causarle alguna preocupación.

     

No te preocupes, este es un sitio web genuino de Nationwide. Esto es de nuestros Servicios de tarjeta de crédito, ya que es muy probable que deseen verificar dos veces un pago con usted. Es completamente seguro para usted continuar y completar esto.

     

Si no está seguro de completar esto en línea, le puedo pedir que llame directamente a nuestros Servicios de tarjeta de crédito.

Si aún estás preocupado, te sugiero que te contactes de esta manera.

    
respondido por el Matthew 13.11.2015 - 18:06
fuente
3

Soy escéptico de que paymentassistance.nationwide.co.uk es un sitio legítimo * operado por Nationwide Building Society (los operadores de nationwide.co.uk).

Realizar algunas consultas de DNS: el registro A para paymentassistance.nationwide.co.uk apunta a 80.69.23.142. El registro A para nationwide.co.uk apunta a 155.131.144.11.

Profundizando en el enrutamiento BGP para estas dos IP: 155.131.144.11 está en los bloques AS AS13114 y AS8698, ambos asignados a Nationwide Building Society por RIPE. 80.69.23.142, por otro lado, está en el bloque AS21371 de AS, que RIPE asigna a 'Equinix Limited'. Equinix Limited parece ser una empresa en el negocio de centros de datos y un proveedor de servidores en la nube, alojamiento web, etc.

Es posible que Nationwide Building Society haya subcontratado el hosting de paymentassistance.nationwide.co.uk a Equinix Limited, pero sería sorprendente dado que están hospedando nationwide.co.uk utilizando su propio espacio de IP.

Si, de hecho, paymentassistance.nationwide.co.uk es un sitio deshonesto, es curioso cómo las personas que manejan este sitio lograron controlar este nombre de host y cómo pudieron obtener un certificado válido para este sitio. Plantea en tu pregunta. Por supuesto, cualquier respuesta a estas preguntas es una conjetura, pero una posibilidad es que podría haber sido un trabajo interno por parte de un empleado de Nationwide Building Society, o el atacante pudo haber tenido la ayuda de un empleado de Nationwide. O bien, un atacante podría haber obtenido acceso al DNS para nationwide.co.uk (quizás a través de un tipo de ataque de ingeniería social en un administrador de sistemas en Nationwide, o quizás al obtener el control de la computadora de un administrador de sistemas) y, por lo tanto, el atacante podría haber creado el paymentassistance.nationwide.co.uk y obtuvo un certificado SSL validado de dominio para este nombre de host. O , paymentassistance.nationwide.co.uk simplemente puede ser operado por un subcontratista de Nationwide Building Society, como NReilingh señaló astutamente en su comentario.

* Editar: 'legítimo' golpeado en el primer párrafo en respuesta al comentario de NReilingh.

    
respondido por el mti2935 13.11.2015 - 19:42
fuente

Lea otras preguntas en las etiquetas