Phishing-Betreiber nutzen verlassene Websites gerne als Köder

Einer neuen Studie von Kaspersky zufolge zielen Angreifer zunehmend auf verlassene und kaum gewartete Websites ab, um dort Phishing-Seiten zu hosten.

Aufgrund der Vielzahl bekannter Schwachstellen im weit verbreiteten Content-Management-System und seinen zahlreichen Plug-ins liegt der Fokus der Phisher in vielen Fällen auf WordPress-Seiten.

Große Anzahl kompromittierter Websites

Forscher von Kaspersky zählten kürzlich 22,400 einzigartige WordPress-Websites, die Bedrohungsakteure zwischen Mitte 15. Mai und Ende Juli kompromittiert hatten, um Phishing-Seiten zu hosten. Die Zahl umfasste Websites, die Angreifer buchstäblich betreten konnten, weil sie offenen Zugriff auf das Control Panel ermöglichten, sowie Websites, in die Angreifer über Schwachstellen-Exploits, Anmeldedatendiebstahl und andere Methoden eindringen mussten. Kaspersky hat 200,213 Versuche von Benutzern erkannt, Phishing-Seiten zu besuchen, die Bedrohungsakteure auf diesen Websites gehostet hatten.

„Sowohl lange vernachlässigte als auch aktiv gepflegte Websites können auf diese Weise ins Visier genommen werden“, sagte Kaspersky in einem berichte diese Woche. „Hacker neigen insbesondere dazu, kleinere Websites zu kompromittieren, deren Besitzer ihre Anwesenheit nicht sofort erkennen können.“

Phishing ist nach wie vor einer der beliebtesten Erstzugriffsvektoren für Angreifer, da sie damit sehr erfolgreich sind. Grundlegend für diesen Erfolg ist ihre Fähigkeit, überzeugende Websites und Seiten zu erstellen, denen Benutzer wahrscheinlich genug vertrauen, um ihre Anmeldeinformationen und andere vertrauliche Informationen weiterzugeben.

Kaspersky-Forscher haben herausgefunden, dass Phishing-Betreiber manchmal die Hauptfunktionalität einer kompromittierten Website unangetastet lassen, um den Betrug zu verbessern, selbst wenn sie Phishing-Seiten auf der Website veröffentlichen. „Ein Besucher würde niemals vermuten, dass die Website gehackt wurde: Jeder Abschnitt ist dort, wo er sein soll, und es sind nur relevante Informationen zu sehen“, sagte Kaspersky. Stattdessen verstecken die Angreifer ihre Phishing-Seiten in neuen Verzeichnissen, die nicht über das Menü der Website zugänglich sind, so der Sicherheitsanbieter.

Einfache Auswahl

Lange vernachlässigte Domains sind für Angreifer auch deshalb attraktiv, weil Phishing-Seiten auch auf ihnen über einen längeren Zeitraum aktiv bleiben können. Dies kann für Angreifer besonders wichtig sein, da Phishing-Seiten im Allgemeinen einen relativ kurzen Lebenszyklus haben. Im Dezember 2021 veröffentlichte Kaspersky einen Bericht, der seine Ergebnisse zusammenfasste Analyse des Lebenszyklus von Phishing-Seiten. Die Studie ergab, dass 33 % der Phishing-Seiten innerhalb eines einzigen Tages nach der Veröffentlichung inaktiv wurden. Von den 5,307 Phishing-Seiten, die Kaspersky-Forscher für die Studie analysierten, funktionierten 1,784 nach dem ersten Tag nicht mehr, und viele wurden bereits in den ersten Stunden inaktiv. Die Hälfte aller Seiten der Studie existierten nach 94 Stunden nicht mehr.

Für Bedrohungsakteure ist der Einbruch in verlassene und kaum gewartete Websites oft einfach vorhandene Sicherheitslücken in der Umwelt. Erst letztes Jahr, Forscher und Anbieter Insgesamt wurden 2,370 Schwachstellen offengelegt bei WordPress u Plugins. Zu den häufigsten davon gehören Cross-Site-Scripting, Autorisierungsumgehung, SQL-Injection und Informationsoffenlegung.

Kaspersky hat herausgefunden, dass ein Angreifer, wenn er über eine Sicherheitslücke in eine WordPress-Site eindringt, normalerweise eine WSO-Web-Shell hochlädt, ein bösartiges Shell-Skript, das Angreifern die vollständige Fernkontrolle über die Website ermöglicht. Die Angreifer nutzen dann die Web-Shell, um in das Admin-Panel der manipulierten Website einzudringen und gefälschte Seiten darauf zu platzieren. Sie verwenden das Control Panel auch zum Speichern von Anmeldeinformationen, Bankkartendaten und anderen sensiblen Informationen, zu deren Eingabe ein Benutzer auf der Website verleitet werden könnte. Wenn ein Angreifer den Zugriff auf das Control Panel offen lässt, kann jeder im Internet auf die Daten zugreifen, sagte Kaspersky.

„Erfahrene Cyberkriminelle hacken legitime Websites, um Phishing-Fallen zu stellen“, sagte Kaspersky. „Sowohl lange vernachlässigte als auch aktiv gepflegte Websites können auf diese Weise ins Visier genommen werden“, insbesondere wenn die Websites klein sind und die Betreiber schlecht in der Lage sind, böswillige Aktivitäten zu erkennen.

Kasperskys Blog gab Tipps, wie Betreiber von WordPress-Websites erkennen können, ob ein Angreifer ihre Website gehackt hat und diese zum Hosten von Phishing-Seiten nutzt.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait