Andmepüügioperaatorid kasutavad sööda jaoks valmis hüljatud veebisaite

Kaspersky uue uuringu kohaselt sihivad ründajad andmepüügilehtede majutamiseks üha enam hüljatud ja vaevu hooldatud veebisaite.

Paljudel juhtudel keskenduvad andmepüüdjad WordPressi saitidele, kuna laialdaselt kasutatavas sisuhaldussüsteemis ja selle arvukates pistikprogrammides on teadaolevaid turvaauke.

Suur hulk ohustatud veebisaite

Kaspersky teadlased loendasid hiljuti 22,400 15 unikaalset WordPressi veebisaiti, mida ohus osalejad olid 200,213. mai keskpaigast juuli lõpuni andmepüügilehtede majutamiseks ohustanud. See arv hõlmas veebisaite, kuhu ründajad said sõna otseses mõttes sisse astuda, kuna need pakkusid avatud juurdepääsu juhtpaneelile, samuti saite, kuhu ründajad pidid tungima haavatavuse ärakasutamise, mandaadi varguse ja muude vahenditega. Kaspersky tuvastas XNUMX XNUMX kasutajate katset külastada andmepüügilehti, mida ohustajad olid neil veebisaitidel hostinud.

"Sel viisil võidakse sihtida nii kaua tähelepanuta jäetud kui ka aktiivselt hooldatud veebisaite," ütles Kaspersky sellest nädalast aru anda. "Eelkõige kipuvad häkkerid ohustama väiksemaid veebisaite, mille omanikud ei suuda nende olemasolu kohe ära tunda."

Andmepüük on ründajate jaoks jätkuvalt üks populaarsemaid esialgseid juurdepääsuvektoreid, kuna nad on sellega edukalt toime tulnud. Selle edu aluseks on nende võime luua veenvaid veebisaite ja lehti, mida kasutajad tõenäoliselt piisavalt usaldavad, et jagada oma mandaate ja muud tundlikku teavet.

Kaspersky teadlased leidsid, et pettuse parandamiseks jätavad andmepüügioperaatorid mõnikord rikutud veebisaidi põhifunktsioonid puutumata isegi siis, kui nad avaldavad saidil andmepüügilehti. "Külastaja ei arva kunagi, et saiti on häkitud: iga jaotis on seal, kus see olema peab, ja näha saab ainult asjakohast teavet," ütles Kaspersky. Selle asemel peidavad ründajad oma andmepüügilehed uutesse kataloogidesse, millele veebisaidi menüüs ligi ei pääse, ütles turvamüüja.

Lihtsad valikud

Pikalt tähelepanuta jäetud domeenid on ka ründajate jaoks atraktiivsed, kuna andmepüügilehed võivad neil samuti pikka aega aktiivseks jääda. See võib olla eriti oluline ründajate jaoks, arvestades andmepüügilehtede suhteliselt lühikest elutsüklit üldiselt. 2021. aasta detsembris avaldas Kaspersky aruande, mis võttis selle kokku andmepüügilehtede elutsükli analüüs. Uuring näitas, et 33% andmepüügilehtedest muutus passiivseks ühe päeva jooksul pärast avaldamist. 5,307 andmepüügilehest, mida Kaspersky teadlased uuringu jaoks analüüsisid, lõpetas 1,784 töötamise pärast esimest päeva, kusjuures paljud muutusid passiivseks juba esimeste tundide jooksul. Pooled uuringu lehtedest lakkasid 94 tunni pärast olemast.

Ohutegijate jaoks on hüljatud ja vaevu hooldatud veebisaitidele tungimine sageli lihtne, kuna olemasolevad turvaaugud keskkonnas. Just eelmisel aastal teadlased ja müüjad avalikustas kokku 2,370 turvaauku WordPressis ja pluginad. Kõige levinumad neist on saidiülene skriptimine, autoriseerimise ümbersõit, SQL-i sisestamine ja teabe avalikustamine.

Kaspersky leidis, et tavaliselt, kui ründaja tungib haavatavuse kaudu WordPressi saidile, laadib ta üles WSO veebikesta, mis on pahatahtlik kestaskript, mis võimaldab ründajatel veebisaiti täielikult kaugjuhtida. Seejärel kasutavad ründajad veebikesta, et tungida ohustatud veebisaidi administraatoripaneelile ja hakata sellele võltslehti panema. Samuti kasutavad nad juhtpaneeli mandaatide, pangakaardiandmete ja muu tundliku teabe salvestamiseks, mida kasutajat võidakse petta veebisaidile sisestama. Kui ründaja jätab juurdepääsu juhtpaneelile avatuks, saavad kõik Interneti kasutajad andmetele juurdepääsu, ütles Kaspersky.

"Kogenud küberkurjategijad häkivad seaduslikke veebisaite andmepüügilõksude seadmiseks," ütles Kaspersky. "Nii kaua tähelepanuta jäetud kui ka aktiivselt hooldatud veebisaite võidakse sel viisil sihikule võtta," eriti kui veebisaidid on väikesed ja operaatoritel pole pahatahtlikku tegevust tuvastada.

Kaspersky ajaveeb pakkus näpunäiteid selle kohta, kuidas WordPressi veebisaitide operaatorid saavad tuvastada, kas ründaja on nende veebisaiti häkkinud ja kasutab seda andmepüügilehtede majutamiseks.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait