Az adathalász-szolgáltatók készen állnak az elhagyott webhelyek csaliként való felhasználására

A Kaspersky új tanulmánya szerint a támadók egyre gyakrabban veszik célba az elhagyott és alig karbantartott webhelyeket adathalász oldalak tárolására.

Az adathalászok sok esetben a WordPress-webhelyekre összpontosítanak, mivel a széles körben használt tartalomkezelő rendszerben és számos beépülő moduljában rengeteg ismert sebezhetőség található.

Feltört webhelyek nagy száma

A Kaspersky kutatói a közelmúltban 22,400 15 egyedi WordPress-webhelyet számoltak össze, amelyeket a fenyegetés szereplői május 200,213. közepe és július vége között feltörtek, hogy adathalász oldalakat tároljanak. A szám olyan webhelyeket tartalmazott, amelyekre a támadók szó szerint bemehettek, mert nyílt hozzáférést biztosítottak a vezérlőpulthoz, valamint olyan webhelyeket, amelyekre a támadóknak sebezhetőségi kizsákmányolással, hitelesítő adatok ellopásával és egyéb eszközökkel kellett betörniük. A Kaspersky XNUMX XNUMX felhasználói kísérletet észlelt olyan adathalász oldalak meglátogatására, amelyeket fenyegető szereplők tároltak ezeken a webhelyeken.

"Mind a régóta elhanyagolt, mind az aktívan karbantartott webhelyeket célozhatják meg így" - mondta Kaspersky. jelentést ezen a héten. "Különösen a hackerek hajlamosak olyan kisebb webhelyeket feltörni, amelyek tulajdonosai nem tudják azonnal felismerni a jelenlétüket."

Az adathalászat továbbra is az egyik legnépszerűbb kezdeti hozzáférési vektor a támadók számára, mert mennyire sikeresek voltak vele. A siker alapja az, hogy képesek meggyőző webhelyeket és oldalakat létrehozni, amelyekben a felhasználók valószínűleg eléggé megbíznak ahhoz, hogy megosszák hitelesítő adataikat és egyéb érzékeny adataikat.

A Kaspersky kutatói azt találták, hogy a hiba javítása érdekében az adathalász-operátorok néha érintetlenül hagyják a feltört webhely fő funkcióit, még akkor is, ha adathalász oldalakat tesznek közzé a webhelyen. "Egy látogató soha nem gondolná, hogy a webhelyet feltörték: minden rész ott van, ahol lennie kell, és csak a releváns információk láthatók" - mondta Kaspersky. Ehelyett a támadók az adathalász oldalaikat új könyvtárakba rejtik el, amelyek nem érhetők el a webhely menüjében – mondta a biztonsági szolgáltató.

Könnyű szedés

A hosszan elhanyagolt domainek azért is vonzóak a támadók számára, mert az adathalász oldalak rajtuk is hosszú ideig aktívak maradhatnak. Ez különösen fontos lehet a támadók számára, tekintettel az adathalász oldalak viszonylag rövid életciklusára. 2021 decemberében a Kaspersky kiadott egy jelentést, amely összefoglalta a jelentését adathalász oldalak életciklusának elemzése. A tanulmány kimutatta, hogy az adathalász oldalak 33%-a vált inaktívvá egyetlen napon belül az éles indítást követően. Az 5,307 adathalász oldal közül, amelyeket a Kaspersky kutatói elemeztek a tanulmányhoz, 1,784 leállt az első nap után, és sok már az első néhány órában inaktívvá vált. A tanulmányban szereplő összes oldal fele 94 óra elteltével megszűnt.

A fenyegetés szereplői számára az elhagyott és alig karbantartott webhelyekre való betörés gyakran egyszerű, mert létező biztonsági rések a környezetben. Csak tavaly a kutatók és a szállítók összesen 2,370 sebezhetőséget fedtek fel a WordPressben és Plugins. Ezek közül a leggyakoribb a helyek közötti szkriptelés, az engedélyezési kiiktatás, az SQL-befecskendezés és az információközlés.

A Kaspersky azt találta, hogy amikor egy támadó egy sérülékenységen keresztül behatol egy WordPress-webhelyre, akkor egy WSO webhéjat tölt fel, amely egy rosszindulatú shell-szkript, amely lehetővé teszi a támadók számára a webhely teljes távvezérlését. A támadók ezután a webhéj segítségével betörnek a feltört webhely adminisztrációs paneljére, és hamis oldalakat helyeznek el rajta. Ezenkívül a vezérlőpultot használják hitelesítő adatok, bankkártya-adatok és egyéb érzékeny információk tárolására, amelyeket a felhasználó megtévesztve adhat be a webhelyen. Amikor egy támadó nyitva hagyja a hozzáférést a vezérlőpulthoz, az interneten bárki hozzáférhet az adatokhoz – mondta a Kaspersky.

„A tapasztalt kiberbűnözők törik fel a legális webhelyeket, hogy adathalász csapdákat állítsanak be” – mondta Kaspersky. „Mind a régóta elhanyagolt, mind az aktívan karbantartott weboldalak célpontjai lehetnek így”, különösen akkor, ha a weboldalak kicsik, és az üzemeltetők nem rendelkeznek megfelelő felszereléssel a rosszindulatú tevékenységek észlelésére.

A Kaspersky blogja tippeket kínál arra vonatkozóan, hogy a WordPress webhelyek üzemeltetői hogyan észlelhetik, ha egy támadó feltörte a webhelyüket, és adathalász oldalak tárolására használja.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait