Volgens een nieuw onderzoek van Kaspersky richten aanvallers zich steeds vaker op verlaten en nauwelijks onderhouden websites voor het hosten van phishing-pagina’s.
In veel gevallen ligt de focus van phishers op WordPress-sites vanwege het grote aantal bekende kwetsbaarheden in het veelgebruikte contentmanagementsysteem en de talrijke plug-ins.
Groot aantal gecompromitteerde websites
Onderzoekers van Kaspersky telden onlangs 22,400 unieke WordPress-websites die tussen midden 15 mei en eind juli door bedreigingsactoren waren gecompromitteerd om phishing-pagina's te hosten. Het aantal omvatte websites waar aanvallers letterlijk binnen konden lopen omdat ze open toegang tot het controlepaneel boden, evenals sites waar aanvallers moesten inbreken via exploits van kwetsbaarheden, diefstal van inloggegevens en andere middelen. Kaspersky heeft 200,213 pogingen van gebruikers gedetecteerd om phishingpagina's te bezoeken die bedreigingsactoren op deze websites hadden gehost.
“Zowel lang verwaarloosde als actief onderhouden websites kunnen op deze manier worden getarget”, zegt Kaspersky in een persbericht meld deze week. “Met name hackers hebben de neiging kleinere websites te compromitteren waarvan de eigenaren hun aanwezigheid niet onmiddellijk kunnen herkennen.”
Phishing blijft een van de populairste initiële toegangsvectoren voor aanvallers, vanwege het succes dat ze ermee hebben geboekt. Fundamenteel voor dat succes is hun vermogen om overtuigende websites en pagina's te creëren die gebruikers waarschijnlijk voldoende zullen vertrouwen om hun inloggegevens en andere gevoelige informatie te delen.
Kaspersky-onderzoekers ontdekten dat phishing-operators, om de oplichting te verbeteren, soms de hoofdfunctionaliteit van een gecompromitteerde website onaangeroerd laten, zelfs als ze phishing-pagina's op de site publiceren. “Een bezoeker zou nooit vermoeden dat de site is gehackt: elke sectie bevindt zich waar deze hoort te zijn en alleen relevante informatie is te zien”, aldus Kaspersky. In plaats daarvan verbergen de aanvallers hun phishing-pagina's in nieuwe mappen die niet toegankelijk zijn via het menu van de website, aldus de beveiligingsleverancier.
Makkelijke pickings
Lang verwaarloosde domeinen zijn ook aantrekkelijk voor aanvallers, omdat phishing-pagina’s daarop ook lange tijd actief kunnen blijven. Dit kan vooral van belang zijn voor aanvallers, gezien de relatief korte levenscyclus van phishing-pagina's in het algemeen. In december 2021 bracht Kaspersky een rapport uit met een samenvatting ervan analyse van de levenscyclus van phishing-pagina's. Uit het onderzoek bleek dat 33% van de phishingpagina's binnen één dag na livegang inactief werd. Van de 5,307 phishingpagina's die Kaspersky-onderzoekers voor het onderzoek analyseerden, stopten er 1,784 met werken na de eerste dag, en vele werden al binnen de eerste paar uur inactief. De helft van alle pagina's in het onderzoek hield na 94 uur op te bestaan.
Voor bedreigingsactoren is de taak om in te breken op verlaten en nauwelijks onderhouden websites vaak eenvoudig vanwege de veiligheidslekken die er zijn in de leefomgeving. Vorig jaar nog, onderzoekers en verkopers onthulde in totaal 2,370 kwetsbaarheden in WordPress en plugins. De meest voorkomende hiervan zijn cross-site scripting, autorisatie-bypass, SQL-injectie en openbaarmaking van informatie.
Kaspersky ontdekte dat wanneer een aanvaller via een kwetsbaarheid inbreekt op een WordPress-site, hij doorgaans een WSO-webshell uploadt. Dit is een kwaadaardig shellscript waarmee aanvallers volledige controle op afstand over de website kunnen krijgen. De aanvallers gebruiken vervolgens de webshell om in te breken in het beheerderspaneel van de besmette website en daarop valse pagina's te plaatsen. Ze gebruiken het configuratiescherm ook om inloggegevens, bankkaartgegevens en andere gevoelige informatie op te slaan die een gebruiker mogelijk via de website invoert. Wanneer een aanvaller de toegang tot het configuratiescherm open laat, kan iedereen op internet toegang krijgen tot de gegevens, aldus Kaspersky.
“Ervaren cybercriminelen hacken legitieme websites als een manier om phishing-valstrikken te plaatsen”, zegt Kaspersky. “Zowel lang verwaarloosde als actief onderhouden websites kunnen op deze manier worden aangevallen”, vooral als de websites klein zijn en de exploitanten slecht toegerust zijn om kwaadaardige activiteiten te detecteren.
Kaspersky's blog bood tips over hoe beheerders van WordPress-websites kunnen detecteren of een aanvaller hun website heeft gehackt en deze gebruikt om phishing-pagina's te hosten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait
- : heeft
- :is
- :niet
- :waar
- 1
- 15%
- 200
- 2021
- 22
- 7
- a
- vermogen
- in staat
- toegang
- beschikbaar
- Volgens
- actieve
- actief
- activiteit
- actoren
- beheerder
- Na
- Alles
- toestaat
- ook
- an
- geanalyseerd
- en
- iedereen
- ZIJN
- AS
- At
- pogingen
- aantrekkelijk
- machtiging
- aas
- Bank
- BE
- werd
- omdat
- worden
- geweest
- tussen
- Blog
- zowel
- Breken
- Breaking
- breaks
- by
- CAN
- kan niet
- kaart
- gevallen
- Gemeen
- compleet
- compromis
- Aangetast
- content
- blijft
- onder controle te houden
- bedieningspaneel
- en je merk te creëren
- IDENTIFICATIE
- Geloofsbrieven
- cybercriminelen
- gegevens
- dag
- December
- december 2021
- opsporen
- gedetecteerd
- directories
- onthulling
- domeinen
- einde
- genoeg
- het invoeren van
- Milieu
- vooral
- Zelfs
- Alle
- bestaan
- exploits
- nep
- weinig
- Voornaam*
- Focus
- Voor
- gevonden
- oppompen van
- functionaliteit
- fundamenteel
- Algemeen
- krijgen
- gegeven
- gaan
- houwen
- gehackt
- Hackers
- HAD
- Helft
- Hebben
- Verbergen
- Gaten
- gastheer
- gehost
- Hosting
- HOURS
- Hoe
- HTTPS
- if
- per direct
- verbeteren
- in
- inactief
- omvatten
- inclusief
- in toenemende mate
- informatie
- eerste
- binnen
- verkrijgen in plaats daarvan
- Internet
- in
- IT
- HAAR
- jpg
- juli-
- voor slechts
- Kaspersky
- bekend
- Achternaam*
- Afgelopen jaar
- Verlof
- rechtmatig
- levenscyclus van uw product
- Waarschijnlijk
- leven
- lang
- Hoofd
- maken
- management
- veel
- Mei..
- middel
- Menu
- macht
- meest
- Meest populair
- nooit
- New
- aantal
- vele
- of
- aangeboden
- vaak
- on
- EEN
- Slechts
- open
- exploitanten
- Overige
- over
- eigenaren
- paginas
- paneel
- bijzonder
- periode
- Phishing
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- aanwezigheid
- mits
- publiceren
- Putting
- klaar
- onlangs
- herkennen
- relatief
- uitgebracht
- relevante
- blijven
- vanop
- verslag
- onderzoekers
- s
- Zei
- gekruid
- sectie
- veiligheid
- gezien
- gevoelig
- het instellen van
- Delen
- Shell
- vertoonde
- aanzienlijke
- Eenvoudig
- single
- website
- Locaties
- Klein
- kleinere
- begin
- gestopt
- shop
- Studie
- succes
- geslaagd
- vermeend
- system
- doelgerichte
- targeting
- Taak
- dat
- De
- diefstal
- hun
- Ze
- harte
- Deze
- ze
- dit
- bedreiging
- bedreigingsactoren
- tips
- naar
- Totaal
- vallen
- Trust
- typisch
- unieke
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- verkoper
- vendors
- via
- Bezoek
- Bezoeker
- kwetsbaarheden
- kwetsbaarheid
- Manier..
- web
- Website
- websites
- GOED
- waren
- wanneer
- welke
- waarvan
- wijd
- Met
- binnen
- WordPress
- werkzaam
- zou
- jaar
- zephyrnet
