Operatorzy phishingowi wykorzystują opuszczone strony internetowe jako przynętę

Z nowego badania przeprowadzonego przez firmę Kaspersky wynika, że ​​atakujący coraz częściej atakują porzucone i ledwo utrzymywane witryny internetowe w celu hostowania stron phishingowych.

W wielu przypadkach phisherzy skupiają się na witrynach WordPress ze względu na ogromną liczbę znanych luk w zabezpieczeniach powszechnie używanego systemu zarządzania treścią i jego licznych wtyczek.

Duża liczba zaatakowanych witryn internetowych

Badacze z firmy Kaspersky naliczyli niedawno 22,400 15 unikalnych witryn WordPress, które cyberprzestępcy złamali w okresie od połowy 200,213 maja do końca lipca w celu hostowania stron phishingowych. Liczba ta obejmowała strony internetowe, do których napastnicy mogli dosłownie wejść, ponieważ zapewniały otwarty dostęp do panelu sterowania, a także strony, do których napastnicy musieli się włamać poprzez wykorzystanie luk w zabezpieczeniach, kradzież danych uwierzytelniających i inne sposoby. Kaspersky wykrył XNUMX XNUMX prób odwiedzenia przez użytkowników stron phishingowych hostowanych na tych stronach przez cyberprzestępców.

„W ten sposób celem mogą być zarówno długo zaniedbywane, jak i aktywnie utrzymywane strony internetowe” – stwierdził Kaspersky w zgłoś w tym tygodniu. „W szczególności hakerzy mają tendencję do atakowania mniejszych witryn internetowych, których właściciele nie mogą od razu rozpoznać ich obecności”.

Wyłudzanie informacji jest w dalszym ciągu jednym z najpopularniejszych sposobów wstępnego dostępu atakujących ze względu na skuteczność tej metody. Podstawą tego sukcesu jest ich zdolność do tworzenia przekonujących witryn i stron, którym użytkownicy będą prawdopodobnie ufać na tyle, aby udostępnić swoje dane uwierzytelniające i inne wrażliwe informacje.

Badacze z Kaspersky odkryli, że w celu usprawnienia oszustwa operatorzy phishingu czasami pozostawiają główną funkcjonalność zaatakowanej witryny internetowej nietkniętą, nawet jeśli publikują w niej strony phishingowe. „Odwiedzający nigdy nie domyśli się, że witryna została zhakowana: każda sekcja jest tam, gdzie powinna i można zobaczyć tylko istotne informacje” – powiedział Kaspersky. Zamiast tego napastnicy ukrywają swoje strony phishingowe w nowych katalogach, które nie są dostępne w menu witryny, twierdzi dostawca zabezpieczeń.

Łatwe zbieranie

Długo zaniedbywane domeny są również atrakcyjne dla atakujących, ponieważ strony phishingowe również mogą pozostawać w nich aktywne przez długi czas. Może to być szczególnie istotne dla atakujących, biorąc pod uwagę ogólnie stosunkowo krótki cykl życia stron phishingowych. W grudniu 2021 roku firma Kaspersky opublikowała raport podsumowujący swoje działania analiza cyklu życia stron phishingowych. Badanie wykazało, że 33% stron phishingowych stało się nieaktywnych w ciągu jednego dnia od uruchomienia. Spośród 5,307 stron phishingowych przeanalizowanych przez badaczy firmy Kaspersky na potrzeby badania 1,784 przestało działać już pierwszego dnia, a wiele z nich stało się nieaktywnych już w ciągu pierwszych kilku godzin. Połowa wszystkich stron badania przestała istnieć po 94 godzinach.

W przypadku cyberprzestępców włamanie się do opuszczonych i ledwo utrzymywanych witryn internetowych jest często proste ze względu na istniejące luki w zabezpieczeniach w otoczeniu. Tylko w zeszłym roku badacze i dostawcy ujawniło w sumie 2,370 luk w WordPressie i wtyczki. Do najpopularniejszych z nich należą skrypty między witrynami, obejście autoryzacji, wstrzyknięcie SQL i ujawnienie informacji.

Kaspersky odkrył, że zazwyczaj gdy osoba atakująca włamuje się do witryny WordPress poprzez lukę w zabezpieczeniach, przesyła powłokę internetową WSO, która jest złośliwym skryptem powłoki, który umożliwia atakującym pełną zdalną kontrolę nad witryną. Następnie osoby atakujące wykorzystują powłokę internetową do włamania się do panelu administracyjnego zaatakowanej witryny i rozpoczęcia umieszczania na nim fałszywych stron. Używają również panelu sterowania do przechowywania danych uwierzytelniających, danych kart bankowych i innych poufnych informacji, do wprowadzenia których użytkownik może zostać oszukany w witrynie. Kaspersky twierdzi, że jeśli osoba atakująca pozostawi otwarty dostęp do panelu sterowania, każdy użytkownik Internetu będzie mógł uzyskać dostęp do danych.

„Doświadczeni cyberprzestępcy włamują się do legalnych witryn internetowych w celu zastawiania pułapek phishingowych” – stwierdził Kaspersky. „W ten sposób celem mogą być zarówno długo zaniedbywane, jak i aktywnie utrzymywane witryny internetowe”, zwłaszcza gdy witryny są małe, a operatorzy nie są odpowiednio wyposażeni do wykrywania szkodliwej aktywności.

Blog Kaspersky zawiera wskazówki, w jaki sposób operatorzy witryn WordPress mogą wykryć, czy osoba atakująca włamała się na ich witrynę i wykorzystuje ją do hostowania stron phishingowych.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait